管理NTFS权限.docx
- 文档编号:29951628
- 上传时间:2023-08-03
- 格式:DOCX
- 页数:24
- 大小:1.03MB
管理NTFS权限.docx
《管理NTFS权限.docx》由会员分享,可在线阅读,更多相关《管理NTFS权限.docx(24页珍藏版)》请在冰豆网上搜索。
管理NTFS权限
第八章管理NTFS权限
8.1什么是权限2
8.2安全标识符、访问控制列表、安全主体3
8.3共享权限、NTFS权限5
8.4权限的四项基本原则12
8.5权限的委派21
8.6作者的话27
8.1什么是权限?
我个人觉得有必要在讲NTFS权限之前,先和大家探讨一下什么是权限!
"权限"(Permission)是针对资源而言的。
也就是说,设置权限只能是以资源为对象,即"设置某个文件夹有哪些用户可以拥有相应的权限",而不能是以用户为主,即"设置某个用户可以对哪些资源拥有权限"。
这就意味着"权限"必须针对"资源"而言,脱离了资源去谈权限毫无意义──在提到权限的具体实施时,"某个资源"是必须存在的。
"权利"(Right)主要是针对用户而言的。
"权利"通常包含"登录权利"(LogonRight)和"特权"(Privilege)两种。
另外值得一提的就是很多人往往把“权利”和“权限”两个非常相似的概念搞混淆,这里做一下简单解释:
登录权利:
决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。
特权:
是一系列权利的总称,这些权利主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。
显然,权利与权限有本质上的区别。
8.2安全标识符、访问控制列表、安全主体
这里还有3个名词需要大家能够牢记,至于他们具体的意义如果你能够清楚的掌握,那么恭喜你,关于权限你已经基本掌握了一半了~O(∩_∩)O~
(1)安全标识符(SecurityIdentifier,SID)
安全标识符在WindowsXP中,系统是通过SID对用户进行识别的,而不是很多用户认为的"用户名称"。
SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为"A"的账户)后,再次创建这个"A"账户时,前一个A与后一个A账户的SID是不相同的。
PS:
查看用户、组、服务或计算机的SID值,可以使用"Whoami"工具来执行,该工具包含在WindowsXP安装光盘的"Support\Tools"目录中,双击执行该目录下的"Setup"文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到"X:
\ProgramFiles\SupportTools"目录中。
此后在任意一个命令提示符窗口中都可以执行"Whoami/all"命令来查看当前用户的全部信息。
①Setup文件所在的位置
图8.2.1
②运行“whoami“查看用户SID
图8.2.2
如果是Win7的系统,则无需安装该命令行工具!
(2)访问控制列表(AccessControlList,ACL)
访问控制列表是权限的核心技术。
顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是WindowsXP对资源进行保护时所使用的一个标准。
在访问控制列表中,每一个用户或用户组都对应一组访问控制项(AccessControlEntry,ACE),这一点只需在"组或用户名称"列表中选择不同的用户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。
显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整。
(3)安全主体(SecurityPrincipal)
在WindowsXP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。
根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的SAM管理;域的账户则会被活动目录进行管理......
一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。
因为用户组包括多个用户,所
以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。
8.3什么是共享权限、NTFS权限?
8.3.1共享权限(SharedPermission)
只要是共享出来的文件夹就一定具有此权限。
如该文件夹存在于NTFS分区中,那么它将同时具有NTFS权限与共享权限。
图8.3.1
共享权限有3种:
1)完全控制(FullControl):
允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹,另外,也可以修改该文件夹中的NTFS访问权限和夺取所有权。
2)修改(Modify):
允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹,但不能创建新文件。
3)读取(Read):
允许用户读取当前文件夹的文件和子文件夹,但是不能进行写入或删除操作。
8.3.2NTFS权限(NTFSPermission)
只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都具有NTFS权限。
此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效!
