利用NTFS權限
[本站原創]以前使用WINDWOS95以及WINDOWS98的朋友就都知道,如果你是多人共同使用一台計算機,其它人可以很容易的查看你的文件;不同的用戶對同一文件的使用權基本相同的,可以說沒有任何安全性而言!那麼你有沒有想過不借於第三方軟件,就可以實現為不同的用戶授予不同的訪問權限,以提高每個用戶文件的安全性呢?告訴你到了WINDOWS 2000以及最新發行的WIDNWOSXP裡,利用其特有的NTFS文件系統就可以很輕松的解決這個問題。
A、如何利用NTFS權限
我們首先浏覽到E盤下"PC任我行"文件夾,右擊選擇"屬性",在出現的屬性對話框中選擇“安全”選項卡,(如圖1)所示,我們可以看到系統已經為EVERYONE組授予了完全控制權限,這是因為WINDOWSXP裡用NTFS格式化一個磁盤分區時,系統自動為EVERYONE組授予了完全控制的權限,在該分區下創建的所有文件和文件夾都繼承了這個完全控制的權限。
圖一 屬性
這個時候,如果不做任何改動,就相當於我們在WINDOWS98裡的FAT格式的,基本沒有安全性可言!如果我們看到下方的權限列表是灰色的,不能修改其權限,這就說明該文件夾是繼續上一級文件夾的權限而來的。如果要去修改已經繼承了的權限,可以看到在圖一下方有一個“高級”按鈕,通過他來查看文件夾的高級安全設置對話框,在文件的高級安全設置對話框下方有一個"從父項繼承那些可以應用到子對象的權限項目,包括那些在此明確定義的項目"復選框,這個就是用來設置權限的繼承的,我們取消復選框的選擇,這個時候又會彈出一個對話框,(如圖2)所示,如果我們選擇復制,那麼該文件夾將保留上級文件夾已經繼承下來的權限,但以後就不會再繼承上級文件夾的權限了,如果選刪除,將刪除掉所有繼承上級文件夾的權限,只保留用戶單獨為該文件夾設置的權限,因為我們這裡沒有為該文件夾另外授予權限,所以我們這裡先選復制,然後點確定回到PC任我行的安全屬性對話框,這個時候就可以改變EVERYONE組的權限了,設置其權限為"讀取"吧!
圖二 安全選項卡特征
修改了EVERYONE組默認的權限,下面就要為其它用戶進行授權了,在圖一所示的對話框中選擇中間的"添加"按鈕,就會彈出選擇用戶和組對話框,點“高級”按鈕,不要做任何設置,再直接點擊"立即查找"按鈕,稍候片刻,在下方就把本機上所有的用戶和組都查找出來了,選中一個用戶,"確定"返回,這個時候就可以看到在“PC任我行”文件夾的安全屬性對話框中已經把用戶添加進來了,然後按照上面的方法再對該用戶進行權限的設置!為不同的用戶分配不同的權限,這樣當用戶再次訪問該文件夾時,就只能使用賦予他的權限,而不能再像以前那樣為所欲為的,想干什麼就干什麼了!
一般來說,經過這樣的設置的文件系統是比較安全的,如果你還想進行更高級別的權限的設置,你還可以在文件夾的高級安全屬性對話框中進行設置,雙擊用戶名,就會彈出文件的權限項目對話框(如圖3)。你可以從圖中看出,原來的權限被細化了,比如一個“讀”的權限被細化成“遍歷文件夾/運行文件”、“列出文件夾/讀取數額”、“讀取屬性”、“讀取擴展屬性”四項了,在這裡你就可以進行更詳細的功能設置。
圖三 權限項目對話框
B、NTFS權限的一些特征
權限是積累的
比如說某個用戶對一個文件有讀取的權限,而該用戶又屬於一個組,同樣該組對該文件又有寫的權限,那麼該用戶對該文件就有了讀和寫的雙重權限了。
文件權限超越文件夾權限
如果某個用戶對一個文件有寫的權限,同時他對該文件所在的文件夾只有讀的權限,但這並不影響該用戶對文件的寫的權限,就是因為文件權限超越文件夾權限。
拒絕權限大於一切
我們在上面為用戶賦予權限時,都是設置其允許有什麼權限,而沒有設置其拒絕權限,但實際上拒絕權限可以超越其它任何權限,如果你想讓某個用戶不用訪問一個文件夾,那麼你可以設置該文件夾拒絕訪問,這樣即使該用戶所屬的組對該文件夾具有訪問的權限也不行,可以說拒絕權限是一個例外,不符合權限是積累的這個規律。復制與實踐
C、復制移動NTFS系統文件
當我們復制NTFS文件或文件夾時,不管是在同一個分區內進行復制的,還是復制到其它NTFS分區,復制的文件夾都將繼承目的地文件夾的權限,如果我們不要繼承目的地文件夾的權限,可以用上面講的方法進行設置;如果把文件或文件夾復制到FAT等格工的分區,那麼文件的權限將自動丟失。另外需要注意的是復制文件或文件夾必須對目標文件夾具有寫的權限。
移動文件夾同樣需要對目標文件夾有寫的權限,同時還必須對源文件夾具有修改的權限,當我們在同一NTFS分區內進行復制和移動文件或文件夾時,他將保留原來的權限,但是在不同的NTFS分區之間進行移動時,他就跟復制一樣,將繼承目標文件夾權限。因為我們進行移動文件夾時,是把源文件夾先復制一份,然後粘貼到目標文件夾,再把源文件夾刪除掉。
D、最佳實踐
1、為了減少工作量,盡可能的為組授權,不要為用戶授權,而且為組授權要比為用戶授權管理起來方便得多了。
2、將文件分組,比如建一個文件夾來專門的存放資料,然後再為該文件夾授予權限,而不必為每一個文件都設置權限。
3、實行按需分配的原則,只授予用戶他們需要的權限,而不要把他們不需要的權限也授予他們,這樣可以提高安全。
4、當你對可執行文件授權時,盡量授予他們以讀和執行權限,而不要再給他們其它權限,這樣可以在一定程度上防止病毒的害。
如果你在工作中遇到了我們在文章開頭所說的問題,那麼你就趕快來試試本文所講的這個方法吧!