“NTFS Permissions”，鉴于NTFS已经与我们保持了如此长的密切联系，这个话题可以被认为是陈词滥调。但是，在NT6.x大大提高了系统安全性之后，NTFS权限作为安全的重要组成部分已不再是远离用户应用程序的技术。实际上，由于应用程序的特殊要求，某些用户可能必须更改单个受保护的系统文件。许多用户可以发现由NTFS权限配置错误引起的异常，并且NTFS和UAC权限的组合也是我们的应用程序。带来更多可能性。为了在不影响系统安全性的情况下实现我们的应用程序目标，我们需要初步了解NTFS权限的内容和配置方法。是的，对于这篇文章。
严格来说，NTFS权限的官方名称是ACL（访问控制列表），因此ACL的概念将在以下语句中逐步引入。同时，由于ACL广泛用于控制系统权限，因此本文中提到的内容主要是NTFS权限，但可以在具有ACL特征的其他方案中进行分析，例如注册表。
在谈论ACL用户和组——时应该说的主题、
必须设置权限设置以授予对组的对象访问权限，并且用户和组是授权组。用户是授予权限的最小单元，可以将组视为用户集合。用户和组都使用SID作为其唯一标识符。与通用Active Directory域组、的全局域组、及其嵌套转换、相比，独立环境中的用户和组更加简单。这些是具有特殊功能定位的一些用户和组。
管理员：用户。默认情况下禁用所谓的“超级管理员”。在系统的默认安全策略下，它不受UAC的约束，并将以管理员身份执行任何程序。由于此功能会大大降低系统的安全性，因此不建议启用它。
嘉宾：用户。来宾帐户，默认情况下已禁用。来宾帐户比普通用户帐户更受限制。在控制面板\用户帐户和家庭安全\用户帐户\管理帐户中启用来宾帐户时，也将启用此帐户。HomeGroupUser $：用户。开始组的用户帐户。、安全交换功能，用于简化家庭组。创建家庭组后，将创建并启用此帐户。
TrustedInstaller：特殊用户。从本质上讲，受信任的安装程序是指与Windows模块的安装服务有很大关系的特殊服务。可以通过直接输入名称NTSERVICE \ TrustedInstaller将其添加到ACL中。
管理员：组。所有管理员帐户都是管理员组的成员。在ACL中，通常通过Administrators组分配管理员权限设置。请注意，如果启用了UAC，则不会发出权限，只有Administrators组的拒绝权限才会应用于普通管理员。
用户：组。所有用户帐户都是Users组的成员。在ACL中，通常通过Users组分配用户的权限设置。
主页用户：集团。在ACL中，通常使用“家庭用户”组分配启动组的权限设置。
认证用户：特殊群组。它是在系统或域中拥有合法帐户的所有用户的集合。
全部：特别小组。顾名思义，是所有用户的集合，无论他们是否拥有合法帐户。
所有者创建者：特殊组。创建当前为对象所有者的对象或用户的集合。本质上，该组的功能是，当它存在于ACL中时，所有者用户帐户也会添加到具有已建立权限的ACL中。
拥有者的权利：特殊群体。该组的功能主要是限制对象的所有者隐式地看到权限、来更改ACL。
系统：特殊组。本地系统许多服务都使用此标识运行，例如Windows Search。
、可以做什么？可以为——分配权限。
事实上，当ACL应用于不同的场景时，它们具有不同的分配权限。此处仅描述了基于NTFS的ACL权限分配选项。
按类型，许可证包括标准许可证和特定许可证。标准权限由指定的特定权限和指定的范围组成。
在基于NTFS的ACL中，标准权限是：总量控制（完全控制+文件夹滚动/执行文件+列出文件夹/读取数据+读属性+读取扩展属性+创建文件/写数据+创建文件夹/附加数据+写属性+写在扩展+删除子文件夹的属性和文件+删除+读取权限+更改权限+取得所有权）
修改（跨文件夹/执行文件+列出文件夹/读取数据+阅读+属性读取扩展属性+创建文件/写数据+创建文件夹/附加信息+写属性+类型的扩展属性+删除+读取权限，范围：本文件夹、子文件夹和文件）
读取和执行（跨文件夹/执行文件+文件夹列表/读取数据读取属性+ + +读取扩展属性读取权限，范围：此文件夹的子文件夹和文件、）
示出了文件夹的内容（路径文件夹/文件执行+文件夹列表/读出的数据读出属性+ + +读扩展属性读取权限，范围：该文件夹和子文件夹）
读取（列表列表/读取数据+读取属性+读取扩展属性+读取权限，范围：此文件夹、子文件夹和文件）
写（创建文件/写入数据+创建文件夹/附加数据+写入属性+写入扩展属性，范围：此文件夹、子文件夹和文件）
特殊许可证（其他特定许可证与范围的组合）

