NTFS許可權小探

ntfs許可權小探

——「讀取」和「讀取和執行」

在windows管理中，一項重要的工作就是設定ntfs許可權。而許可權的管理是一項非常複雜的工作，ntfs許可權本身也有相當的複雜性。本文想就教學中乙個有關ntfs許可權的小問題，在這裡進行**，有不妥之處，還請各位指教。

我們的課程體系中windows的內容佔了一半多，這裡面就有關於windows管理的。其中的重點和難點乙個是關於windows域，另乙個就是本文要涉及到的許可權。把域作為重點是因為它是構建windows網路的靈魂，而對於域概念的理解就自然而然地成為難點。一方面，學生平時接觸的都是桌面作業系統；另一方面，域的概念很抽象。而我們使用域的目的是要簡化管理，實現網路資源的統一調配，使得網路結構更加契合企業的管理模型，利用ad的強大功能來強化企業安全策略。企業安全策略體現在網路管理上的乙個重要方面就是關於資源許可權的問題！

每每講到這裡都有許多的困惑，學生也會提很多的問題，教師之間也會就許可權問題互相**，過程中就會聽到一些對於許可權的誤解，這也是寫作本文的乙個初衷。希望能通過這篇小小的文章為大家在一定程度上解除困惑，消除誤解。果真能如此，也就足矣。

ntfs許可權是乙個複雜的體系，它控制著賬戶對資源的訪問，是windows安全體系中的重要組成部分。ntfs許可權由物件（驅動器、資料夾、檔案）、acl（訪問控制列表）及訪問控制項組成，其中「訪問控制項」就是我們說的許可權，它又分普通許可權和特殊許可權。而許可權又有繼承、非繼承和強制繼承等幾種情況。你說複雜不複雜！

一般來說，象「寫入」、「完全控制」、「修改」等許可權是不容易混淆的，光看字面意思就能明白他們的用處。在教學中最容易引起歧義的就是「讀取和執行」和「讀取」這兩個許可權。我們經常聽到有的教師對學生說：「讀取和執行」就是能夠讀檔案以及擁有執行檔案的權力，而「讀取」只是能讀檔案而已。這種說法我們不能夠完全認為不對，但還是有欠妥之處，還是禁不起推敲。而要想搞清楚他們之間的區別，還要從特殊許可權上入手。所謂「特殊許可權」也並不神秘，它只不過是許可權的細分而已。請看下圖：

該圖是windows幫助中擷取的關於許可權的部分。從這幅圖上，細心的讀者不難看出二者的區別。「讀取和執行」比「讀取」多了乙個「執行檔案」的特殊許可權。這或許還不能讓你理解他們之間的區別，下面我們就用實驗來說明問題。

首先，我們以administrator登入，然後建立乙個普通的域使用者「zhangsan」，如圖：

第二步，我們建立乙個資料夾「a」，並給domain\users賦權——「讀取」，如圖：

第三步，我們用「zhangsan」這個使用者登入，驗證他是否有權檢視資料夾「a」的安全屬性，如圖：

結果，zhangsan是有權讀取資料夾a的安全屬性的

第四步，更改zhangsan的許可權為寫入，然後驗證他是否還能夠讀取資料夾a的安全屬性，如圖：

結果很明顯，zhangsan失去了檢視物件安全屬性的能力。這裡要特別提出的是，當我們勾選「讀取和執行」許可權的時候系統會同時勾選「讀取」許可權，而單獨勾選「讀取」許可權的時候是不會同時勾選「讀取和執行」的。這說明，前者是依賴於後者的，前者的許可權包含了後者的許可權，反之則不成立。有興趣的朋友可以動手實驗一下。

所以，我在教學中會對學生強調，「讀取」許可權是一種使得賬戶具有檢視物件安全屬性的能力的許可權，即讀取許可權的許可權。當你具有了這種許可權，自然你就具有了讀取物件資料的許可權。而要想擁有執行應用程式的許可權，則需要擁有「讀取和執行」的許可權，但這往往是不夠的，因為許多應用程式在執行的時候需要你同時擁有對宿主資料夾或驅動器的「寫入」許可權。當然，本文所對比的這兩個許可權，無論從出發角度上還是驗證方法上都是存在著預設條件，比如：在做實驗以前，我取消了資料夾a從驅動器的許可權繼承，也沒有將特殊許可權的設定納入討論範圍等。要想充分掌握ntfs許可權的設定，還需要大家根據具體需求反覆實踐，才能夠充分領悟和運用自如。

NTFS許可權小探

特殊NTFS許可權

NTFS許可權筆記 2017 12 4

NTFS安全許可權

NTFS許可權小探

特殊NTFS許可權

NTFS許可權筆記 2017 12 4

NTFS安全許可權

相關推薦