1、Windows XP 中设置 NTFS 权限基本策略和原则Windows XP 中关于权限的问题有四个基本原则,在进行 NTFS 权限设置的时候就需要注意这些基本原则。对于 Windows XP 的各种权限设置我们还是需要格外的重视。设置 NTFS 权限基本策略和原则在 Windows XP 中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:拒绝优于允许原则“拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,
2、例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予
3、的允许“写入”权限被执行。因此,在实际操作中,“shyzhong”用户无法对这个资源进行“写入”操作。权限最小化原则Windows XP 将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shy
4、zhong”用户添加“读取”权限。权限继承性原则权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对 DOC 目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。累加原则这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在 A 用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”
5、用户的实际权限将会是“读取+写入”两种。显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!注意:在 Windows XP 中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个 DOC 目录,并只赋予自己拥有读取权力,这看似周到的权限设置
6、,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。取消“Everyone“完全控制权限选择要取消权限的文件或文件夹,右键选择属性,在“安全”选项卡下的 ACL 中找到“Everyone”的 ACE,选择编辑,将其“完全控制”权限前的勾去掉。复制和移动文件夹对权限的影响在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下:(1)复制资源时在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。(2)移动资源时在移动资源时,一般会遇到两种情
7、况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。(3)非 NTFS 分区上述复制或移动资源时产生的权限变化只是针对 NTFS 分区上而言的,如果将资源复制或移动到非 NTFS 分区(如 FAT16/FAT32 分区)上,那么所有的权限均会自动全部丢失。七步轻松完成 NTFS 文件系统的权限审核1) 审核项的应
8、用范围首先需要选择审核项目的应用位置,审核文件或文件夹时会出现“审核项目”对话框。在此对话框中,“应用到”列表显示了可以应用审核项目的位置。这些审核项目的应用方式取决于是否选中了“将这些审核项目只应用到这个容器中的对象和/或容器上”复选框。默认情况下,该复选框是清除的。当该复选框是:已清除.已选中. (2) NTFS 权限审核Windows XP 可以使用审核策略跟踪用于访问文件或其他对象的用户账户、登录尝试、系统关闭或重新启动以及类似的事件,而审核文件和 NTFS 分区下的文件夹可以保证文件和文件夹的安全。为文件和文件夹设置审核的步骤如下:第一步,在组策略窗口中,逐级展开左侧窗口中的“计算机
9、配置”“Windows 设置”“安全设置”“本地策略”分支,在该分支下选择“审核策略”选项。第二步,在右侧窗口中用鼠标双击“审核对象访问”选项,在弹出的“本地安全策略设置”窗口中将“本地策略设置”框内的“成功”和“失败”复选框都打上“”标记,然后单击“确定”按钮。第三步,用鼠标右键单击想要审核的文件或文件夹,选择弹出菜单的“属性”命令,接着在弹出的窗口中选择“安全”标签。第四步,单击“高级”按钮,选择“审核”标签。第五步,根据具体情况选择操作:如果要对一个新组或用户设置审核,可以单击“添加”按钮,并且在“名称”框中键入新用户名,然后单击“确定”按钮打开“审核项目”对话框。要查看或更改原有的组或
10、用户审核,可以选择用户名,然后单击“查看/编辑”按钮。要删除原有的组或用户审核,可以选择用户名,然后单击“删除”按钮即可。第六步,如有必要,在“审核项目”对话框中的“应用到”列表中选取希望审核的项目。第七步,如果想禁止目录树中的文件和子文件夹继承这些审核项目,选择“仅对此容器内的对象和/或容器应用这些审核项”复选框。需要注意的是,只有管理员组成员或在组策略中被授予“管理审核和安全日志”权限的用户才可以审核文件或文件夹。在 Windows XP 审核文件、文件夹之前,用户必须启用组策略中“审核策略”的“审核对象访问”。否则,设置完文件、文件夹审核时会返回一个错误消息,并且文件、文件夹都没有被审核。
