NTFS权限分析与应用

ntfs6个基本权限NTFS是一种用于Windows操作系统的文件系统，具有很强的权限管理功能。

NTFS允许管理员对文件和文件夹设置细粒度的访问权限，以控制用户或组对这些文件和文件夹的访问级别。

下面是NTFS中的6个基本权限：1. 完全控制（Full Control）：拥有完全的权限来读取、写入、修改和删除文件，以及更改文件的属性和权限。

具有完全控制权限的用户可以执行任何操作。

2. 修改（Modify）：允许用户对文件进行读取、写入和修改。

用户可以创建、删除和重命名文件，但不能更改文件的属性和权限。

3. 读取和执行（Read & Execute）：用户可以打开和查看文件的内容，并执行其中可执行文件、脚本和程序。

4. 列出文件夹内容（List Folder Contents）：用户可以查看文件夹中的文件和子文件夹的列表，但不能打开或读取文件的内容。

5. 读取（Read）：允许用户打开和查看文件的内容，但不能对文件进行修改或删除。

6. 写入（Write）：用户可以向文件中写入内容，但不能读取或删除文件。

这些基本权限可以与其他高级权限结合使用，以创建更复杂的权限设置。

例如，可以设置只读权限、拒绝访问权限以及特定时间段内的访问权限。

NTFS还支持继承权限，允许将文件夹的权限应用到其中的文件和子文件夹。

总结：NTFS文件系统提供了6个基本权限，包括完全控制、修改、读取和执行、列出文件夹内容、读取以及写入。

这些权限可以用于控制用户或组对文件和文件夹的访问级别。

与其他高级权限结合使用，可以创建更复杂的权限设置。

NTFS还支持继承权限，方便将文件夹的权限应用到其中的文件和子文件夹。

昨天笔者因为病毒的原因重装了XP，但重装后发现“我的文档”中的一些文件打不开，老提示拒绝访问。

XP原来是装在C盘，而“我的文档”在原来的XP系统中是调整到了D盘的一个文件夹，当时这样做的目的是为了避免重装系统时忘记备份，将我的文档中的内容格式化掉。

记得原来在单位用电脑时也遇到过类似的情况，只是当时没什么重要文件，也就没有想办法解决这个问题。

可现在情况不一样了，那里面有许多重要的文件，而且当时将这个文件设为专用了，这可能是造成“拒绝访问”的原因。

查看了一下，果然不只“我的文档”中的一些文件，以前设为专用的一些文件夹都拒绝访问，推断是由于同一原因。

是不是再新建一个同样名称的用户就能访问呢？经试验，也不行，因为在XP中，每个用户都有一个唯一的SID。

于是在网上搜索了一下，原来有许多朋友也遇到过这种问题，而且也有许多热心的朋友提供了多种解决的办法。

经参考各路豪杰提供的绝招之后，又经过实践，终于总结出解决此类问题的一个良方，发在这里贡献给各位，希望对遇到同类问题的朋友有帮助。

闲言少叙，下面介绍具体解决方法。

1、以具有管理员权限的用户登录XP，在XP中打开资源管理器，选择菜单“工具|文件夹选项”，打开“文件夹选项”对话框。

在对话框中单击“查看”选项卡，取消复选框“使用简单共享”。

