网络安全学习--NTFS权限

权限

设置NTFS权限，实现不同用户访问不同对象(文件、目录)的权限
分配正确的访问权限，用户才能访问其资源
设置权限防止资源被篡改、删除

NTFS特点

• 提高磁盘读写性能
• 可靠性
  • 加密文件系统
  • 访问控制列表(设置权限)
• 磁盘利用率
  • 压缩
  • 磁盘配额
• 支持单个文件大于4G

修改NTFS权限

添加两个用户(edison,dizzy),edison有读文件夹中文件的权限，dizzy只有创建新文件权限，不能读取文件

C:\Documents and Settings\Administrator>net user dizzy 123 /add
命令成功完成。

C:\Documents and Settings\Administrator>net user edison 123 /add
命令成功完成。
#默认添加用户会添加至Users组中
C:\Documents and Settings\Administrator>net localgroup Users
别名     Users
注释     /++

成员

-------------------------------------------------------------------------------
dizzy
edison
NT AUTHORITY\Authenticated Users
NT AUTHORITY\INTERACTIVE
tye
命令成功完成。

ACL权限介绍

文件

完全控制	拥有读取，写入、修改、删除及特殊权限
修改	包含读取、写入、修改和删除
读取和执行	可以读取和执行文件权限
读取	可以读取文件内容
写入	可以修改文件内容
特别的权限	控制文件权限列表

文件夹权限

完全控制	拥有对文件和文件夹读取，写入、修改、删除及特殊权限
修改	拥有对文件和文件夹读取、写入、修改和删除文件的权限
读取和执行	拥有对文件夹文件下载、读取及执行权限
读取	列出文件夹的内容
读取	可以列出文件夹内容
写入	拥有在文件夹中创建新文件权限
特别的权限	控制文件夹权限列表

##### 取消权限继承  添加“添加”，弹出“选择用户或组”对话框，如果忘记用户名的话，可以点击左下角“高级”按钮，打开“选择用户或组”对话框，点击“立即查找”，在下方会显示出本机所有的用户和组列表。  ##### 权限累加 当用户属于多个组时，权限是累加的 用户edion同时属于IT和HR组时，IT对文件夹有读取权限，HR可以写入，A用户最终权限是读取和写入

C:\Documents and Settings\Administrator>net localgroup IT /add
命令成功完成。
C:\Documents and Settings\Administrator>net localgroup HR /add
命令成功完成。
#将edison用户添加到IT和HR组
C:\Documents and Settings\Administrator>net localgroup IT edison /add
命令成功完成。
C:\Documents and Settings\Administrator>net localgroup HR edison /add
命令成功完成。

拒绝最大

当用户权限累加时，如遇到拒绝权限，拒绝最大!
案例：
用户edison属于IT组，IT组成员对公共文档文件夹有访问权限，但edison对公共文档文件夹不能有访问权限
实现：

#将edison用户添加到IT组
C:\Documents and Settings\Administrator>net localgroup IT edison /add
命令成功完成。

通过edison远程连接或者登录系统后，访问公共文档会出现以下提示

取得所有权

默认只有administrator有这个权限
案例：
用户edison已离职，但有一个xxx文件夹的属主是edison,由于edison对文件夹做过权限修改，导致其他用户对xxx文件夹没有任何权限，则需要administrator用户对文件夹重新修改权限。

强制继承

对下强制继承父子关系

文件复制对权限的影响

文件复制后，文件的权限会被目标文件夹的权限覆盖，文件移动时，同分区移动不会覆盖权限，其他情况都会被目标文件夹的权限覆盖。