1、  安全許可權是累積的,使用者對資源的實際許可權是所有使用者和組從所有資源獲得的,對該資源的總體許可權(使用者所屬的所有組的使用者許可權和組許可權。

 

1A使用者屬於GROUP組,現設定為ATEST資料夾只讀,GROUP組對TEST資料夾讀寫,最終A使用者對TEST目錄是具有讀寫許可權。 

2A使用者同時屬於GROUP1組和GROUP2組,設定為GROUP1TEST資料夾只讀,GROUP2TEST資料夾讀寫,最終A使用者獲得了從GROUP1組和GROUP2組所具有的所有許可權累積,對TEST資料夾有了讀和寫的許可權。

 

2、  “拒絕”許可權優先於“允許”許可權。

 

例如:使用者jack同屬於GROUP1組和GROUP2組。jack的使用者賬號允許對test資料夾具有“讀取”訪問,GROUP1組也允許對test資料夾的“讀取”訪問。但是,GROUP2組卻明確拒絕對test資料夾的“讀取”訪問,這樣,jack就無法訪問test資料夾,因為“拒絕”許可權優先於“允許”許可權。

 

3、 子目錄的“安全”訪問許可權受上層目錄的“共享”許可權影響,不管是否取消了繼承。

 

可從一個應用例子來理解這句話,也可從此例子瞭解當同時設定共享和安全許可權時的終端使用者許可權是怎樣的。

例如,有一個PUBLIC的資料夾,組GROUP1和組GROUP2對此資料夾都有“讀取”的許可權。但有這樣一個需求,GROUP1組需對PUBLIC資料夾底下的SUB子資料夾要有“修改”許可權,有的人可能認為只要取消SUB資料夾的“繼承”屬性,再設定GROUP1組為可“修改”許可權就可以了,但這樣結果是GROUP1組還是隻能對SUB資料夾只讀。具體解決方法可以先在PUBLIC資料夾共享許可權裡設定GPOUP1組“修改”,再取消SUB資料夾的“繼承”屬性,最後在SUB資料夾設定GROUP1組為“修改”即可達到上述目的。但這時可能有疑問了,這樣設定後,GROUP1組不是對PUBLIC包括所有子資料夾都具有修改許可權嗎?其實剛才我們只是修改了PUBLIC資料夾的共享許可權,並沒有修改它的安全許可權。說白一點,PUBLIC上共享許可權是起了一個“開關”的作用,若要新增某一使用者或組對子目錄的許可權,就得相應的在上一級有設共享許可權的地方把該使用者或組的相應許可權加上,就等於把“開關”開啟。從這個例子也可以看出,因為安全屬性總是取所有許可權中最嚴格的,如果同時設定共享安全共享也要按安全設定取最嚴格的,因為安全的優先權更高。不過上面這段話也可視為是廢話,呵呵,我的做法是不管三七二十一,先把最上級資料夾的“共享”許可權設為everyone完全控制,然後再對子資料夾的“安全”許可權進行進一步設定即可。

 

4、  “拒絕許可權”的使用。

 

在設定檔案的安全性和前面設定共享許可權時,在許可權欄中都有拒絕一列,這是微軟針對某些應用需求而設計的,這同時也是第二點總結的一個延伸我們還是看一個例項:

 

比如有一個Public目錄,這個目錄存放一些公共檔案,可以允許Users組成員讀寫,但是這個目錄中還有一個“sub”的子目錄用來存放一些重要檔案,只允許Users組成員讀取。

我們先設定Public目錄的安全許可權為user組可修改,然後再開啟“Public”下的“sub”資料夾屬性,開啟“安全”選項卡,此時Users組擁有“修改”的許可權,允許許可權顯示灰色,表明該許可權是從上一級目錄“Public”上傳遞下來的,單擊“拒絕”中的“寫入”,選中該項,單擊“確定”,此時系統給出一個警告,提示“拒絕”的優先順序要高於“允許”,單擊“是”,此時Users組成員再往“sub”資料夾中寫檔案,就會遭到拒絕。 

 

5、廣播許可權的用途。 

 

首先在企業環境裡,使用者端電腦出於安全考慮,系統盤一般為user只能只讀,可能安裝了一個應用軟體後,在管理員賬戶底下可以執行,而在使用者登入後軟體卻不能正常執行。而此時,大部份原因是由於軟體執行所需的系統檔案(比如動態連結庫檔案Active 控制元件)無法訪問或者無法寫入造成的。這時,可以通過如下方法排除故障並解決,首先用管理員賬號登入使用者計算機,先對應用軟體所在資料夾新增當前使用者的“讀寫”許可權,再利用“重置所有子物件的許可權並允許傳播可繼承許可權”的功能將此使用者的“讀寫”許可權傳播到所有子資料夾,然後再用當前普通使用者登入計算機,看軟體是否可以正常執行。如果還不行,可按照上述步驟依次對documents and setting資料夾再新增當前使用者“讀寫”許可權並廣播,這樣一般可解決由訪問許可權問題引起的軟體執行故障。最後,如果此時還不能正常執行應用軟體,出於時間上的考慮,可以將系統盤根目錄設為當前使用者可讀寫,再廣播到所有子資料夾,當然這樣也帶來了最大的安全隱患。

最後,需要說明一點,不要認為許可權分配是一件再簡單不過的事情,如果不小心,或對一些選項不瞭解,會讓你感到非常鬱悶或者事倍功半,因為你可能不本文轉自 donhuang 51CTO部落格,原文連結:http://blog.51cto.com/donhuang/50106