图1 取消“使用简单共享”2、右键单击原来设为专用的文件夹，如“i386-sp2”，从弹出菜单中选择“属性”，这时会看到在对话框中多出一个“安全”选项卡。

可以看到这里有一个未知帐户，这应该就是原来XP系统中的那个帐户吧。

这个帐户是能够访问该文件夹的，可问题是我们现在已经不能使用这个帐户。

所以要另想办法。

图2 安全选项卡3、单击图2所示对话框中的“高级”按钮，弹出“i386-sp2的高级安全设置”对话框，显示目前该项目的所有者为刚才看到的未知帐户。

选择“将所有者更改为”下方的用户，比如笔者现在使用的用户名称，然后单击“应用”按钮，所有者就改变为现在用户了，如图3所示。

NTFS的详细权限介绍
1.遍历文件夹/执行文件：遍历文件夹让用户即使没有权限访问的
情况下，仍然可以切换到文件夹内，此权限仅适用于文件夹；
执行文件让用户可以运行程序
2.列出文件夹/读取数据：让用户可以查看此文件夹的文件名和子
文件夹名，只适用于文件夹；读取数据让用户可以查看文件内的数据
3.读取属性：用户可以查看文件内的数据
4.读取扩展属性：用户可以查看文件或文件夹的扩展属性，扩展
属性由应用程序制定的
5.创建文件/写入数据：创建文件可以让用户在文件夹内新建文
件，该权限仅适用于文件；写入数据可以让用户修改文件内容，只适用于文件
6.创建文件夹/附加数据：创建文件夹可以让用户在文件夹内新建
子文件夹；附加数据可以在文件内添加数据，但无法删除、覆盖原有的数据。

7.写入属性：让用户可以更改文件或文件夹属性（只读、隐藏等）
8.写入扩展属性：可以修改文件或文件夹的扩展属性
9.删除子文件夹及文件：用户可以删除此文件夹内的子文件夹和
文件，即使用户对子文件夹没有删除权限也能删除
10.删除：允许用户删除该文件夹和文件（如果有子文件夹则无法
删除）
11.读取权限：可以查看文件或文件夹的权限设置
12.更改权限：可以更改文件或文件夹的权限设置
13.取得所有权：可以获得该文件夹或文件的所有权，无论该资源
权限为何，都具备更改文件夹或文件的能力。

5.3.3 NTFS文件访问权限属性Windows NT系统的安全性在本地网络中主要还是用设置各用户对文件和文件夹的访问权限来保证的。

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须安全有效地设置文件夹和文件的访问权限。

NTFS文件或文件夹的访问权限分为读取、写入、读取及执行、修改、列目录和完全控制。

在默认的情况下，大多数的文件夹和文件对所有用户（Everyone组）都是完全控制的（Full Control），这根本不能满足不同网络的权限设置需求，所以还需要根据应用的需求进行重新设置。

要正确有效地设置好系统文件或文件夹的访问权限，必须注意NTFS文件夹和文件权限具有的如下属性。

1．权限具有继承性权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的，更明确地说就是如果一个用户对某一文件夹具有“读取”的权限，那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限，除非打断这种继承关系，重新设置。

