NTFS安全权限

0 引言
1 NTFS权限概述
2 文件系统概述
- 2.1 常见的文件系统
- 2.2 分区存储文件的方式
- 2.3 设置block大小
3 NTFS特点
- 3.1 NTFS较FAT文件系统的优点
- 3.2 磁盘配额
- 3.3 访问控制列表
4 NTFS权限及其设置
- 4.1 基本权限的作用
- 4.2 NTFS权限设置实操
- 4.3 权限累加
- 4.4 取得所有权
- 4.5 强制继承
- 4.6 文件复制移动时的权限变化
- 5 总结
6 参考文献

0 引言

权限设置的三要素为访问者、权限、被访问的对象，任何权限的设置都围绕这三者展开。本文主要围绕NTFS安全权限进行展开。学习NTFS安全权限目的是为了给文件或文件夹设权限，权限可以限制不同的用户在访问文件或文件夹时具有不同的权限。

1 NTFS权限概述

（1）通过设置NTFS权限，实现不同用户访问不同对象（文件或文件夹）的权限。
（2）分配了正确的访问权限后，用户才能访问其资源。
（3）设置权限防止资源被篡改、删除。

2 文件系统概述

2.1 常见的文件系统

文件系统即在外部存储设备上组织文件的方式，即存储方式/格式。

Windows常见的文件系统：FAT（FAT8、FAT16、FAT32）、NTFS
Linux常见的文件系统：EXT（EXT1、EXT2、…）

注意：
（1）分区必须建立文件系统，才能存储资料。在分区划分小的存储单元，这些小的存储单元称为簇（block）。
（2）什么是格式化：将分区数据清空，然后重新在分区上划分簇（block），即制作文件系统，因此格式化时需要选择文件系统类型。

2.2 分区存储文件的方式

格式化时需要选择文件系统，文件系统将分区划分为许多block（其中存储文件内容）和inote（存储文件名及其指针）。

一个block仅能为一个文件所用，剩余部分将浪费。
block大小是否合适需根据该分区存储单个文件大小而定。block越小，则指针越多，打开文件越慢，但是越大，则浪费越多。所以需要视具体情况而言，小而琐碎的文件，则block较小更好；而存储大的文件，则block较大更好。

2.3 设置block大小

右键分区→格式化→可选择分配单元大小。其中，默认为4096字节，节4KB。格式化时一般需要选择“快速格式化”比较快。

3 NTFS特点

3.1 NTFS较FAT文件系统的优点

磁盘读写性能高
可靠性：（1）文件加密系统；（2）访问控制列表ACL（设置权限）
磁盘利用率：（1）压缩；（2）磁盘配额
支持单个文件大于4G。

注意：
（1）若分区之前格式化时文件系统类型选择的是FAT类型，则不具备设置权限，所有用户一律平等。
（2）当U盘空间比较小时，如4G、8G、16G，格式化时选择FAT32类型效果比较好；NTFS针对大硬盘大分区。

3.2 磁盘配额

作用：为不同用户设置存可用空间，类似网盘。
操作：右键分区→属性→配额，一般在管理服务器时需要使用。

3.3 访问控制列表

百科：《访问控制列表》
操作：右键分区→属性→安全。

4 NTFS权限及其设置

4.1 基本权限的作用

读取和运行：主要是针对可执行文件是否运行被运行。
列出文件夹目录：表示用户双击可以打开该文件夹，看到这个文件夹有哪些目录。
读取：可以查看文件内容，可下载，包括可执行文件的内容。
写入：分两层理解，（1）对于文件夹，说明允许在文件夹中创建新的文件，即可上传文件；（2）对于文件，说明运行在文件中新增内容。
修改：包含了从读取到写入的所有权限，读取和运行、列出文件夹目录、读取、写入全拥有了，还拥有了删除权限。但是只是对文件夹和文件有修改权限，但是不能修改别人的权限——修改访问控制列表ACL。
完全控制：除了包含修改外，还包含了特别的权限，可对修改访问控制列表ACL。

4.2 NTFS权限设置实操

请虚拟机中进行试验及操作。实现在D盘中的PublicResource文件夹，a只能读取内容，b只能上传内容。

（1）打开win2003服务器，选择D盘，查看属性，确定分区文件系统为NTFS格式。

（2）在D盘创建一个文件及文件夹。

cd d:
md  PublicResource\Rules
echo 666>PublicResource\share.txt
echo 111>PublicResource\Rules\Rules.txt

（3）创建AB两个用户。

net user
net user a 1 /add
net user b 1 /add   #新建用户默认属于Users组

（4）我们的目的是给PublicResource文件夹设置不同访问权限—a只能读取内容，b只能上传内容。a用户虽在该文件夹被限制了权限，但在家目录下，是有完全控制权限，至于其余位置需要看管理员是否设置权限。新建的用户，默认属于普通用户组（users),他的权限也是默认的。

tips:
CREATOR OWNER 指创建者本人，即创建文件夹的用户，具有特别的权限，可以更改访问控制列表。
（5）若想修改访问控制列表ACL，需要取消父子级文件间权限的继承。点击复制表示复制父级文件的权限至子级文件，但是切断了两者间的继承性。

（6）删除多余组，避免用户属于不同组而产生权限叠加。

（7）添加用户，输入a;b，注意中间是分号（用分号可以同时添加多个用户），点击检查名称依次添加。

tips:
若不知道用户名称的具体拼写，可以点击>>高级，>>立即查找，选中需要的用户名，再点击确定。

（8）a用户保存默认及可，b用户按以下勾选。

tips:
b用户具有上传权限，其上传后不可以再下载，不可以读取、写入和修改。但是可以覆盖自己之前上传的文件或文件夹，但是不能覆盖别人的。可以覆盖自己的文件或文件夹是由于b用户创建的文件或文件夹还带有b用户的某些标识。

