共享权限和NTFS权限详解

一、公私分明的文件夹根据企业文件共享策略，需要为每个员工在文件服务器上建一个私人文件夹仅供个人使用，另外还需建一个共享文件夹让大家使用，这如何实现呢?第一步：在文件服务器上建立NTFS分区，然后为每个用户创建一个账号，再创建一个组包含所有的用户。

第二步：为每个用户创建一个共享文件夹，在设置共享权限的时候去掉Everyone组，将对应的个人用户账号添加进来，然后根据需要设置权限。

第三步：为所有的人创建一个共享文件夹，再在设置共享权限的时候去掉Everyone组，将第一步中创建的包含所有用户的组添加进来如图1，然后根据需要设置权限即可。

(图1)图1 添加用户二、共享文件夹权限迁移一般情况下，公司的文件服务器上有上百个用户文件夹，每个文件夹夹中都有多个使用者的权限，如果遇到服务器硬件空间升级或换新机，如何节省时间进行共享文件夹权限设置的迁移和复制呢?我们可以使用Windows server 2003系统自带的Xcopy命令来实现，该命令加上/O/X/E/H/K 参数，在复制文件时可以保留已明确应用于这些文件的现有权限。

通过该命令在就可以完成在将一个文件夹复制到另一个文件夹中并保留其权限。

具体操作方法是：第一步：单击“开始→运行”输入cmd打开命令提示符工具。

第二步：输入“xcopy source destination /O /X /E /H /K” 然后按回车键可以完成共享文件权限的复制如图2。

(source是要复制的文件的源路径，destination是这些文件的目标路径)(图2)图2 共享文件权限复制三、确定文件的上传者windows 2003 server做文件服务器，通过客户端上传的文件，有没有什么方法确定该文件是从哪个客户端的哪个用户放进来的?管理员可以通过应用或修改本地文件或文件夹的审核策略设置来实现，具体的设置方法如下：第一步：在文件服务器上，打开 Windows 资源管理器。

右键单击要审核的文件或文件夹，单击“属性”，然后单击“安全”选项卡，单击其下的“高级”按钮，然后单击“审核”选项卡。

共享权限与安全权限的区别NTFS权限是对文件夹设置的可以说对用户对文件夹有什么权限就是看NTFS 权限而共享权限仅在你共享文件夹的时候出现而网络上的用户要访问共享文件夹的时候要看NTFS+共享权限的交集不过一般共享设成完全控制具体的权限还是在NTFS权限上面设置的这样不仅仅对网络访问的用户有效而且对本地的用户也有效不过只用格式为NTFS的盘才有安全这个选项才能设置NTFS权限而FAT32是没有这个选项的提NTFS权限不妨先介绍一下FAT和NTFS。

