WindowsServer入門系列36NTFS許可權的應用規則

只有系統管理員或者是具有“完全控制”許可權的使用者才可以設定檔案或資料夾的NTFS許可權。在設定許可權時要掌握其應用規則，下面結合例項來分別說明。

假設系統中存在userA和userB兩個使用者以及group1和group2兩個使用者組，userA和userB同時都屬於是group1和group2使用者組的成員。現在來設定它們對資料夾test以及資料夾中的兩個檔案test1.txt和test2.txt的NTFS許可權。

 

1. 許可權的組合

使用者對資源的有效許可權是分配給使用者賬戶的許可權和使用者所屬各個組的累加許可權。

如果使用者對檔案具有讀取許可權，該使用者所屬的組又對該檔案具有寫入的許可權，那麼，該使用者就對該檔案同時具有讀取和寫入的許可權。

設定userA對檔案test1.txt的許可權為讀取許可權，group1對檔案test1.txt的許可權為寫入許可權，此時使用者userA的有效許可權就是讀取和寫入，而使用者userB的許可權為讀取。

我們可以針對一個檔案或資料夾來檢視某個使用者或使用者組對它所具有的有效許可權。在要檢視的物件的“安全”選項卡中點選“高階”按鈕，然後點選“有效許可權”標籤，輸入要查詢的使用者或組，即可看到該使用者或組對這個物件的有效許可權

下面繼續針對檔案test2.txt進行設定：group1組具有讀取許可權，group2組具有寫入許可權。則使用者userA和userB都對該檔案具有讀取和寫入許可權。

 

2. 許可權的拒絕

拒絕許可權要優先於其他所有許可權，即“拒絕優先”。

有時某些檔案可能會要求拒絕某些使用者的訪問，但是由於使用者會自動累加其所屬的多個組的許可權，就會造成雖然沒有直接為使用者分配許可權，但由於組的關係，使用者還是會訪問檔案。怎麼解決呢？這就需要設定拒絕許可權。

如針對檔案test2.txt，使用者userA從組gourp1和組group2中自動獲得了讀取加寫入的許可權。如果希望userA對該檔案只能讀取而不能寫入，如何實現？這就需要給userA設定拒絕寫入許可權

如果有大量的使用者需要拒絕，可以建立一個拒絕組，然後將需要拒絕的使用者加入此組，再給這個組設定拒絕相關的許可權即可。

如果一個使用者賬戶明確設定了訪問許可權，但是被拒絕訪問，這時就需要檢查其所在的組是否被設定了拒絕的許可權。

 

3. 許可權的繼承

分配給資料夾的許可權可以自動被其中的子資料夾和檔案繼承。

如userA對test資料夾擁有“讀取+寫入”許可權，那麼他對test資料夾中的子資料夾和檔案也自動具有“讀取+寫入”許可權。但這些從上一級繼承下來的許可權，顯示為灰色，不能直接修改，只能在此基礎上新增其他的許可權。

如果需要對檔案設定單獨的許可權，而不需要從上一級繼承許可權，這時可以將繼承許可權刪除，然後重新設定NTFS許可權。取消許可權繼承的方法是：在“安全”對話方塊中點選右下角的“高階”按鈕，然後在“高階安全設定”的“許可權”選項卡中清除“允許父項的繼承許可權傳播到該物件和所有子物件。包括那些在此明確定義的專案”選項，

清除之後系統會提示以前從上一級繼承下來的許可權是保留還是全部刪除。如果保留許可權就單擊“複製”按鈕，如果不保留，就可以單擊“刪除”按鈕，

 

4. 子資料夾/檔案許可權優先於父資料夾許可權

對於資料夾中的子資料夾或檔案設定的許可權，要優先於從父資料夾繼承而來的許可權。

比如，我們希望userA對test資料夾以及資料夾內的其它所有檔案和子資料夾都具有讀取和寫入許可權，但唯獨對test1.txt檔案只具有讀取許可權，該如何設定？

可以先對test資料夾設定userA具有讀取和寫入許可權，然後再針對test1.txt檔案給userA設定拒絕寫入許可權，這樣便可以滿足要求了。

本文轉自 yttitan 51CTO部落格，原文連結:http://blog.51cto.com/yttitan/1339892