windows 2003
1.与Windows权限密切相关的3个概念是:安全标识符、访问控制列表和安全主体2.权限管理的4项基本原则在Windows中,针对权限的管理有4项基本原则,即拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。3.文件与文件夹权限文件与文件夹依据是否被共享到网络上,其权限可分为NTFS权限与共享权限,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。(1)NTFS权限只要是在NTFS分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32分区上的文件与文件夹无效。NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。标准访问权限将一些常用的系统权限选项比较笼统地组成7组权限,分别是:完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别的权限。在大多数的情况下,标准访问权限是可以满足管理需要的,但对于权限管理要求严格的环境,往往就不能满足要求了,比如只想赋予某用户有建立文件夹的权限,而不赋予该用户建立文件的权限;又比如只想赋予某用户只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等,此时,就可以使用特别访问权限了,特别访问权限不再使用简单的权限分组,可以实现更具体、全面、精确的权限设置。
① 设置标准访问权限以Windows 2003系统的NTFS分区(C:)中名为Inetpub的文件夹为例,可以按照如下方法进行操作。右键单击Inetpub文件夹,在右键菜单中选择【共享与安全】,显示【Inetpub属性】对话框,如图4-49所示,选择【安全】选项卡,针对资源进行的NTFS权限设置就是通过这个选项卡来实现的,此时应首先在【组或用户名称】列表中选择需要赋予权限的用户名或组,然后在下方的【权限】列表中设置该用户可以拥有的权限。
② 设置特别访问权限第1步:在图4-49中,单击【添加】按钮,弹出【选择用户或组】对话框,单击【高级】按钮,单击【立即查找】按钮,如图4-51所示,选择ztguang用户,单击【确定】按钮后再单击【确定】按钮,返回【Inetpub属性】对话框,如图4-52所示。第2步:在图4-52中,单击【高级】按钮,弹出【Inetpub的高级安全设置】对话框,如图4-53所示,去掉【允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目】前面的对勾,这样可以断开当前权限设置与父级权限设置之间的继承关系。在随即弹出的【安全】对话框(图4-54)中单击【复制】或【删除】按钮(单击【复制】按钮可以首先复制继承的父级权限设置,然后再断开继承关系),返回【Inetpub的高级安全设置】对话框,然后单击【应用】按钮。第3步:在图4-53中,选中ztguang用户(读者要根据具体情况选择用户)并单击【编辑】按钮,弹出【Inetpub的权限项目】对话框,如图4-55所示,首先单击【全部清除】按钮,然后在【权限】列表中选择【遍历文件夹/运行文件】、【列出文件夹/读取数据】、【读取属性】、【创建文件/写入数据】、【创建文件夹/附加数据】和【读取权限】,然后单击【确定】按钮完成设置。在经过上述设置后,ztguang用户在对Inetpub文件夹进行删除操作时,就会弹出提示框警告操作不能成功。显然,相对于标准访问权限设置上的笼统,特别访问权限则可以实现更具体、全面、精确的权限设置。
(2)共享权限只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限,如果这个资源同时拥有NTFS和共享两种权限,那么系统中对权限的具体实施将以两种权限中“较严格的权限”为准(拒绝优于允许原则)。比如某个共享资源的NTFS权限设置为完全控制,而共享权限设置为读取,那么远程用户对共享资源只具有读取权限了。设置共享权限的方法是右键单击Inetpub文件夹,在右键菜单中选择【共享与安全】,在弹出的【Inetpub属性】对话框(图4-56)中选择【共享】选项卡,选中【共享此文件夹】,此时将使用默认的权限设置(即Everyone用户拥有读取权限)。如果想对共享权限进行具体设置,那么单击【权限】按钮,弹出的【Inetpub的权限】对话框,如图4-57所示,可以看到权限列表中有完全控制、更改和读取,这3个权限的含义见表4-8。
第3步:在图4-60中,选择“Network”类用户,然后单击【确定】按钮。返回【Inetpub属性】对话框(图4-52),可以按照前面讲述的内容为“Network”类用户指派对于Inetpub文件夹的NTFS权限或者共享权限。图4-60中主要的安全主体的作用说明见表4-9