FAT16：DOS、Windows95都使用FAT16文件系统，Windows98/2000/XP 等系统均支持FAT16文件系统。

FAT16最大可以管理大到2GB的分区，但每个分区最多只能有65525个簇。

随着硬盘或分区容量的增大，每个簇所占的空间将越来越大，从而导致硬盘空间的浪费。

FAT32：FAT16的增强版本，可以支持大到2TB（2048GB)的分区。

FAT32使用的簇比FAT16小，从而有效地节约了硬盘空间。

NTFS：微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。

随着以NT为内核的Windows2000/XP的普及，很多个人用户开始用到了NTFS。

NTFS也是以簇为单位来存储数据文件，但NTFS中簇的大小并不依赖于磁盘或分区的大小。

簇尺寸的缩小不但降低了磁盘空间的浪费，还减少了产生磁盘碎片的可能。

NTFS 支持文件加密管理功能，可为用户提供更高层次的安全保证。

不过一般共享设成完全控制，具体的权限还是在NTFS权限上面设置的，这样不仅仅对网络访问的用户有效，而且对本地的用户也有效。

也就是共享权限仅在共享文件夹的时候出现，而网络上的用户要访问共享文件夹的时候要看NTFS+共享权限的交集。

NTFS权限是对文件夹设置的，可以说对用户对文件夹有什么权限就是看NTFS权限。

共享权限只对远程用户有效，NTFS权限对本地和未远程都有效共享的权限只能控制网络访问，不能控制本机访问，适合任何分区，但权限的种类少。

广东XXXX职业学院计算机工程技术学院(软件学院)实验报告专业计算机网络技术班级XXX 成绩评定______学号XX 姓名XXX (合作者____号____) 教师签名XX实验九题目NTFS权限与共享权限第11周星期二第节一、实验目的与要求（此栏实验前由老师填写）◆创建和验证多重本地组策略的设置；◆配置本地安全策略设置。

二、实验环境及方案（此栏实验前由老师填写）实验环境：主机硬件配置至少1G内存，15G以上的空余硬盘空间，然后要求在主机上安装Oracle VM VirtualBox 4.1.8，利用它配置至少一台虚拟机，安装windows 7企业版客户机，并准备好相应的windows 7安装盘或对应ISO文件。

实验说明：1.计算机启动时所启动的操作系统称为主机，在虚拟机上安装的操作系统称为客户机；2.启动客户机后，如果想操作客户机，只需用鼠标点击客户机桌面就可以；如果要回到主机操作，可以按下键盘右边ctrl键。

3.也可以通过安装增强功能来实现在主机与客户机之间自由地切换4.客户机的管理员kgy帐号的登录密码：P@ssw0rd5.实验所需的各种资料在共享文件夹中找6.请把实验过程的关键操作屏幕的图片剪切下来，贴在相应实验内容后面，以备检查。

（截屏方法：如果要截全屏，直接按屏幕打印键；如果只截当前屏幕，请按Alt+屏幕打印键）7.完成后，请将实验结果文件命名为：“班内序号_姓名_第几次实验”，如张三班内序号为18号、实验一的结果文件可命名为：“18_张三_1.doc” ；“08_李四_6.doc”再如李四班内序号为8号、实验六的结果文件可命名为：三、实验内容（将每项实验内容的具体操作步骤及相关截图存放于实验结果栏中）（一）配置文件和文件夹的NTFS权限1、创建文件夹和文档文件，在C盘中创建network文件夹2、授予所选用户对文件的写访问权（1）在network文件夹中创建一个新文件test.txt，文件内容为“Hello,user!”（2）新建一个普通用户lisi；（3）在文件test.txt安全权限分配中，将用户lisi作为分配权限的用户，为其分配写入权限。

