NTFS權限小探
作者:陳健日期:2010-04-07
NTFS權限小探
——“讀取”和“讀取和執行”
在Windows管理中,一項重要的工作就是設定NTFS權限。而權限的管理是一項非常複雜的工作,NTFS權限本身也有相當的複雜性。本文想就教學中一個有關NTFS權限的小問題,在這裏進行探討,有不妥之處,還請各位指教。
我們的課程體系中Windows的內容佔了一半多,這裏面就有關於Windows管理的。其中的重點和難點一個是關於Windows域,另一個就是本文要涉及到的權限。把域作爲重點是因爲它是構建Windows網絡的靈魂,而對於域概念的理解就自然而然地成爲難點。一方面,學生平時接觸的都是桌面操作系統;另一方面,域的概念很抽象。而我們使用域的目的是要簡化管理,實現網絡資源的統一調配,使得網絡結構更加契合企業的管理模型,利用AD的強大功能來強化企業安全策略。企業安全策略體現在網絡管理上的一個重要方面就是關於資源權限的問題!
每每講到這裏都有許多的困惑,學生也會提很多的問題,教師之間也會就權限問題互相探討,過程中就會聽到一些對於權限的誤解,這也是寫作本文的一個初衷。希望能通過這篇小小的文章爲大家在一定程度上解除困惑,消除誤解。果真能如此,也就足矣。
NTFS權限是一個複雜的體系,它控制着賬戶對資源的訪問,是Windows安全體系中的重要組成部分。NTFS權限由對象(驅動器、文件夾、文件)、ACL(訪問控制列表)及訪問控制項組成,其中“訪問控制項”就是我們說的權限,它又分普通權限和特殊權限。而權限又有繼承、非繼承和強制繼承等幾種情況。你說複雜不復雜!
一般來說,象“寫入”、“完全控制”、“修改”等權限是不容易混淆的,光看字面意思就能明白他們的用處。在教學中最容易引起歧義的就是“讀取和執行”和“讀取”這兩個權限。我們經常聽到有的教師對學生說:“讀取和執行”就是能夠讀文件以及擁有執行文件的權力,而“讀取”只是能讀文件而已。這種說法我們不能夠完全認爲不對,但還是有欠妥之處,還是禁不起推敲。而要想搞清楚他們之間的區別,還要從特殊權限上入手。所謂“特殊權限”也並不神祕,它只不過是權限的細分而已。請看下圖:
.jpg)
該圖是Windows幫助中截取的關於權限的部分。從這幅圖上,細心的讀者不難看出二者的區別。“讀取和執行”比“讀取”多了一個“執行文件”的特殊權限。這或許還不能讓你理解他們之間的區別,下面我們就用實驗來說明問題。
首先,我們以administrator登錄,然後創建一個普通的域用戶“zhangsan”,如圖:
.jpg)
第二步,我們創建一個文件夾“a”,並給domain\users賦權——“讀取”,如圖:
.jpg)
第三步,我們用“zhangsan”這個用戶登錄,驗證他是否有權查看文件夾“a”的安全屬性,如圖:
.jpg)
.jpg)
結果,zhangsan是有權讀取文件夾a的安全屬性的
第四步,更改zhangsan的權限爲寫入,然後驗證他是否還能夠讀取文件夾a的安全屬性,如圖:
.jpg)
結果很明顯,zhangsan失去了查看對象安全屬性的能力。這裏要特別提出的是,當我們勾選“讀取和執行”權限的時候系統會同時勾選“讀取”權限,而單獨勾選“讀取”權限的時候是不會同時勾選“讀取和執行”的。這說明,前者是依賴於後者的,前者的權限包含了後者的權限,反之則不成立。有興趣的朋友可以動手實驗一下。
所以,我在教學中會對學生強調,“讀取”權限是一種使得賬戶具有查看對象安全屬性的能力的權限,即讀取權限的權限。當你具有了這種權限,自然你就具有了讀取對象數據的權限。而要想擁有執行應用程序的權限,則需要擁有“讀取和執行”的權限,但這往往是不夠的,因爲許多應用程序在運行的時候需要你同時擁有對宿主文件夾或驅動器的“寫入”權限。當然,本文所對比的這兩個權限,無論從出發角度上還是驗證方法上都是存在着預設條件,比如:在做實驗以前,我取消了文件夾a從驅動器的權限繼承,也沒有將特殊權限的設置納入討論範圍等。要想充分掌握NTFS權限的設置,還需要大家根據具體需求反覆實踐,才能夠充分領悟和運用自如。