系統(tǒng)管理員必學(xué):剖析NTFS默認(rèn)權(quán)限
在本文中,我將針對Windows Vista Business Edition的系統(tǒng)權(quán)限進(jìn)行講解。其它不同版本的Windows系統(tǒng),比如Windows NT, Windows 2000, 2003, XP,以及2008等,根據(jù)版本不同會有些許差異。而默認(rèn)的應(yīng)用范圍則完全不同,比如在Windows 2000中,Everyone組的默認(rèn)NTFS權(quán)限對于C:來說是Full Control的,而這種權(quán)限被整個等級繼承,這種現(xiàn)象對于系統(tǒng)安全來說極為不利。其它版本的Windows在這方面進(jìn)行了改善,避免了類似安全漏洞。
對于大多數(shù)應(yīng)用來說, NTFS 權(quán)限種類足夠用了。這些默認(rèn)的權(quán)限包括:
1. 完全控制
2. 修改
3. 讀取和執(zhí)行
4. 文件夾內(nèi)容列表
5. 讀取
6. 寫入
一般來說,如果某個用戶擁有了 Modify(修改)權(quán)限,他就擁有了修改相關(guān)文件和文件夾的權(quán)限。又比如擁有Read and Execute(讀取和執(zhí)行)權(quán)限,那么就同時擁有了讀取和文件夾內(nèi)容列表的權(quán)限。而Write (寫入)權(quán)限則有些特別,因為有時候我們希望用戶可以對文件或者文件夾進(jìn)行寫入操作,但是卻不希望他們讀取其中的內(nèi)容。另一個具有極大誘惑力的權(quán)限就是 Full Control(完全控制)。 Full Control權(quán)限不僅可以讓用戶具有編輯文件和文件夾的功能,還可以控制修改文件和文件夾的訪問屬性。
這些默認(rèn)權(quán)限其實是由一些獨立的權(quán)限組合成的,具體組合方式如表A所示:.
表A
|
完全控制 |
修改 |
讀取和執(zhí)行 |
列表文件夾 (僅文件夾) |
讀取 |
寫入 |
完全控制 |
P |
|
|
|
|
|
遍歷文件夾/執(zhí)行文件 |
P |
P |
P |
P |
|
|
列表文件夾/讀取數(shù)據(jù) |
P |
P |
P |
P |
P |
|
讀取屬性 |
P |
P |
P |
P |
P |
|
讀取擴(kuò)展信息 |
P |
P |
P |
P |
P |
|
創(chuàng)建文件/寫入數(shù)據(jù) |
P |
P |
|
|
|
P |
創(chuàng)建文件夾/附加數(shù)據(jù) |
P |
P |
|
|
|
P |
寫入屬性 |
P |
P |
|
|
|
P |
寫入擴(kuò)展屬性 |
P |
P |
|
|
|
P |
刪除子文件夾和文件 |
P |
|
|
|
|
|
刪除 |
P |
P |
|
|
|
|
讀取權(quán)限 |
P |
P |
P |
P |
P |
P |
更改權(quán)限 |
P |
|
|
|
|
|
取得所有權(quán) |
P |
|
|
|
|
|
從中我們可以注意到,讀取和執(zhí)行權(quán)限,列表文件夾權(quán)限,以及讀取權(quán)限的組成非常相似,但是它們的應(yīng)用范圍卻完全不同。
對于不同的權(quán)限需要留意的另一點是它們的應(yīng)用范圍。默認(rèn)的權(quán)限屬性是自上而下進(jìn)行繼承的。
而我們可以通過修改設(shè)置來修改某個權(quán)限的應(yīng)用范圍,這些范圍包括:
僅當(dāng)前文件夾
當(dāng)前文件夾,子文件夾,以及文件
當(dāng)前文件夾,子文件夾
當(dāng)前文件夾和文件
僅子文件夾和文件
僅子文件夾
僅文件
默認(rèn)狀態(tài)的權(quán)限應(yīng)用范圍是當(dāng)前文件夾,子文件夾,以及文件 ,也就是繼承范圍。
當(dāng)然,根據(jù)環(huán)境要求,我們可以設(shè)定權(quán)限的應(yīng)用范圍。比如控制訪問C:Windows目錄的權(quán)限。
本文的目的是幫助大家了解NTFS文件權(quán)限的實質(zhì)以及它的默認(rèn)屬性。如果還有任何疑問,歡迎在文章評論中提出。
【編輯推薦】