NTFS权限有两大要素:
标准访问权限:
将一些常用的系统权限选项比较笼统地组成6种"套餐型"的权限,即:
完全控制、修改、读取和运行、列出文件夹目录、读取、写入。
特别访问权限:
在标准访问权限的基础上,进行个性化的修改修改以后,所得到的权限。
实验步骤:
①在文件服务器上新建一个名为Share的共享文件夹,共享权限设为只读。
图8.3.2
②对同一文件夹,在安全选项框中给该用户所属组NTFS权限设置为完全控制
图8.3.3
③在客户机通过网络访问该文件夹,只能查看文件夹,无法修改删除以及新建文件夹或文件
图8.3.4
一、标准访问权限
图8.3.2
在上图中我们看到了六种权限:
(1)完全控制(FullControl):
该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限。
(2)修改(Modify):
该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限。
(3)读取和执行(Read&Execute):
该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径。
(4)列出文件夹内容(ListFolderContents):
该权限允许用户查看资源中的子文件夹与文件名称。
(5)读取(Read):
该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等。
(6)写入(Write):
该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
二、特别访问权限
(1)遍历文件夹/运行文件(TraverseFolder/ExecuteFile):
该权限允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限。
注意:
只有当在"组策略"中("计算机配置"→"Windows设置"→"安全设置"→"本地策略"→"用户权利指派")将"跳过遍历检查"项授予了特定的用户或用户组,该项权限才能起作用。
默认状态下,包"Administrators"、"Users"、"Everyone"等在内的组都可以使用该权限。
对于文件来说,拥了这项权限后,用户可以执行该程序文件。
但是,如果仅为文件夹设置了这项权限的话,并不会让用户对其中的文件带上"执行"的权限;
(2)列出文件/读取数据(ListFolder/ReadData):
该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据;
(3)读取属性(ReadAttributes):
该权限允许用户查看文件或文件夹的属性(如系统、只读、隐藏等属性);
(4)读取扩展属性(ReadExtendedAttributes):
该权限允许查看文件或文件夹的扩展属性,这些扩展属性通常由程序所定义,并可以被程序修改;
(5)创建文件/写入属性(CreateFiles/WriteData):
该权限允许用户在文件夹中创建新文件,也允许将数据写入现有文件并覆盖现有文件中的数据;
(6)创建文件夹/附加数据(CreateFolder/AppendData):
该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据,但不能对文件现有的数据进行覆盖、修改,也不能删除数据;
(7)写入属性(WriteAttributes):
该权限允许用户改变文件或文件夹的属性;
(8)写入扩展属性(WriteExtendedAttributes):
该权限允许用户对文件或文件夹的扩展属性进行修改;
(9)删除子文件夹及文件(DeleteSubfoldersandFiles):
该权限允许用户删除文件夹中的子文件夹或文件,即使在这些子文件夹和文件上没有设置删除权限;
(10)删除(Delete):
该权限允许用户删除当前文件夹和文件,如果用户在该文件或文件夹上没有删除权限,但是在其父级的文件夹上有删除子文件及文件夹权限,那么就仍然可以删除它;
(11)读取权限(ReadPermissions):
该权限允许用户读取文件或文件夹的权限列表;
(12)更改权限(ChangePermissions):
该权限允许用户改变文件或文件夹上的现有权限;
(13)取得所有权(TakeOwnership):
该权限允许用户获取文件或文件夹的所有权,一旦获取了所有权,用户就可以对文件或文件夹进行全权控制。
8.4权限的四项基本原则
在系统中,针对权限的管理有四项基本原则,即:
1)拒绝优于允许原则
2)权限最小化原则
3)累加原则
4)权限继承性原则
这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:
1.拒绝优于允许原则
"拒绝优于允许"原则是用于解决权限设置上的冲突问题的,是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限"纠纷"。
例如:
"Alice"这个用户既属于"sales"用户组,也属于"market"用户组,当我们在文件服务器中,对"sales"组设置允许”写入”权限,但是对”market”组设置拒绝”写入”权限…..那么Alice肯定100%无法写入文件到文件服务器中
2.权限最小化原则
权限最小化原则是用于保障资源安全的,可以确保资源得到最大的安全保障。
这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。
基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。
系统将"保持用户最小的权限"作为一个基本原则进行执行,这一点是非常有必要的。
例如:
在文件服务器中,有一个Share文件夹,里面有个abc.txt的文本文件,用户”alice”对abc.txt有”更改”权限,但是对Share文件夹只有”读取”权限.但是”Alice”仍然可以更改abc.txt当中的内容。
实验步骤:
①对Share共享文件夹,添加一个Alice用户,设置完全控制的共享权限,安全权限为拒绝写入
图8.4.1
②在Share文件夹中新建一个Alice文件夹,安全权限为允许写入
