共享權限有三種:完全控制、更改、讀取
任務:瞭解共享權限
步驟:打開一共享文件夾,查看其共享權限
注意:共享權限只對從網絡訪問該文件夾的用戶起作用,而對於本機登錄的用戶不起作用。
2、NTFS權限
NTFS權限是NT和Win2000中的文件系統,它支持本地安全性。換句話說,他在同一臺計算機上以不同用戶名登錄,對硬盤上同一文件夾可以有不同的訪問權限。
注意:NTFS權限對從網絡訪問和本機登錄的用戶都起作用。
3.共享權限和NTFS權限的聯繫和區別
(1)共享權限是基於文件夾的,也就是說你只能夠在文件夾上設置共享權限,不可能在文件上設置共享權限;NTFS權限是基於文件的,你既可以在文件夾上設置也可以在文件上設置.
(2)共享權限只有當用戶通過網絡訪問共享文件夾時才起作用,如果用戶是本地登錄計算機則共享權限不起作用;NTFS權限無論用戶是通過網絡還是本地登錄使用文件都會起作用,只不過當用戶通過網絡訪問文件時它會與共享權限聯合起作用,規則是取最嚴格的權限設置.
(3)共享權限與文件操作系統無關,只要設置共享就能夠應用共享權限;NTFS權限必須是NTFS文件系統,否則不起作用.
共享權限只有幾種:讀取,更改和完全控制;NTFS權限有許多種,如讀,寫,執行,改變,完全控制等....我們可以進行非常細緻的設置.
4.共享權限和NTFS權限的特點:
(1) 不管是共享的權限還是NTFS權限都有累加性。
(2) 不管是共享權限還是NTFS權限都遵循“拒絕”權限超越其他權限。
(3) 當一個賬戶通過網絡訪問一個共享文件夾,而這個文件夾又在一個NTFS分區上,那麼用戶最終的權限是它對該文件夾的共享權限與NTFS權限中最爲嚴格的權限。如:一個人要進一個院子,兩道門都開才能進去。門就好像是權限。
NTFS權限是做什麼的呢?
當一個用戶試圖訪問一個文件或者文件夾的時候,NTFS文件系統會檢查用戶使用的賬戶或者賬戶所屬的組是否在此文件或者文件夾的訪問控制列表(ACL)中,如果存在則進一步檢查訪問控制項(ACE),然後根據控制項中的權限來判斷用戶最終的權限。如果訪問控制列表中不存在用戶使用的賬戶或者賬戶所屬的組,就拒絕用戶訪問。
完全控制:對文件或者文件夾可執行所有操作。
修改:可以修改、刪除文件或者文件夾。
讀取和運行:可以讀取內容,並且可以執行應用程序。
列出文件夾目錄:可以列出文件夾內容,此權限只針對文件夾存在。
讀取:可以讀取文件或者文件夾的內容。
寫入:可以創建文件或者文件夾。
特別的權限:其他不常用權限,比如刪除權限的權限。
所有權限都有相應的“允許”和“拒絕”兩種選擇。
新建的文件或者文件夾都有默認的NTFS權限,如果沒有特別需要,一般不用改。
文件或者文件夾的默認權限是繼承上一級文件夾的權限,如果是根目錄(比如c:\)下的文件夾,則權限是繼承磁盤分區的權限。
設置各個賬戶以及組對當前文件或者文件夾的權限的方法很簡單,就是上圖中,選擇你要修改的賬戶或者組,然後再下面的控制項框中選擇合適的權限就行了。
還有一些特殊權限,以及取得文件或文件夾的所有權的方法。這裏我就不講了,因爲這裏一般的用戶用不到,至少自己家裏的機器我認爲是用不到的。因爲一般自己家裏的機器本來就是用Administrators組(也就是管理員組)內的賬戶登陸的,這些權限一般用不到。公司裏面也許會用到,不過公司裏面有自己的網絡管理員,都懂。
NTFS權限的應用規則
下面儘量簡單明瞭的講一下NTFS權限的應用規則,這可是比較麻煩的地方。
1. 權限的組合。
如果一個用戶同時在兩個組或者多個組內,而各個組對同一個文件有不同的權限,那麼這個用戶對這個文件有什麼權限呢?
簡單的說,當一個用戶屬於多個組的時候,這個用戶會得到各個組的累加權限,但是一旦有一個組的相應權限被拒絕,此用戶的此權限也會被拒絕。
舉例來說:
假設有一個用戶WZ,如果WZ屬於A和B兩個組,A組對某文件有讀取權限,B組對此文件有寫入權限,WZ自己對此文件有修改權限,那麼WZ對此文件的最終權限爲讀取+寫入+修改權限。
假設WZ對文件有寫入權限,A組對此文件有讀取權限,但是B組對此文件爲拒絕讀取權限,那麼WZ對此文件只有寫入權限。這裏就還有一個小問題了,WZ對此文件只有寫入權限,但是沒有讀取權限,那麼,寫入權限有效麼?答案很明顯,WZ對此文件的寫入權限無效,因爲不能讀取怎麼寫入?連門都進不去,怎麼把傢俱搬進去?
