NTFS權限探討
【引子】
NTFS權限是做爲一個Windows管理員必備的知識,許多經驗豐富的管理員都可以很熟悉地對文件、文件夾、註冊表項等進行安全性的權限設置,包括徹底控制、修改、只讀等。而談論NTFS權限這個話題也算是老生常談了,可是對於一些「新手」,仍是會有一些不是很是清楚的地方,本文就針對NTFS權限的重點要素進行探討,以給你們對於NTFS權限的內容有一個初步的瞭解。
【正文】html
1、 用戶和組
權限設置必然涉及的三要素爲訪問者、權限、被訪問的對象,那麼咱們首先來看一下「訪問者」這一要素。「訪問者」其實就是咱們常說的「用戶和組」,用戶是授予權限的最小單位,而組則能夠看做是用戶的集合,在Windows系統中,用戶與組都是使用SID做爲其惟一標識符,應用到NTFS權限上也是如此,實際上也是對這些SID進行權限的授予。
那麼在這裏咱們先來了解一下在工做組環境中的Windows系統內置的一些具有特殊功能做用的用戶和組。安全
名稱 |
性質ide |
特色描述spa |
Administrator.net |
用戶orm |
所謂「超級管理員」,默認禁用。在系統默認的安全策略下,其不受UAC約束且將以管理員身份運行任何程序。鑑於這一特性將嚴重下降系統安全性,Microsoft不建議將其啓用。htm |
Administrators對象 |
組繼承 |
全部管理員賬戶都是Administrators組的成員。在ACL中,針對管理員的權限設置,一般使用Administrators組進行分配。注意在UAC啓用的狀況下,非經提權,僅有Administrators組的拒絕權限會應用到普通管理員。ci |
Users |
組 |
全部用戶賬戶都是Users組的成員。在ACL中,針對用戶的權限設置,一般使用Users組進行分配。 |
Guest |
用戶 |
來賓賬戶,默認禁用。相較於普通用戶賬戶,來賓賬戶受到更多限制。在於「控制面板\用戶賬戶和家庭安全\用戶賬戶\管理賬戶」中啓用來賓賬戶後,此賬戶也將被啓用。 |
HomeGroupUser$ |
用戶 |
家庭組用戶賬戶。用於實現家庭組簡化的、安全的共享功能。在建立家庭組後,此賬戶將被建立及啓用。 |
TrustedInstaller |
特殊用戶 |
可信任的安裝程序,實質上其指代的是一種特殊的服務,與Windows Modules Installer服務關係很大。可經過直接輸入名稱NTSERVICE\TrustedInstaller將其添加到ACL中。 |
HomeUsers |
組 |
在ACL中,針對家庭組的權限設置,一般使用HomeUsers組進行分配。 |
Authenticated Users |
特殊組 |
是全部在本系統或域內有合法帳戶的用戶的集合。 |
Everyone |
特殊組 |
全部用戶的集合,不管其是否擁有有合法帳戶。 |
Creator Owner |
特殊組 |
建立對象或目前是對象全部者的用戶的集合。實質上此組的做用是:當它存在於ACL中時,將同時將全部者用戶賬戶以設定的權限添加進ACL。 |
Owner Rights |
特殊組 |
此組的做用主要在於限制對象全部者隱性的查看、更改ACL的權限。 |
SYSTEM |
特殊組 |
本地系統。至關多的服務使用此身份運行,如Windows Search。 |
2、 NTFS權限
NTFS權限是基於NTFS分區實現的,經過對用戶或組授予NTFS權限能夠有效地控制用戶對文件和目錄的訪問。對於NTFS磁盤分區上的每個文件和文件夾,NTFS都存儲了一個訪問控制列表(ACL,Access Control Lists)。ACL中包含有那些被受權訪問該文件或者文件夾的全部用戶帳號、組和計算機,還包含他們被授予的訪問類型。爲了讓一個用戶訪問某個文件或文件夾,針對相應的用戶帳號、組,或者該用戶所屬的計算機,ACL中必須包含一個對應的入口,這樣的入口叫作訪問控制入口(ACE,Access Control Entries)。爲了讓用戶可以訪問文件或者文件夾,訪問控制入口必須具備用戶所請求的訪問類型。若是ACL沒有相應的ACE存在,Windows系統就拒絕該用戶訪問相應資源。
