在Windows XP中,針對權限的管理有四項基本原則,即:拒絕優於允許原則、權限最小化原則、累加原則和權限繼承性原則。這四項基本原則對於權限的設置來說,將會起到非常重要的作用,下面就來了解一下:
1.拒絕優於允許原則
“拒絕優於允許”原則是一條非常重要且基礎性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權限“糾紛”,例如,“shyzhong”這個用戶既屬於“shyzhongs”用戶組,也屬於“xhxs”用戶組,當我們對“xhxs”組中某個資源進行“寫入”權限的集中分配(即針對用戶組進行)時,這個時候該組中的“shyzhong”賬戶將自動擁有“寫入”的權限。
但令人奇怪的是,“shyzhong”賬戶明明擁有對這個資源的“寫入”權限,為什麼實際作中卻無法執行呢?原來,在“shyzhongs”組中同樣也對“shyzhong”用戶進行了針對這個資源的權限設置,但設置的權限是“拒絕寫入”。基於“拒絕優於允許”的原則,“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的權限將優先於“xhxs”組中被賦予的允許“寫入”權限被執行。因此,在實際作中,“shyzhong”用戶無法對這個資源進行“寫入”作。
2.權限最小化原則
Windows XP將“保持用戶最小的權限”作為一個基本原則進行執行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權限賦予限制。
基於這條原則,在實際的權限賦予作中,我們就必須為資源明確賦予允許或拒絕作的權限。例如系統中新建的受限用戶“shyzhong”在默認狀態下對“DOC”目錄是沒有任何權限的,現在需要為這個用戶賦予對“DOC”目錄有“讀取”的權限,那麼就必須在“DOC”目錄的權限列表中為“shyzhong”用戶添加“讀取”權限。
3.權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單。假設現在有個“DOC”目錄,在這個目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄,現在需要對DOC目錄及其下的子目錄均設置“shyzhong”用戶有“寫入”權限。因為有繼承性原則,所以只需對“DOC”目錄設置“shyzhong”用戶有“寫入”權限,其下的所有子目錄將自動繼承這個權限的設置。
4.累加原則
這個原則比較好理解,假設現在“zhong”用戶既屬於“A”用戶組,也屬於“B”用戶組,它在A用戶組的權限是“讀取”,在“B”用戶組中的權限是“寫入”,那麼根據累加原則,“zhong”用戶的實際權限將會是“讀取+寫入”兩種。
顯然,“拒絕優於允許”原則是用於解決權限設置上的沖突問題的;“權限最小化”原則是用於保障資源安全的;“權限繼承性”原則是用於“自動化”執行權限設置的;而“累加原則”則是讓權限的設置更加靈活多變。幾個原則各有所用,缺少哪一項都會給權限的設置帶來很多麻煩!
注意:在Windows XP中,“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權力,也就是管理員組的成員可以從其他用戶手中“奪取”其身份的權力,例如受限用戶“shyzhong”建立了一個DOC目錄,並只賦予自己擁有讀取權力,這看似周到的權限設置,實際上,“Administrators”組的全部成員將可以通過“奪取所有權”等方法獲得這個權限。