NTFS許可及其對應的許可操作 1.文件許可介紹: (1)READ(讀):讀取文件,查看文件屬性。文件所有者和文件許可。 (2)WRITE(寫):改寫文件,改變文件屬性,查看文件所有者和許可。 (3)READ及EXECUTE(讀取和執行):除了具有讀的許可外,還可執行文件。 (4)MODIFY(修改):除了具有WRITERREAD技EXECUTE許可外,還可以修改和刪除文件。 (5)FULL CONTROL(完全控制):除了具有以上許可外,還可以修改許可,獲取文件的所有權。 2.文件夾許可:除了具有以上的許可外,還有一條,就是"列出文件夾目錄",它允許用戶可以查看目錄。 3.宏觀ACE:這個概念沒有人用過,但是為了方便,我暫且使用它。對於某些用戶或者是某些組設定的許可的組合,它實際上最終就是修改了內部的ACE數據結構,所以我稱之為宏觀ACE。顯然,針對一個文件 (夾)所作的多條宏觀ACE,最終將修改ACL,它們的查看方法如下:在你要查看的對象上,點擊有鍵/屬性/安全頁,如圖1所示 圖1安全對象的安全頁 針對這個對象,只有一個ACE,即對Everyone組設置的。也就是說,現在的ACT.中有一個ACE構成。 4.當ACT.中有多條ACE存在時,如何判定最終的訪問許可。 這是一個比較復雜的問題,比如說,我們設置了Everyone組對文件夾test只讀的許可,對用戶Ad-ministrator設置了完全控制的許可,那麼用戶Anministrator最終的許可是什麼?對於這類問題的解決,我們有3條原則,分別是:多個組被賦予的不同的許可是可以累加的(針對組之間的許可沖突);文件的許可優先於目錄的許可 (針對文件夾和文件的許可沖突);拒絕訪問許可優先 (針對用戶和它所屬的組許可沖突)。 對於上面提出的問題,我們該如何來理解呢?實際上,Everyone組在設置只讀許可的同時,將其他的許可 (如完全控制)也隱含地拒絕了。因為Administrator在訪問對象時,要隸屬於Everyone組,根據第三條原則 (拒絕訪問許可優先)可以知道,Adminsitrator對這個對象的許可是只讀。 再來看一個問題:如果現在針對組Ad-ministrators又在test對象上設置了一個ACE,允許Administrators組對test的完全控制,現在請問Administrator用戶的對test的許可是什麼,是只讀還是完全控制? 對於這個問題,我們要依據第一條原則,,Administrator用戶同時屬於Administrators和Everyone組,把它們的許可累加,顯然,Administrator用戶獲得了對test的完全控制的許可。 讀者在實際中碰到諸如此類的問題時,可以靈活運用以上的3條原則,做出有利於安全的決策。 5.DACL和SACL能夠看到嗎? 答案是肯定的!方法是:右鍵點擊 "對象->屬性->安全頁->高級",如圖2所示。 圖2高級頁面 其中,"權限"頁的列表便是DACL,"審核"頁的列表便是SACL.用戶可以自已動手操作一下看一看. 6.所有者變更 來看這樣一個問題"在AAA公司的某台電腦中,用戶USER001創建了一個重要文件FILE001,並且只允許它自已完全控制.當用戶USER001辭職以後,公司如果想讀取這個文件,管理員有沒有辦法?答案也是肯定(沒有管理員辦不到的事情,呵呵)! 這裡需要經過兩步: 首先,以管理員身份登錄,打開如圖2所示的對話框,選擇"所有者"頁,如圖3所示。選中"替換子容器及對象的所有者","應用"之後,你就可以看到提示,依次繼續下去就可以了。取得所有權之後,在所有者頁面中會留下如圖3所示的頁面(注意:只有管理員組的成員才有這個權限),以記錄是誰取得了所有者權限。然後,就可以在安全頁面中設置你想要的ACK,進行訪問控制了。 圖3所有頁面 (未完待續)
