Windows XP中设置NTFS权限基本策略和原则

   设置NTFS权限基本策略和原则

  在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:

  拒绝优于允许原则

  “拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。

  但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际操作中,“shyzhong”用户无法对这个资源进行“写入”操作。

  权限最小化原则

  Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。

  基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。

  权限继承性原则

  权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。

  累加原则

  这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。

  显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!

  注意:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。

  取消"Everyone"完全控制权限

  选择要取消权限的文件或文件夹,右键选择属性,在“安全”选项卡下的ACL中找到“Everyone”的ACE,选择编辑,将其“完全控制”权限前的勾去掉。

  复制和移动文件夹对权限的影响

  在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下:

  (1)复制资源时

  在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。

  (2)移动资源时

  在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。

  (3)非NTFS分区

  上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上,那么所有的权限均会自动全部丢失。

时间: 2024-11-01 12:44:36

Windows XP中设置NTFS权限基本策略和原则的相关文章

Windows 2000中的NTFS权限设置

WIN2000中添加了一个与WIN98及以前的WINDOWS版本不同的一个特性,那就是NTFS权限,由于有了这个特性,那么在WIN2000中就可以实现文件夹及文件级别的安全控制,这不同于WIN98中的帐号和密码,在WIN98中,只要知道了帐号和密码,那么就可以对计算机完全控制,而无法实现对某个帐户只允许读取某个文件夹或者某个文件的功能.而在WIN2000中,完全可以完美的实现这一点.OK,Let's go! 首先,先说一下要实现该功能的前提条件,那就是你的分区必须是NTFS分区,如果是FAT或者

打开XP中设置用户存取磁盘文件权限

  问:我在Windows XP中设置了用户存取磁盘文件的权限,但后来一时疏忽将该用户删除了,现在不能查看该用户名下被加密的文件夹内容.请问如何才能解决这个问题? 答:你可以尝试如下方法: 1.以Administrator身份登录系统,然后在文件夹选项内"View(查看)"标签中的"Advanced Settings(高级设置)"列表窗口下关闭"Use simple file sharing(使用简单文件共享)"复选框. 2.随后返回含有加密文件

Windows XP中的18个秘密武器_WindowsXP

Windows XP里有我们常用到的工具如磁盘清理程序等等,那么它们到底叫什么名字,又躲在硬盘的哪个地方呢?笔者这就把它们挖掘出来,以后大家再用这些工具的时候就不用一步一步地去找地方了,直接点击"开始→运行",再输入程序名就OK了. 磁盘清理大师──Cleanmgr 用来自动地释放出一部分硬盘空间,并会智能化地进行删除操作. 剪贴板查看器──Clipbrd Windows XP中的剪贴板查看器程序较原先Windows 9X/Me的旧版本多出了共享功能,通过设置权限允许其他网上用户将该剪

Windows XP中快速进入网络连接窗口

在Windows XP中,当我们需要查看网络属性或更改网络设置时,只需右键单击桌面上的"网上邻居"图标选择属性,即可进入"网络连接"窗口,而不必通过控制面板逐级浏览.而在Windows Vista中,情况有了些许改变,桌面"网络"图标的属性链接至"网络与共享中心"页面,而要进入"网络连接"界面,用户不得不进行附加的操作,即通过左侧任务列表中的"管理网络链接". 虽然这不是一个太大的问题,

如何在Windows XP中配置桌面主题

桌面主题是一组预定义的窗口元素,它们让您可以将计算机个性化,使之有别具一格的外观.主题会影响桌面的总体外观,包括背景.屏幕保护程序.图标.字体.颜色.窗口.鼠标指针和声音. 在 Windows XP 中,您可以使用 Windows 经典外观作为主题,可以切换桌面主题,或修改现有主题的元素以创建新的主题并使用您希望的外观来自定义桌面. 选择一个不同的桌面主题 若要选择一个不同的桌面主题,请按照下列步骤操作: 1. 单击开始,单击控制面板,单击"外观和主题",然后单击显示.或者,右键单击桌

在Windows XP中创建PPPoE连接

Windows XP 中包括了一个内置 Ethernet 上的 PPP (PPPoE) 客户程序.这通常是一个高速连接,需要使用电缆调制解调器或ADSL等硬件. 创建 PPPoE 客户机连接可以像安装任何其他拨号网络连接那样安装PPPoE 客户机.若要创建 PPPoE 客户机连接,请按照下列步骤操作:在控制面板中,双击"网络和 Internet 连接"(或双击网络连接并跳过步骤 2).单击网络连接,单击网络任务窗格中的"创建一个新的连接"以启动网络连接向导,然后单击

WINDOWS XP终极设置(呕心沥血版)第1/2页_应用技巧

 WINDOWS XP终极设置WINDOWS XP终极设置(呕心沥血版) 声明:以上资料均是从从互联网上搜集整理而来,本人未曾一一测试,所以在改动时要小心,做好备份,有备无患么,呵呵. 一.系统优化设置. 1.删除Windows强加的附件:  1) 用记事本NOTEPAD修改\winnt\inf\sysoc.inf,用查找/替换功能,在查找框中输入,hide(一个英文逗号紧跟hide),将"替换为"框设为空.并选全部替换,这样,就把所有的,hide都去掉了, 2) 存盘退出, 3)再运

在Winform程序中设置管理员权限及为用户组添加写入权限

原文:在Winform程序中设置管理员权限及为用户组添加写入权限 在我们一些Winform程序中,往往需要具有一些特殊的权限才能操作系统文件,我们可以设置运行程序具有管理员权限或者设置运行程序的目录具有写入的权限,如果是在操作系统里面,我们可以设置运行程序以管理员身份运行,或者设置Users用户组在运行目录中具有写入权限都可以解决问题,不过如果我们想通过C#代码进行自动的处理,那么应该如何实现呢? 1.系统设置管理员权限或者目录写入权限 如果我们需要让程序以管理员身份运行,那么可以通过设置快捷方

如何在Windows XP中对活动目录进行搜索

很多人可能会对Windows XP的一点感到奇怪:在Windows 2000 Professional中能够对活动目录进行搜 索,而在Windows XP中这个功能却被去掉了.实际上,虽然用户无法通过Windows XP提供的图形用户界面 使用这个活动目录搜索的功能,但是它的确是存在的. 这里有一个小技巧可以令用户通过Windows来搜索活动目录,那就是利用一个动态链接库(DLL)文件 . 应用程序通过使用动态链接库文件来避免重复编码.举例来说,几乎在每个程序的"文件 "菜单里面都有一