该楼层疑似违规已被系统折叠 隐藏此楼查看此楼
写在前面:鉴于文章较为冗长,急于直接了解NTFS权限相关问题的读者可以直接跳到章节六。然而我仍建议有时间的读者将前面的一些基础章节也阅读一番。
“NTFS权限”,鉴于NTFS已经与我们亲密接触了如此长的时间,这个话题可以算是老生常谈了。然而在NT6.x大幅度改进了系统安全性后,作为安全重要环节的NTFS权限就不再是远离用户应用的技术。在实践中,部分用户由于特殊的应用需求可能需要对个别受保护的系统文件进行更改,不少用户可能会遇到NTFS权限设置错误导致的异常,而NTFS权限与UAC的结合也为我们的应用带来了更多可能性。要在不损害系统安全性的前提下实现我们的应用目标,就需要对NTFS权限的内容与配置方法有个初步的了解。是而为此文。
严格的说,NTFS权限的正式称谓是ACL(访问控制列表),因而在下文的陈述中也会逐步的引入ACL的概念。同时由于ACL广泛应用于系统权限控制中,因而本文所陈述的内容虽以NTFS权限为主,但可以类推于其他具备ACL特性的情景中,如注册表。
一、谈论ACL时不得不说的话题——用户与组
权限设置,必然是为授予某一群体对对象的访问权而设立,而用户与组正是这被授权的群体。用户是授予权限的最小单位,而组可以视作是用户的**。用户与组都使用SID作为其唯一标识符。比起活动目录域中域本地组、全局组、通用组及其嵌套、转换所带来的多彩缤纷的应用相比,单机环境下的用户与组要简单得多。这里主要介绍一些具备特殊功能定位的用户与组。
l Administrator:用户。所谓“超级管理员”,默认禁用。在系统默认的安全策略下,其不受UAC约束且将以管理员身份运行任何程序。鉴于这一特性将严重降低系统安全性,不建议将其启用。
l Guest:用户。来宾帐户,默认禁用。相较于普通用户帐户,来宾帐户受到更多限制。在于“控制面板\用户帐户和家庭安全\用户帐户\管理帐户”中启用来宾帐户后,此帐户也将被启用。
l HomeGroupUser$:用户。家庭组用户帐户。用于实现家庭组简化的、安全的共享功能。在创建家庭组后,此帐户将被创建及启用。
l TrustedInstaller:特殊用户。可信任的安装程序,实质上其指代的是一种特殊的服务,与Windows Modules Installer服务关系很大。可通过直接输入名称NTSERVICE\TrustedInstaller将其添加到ACL中。
l Administrators:组。所有管理员帐户都是Administrators组的成员。在ACL中,针对管理员的权限设置,通常使用Administrators组进行分配。注意在UAC启用的情况下,非经提权,仅有Administrators组的拒绝权限会应用到普通管理员。
l Users:组。所有用户帐户都是Users组的成员。在ACL中,针对用户的权限设置,通常使用Users组进行分配。
l HomeUsers:组。在ACL中,针对家庭组的权限设置,通常使用HomeUsers组进行分配。
l Authenticated Users:特殊组。是所有在本系统或域内有合法账户的用户的**。
l Everyone:特殊组。顾名思义,所有用户的**,无论其是否拥有有合法账户。
l Creator Owner:特殊组。创建对象或目前是对象所有者的用户的**。实质上此组的作用是:当它存在于ACL中时,将同时将所有者用户帐户以设定的权限添加进ACL。
l Owner Rights:特殊组。此组的作用主要在于限制对象所有者隐性的查看、更改ACL的权限。
l SYSTEM:特殊组。本地系统。相当多的服务使用此身份运行,如Windows Search。