Windows 2000中的NTFS使用權限設定

WIN2000中添加了一個與WIN98及以前的WINDOWS版本不同的一個特性，那就是NTFS許可權，由於有了這個特性，那麼在WIN2000中就可以實現檔案夾及檔案層級的安全控制，這不同於WIN98中的帳號和密碼，在WIN98中，只要知道了帳號和密碼，那麼就可以對電腦完全控制，而無法實現對某個帳戶只允許讀取某個檔案夾或者某個檔案的功能。而在WIN2000中，完全可以完美的實現這一點。OK,Let's go！

首先，先說一下要實現該功能的前提條件，那就是你的分區必須是NTFS分區，如果是FAT或者FAT32分區的話，那麼是無法實現該功能的，其實如果你的電腦上只有一個WIN2000作業系統的話，或者說只要你的機子上沒有裝WIN98及WIN98以前的系統的話，那麼用NTFS分區是一個非常好的選擇，這將大大提高你的系統的穩定性和安全性。如果你的分區是FAT32分區，那麼可以通過這條命令來把他轉成NTFS分區：

convert x: /fs:ntfs

其中的x可以用實際的盤符替換。不過要注意的一點是，WIN98是無法識別NTFS格式的分區的，也就是說如果在WIN98的分區使用NTFS格式，那麼WIN98將無法使用。而且該命令是無法復原的，也就是說該命令只能將FAT32轉換成NTFS格式，而無法將NTFS格式轉換成FAT32格式，如果要轉換回來的話，那麼要用PQ等軟體才能實現。

好了，現在言歸正傳，使用了NTFS分區以後，你必須為需要訪問一個資源的每一個使用者帳號授予NTFS許可權，使用者必須獲得明確的授權才能訪問經過設定的資源。如果沒有許可權，那麼它將被拒絕訪問該資源。打個比方：假設有一個檔案，我對他進行NTFS使用權限設定，我設定成只有我自己和A使用者才能訪問，那麼除了我和A以外，其他任何帳戶登陸都將無法使用該檔案，WIN2000會給出“沒有適當的許可權讀取”等字樣的提示。這就實現了該檔案的安全性，而且該安全性無論是在電腦上還是在網路上都有效，也就是說即使通過網路連接到該電腦，也只有我和A使用者可以使用該檔案，其他人也是無法使用的，雖然該檔案被共用，但是其他人只能看到有這個檔案，但是卻不能讀取，呵呵，有點看得見，吃不著的意思吧？

在WIN2000中有個叫做Access Control List（ACL，存取控制清單）的東西，裡麵包含了可以訪問該資源的使用者的帳戶，組和電腦。當一個使用者訪問該資源時，那麼必須在ACL中有它的帳號，那麼WIN2000才允許該使用者訪問該資源，否則拒絕

這裡要說明的一點是，和我們想象的不一樣，WIN2000不是根據使用者名稱是否相同來識別使用者的，每一個帳號在建立的時候都有一個Security ID（SID,安全性識別碼），WIN2000是根據這個SID是否相同來識別使用者的，如果SID不一樣，就算使用者名稱等其它設定一模一樣，WIN2000也會認為是不一樣的兩個帳號，這就像我們領獎的時候，只認你的身份證是否符合，而不管你的名字是否相同是一個道理的，而該SID是WIN2000在建立該帳號的時候隨機給的，所以說當刪除了一個帳號後，再次重建立立一個一模一樣的帳號，其SID和原來的那個是不一樣，那麼他的NTFS許可權就必須重新設定。

現在說一下NTFS許可權的實際應用。用滑鼠右鍵點擊你想要設定許可權的檔案或者檔案夾，選屬性－＞安全，這時你可以看到允許使用該檔案的帳號或者組，預設是都有Everyone組的，該組表示所有的使用者，下面部分就是可以為該組或者帳號設定的許可權。如果Everyone的使用權限設定為完全控制，那麼意味著所有的使用者都可以隨意操作該檔案，包括讀取，修改，刪除等等。這也是WIN2000預設的許可權。你還可以添加帳號，為帳號設定許可權，這個只要你自己操作一下就知道怎麼操作了，現在我只是舉個例子來說明一下：

假設有一個檔案叫做FILE，我要設定為只有USER1，USER2和USER3這三個使用者可以使用該檔案，但是USER1使用者可以隨意操作該檔案，USER2使用者只能讀取該檔案，而不能進行如修改等等的其他動作，USER3可以讀取，可以寫入，但是不能刪除該檔案，我說明一下具體的操作方法。

１、右鍵點擊FILE，選屬性－＞安全

２、將下面的“允許將來自父系的可繼承許可權傳播給該對象”前面的勾去掉。他會彈出一個對話方塊，選刪除。也就是說把上面的Everyone等所有的帳號刪除。

３、點添加，彈出一個對話方塊，選中USER1，添加，確定。

４、然後選中USER1，在“完全控制”後面的“允許”下面打上勾。

５、依照前面的方法添加USER2。

６、選中USER2，在“讀取”後面的“允許”中打勾，其他的勾全部去掉。

７、添加USER3。

８、選中USER3，在“修改”後面的“允許”中打勾，確認“完全控制”的勾去掉。

９、選“進階”，選中USER3，點“查看/編輯”。把裡面的“刪除”後面“允許”的勾去掉。

１０、搞定！！！ ^-^

這時，用USER1登陸，那麼你可以完全控制該檔案

用USER2登陸，可以開啟該檔案，當儲存的時候會出現“不能建立FILE，請確認路徑和檔案名稱是否正確”的提示框。這說明現在USER2無法儲存該檔案。當然也無法進行其它操作，他只能讀取該檔案。

用USER3登陸，可以開啟該檔案，也可以儲存。當刪除該檔案的時候會出現“無法刪除FILE：拒絕訪問。源檔案可能正在使用”的提示框，說明無法刪除該檔案。

***** 提醒：在未完全搞清楚許可權的用法之前，最好隨便建立一個沒有用的檔案，然後再進行實驗，這樣比較安全。否則搞得重要檔案被刪除了可不關我的事情。

至於給檔案夾設定安全，步驟和上面差不多，不過檔案夾會多了一個繼承，也就是說可以選擇使用權限設定是僅僅對該檔案夾進行起作用，還是對該檔案夾和該檔案夾的子檔案夾及檔案起作用。只要將“重設所有子物件的許可權並允許傳播可繼承許可權”前面打勾就可以了。

重點及痛點

多重NTFS許可權問題一直是很多人搞不清楚的，現在作介紹並舉例說明。

******注意：以下說明的是多重NTFS許可權之間的問題，非NTFS許可權和共用許可權之間的多重。　

１、許可權的積累

使用者對資源的有效許可權是分配給該個人使用者帳戶和使用者所屬的組的所有許可權的總和。如果使用者對檔案具有“讀取”許可權，該使用者所屬的組又對該檔案具有“寫入”的許可權，那麼該使用者就對該檔案同時具有“讀取”和“寫入”的許可權，舉例如下：