有關(guān)WIN2000中NTFS權(quán)限的介紹及應(yīng)用

字號(hào):

WIN2000中添加了一個(gè)與WIN98及以前的WINDOWS版本不同的一個(gè)特性,那就是NTFS權(quán)限,由于有了這個(gè)特性,那么在WIN2000中就可以實(shí)現(xiàn)文件夾及文件級(jí)別的安全控制,這不同于WIN98中的帳號(hào)和密碼,在WIN98中,只要知道了帳號(hào)和密碼,那么就可以對(duì)計(jì)算機(jī)完全控制,而無(wú)法實(shí)現(xiàn)對(duì)某個(gè)帳戶只允許讀取某個(gè)文件夾或者某個(gè)文件的功能。而在WIN2000中,完全可以完美的實(shí)現(xiàn)這一點(diǎn)。OK,Let's go!
    首先,先說(shuō)一下要實(shí)現(xiàn)該功能的前提條件,那就是你的分區(qū)必須是NTFS分區(qū),如果是FAT或者FAT32分區(qū)的話,那么是無(wú)法實(shí)現(xiàn)該功能的,其實(shí)如果你的電腦上只有一個(gè)WIN2000操作系統(tǒng)的話,或者說(shuō)只要你的機(jī)子上沒(méi)有裝WIN98及WIN98以前的系統(tǒng)的話,那么用NTFS分區(qū)是一個(gè)非常好的選擇,這將大大提高你的系統(tǒng)的穩(wěn)定性和安全性。如果你的分區(qū)是FAT32分區(qū),那么可以通過(guò)這條命令來(lái)把他轉(zhuǎn)成NTFS分區(qū):
    convert x: /fs:ntfs
    其中的x可以用實(shí)際的盤符替換。不過(guò)要注意的一點(diǎn)是,WIN98是無(wú)法識(shí)別NTFS格式的分區(qū)的,也就是說(shuō)如果在WIN98的分區(qū)使用NTFS格式,那么WIN98將無(wú)法使用。而且該命令是不可逆的,也就是說(shuō)該命令只能將FAT32轉(zhuǎn)換成NTFS格式,而無(wú)法將NTFS格式轉(zhuǎn)換成FAT32格式,如果要轉(zhuǎn)換回來(lái)的話,那么要用PQ等軟件才能實(shí)現(xiàn)。
    好了,現(xiàn)在言歸正傳,使用了NTFS分區(qū)以后,你必須為需要訪問(wèn)一個(gè)資源的每一個(gè)用戶帳號(hào)授予NTFS權(quán)限,用戶必須獲得明確的授權(quán)才能訪問(wèn)經(jīng)過(guò)設(shè)置的資源。如果沒(méi)有權(quán)限,那么它將被拒絕訪問(wèn)該資源。打個(gè)比方:假設(shè)有一個(gè)文件,我對(duì)他進(jìn)行NTFS權(quán)限設(shè)置,我設(shè)置成只有我自己和A用戶才能訪問(wèn),那么除了我和A以外,其他任何帳戶登陸都將無(wú)法使用該文件,WIN2000會(huì)給出“沒(méi)有適當(dāng)?shù)臋?quán)限讀取”等字樣的提示。這就實(shí)現(xiàn)了該文件的安全性,而且該安全性無(wú)論是在計(jì)算機(jī)上還是在網(wǎng)絡(luò)上都有效,也就是說(shuō)即使通過(guò)網(wǎng)絡(luò)連接到該計(jì)算機(jī),也只有我和A用戶可以使用該文件,其他人也是無(wú)法使用的,雖然該文件被共享,但是其他人只能看到有這個(gè)文件,但是卻不能讀取,呵呵,有點(diǎn)看得見,吃不著的意思吧?
