3. NTFS权限设置规则
NTFS权限除了控制通过网络访问共享文件夹,还控制本地用户访问这个文件夹的权限。NTFS的设置比较复杂,基本上按照微软的说法,细粒度的分子权限和更细粒度的原子权限,分别如下表7-1
|
特殊权限
|
完全控制
|
修改
|
读取及执行
|
列出文件夹内容(仅文件夹)
|
读取
|
写入
|
|
遍历文件夹/执行文件
|
x
|
x
|
x
|
x
|
||
|
列出文件夹/读取数据
|
x
|
x
|
x
|
x
|
x
|
|
|
读取属性
|
x
|
x
|
x
|
x
|
x
|
|
|
读取扩展属性
|
x
|
x
|
x
|
x
|
x
|
|
|
创建文件/写入数据
|
x
|
x
|
x
|
|||
|
创建文件夹/附加数据
|
x
|
x
|
x
|
|||
|
写入属性
|
x
|
x
|
x
|
|||
|
写入扩展属性
|
x
|
x
|
x
|
|||
|
删除子文件夹及文件
|
x
|
|||||
|
删除
|
x
|
x
|
||||
|
读取权限
|
x
|
x
|
x
|
x
|
x
|
x
|
|
更改权限
|
x
|
|||||
|
取得所有权
|
x
|
|||||
|
同步
|
x
|
x
|
x
|
x
|
x
|
x
|
(表
7-1
)
在表
7-1
中,绿色字就是原子权限,蓝色字就是分子权限,
X
代表了分子权限包含的原子权限。这张表扎看点复杂,其实你要认真看并且领悟了,就可以很灵活的设置你需要的权限了。
4.
潜规则
以下几条我个人把它叫做潜规则,在设置用户权限的时候,必须要熟知它们,否则就会为带来困惑
A、
允许和拒绝权限,拒绝永远优先拒绝。
当给一个用户分配权限,如读权限分别被设置为读允许和读拒绝,那么这个用户最后的权限就是无法读取。所以拒绝权限一定要慎用。
B、
默认继承规则
子文件夹默认继承上级文件夹的权限,文件权限默认继承文件夹的权限。微软这样做的好处是免于重复的设置。但坏处是,如果子文件夹和上级文件夹的权限不同,那么就要删除这个继承规则
C、
不设置则隐式拒绝
如果对用户不设置某个权限(不勾选)那么这个用户就没有这个权限。
D、
多重权限的效果
比如一个用户分别属于两个组,现在对这两个组访问某文件夹有不同的权限。一个组可读,一个组可写。那么这个用户最后的权限是两个组的“逻辑或”关系,结果就是用户对这个文件夹即可读也可以写。还是画图直观一些,如下图
7.28
(图
7.28
)
如果一个用户的两个组有一个有拒绝权限,结果是“逻辑非或”关系比如一个组可读,一个组禁止写。那么这个用户最后的权限就是不可写,可读。如下图
7.29
(图
7.29
)
似乎看图是很容易理解的,但是我们有时候在实际工作中不知道用户到底有什么权限,能更直观的看出来吗?其实是可以的,方法如下图7.30
(图
7.30
)
右键共享文件夹属性
-“
安全
”
选项卡
-“
高级“按钮
-“
有效权限
“
选项卡,输入我们需要查询的用户名,就可以看到了。
注:这里看到的某用户累积后的
NFTS
有效权限,因为前文已说,通过网络访问共享文件夹还需要共享权限,由于共享权限设置比较简单,所以很容易看出。
本文转自 z00w00 51CTO博客,原文链接:http://blog.51cto.com/z00w00/1081734,如需转载请自行联系原作者