NTFS權限分爲標準NTFS權限和特殊NTFS權限兩大類。標準NTFS權限能夠說是特殊NTFS權限的特定組合。特殊NTFS權限包含了在各類狀況下對資源的訪問權限,其組合限制了用戶訪問資源的全部行爲。但一般狀況下,用戶的訪問行爲都是幾個特定的特殊NTFS權限的組合或集合。Windows爲了簡化管理,將一些經常使用的特殊NTFS權限組合起來造成了標準NTFS權限,當須要分配權限時能夠經過分配一個標準NTFS權限以達到一次分配多個特殊NTFS權限的目的。
以下列表就是標準NTFS權限和特殊NTFS的對應關係表。
標準NTFS權限 |
||||||
特殊NTFS權限 |
徹底控制 |
修改 |
讀取和執行 |
讀取 |
寫入 |
列出文件夾目錄 |
遍歷文件夾/運行文件 |
● |
● |
● |
● |
||
列出文件夾/讀取數據 |
● |
● |
● |
● |
||
讀取屬性 |
● |
● |
● |
● |
||
讀取擴展屬性 |
● |
● |
● |
● |
||
建立文件/寫入數據 |
● |
● |
● |
|||
建立文件夾/附加數據 |
● |
● |
● |
|||
寫入屬性 |
● |
● |
● |
|||
寫入擴展屬性 |
● |
● |
● |
|||
刪除子文件夾及文件 |
● |
|||||
刪除 |
● |
● |
||||
讀取權限 |
● |
● |
● |
● |
● |
|
更改權限 |
● |
|||||
取得全部權 |
● |
|||||
針對以上權限設置,下表列出了其所起到的做用。
權限類型 |
權限名稱 |
權限做用描述 |
標準NTFS權限 |
徹底控制 |
用戶能夠修改、增長、移動和刪除文件,以及它們相關的屬性和目錄。另外,用戶還能改變全部文件和子目錄的權限設置。 |
修改 |
用戶可以查看和修改文件和文件屬性,包括刪除和添加目錄文件或文件屬性。 |
|
讀取和執行 |
用戶能夠運行可執行文件,包括腳本。 |
|
讀取 |
用戶可以查看文件和文件屬性。 |
|
寫入 |
用戶可以改寫文件。 |
|
特殊NTFS權限 |
遍歷文件夾/運行文件 |
用戶能夠經過文件夾到達其它文件或文件夾,即便這些文件夾沒有遍歷文件或文件夾的權限。只有在「組策略」管理單元中沒有將「跳過遍歷檢查」用戶權限授予用戶組或用戶時,遍歷文件夾纔會生效。(默認狀況下,Everyone用戶組擁有「跳過遍歷檢查」用戶權限。) |
列出文件夾/讀取數據 |
用戶能夠查看一個文件的內容和數據文件列表。 |
|
讀取屬性 |
用戶能夠查看一個文件或文件夾的屬性,如只讀和隱藏。(NTFS定義這些屬性。) |
|
讀取擴展屬性 |
用戶能夠查看一個文件或文件夾的擴展屬性。(擴展屬性由程序定義,可能各不相同。) |
|
建立文件/寫入數據 |
創建文件權限容許用戶在文件夾內創建文件。(這個權限只應用於文件夾。)寫入數據權限容許用戶改寫文件,覆蓋現有內容。(這個權限只應用於文件。) |
|
建立文件夾/附加數據 |
創建文件夾權限容許用戶在文件夾內創建文件夾。(這個權限只應用於文件夾。)附加數據權限容許用戶修改文件末尾部分,但他們不能改變、刪除或覆蓋現有數據。(這個權限只應用於文件。) |
|
寫入屬性 |
用戶能夠修改文件或文件夾的屬性,如只讀或隱藏。(NTFS定義這些屬性。) |
|
寫入擴展屬性 |
用戶能夠修改一個文件或文件夾的擴展屬性。 |
|
刪除子文件夾及文件 |
用戶能夠刪除子文件夾及文件,即便該子文件夾及文件上沒有刪除權限。 |
|
刪除 |
用戶能夠刪除文件或文件夾。(若是用戶在該文件或文件夾上沒有刪除權限,可是在其父級的文件夾上有刪除子文件及文件夾權限,那麼就仍然能夠刪除它。) |
|
讀取權限 |
用戶擁有文件或文件夾的讀取權限,如徹底控制、讀取和寫入。 |
|
更改權限 |
用戶擁有文件或文件夾的變動權限,如徹底控制、讀取和寫入。 |
|
取得全部權 |
用戶能夠取得文件或文件夾的全部權。文件的全部者總能改變這個文件的權限,無論文件或文件夾受到何種權限的保護。 |
在使用基於NTFS的ACL中,還涉及到應用範圍,那就是在NTFS權限設置的時候的做用域了,以下表列出了相應的做用域。
