NTFS权限探讨
【引子】
NTFS权限是做为一个Windows管理员必备的知识,许多经验丰富的管理员都可以很熟悉地对文件、文件夹、注册表项等进行安全性的权限设置,包括彻底控制、修改、只读等。而谈论NTFS权限这个话题也算是老生常谈了,可是对于一些“新手”,仍是会有一些不是很是清楚的地方,本文就针对NTFS权限的重点要素进行探讨,以给你们对于NTFS权限的内容有一个初步的了解。
【正文】html
1、 用户和组
权限设置必然涉及的三要素为访问者、权限、被访问的对象,那么咱们首先来看一下“访问者”这一要素。“访问者”其实就是咱们常说的“用户和组”,用户是授予权限的最小单位,而组则能够看做是用户的集合,在Windows系统中,用户与组都是使用SID做为其惟一标识符,应用到NTFS权限上也是如此,实际上也是对这些SID进行权限的授予。
那么在这里咱们先来了解一下在工做组环境中的Windows系统内置的一些具有特殊功能做用的用户和组。安全
名称 |
性质ide |
特色描述spa |
Administrator.net |
用户orm |
所谓“超级管理员”,默认禁用。在系统默认的安全策略下,其不受UAC约束且将以管理员身份运行任何程序。鉴于这一特性将严重下降系统安全性,Microsoft不建议将其启用。htm |
Administrators对象 |
组继承 |
全部管理员账户都是Administrators组的成员。在ACL中,针对管理员的权限设置,一般使用Administrators组进行分配。注意在UAC启用的状况下,非经提权,仅有Administrators组的拒绝权限会应用到普通管理员。ci |
Users |
组 |
全部用户账户都是Users组的成员。在ACL中,针对用户的权限设置,一般使用Users组进行分配。 |
Guest |
用户 |
来宾账户,默认禁用。相较于普通用户账户,来宾账户受到更多限制。在于“控制面板\用户账户和家庭安全\用户账户\管理账户”中启用来宾账户后,此账户也将被启用。 |
HomeGroupUser$ |
用户 |
家庭组用户账户。用于实现家庭组简化的、安全的共享功能。在建立家庭组后,此账户将被建立及启用。 |
TrustedInstaller |
特殊用户 |
可信任的安装程序,实质上其指代的是一种特殊的服务,与Windows Modules Installer服务关系很大。可经过直接输入名称NTSERVICE\TrustedInstaller将其添加到ACL中。 |
HomeUsers |
组 |
在ACL中,针对家庭组的权限设置,一般使用HomeUsers组进行分配。 |
Authenticated Users |
特殊组 |
是全部在本系统或域内有合法帐户的用户的集合。 |
Everyone |
特殊组 |
全部用户的集合,不管其是否拥有有合法帐户。 |
Creator Owner |
特殊组 |
建立对象或目前是对象全部者的用户的集合。实质上此组的做用是:当它存在于ACL中时,将同时将全部者用户账户以设定的权限添加进ACL。 |
Owner Rights |
特殊组 |
此组的做用主要在于限制对象全部者隐性的查看、更改ACL的权限。 |
SYSTEM |
特殊组 |
本地系统。至关多的服务使用此身份运行,如Windows Search。 |
2、 NTFS权限
NTFS权限是基于NTFS分区实现的,经过对用户或组授予NTFS权限能够有效地控制用户对文件和目录的访问。对于NTFS磁盘分区上的每个文件和文件夹,NTFS都存储了一个访问控制列表(ACL,Access Control Lists)。ACL中包含有那些被受权访问该文件或者文件夹的全部用户帐号、组和计算机,还包含他们被授予的访问类型。为了让一个用户访问某个文件或文件夹,针对相应的用户帐号、组,或者该用户所属的计算机,ACL中必须包含一个对应的入口,这样的入口叫作访问控制入口(ACE,Access Control Entries)。为了让用户可以访问文件或者文件夹,访问控制入口必须具备用户所请求的访问类型。若是ACL没有相应的ACE存在,Windows系统就拒绝该用户访问相应资源。