NTFS的权限NTFS（New Technology File System）是Windows操作系统中常用的文件系统之一。

它提供了一种可靠的方式来管理计算机上的文件和文件夹。

除了文件和文件夹的管理之外，NTFS还提供了强大的权限控制功能，允许系统管理员对不同用户或用户组的访问权限进行精细调整。

权限是指操作系统为每个用户或用户组分配的特定访问权限。

这些权限可以控制用户对文件和文件夹的读取、写入、修改、删除等操作，以确保数据的安全性和整体的系统稳定性。

一、权限类型NTFS的权限主要分为以下几种类型：1. 文件权限：用于控制对单个文件的访问权限。

2. 文件夹权限：用于控制对整个文件夹及其内部文件的访问权限。

3. 共享权限：用于控制共享文件夹对网络用户的访问权限。

二、权限级别NTFS的权限级别主要有以下几个：1. 完全控制：允许用户对文件或文件夹进行任何操作，包括读取、修改、删除等。

2. 读取与执行：允许用户查看文件内容和执行可执行文件。

3. 读取：允许用户查看文件内容但不允许对文件进行修改或删除。

4. 写入：允许用户对文件进行写入操作，但不允许对文件进行修改或删除。

5. 修改：允许用户修改文件内容，但不允许删除文件或对文件进行重命名。

三、权限分配权限的分配是通过ACL（Access Control List，访问控制列表）实现的。

ACL是一种数据结构，它存储了访问权限的信息。

每个文件和文件夹都有一个ACL，其中包含了多个访问控制条目（ACE，Access Control Entry）。

每个ACE定义了一个用户或用户组和对应的访问权限。

权限分配的方式主要有以下几种：1. 继承权限：当创建一个新文件夹时，默认会继承父文件夹的权限设置。

这意味着子文件夹和文件的权限会自动与父文件夹保持一致。

如果需要单独设置子文件夹或文件的权限，可以手动取消继承。

2. 显式权限：显式权限是直接为文件或文件夹设置的权限。

与继承权限不同，显式权限只适用于当前对象，不会影响到子文件夹和文件。

Windows域的权限管理方法1. 概述Windows域是一种由微软推出的网络管理架构，用于集中管理和控制Windows操作系统的计算机、用户和资源。

在一个Windows域中，权限管理是非常重要的一项任务，它能够确保只有授权的用户能够访问和操作特定的资源。

本文将介绍Windows域的权限管理方法，包括用户权限管理、组权限管理和对象权限管理。

2. 用户权限管理用户权限管理是指对Windows域中的用户进行权限控制和管理。

以下是一些常用的用户权限管理方法：2.1. 用户权限分级不同的用户可能需要不同的权限来访问域中的资源。

Windows域提供了一套权限分级机制，可以将用户划分为不同的权限组，例如管理员、普通用户和只读用户等。

管理员拥有最高的权限，可以对域中的所有资源进行管理和操作，而只读用户只能查看资源的内容，无法进行修改。

2.2. 用户角色管理除了权限分级外，Windows域还支持用户角色管理。

用户角色是一组权限集合，可以预先定义好一些常用的角色，并将用户分配给不同的角色。

这样可以简化权限管理，减少管理员的工作量。

当用户加入或退出一个角色时，其权限也会相应地改变。

2.3. 用户密码策略用户密码是保护域中资源的重要措施之一。

Windows域可以设置密码策略，要求用户使用强密码，并定期更换密码。

密码策略可以包括密码长度、密码复杂度要求、密码有效期等。

3. 组权限管理组权限管理是通过将用户分组来管理和分配权限。

以下是一些常用的组权限管理方法：3.1. 域本组和特殊组Windows域中有一些预定义的基本组和特殊组，例如”Administrators”、“Domain Admins”和”Domain Users”等。

这些组都有特定的权限和角色，可以直接使用或进行自定义设置。

通过将用户添加到这些组中，可以一次性地为多个用户分配权限。

3.2. 自定义组除了基本组和特殊组外，Windows域还支持自定义组。

管理员可以根据需要创建自己的组，并为其指定权限和角色。

1、本地权限设置本地权限是指登录本机时，不同用户可以行使的权限。

本地权限在“安全”选项卡中进行设置。

由于只有NTFS文件系统支持本地权限，所以本地权限又称NTFS权限。

问：为什么我的文件夹属性中没有“安全”选项卡？答：只有使用NTFS文件系统的分区才能设置NTFS权限，如果你的磁盘分区用的是FAT或FAT32，就没有“安全”选项卡。

问：我的计算机装的是Windows XP，磁盘用的是NTFS文件系统，为什么在文件夹属性中不能设置NTFS权限？答：Home版的XP不能设置NTFS权限，Professional版的XP可以设置。

