首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > NTFS权限设计从入门到精通 > 正文

NTFS权限设计从入门到精通

出处:yangye.blog.51cto.com 作者:yangye 时间:2011-8-25 14:39:58

NTFS权限只能应用于NTFS分区中,分区、文件夹、文件均可设计NTFS权限。
下图1为Temp文件夹NTFS“标准安全页”属性,从图中可以知道Administrators这个组对Temp这个文件夹有允许操作的完全控制权限。

图1


在“用户控制列表区域”单击其他组或者用户,则会在下面的“权限控制列表区域”列出其相应的权限。
单击“高级”则进入“高级安全页”属性,则会有更加精细的权限设计。如图2

 图2
 
NTFS的几个特点:
1. 默认情况下,权限都是向下继承的。
也就是一个NTFS分区内的所有文件夹和文件权限都从分区的权限继承的。如图1,权限控制列表区域为灰色不可操作说明权限继承于上层。要想修改成可操作状态必须先打破继承,接下来的内容会具体提到。
2. 在XP、2003中,新格式化成NTFS的分区默认情况下Users组成员有追加文件/文件夹的权限。在做文件服务器时需要谨慎该默认权限,通过高级属性可以看到。
3. 当一个用户属于多个组,并且文件/文件夹赋予这些组不同的权限,那么用户得到的最终权限是这些组权限的累加。
4. 在做共享文件时,共享与安全中的权限取两者交集部分。
5. 拒绝权最优先。

 

基础知识就复习到这,下面来动手演练演练。
预定义环境如下:
1)环境为域环境,所有GS开头的组为活动目录全局——安全组。
2)所有设计均是在NTFS默认条件下进行。
3)共享权限均设置为Everyone允许完全控制。
4)所有设计都必须保留管理员管理权限。
5)顶层Department设置为Everyone只读权限。
 
一、Department为共享目录,其他文件层次如下图

要求:最小化管理操作。
允许Acc部门所有成员(GS-ACC-All)访问ACC文件夹、子文件夹及子文件;
允许Admin部门所有成员(GS-Admin-All)可以访问Admin文件夹、子文件夹及子文件。
 
权限设计过程:
1.1 对ACC文件夹的操作
a) 先打破父权限继承——在安全的高级属性中取消来自父权限的继承,注意,这里会有提示“是否复制父权限到这个文件夹”,选择复制,以防止所有用户都无法访问该文件夹,单击确定回到标准安全页面。后续将不再赘述打破继承的过程。

b)删除Administrators、System、Creator Owner以外的所有组和用户权限.
最好不要随便删除这三个组的默认权限,Administrators提供管理,SYSTEM与EFS加密有关,并且如果删除SYSTEM还会影响到权限的向下继承,需要强制向下层下发权限,Creator Owner是个非常有用的特殊组,后续的设计中会利用到。
c) 添加GS-ACC-All组允许“读取和运行”、“列出文件夹目录”、“读取”的权限。
d) 默认下层子文件夹\文件会继承ACC目录权限,无需设计。
 
1.2 对Admin文件夹的操作
参考上述操作,将最后一步改成添加GS-Admin-All组即可。
 
 
二、Department为共享目录,其他文件层次如下图


要求:最小化管理操作。
允许Acc部门所有成员(GS-ACC-All)读取ACC文件夹、子文件夹及子文件
允许ACC部门经理(GS-ACC-Mgr)可以修改Admin文件夹、子文件夹及子文件。
 
权限设计过程:
2.1 对ACC文件夹的操作
前面部分参考1.1操作,再加上GS-ACC-Mgr组允许“修改”权限即可。
 
 
三、Department为共享目录,其他文件层次如下图

要求:最小化管理操作。
允许Admin部门所有成员(GS-Admin-All)可以修改Admin文件夹、子文件夹(经理的除外)及子文件;
允许Admin经理级成员(GS-Admin-Mgr)可以修改Admin\Manager文件夹、子文件夹及子文件;
允许公司所有成员(GS-All-Member)访问Admin\Manager\公司组织图,但不能访问Admin\Manager下面其他文件;
允许公司所有成员访问Admin\Notice公告文件,但不能访问Admin下面其他文件。
 
权限设计过程:
3.1 对Admin文件夹的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-Admin-All对Admin文件夹允许“修改”权限;
4)添加GS-All-Member对Admin文件夹仅允许“列出文件夹目录”。“列出文件夹目录”只对文件夹生效,对文件无效,使得GS-All-Member成员可以穿透到Admin下层目录,而又不能访问Admin下层的文件。
至此Admin文件夹设置完毕。
 
