Windows XP中设置NTFS权限基本策略和原则

设置NTFS权限基本策略和原则

在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:

拒绝优于允许原则

“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。

但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际操作中,“shyzhong”用户无法对这个资源进行“写入”操作。

权限最小化原则

Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。

基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。

权限继承性原则

权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。

累加原则

这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。

显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!

注意:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。

取消"Everyone"完全控制权限

选择要取消权限的文件或文件夹,右键选择属性,在“安全”选项卡下的ACL中找到“Everyone”的ACE,选择编辑,将其“完全控制”权限前的勾去掉。

复制和移动文件夹对权限的影响

在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下:

(1)复制资源时

在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。

(2)移动资源时

在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。

(3)非NTFS分区

上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上,那么所有的权限均会自动全部丢失。

(0)

相关推荐

  • Windows XP中设置VPN的方法

    Windows XP中设置VPN的方法: 点击桌面左下角"开始",再点击"控制面板" 点击"网络和 Internet 连接" 点击" ...

  • Windows XP中设置打印机共享的步骤

    打印机可以说是现代办公中用得最为普及的设备了,特别是企业办公室中用得最为广泛,但不可能每个人都配置一台打印机,这就必须设置打印机共享,然而因为在企业局域网中的电脑安装的系统各不相同,这对设置打印机共享 ...

  • 在Windows XP中设置鼠标的方法

    鼠标按键 “鼠标键配置”选中“切换主要和次要的按钮”,使左右键功能互换,适合于习惯左手使用的用户,或者你主要使用鼠标的“选定、拖曳”功能。 双击速度移动“速度”一栏中滑块调节双击速度,然后双击右边的 ...

  • XP中设置用户存取磁盘文件权限的打开方法

    问:我在Windows XP中设置了用户存取磁盘文件的权限,但后来一时疏忽将该用户删除了,现在不能查看该用户名下被加密的文件夹内容。请问如何才能解决这个问题? 答:你可以尝试如下方法: 1.以Admi ...

  • 打开XP中设置用户存取磁盘文件权限

    问:我在Windows XP中设置了用户存取磁盘文件的权限,但后来一时疏忽将该用户删除了,现在不能查看该用户名下被加密的文件夹内容。请问如何才能解决这个问题? 答:你可以尝试如下方法: 1.以Admi ...

  • Windows XP用户帐户权限设置详解

    标准用户 该用户可修改大部分计算机设制,安装不修改操作系统文件且不需要安装系统服务的应用程序,创建和管理本地用户帐户和组,启动或停止默认情况下不启动的服务,但不可访问NTFS分区上属于其他用户的私有文 ...

  • Windows XP中使用组策略结果 GPResult.exe 的方法

    Windows XP中如何使用组策略结果(GPResult.exe) 对于管理员而言,组策略结果(GPResult.exe)命令行工具可用于面向特定用户或计算机验证各种策略设置的有效性。管理员可在自身 ...

  • 在Windows XP中如何启动组策略

    组策略是管理员为用户和计算机定义并控制程序.网络资源.系统.windows组建的主要工具.组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件.它能通过修改注册表对系统的各种特殊属性进行设置,从 ...

  • Windows XP中网桥设置方法

    在如今网络技术,网络连接发展的今天,在Windows XP中,已经集成了连接不同网段的“网桥”功能,大大方便了中小型局域网之间的互联与拓展。下面是在组网建设中获得网桥的设置的方法,写出来与大家分享。 ...