当用户向磁盘中存储文件的时候,文件都是按照某种格式存储到磁盘上的,这种格式就是文件系统。Windows系统中采用的文件系统主要是FAT32和NTFS,NTFS文件系统相比FAT32的主要改进是在安全性方面有所加强,比如可以在NTFS格式的分区中对文件进行EFS加密,以及为文件或文件夹设置访问权限等。
1. 什么是NTFS权限
在采用NTFS文件系统的磁盘分区中,在每一个文件或文件夹的属性中都增加了一个“安全”选项卡,在选项卡中有访问控制列表(ACL,图中上半部分)和访问控制项(ACE,图中下半部分)。访问控制列表中列出的是和当前文件或文件夹权限有关的用户和组,当选中某个组或用户后,访问控制项中列出的是和该用户和组相关的权限。
当一个用户试图访问一个文件或文件夹时,NTFS文件系统会检查用户使用的账户或账户所属的组是否在ACL中。如果存在,则进一步检查访问控制项,然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或账户所属的组,就拒绝用户访问。
安全权限只能在采用NTFS文件系统的磁盘分区中设置,因而也称之为NTFS权限。安全权限是Windows系统中一个比较基础和底层的服务,很多Windows系统的高级服务都要依赖于安全权限,这也是为什么Windows服务器的磁盘分区都强调必须采用NTFS文件系统的原因。
2. NTFS权限类型
常用的NTFS权限有以下几种:
完全控制:对文件或文件夹可执行所有操作。
修改:可以修改、删除文件或文件夹,但无法进行权限设置。
读取和运行:可以读取内容,并且可以执行应用程序。
列出文件夹目录:可以列出文件夹的内容,此权限只针对文件夹存在。
读取:可以读取文件或文件夹的内容。
写入:可以创建文件夹或文件。与修改权限相比,无法删除原有的文件或文件夹,但可以删除自己创建的文件或文件夹。
特别的权限,把某些权限进行了细化。
每一个新建立的文件或文件夹都有一个默认权限,文件的默认权限如上图所示,文件夹的默认权限如下图所示。文件或文件夹的默认权限是继承自上一级文件夹的权限,如果文件或文件夹位于根目录下,则继承磁盘分区的权限。
3. 应用ALP规则设置权限
如果需要添加用户账户的访问权限,只需将用户账户添加到文件或文件夹的权限列表中,并设置好相应的权限即可。如果对多个用户设置权限,可以结合组来进行管理。如果需要删除用户账户的访问权限,则在文件或者文件夹的权限列表中删除该用户账户即可。
在工作组环境下,多个用户账户访问相同的资源时,可以分别给每个用户账户分配权限,但这并非最佳方法,通常推荐的方法是应用ALP规则,即先将用户账户加入到用户组,然后再为用户组分配权限。这样,用户组中的所有用户账户就会有相应的访问权限。
ALP是用户账户(Account)、本地组(Localgroup)和权限(Permission)的英文简称。一般情况下,为多个用户账户分配权限时,建议采用ALP规则。
转载于:https://blog.51cto.com/yttitan/1339409
1829
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