但要注意的是这仅是对静态的文件权限来讲，对于文件或文件夹的移动或复制，其权限的继承性依照如下原则进行。

①在同一NTFS分区间复制或移动在同一NTFS分区间复制到不同文件夹时，它的访问权限是和原文件或文件夹的访问权限不一样。

但在同一NTFS分区间移动一个文件或文件夹其访问权限保持不变，继承原先未移动前的访问的权限。

②在不同NTFS分区间复制或移动在不同NTFS分区间复制文件或文件夹访问权限会随之改变，复制的文件不是继承原权限，而是继承目标（新）文件夹的访问权限。

同样如果是在不同NTFS分区间移动文件或文件夹则访问权限随着移动而改变，也继承移动后所在文件夹的权限。

③从NTFS分区复制或移动到FAT格式分区因为FAT格式的文件或文件夹根本没有权限设置项，所以原来文件或文件夹也就不再有访问权限配置了。

2．权限具有累加性NTFS文件或文件夹的权限的累加性具体表现在以下几个方面。

标准ntfs权限的概念
标准NTFS权限是NTFS文件系统中的一种权限设置，它允许用户根据需要限制对文件和文件夹的访问。

这些权限包括完全控制、修改、读取和运行、列出文件夹目录、读取和写入等。

这些权限可以通过右键单击文件或文件夹，然后选择“属性” -> “安全”来查看和修改。

标准NTFS权限具有以下特点：
1. 累加性：用户对某个资源的有效权限是所有权限来源的总和。

例如，如果用户对某个文件具有“读取”和“写入”权限，那么他们可以对该文件进行读取、写入和修改操作。

2. 权限细分：NTFS权限可以针对不同的用户或用户组进行设置，以便更好地控制对特定文件或文件夹的访问。

例如，可以设置某些用户只能读取某个文件夹中的文件，而其他用户则可以修改这些文件。

3. 安全性：标准NTFS权限可以帮助保护文件和文件夹免受未经授权的访问和修改，从而提高系统的安全性。

通过合理设置权限，可以确保只有授权用户才能访问敏感数据或执行关键操作。

需要注意的是，在设置NTFS权限时应该根据实际需求进行合理配置，避免过度限制或宽松的权限设置。

同时，为了确保系统的安全性，还需要定期备份数据、使用强密码并保持操作系统和安全软件的更新。

NTFS的权限NTFS（New Technology File System）是Windows操作系统中常用的文件系统之一。

它提供了一种可靠的方式来管理计算机上的文件和文件夹。

除了文件和文件夹的管理之外，NTFS还提供了强大的权限控制功能，允许系统管理员对不同用户或用户组的访问权限进行精细调整。

权限是指操作系统为每个用户或用户组分配的特定访问权限。

这些权限可以控制用户对文件和文件夹的读取、写入、修改、删除等操作，以确保数据的安全性和整体的系统稳定性。

一、权限类型NTFS的权限主要分为以下几种类型：1. 文件权限：用于控制对单个文件的访问权限。

2. 文件夹权限：用于控制对整个文件夹及其内部文件的访问权限。

3. 共享权限：用于控制共享文件夹对网络用户的访问权限。

二、权限级别NTFS的权限级别主要有以下几个：1. 完全控制：允许用户对文件或文件夹进行任何操作，包括读取、修改、删除等。

2. 读取与执行：允许用户查看文件内容和执行可执行文件。

3. 读取：允许用户查看文件内容但不允许对文件进行修改或删除。

4. 写入：允许用户对文件进行写入操作，但不允许对文件进行修改或删除。

5. 修改：允许用户修改文件内容，但不允许删除文件或对文件进行重命名。

三、权限分配权限的分配是通过ACL（Access Control List，访问控制列表）实现的。

ACL是一种数据结构，它存储了访问权限的信息。

每个文件和文件夹都有一个ACL，其中包含了多个访问控制条目（ACE，Access Control Entry）。

每个ACE定义了一个用户或用户组和对应的访问权限。

权限分配的方式主要有以下几种：1. 继承权限：当创建一个新文件夹时，默认会继承父文件夹的权限设置。

这意味着子文件夹和文件的权限会自动与父文件夹保持一致。

如果需要单独设置子文件夹或文件的权限，可以手动取消继承。

2. 显式权限：显式权限是直接为文件或文件夹设置的权限。

与继承权限不同，显式权限只适用于当前对象，不会影响到子文件夹和文件。

NTFS——取得所有权及takeown命令详解2020年1月21日问题现象一、无权访问该文件夹此种提示经常出现在打开文件夹的时候出现，意思是当前用户没有“列出文件夹内容”的权限。

二、无法枚举容器中的对象在设置文件夹权限并将其权限项强制覆盖子对象的权限的时候遇到。

提示的原因是当前用户没有“更改权限”的权限。

解决办法如果当前用户不能访问文件夹，却是文件夹的“所有者”，那么点击继续，系统就会自动授予当前用户“完全控制权限”。

如果当前用户不能访问文件夹，且不是文件夹的“所有者”，那么点击“继续”，系统会要求先将用户设置成“所有者”。

设置完成之后，系统会同时授权用户“完全控制”权限。

夺取文件与文件夹所有权NTFS和ReFS分区内的文件或文件夹都有“所有者”，默认是其创建者。

所有者可以修改文件或者文件夹的权限，不论其是否有权访问。

用户可以夺取所有权成为新的所有者，夺权者须具备下列条件之一：1、具备“取得文件或其他对象的所有权”的用户，组策略默认只包含“administrators”，如下组组策略截图。

上面的“cc\oasrv”用户就在“administrators”组里面，所以能夺取所有权。

2、对该文件或文件夹拥有“取得所有权”权限如下图。

3、具备“还原文件和目录”权限的用户，默认设置如下。

取得所有权可以用命令“takeown”实现取得所有权可以用命令“takeown”实现，例如强制将当前目录下的所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)命令：takeown /f * /a /r /d yWindows 2003提供了一款全新的命令行工具takeown，帮助你轻松获得文件及文件夹的所有权。