问：怎么将FAT或FAT32文件系统转换为NTFS文件系统？答：打开“开始| 运行”，输入命令：convert 盘符/fs:ntfs。

例如：convert d:/fs:ntfs 就是将D盘转换为NTFS文件系统。

这种转换是无损转换，磁盘中的文件不会丢失。

但转换成NTFS后，就不能再转回FAT32了。

问：打开安全属性后，里面的权限都是灰色的，不能取消，我想删除该账户也删不了。

答：灰色的权限表示该权限是继承自上一层文件夹，这种情况下只能往里添加新权限，不能取消已选中的权限。

解决方法有两个：一是通过添加“拒绝”来否定那些已经选中的“允许”。

二是删除所有继承来的账户和权限，再重新添加账户和权限。

删除方法是单击“高级”按钮，取消“允许父项的继承权限传播到该对象和所有子对象，包括那些在此明确定义的项目”复选框，在弹出的对话框中单击“删除”按钮。

这时所有继承来的账户和权限都将被删除。

问：“拒绝”权限是否一定优先于“允许”权限？答：不完全是这样。

由于权限有继承来的权限和直接设置的权限两种，它们的优先次序从高到低依次是：直接设置的拒绝、直接设置的允许、继承的拒绝、继承的允许。

问：我用我的账户登录计算机，为什么有的文件夹可以设置本地权限，有的文件夹不行？答：一个账户通常只能对那些拥有所有权的文件夹设置本地权限。

⽂件服务器的详细配置之共享权限与NTFS权限的设置⽂件服务器的详细配置之共享权限与NTFS权限的设置在⼤中型企业中，⼀般⽽⾔所谓⽂件服务器是指共享⽂件夹，即对共享权限与NTFS权限的设置！当然这也是我们搞⽹络者必须会的，是必经之路！我旨在抛砖引⽟罢了。

本公司使⽤的是域环境，利⽤Windows Server 2003 R2搭建⽂件服务器，其它信息如下所⽰：SVR1主DC1/DNS: IP地址192.168.1.22/24（NIC 1⽹卡)IP地址192.168.0.44/24（NIC 2⽹卡）SVR4成员服务器：IP地址192.168.1.44/24 DNS：192.168.0.22 /23（主/辅）备注：为DFS分布式⽂件服务器作准备SVR5成员服务器：IP地址192.168.1.55/24 DNS：192.168.0.22 /23（主/辅）备注：为DFS分布式⽂件服务器作准备⽂件夹的结构层次简单拓扑图如下所⽰：⼀、在SVR1（R2）上操作，创建OU以部门命名：（1）创建OU以部门命名：Win + R →dsa.msc 回车，打开“Active Directory ⽤户和计算机”，如下图：弹出，如下图：同理，创建质检部、财务部等OU（2）创建⽤户账号，在OU中，如下图：下⼀步→完成同理，在各部门OU中创建⽤户账号，完成后如下图：（3）创建组以部门命名，如下图：弹出，如下图所⽰：同理，质检组、财务组等，如下图：（4）将各部门的⽤户账号加⼊到本部门的组中，以采购部为例，如下图：弹出，如下图：然后，点击确定→确定，弹出如下图：同理，将⼩黄、⼩郑加⼊到质检组；⼩刘、⼩叶加⼊到财务组！⼆、在SVR4成员服务器上操作，据上⾯的拓扑图创建⽂件夹，如下图：下⾯详细配置操作：①⽂件服务器⽂件夹的具体配置：⼀路确定共享权限设置如下图所⽰：刚才设的是共享权限，下⾯再来设置 NTFS权限（安全选项卡）：思考：如何设置质检组、财务组对⽂件服务器⽂件夹的共享权限与NTFS权限？②打开⽂件服务器⽂件夹，我们来配置采购部的⽂件夹：③我们切换到安全选项卡，来配置NTFS权限：思考：如何配置质检部、财务部⽂件夹的共享权限和NTFS权限？（参考采购部的配置）* 公司共享⽂件夹的配置有点特殊：思考：如何配置财务组、质检组的共享权限和NTFS权限？（参考采购组的设置）④采购部的⼩孙的⽂件夹的安全选项卡的配置有点特殊：（参考公司共享⽂件夹的设置）三、检验上⾯权限的配置是否正确：将客户机PC（XP）加⼊到域后且⽤⼩孙的⽤户账号登录，然后，Win + R →\\svr4\⽂件服务器回车，试着创建⽂件夹：思考：试着删除财务部、采购部、公司共享、质检部的⽂件夹，能删除吗？（都不能！）然后逐⼀将这4个⽂件夹打开，都能打开吗？（只能打开本部门和公司共享这2个⽂件夹）再在⾥⾯创建、删除和修改，能吗？（当然能！）如果公司⽼总要能查看所有部门的⽂件等，⼜如何操作呢？。

