只有系统管理员或者是具有“完全控制”权限的用户才可以设置文件或文件夹的NTFS权限。在设置权限时要掌握其应用规则,下面结合实例来分别说明。
假设系统中存在userA和userB两个用户以及group1和group2两个用户组,userA和userB同时都属于是group1和group2用户组的成员。现在来设置它们对文件夹test以及文件夹中的两个文件test1.txt和test2.txt的NTFS权限。
1. 权限的组合
用户对资源的有效权限是分配给用户账户的权限和用户所属各个组的累加权限。
如果用户对文件具有读取权限,该用户所属的组又对该文件具有写入的权限,那么,该用户就对该文件同时具有读取和写入的权限。
设置userA对文件test1.txt的权限为读取权限,group1对文件test1.txt的权限为写入权限,此时用户userA的有效权限就是读取和写入,而用户userB的权限为读取。
我们可以针对一个文件或文件夹来查看某个用户或用户组对它所具有的有效权限。在要查看的对象的“安全”选项卡中点击“高级”按钮,然后点击“有效权限”标签,输入要查询的用户或组,即可看到该用户或组对这个对象的有效权限
下面继续针对文件test2.txt进行设置:group1组具有读取权限,group2组具有写入权限。则用户userA和userB都对该文件具有读取和写入权限。
2. 权限的拒绝
拒绝权限要优先于其他所有权限,即“拒绝优先”。
有时某些文件可能会要求拒绝某些用户的访问,但是由于用户会自动累加其所属的多个组的权限,就会造成虽然没有直接为用户分配权限,但由于组的关系,用户还是会访问文件。怎么解决呢?这就需要设置拒绝权限。
如针对文件test2.txt,用户userA从组gourp1和组group2中自动获得了读取加写入的权限。如果希望userA对该文件只能读取而不能写入,如何实现?这就需要给userA设置拒绝写入权限
如果有大量的用户需要拒绝,可以建立一个拒绝组,然后将需要拒绝的用户加入此组,再给这个组设置拒绝相关的权限即可。
如果一个用户账户明确设置了访问权限,但是被拒绝访问,这时就需要检查其所在的组是否被设置了拒绝的权限。
3. 权限的继承
分配给文件夹的权限可以自动被其中的子文件夹和文件继承。
如userA对test文件夹拥有“读取+写入”权限,那么他对test文件夹中的子文件夹和文件也自动具有“读取+写入”权限。但这些从上一级继承下来的权限,显示为灰色,不能直接修改,只能在此基础上添加其他的权限。
如果需要对文件设置单独的权限,而不需要从上一级继承权限,这时可以将继承权限删除,然后重新设置NTFS权限。取消权限继承的方法是:在“安全”对话框中点击右下角的“高级”按钮,然后在“高级安全设置”的“权限”选项卡中清除“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”选项,
清除之后系统会提示以前从上一级继承下来的权限是保留还是全部删除。如果保留权限就单击“复制”按钮,如果不保留,就可以单击“删除”按钮,
4. 子文件夹/文件权限优先于父文件夹权限
对于文件夹中的子文件夹或文件设置的权限,要优先于从父文件夹继承而来的权限。
比如,我们希望userA对test文件夹以及文件夹内的其它所有文件和子文件夹都具有读取和写入权限,但唯独对test1.txt文件只具有读取权限,该如何设置?
可以先对test文件夹设置userA具有读取和写入权限,然后再针对test1.txt文件给userA设置拒绝写入权限,这样便可以满足要求了。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1339892
