Windows XP中設定NTFS許可權基本策略和原則

 　　設定NTFS許可權基本策略和原則

　　在Windows XP中，針對許可權的管理有四項基本原則，即：拒絕優於允許原則、許可權最小化原則、累加原則和許可權繼承性原則。這四項基本原則對於許可權的設定來說，將會起到非常重要的作用，下面就來瞭解一下：

　　拒絕優於允許原則

　　“拒絕優於允許”原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因使用者在使用者組的歸屬方面引起的許可權“糾紛”，例如，“shyzhong”這個使用者既屬於“shyzhongs”使用者組，也屬於“xhxs”使用者組，當我們對“xhxs”組中某個資源進行“寫入”許可權的集中分配(即針對使用者組進行)時，這個時候該組中的“shyzhong”賬戶將自動擁有“寫入”的許可權。

　　但令人奇怪的是，“shyzhong”賬戶明明擁有對這個資源的“寫入”許可權，為什麼實際操作中卻無法執行呢?原來，在“shyzhongs”組中同樣也對“shyzhong”使用者進行了針對這個資源的使用權限設定，但設定的許可權是“拒絕寫入”。基於“拒絕優於允許”的原則，“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的許可權將優先於“xhxs”組中被賦予的允許“寫入”許可權被執行。因此，在實際操作中，“shyzhong”使用者無法對這個資源進行“寫入”操作。

　　許可權最小化原則

　　Windows XP將“保持使用者最小的許可權”作為一個基本原則進行執行，這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓使用者不能訪問或不必要訪問的資源得到有效許可權賦予限制。

　　基於這條原則，在實際的許可權賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的許可權。例如系統中建立的受限使用者“shyzhong”在預設狀態下對“DOC”目錄是沒有任何許可權的，現在需要為這個使用者賦予對“DOC”目錄有“讀取”的許可權，那麼就必須在“DOC”目錄的許可權列表中為“shyzhong”使用者添加“讀取”許可權。

　　許可權繼承性原則

　　許可權繼承性原則可以讓資源的使用權限設定變得更加簡單。假設現在有個“DOC”目錄，在這個目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄，現在需要對DOC目錄及其下的子目錄均設定“shyzhong”使用者有“寫入”許可權。因為有繼承性原則，所以只需對“DOC”目錄設定“shyzhong”使用者有“寫入”許可權，其下的所有子目錄將自動繼承這個許可權的設定。

　　累加原則

　　這個原則比較好理解，假設現在“zhong”使用者既屬於“A”使用者組，也屬於“B”使用者組，它在A使用者組的許可權是“讀取”，在“B”使用者組中的許可權是“寫入”，那麼根據累加原則，“zhong”使用者的實際許可權將會是“讀取+寫入”兩種。

　　顯然，“拒絕優於允許”原則是用於解決使用權限設定上的衝突問題的;“許可權最小化”原則是用於保障資源安全的;“許可權繼承性”原則是用於“自動化”執行使用權限設定的;而“累加原則”則是讓許可權的設定更加靈活多變。幾個原則各有所用，缺少哪一項都會給許可權的設定帶來很多麻煩!

　　注意：在Windows XP中，“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權力，也就是Administrator 群組的成員可以從其他使用者手中“奪取”其身份的權力，例如受限使用者“shyzhong”建立了一個DOC目錄，並只賦予自己擁有讀取權力，這看似周到的使用權限設定，實際上，“Administrators”組的全部成員將可以通過“奪取所有權”等方法獲得這個許可權。

　　取消"Everyone"完全控制許可權

　　選擇要取消許可權的檔案或檔案夾，右鍵選擇屬性，在“安全”選項卡下的ACL中找到“Everyone”的ACE，選擇編輯，將其“完全控制”許可權前的勾去掉。

　　複製和移動檔案夾對許可權的影響

　　在許可權的應用中，不可避免地會遇到設定了許可權後的資源需要複製或移動的情況，那麼這個時候資源相應的許可權會發生怎樣的變化呢?下面來瞭解一下：

　　(1)複製資源時

　　在複製資源時，原資源的許可權不會發生變化，而新產生的資源，將繼承其目標位置父級資源的許可權。

　　(2)移動資源時

　　在移動資源時，一般會遇到兩種情況，一是如果資源的移動發生在同一磁碟機內，那麼對象保留本身原有的許可權不變(包括資源本身許可權及原先從父級資源中繼承的許可權);二是如果資源的移動發生在不同的磁碟機之間，那麼不僅對象本身的許可權會丟失，而且原先從父級資源中繼承的許可權也會被從目標位置的父級資源繼承的許可權所替代。實際上，移動操作就是首先進行資源的複製，然後從原有位置刪除資源的操作。

　　(3)非NTFS分區

　　上述複製或移動資源時產生的許可權變化只是針對NTFS分區上而言的，如果將資源複製或移動到非NTFS分區(如FAT16/FAT32分區)上，那麼所有的許可權均會自動全部丟失。