第9节 NTFS安全权限—给文件/文件夹设权限

0 引言

权限设置的三要素为访问者、权限、被访问的对象，任何权限的设置都围绕这三者展开。本文主要围绕NTFS安全权限进行展开。学习NTFS安全权限目的是为了给文件或文件夹设权限，权限可以限制不同的用户在访问文件或文件夹时具有不同的权限。

1 NTFS权限概述

（1）通过设置NTFS权限，实现不同用户访问不同对象（文件或文件夹）的权限。
（2）分配了正确的访问权限后，用户才能访问其资源。
（3）设置权限防止资源被篡改、删除。

2 文件系统概述

2.1 常见的文件系统

文件系统即在外部存储设备上组织文件的方式，即存储方式/格式。

• Windows常见的文件系统：FAT（FAT8、FAT16、FAT32）、NTFS
• Linux常见的文件系统：EXT（EXT1、EXT2、…）

注意：
（1）分区必须建立文件系统，才能存储资料。在分区划分小的存储单元，这些小的存储单元称为簇（block）。
（2）什么是格式化：将分区数据清空，然后重新在分区上划分簇（block），即制作文件系统，因此格式化时需要选择文件系统类型。

2.2 分区存储文件的方式

格式化时需要选择文件系统，文件系统将分区划分为许多block（其中存储文件内容）和inote（存储文件名及其指针）。

• 一个block仅能为一个文件所用，剩余部分将浪费。
• block大小是否合适需根据该分区存储单个文件大小而定。block越小，则指针越多，打开文件越慢，但是越大，则浪费越多。所以需要视具体情况而言，小而琐碎的文件，则block较小更好；而存储大的文件，则block较大更好。

2.3 设置block大小

右键分区→格式化→可选择分配单元大小。其中，默认为4096字节，节4KB。格式化时一般需要选择“快速格式化”比较快。

3 NTFS特点

3.1 NTFS较FAT文件系统的优点

• 磁盘读写性能高
• 可靠性：（1）文件加密系统；（2）访问控制列表ACL（设置权限）
• 磁盘利用率：（1）压缩；（2）磁盘配额
• 支持单个文件大于4G。

注意：
（1）若分区之前格式化时文件系统类型选择的是FAT类型，则不具备设置权限，所有用户一律平等。
（2）当U盘空间比较小时，如4G、8G、16G，格式化时选择FAT32类型效果比较好；NTFS针对大硬盘大分区。

3.2 磁盘配额

作用： 为不同用户设置存可用空间，类似网盘。
操作： 右键分区→属性→配额，一般在管理服务器时需要使用。

3.3 访问控制列表

• 百科： 《访问控制列表》
• 操作： 右键分区→属性→安全。
  

4 NTFS权限及其设置

4.1 基本权限的作用

• 读取和运行： 主要是针对可执行文件是否运行被运行。
• 列出文件夹目录： 表示用户双击可以打开该文件夹，看到这个文件夹有哪些目录。
• 读取： 可以查看文件内容，可下载，包括可执行文件的内容。
• 写入： 分两层理解，（1）对于文件夹，说明允许在文件夹中创建新的文件，即可上传文件；（2）对于文件，说明运行在文件中新增内容。
• 修改：包含了从读取到写入的所有权限，读取和运行、列出文件夹目录、读取、写入全拥有了，还拥有了删除权限。但是只是对文件夹和文件有修改权限，但是不能修改别人的权限——修改访问控制列表ACL。
• 完全控制：除了包含修改外，还包含了特别的权限，可对修改访问控制列表ACL。

4.2 NTFS权限设置实操

请虚拟机中进行试验及操作。实现在D盘中的PublicResource文件夹，a只能读取内容，b只能上传内容。

（1）打开win2003服务器，选择D盘，查看属性，确定分区文件系统为NTFS格式。

（2）在D盘创建一个文件及文件夹。

cd d:
md	PublicResource\Rules
echo 666>PublicResource\share.txt
echo 111>PublicResource\Rules\Rules.txt

