NTFS文件夹权限

5.3.3 NTFS文件访问权限属性

Windows NT系统的安全性在本地网络中主要还是用设置各用户对文件和文件夹的访问权限来保证的。为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须安全有效地设置文件夹和文件的访问权限。NTFS文件或文件夹的访问权限分为读取、写入、读取及执行、修改、列目录和完全控制。在默认的情况下，大多数的文件夹和文件对所有用户（Everyone组）都是完全控制的（Full Control），这根本不能满足不同网络的权限设置需求，所以还需要根据应用的需求进行重新设置。

要正确有效地设置好系统文件或文件夹的访问权限，必须注意NTFS文件夹和文件权限具有的如下属性。

1．权限具有继承性

权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的，更明确地说就是如果一个用户对某一文件夹具有“读取”的权限，那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限，除非打断这种继承关系，重新设置。但要注意的是这仅是对静态的文件权限来讲，对于文件或文件夹的移动或复制，其权限的继承性依照如下原则进行。

①在同一NTFS分区间复制或移动

在同一NTFS分区间复制到不同文件夹时，它的访问权限是和原文件或文件夹的访问权限不一样。但在同一NTFS分区间移动一个文件或文件夹其访问权限保持不变，继承原先未移动前的访问的权限。

②在不同NTFS分区间复制或移动

在不同NTFS分区间复制文件或文件夹访问权限会随之改变，复制的文件不是继承原权限，而是继承目标（新）文件夹的访问权限。同样如果是在不同NTFS分区间移动文件或文件夹则访问权限随着移动而改变，也继承移动后所在文件夹的权限。

③从NTFS分区复制或移动到FAT格式分区

因为FAT格式的文件或文件夹根本没有权限设置项，所以原来文件或文件夹也就不再有访问权限配置了。

2．权限具有累加性

NTFS文件或文件夹的权限的累加性具体表现在以下几个方面。

①工作组权限由组中各用户权限累加决定

如一个组Group1中有两个用户User1、User2，他们同时对某文件或文件夹的访问权限分别为“只读”型的和“写入”型的，那么组Group1对该文件或文件夹的访问权限就为User1和User2的访问权限之和，实际上是取其最大的那个，即“只读”+“写入”=“写入”。

②用户权限由所属组权限的累加决定

如一个用户User1同属于组Group1和Group2，而Group1对某一文件或文件夹的访问权限为“只读”型的，而Group2对这一文件或文件夹的访问权限为“完全控制”型的，则用户User1对该文件或文件夹的访问权限为两个组权限累加所得，即“只读”+“完全控制”=“完全控制”。

3．权限的优先性

权限的这一特性又包含两种子特性，其一是文件的访问权限优先文件夹的权限，也就是说文件权限可以越过文件夹的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其他权限，也就是说“拒绝”权限可以越过所有其他权限，一旦选择了“拒绝”权限，则其他权限也就不能起任何作用，相当于没有设置，下面就具体讲一下这两种子特性。

①文件权限优先文件夹权限

如果一用户USER1对文件夹Folder A的访问权限为只读类型的，在这个文件夹下面有一个File1文件，可以对这个文件File1设置权限为“完全控制”型，而不顾它的上一级文件Folder A的权限设置情况。

②“拒绝”权限优先其他权限

如果一个用户User1同属于组Group1和组Group2，其中组Group1对一个文件File1（或文件夹）的访问权限为“完全控制”，而用户Group2对这个文件File1的访问权限设置为“拒绝访问”，根据这个特性User1对文件File1的访问权限为“拒绝访问”类型，而不管工作组Group1对这个文件设置什么权限。

4．访问权限和共享权限的交叉性

当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如文件夹Folder A为用户User1设置的共享权限为“只读”，同时文件夹Folder A为用户User1设置的访问权限为“完全控制”，那么用户User1的最终访问权限为“只读”。当然这个文件夹只能是在NTFS文件格式的分区中，如是FAT格式的分区中也就不存在“访问权限”了，因为FAT文件格式的文件夹没有本地访问权限的设置。