从Windows Vista 需要以管理员（此处的管理员指的是system而不是administrator）权限运行takeown命令即在“权限提升的命令提示符”里运行。

takeown命令的参数绝不止“/f”一种。

NTFS的诸多高级功能介绍NTFS是一种高级文件系统,对FAT和HPFS(高性能文件系统)作了若干改进,提供长文件名、数据保护和恢复，并通过目录和文件许可实现安全性.从DOS或其他操作系统上不能直接访问NTFS 分区上的文件。

但在Windows2000和WindowsXP中，NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能,今天就给大家详细介绍下这些高级的功能.一、加密文件或文件夹步骤一：打开Windows资源管理器。

步骤二：右键单击要加密的文件或文件夹，然后单击"属性'。

步骤三：在"常规'选项卡上，单击"高级'。

选中"加密内容以便保护数据'复选框在加密过程中还要注意以下五点：1.要打开"Windows 资源管理器'，请单击"开始程序附件'，然后单击"Windows 资源管理器'。

2.只可以加密NTFS分区卷上的文件和文件夹，FAT分区卷上的文件和文件夹无效。

3.被压缩的文件或文件夹也可以加密。

如果要加密一个压缩文件或文件夹，则该文件或文件夹将会被解压。

4.无法加密标记为"系统'属性的文件，并且位于systemroot目录结构中的文件也无法加密。

5.在加密文件夹时，系统将询问是否要同时加密它的子文件夹。

如果选择是，那它的子文件夹也会被加密，以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。

二、解密文件或文件夹步骤一：打开Windows资源管理器。

步骤二：右键单击加密文件或文件夹，然后单击"属性'。

步骤三：在"常规'选项卡上，单击"高级'。

步骤四：清除"加密内容以便保护数据'复选框。

同样，我们在使用解密过程中要注意以下问题：1.要打开"Windows资源管理器'，请单击"开始程序附件'，然后单击"Windows 资源管理器'。

一. 只有磁盘的文件系统是NTFS,才能设置权限的.如何查看呢?在我的电脑里,右击你要查看的磁盘,点属性,在常规里面可以查看文件系统,有些是NTFS的,有些是FAT32的,有些是FAT的.二. 以管理员身份登陆,注意,这是一个要点.只有以管理员身份登陆,才能进行权限设置的.打开我的电脑,点工具,文件夹选项,查看,在高级设置里,找到使用简单文件共享(推荐),把前面的勾去掉.点确定.三. 经过第二步的设置,我们在NTFS文件系统的磁盘,随便找一个文件或者文件夹右击.会看到有一个安全选项.如果没有第二步的设置,则这个选项是不会有的.另外,在XP HOME版的系统里,一般也不会有安全选项的.但对于XP HOME版的系统,我们可以在命令行下进行设置的.为了讲解的方便,我们这里以在D盘新建一个文件夹为例.四. 在安全选项里面,我们可以看到组或用户名称里面有很多的用户名.这里面我们以everyone为例进行讲解.权限设置存在着诸多的复杂性的.各用户组的权限是相互关联的.我们只取everone进行设置,是为了简化.我们先在组或用户名称里面找到everone用户组.但是,有可能在这里找不到这个用户组,怎么办呢?点添加.再点高级.再点立即查找找到Everone点一下选定.点确定.再在选择用户或组中点确定这样我们就成功地在组或者用户名称里面添加了evervone用户组.点一下选定.然后在完全拒绝上打上勾.点应用.在弹出的安全对话框里点是.然后我们退出权限设置的界面,双击这个文件夹.会有一个对话框弹出.我们可以看到,这个文件我们已经无法访问了.然后我们重新进入权限设置的界面,也就是右击这个文件夹.点属性,安全,选定everyone,把完全控制选项打上勾.点应用.我们再双击这个文件夹.我们会发现,文件夹被成功打开.特别说明一下,只要把everyone设置为完全拒绝,则所有的用户都是不能访问的,包括具有最高权限的系统用户也不能访问.但是,特殊的软件可以突破这种权限,比如冰刃.如果把everyone设置为完全控制,则所有用户都将能够完全访问,这样是很危险的.权限究竟如何设置合理,本文不作探讨.本文主要的是教人如何设置权限.四. 然则有些文件夹或者文件,当我们点属性,安全,会弹出一个对话框.点确定.我们会发现,前面我们所教的权限设置的办法无法操作.组或用户名称里面是空的.有些也不是空的.但是,里面的用户和组都是灰色不可以选定的.添加和删除按钮都是灰色的.怎么办?难道这个文件夹我们就无奈它何?五. 不,办法是有的.我们现在点高级.有所有者上点一下.我们选择一个管理员,或者是管理员组Adminstrators,在上面点一下.把替换子容器及对象的所有者这个选项打上勾.点应用.在弹出的安全对话框中点是:现在我们来双击这个文件.我们将会发现,这个文件能够访问了.六. 我们关闭安全设置对话框,再重新进入.我们会发现,我们又可以对这个文件夹设置权限了.添加和删除按钮都是可以用的了.七. 但是,当我们进入刚才这个文件夹的子目录时,可能会发现,有些文件或者文件夹还是不能访问.如果文件不多,我们可以一一设置.如果文件特别多,一一设置就不那么现实了.怎么办?这时我们仍点高级.在权限里面设置.把这里面的几个用户全部选上(按CTRL+鼠标单击一一选定.把用在此显示的可以应用到子对象的项目替代所有子对象的权限项目打上勾.点应用.在弹出的安全对话框里点是.然后我们再进入子目录,我们会发现,所有的文件都可以访问了.当然,如果有那种XX..\一类的文件夹,仍是不能访问的.。

