系统管理员必学：剖析NTFS默认权限

 

　　在本文中，我将针对Windows Vista Business Edition的系统权限进行讲解。其它不同版本的Windows系统，比如Windows NT， Windows 2000， 2003， XP，以及2008等，根据版本不同会有些许差异。而默认的应用范围则完全不同，比如在Windows 2000中，Everyone组的默认NTFS权限对于C：来说是Full Control的，而这种权限被整个等级继承，这种现象对于系统安全来说极为不利。其它版本的Windows在这方面进行了改善，避免了类似安全漏洞。

 

　　对于大多数应用来说， NTFS 权限种类足够用了。这些默认的权限包括：

 

　　1. 完全控制

 

　　2. 修改

 

　　3. 读取和执行

 

　　4. 文件夹内容列表

 

　　5. 读取

 

　　6. 写入

 

 

　　一般来说，如果某个用户拥有了 Modify（修改）权限，他就拥有了修改相关文件和文件夹的权限。又比如拥有Read and Execute（读取和执行）权限，那么就同时拥有了读取和文件夹内容列表的权限。而Write （写入）权限则有些特别，因为有时候我们希望用户可以对文件或者文件夹进行写入操作，但是却不希望他们读取其中的内容。另一个具有极大诱惑力的权限就是 Full Control（完全控制）。 Full Control权限不仅可以让用户具有编辑文件和文件夹的功能，还可以控制修改文件和文件夹的访问属性。

 

　　这些默认权限其实是由一些独立的权限组合成的，具体组合方式如表A所示：。

 

　　表A

 

　　完全控制　　修改　　读取和执行　　列表文件夹 （仅文件夹）　　读取　　写入

 

　　完全控制　　P

 

　　遍历文件夹/执行文件　　P　　P　　P　　P

 

　　列表文件夹/读取数据　　P　　P　　P　　P　　P

 

　　读取属性　　P　　P　　P　　P　　P

 

　　读取扩展信息　　P　　P　　P　　P　　P

 

　　创建文件/写入数据　　P　　P　　 　　 　　 　　P

 

　　创建文件夹/附加数据　　P　　P　　 　　 　　 　　P

 

　　写入属性　　P　　P　　 　　 　　 　　P

 

　　写入扩展属性　　P　　P　　 　　 　　 　　P

 

　　删除子文件夹和文件　　P

 

　　删除　　P　　P

 

　　读取权限　　P　　P　　P　　P　　P　　P

 

　　更改权限　　P

 

　　取得所有权　　P

 

　　从中我们可以注意到，读取和执行权限，列表文件夹权限，以及读取权限的组成非常相似，但是它们的应用范围却完全不同。

 

　　对于不同的权限需要留意的另一点是它们的应用范围。默认的权限属性是自上而下进行继承的。

 

　　而我们可以通过修改设置来修改某个权限的应用范围，这些范围包括：

 

　　· 仅当前文件夹

 

　　· 当前文件夹，子文件夹，以及文件

 

　　· 当前文件夹，子文件夹

 

　　· 当前文件夹和文件

 

　　· 仅子文件夹和文件

 

　　· 仅子文件夹

 

　　· 仅文件

 

　　默认状态的权限应用范围是当前文件夹，子文件夹，以及文件 ，也就是继承范围。

 

　　当然，根据环境要求，我们可以设定权限的应用范围。比如控制访问C:Windows目录的权限。

 

　　本文的目的是帮助大家了解NTFS文件权限的实质以及它的默认属性。如果还有任何疑问，欢迎在文章评论中提出。