4.3 权限累加

（1）当用户属于多个组时，权限是累加的，累加只累加允许。当用户权限与自己预想不一致时，查看用户是否属于多个组。
（2）相同的权限，当允许碰到拒绝时，拒绝最大。取用户所属各组的，对于每一类权限的如何规定，按用户所属各组规定的最强者确定。
（3)设置权限时，一般不碰拒绝，除非遇到特殊情况。如b用户属于IT组，IT组成员为10个用户，IT组拥有对”机密“文件夹的完全控制权限，现要求b用户不能脱离IT组，同时要求b用户没有访问”机密“文件夹的所有权限。这时需要另外对”机密“文件夹设置所有权限对于b用户都勾选拒绝。

4.4 取得所有权

场景：假设a用户创建了一个文件夹，并将父子级继承去掉，同时将其他用户及管理员移除权限，管理员应该怎么处理？

解决办法：右键该文件夹→属性→安全→高级。注意只有管理员和管理员组具有取得所有权权限。

4.5 强制继承

适用场景：当长期使用后，部分子文件夹权限比较混乱，希望这些子文件都恢复以前继承的权限，对此需要将最高级文件夹设置强制继承。
作用：对下强制继承父子级权限关系。
方法：父级文件夹右键属性→安全→高级→如下勾选并确定。

4.6 文件复制移动时的权限变化

（1）复制：

某文件或文件夹无论是复制到同一个磁盘的另一个文件夹（目标文件夹）中，还是跨分区复制到另一个磁盘的文件夹中，复制后的文件/文件夹的权限强制继承目标文件夹的使用权限。因为文件的复制要产生新文件，因此，新文件的使用权限继承目标文件夹的使用权限。

（2）移动：文件由一个文件夹移动到另外一个文件夹时，分为两种情况：（1）如果移动是在同一个磁盘分区中进行的，则文件的使用权限不变。因为在WINDOWS2000中，同一磁盘文件的移动只是指针的改变，并没有真正的移动。（2）如果是跨分区移动到另一个磁盘分区的某个文件夹中，则该文件将继承目标文件夹的使用权限。因为移动到另一个磁盘分区，实际上是在那个分区产生新文件。文件夹的复制或移动的原理与文件相同。

5 总结

关于权限：控制谁以什么权利访问什么资源。
如何控制：在文件属性安全项中，通过父子级关系、针对用户或组进行控制。
注意权限的累加及复制移动时的权限变化。

6 参考文献

[1]本地文件安全权限-以NTFS文件系统为例

第9节 NTFS安全权限—给文件/文件夹设权限相关推荐

RHEL6基础四十九之RHEL文件（夹）权限进阶篇
ACL权限管理 ACL(Access Control List,访问控制列表)主要是提供传统的owner,group,others的read,write,execute权限之外的具体权限设置,ACL可 ...
chmod命令：修改文件（夹）权限
1.快速浏览 (1)修改xxx文件夹及其子文件的权限:chmod -R 777 xxx (2)给xxx文件的拥有者添加可执行权限: chmod u+x xxx 2.一些说明 chmod用于改变文件或目 ...
win7无法服务器共享文件夹权限设置密码,win7共享文件夹的权限和密码保护方法...
win7共享文件夹的权限和密码保护方法. 在局域网上,我们经常共享一些文件供局域网用户访问,但由于windows共享设置的复杂性,不同版本的操作系统设置各不相同;同时,在设置了共享文件夹之后,我们通常 ...
云服务器共享文件如何访问权限,怎么设置共享文件夹访问权限？
对于办公室一族来说,共享文件夹是一件普通又正常的事情,为了对共享文件的使用进行有效的管理,防止越权访问共享文件的行为,尤其是防止随意修改共享文件.随意删除共享文件以及随意复制共享文件的行为,我们通常需 ...
NTFS文件服务器存储权限配置,利用NTFS权限管理数据，要设置文件或文件夹的权限，必须是管理员...
在NTFS磁盘中,Windows Server 2012 R2操作系统会自动设置默认的权限值,并且这些权限会被其子文件夹和文件所继承.为了控制用户对某个文件夹以及该文件夹中的文件和子文件夹的访问,就需 ...
windows 2003 server 使用cwrsync同步文件夹的权限问题
windows 2003 server 使用cwrsync 3 同步文件夹后,权限和安全属性不能同步,直接导致无法使用,查阅资料后发现必须在运行命令前使用SET CYGWIN=nontsec参数将以 ...
Windows中的权限设置、文件压缩、文件加密、磁盘配额和卷影副本
目录权限设置文件夹的NTFS权限文件的NTFS权限 NTFS权限的应用规则文件压缩文件加密磁盘配额卷影副本权限设置的应用遇到的一个权限问题的小bug 权限问题的实际应用权限设置 N ...
读取NTFS的USN（获取文件的历史操作记录，即使这个文件已被删除）
原文转载于:http://blog.okbase.net/bruceteen/archive/242.html 上回说到NTFS USN会记录下文件的所有操作,但默认情况下并没有激活这一功能,所以不用 ...
文件服务器+权限+迁移,文件服务器文件夹,共享文件夹及权限迁移
文件服务器文件夹,共享文件夹及权限迁移文件服务器文件夹,共享文件夹及权限迁移 2010-11-08 11:18:14 标签:服务器权限文件休闲迁移版权声明:原创作品,如需转载,请与作者联系 ...

第9节 NTFS安全权限—给文件/文件夹设权限