Windows权限详解
windows中,权限指的是不同账户对文件,文件夹,注册表等的访问能力。在windows中,为不同的账户设置权限很重要,可以防止重要文件被其他人所修改,使系统崩溃。
操作方法
- 01
1.与Windows权限密切相关的3个概念是:安全标识符、访问控制列表和安全主体 2.权限管理的4项基本原则 在Windows中,针对权限的管理有4项基本原则,即拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。 3.文件与文件夹权限 文件与文件夹依据是否被共享到网络上,其权限可分为NTFS权限与共享权限,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。 (1)NTFS权限 只要是在NTFS分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32分区上的文件与文件夹无效。 NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。 标准访问权限将一些常用的系统权限选项比较笼统地组成7组权限,分别是:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别的权限。 在大多数的情况下,标准访问权限是可以满足管理需要的,但对于权限管理要求严格的环境,往往就不能满足要求了,比如只想赋予某用户有建立文件夹的权限,而不赋予该用户建立文件的权限;又比如只想赋予某用户只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等,此时,就可以使用特别访问权限了,特别访问权限不再使用简单的权限分组,可以实现更具体、全面、精确的权限设置。
- 02
① 设置标准访问权限 以Windows 2003系统的NTFS分区(C:)中名为Inetpub的文件夹为例,可以按照如下方法进行操作。 右键单击Inetpub文件夹,在右键菜单中选择【共享与安全】,显示【Inetpub属性】对话框,如图4-49所示,选择【安全】选项卡,针对资源进行的NTFS权限设置就是通过这个选项卡来实现的,此时应首先在【组或用户名称】列表中选择需要赋予权限的用户名或组,然后在下方的【权限】列表中设置该用户可以拥有的权限。
- 03
② 设置特别访问权限 第1步:在图4-49中,单击【添加】按钮,弹出【选择用户或组】对话框,单击【高级】按钮,单击【立即查找】按钮,如图4-51所示,选择ztguang用户,单击【确定】按钮后再单击【确定】按钮,返回【Inetpub属性】对话框,如图4-52所示。 第2步:在图4-52中,单击【高级】按钮,弹出【Inetpub的高级安全设置】对话框,如图4-53所示,去掉【允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目】前面的对勾,这样可以断开当前权限设置与父级权限设置之间的继承关系。在随即弹出的【安全】对话框(图4-54)中单击【复制】或【删除】按钮(单击【复制】按钮可以首先复制继承的父级权限设置,然后再断开继承关系),返回【Inetpub的高级安全设置】对话框,然后单击【应用】按钮。 第3步:在图4-53中,选中ztguang用户(读者要根据具体情况选择用户)并单击【编辑】按钮,弹出【Inetpub的权限项目】对话框,如图4-55所示,首先单击【全部清除】按钮,然后在【权限】列表中选择【遍历文件夹/运行文件】、【列出文件夹/读取数据】、【读取属性】、【创建文件/写入数据】、【创建文件夹/附加数据】和【读取权限】,然后单击【确定】按钮完成设置。 在经过上述设置后,ztguang用户在对Inetpub文件夹进行删除操作时,就会弹出提示框警告操作不能成功。显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。
- 04
(2)共享权限 只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中“较严格的权限”为准(拒绝优于允许原则)。 比如某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户对共享资源只具有读取权限了。 设置共享权限的方法是右键单击Inetpub文件夹,在右键菜单中选择【共享与安全】,在弹出的【Inetpub属性】对话框(图4-56)中选择【共享】选项卡,选中【共享此文件夹】,此时将使用默认的权限设置(即Everyone用户拥有读取权限)。如果想对共享权限进行具体设置,那么单击【权限】按钮,弹出的【Inetpub的权限】对话框,如图4-57所示,可以看到权限列表中有完全控制、更改和读取,这3个权限的含义见表4-8。
- 05
在图4-57中,可以单击【添加】按钮将需要设置权限的用户或用户组添加进来。在默认情况下,当添加新的组或用户时,该组或用户将具备读取权限,可以根据实际情况在下方的权限列表中进行复选框的选择与清空。 4.复制或移动资源时权限的变化 5.内置安全主体与权限 在Windows XP中,有一群不为人知的用户,他们的作用是可以让我们指派权限到某种“状态”的用户,如匿名用户、网络用户等,而不是某个特定的用户或组(如ztg这类用户)。这样一来,对用户权限的管理就更加容易精确控制了。这群用户在Windows XP中,统一称为内置安全主体。 下面介绍为Inetpub文件夹设置内置安全主体中的“Network”类用户权限的方法。 第1步:右键单击Inetpub文件夹,在右键菜单中选择【共享与安全】,显示【Inetpub属性】对话框,如图4-52所示,单击【添加】按钮,在弹出的【选择用户或组】对话框(图4-58)中单击【对象类型】按钮。弹出【对象类型】对话框,如图4-59所示。 第2步:在图4-59中,只保留列表中的【内置安全主体】,然后单击【确定】按钮。返回【选择用户或组】对话框(图4-58),单击【高级】按钮后接着单击【立即查找】按钮,如图4-60所示,图中列出了系统中的所有内置安全主体。
- 06
第3步:在图4-60中,选择“Network”类用户,然后单击【确定】按钮。返回【Inetpub属性】对话框(图4-52),可以按照前面讲述的内容为“Network”类用户指派对于Inetpub文件夹的NTFS权限或者共享权限。 图4-60中主要的安全主体的作用说明见表4-9