但是，在权限的实际配置中，由于、权限选项的继承和特殊组的存在，范围不是绝对的。
此外，“所有者”也可以被视为特殊权限配置。所有者始终具有隐式权限，可以查看更改对象、（除非受所有者权限的限制）。具有“属性”权限的任何管理员帐户或其他帐户都可以强制更改对象的属性。取得所有权是控制对象的重要步骤，下面将提到控制对象的具体方法。
、如何简化ACL配置？权限选项——在高级权限设置（Properties \ Security \ Advanced）中，我们可以找到一些权限选项。权限选项非常适合简化ACL的配置。这些许可选项包括：
它包括可从父对象中继承权限：当前对象是一个子对象，子对象和它的父对象，并且设置许可次级目标集之间的继承关系置换为许可设定对象校长。删除此选项的复选框以阻止继承关系。
与可从该对象继承的权限替换所有子对象的权限：取当前对象为主要对象，设置的主要对象及其子对象之间的继承关系，并更换辅助对象配置的权限设置主要对象的权限。
在该容器中应用这些权限的对象和/或容器：范围只有对象下的文件/文件夹的第一级，并不意味着文件/文件夹更深。
替换容器和辅助对象的所有者：将对象中所有文件/文件夹的所有者更改为当前对象的所有者。
如何计算有效权限、？——权限规则
权限规则很简单，只有两个：
1、“指定”优先于“继承”
也就是说，为对象上的用户/组设置显式权限优先于为该用户/组继承的权限配置。例如：
现有文件夹文件夹A，文件夹A具有子文件夹文件夹B，文件夹B和文件夹A具有继承关系权限。对于用户用户，文件夹A拒绝具有写访问权限，文件夹B为用户提供与继承权限设置分开的写入权限。此时，用户具有对文件夹B的写访问权。
2、“拒绝”优先于“允许”
也就是说，当一个用户/组权限赋予既作为权利的剥夺，除了在规则1的情况下，特权的优先级是理所当然的。例如：
现有文件夹，A文件夹和User，User用户都属于GrupoA和GrupoB。对于A组，文件夹A可让您完全控制。对于B组，文件夹A拒绝具有写访问权限。此时，用户没有文件夹A的写入权限。
当然，我们并不手动计算允许的结果，但我们可以用标签“现有的权利”来自动计算有效权限的用户/组。但是，必须考虑到它不考虑UAC对权利分配的影响。
、系统如何配置ACL？——默认ACL分析为了实现安全性和易用性的平衡，系统分区默认具有一组严格的ACL配置。对一些典型的默认ACL的分析不仅为我们解决权限相关问题奠定了基础，而且为我们提供了基于权限控制实现特殊应用需求的实例。
C盘的根目录
Windows目录作为系统文件夹，重要性显而易见，您的ACL配置比较复杂，大量的非继承权限设置可以设置对象权限。其中，WinSxS目录是高强度权限设置的典型状态。普通管理员无法向文件的、文件夹添加任何内容。即使在授权之后，也会删除、的更改、（因为管理员组仅具有“读取和执行”权限）。

相对而言，用户文件夹的权限配置更加灵活。例如，在名为Contoso的用户文件夹中，SYSTEM、Administrators组和Contoso用户可以完全控制该文件夹。只有当其他用户尝试访问此用户文件夹时，他们才会收到权限不足的警告，但对于他们而言，作为管理员，为其帐户分配权限并不困难。
通过对默认ACL的分析，不难发现我们可以使用普通管理员的特性来创建受管理员组的非相关权限保护的特殊文件夹。此类文件夹的特征是它们未经管理员批准（即授权），并且任何用户程序、都无法更改文件夹的内容。特定权限配置方法是在用户通常连接的用户组中设置正常权限（如读取和访问），并在Administrators组中设置高权限（如完全控制）。
六个、自己动手，解决权限问题。对于与NTFS权限相关的问题，通常有简单的基于记录的解决方案，即“在网络上一键访问管理员权限”。确实，这种类型的解决方案在一定程度上简化了与NTFS权限相关的问题的解决方案，但其副作用也很明显，因为用户无法恢复原始文件夹的ACL配置。当用户将此解决方案应用于系统的受保护区域时，可能会出现安全问题。事实上，许可证问题的人工解决并不复杂。在解析过程中，用户可以理解并更好地应用NTFS权限。
例1：如何在对象中临时获取相应的操作权限？
在某些时候（例如景观美化），用户可能需要更改受保护的系统文件以满足特殊需求；在其他时候，用户可能必须在卸载应用程序后删除残留文件（如卸载Adobe Reader后的其余程序目录）某些文件）。但是当用户发现权限警告不足时，我该如何暂时获取对象的相应操作权限？
首先，如果它不是要删除的对象，则记录原始对象的ACL配置，例如所有者的、权限的、继承；
其次，将对象的所有者更改为当前用户，并根据具体情况考虑是否更换辅助容器和对象的所有者；
第三，将当前用户添加到ACL，分配适当的权限，并考虑是否使用可从该对象继承的权限替换次要对象的所有权限，具体取决于具体情况；
第四，执行所需的操作；
第五，如果要删除的不是目的，根据原始对象的ACL配置，例如用户帐户、加入到取出后，在ACL恢复许可设定对象，然后更改对象的所有者。
综上所述，在强制配置所有者+为当前用户分配权限后，当前用户可以享受与该对象对应的操作权限。
例2：如何消除对象中的小块？
严格来说，这不是一个大问题，但鉴于经常有朋友提出纠正这个问题的需要，让我们谈谈它。对象上的小挂锁图标表示该对象具有特定权限（未继承），表示该对象未经授权属于用户帐户。如果只是通过快捷菜单将对象配置为“不共享”，则系统会为对象分配指定的权限。该解决方案也很简单，可以设置该对象继承父对象的权限（包括可从对象的父对象中继承的权限），或者可以设置权限对象对相似的对象。当然，并非所有具有小块的对象都需要修复。例如，用户文件夹的权限配置具有指定的用户特定权限，这些权限由对象的位置确定。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 计算机的睡眠模式被激活并恢复到win7的基本主题

• 分享到：