1. NTFS权限概述

       在办公或其他环境中，某些存储在计算机中的文件经常需要被很多人读取访问，如图所示。为防止这些人中的某人篡改、删除该文件，计算机程序的开发者设计了“文件访问权限”。只有被分配了修改的权限，访问者才能够修改其内容:只被分配读取权限的访问者只能够读取其内容。这些权限是分配给用户账户或组账户的，分配给组账户的权限即自动分配给了组的成员，从而减少了分配的次数，如图所示，即使当前只有一个人事用户需要分配修改权限，也建议新建一个组账户，为该组账户分配权限，并将人事用户设为该组的成员，以便将来有其他用户需要同样的权限时，可以直接将其添加为该组的成员。

1.1 Windows文件系统

1. 文件系统概述

       文件系统即在外部存储设备上组织文件的方法，如可以将一个文件连续地存储在磁盘上，或将其划分成多个单元，分别保存在磁盘的不同位置;如果划分成多个单元，需要确定每个单元有多大。不同的文件系统有不同的设计，常用的文件系统有FATNTFS EXT HFS ZFS UFS VMFS ReFS等。Windows Server 2016支持NTFS和REFS 如图所示。

2.NTFS文件系统

       NTFS(New TechnologyFile System，新技术文件系统)是微软公司随着WindowsNT推出的文件系统。同FAT相比，NTFS 做了很多改进，从而改善磁盘的读写性能，可靠性和磁盘空间利用率，其主要特性如下。

       访问控制列表(AccessControlList，ACL)，用于限定用户或组对文件或文件夹的访问权限。

       加密文件系统(Encrypting File System，EFS)，用于加密文件内容，保障数据安全。

       压缩，包括压缩文件、文件夹，并分区，以节省磁盘空间。

       磁盘配额，可以限定每个用户使用的最大磁盘空间，保障同一磁盘分区能够为多个用户使      用。

       Windows的部分功能只能在NTFS文件系统上实现，如活动目录。

3. REFS文件系统

       REFS(Resilient File System，复原文件系统)是在Windows Server 2012中引入的一个文件系统。与NTFS大部分兼容，主要目的是保持较高的稳定性。可以自动验证数据是否损坏，并尽力恢复数据，与存储空间联合使用可以实现更好的数据防护，对于上亿级别的文件处理也有性能上的提升。

       截至目前，REFS不支持引导系统，也不能用于移动存储设备，它是一个专门用于存储数据的文件系统。NTFS 也无法直接转换为REFS，但是文件是可以相互复制的。

       REFS 做了很多改进，其主要特性如下。

       通过写入时分事物模型实现可靠的磁盘更新，也称为写入时复制。

       支持超大规模的卷，文件和目录，卷和目录文件数量支持到2**数量级，见表

       通过“数据打捞”实现损坏还原，以便在任何情况下尽可能提高卷的可用性。

       跨计算机共享存储池，以提供额外的容错性和负载平衡。

        FAT(File Allocation Table，文件分配表)由比尔·盖茨和马斯·麦当劳在1977 年设计的，其结构简单，被很多操作系统支持，包括 DOS、Windows、Linux;有FAT16和FAT32等不同版本，分别采用16位和32位簇(文件划分的存储单元)编址。

1.2 设置文件权限

1. 文件的操作权限

       用户可以对文件进行各种操作，包括读取，写入等。Windows为每个文件提供了一个访问控制列表，在访问控制列表中可以设置哪些用户或组可以操作此文件，允许或拒绝进行哪些操作，即用户对文件的操作权限。表所示为常见的文件操作权限。

2. 设置文件权限

       案例为用户robin设置读取文件“新建文本文档”的权限。

操作步骤如下。

       (1)右击需要设置权限的文件，在弹出的快捷菜单中选择“属性”，弹出文件属性对话框，选择

“安全”选项卡，如图所示。

        (2)单击“安全”选项卡中的“高级”按钮，弹出如图3.4所示的高级安全设置对话框。

        (3)在如图所示的对话框中，单击“更改权限”按钮，打开如图3.5所示的权限设置对话框。

        (4)单击“添加”按钮，在弹出的窗口中单击“选择主体”在“选择用户或组”对话框中输入用户名，如图所示。

       (5)输入完成后，单击“确定”按钮，弹出如图所示的权限项目对话框，选择分配给用户robin的权限，并且可以在右侧选择显示基本权限和高级权限。

       (6)设置完成后，单击“确定”按钮，关闭权限项目对话框，添加完成如图所示，依次单击“确定”或“应用”按钮关闭弹出的所有对话框。

       在如图所示的对话框中，选择某个权限项目，单击“编辑”按钮可以更改其权限设置，单击“删除”按钮可以将其删除。

1.3 设置文件夹权限

       用户可以对文件夹进行的操作，包括列出文件夹内的文件名，在文件夹内创建文件等。NTFS 文件系统为每个文件夹提供了一个访问控制列表，如表所示为常见的文件夹操作权限。

文件夹权限的设置方法同设置文件权限一致，这里不再赘述。

1.4 权限的分类

       NTFS 权限的划分比较细致，设置起来比较麻烦。Windows将这些权限分为六类，如图示。

       单击“编辑”按钮，弹出如图3.10所示的对话框，可以为用户分配某一个类别的权限。表所示为每个类别所包含的权限。

2. NTFS权限规则

       NTFS权限有一些隐含的规则，用户的最终有效权限将受这些规则的影响。了解并运用这些规则，才能灵活地分配权限，符合实际需求。

2.1 权限的累加

       如果在某个文件或文件夹的访问控制列表中为某个用户分配了操作权限，同时为该用户所属的组分配了其他权限;或者没有为用户分配任何权限，但是为用户所属的多个组分配了不同的权限

则该用户的有效权限会是什么呢?