简述ntfs权限应用原则NTFS（New Technology File System）是Windows操作系统中使用的一种文件系统，它具有灵活、安全的权限管理机制。

在NTFS中，权限被分配给文件和文件夹，以控制用户或组对这些对象的访问和操作。

以下是NTFS权限应用的原则。

1. 最小权限原则最小权限原则是指在分配权限时，应该给予用户或组所需的最低权限，以避免不必要的风险和滥用。

例如，如果用户只需要读取文件的权限，就不应该给予他们写入或删除文件的权限。

2. 权限继承原则NTFS允许权限在文件夹层次结构中向下继承，这意味着在父文件夹上设置的权限也适用于子文件夹和文件。

这样可以简化权限管理，并确保子文件夹和文件的安全性与父文件夹的安全性保持一致。

3. 显式权限优先原则当给予用户或组显式权限时，这些权限将优先于继承的权限。

这意味着，如果在父文件夹上设置了读取权限，但在子文件夹上显式设置了拒绝访问权限，那么用户将无法访问该子文件夹，即使他们在父文件夹上具有读取权限。

4. 审计原则NTFS还提供了审计功能，可以记录对文件和文件夹的访问和操作，以便追踪和监控用户的行为。

审计可以帮助发现潜在的安全问题，并提供对安全事件的调查和响应。

5. 组织结构原则在分配权限时，应该根据组织结构进行合理的权限分配。

例如，可以根据部门或职位来创建组，并为这些组分配相应的权限。

这样可以简化权限管理，并确保只有需要访问特定文件或文件夹的人员才能获得相应的权限。

6. 定期审查原则权限管理是一个动态的过程，应该定期审查和更新权限设置。

这可以确保权限始终与实际需求保持一致，并防止权限滥用或过度授权。

7. 强密码策略原则除了NTFS权限，还应该采取强密码策略来保护用户帐户的安全。

强密码策略包括要求用户使用复杂的密码、定期更改密码，并限制密码的使用次数等。

NTFS权限应用的原则是基于最小权限、权限继承、显式权限优先、审计、组织结构、定期审查和强密码策略等。

ntfs6个基本权限在计算机系统中，文件和文件夹的权限管理是非常重要的一项功能。

NTFS（新技术文件系统）是Windows操作系统中广泛使用的文件系统，它提供了一套强大的权限控制机制。

在NTFS中，文件和文件夹的权限可以细分为六种基本权限，分别是获取权限、更改权限、读取权限、写入权限、删除权限和执行权限。

下面将对这六种基本权限进行详细介绍。

1. 获取权限：获取权限是指用户能否查看文件或文件夹的属性、设置安全选项或者取得文件数据的权限。

如果用户没有获取权限，那么他将无法对文件或者文件夹进行任何操作。

获取权限是控制用户是否能够访问特定对象的关键。

2. 更改权限：更改权限是允许用户修改某个文件或文件夹的安全描述符的权限。

通过更改权限，用户可以向其他用户授予或撤销对该文件或者文件夹的访问权限。

更改权限是维护系统安全性和保护文件隐私的重要手段。

3. 读取权限：读取权限允许用户查看文件或文件夹的内容。

如果用户没有读取权限，那么他将无法打开或者查看文件的内容，甚至无法正常使用某些软件。

读取权限是控制用户是否可以获取文件数据的关键。

4. 写入权限：写入权限是允许用户向文件或文件夹中写入数据或修改数据的权限。

