Windows XP中關於權限的問題有四個基本原則,在進行NTFS權限設置的時候就需要注意這些基本原則。對於Windows XP的各種權限設置我們還是需要格外的重視。
一 設置NTFS權限基本策略和原則
在Windows XP中,針對權限的管理有四項基本原則,即:拒絕優於允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則對於權限的設置來說,將會起到非常重要的作用,下面就來了解一下:
1 拒絕優於允許原則
“拒絕優於允許”原則是一條非常重要且基礎性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權限“糾紛”,例 如,“shyzhong”這個用戶既屬於“shyzhongs”用戶組,也屬於“xhxs”用戶組,當我們對“xhxs”組中某個資源進行“寫入”權限的 集中分配(即針對用戶組進行)時,這個時候該組中的“shyzhong”賬戶將自動擁有“寫入”的權限。
但令人奇怪的是,“shyzhong”賬戶明明擁有對這個資源的“寫入”權限,為什麼實際操作中卻無法執行呢?原來,在“shyzhongs”組中 同樣也對“shyzhong”用戶進行了針對這個資源的權限設置,但設置的權限是“拒絕寫入”。基於“拒絕優於允許”的原則,“shyzhong”在 “shyzhongs”組中被 “拒絕寫入”的權限將優先於“xhxs”組中被賦予的允許“寫入”權限被執行。因此,在實際操作中,“shyzhong”用戶無法對這個資源進行“寫入” 操作。
2 權限最小化原則
Windows XP將“保持用戶最小的權限”作為一個基本原則進行執行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權限賦予限制。
基於這條原則,在實際的權限賦予操作中,我們就必須為資源明確賦予允許或拒絕操作的權限。例如系統中新建的受限用戶“shyzhong”在默認狀態 下對“DOC”目錄是沒有任何權限的,現在需要為這個用戶賦予對“DOC”目錄有“讀取”的權限,那麼就必須在“DOC”目錄的權限列表中為 “shyzhong”用戶添加“讀取”權限。
3 權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單。假設現在有個“DOC”目錄,在這個目錄中有“DOC01”、“DOC02”、“DOC03”等 子目錄,現在需要對DOC目錄及其下的子目錄均設置“shyzhong”用戶有“寫入”權限。因為有繼承性原則,所以只需對“DOC”目錄設置 “shyzhong”用戶有“寫入”權限,其下的所有子目錄將自動繼承這個權限的設置。