自学网安-NTFS权限

实验环境：win2003

一、权限修改

文件权限                                  权限内容
完全控制                 拥有读取、写入、修改、删除文件、及特殊的权限
修改                        拥有读取、写入、修改、删除文件的权限
读取和执行             拥有读取、及执行文件的权限
读取                        拥有读取文件的权限
写入                        拥有修改文件内容的权限
特殊权限                 控制文件权限列表的权限

文件夹
文件夹权限                                权限内容
完全控制                  拥有对文件及文件夹读取、写入、修改、删除文件、及特殊的权限
修改                         拥有对文件及文件夹读取、写入、修改、删除文件的权限
读取和执行              拥有对文件夹中的文件下载、读取、及执行的权限
列出文件夹内容       可以列出文件夹的内容
读取                         拥有对文件夹中的文件下载、读取的权限
写入                         拥有在文件夹中创建新的文件的权限
 

首先保证磁盘格式为NTFS（建议分区在d盘里做，我这里就先不分区了）

首先新建一个文件夹，我这里建了一个名叫公共文档的文件夹

创建两个用户

命令：net users a 1 / add

           net users b 1 / add

用户   密码

a         1

b         1

在公共文档中建立一个文本一个文件夹

再到文件夹中建立一个文本

现在要实现让a用户只能读取公共文档

让b用户只能上传文件

右键打开文件属性，找到安全

看到ACL（访问控制列表）

新建用户为普通用户，默认在Users组中，可以看到Users组的权限也就是a，b用户的权限、

可以看到已有的权限我们无法修改，但是可以增加别的权限，因为列表权限是继承的父目录（我这里就是c盘）

管理员有至高无上的权限，比如a用户创建的文件他将acl中所有用户都删掉只有他自己，但是管理员依然有权限可以取得此文件的主权

因为我们要更改权限，所以接下来要取消继承

点击右下角高级

看到底下的两句话将第一句话勾掉，然后选择复制，然后选择复制

现在我们可以随意更改权限了，变成了白色不再是灰色

现在将出管理员外所有组的权限删除（排除其他用户对权限的干扰）

点击添加，a;b,添加多用户用分号隔开，然后点击确定，接下来会弹出检查用户名称，选中最开始创建的a，b用户即可（分别弹出的）

将b设置为如下权限

写入：针对文件是写入内容，针对文件夹相当于上传文件

a用户权限不变

设置好后点击应用然后确定

权限设置好后可以登录a，b用户验证

我先登录a用户

a对桌面有完全控制权限

a只有读取权限，我做了删除操作没有此权限，发现弹出对话框无法删除，权限设置成功

我现在对公共文档中的规章制度文件夹进行删除操作，发现不行，而我们刚才只对公共文档这个文件夹做了权限修改。这是因为规章制度继承了父目录的权限设置也就是公共文档文件夹。若想对此文件夹进行操作，需要将次文件夹的继承关系取消

经过上传，写入等多此验证发现都不行

现在验证b用户

上传文件，发现成功。修改，读取等操作发现都不能进行，试验成功

那么现在我将我上传的文件移出到桌面，会发现不成功，这是因为上传的文件已经自动集成公共文档文件夹了，所以b用户没有权限做出此操作

但是有个小漏洞，我们可以覆盖自己上传的文件，但不能覆盖原本的文件

试验注意点：

1.ACL不够干净，用户在不同组时，切也有权限，则权限会累加，所以一开始将其他组的权限删除。

二、权限累加

用户同时属于多个组时，权限时累加的

案例：
用户a同时属于IT组与HR组，IT组对文件夹jimi可以读取，HR组可以对jimi文件夹写入，则a用户最终的权限为读取和写入。

此实验简单就不做演示

三、拒绝最大

案例：
用户a属于财务部组，财务部组成员为10个用户，财务部组拥有对文件夹xxx访问权限，现要求a用

户不能脱离财务部组，   同时要求a没有访问文件夹xxx的权限。

创建IT组，将a添加到IT组中

命令：net localgroup IT /add

           net localgroup IT a /add

进入ACL，清空表，保留管理员组

添加IT组

为了达到上述案例效果我们再添加一个a

将a权限设置为拒绝

目前a单独一个访问权限，然后a还在IT组中，所以会权限累加。但是权限累加只累加允许，相同权限遇到后拒绝最大，所以最终a的权限为没有任何权限

现在验证，打开公共文档文件夹，发现无法打开，这时就成功实现，a在IT组，不踢出a情况下单独对a的权限进行限制

四、取得所有权

默认只有administrator有这个权限！

作用：可以将任何文件夹的所有者改为administrator

案例：
用户a已离职，但xxx文件夹的属主是a，由于a用户对xxx文件夹做过权限修改，导致其他用户对xxx文件夹没有任何权     限，现需要管理员administrator用户将xxx文件夹重新修改权限。

步骤：1.登录a用户，创建文件夹，打开ACL，首先取消继承父目录，将所有组权限删除包括管理                员组

            2.回到管理员，打开此文件夹ACL，点击高级，选择所有者。即可看到“将所有者更改为”

               选中管理员或者管理员组，并将下方“替换子容器及对象的所有者”勾选上。重新进入                       ACL。接下来就可以更改权限了。

实验简单就不再演示

五、强制继承

作用：对下强制继承父子关系！

方法：文件夹右键属性–安全–高级–勾上第二个对号，即可！

案例：
xxx文件夹下有多个子文件夹及文件，由于长时间的权限管理，多个子文件夹的权限都做过不同的权限修改，现需要xxx
下的所有子文件及文件夹的权限全部统一

实验简单就不再演示

六、文件复制对权限的影响

文件复制后，文件的权限会被目标文件夹的权限覆盖。

实验简单就不再演示