NTFS权限分为标准NTFS权限和特殊NTFS权限两大类。标准NTFS权限能够说是特殊NTFS权限的特定组合。特殊NTFS权限包含了在各类状况下对资源的访问权限,其组合限制了用户访问资源的全部行为。但一般状况下,用户的访问行为都是几个特定的特殊NTFS权限的组合或集合。Windows为了简化管理,将一些经常使用的特殊NTFS权限组合起来造成了标准NTFS权限,当须要分配权限时能够经过分配一个标准NTFS权限以达到一次分配多个特殊NTFS权限的目的。
以下列表就是标准NTFS权限和特殊NTFS的对应关系表。
标准NTFS权限 |
||||||
特殊NTFS权限 |
彻底控制 |
修改 |
读取和执行 |
读取 |
写入 |
列出文件夹目录 |
遍历文件夹/运行文件 |
● |
● |
● |
● |
||
列出文件夹/读取数据 |
● |
● |
● |
● |
||
读取属性 |
● |
● |
● |
● |
||
读取扩展属性 |
● |
● |
● |
● |
||
建立文件/写入数据 |
● |
● |
● |
|||
建立文件夹/附加数据 |
● |
● |
● |
|||
写入属性 |
● |
● |
● |
|||
写入扩展属性 |
● |
● |
● |
|||
删除子文件夹及文件 |
● |
|||||
删除 |
● |
● |
||||
读取权限 |
● |
● |
● |
● |
● |
|
更改权限 |
● |
|||||
取得全部权 |
● |
|||||
针对以上权限设置,下表列出了其所起到的做用。
权限类型 |
权限名称 |
权限做用描述 |
标准NTFS权限 |
彻底控制 |
用户能够修改、增长、移动和删除文件,以及它们相关的属性和目录。另外,用户还能改变全部文件和子目录的权限设置。 |
修改 |
用户可以查看和修改文件和文件属性,包括删除和添加目录文件或文件属性。 |
|
读取和执行 |
用户能够运行可执行文件,包括脚本。 |
|
读取 |
用户可以查看文件和文件属性。 |
|
写入 |
用户可以改写文件。 |
|
特殊NTFS权限 |
遍历文件夹/运行文件 |
用户能够经过文件夹到达其它文件或文件夹,即便这些文件夹没有遍历文件或文件夹的权限。只有在“组策略”管理单元中没有将“跳过遍历检查”用户权限授予用户组或用户时,遍历文件夹才会生效。(默认状况下,Everyone用户组拥有“跳过遍历检查”用户权限。) |
列出文件夹/读取数据 |
用户能够查看一个文件的内容和数据文件列表。 |
|
读取属性 |
用户能够查看一个文件或文件夹的属性,如只读和隐藏。(NTFS定义这些属性。) |
|
读取扩展属性 |
用户能够查看一个文件或文件夹的扩展属性。(扩展属性由程序定义,可能各不相同。) |
|
建立文件/写入数据 |
创建文件权限容许用户在文件夹内创建文件。(这个权限只应用于文件夹。)写入数据权限容许用户改写文件,覆盖现有内容。(这个权限只应用于文件。) |
|
建立文件夹/附加数据 |
创建文件夹权限容许用户在文件夹内创建文件夹。(这个权限只应用于文件夹。)附加数据权限容许用户修改文件末尾部分,但他们不能改变、删除或覆盖现有数据。(这个权限只应用于文件。) |
|
写入属性 |
用户能够修改文件或文件夹的属性,如只读或隐藏。(NTFS定义这些属性。) |
|
写入扩展属性 |
用户能够修改一个文件或文件夹的扩展属性。 |
|
删除子文件夹及文件 |
用户能够删除子文件夹及文件,即便该子文件夹及文件上没有删除权限。 |
|
删除 |
用户能够删除文件或文件夹。(若是用户在该文件或文件夹上没有删除权限,可是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然能够删除它。) |
|
读取权限 |
用户拥有文件或文件夹的读取权限,如彻底控制、读取和写入。 |
|
更改权限 |
用户拥有文件或文件夹的变动权限,如彻底控制、读取和写入。 |
|
取得全部权 |
用户能够取得文件或文件夹的全部权。文件的全部者总能改变这个文件的权限,无论文件或文件夹受到何种权限的保护。 |
在使用基于NTFS的ACL中,还涉及到应用范围,那就是在NTFS权限设置的时候的做用域了,以下表列出了相应的做用域。
权限做用域 |
