Windows2003中的权限,是个并不难,但是相当繁琐的东西。
当有朋友问到这个权限的问题,而我在网上找了一下,没有找到合适的文章,所以就打算自己写一个试试看,希望能对大家有所帮助,所以本文只是面向windows2000及之后的Xp,Server 2003等版本初级用户。
因为Windows Server 2003以及之前的各个版本多多少少有一些不同,所以本文主要说明2000pro版及Server2003EE版。
本文主要参考了Windows Server 2003的帮助文件。
NTFS 与 FAT 和 FAT32 的对比
NTFS 文件系统始终比 FAT 和 FAT32 文件系统功能更强大。FAT 和 FAT32 彼此是相似的,除了 FAT32 比 FAT 更适合于较大磁盘的应用。NTFS 是一种最适合大磁盘使用的文件系统。
下面是选择 NTFS 时可能要使用的一些功能:
更好的伸缩性使扩展为大驱动器成为可能。NTFS 的最大分区或卷比 FAT 的最大分区或卷大得多,当卷或分区大小增加时,NTFS 的性能并不会降低,而在此情形下 FAT 的性能会降低。
Active Directory(和域 ,域是 Active Directory 的一部分)。通过 Active Directory 可容易地查看和控制网络资源。使用域可以在保持管理简单的情况下微调安全选项。域控制器和 Active Directory 需要使用 NTFS。
压缩功能,包括压缩或解压缩驱动器、文件夹或者特定文件的功能。(但是,不可以同时压缩和加密某个文件。此处一个小建议,不要对文件使用压缩,因为我认为这个压缩除了过程透明以外很不好用,完全可以用第三方软件来压缩,比如WinRar)
文件加密,它极大地增强了安全性。(但是,不可以同时压缩和加密某个文件。此处一个小说明,这个文件加密不是和大家平时见到的第三方软件一样的加密)可以对单个文件而不仅仅对文件夹设置权限。
远程存储,通过使可移动媒体(如磁带)更易访问,从而扩展了磁盘空间。
恢复磁盘活动的日志记录,它允许 NTFS 在断电或发生其他系统问题时尽快地恢复信息。
稀疏文件,稀疏文件是一些大型文件,应用程序以一种仅需有限磁盘空间的方式创建了这些文件。也就是说,NTFS 只为文件的写入部分分配了磁盘空间。
磁盘配额,可用来监视和控制单个用户使用的磁盘空间量。
NTFS文件系统可以通过下面三种基本的方式得到。
1.  格式化磁盘。格式化的时候选择NTFS文件系统,不过格式化后分区内数据全部丢失。
2.  FAT文件系统转换为NTFS文件系统并保留原有数据,在开始运行中输入cmd回车,然后在命令提示符下输入convert 盘符 /fs:ntfs ,比如转换D盘,convert d: /fs:ntfs 。(这个命令是最常用的NTFS转换方法。)
3.  魔术分区大师等等第三方软件。
下面开始说NTFS权限。
NTFS权限是做什么的呢?
       当一个用户试图访问一个文件或者文件夹的时候,NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表(ACL)中,如果存在则进一步检查访问控制项(ACE),然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组,就拒绝用户访问。
完全控制:对文件或者文件夹可执行所有操作。
修改:可以修改、删除文件或者文件夹。
读取和运行:可以读取内容,并且可以执行应用程序。
列出文件夹目录:可以列出文件夹内容,此权限只针对文件夹存在。
读取:可以读取文件或者文件夹的内容。
写入:可以创建文件或者文件夹。
特别的权限:其他不常用权限,比如删除权限的权限。
所有权限都有相应的“允许”和“拒绝”两种选择。
新建的文件或者文件夹都有默认的NTFS权限,如果没有特别需要,一般不用改。
文件或者文件夹的默认权限是继承上一级文件夹的权限,如果是根目录(比如c:\)下的文件夹,则权限是继承磁盘分区的权限。
设置各个账户以及组对当前文件或者文件夹的权限的方法很简单,就是上图中,选择你要修改的账户或者组,然后再下面的控制项框中选择合适的权限就行了。
还有一些特殊权限,以及取得文件或文件夹的所有权的方法。这里我就不讲了,因为这里一般的用户用不到,至少自己家里的机器我认为是用不到的。因为一般自己家里的机器本来就是用Administrators组(也就是管理员组)内的账户登陆的,这些权限一般用不到。公司里面也许会用到,不过公司里面有自己的网络管理员,都懂。
NTFS权限的应用规则
下面尽量简单明了的讲一下NTFS权限的应用规则,这可是比较麻烦的地方。
1.  权限的组合。
如果一个用户同时在两个组或者多个组内,而各个组对同一个文件有不同的权限,那么这个用户对这个文件有什么权限呢?
