系統(tǒng)管理員必學:剖析NTFS默認權限

在本文中，我們將向大家介紹NTFS文件系統(tǒng)權限設置以及它們的默認應用范圍。通過這篇文章，我們可以了解到每一個權限所包含的內容以及它們在系統(tǒng)等級中的繼承關系，從而彌補我們在系統(tǒng)安全領域的知識漏洞。
    在本文中，我將針對Windows Vista Business Edition的系統(tǒng)權限進行講解。其它不同版本的Windows系統(tǒng)，比如Windows NT, Windows 2000, 2003, XP,以及2008等，根據版本不同會有些許差異。而默認的應用范圍則完全不同，比如在Windows 2000中，Everyone組的默認NTFS權限對于C：來說是Full Control的，而這種權限被整個等級繼承，這種現象對于系統(tǒng)安全來說極為不利。其它版本的Windows在這方面進行了改善，避免了類似安全漏洞。
    對于大多數應用來說， NTFS 權限種類足夠用了。這些默認的權限包括：
    1. 完全控制
    2. 修改
    3. 讀取和執(zhí)行
    4. 文件夾內容列表
    5. 讀取
    6. 寫入
    一般來說，如果某個用戶擁有了 Modify(修改)權限，他就擁有了修改相關文件和文件夾的權限。又比如擁有Read and Execute(讀取和執(zhí)行)權限，那么就同時擁有了讀取和文件夾內容列表的權限。而Write (寫入)權限則有些特別，因為有時候我們希望用戶可以對文件或者文件夾進行寫入操作，但是卻不希望他們讀取其中的內容。另一個具有極大誘惑力的權限就是 Full Control(完全控制)。 Full Control權限不僅可以讓用戶具有編輯文件和文件夾的功能，還可以控制修改文件和文件夾的訪問屬性。
    這些默認權限其實是由一些獨立的權限組合成的，具體組合方式如表A所示：
    表A
     完全控制
     修改
     讀取和執(zhí)行
     列表文件夾 (僅文件夾)
     讀取
     寫入
    完全控制
     P
    遍歷文件夾/執(zhí)行文件
     P
     P
     P
     P
    列表文件夾/讀取數據
     P
     P
     P
     P
     P
    讀取屬性
     P
     P
     P
     P
     P
    讀取擴展信息
     P
     P
     P
     P
     P
    創(chuàng)建文件/寫入數據
     P
     P
     P
    創(chuàng)建文件夾/附加數據
     P
     P
     P
    寫入屬性
     P
     P
     P
    寫入擴展屬性
     P
     P
     P
    刪除子文件夾和文件
     P
    刪除
     P
     P
    讀取權限
     P
     P
     P
     P
     P
     P
    更改權限
     P
    取得所有權
     P
    從中我們可以注意到，讀取和執(zhí)行權限，列表文件夾權限，以及讀取權限的組成非常相似，但是它們的應用范圍卻完全不同。
    對于不同的權限需要留意的另一點是它們的應用范圍。默認的權限屬性是自上而下進行繼承的。
    而我們可以通過修改設置來修改某個權限的應用范圍，這些范圍包括：
    · 僅當前文件夾
    · 當前文件夾，子文件夾，以及文件
    · 當前文件夾，子文件夾
    · 當前文件夾和文件
    · 僅子文件夾和文件
    · 僅子文件夾
    · 僅文件
    默認狀態(tài)的權限應用范圍是當前文件夾，子文件夾，以及文件 ，也就是繼承范圍。
    當然，根據環(huán)境要求，我們可以設定權限的應用范圍。比如控制訪問C:Windows目錄的權限。
    本文的目的是幫助大家了解NTFS文件權限的實質以及它的默認屬性。如果還有任何疑問，歡迎在文章評論中提出。