|
Windows XP中关于权限的问题有四个基本原则在进行NTFS权限设置的时候就需要注意这些基本原则对于Windows XP的各种权限设置我们还是需要格外的重视 一 设置NTFS权限基本策略和原则 在Windows XP中针对权限的管理有四项基本原则即拒绝优于允许原则权限最小化原则累加原则和权限继承性原则这四项基本原则对于权限的设置来说将会起到非常重要的作用下面就来了解一下 拒绝优于允许原则 拒绝优于允许原则是一条非常重要且基础性的原则它可以非常完美地处理好因用户在用户组的归属方面引起的权限纠纷例 如shyzhong这个用户既属于shyzhongs用户组也属于xhxs用户组当我们对xhxs组中某个资源进行写入权限的 集中分配(即针对用户组进行)时这个时候该组中的shyzhong账户将自动拥有写入的权限 但令人奇怪的是shyzhong账户明明拥有对这个资源的写入权限为什么实际操作中却无法执行呢?原来在shyzhongs组中 同样也对shyzhong用户进行了针对这个资源的权限设置但设置的权限是拒绝写入基于拒绝优于允许的原则shyzhong在 shyzhongs组中被 拒绝写入的权限将优先于xhxs组中被赋予的允许写入权限被执行因此在实际操作中shyzhong用户无法对这个资源进行写入 操作 权限最小化原则 Windows XP将保持用户最小的权限作为一个基本原则进行执行这一点是非常有必要的这条原则可以确保资源得到最大的安全保障这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制 基于这条原则在实际的权限赋予操作中我们就必须为资源明确赋予允许或拒绝操作的权限例如系统中新建的受限用户shyzhong在默认状态 下对DOC目录是没有任何权限的现在需要为这个用户赋予对DOC目录有读取的权限那么就必须在DOC目录的权限列表中为 shyzhong用户添加读取权限 权限继承性原则 权限继承性原则可以让资源的权限设置变得更加简单假设现在有个DOC目录在这个目录中有DOCDOCDOC等 子目录现在需要对DOC目录及其下的子目录均设置shyzhong用户有写入权限因为有继承性原则所以只需对DOC目录设置 shyzhong用户有写入权限其下的所有子目录将自动继承这个权限的设置 累加原则 这个原则比较好理解假设现在zhong用户既属于A用户组也属于B用户组它在A用户组的权限是读取在B用户组中的权限是写入那么根据累加原则zhong用户的实际权限将会是读取+写入两种 显然拒绝优于允许原则是用于解决权限设置上的沖突问题的权限最小化原则是用于保障资源安全的权限继承性原则是用于自动化执行权限设置的而累加原则则是让权限的设置更加灵活多变几个原则各有所用缺少哪一项都会给权限的设置带来很多麻烦! 注意在Windows XP中Administrators组的全部成员都拥有取得所有者身份(Take Ownership)的权力也就是管理员组的成员可以从其他用户手中夺取其身份的权力例如受限用户shyzhong建立了一个DOC目录并 只赋予自己拥有读取权力这看似周到的权限设置实际上Administrators组的全部成员将可以通过夺取所有权等方法获得这个权限 文件的权限要凌驾于文件夹的权限 貌似看文档有这么一条不知道是不是文档版本过旧导致的对单独文件权限设置会优先被系统临幸貌似 二 权限其它 取消Everyone完全控制权限 选择要取消权限的文件或文件夹右键选择属性在安全选项卡下的ACL中找到Everyone的ACE选择编辑将其完全控制权限前的勾去掉 复制和移动文件夹对权限的影响 在权限的应用中不可避免地会遇到设置了权限后的资源需要复制或移动的情况那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下 ()复制资源时 在复制资源时原资源的权限不会发生变化而新生成的资源将继承其目标位置父级资源的权限 ()移动资源时 在移动资源时一般会遇到两种情况一是如果资源的移动发生在同一驱动器内那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中 继承的权限)二是如果资源的移动发生在不同的驱动器之间那么不仅对象本身的权限会丢失而且原先从父级资源中继承的权限也会被从目标位置的父级资源继 承的权限所替代实际上移动操作就是首先进行资源的复制然后从原有位置删除资源的操作 ()非NTFS分区 上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的如果将资源复制或移动到非NTFS分区(如FAT/FAT分区)上那么所有的权限均会自动全部丢失 |