如果用户没有写入权限，那么他将无法编辑或者保存文件，无法修改文件属性，并且无法创建新的文件或者文件夹。

5. 删除权限：删除权限是允许用户删除文件或者文件夹的权限。

用户拥有删除权限后，可以永久性地删除文件或者文件夹，而不是将其移动到回收站。

删除权限是控制用户是否可以删除特定文件的关键。

6. 执行权限：执行权限是允许用户运行可执行文件或者执行脚本的权限。

如果用户没有执行权限，那么他将无法运行程序或者执行脚本。

执行权限是维护系统安全性和防止恶意代码运行的重要手段。

综上所述，NTFS提供了六种基本权限来管理文件和文件夹的访问。

这些权限可以根据具体的需求进行灵活的配置，保护文件的安全性和隐私。

合理设置和管理这些权限，可以帮助我们更好地控制和保护计算机系统中的数据。

ntfs标准权限和特殊权限NTFS（New Technology File System）是Windows操作系统中常用的文件系统，它支持标准权限和特殊权限来控制对文件和文件夹的访问。

标准权限：1. 读取数据（Read Data）：允许用户读取文件或文件夹的内容。

2. 写入数据（Write Data）：允许用户向文件或文件夹中写入数据。

3. 追加数据（Append Data）：允许用户向文件或文件夹的末尾追加数据。

4. 读取属性（Read Attributes）：允许用户读取文件或文件夹的属性（如大小、创建日期等）。

5. 写入属性（Write Attributes）：允许用户更改文件或文件夹的属性。

6. 读取扩展属性（Read Extended Attributes）：允许用户读取文件或文件夹的扩展属性，如图像的Exif数据。

7. 写入扩展属性（Write Extended Attributes）：允许用户更改文件或文件夹的扩展属性。

8. 执行/运行（Execute/Traverse）：允许用户执行可执行文件，或者允许用户进入文件夹并访问其中的内容。

9. 删除子文件和目录（Delete Child）：允许用户删除文件或文件夹的子文件和子文件夹。

10. 读取权限（Read Permissions）：允许用户查看该文件或文件夹的权限设置。

11. 更改权限（Change Permissions）：允许用户更改文件或文件夹的权限设置。

12. 删除（Delete）：允许用户删除该文件或文件夹。

特殊权限：1. 修改（Modify）：允许用户对该文件或文件夹进行读取、写入、追加数据和执行等操作，但不允许用户删除文件。

2. 读取和执行（Read & Execute）：允许用户对该文件或文件夹进行读取和执行操作，但不允许用户写入或删除文件。

3. 列出文件夹内容（List Folder Contents）：允许用户查看文件夹中的文件和文件夹列表，但不允许用户访问文件。

NTFS权限分析与应用“NTFS权限”，鉴于NTFS已经与我们亲密接触了如此长的时间，这个话题可以算是老生常谈了。

然而在NT6.x大幅度改进了系统安全性后，作为安全重要环节的NTFS权限就不再是远离用户应用的技术。

在实践中，部分用户由于特殊的应用需求可能需要对个别受保护的系统文件进行更改，不少用户可能会遇到NTFS权限设置错误导致的异常，而NTFS权限与UAC的结合也为我们的应用带来了更多可能性。