    在WIN2000中有個(gè)叫做Access Control List(ACL,訪問(wèn)控制列表)的東西,里面包含了可以訪問(wèn)該資源的用戶的帳戶,組和計(jì)算機(jī)。當(dāng)一個(gè)用戶訪問(wèn)該資源時(shí),那么必須在ACL中有它的帳號(hào),那么WIN2000才允許該用戶訪問(wèn)該資源,否則拒絕。
    這里要說(shuō)明的一點(diǎn)是,和我們想象的不一樣,WIN2000不是根據(jù)用戶名是否相同來(lái)識(shí)別用戶的,每一個(gè)帳號(hào)在創(chuàng)建的時(shí)候都有一個(gè)Security ID(SID,安全標(biāo)識(shí)符),WIN2000是根據(jù)這個(gè)SID是否相同來(lái)識(shí)別用戶的,如果SID不一樣,就算用戶名等其它設(shè)置一模一樣,WIN2000也會(huì)認(rèn)為是不一樣的兩個(gè)帳號(hào),這就像我們領(lǐng)獎(jiǎng)的時(shí)候,只認(rèn)你的身份證是否符合,而不管你的名字是否相同是一個(gè)道理的,而該SID是WIN2000在創(chuàng)建該帳號(hào)的時(shí)候隨機(jī)給的,所以說(shuō)當(dāng)刪除了一個(gè)帳號(hào)后,再次重新建立一個(gè)一模一樣的帳號(hào),其SID和原來(lái)的那個(gè)是不一樣,那么他的NTFS權(quán)限就必須重新設(shè)置。
    現(xiàn)在說(shuō)一下NTFS權(quán)限的實(shí)際應(yīng)用。用鼠標(biāo)右鍵點(diǎn)擊你想要設(shè)置權(quán)限的文件或者文件夾,選屬性->安全,這時(shí)你可以看到允許使用該文件的帳號(hào)或者組,默認(rèn)是都有Everyone組的,該組表示所有的用戶,下面部分就是可以為該組或者帳號(hào)設(shè)置的權(quán)限。如果Everyone的權(quán)限設(shè)置為完全控制,那么意味著所有的用戶都可以隨意操作該文件,包括讀取,修改,刪除等等。這也是WIN2000默認(rèn)的權(quán)限。你還可以添加帳號(hào),為帳號(hào)設(shè)置權(quán)限,這個(gè)只要你自己操作一下就知道怎么操作了,現(xiàn)在我只是舉個(gè)例子來(lái)說(shuō)明一下:
    假設(shè)有一個(gè)文件叫做FILE,我要設(shè)置為只有USER1,USER2和USER3這三個(gè)用戶可以使用該文件,但是USER1用戶可以隨意操作該文件,USER2用戶只能讀取該文件,而不能進(jìn)行如修改等等的其他操作,USER3可以讀取,可以寫入,但是不能刪除該文件,我說(shuō)明一下具體的操作方法。
    1、右鍵點(diǎn)擊FILE,選屬性->安全
    2、將下面的“允許將來(lái)自父系的可繼承權(quán)限傳播給該對(duì)象”前面的勾去掉。他會(huì)彈出一個(gè)對(duì)話框,選刪除。也就是說(shuō)把上面的Everyone等所有的帳號(hào)刪除。
    3、點(diǎn)添加,彈出一個(gè)對(duì)話框,選中USER1,添加,確定。
    4、然后選中USER1,在“完全控制”后面的“允許”下面打上勾。
    5、依照前面的方法添加USER2。
    6、選中USER2,在“讀取”后面的“允許”中打勾,其他的勾全部去掉。
    7、添加USER3。
    8、選中USER3,在“修改”后面的“允許”中打勾,確認(rèn)“完全控制”的勾去掉。
    9、選“高級(jí)”,選中USER3,點(diǎn)“查看/編輯”。把里面的“刪除”后面“允許”的勾去掉。
    10、搞定!?。?BR>    這時(shí),用USER1登陸,那么你可以完全控制該文件。
    用USER2登陸,可以打開該文件,當(dāng)保存的時(shí)候會(huì)出現(xiàn)“不能創(chuàng)建FILE,請(qǐng)確認(rèn)路徑和文件名是否正確”的提示框。這說(shuō)明現(xiàn)在USER2無(wú)法保存該文件。當(dāng)然也無(wú)法進(jìn)行其它操作,他只能讀取該文件。
    用USER3登陸,可以打開該文件,也可以保存。當(dāng)刪除該文件的時(shí)候會(huì)出現(xiàn)“無(wú)法刪除FILE:拒絕訪問(wèn)。源文件可能正在使用”的提示框,說(shuō)明無(wú)法刪除該文件。
    ***** 提醒:在未完全搞清楚權(quán)限的用法之前,隨便創(chuàng)建一個(gè)沒(méi)有用的文件,然后再進(jìn)行試驗(yàn),這樣比較安全。否則搞得重要文件被刪除了可不關(guān)我的事情。
    至于給文件夾設(shè)置安全,步驟和上面差不多,不過(guò)文件夾會(huì)多了一個(gè)繼承,也就是說(shuō)可以選擇權(quán)限設(shè)置是僅僅對(duì)該文件夾進(jìn)行起作用,還是對(duì)該文件夾和該文件夾的子文件夾及文件起作用。只要將“重置所有子對(duì)象的權(quán)限并允許傳播可繼承權(quán)限”前面打勾就可以了。
    ***********************  重點(diǎn)及難點(diǎn)  ****************************
    多重NTFS權(quán)限問(wèn)題一直是很多人搞不清楚的,現(xiàn)在作介紹并舉例說(shuō)明。
    ******注意:以下說(shuō)明的是多重NTFS權(quán)限之間的問(wèn)題,非NTFS權(quán)限和共享權(quán)限之間的多重。