只有该文件夹 |
此文件夹、子文件夹及文件 |
此文件夹和子文件夹 |
此文件夹和文件 |
仅子文件夹和文件 |
只有子文件夹 |
只有文件 |
可是在实际的权限配置中,因为继承、权限选项以及特殊组的存在,做用域的效果并非绝对的。以下则为在高级权限设置中,会出现的一些权限选项:
选项名称 |
选项描述 |
包括可从该对象的父项继承的权限 |
以当前对象为子对象,在子对象及其父对象之间创建继承关系,并用父对象权限设置替换子对象权限设置。去除该选项的勾选能够阻断继承关系。 |
使用可今后对象继承的权限替换全部子对象权限 |
以当前对象为父对象,在父对象及其子对象之间创建继承关系,并用父对象权限设置替换子对象权限设置。 |
仅将这些权限应用到此容器中的对象和/或容器 |
做用域仅及于对象下的第一层文件/文件夹而不涉及更深层次的文件/文件夹。 |
替换子容器和对象的全部者 |
将对象中的全部文件/文件夹的全部者变动为当前对象的全部者。 |
3、 NTFS权限的使用法则
为了更好地应用和制度NTFS权限在设置的时候将产生的效果,咱们须要了解一些NTFS权限的法则。
一、 权限的积累,即权限最大法则
用户对资源的有效权限是分配给该我的用户帐户和用户所属的组的全部权限的总和。若是用户对文件具备“读取”权限,该用户所属的组又对该文件具备“写入”的权限,那么该用户就对该文件同时具备“读取”和“写入”的权限。当有拒绝权限时权限最大法则无效。
二、 文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具备优先权,当用户或组对某个文件夹以及该文件夹下的文件有不一样的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。假设你可以访问一个文件,那么即便该文件位于你不具备访问权限的文件夹中,你也能够进行访问(前提是该文件没有继承它所属的文件夹的权限)。
三、 拒绝权限高于其余权限
拒绝权限能够覆盖全部其余的权限。甚至做为一个组的成员有权访问文件夹或文件,可是该组被拒绝访问,那么该用户原本具备的全部权限都会被锁定而致使没法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。
四、 指定的权限高于继承的权限
即一个对象上对某用户/组的明确权限设置优先于继承而来的对该用户/组的权限设置。例如原本该用户继承自父文件夹有对其下子文件夹或文件有“拒绝”的权限,可是管理员在该子文件夹或文件上授予该用户有“容许”的权限,则该用户对该子文件夹或文件拥有“容许”的权限。结合继承、指定和拒绝、容许的条件,有以下的规则:指定拒绝 > 指定容许 > 继承拒绝 > 继承容许。
以上为一些权限设置应用的规则,固然,咱们没必要本身手动计算权限结果,而可使用“有效权限”选项卡来自动计算某一用户/组的有效权限。但须要注意的是它并不会考虑UAC对权限分配的影响。
来源连接:http://www.canway.net/Original/xitongjishu/1222C42015.html
- 1. NTFS权限小探
- 2. NTFS权限
- 3. NTFS安全权限
- 4. NTFS权限介绍
- 5. 管理NTFS权限
- 6. NTFS权限详解
- 7. 权限系统的安全性探讨
- 8. 数据库权限分配探讨
- 9. NTFS权限拒绝优先
- 10. NTFS共享权限设置
- 更多相关文章...
- • MySQL删除用户权限(REVOKE) - MySQL教程
- • XSD 限定 / Facets - XML Schema 教程
- • Docker容器实战(六) - 容器的隔离与限制
- • 互联网组织的未来:剖析GitHub员工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. NTFS权限小探
- 2. NTFS权限
- 3. NTFS安全权限
- 4. NTFS权限介绍
- 5. 管理NTFS权限
- 6. NTFS权限详解
- 7. 权限系统的安全性探讨
- 8. 数据库权限分配探讨
- 9. NTFS权限拒绝优先
- 10. NTFS共享权限设置