NTFS权限与共享文件夹管理全解析

# NTFS权限与共享文件夹管理全解析 ## 1. 用户账户控制（UAC）概述 用户账户控制（UAC）的目标是通过要求用户以标准用户模式运行，减少操作系统的暴露风险。在Windows Vista之前，Windows的使用模式默认赋予用户管理权限，软件开发者假定他们的程序可以访问和修改任何文件、注册表项或操作系统设置。即便Windows NT引入了安全机制，区分了管理账户和标准用户账户的访问权限，但安装过程仍引导用户使用内置的管理员账户或管理员组的成员账户。此外，标准用户有时也需要执行一些需要管理权限的任务，如安装软件和打开防火墙端口。 UAC的解决方案是减少对管理权限的频繁需求，使旧版应用程序能够以标准用户权限运行，让标准用户在需要时更轻松地获取管理权限，并让管理用户能够像标准用户一样运行。 ## 2. NTFS权限详解 ### 2.1 权限含义 NTFS权限既影响本地访问，也影响远程访问。而共享权限仅适用于网络共享，不会限制设置共享权限的计算机上的本地用户（或终端服务器用户）的访问。Windows 2008 Server有一组标准文件夹权限，它们是特定访问类型的组合。具体的权限包括完全控制、修改、读取和执行、列出文件夹内容、读取和写入。每个权限又由一组特殊权限组成，如下表所示： #### 文件夹特殊权限表 | 特殊权限 | 完全控制 | 修改 | 读取和执行 | 列出文件夹内容 | 读取 | 写入 | | --- | --- | --- | --- | --- | --- | --- | | 遍历文件夹/执行文件 | 是 | 是 | 是 | 是 | 否 | 否 | | 列出文件夹/读取数据 | 是 | 是 | 是 | 是 | 是 | 否 | | 读取属性 | 是 | 是 | 是 | 是 | 是 | 否 | | 读取扩展属性 | 是 | 是 | 是 | 是 | 是 | 否 | | 创建文件/写入数据 | 是 | 是 | 否 | 否 | 否 | 是 | | 创建文件夹/追加数据 | 是 | 是 | 否 | 否 | 否 | 是 | | 写入属性 | 是 | 是 | 否 | 否 | 否 | 是 | | 写入扩展属性 | 是 | 是 | 否 | 否 | 否 | 是 | | 删除子文件夹和文件 | 是 | 否 | 否 | 否 | 否 | 否 | | 删除 | 是 | 否 | 否 | 否 | 否 | 否 | | 读取权限 | 是 | 是 | 是 | 是 | 是 | 是 | | 更改权限 | 是 | 否 | 否 | 否 | 否 | 否 | | 取得所有权 | 是 | 否 | 否 | 否 | 否 | 否 | #### 文件特殊权限表 | 特殊权限 | 完全控制 | 修改 | 读取和执行 | 读取 | 写入 | | --- | --- | --- | --- | --- | --- | | 遍历文件夹/执行文件 | 是 | 是 | 是 | 否 | 否 | | 列出文件夹/读取数据 | 是 | 是 | 是 | 是 | 否 | | 读取属性 | 是 | 是 | 是 | 是 | 否 | | 读取扩展属性 | 是 | 是 | 是 | 是 | 否 | | 创建文件/写入数据 | 是 | 是 | 否 | 否 | 是 | | 创建文件夹/追加数据 | 是 | 是 | 否 | 否 | 是 | | 写入属性 | 是 | 是 | 否 | 否 | 是 | | 写入扩展属性 | 是 | 是 | 否 | 否 | 是 | | 删除子文件夹和文件 | 是 | 否 | 否 | 否 | 否 | | 删除 | 是 | 是 | 否 | 否 | 否 | | 读取权限 | 是 | 是 | 是 | 是 | 是 | | 更改权限 | 是 | 否 | 否 | 否 | 否 | | 取得所有权 | 是 | 否 | 否 | 否 | 否 | 需要注意的是，被授予文件夹完全控制权限的组或用户可以删除任何文件和子文件夹，无论这些文件或子文件夹的单独权限如何。任何被分配了取得所有权权限的用户或组都可以成为文件或文件夹的所有者，然后更改权限并删除文件，甚至整个子文件夹树，无论在成为所有者之前的权限如何。 ### 2.2 权限工作原理 如果不采取任何操作，共享文件夹内的文件和文件夹将具有与共享相同的权限。目录和文件的权限可以分配给以下对象： - 本域中的组和单个用户； - 本域信任的域中的全局组、通用组和单个用户； - 特殊身份，如“Everyone”和“Authenticated Users”。 权限的重要规则总结如下： - 默认情况下，文件夹从其父文件夹继承权限，文件从其所在的文件夹继承权限； - 用户只有在被授予访问权限或属于被授予权限的组时，才能访问文件夹或文件； - 权限是累积的，但拒绝权限优先于其他所有权限。例如，如果销售组对某个文件夹具有读取权限，财务组对同一文件夹具有修改权限，而Wayne同时属于这两个组，那么Wayne具有更高的权限，即修改权限。然而，如果销售组的权限明确更改为拒绝，那么Wayne将无法使用该文件夹，尽管他是财务组的成员； - 显式权限优先于继承权限。如果对象具有显式允许权限，继承的拒绝权限不会阻止访问； - 创建文件或文件夹的用户拥有该对象，并可以设置权限来控制访问； - 管理员可以取得任何文件或文件夹的所有权。 ### 2.3 考虑权限继承 权限分为显式权限和继承权限。显式权限是你在创建文件或文件夹时设置的权限，而继承权限是从父对象传递到子对象的权限。默认情况下，创建文件或子文件夹时，它会继承父文件夹的权限。如果在查看对象的权限时，允许和拒绝框被阴影覆盖，则表示这些权限是继承的。 如果你不希望子对象继承父对象的权限，可以在父级或子级阻止继承。在父级阻止继承，所有子文件夹都不会继承权限；在子级选择性阻止继承，部分文件夹会继承权限，部分则不会。 要更改继承权限，请按照以下步骤操作： 1. 右键单击文件夹，选择“属性”； 2. 点击“安全”选项卡，然后点击“高级”； 3. 在“高级安全设置”对话框的“权限”选项卡上，高亮显示你要更改的权限，然后点击“编辑”； 4. 清除“包括来自此对象的父对象的可继承权限”复选框。此时，你将有选项将现有权限复制到对象或移除所有继承权限。对象将不再从父对象继承权限，你可以更改权限或从权限列表中移除用户和组。 ## 3. 添加共享文件夹步骤 在Win