要在不损害系统安全性的前提下实现我们的应用目标，就需要对NTFS 权限的内容与配置方法有个初步的了解。

是而为此文。

严格的说，NTFS权限的正式称谓是AC（访问控制列表），因而在下文的陈述中也会逐步的引入AC的概念。

同时由于AC广泛应用于系统权限控制中，因而本文所陈述的内容虽以NTFS权限为主，但可以类推于其他具备AC特性的情景中，如注册表。

一、谈论AC时不得不说的话题——用户与组权限设置，必然是为授予某一群体对对象的访问权而设立，而用户与组正是这被授权的群体。

用户是授予权限的最小单位，而组可以视作是用户的集合。

用户与组都使用SID作为其唯一标识符。

比起活动目录域中域本地组、全局组、通用组及其嵌套、转换所带来的多彩缤纷的应用相比，单机环境下的用户与组要简单得多。

这里主要介绍一些具备特殊功能定位的用户与组。

Administrator：用户。

所谓“超级管理员”，默认禁用。

在系统默认的安全策略下，其不受UAC约束且将以管理员身份运行任何程序。

鉴于这一特性将严重降低系统安全性，不建议将其启用。

Guest：用户。

来宾帐户，默认禁用。

相较于普通用户帐户，来宾帐户受到更多限制。

在于“控制面板\用户帐户和家庭安全\用户帐户\管理帐户”中启用来宾帐户后，此帐户也将被启用。

HomeGroupUser$：用户。

家庭组用户帐户。

用于实现家庭组简化的、安全的共享功能。

在创建家庭组后，此帐户将被创建及启用。

TrustedInstaer：特殊用户。

NTFS权限详解NTFS权限是作为⼀个Windows管理员必备的知识，许多经验丰富的管理员都能够很熟悉地对⽂件、⽂件夹、注册表项等进⾏安全性的权限设置，包括完全控制、修改、只读等。

⽽谈论NTFS权限这个话题也算是⽼⽣常谈了，但是对于⼀些“新⼿”，还是会有⼀些不是⾮常清楚的地⽅，本⽂就针对NTFS权限的重点要素进⾏探讨，以给⼤家对于NTFS权限的内容有⼀个初步的了解。

⼀、⽤户和组权限设置必然涉及的三要素为访问者、权限、被访问的对象，那么我们⾸先来看⼀下“访问者”这⼀要素。

“访问者”其实就是我们常说的“⽤户和组”，⽤户是授予权限的最⼩单位，⽽组则可以看作是⽤户的集合，在Windows系统中，⽤户与组都是使⽤SID作为其唯⼀标识符，应⽤到NTFS权限上也是如此，实际上也是对这些SID进⾏权限的授予。

那么在这⾥我们先来了解⼀下在⼯作组环境中的Windows系统内置的⼀些具备特殊功能作⽤的⽤户和组⼆、 NTFS权限NTFS权限是基于NTFS分区实现的，通过对⽤户或组授予NTFS权限可以有效地控制⽤户对⽂件和⽬录的访问。

对于NTFS磁盘分区上的每⼀个⽂件和⽂件夹，NTFS都存储了⼀个访问控制列表（ACL，Access Control Lists）。

ACL中包含有那些被授权访问该⽂件或者⽂件夹的所有⽤户账号、组和计算机，还包含他们被授予的访问类型。

为了让⼀个⽤户访问某个⽂件或⽂件夹，针对相应的⽤户账号、组，或者该⽤户所属的计算机，ACL中必须包含⼀个对应的⼊⼝，这样的⼊⼝叫做访问控制⼊⼝（ACE，Access Control Entries）。

为了让⽤户能够访问⽂件或者⽂件夹，访问控制⼊⼝必须具有⽤户所请求的访问类型。

如果ACL没有相应的ACE存在，Windows系统就拒绝该⽤户访问相应资源。

NTFS权限分为标准NTFS权限和特殊NTFS权限两⼤类。

标准NTFS权限可以说是特殊NTFS权限的特定组合。

特殊NTFS权限包含了在各种情况下对资源的访问权限，其组合限制了⽤户访问资源的所有⾏为。

ntfs权限设置原则
NTFS（New Technology File System）是Windows操作系统中常
用的文件系统，它提供了更为灵活、可靠的文件管理和访问方式。

而NTFS权限设置则是保护计算机系统安全的重要手段之一。

以下是设置NTFS权限时应遵循的原则：
1. 最小化权限：应当按照最小化权限的原则进行设置，即只提
供访问所需的权限，避免一些不必要的操作对系统造成潜在的风险。

2. 分层授权：权限应该按照不同用户或用户组分层次授予，确
保每个用户或组仅获得访问其需要的数据或应用程序的权限，从而在
保障安全的同时也保持了良好的应用程序性能。

