从windows server的文件服务到分布式文件服务（五）

3.         NTFS 权限设置规则

NTFS 权限除了控制通过网络访问共享文件夹，还控制本地用户访问这个文件夹的权限。 NTFS 的设置比较复杂，基本上按照微软的说法，细粒度的分子权限和更细粒度的原子权限，分别如下表 7-1

 

特殊权限	完全控制	修改	读取及执行	列出文件夹内容（仅文件夹）	读取	写入
遍历文件夹/执行文件	x	x	x	x
列出文件夹/读取数据	x	x	x	x	x
读取属性	x	x	x	x	x
读取扩展属性	x	x	x	x	x
创建文件/写入数据	x	x				x
创建文件夹/附加数据	x	x				x
写入属性	x	x				x
写入扩展属性	x	x				x
删除子文件夹及文件	x
删除	x	x
读取权限	x	x	x	x	x	x
更改权限	x
取得所有权	x
同步	x	x	x	x	x	x

（表 7-1 ）

 

在表 7-1 中，绿色字就是原子权限，蓝色字就是分子权限， X 代表了分子权限包含的原子权限。这张表扎看点复杂，其实你要认真看并且领悟了，就可以很灵活的设置你需要的权限了。

4.         潜规则

以下几条我个人把它叫做潜规则，在设置用户权限的时候，必须要熟知它们，否则就会为带来困惑

A、 允许和拒绝权限，拒绝永远优先拒绝。

当给一个用户分配权限，如读权限分别被设置为读允许和读拒绝，那么这个用户最后的权限就是无法读取。所以拒绝权限一定要慎用。

B、 默认继承规则

子文件夹默认继承上级文件夹的权限，文件权限默认继承文件夹的权限。微软这样做的好处是免于重复的设置。但坏处是，如果子文件夹和上级文件夹的权限不同，那么就要删除这个继承规则

C、 不设置则隐式拒绝

如果对用户不设置某个权限（不勾选）那么这个用户就没有这个权限。

D、 多重权限的效果

比如一个用户分别属于两个组，现在对这两个组访问某文件夹有不同的权限。一个组可读，一个组可写。那么这个用户最后的权限是两个组的“逻辑或”关系，结果就是用户对这个文件夹即可读也可以写。还是画图直观一些，如下图 7.28

（图 7.28 ）

 

如果一个用户的两个组有一个有拒绝权限，结果是“逻辑非或”关系比如一个组可读，一个组禁止写。那么这个用户最后的权限就是不可写，可读。如下图 7.29

（图 7.29 ）

 

似乎看图是很容易理解的，但是我们有时候在实际工作中不知道用户到底有什么权限，能更直观的看出来吗？其实是可以的，方法如下图 7.30

（图 7.30 ）

 

右键共享文件夹属性 -“ 安全 ” 选项卡 -“ 高级“按钮 -“ 有效权限 “ 选项卡，输入我们需要查询的用户名，就可以看到了。

注：这里看到的某用户累积后的 NFTS 有效权限，因为前文已说，通过网络访问共享文件夹还需要共享权限，由于共享权限设置比较简单，所以很容易看出。

 

从windows server的文件服务到分布式文件服务（四）

从windows server的文件服务到分布式文件服务（六）