简单的说,当一个用户属于多个组的时候,这个用户会得到各个组的累加权限,但是一旦有一个组的相应权限被拒绝,此用户的此权限也会被拒绝。
举例来说:
假设有一个用户WZ,如果WZ属于A和B两个组,A组对某文件有读取权限,B组对此文件有写入权限,WZ自己对此文件有修改权限,那么WZ对此文件的最终权限为读取+写入+修改权限。
假设WZ对文件有写入权限,A组对此文件有读取权限,但是B组对此文件为拒绝读取权限,那么WZ对此文件只有写入权限。这里就还有一个小问题了,WZ对此文件只有写入权限,但是没有读取权限,那么,写入权限有效么?答案很明显,WZ对此文件的写入权限无效,因为不能读取怎么写入?连门都进不去,怎么把家具搬进去?
2、权限的继承。
       这里我不想做过多说明,因为我认为这是初学者不用过多了解的东西。只要知道新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限,但是从上一级继承下来的权限是不能直接修改的,只能在此基础上添加其他权限。也就是不能把权限上的勾去掉(因为你去不掉),只能添加新的勾。如下图,灰色的框为继承的权限,是不能直接修改的,白色的框是可以添加的权限。
当然这并不是绝对的,只要你的权限够,比如你是管理员,你也可以把这个继承下来的权限修改了,或者让文件不再继承上一级目录或者驱动器的NTFS权限。这里我不多讲这个问题。有必要的话,新开贴讲。因为这又是一个一句两句说不清楚的东西。
3、权限的拒绝
       这个很简单,只要记住,拒绝的权利是最大的就行了。无论给账户或者组了什么权限,只要在拒绝的这一栏里有勾,那么被拒绝的权限就绝对有效。这里如果不明白,看上面权限的组合里的例子。
4、移动和复制操作对权限的影响
       这里一共有四种情况,移动和复制文件(夹)到同一或者不同分区内。只需要记住,只有移动到同一分区内才保留原来设置的权限,否则为继承目的地文件夹或者驱动器的NTFS权限。
现在开始说共享权限:
共享权限只有三种:读取、更改和完全控制。Windows Server 2003默认的共享文件设置权限是Everyone用户只具有读取权限。Windows 2000 默认的共享文件设置权限是Everyone用户具有完全控制权限。
下面解释一下三种权限:
1、  读取。读取权限是指派给Everyone组的默认权限。
a、  查看文件名和子文件夹名。
b、  查看文件中的数据。
c、  运行程序文件。
2、  更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外,还增加以下权限。
a、  添加文件和子文件夹。
b、  更改文件中的数据。
c、  删除子文件夹和文件。
3、  完全控制。 完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取及更改权限外,还具有更改权限的权限。
和NTFS权限一样,如果赋予某用户或者用户组拒绝的权限,该用户或者该用户组的成员将不能执行被拒绝的操作。
这里再添加一点,Windows 2000 中,共享的文件夹,可以用空密码用户访问。但是Windows Server 2003中,共享的文件夹,不可以用空密码用户访问。这里是比较常见的网络共享无法访问的问题,希望大家注意。所以我本身来说是不建议个人用户使用Windows Server 2003的各个版本来作为桌面机的操作系统。因为2003针对安全性做了很多变动,而这些安全性的改动对我们桌面机来说没有什么意义,反而增加了网络互联的很多麻烦。
同时大家也许注意到了,Windows Server 2003的各个版本都是Server版的,2003前都有Server这个单词,呵呵。而Windows2000的服务器版是Windows 2000 Server 以及Windows 2000 Ad Server 。
最后在说一下共享权限和NTFS权限的组合权限。
共享权限只对通过网络访问的用户有效,所以有时需要和NTFS权限配合(如果分区是FAT/FAT32文件系统,则不需要考虑),才能严格的控制用户的访问。当一个共享文件夹设置了共享权限和NTFS权限后,就要受到两种权限的控制。
如果希望用户能够完全控制共享文件夹,首先要在共享权限中添加此用户(组),并设置完全控制的权限。然后在NTFS权限设置中添加此用户(组),也设置完全控制权限。只有两个地方都设置了完全控制权限,才最终有完全控制权限。
当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束,而有效权限是最严格的权限(也就是两种权限的交集)。而当用户从本地计算机直接访问文件夹的时候,不受共享权限的约束,只受NTFS权限的约束。
同样的,这里也要考虑到两个权限的冲突问题,比如,共享权限为只读,NTFS权限是写入,那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。