（3）创建AB两个用户。

net user
net user a 1 /add
net user b 1 /add	#新建用户默认属于Users组

（4）我们的目的是给PublicResource文件夹设置不同访问权限—a只能读取内容，b只能上传内容。a用户虽在该文件夹被限制了权限，但在家目录下，是有完全控制权限，至于其余位置需要看管理员是否设置权限。新建的用户，默认属于普通用户组（users),他的权限也是默认的。

tips:
CREATOR OWNER 指创建者本人，即创建文件夹的用户，具有特别的权限，可以更改访问控制列表。
（5）若想修改访问控制列表ACL，需要取消父子级文件间权限的继承。点击复制表示复制父级文件的权限至子级文件，但是切断了两者间的继承性。

（6）删除多余组，避免用户属于不同组而产生权限叠加。

（7）添加用户，输入a;b，注意中间是分号（用分号可以同时添加多个用户），点击检查名称依次添加。

tips:
若不知道用户名称的具体拼写，可以点击>>高级，>>立即查找，选中需要的用户名，再点击确定。

（8）a用户保存默认及可，b用户按以下勾选。

tips:
b用户具有上传权限，其上传后不可以再下载，不可以读取、写入和修改。但是可以覆盖自己之前上传的文件或文件夹，但是不能覆盖别人的。可以覆盖自己的文件或文件夹是由于b用户创建的文件或文件夹还带有b用户的某些标识。

4.3 权限累加

（1）当用户属于多个组时，权限是累加的，累加只累加允许。当用户权限与自己预想不一致时，查看用户是否属于多个组。
（2）相同的权限，当允许碰到拒绝时，拒绝最大。取用户所属各组的，对于每一类权限的如何规定，按用户所属各组规定的最强者确定。
（3)设置权限时，一般不碰拒绝，除非遇到特殊情况。如b用户属于IT组，IT组成员为10个用户，IT组拥有对”机密“文件夹的完全控制权限，现要求b用户不能脱离IT组，同时要求b用户没有访问”机密“文件夹的所有权限。这时需要另外对”机密“文件夹设置所有权限对于b用户都勾选拒绝。

4.4 取得所有权

场景： 假设a用户创建了一个文件夹，并将父子级继承去掉，同时将其他用户及管理员移除权限，管理员应该怎么处理？

解决办法： 右键该文件夹→属性→安全→高级。注意只有管理员和管理员组具有取得所有权权限。

4.5 强制继承

适用场景： 当长期使用后，部分子文件夹权限比较混乱，希望这些子文件都恢复以前继承的权限，对此需要将最高级文件夹设置强制继承。
作用： 对下强制继承父子级权限关系。
方法： 父级文件夹右键属性→安全→高级→如下勾选并确定。

4.6 文件复制移动时的权限变化

（1）复制：

• 某文件或文件夹无论是复制到同一个磁盘的另一个文件夹（目标文件夹）中，还是跨分区复制到另一个磁盘的文件夹中，复制后的文件/文件夹的权限强制继承目标文件夹的使用权限。因为文件的复制要产生新文件，因此，新文件的使用权限继承目标文件夹的使用权限。

（2）移动： 文件由一个文件夹移动到另外一个文件夹时，分为两种情况：（1）如果移动是在同一个磁盘分区中进行的，则文件的使用权限不变。因为在WINDOWS2000中，同一磁盘文件的移动只是指针的改变，并没有真正的移动。（2）如果是跨分区移动到另一个磁盘分区的某个文件夹中，则该文件将继承目标文件夹的使用权限。因为移动到另一个磁盘分区，实际上是在那个分区产生新文件。 文件夹的复制或移动的原理与文件相同。

5 总结

• 关于权限：控制谁以什么权利访问什么资源。
• 如何控制：在文件属性安全项中，通过父子级关系、针对用户或组进行控制。
• 注意权限的累加及复制移动时的权限变化。

6 参考文献

[1]本地文件安全权限-以NTFS文件系统为例