使用NTFS權限保護數據安全

1.1.1 NTFS權限介紹

當一個用戶試圖訪問一個文件或者文件夾的時候，NTFS文件系統會檢查用戶使用的帳戶或者帳戶所屬的組是否在此文件或者文件夾的訪問控制列表(ACL)中，若是存在則進一步檢查訪問控制項(ACE)，而後根據控制項中的權限來判斷用戶最終的權限。若是訪問控制列表中不存在用戶使用的帳戶或者帳戶所屬的組，就拒絕用戶訪問。

文件夾的NTFS安全權限有以下7種，而文件的NTFS安全權限有6種，少了列出文件夾目錄權限。

徹底控制：對文件或者文件夾可執行全部操做。

修改：能夠修改、刪除文件或者文件夾。

讀取和運行：能夠讀取內容，而且能夠執行應用程序。

列出文件夾目錄：能夠列出文件夾內容，此權限只針對文件夾存在。

讀取：能夠讀取文件或者文件夾的內容。

寫入：能夠建立文件或者文件夾。

特別的權限：其餘不經常使用權限，好比刪除權限的權限。

全部權限都有相應的「容許」和「拒絕」兩種選擇。文件或者文件夾的默認權限是繼承上一級文件夾的權限，若是是根目錄(好比c:\)下的文件夾，則權限是繼承磁盤分區的權限。

1.1.2 NTFS權限的應用規則

下面講述NTF安全權限的應用規則。

權限是累積的。

當一個用戶屬於多個組的時候，這個用戶會獲得各個組的累加權限，可是一旦有一個組的相應權限被拒絕，此用戶的此權限也會被拒絕，好比：

假設有一個用戶USER，若是USER屬於A和B兩個組，A組對某文件有讀取權限，B組對此文件有寫入權限，USER本身對此文件有修改權限，那麼USER對此文件的最終權限爲讀取+寫入+修改權限。

權限的繼承。

新建的文件或者文件夾會自動繼承上一級目錄或者驅動器的NTFS權限，如圖所示，可是從上一級繼承下來的權限是不能直接修改的，只能在此基礎上添加其餘權限。也就是不能把權限上的勾去掉。

固然這並非絕對的，只要你的權限夠，好比你是管理員，也能夠把這個繼承下來的權限修改了，或者讓文件再也不繼承上一級目錄或者驅動器的NTFS權限。

權限的拒絕

拒絕的權利優先於容許的權限。不管給用戶帳戶什麼權限，只要設置了拒絕權限，那麼被拒絕的權限就絕對有效。

移動和複製操做對權限的影響

這裏一共有3種狀況，同一NTFS分區、不一樣NTFS分區以及FAT分區，以下表所示。

	同一NTFS分區	不一樣NTFS分區	FAT分區
複製	繼承目標文件（夾）權限	繼承目標文件（夾）權限	丟失權限
移動	保留原文件（夾）權限	繼承目標文件（夾）權限	丟失權限