1、  安全权限是累积的,用户对资源的实际权限是所有用户和组从所有资源获得的,对该资源的总体权限(用户所属的所有组的用户权限和组权限)。

1A用户属于GROUP组,现设置为ATEST文件夹只读,GROUP组对TEST文件夹读写,最终A用户对TEST目录是具有读写权限。

2A用户同时属于GROUP1组和GROUP2组,设置为GROUP1TEST文件夹只读,GROUP2TEST文件夹读写,最终A用户获得了从GROUP1组和GROUP2组所具有的所有权限累积,对TEST文件夹有了读和写的权限。
2、  “拒绝”权限优先于“允许”权限。

例如:用户jack同属于GROUP1组和GROUP2组。jack的用户账号允许对test文件夹具有“读取”访问,GROUP1组也允许对test文件夹的“读取”访问。但是,GROUP2组却明确拒绝对test文件夹的“读取”访问,这样,jack就无法访问test文件夹,因为“拒绝”权限优先于“允许”权限。

3、  子目录的“安全”访问权限受上层目录的“共享”权限影响,不管是否取消了继承。

可从一个应用例子来理解这句话,也可从此例子了解当同时设置共享和安全权限时的最终用户权限是怎样的。
例如,有一个 PUBLIC 的文件夹,组 GROUP1 和组 GROUP2 对此文件夹都有“读取”的权限。但有这样一个需求, GROUP1 组需对 PUBLIC 文件夹底下的 SUB 子文件夹要有“修改”权限,有的人可能认为只要取消 SUB 文件夹的“继承”属性,再设置 GROUP1 组为可“修改”权限就可以了,但这样结果是 GROUP1 组还是只能对 SUB 文件夹只读。具体解决方法可以先在 PUBLIC 文件夹共享权限里设置 GPOUP1 组“修改”,再取消 SUB 文件夹的“继承”属性,最后在 SUB 文件夹设置 GROUP1 组为“修改”即可达到上述目的。但这时可能有疑问了,这样设置后, GROUP1 组不是对 PUBLIC 包括所有子文件夹都具有修改权限吗?其实刚才我们只是修改了 PUBLIC 文件夹的共享权限,并没有修改它的安全权限。说白一点, PUBLIC 上共享权限是起了一个“开关”的作用,若要添加某一用户或组对子目录的权限,就得相应的在上一级有设共享权限的地方把该用户或组的相应权限加上,就等于把“开关”打开。从这个例子也可以看出,因为 " 安全 " 属性总是取所有权限中最严格的, 如果同时设置"共享""安全""共享"也要按"安全"设置取最严格的,因为"安全"的优先权更高。不过上面这段话也可视为是废话,呵呵,我的做法是不管三七二十一,先把最上级文件夹的“共享”权限设为everyone完全控制,然后再对子文件夹的“安全”权限进行进一步设置即可。

4、  “拒绝权限”的使用。

在设置文件的安全性和前面设置共享权限时,在权限栏中都有"拒绝"一列,这是微软针对某些应用需求而设计的 ,这同时也是第二点总结的一个延伸 我们还是看一个实例:

比如有一个Public目录,这个目录存放一些公共文件,可以允许Users组成员读写,但是这个目录中还有一个“sub”的子目录用来存放一些重要文件,只允许Users组成员读取。
我们先设置Public目录的安全权限为user组可修改,然后再打开“Public”下的“sub”文件夹属性,打开“安全”选项卡,此时Users组拥有“修改”的权限,允许权限显示灰色,表明该权限是从上一级目录“Public”上传递下来的,单击“拒绝”中的“写入”,选中该项,单击“确定”,此时系统给出一个警告,提示“拒绝”的优先级要高于“允许”,单击“是”,此时Users组成员再往"sub"文件夹中写文件,就会遭到拒绝。  
5、 一劳永逸,广播权限的用途。

首先在企业环境里,用户端电脑出于安全考虑,系统盘一般为 user 级,可能安装了一个应用软件后,在管理员账户底下可以运行,而在用户登录后软件却不能正常运行。而此时,大部份原因是由于软件运行所需的系统文件(比如动态链接库文件 Active 控件

这时,可以通过如下方法排除故障并解决,首先用管理员账号登录用户计算机,先对应用软件所在文件夹添加当前用户的“读写”权限,再利用“重置所有子对象的权限并允许传播可继承权限”的功能将此用户的“读写”权限传播到所有子文件夹,然后再用当前普通用户登录计算机,看软件是否可以正常运行。如果还不行,可按照上述步骤依次对 documents and setting 文件夹再添加当前用户“读写”权限并广播,这样一般可解决由访问权限问题引起的软件运行故障。最后,如果此时还不能正常运行应用软件,出于时间上的考虑,可以将系统盘根目录设为当前用户可读写,再广播到所有子文件夹,当然这样也带来了最大的安全隐患。<span style="font-family: 仿宋_gb2312; mso-ascii-font-family: " '; mso-hansi-font-family: ' '; mso-bidi-font-size: 15.0pt">最后,需要说明一点,不要认为权限分配是一件再简单不过的事情,如果不小心,或对一些选项不了解,会让你感到非常郁闷或者事倍功半,因为你可能不清楚什么是“审核”?“所有者”是干什么用的?权限项目有没有必要等等问题。

本文出自 “英年早瘦的IT博客” 博客,请务必保留此出处http://donhuang.blog.51cto.com/268978/50106