       用户对资源的有效权限是分配给用户的权限和用户所属各个组权限的累加。

案例3.2用户robin是Users组的成员，如图所示，则用户robin的有效权限是什么?

        robin的有效权限是“写入数据”及“读取和执行”分类中的“执行文件”“读取数据”“读取属性”“读取扩展属性”和“读取权限”(因为本例中的资源是一个文件，所以忽略全部对文件夹有效的权限)，共六个权限。

案例3.3用户robin是Users组和Administrators组的成员，如图所示，则robin的有效权限是什么?

        robin的有效权限是“完全控制”，即拥有Administrators组和Users组的所有权限。

2.2 拒绝权限

       如果在某个文件或文件夹的访问控制列表中为某个用户分配的操作权限与为该用户所属的组分配的权限发生矛盾，即一边允许某个操作，另一边则拒绝这个操作;或没有为用户分配任何权限，但是为用户所属的多个组分配的权限发生矛盾，则该用户的有效权限会是什么呢?

       在访问控制列表中，拒绝权限的优先级最高。

案例3.4用户robin是Users组的成员，如图所示，则用户robin对新建文本文档的有效权限是什么?

       robin的有效权限是“读取和执行”分类中的“遍历文件夹/执行文件”，因为“读取”分类中的其他权限都被拒绝了。

2.3 继承权限

       如果在某个文件夹的访问控制列表中为某个用户分配了操作权限，而没有在该文件夹中的文件或子文件夹的访问控制列表中为该用户分配权限，则该用户对其中的文件或子文件夹的有效权限会是什么呢?

       文件夹的访问控制列表会被其中的子文件夹和文件继承。

       如图所示，在“新建文件夹”的访问控制列表中为用户robin设置了“完全控制”的权限，则在“新建文件夹”中的文件“新建文本文档”的访问控制列表中可以看到用户robin对此文件拥有“完全控制”的权限，该权限继承于“新建文件夹”，如图所示。

        案例3.5 从“新建文本文档”的访问控制列表中删除继承的权限。

       从“新建文本文档”的访问控制列表中删除继承的权限，步骤如下。

               (1)在如图39所示的对话框中单击“高级”按钮，弹出如图所示的对话框。

               (2)单击“禁用继承”按钮，弹出如图所示的对话框。“此对象”指文件“新建文本文档”，其“父对象”指“新建文件夹”。

               3)在如图所示的对话框中，单击“从此对象中删除所有已继承的权限”选项，即可将继承的权限删除:单击“将已继承的权限转换为此对象的显式权限”选项则保留继承的权限，但可以编辑修改，而继承的权限无法编辑修改。删除后的访问控制列表如图318所示。本例中的“新建文本文档”除继承的权限外，未设置任何权限，接下来可以添加权限。要完成设置，还需单击“确定或“应用”按钮，关闭所有弹出的对话框。

2.4 特别的权限

       除了针对用户对文件或文件夹的操作进行控制外，还要针对用户对ACL的操作进行控制，否则任何用户都可以更改ACL中的权限设置，则分配权限就没有意义了。所以在ACL 中，还有一些特别的权限，如图所示。

1.读取权限

       允许此权限表示允许该用户(或组)读取此文件或文件夹的访问控制列表，即用户能够查看到

何人拥有何种权限;拒绝此权限表示不允许用户查看。如图所示为当用户没有该权限时，打开属性对话框中安全选项卡时所显示的信息。

2.更改权限

       允许此权限表示允许该用户(或组)更改此文件或文件夹的访问控制列表，即用户能够为其他

用户分配对该文件或文件夹的操作权限。

3.取得所有权

       NTFS文件系统中的每个文件或文件夹都有“所有者”“所有者”可以随时更改其所拥有的文件

或文件夹的权限。文件或文件夹的“所有者”默认是创建该文件或文件夹的用户，如图所示，

        允计此权限表示用户可以取得文件或又件夹的所有权，成为其所有者。Administrators组的成员可以取得任何文件或文件夹的所有权，而不必拥有“取得所有权”权限。

案例3.7 取得所有权。

       用户robin建立了自己的文件夹用来存储工作文件，并设置为只有自己拥有完全控制权限，其他人无任何权限，robin离职后，接替者无法操作这个文件夹，管理员可以取得该文件夹的所有权，并设置接替者操作该文件夹的权限，其步骤如下，

               (1)在高级安全设詈窗口上方可以看到该文件夹的所有者如图所示

               (2)单击“所有者”右侧的“更改”按钮，弹出如图所示的对话框

                (3)输入需要接替此文件夹的用户账号，单击“确定”按钮，在弹出的安全提示对话框中单击“是”按钮，所有者就修改完成，如图所示。

        (4)取得所有权之后，需关闭安全属性，单击“确定”按钮，关闭所有弹出的对话框。重新打

开高级安全设置对话框，如图所示，就可以重新分配权限了。