權限做用域 |
只有該文件夾 |
此文件夾、子文件夾及文件 |
此文件夾和子文件夾 |
此文件夾和文件 |
僅子文件夾和文件 |
只有子文件夾 |
只有文件 |
可是在實際的權限配置中,因爲繼承、權限選項以及特殊組的存在,做用域的效果並非絕對的。以下則爲在高級權限設置中,會出現的一些權限選項:
選項名稱 |
選項描述 |
包括可從該對象的父項繼承的權限 |
以當前對象爲子對象,在子對象及其父對象之間創建繼承關係,並用父對象權限設置替換子對象權限設置。去除該選項的勾選能夠阻斷繼承關係。 |
使用可今後對象繼承的權限替換全部子對象權限 |
以當前對象爲父對象,在父對象及其子對象之間創建繼承關係,並用父對象權限設置替換子對象權限設置。 |
僅將這些權限應用到此容器中的對象和/或容器 |
做用域僅及於對象下的第一層文件/文件夾而不涉及更深層次的文件/文件夾。 |
替換子容器和對象的全部者 |
將對象中的全部文件/文件夾的全部者變動爲當前對象的全部者。 |
3、 NTFS權限的使用法則
爲了更好地應用和制度NTFS權限在設置的時候將產生的效果,咱們須要瞭解一些NTFS權限的法則。
一、 權限的積累,即權限最大法則
用戶對資源的有效權限是分配給該我的用戶帳戶和用戶所屬的組的全部權限的總和。若是用戶對文件具備「讀取」權限,該用戶所屬的組又對該文件具備「寫入」的權限,那麼該用戶就對該文件同時具備「讀取」和「寫入」的權限。當有拒絕權限時權限最大法則無效。
二、 文件權限高於文件夾權限
意思就是說NTFS文件權限對於NTFS文件夾權限具備優先權,當用戶或組對某個文件夾以及該文件夾下的文件有不一樣的訪問權限時,用戶對文件的最終權限是用戶被賦予訪問該文件的權限。假設你可以訪問一個文件,那麼即便該文件位於你不具備訪問權限的文件夾中,你也能夠進行訪問(前提是該文件沒有繼承它所屬的文件夾的權限)。
三、 拒絕權限高於其餘權限
拒絕權限能夠覆蓋全部其餘的權限。甚至做爲一個組的成員有權訪問文件夾或文件,可是該組被拒絕訪問,那麼該用戶原本具備的全部權限都會被鎖定而致使沒法訪問該文件夾或文件。也就是說上面第一點的權限累積原則將失效。
四、 指定的權限高於繼承的權限
即一個對象上對某用戶/組的明確權限設置優先於繼承而來的對該用戶/組的權限設置。例如原本該用戶繼承自父文件夾有對其下子文件夾或文件有「拒絕」的權限,可是管理員在該子文件夾或文件上授予該用戶有「容許」的權限,則該用戶對該子文件夾或文件擁有「容許」的權限。結合繼承、指定和拒絕、容許的條件,有以下的規則:指定拒絕 > 指定容許 > 繼承拒絕 > 繼承容許。
以上爲一些權限設置應用的規則,固然,咱們沒必要本身手動計算權限結果,而可使用「有效權限」選項卡來自動計算某一用戶/組的有效權限。但須要注意的是它並不會考慮UAC對權限分配的影響。
來源連接:http://www.canway.net/Original/xitongjishu/1222C42015.html
- 1. NTFS權限小探
- 2. NTFS權限
- 3. NTFS安全權限
- 4. NTFS權限介紹
- 5. 管理NTFS權限
- 6. NTFS權限詳解
- 7. 權限系統的安全性探討
- 8. 數據庫權限分配探討
- 9. NTFS權限拒絕優先
- 10. NTFS共享權限設置
- 更多相關文章...
- • MySQL刪除用戶權限(REVOKE) - MySQL教程
- • XSD 限定 / Facets - XML Schema 教程
- • Docker容器實戰(六) - 容器的隔離與限制
- • 互聯網組織的未來:剖析GitHub員工的任性之源
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. NTFS權限小探
- 2. NTFS權限
- 3. NTFS安全權限
- 4. NTFS權限介紹
- 5. 管理NTFS權限
- 6. NTFS權限詳解
- 7. 權限系統的安全性探討
- 8. 數據庫權限分配探討
- 9. NTFS權限拒絕優先
- 10. NTFS共享權限設置