WIN2000中添加了一個與WIN98及以前的WINDOWS版本不同的一個特性,那就是NTFS權限,由於有了這個特性,那麼在WIN2000中就可以實現文件夾及文件級別的安全控制,這不同於WIN98中的帳號和密碼,在WIN98中,只要知道了帳號和密碼,那麼就可以對計算機完全控制,而無法實現對某個帳戶只允許讀取某個文件夾或者某個文件的功能。而在WIN2000中,完全可以完美的實現這一點。OK,Let's go!
首先,先說一下要實現該功能的前提條件,那就是你的分區必須是NTFS分區,如果是FAT或者FAT32分區的話,那麼是無法實現該功能的,其實如果你的電腦上只有一個WIN2000操作系統的話,或者說只要你的機子上沒有裝WIN98及WIN98以前的系統的話,那麼用NTFS分區是一個非常好的選擇,這將大大提高你的系統的穩定性和安全性。如果你的分區是FAT32分區,那麼可以通過這條命令來把他轉成NTFS分區:
convert x: /fs:ntfs
其中的x可以用實際的盤符替換。不過要注意的一點是,WIN98是無法識別NTFS格式的分區的,也就是說如果在WIN98的分區使用NTFS格式,那麼WIN98將無法使用。而且該命令是不可逆的,也就是說該命令只能將FAT32轉換成NTFS格式,而無法將NTFS格式轉換成FAT32格式,如果要轉換回來的話,那麼要用PQ等軟件才能實現。
好了,現在言歸正傳,使用了NTFS分區以後,你必須為需要訪問一個資源的每一個用戶帳號授予NTFS權限,用戶必須獲得明確的授權才能訪問經過設置的資源。如果沒有權限,那麼它將被拒絕訪問該資源。打個比方:假設有一個文件,我對他進行NTFS權限設置,我設置成只有我自己和A用戶才能訪問,那麼除了我和A以外,其他任何帳戶登陸都將無法使用該文件,WIN2000會給出“沒有適當的權限讀取”等字樣的提示。這就實現了該文件的安全性,而且該安全性無論是在計算機上還是在網絡上都有效,也就是說即使通過網絡連接到該計算機,也只有我和A用戶可以使用該文件,其他人也是無法使用的,雖然該文件被共享,但是其他人只能看到有這個文件,但是卻不能讀取,呵呵,有點看得見,吃不著的意思吧?
在WIN2000中有個叫做Access Control List(ACL,訪問控制列表)的東西,裡面包含了可以訪問該資源的用戶的帳戶,組和計算機。當一個用戶訪問該資源時,那麼必須在ACL中有它的帳號,那麼WIN2000才允許該用戶訪問該資源,否則拒絕
這裡要說明的一點是,和我們想象的不一樣,WIN2000不是根據用戶名是否相同來識別用戶的,每一個帳號在創建的時候都有一個Security ID(SID,安全標識符),WIN2000是根據這個SID是否相同來識別用戶的,如果SID不一樣,就算用戶名等其它設置一模一樣,WIN2000也會認為是不一樣的兩個帳號,這就像我們領獎的時候,只認你的身份證是否符合,而不管你的名字是否相同是一個道理的,而該SID是WIN2000在創建該帳號的時候隨機給的,所以說當刪除了一個帳號後,再次重新建立一個一模一樣的帳號,其SID和原來的那個是不一樣,那麼他的NTFS權限就必須重新設置。
現在說一下NTFS權限的實際應用。用鼠標右鍵點擊你想要設置權限的文件或者文件夾,選屬性->安全,這時你可以看到允許使用該文件的帳號或者組,默認是都有Everyone組的,該組表示所有的用戶,下面部分就是可以為該組或者帳號設置的權限。如果Everyone的權限設置為完全控制,那麼意味著所有的用戶都可以隨意操作該文件,包括讀取,修改,刪除等等。這也是WIN2000默認的權限。你還可以添加帳號,為帳號設置權限,這個只要你自己操作一下就知道怎麼操作了,現在我只是舉個例子來說明一下:
假設有一個文件叫做FILE,我要設置為只有USER1,USER2和USER3這三個用戶可以使用該文件,但是USER1用戶可以隨意操作該文件,USER2用戶只能讀取該文件,而不能進行如修改等等的其他操作,USER3可以讀取,可以寫入,但是不能刪除該文件,我說明一下具體的操作方法。
1、右鍵點擊FILE,選屬性->安全
2、將下面的“允許將來自父系的可繼承權限傳播給該對象”前面的勾去掉。他會彈出一個對話框,選刪除。也就是說把上面的Everyone等所有的帳號刪除。
3、點添加,彈出一個對話框,選中USER1,添加,確定。
4、然後選中USER1,在“完全控制”後面的“允許”下面打上勾。
5、依照前面的方法添加USER2。
6、選中USER2,在“讀取”後面的“允許”中打勾,其他的勾全部去掉。
7、添加USER3。
8、選中USER3,在“修改”後面的“允許”中打勾,確認“完全控制”的勾去掉。
9、選“高級”,選中USER3,點“查看/編輯”。把裡面的“刪除”後面“允許”的勾去掉。
10、搞定!!! ^-^
這時,用USER1登陸,那麼你可以完全控制該文件
用USER2登陸,可以打開該文件,當保存的時候會出現“不能創建FILE,請確認路徑和文件名是否正確”的提示框。這說明現在USER2無法保存該文件。當然也無法進行其它操作,他只能讀取該文件。
用USER3登陸,可以打開該文件,也可以保存。當刪除該文件的時候會出現“無法刪除FILE:拒絕訪問。源文件可能正在使用”的提示框,說明無法刪除該文件。
***** 提醒:在未完全搞清楚權限的用法之前,最好隨便創建一個沒有用的文件,然後再進行試驗,這樣比較安全。否則搞得重要文件被刪除了可不關我的事情。
至於給文件夾設置安全,步驟和上面差不多,不過文件夾會多了一個繼承,也就是說可以選擇權限設置是僅僅對該文件夾進行起作用,還是對該文件夾和該文件夾的子文件夾及文件起作用。只要將“重置所有子對象的權限並允許傳播可繼承權限”前面打勾就可以了。