NTFS 权限规则
NFTS 权限有一些隐含规则,用户最终有效权限受这些规则的影响,了解并运用这些规则,才能
灵活的分配权限,符合实际需求。
1 权限的累加
如果在某个文件或文件夹的访问控制列表中为某个用户分配了操作权限,同时为该哟用户所在
的组分配了其他权限,或者没有为用于分配任何权限,但是为用户所在的多个组分配了不同权限,
那么该用户的最终权限会是什么呢?
用户对资源的有效权限是分配给用户的权限和用户所属各个组的权限的累加。
- 如下图所示,用户 cs 是 Administrator 组的成员,则用户cs 的权限是什么?
cs 的有效权限是“写入数据”及“读取和执行”分类中的“执行文件”、“读取数据”、“读取
属性”、“读取扩展属性”和“读取权限”(因为本例中的资源是一个文件,所以忽略全部对文件夹有
效的权限),共 6 个权限。
如下图所示,cs 是 Administrator 组成员,那么 cs 的有效权限是什么
cs的有效权限是“完全控制”,即拥有 administrator 和本身的所有权限。
拒绝权限
如果在某个文件或文件夹的访问控制列表中为某个用户分配的操作权限与该用户所属的组分配
权限发生矛盾,那么也就是一边允许某个操作,另一边则拒绝这个操作,或者没有为用户分配任何
权限,但是为用户所属的多个组的权限发生矛盾,这种情况下用户的有效权限是什么呢?
在访问控制列表中,拒绝权限的优先级最高。
如下图所示,用户 cs属于 Users 组,则用户cs 对文件的有效执行权限是什么?
由于 cs用户的权限条目类型为“拒绝”读取权限,所以 cs用户的有效权限为“读取和执
行”分类中的“遍历文件夹/执行文件”,因为“读取”分类中的其他权限都被拒绝了。
3、继承权限
如果在某个文件夹的访问控制列表中为某个用户分配操作权限,而没有为这个文件夹里的文件
或子文件夹中为该用户分配权限,那么该用户对文件夹中的文件或文件夹的有效权限是什么?
文件夹的访问控制列表是会被其中的子文件夹和文件继承。
如下图所示,在 newFile文件夹的访问控制列表中为 cs用户分配了“完全控制”权限,则在 newFile
文件夹中的文件“新建文本文档”的访问控制列表中也可以看到用户 cs对此文件的“完全控制”
权限,该权限继承于 newFile文件夹。
可以为“新建文本文档”的访问控制列表中删除继承的权限,右击文件,在弹出的对话框中单
击“属性”,然后选择“安全”选项卡下的“高级”按钮,然后单击左下角的“禁用继承”按钮,
对话框中的“此对象”指的是“新建文本文档”这个文件,“父对象”指的是“newFile”这个文件
夹。
单击“从此对象中删除所有已继承的权限”即可将继承的权限删除,单击“将已继承的权限转
换为此对象的显式权限”选项则保留继承的权限,但是可以编辑修改权限,而继承的权限无法编辑
修改。
如果“新建文件夹”中有很多文件和子文件夹,子文件夹中也有文件和子文件夹,需要为所有
的这些文件和文件夹设置相同的权限,则只需要在设置权限的最上级文件夹的访问控制列表中设置
权限即可,然后选择“使用可从此对象继承的权限项目替换所有子对象的权限项目”复选框,如下
图所示,单击“确定”或“应用”按钮,关闭所有弹出的对话框。
特别的权限
除了针对用户对文件或文件夹的操作进行控制之外,还需要针对用户对 ACL 的操作进行控制,
如果任何用户都可以更改 ACL 中的权限设置,那么分配权限就毫无意义了,所以在 ACL 中,还有一
些特别的权限,如下
-
读取权限
勾选此权限则表示允许当前用户或组读取此文件或文件夹的访问控制列表,即用户能够查看到
什么用户拥有某种权限;取消勾选此权限则表示不允许用户查看。
如下图所示,为用户没有该权限时,打开属性对话框中安全选项卡所显示的信息。 -
更改权限
允许此权限则表示允许该用户或组更改此文件或此文件夹的访问控制列表,即用户能够为其他
用户分配对该文件或文件夹的操作权限。 -
取得所有权
NTFS 文件系统中的每个文件或文件夹都有“所有者”,所有者可以随时更改其拥有的文件或文
件夹的权限。
文件夹或文件的“所有者”默认为创建该文件或文件夹的用户,允许此权限表示用户可以取得
文件或文件夹的所有权,成为文件或文件夹的所有者。Administrator 组的成员可以取得任何文件或文
件夹文件夹的所有权,而不必拥有“取得所有权”权限。
