Active Diretory 全攻略(六)--文件夹权限与共享(1)

什么是 权限?权限是指用户对于对象的访问限制。例如:能否新建、读取或删除对象。
    文件夹与文件的权限根据是否被共享到网络上,其权限分为以下两种:1、NTFS权限:只要是存在NTFS磁盘驱动器上的文件夹或文件,无论是否被共享出来,都具有此权限。2、共享权限:只要是共享出来的文件夹,就一定具有此权限。若文件该文件夹也存在NTFS磁盘驱动器上,便同时具有NTFS权限与共享权限。注意了:若文件同时拥有访问权限和共享权限,则取其中“较为严格的权限”为准。
   管理NTFS权限:先看NTFS权限的几个运行原则:1、在NTFS文件系统的每个文件夹与文件都有一项称为SECURITY DESCRIPTOR的特别属性,此属性中有个为DISCRETIONARY ACCESS CONTROL LIST (DACL,一般称为ACL)的列表,之前也提过。其中记录了用户或组帐户对该对象有什么样的访问权限,其实我们在设置权限时就是在编辑ACL的属性。2、NTFS权限设置方式,是以“文件夹或文件”为设置对象,不能够以“用户”为设置对象。3、NTFS权限具有继承性,所以子文件夹与文件都具有来自上层文件夹的权限。
    认识NTFS权限:两大要素:--特别访问权限和标准访问权限。打个比方来理解。就比较点菜时的单点和套餐。因为套餐只是事先把每道可以单点的菜组合在一起,省掉逐项选择的麻烦,如果对于所有的套餐都不满意,那还是可以单点的方式选菜。而标准访问权限其实就是将某些常用的特别访问权限配套组成6种。
   设置NTFS权限:现在建立好域中有两个组“MANAGERS”和“SUPERVISORS”。现在来设置“PRODUCT”文件夹的访问权限,其中“MANAGERS”组对于“PRODUCT”文件夹有完全控制的权限,而“SUPERVISORS”组则有读取和建立文件与文件夹的权限,至于其它人则只有读取权限。
 
  下面来 设置标准访问权限
右击PRODUCT属性。
选择安全选项卡,点高级。
深颜色的都是继承下来的。去掉勾,切断默认的继承关系。
便出现对话框,按复制,则会先复制继承的访问权限,才切断继承关系。按删除则会删除所有继承的NTFS权限。
只剩下非继承权限设置。按确定继续打开。
点添加。
填写组名
并赋予完全控制权限。
以相同的方式再添加EVERYONE
赋予读取权限。
 
下面来 自定义特别访问权限
   前面介绍的标准访问权限,只要加入用户组,再勾选所要的权限即可,但是设置“SUPERVISORS”组时就不一样啦,标准访问权限中并没有“读取和执行+建立文件与文件夹”这种套餐。按以上步骤同样把其加入组。
点高级
点SUPERVISORS,然后按编辑。
勾选“创建文件/写入数据”和“创建文件夹/附加数据”两个选项。[全部清除]按钮左边的复选框作用是让权限设置只应用到此文件夹的文件或了文件夹,不会继承应用到子文件夹中的对象,本例勾选
全勾上。设置完全后,由于默认子对象会继承上层对象的权限设置,所以“PRODUCT”文件夹中的“SALES”子文件夹与其中的“JANUARY。DOC”文件,都会和“PRODUCT”文件夹有相同的权限设置。
   设置NTFS权限的注意事项:
  1、权限尽量赋予组,避免赋予用户。
  2、权限具有累加性
  3、即是当用户隶属一个以上的组时,他的有效权限是所有权限的总和。
  4、将文件夹或文件复制到其它的文件夹趾,则被复制的数据会继承目的文件夹的权限
  5、将文件夹或文件移动到同磁盘的文件夹中,被移动的数据会保留原来的权限。
  6、将文件夹或文件移动到另一磁盘,则被移动的数据会继承目的文件夹的权限。
  7、当子文件夹与文件夹或者上层文件夹的权限设置不同时,以子文件夹和文件的设置为准。举个例子吧:如果“PRODUCT”文件夹只允许“EVERYONE”组读取,而“PRODUCT”下的“SALES”子文件夹却允许EVERYONE“更改,则EVERYONE对于SALES就有更改权限。
  但要注意一点:当上层文件夹允许完全控制时,因为它包含了删除子文件夹和文件这项特别访问权限,所以无论子文件夹或文件是否允许删除,用户都可以删除其中的子文件夹与文件。
 下面来看 取得所有权
  现在用户李小龙在域控制器上建立了个文件夹“MYFOLDER”
然后右击文件夹,选属性。
现在要做的就是李小龙是这个文件夹的拥有者,他就可以决定除了自己之外,其它人都不能够访问这个文件夹。点高级
取消勾,即是取消继承上层权限的设置。
然后按删除。
点是
 
然后把李小龙这个用户添加进来,并设为完全控制。
除了用户自行建立的对象之外,其它对象的拥有都都是本地的ADMINISTRATIONS组。
如果李小龙这个帐户被删除了呢,是不是就没人能管这个文件夹了?不是,ADMINISTRATORS组就可以取得所有权,这是03中ADMINISTRATORS组的内置能力。
下面看如何取得所有权。
在域控制器上点击这个文件夹。
便出现这个。点确定。
然后点高级
在替换。。。前打上勾。然后点确定。
点是。
点确定。便取得了所有权。
 
委派控制文件夹的建议:
除了ADMINISTRATORS组成员内置拥有取得所有权的能力外,满足以下任何一个条件的组也能够取得文件夹或文件的所有权。
   1、拥有文件夹或文件的取得所有权这项特别访问权限
   2、同时拥有文件夹或文件的读取使用权限与更改使用权限这两项特别访问权限
   3、拥有文件夹或文件的完全控制权,因为完全控制包含取得所有权这项特别访问权限。
   4、如果要把文件夹委派给组代为管理,建议不要赋予他们取得所有权,和更改使用权限这两项特别访问权限。
 下一小节介绍共享文件夹。
本文出自 “ yangming.com” 博客,请务必保留此出处 [url]http://ming228.blog.51cto.com/421298/94802[/url]
本文出自 51CTO.COM技术博客 本文出自 51CTO.COM技术博客

你可能感兴趣的:(职场,休闲)