1、NTFS文件权限的类型:(1)读取 此权限允许用户读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。(2)写入 此权限包括覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。(3)读取及运行 除了具有“读取”的所有权限,还具有运行应用程序的权限(4)修改 此权限除了拥有“写入”、“读取及运行”的所有的权限外,还能够更改文件内的数据、删除文件、改变文件名等。(5)完全控制 拥有所有的NTFS文件的权限,也就是拥有上面所提到的所有权限,此外,还拥有“修改权限”和“取得所有” 权限。
2、Windows Server 2003中安全策略主要包括以下几种:(1)对服务器上的所有文件,实施强有力的基于许可的安全措施。(2)对中低安全性的安装,除系统卷和引导卷外,所有驱动器上均实施域用户(Domain User)管理,避免使用缺省的每个用户(Everyone)、完全控制(Full control)许可等安全措施。(3)对于高安全性安装,去掉所有Everyone、完全控制许可权。不要用缺省许可代替, 只在特别需要的地方才增加许可。(4)以机构中的自然关系为基础建立组,按组分配文件许可权。(5)利用第三方的许可审计软件管理复杂环境中的许可权问题。
3、随着网络环境下的共享文件和文件夹的创建,可能会出现资源许可权冲突。当某个用户是多个组的成员时,其中的某些组可能允许访问某种资源,而其他组的成员被拒绝访问它。另外,有时也可能出现重复的许可。例如,某用户对一文件夹应能进行读(Read)访问,但他又是Administrator组的成员而同时又有完全控制(Full Contro1)权限。Windows Server 2003按以下方式确定访问权。(1)权限的累加性。用户对每个资源的有效权限是其所有权限的总和,即权限相加,把所有的权限加在一起为该用户的权限。(2)对资源的拒绝权限会覆盖掉所有其他的权限。例如,当用户对某一个资源的权限被设为拒绝访问,则用户的最后权限是无法访问该资源,其他的权限不再起作用。(3)文件权限会覆盖掉文件夹权限。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。例如,共享文件夹允许完全控制而文件允许只读,则该文件为只读。
4、如果用户需要查看文件或文件夹的属性,首先选定文件或文件夹,单击鼠标右键打开快捷菜单,然后选择“属性”命令。在打开的文件或文件夹的属性对话框中单击“安全”标签,选择“安全”属性卡。在“名称”列表框中,列出了对选定的文件或文件夹具有访问许可权限的组和用户。当选定了某个组或用户后,该组或用户所具有的各种访问权限将显示在“权限”列表柜中。这里我们选中的是Guests组,从图中可以看到,该组的所有用户具有对文件或文件夹的“读取及运行”、“列出文件夹目录”、“读取”权限。
5、在打开的文件或文件夹的“属性”对话框里,点击“安全”标签下单击“高级”按钮,可以打开访问控制对话框。在此,用户可以进一步设置一些额外的高级访问权限。单击“编辑”,将打开选定对象的权限项目对话框。此时,用户可以通过“应用到”下拉列表框选择需设定用户或组,并对选定对象的访问权限进行更加全面的设置。
