WindowsServer入門系列35瞭解NTFS安全許可權

當使用者向磁碟中儲存檔案的時候，檔案都是按照某種格式儲存到磁碟上的，這種格式就是檔案系統。Windows系統中採用的檔案系統主要是FAT32和NTFS，NTFS檔案系統相比FAT32的主要改進是在安全性方面有所加強，比如可以在NTFS格式的分割槽中對檔案進行EFS加密，以及為檔案或資料夾設定訪問許可權等。

1. 什麼是NTFS許可權

在採用NTFS檔案系統的磁碟分割槽中，在每一個檔案或資料夾的屬性中都增加了一個“安全”選項卡，在選項卡中有訪問控制列表（ACL，圖中上半部分）和訪問控制項（ACE，圖中下半部分）。訪問控制列表中列出的是和當前檔案或資料夾許可權有關的使用者和組，當選中某個組或使用者後，訪問控制項中列出的是和該使用者和組相關的許可權。

當一個使用者試圖訪問一個檔案或資料夾時，NTFS檔案系統會檢查使用者使用的賬戶或賬戶所屬的組是否在ACL中。如果存在，則進一步檢查訪問控制項，然後根據控制項中的許可權來判斷使用者最終的許可權。如果訪問控制列表中不存在使用者使用的賬戶或賬戶所屬的組，就拒絕使用者訪問。

安全許可權只能在採用NTFS檔案系統的磁碟分割槽中設定，因而也稱之為NTFS許可權。安全許可權是Windows系統中一個比較基礎和底層的服務，很多Windows系統的高階服務都要依賴於安全許可權，這也是為什麼Windows伺服器的磁碟分割槽都強調必須採用NTFS檔案系統的原因。

2. NTFS許可權型別

常用的NTFS許可權有以下幾種：

• 完全控制：對檔案或資料夾可執行所有操作。

• 修改：可以修改、刪除檔案或資料夾，但無法進行許可權設定。

• 讀取和執行：可以讀取內容，並且可以執行應用程式。

• 列出資料夾目錄：可以列出資料夾的內容，此許可權只針對資料夾存在。

• 讀取：可以讀取檔案或資料夾的內容。

• 寫入：可以建立資料夾或檔案。與修改許可權相比，無法刪除原有的檔案或資料夾，但可以刪除自己建立的檔案或資料夾。

• 特別的許可權，把某些許可權進行了細化。

每一個新建立的檔案或資料夾都有一個預設許可權，檔案的預設許可權如上圖所示，資料夾的預設許可權如下圖所示。檔案或資料夾的預設許可權是繼承自上一級資料夾的許可權，如果檔案或資料夾位於根目錄下，則繼承磁碟分割槽的許可權。

3. 應用ALP規則設定許可權

如果需要新增使用者賬戶的訪問許可權，只需將使用者賬戶新增到檔案或資料夾的許可權列表中，並設定好相應的許可權即可。如果對多個使用者設定許可權，可以結合組來進行管理。如果需要刪除使用者賬戶的訪問許可權，則在檔案或者資料夾的許可權列表中刪除該使用者賬戶即可。

在工作組環境下，多個使用者賬戶訪問相同的資源時，可以分別給每個使用者賬戶分配許可權，但這並非最佳方法，通常推薦的方法是應用ALP規則，即先將使用者賬戶加入到使用者組，然後再為使用者組分配許可權。這樣，使用者組中的所有使用者賬戶就會有相應的訪問許可權。

ALP是使用者賬戶（Account）、本地組（Localgroup）和許可權（Permission）的英文簡稱。一般情況下，為多個使用者賬戶分配許可權時，建議採用ALP規則。

本文轉自 yttitan 51CTO部落格，原文連結:http://blog.51cto.com/yttitan/1339409