图8.4.2
③此时对于该文件夹,Alice用户既有允许写入权限,又有继承的拒绝写入权限。
那么实际的权限到底是允不允许写入,在客户端测试就很容易得出结论
图8.4.3
3.权限继承性原则
权限继承性原则是用于"自动化"执行权限设置的,可以让资源的权限设置变得更加简单。
例如:
现在有个"A"目录,在这个目录中有"B"、"C"、"D"等子目录,现在需要对A目录及其下的子目录均设置"Alice"用户有"写入"权限。
因为有继承性原则,所以只需对"A"目录设置"Alice"用户有"写入"权限,其下的所有子目录将自动继承这个权限的设置。
如果权限是继承而来的,那么如果不取消继承的话,在现有权限的基础上,只能做添加,不能对继承的权限进行撤销。
4.累加原则
累加原则是让权限的设置更加灵活多变,这个原则比较好理解。
例如:
现在"Alice"用户既属于"sales"用户组,也属于"HR"用户组,它在sales用户组的权限是"读取",在"HR"用户组中的权限是"写入",那么根据累加原则,"Alice"用户的实际权限将会是"读取+写入"。
关于NTFS权限的其他一些补充细节
管理员的至高权利:
在系统中,"Administrators"组的全部成员都拥有"取得所有者身份"(TakeOwnership)的权力,也就是管理员组的成员可以从其他用户手中"夺取"其身份的权力。
Everyone和Users的区别:
Everyone组中包含了Guest账户,而在Users组中是不包含Guest账户的。
资源的复制和移动时权限的变化;
✧复制:
在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限
✧移动:
1)如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);
2)如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。
基于访问权限的枚举:
仅允许用户查看他们有权访问的基于SMB的共享文件夹中的文件和文件夹。
如果某个用户对某个文件夹没有读取权限,则Windows会在该用户的视图中隐藏此文件夹。
就是我们说的所见即所得
●在WindowsServer2003的平台下,如果想启用基于访问权限的枚举,请到以下网站下载并安装Access-BasedEnumeration,如果您的系统是Windows2003Server的话,确认更新了SP1补丁。
WindowsServer2003Access-basedEnumeration
安装好该工具以后,仅会在共享文件夹中出现如下的选项卡
图8.4.1
上图中,勾选第一个复选框,表示对该文件夹启用基于访问权限的枚举;
如果勾选第二个的复选框,表示对所有的贡献文件夹都启用基于访问权限的枚举;
●在WindowsServer2008、WindowsServer2008R2的平台下,如果想启用基于访问权限的枚举,
①开始菜单管理工具共享和存储管理
图8.4.2
②选中需要启用ABE的共享文件夹右键“属性”
图8.4.3
③高级勾选“启用基于访问权限的枚举”复选框
图8.4.4
8.5权限的委派
(一)文件和文件夹权限的指派:
右击文件/文件夹属性单击”安全”选项卡
图8.5.1
(图中文件夹已经有一些默认的设置,这些都是从父级对象中继承而来的,再看图中administrators组的权限,打上了灰色的勾,这表示这些权限都是继承而来的)
点击“编辑”添加,输入需要添加的用户,并且给予一定的权限。
图8.5.2
图8.5.3
(二)如何不继承父对象的权限
右击文件/文件夹属性单击”安全”选项卡高级选中“权限”选项卡,单击“更改权限”
图8.5.4
撤选一下的这个复选框复选框
图8.5.5
包括可从该对象的父项继承权限:
选定后,每个对象将继承其父对象的权限;清除后,应用到父对象的权限将不再能能够应用到一个或多个子对象
使用可从此对象继承的权限替换所有子对象:
选定后,该父对象上的权限将替换其子对象上的权限;清除后,每个对象(无论是父对象还是子对象)上的权限都将是唯一的
此时会弹出该警报
图8.5.6
如果单击添加,便会保留原来从父对象继承的权限;
如果单击删除,那么就会将原先所有的权限删除
(三)特殊权限的指派
如图8.5.5点击“编辑”就可以设置特殊访问权限了,如下图所示,只需要对其中的细项权限进行更改,那么标准访问权限就变成了特殊访问权限。
在这里,我认为有2个地方需要解释一下:
图8.5.7
应用于:
列出了可以应用权限的位置范围。
仅将这些权限应用到此容器中的对象和/或容器:
如果勾选了此复选框,那么在此以后创建的子文件夹以及子文件夹中的文件,将不继承此用户的权限。
例如:
D:
\share,administrators组对于Share文件夹是完全控制权限,如图8.5.7,权限应用于此文件夹、子文件夹和文件,如果勾选了该复选框,那么在此以后Share文件夹中所创建的子文件夹和子文件夹中的文件将不继承administrators组的权限。
本章写到这里,我觉得已经大致的将管理NTFS权限进行了一个全面的说明,或许还有一些地方在本章节中并没有提到,也可能有一些地方写的有错误,这全部都是作者自身水平的问题,希望大家多多包涵,同时也希望各位读者提出宝贵的意见。
作者一直信奉:
只有不停的吸取采纳别人提出的意见与建议,那么技术才会不断的提升!
可能文档中的实际内容和目录会有些许差别,希望大家见谅,毕竟WORD转PDF中间避免不了的会出现一些小问题,望广大读者海涵!
之前小弟我也写过一些文档,个人认为我在这些文档当中学到了很多东西,有一些技术方面的东西,或许很多人都能够做的出来,但有多少人能够有这个勇气去把它写出来?
虽然小弟之前的几篇文档遭受了一小部分人的鄙视,但是还好群众的眼睛都是雪亮的,大部分人都是识货的~~对于曾经那些抨击了,鄙视了,嘲笑了小弟文章的人,小弟我直接将他们无视掉~~走自己的路,让山炮们说去吧!
感谢老王,老马,小毛,李老师,顾大爷等等众多朋友对小弟的鼎力支持~
仅以次文档来感谢那些支持过我的人,我会继续努力写出更多更好的文档来!
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 管理 NTFS 权限