第9节 本地文件安全权限-以NTFS文件系统为例

权限设置的三要素为访问者、权限、被访问的对象，任何权限的设置都围绕这三者展开。本文主要围绕NTFS权限进行展开。

1NTFS权限概述

• 通过设置NTFS权限，实现不同用户访问资源的不同权限。
• 分配了正确的访问权限后，用户才能访问其资源。
• 设置权限防止资源被篡改、删除。

2文件系统概述

2.1常见的文件系统

文件系统即在外部存储设备上组织文件的方式。

• Windows常见的文件系统：FAT、NTFS
• Linux常见的文件系统：EXT

2.2分区存储文件的方式

格式化时需要选择文件系统，文件系统将分区划分为许多block（存储文件内容）和inode（存储文件名并及其指针）。

• 一个block仅能为一个文件所用，剩余部分将浪费。
• block大小是否合适需根据该分区存储单个文件大小而定。

2.3设置block大小

右键分区→格式化→可选择分配单元大小。

3NTFS特点

3.1NTFS较FAT文件系统的优点

• 磁盘读写性能高
• 可靠性：（1）文件加密系统；（2）访问控制列表ACL（设置权限）
• 磁盘利用率：（1）压缩；（2）磁盘配额
• 支持单个文件大于4G。

3.2磁盘配额

• 作用： 为不同用户设置存可用空间，类似网盘。
• 操作： 右键分区→属性→配额，一般在管理服务器时需要使用。

3.3访问控制列表

• 百科： 《访问控制列表》
• 操作： 右键分区→属性→安全。

4NTFS权限及其设置

4.1基本权限的作用

• 读取和运行： 主要是针对可执行文件是否运行被运行。
• 列出文件夹目录： 表示双击打开该文件夹。
• 读取： 可以查看文件内容，可下载，包括可执行文件的内容。
• 写入： 分两层理解，（1）对于文件夹，说明允许在文件夹中创建新的文件，即可上传文件；（2）对于文件，说明运行在文件中新增内容。

4.2NTFS权限设置实操

请虚拟机中进行试验及操作。

• 打开win2003服务器，选择D盘，查看属性，确定分区文件系统为NTFS格式。
• 在D盘创建一个文件及文件夹。

cd d:
md	PublicResource\Rules
echo 666>PublicResource\share.txt
echo 111>PublicResource\Rules\Rules.txt

• 创建AB两个用户。

net user
net user a a /add
net user b b /add	#新建用户默认属于Users组

• 设置不同访问权限，A只能读取内容，B只能上传内容。A用户虽在该文件夹被限制了权限，但在家目录下，是有完全控制权限，至于其余位置需要看管理员是否设置权限。

• 取消父子级文件间权限的继承。点击复制表示复制父级文件的权限至子级文件，但是切断了两者间的继承性。
  

• 删除多余组，避免用户属于不同组而产生权限叠加。

• 添加用户，输入a;b，注意中间是分号，点击检查名称依次添加。

• a用户保存默认及可，b用户按以下勾选。

4.3权限累加

• 当用户权限与自己预想不一致时，查看用户是否属于多个组。
• 对于权限类型，取用户所属各组的并集，对于每一类权限的如何规定，按用户所属各组规定的最强者确定。
• 同一个权限有三种级别的规定，规定强弱如：无<允许<禁用。

4.4取得所有权

场景： 假设a用户创建了一个文件夹，并将父子级继承去掉，同时将其他用户及管理员移除权限，管理员应该怎么处理？
解决办法： 右键该文件夹→属性→安全→高级，管理员可以获得所有权。

4.5强制继承

适用场景： 当长期使用后，部分子文件夹权限比较混乱，对此需要将最高级文件夹设置强制继承。
作用： 对下强制继承父子级权限关系。
方法： 父级文件夹右键属性→安全→高级→如下勾选并确定。

4.6文件复制移动时的权限变化

• 复制： 文件有一个文件夹复制到另一个文件夹时，由于文件的复制要产生新文件，因此，新文件的使用权限继承目标文件夹的使用权限。
• 移动： 文件有一个文件夹移动到另外一个文件夹时，分为两种情况：（1）如果移动是在同一个磁盘分区中进行的，则文件的使用权限不变。因为在WINDOWS2000中，同一磁盘文件的移动只是指针的改变，并没有真正的移动。（2）如果移动到另一个磁盘分区的某个文件夹中，则该文件将继承目标文件夹的使用权限。因为移动到另一个磁盘分区，实际上是在那个分区产生新文件。 文件夹的复制或移动的原理与文件相同。

5总结

1. 关于权限：控制谁以什么权利访问什么资源。
2. 如何控制：在文件属性安全项中，通过父子级关系、针对用户或组进行控制。
3. 注意权限的累加及复制移动时的权限变化。

6参考文献

1. 《访问控制列表百科》
2. 《NTFS权限详解》