3.2 对Manager文件夹的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-Admin-Mgr对Manager文件夹允许“修改”权限;
d) 添加GS-All-Member对Manager文件夹仅允许“列出文件夹目录”。穿透效果。
至此Manager文件夹设置完毕。
 
3.3 对Notice文件夹的设计
a) 在默认的基础上添加GS-All-Member对Notice文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。
 
3.4 对公司组织图的设计
a) 在默认的基础上添加GS-All-Member对公司组织图文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。
 
 
四、Department为共享目录,其他文件层次如下图

要求:最小化管理操作。
允许Admin部门所有成员(GS-Admin-All)可以在Admin\Report下面创建以各自名字命名的文件夹,不允许创建乱七八糟的文件;
各用户之间的文件只允许自己可以访问、修改,其他用户不可访问;
 
权限设计过程:
4.1 对Admin文件夹的设计
参考3.1过程。
 
4.2 对Report文件夹的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-All-Member对Report文件夹仅允许“列出文件夹目录”。
d) 进入Report的“高级”安全页中,单击“添加”,在空白处输入“GS-Admin-All”组名,单击“确定”,弹出“Report权限项目”,在“应用到”选择范围为“该文件夹”,单击下面的清除按钮,清除掉所有默认设置权限,只勾上允许“创建文件夹/附加数据”。然后一步步确定即可。
 
这个权限设计主要是用到了用户自身权限(仅可以创建文件夹)+Creator Owner(完全控制)组合,当用户创建了文件夹之后,他就是这个文件夹本身的创建者,那么他最终的权限就升级到了“完全控制”。
 
这个设计的难点在于Report文件夹下的用户文件夹名字未知,要去实现未知文件夹的权限隔离。
 
 
五、Department为共享目录,其他文件层次如下图

你刚搭建好一台文件服务器给各部门使用,要求设计初始权限;
要求:最小化管理操作。
所有部门的部门文件夹必须统一放在Department下,并且以部门命名;
Department下只允许IT部门新建文件夹、修改文件夹名字,但不可以创建文件;
其他任何人不得修改Department下文件夹名字,不得删除Department下面的文件夹;
部门文件夹只允许各部门成员访问;
各部门经理有对自己部门所有文件的完全控制权限。
 
权限设计过程:
 
5.1 对Department的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-All-Member对Department文件夹仅允许“读取和运行”、“列出文件夹目录”、“读取”的权限;
d) 先添加一条GS-IT-All对Department的修改权限;然后进入高级再添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限;
至此Department设计完毕。
 
5.2 对Department下部门文件夹的设计(以ACC为例)
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-ACC-All对Acc文件夹允许“读取和运行”、“列出文件夹目录”、“读取”的权限;
d) 添加GS-ACC-Mgr对Acc文件夹允许“完全控制”的权限;
e) 进入高级安全页添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限和拒绝“删除”的权限。
至此,ACC文件夹设置完毕。
 
5.3 其他部门文件夹可参考ACC来做。
 
 
以上NTFS权限设计均是我工作碰到的一些实际需求,只要大家对NTFS掌握比较深入(高级特性中的每个权限细节以及特殊的组),应该都不难解决。

相关文章 热门文章
  • 揭密NTFS
  • NTFS权限小探
  • 通过NTFSInfo获得Windows 2003磁盘信息
  • NTFS权限基础知识
  • Vista系统中NTFS权限管理实例
  • 如何破解 NTFS 下的 Windows 2000口令
  • 原来是这样绕过NTFS权限限制
  • 了解NTFS和共享级别权限
  • 了解Windows NTFS权限
  • 详细描述NTFS文件系统的可恢复性
  • 重新认识NTFS文件系统的妙处
  • 在Fedora core 4.0 加载NTFS和FAT32分区详述
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • Foxmail 7 正式版
  • MCTS Self-Paced Training Kit Exam 7...
  • Microsoft Exchange 2010 PowerShell ...
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • 今日邮件技术文章
  • NTFS权限设计从入门到精通
  • 限制域用户各自登录自己的计算机
  • Outlook Express压缩计数器清零
  • 浅谈Exchange 2003 收件人策略
  • Exchange迁移用到的几个常用命令
  • 用命令行批量从Domino迁移用户和邮箱到..
  • 从exchange2003升级到exchange2007后默..
  • 手动更新公用文夹件,提示OAB Version...
  • exchange2007与exchange2003共存时,如..
  • 删除AD用户或修改用户属性后outlook通...
  • Outlook使用RPC方式连接Exchange出现 ...
  • Exchange 2010误删地址列表导致通讯簿...
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号