3. 多重授权：当需要多组用户访问一个共享目录或文件时，建
议分别为这些用户组授权，而不是把所有用户都授权在同一组里，这
可大大降低恶意用户的入侵风险。

4. 定期审核：除了设置权限之外，还需要定期审核权限，以确
保其适当性和完整性，以防止任何潜在的安全漏洞或不适当的访问权限。

5. 高效管理：用户访问权限管理需要权衡安全和效率，特别是
对于那些访问频繁的共享目录或文件，要根据实际需要进行权限管理，以确保同时满足业务需求和安全管理。

在使用NTFS对计算机进行管理时，合理设置NTFS权限是至关重
要的一环。

只有遵循以上原则，才能充分发挥NTFS权限控制的功能，
确保系统安全和应用程序的稳定性。

正确设置NTFS权限让网站不再受限对于一些中小企业来说，服务器安装的操作系统几乎都是Windows2000/2003的。

Windows 系统以其简单易用、高度兼容等特品，使网管员们不可抗拒。

广大的网管员朋友们在使用Windows2000/2003架设企业网站时，却因权限的设置导致网站不能正常访问。

一、不能访问的现象我们知道，自Windows2000系统以来，系统中引入了NTFS分区格式，随之而来的就是安全权限配置。

如果权限配置不当，那么则可能出现发布的网站不能正常访问。

而对其故障进行分析，大概可以分为三类：1.无法显示网页这种错误最直接，输入正确的地址后直接就提示“HTTP500内部服务器错误”。

但是因为权限配置不当所引发的这种提示并不是特别常见。

2.输入密码访问输入要访问的地址并回车后，打开的不是网站的内容，而是弹出一个登录窗口，要求用户输入正确的用户名、密码。

可是明明已经在IIS中配置了允许匿名访问。

3.无法互动静态页面一切正常，但使用asp、编写的动态页面却出错。

常常表现为页面能够正常显示，但是添加信息、回复时，则会返回出错信息，而这些动态网站在本机测试时又完全正常。

二、故障分析从这些故障现象中可以看出，它们有一个共同的特点，就是在本机测试时完全正常，而服务器的配置过程也没有问题。

如果说到权限，都已经授权匿名用户访问了。

这到底是怎么回事呢？其实这完全就是NTFS系统权限分配错误所造成的。

我们知道，在Windos2000/2003Server系统NTFS分区中的文件或文件夹，其默认权限主要是管理员等系统用户账户来添加的。

而用户访问网站却是通过“Internet来宾帐户”来完成的。

该账户在安装IIS后会自动创建，它并不会自动拥有NTFS中文件（夹）的访问权限。

这样用户访问网站时，如果网站的内容不是放在默认的WWW中，那么则很可能因为“Internet来宾”无法操作而出现上面提到的问题。

三、故障解决由此看来，问题的症结都是因为采用了NTFS分区格式。

实验4 Windows NTFS文件系统权限实验
一、实验内容：学习应用Windows NTFS 文件系统权限的管理和应用
二、实验要求：对Windows NTFS文件系统有所了解，学会对权限的设置
三、实验步骤：
1. 右键单机“我的电脑”，打开“管理”，在本地用户和组的用户里面创建一个新用户：以自己的名字拼音命名，如张三，命名为zhangshan
2.完成新用户的创建之后我们接着在系统盘除外
．．．．．的盘里按照用户的前六项权限创建（完全控制、修改、读取和运行、列出文件夹目录、读取、写入）六个文件夹，对于这个文件夹分别赋予和文件名相同的权限．
3.下面把新创建的六个文件夹的属性打开，把它们的Users
．．
．．．．．组全部移
．．．．除掉
然后用再在新建的六个文件夹里面放入一个：批处理文件、一个文件夹和一个带内容的文本，当这些都完成之后开始进行下一步的实验.
下面我们对用zhangshan用户对完全控制做实验，那么我们把六个文件夹全部都加入zhangshan 用户里面.
下一步在zhangshan用户下依次对六个文件夹赋予
．．。

．．与它们的文件名字相对应的权限
下面注销administrator 用户切换到zhangshan 用户来检测权限的应用。

4.把以上过程截图并形成实验报告。