NTFS权限类型
NTFS权限可以细分为两⼤类:
1. 基本权限:
读取:允许查看⽂件或⽬录的内容和属性。
写⼊:允许修改⽂件或向⽬录添加⽂件和⼦⽬录。
扩展:允许执⾏⽂件或遍历⽬录。
修改:包括读取、写⼊和删除⽂件或⽬录。
完全控制:允许执⾏所有权限,包括更改权限和拥有权。
2. ⾼级权限:
完全控制:授予⽤户对⽂件或⽬录的所有权限。
修改权限:允许更改⽂件或⽬录的权限设置。
删除:允许单独删除⽂件或⽬录。
读取和执⾏:结合了读取和执⾏权限,通常⽤于程序和脚本。
读取属性/读取扩展属性:允许查看⽂件或⽬录的基本或扩展属性。
写⼊属性/写⼊扩展属性:允许修改⽂件或⽬录的基本或扩展属性。
列出⽂件夹内容:允许查看⽬录中的⽂件和⼦⽬录列表。
遍历⽂件夹/执⾏⽂件:允许穿过⽬录来访问⽂件或⼦⽬录,或执⾏程序。
权限管理实践
●
最⼩权限原则:始终根据⽤户的实际需求分配权限,避免过多不必要的权限。
●
使⽤组管理权限:通过将⽤户添加到具有相应权限的组,⽽不是直接在⽤户级别分配权限,可以更
有效地管理权限。
●
定期审计:定期检查⽂件和⽬录权限,确保符合安全政策。
●
⽂件复制对权限的影响:⽂件复制后,⽂件的权限会被⽬标⽂件夹的权限覆盖
权限继承
NTFS⽀持权限继承,使得⼦⽂件和⼦⽬录可以⾃动继承⽗⽬录的权限。这简化了权限管理,但也要求管
理员在设置权限时考虑继承带来的影响。
权限冲突
在NTFS中,如果同⼀⽂件或⽬录指定了多个权限,"拒绝"权限优先于"允许"权限。例如,如果⽤户同时
拥有针对同⼀⽂件的"拒绝写⼊"和"允许写⼊"权限,那么"拒绝"权限将⽣效,⽤户将⽆法写⼊⽂件。
eg:
⽤户a属于财务部组,财务部组成员为10个⽤户,财务部组拥有对⽂件夹xxx访问权限,
现要求a⽤户不能脱离财务部组, 同时要求a没有访问⽂件夹xxx的权限。
权限的累加
当⽤户同时属于多个组时,权限是累加的
eg:
⽤户a同时属于IT组与HR组,IT组对⽂件夹jimi可以读取,HR组可以对jimi⽂件夹写⼊,则a⽤
户最终的权限为读取和写 ⼊。