2、權限的繼承。
這裏我不想做過多說明,因爲我認爲這是初學者不用過多瞭解的東西。只要知道新建的文件或者文件夾會自動繼承上一級目錄或者驅動器的NTFS權限,但是從上一級繼承下來的權限是不能直接修改的,只能在此基礎上添加其他權限。也就是不能把權限上的勾去掉(因爲你去不掉),只能添加新的勾。如下圖,灰色的框爲繼承的權限,是不能直接修改的,白色的框是可以添加的權限。
當然這並不是絕對的,只要你的權限夠,比如你是管理員,你也可以把這個繼承下來的權限修改了,或者讓文件不再繼承上一級目錄或者驅動器的NTFS權限。這裏我不多講這個問題。有必要的話,新開貼講。因爲這又是一個一句兩句說不清楚的東西。
3、權限的拒絕
這個很簡單,只要記住,拒絕的權利是最大的就行了。無論給賬戶或者組了什麼權限,只要在拒絕的這一欄裏有勾,那麼被拒絕的權限就絕對有效。這裏如果不明白,看上面權限的組合裏的例子。
4、移動和複製操作對權限的影響
這裏一共有四種情況,移動和複製文件(夾)到同一或者不同分區內。只需要記住,只有移動到同一分區內才保留原來設置的權限,否則爲繼承目的地文件夾或者驅動器的NTFS權限。
現在開始說共享權限:
共享權限只有三種:讀取、更改和完全控制。Windows Server 2003默認的共享文件設置權限是Everyone用戶只具有讀取權限。Windows 2000 默認的共享文件設置權限是Everyone用戶具有完全控制權限。
下面解釋一下三種權限:
1、 讀取。讀取權限是指派給Everyone組的默認權限。
a、 查看文件名和子文件夾名。
b、 查看文件中的數據。
c、 運行程序文件。
2、 更改。更改權限不是任何組的默認權限。更改權限除允許所有的讀取權限外,還增加以下權限。
a、 添加文件和子文件夾。
b、 更改文件中的數據。
c、 刪除子文件夾和文件。
3、 完全控制。 完全控制權限是指派給本機上的Administrators組的默認權限。完全控制權限除允許全部讀取及更改權限外,還具有更改權限的權限。
和NTFS權限一樣,如果賦予某用戶或者用戶組拒絕的權限,該用戶或者該用戶組的成員將不能執行被拒絕的操作。
這裏再添加一點,Windows 2000 中,共享的文件夾,可以用空密碼用戶訪問。但是Windows Server 2003中,共享的文件夾,不可以用空密碼用戶訪問。這裏是比較常見的網絡共享無法訪問的問題,希望大家注意。所以我本身來說是不建議個人用戶使用Windows Server 2003的各個版本來作爲桌面機的操作系統。因爲2003針對安全性做了很多變動,而這些安全性的改動對我們桌面機來說沒有什麼意義,反而增加了網絡互聯的很多麻煩。
同時大家也許注意到了,Windows Server 2003的各個版本都是Server版的,2003前都有Server這個單詞,呵呵。而Windows2000的服務器版是Windows 2000 Server 以及Windows 2000 Ad Server 。
最後在說一下共享權限和NTFS權限的組合權限。
共享權限只對通過網絡訪問的用戶有效,所以有時需要和NTFS權限配合(如果分區是FAT/FAT32文件系統,則不需要考慮),才能嚴格的控制用戶的訪問。當一個共享文件夾設置了共享權限和NTFS權限後,就要受到兩種權限的控制。
如果希望用戶能夠完全控制共享文件夾,首先要在共享權限中添加此用戶(組),並設置完全控制的權限。然後在NTFS權限設置中添加此用戶(組),也設置完全控制權限。只有兩個地方都設置了完全控制權限,才最終有完全控制權限。
當用戶從網絡訪問一個存儲在NTFS文件系統上的共享文件夾的時候會受到兩種權限的約束,而有效權限是最嚴格的權限(也就是兩種權限的交集)。而當用戶從本地計算機直接訪問文件夾的時候,不受共享權限的約束,只受NTFS權限的約束。
同樣的,這裏也要考慮到兩個權限的衝突問題,比如,共享權限爲只讀,NTFS權限是寫入,那麼最終權限是完全拒絕。這是因爲這兩個權限的組合權限是兩個權限的交集。