认识NTFS权限的应用规则Ntfs权限可以实现高度的本地安全性，通过对用户赋予ntfs权限可以有效的控制用户对文件和文件夹的访问。

一、权限的组合当一个用户属于多个组时，这个用户会得到各个组的累加权限，一旦有一个组的相应权限被拒绝，此用户的权限也会被拒绝。

例如：假设有一个用户Bob，如果Bob属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，Bob自己对此文件有修改的权限，那么Bob对此文件的最终权限为“读取+写入+修改”。

二、权限的继承继承就是指新建的文件或者文件夹会自动继承上一级目录或者驱动器的ntfs权限，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。

图一：ntfs权限三、移动和复制操作对权限继承性的影响1、在同一个分区内移动文件或文件夹时的影响；2、在同一个ntfs分区内复制文件或文件夹时的影响；3、当从ntfs分区向fat分区中复制或移动文件和文件夹都将导致文件和文件夹的权限丢失。

四、共享权限和ntfs权限的组合权限关于Windows系统共享问题最大的困扰是，ntfs和共享权限都会影响用户访问网络资源的能力。

共享权限只有三种：读取、更改和完全控制。

Windows server 2008默认的共享文件设置权限是creator owner，并且没有任何读取权限，Windows server 2003默认的共享文件设置权限是Everyone，用户只具有读取权限。

1、读取：读取权限是指派给everyone组的默认权限。

2、更改：更还权限是任何组的默认权限。

更改权限除允许所有的读取权限外，还增加以下权限。

1）添加文件和子文件夹2）更改文件中的数据3）删除子文件夹和文件3、完全控制：完全控制权限是指派给本机上的administrator组的默认权限。

完全控制权限除允许全部读取权限外，还具有更改权限。

图二：ntfs格式共享权限只对通用网络访问的用户有效，所以有时需要和ntfs权限配合（如果分区是FAT文件系统和FAT32文件系统，则不需要考虑）才能严格控制用户的访问。

我们知道windows NT、windows 2000和windows XP系统的安全性在本地网络中最主要的是可以自由地设置各用户、文件和文件夹的访问权限来保证的。

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须安全有效地设置文件和文件夹的访问权限。

NTFS文件系统访问权限主要分为：读取(Read)、写入(Write)、读取及执行(Read and Execute)、修改(Modify)、遍历目录(List Folder Contents)、安全控制(Full Control)。

在默认的情况下，大多数的文件和文件夹对所有用户（即Everyone组）是完全控制的，这根本不能满足不同的网络的权限设置要求，所以你还需要根据你具体的应用需求进行重新设置。

最好是将各驱动器的下的Everyone的Full Control权限删除，再根据需要添加相应的权限。

要正确有效地设置好系统文件和文件夹的权限，就必须了解NTFS文件和文件夹的下列属性：1、权限具有继承性权限的继承性就是下级文件夹的权限设置在未重新设置前是继承其上一级文件夹（即父文件夹）的权限设置的。

例如，如果某一个用户对某一文件夹具有"修改"的权限，那么在该文件夹的下级文件夹的权限没有重新进行之前，该用户对所有的下级文件夹具有"修改"权限，除非你打破这种继承关系，对下级文件夹的权限进行了重新设置。

在windows NT 4中，在默认的情况下，文件夹中的文件继承上级文件夹的访问权限，而子文件夹不继承上级文件夹的访问权限。

在windows 2000 Server中子文件夹默认情况下也继承上级文件夹的访问权限。

但要注意的是：这仅对静态的文件夹有效，对于文件或文件夹的复制和移动会出现另几种情况：1）在同一NTFS分区间复制或移动在同一NTFS分区间复制文件或文件夹到不同的文件夹时，它的访问权限发生了改变，即继承了新的上级文件夹（即目标文件夹）的权限设置。

服务器共享权限设置与NTFS权限的设置⽅法现在很多单位都搭建了⽂件服务器，通常⽤于存储单位重要的⽂件，以及共享⼀些⽂件供局域⽹⽤户访问。

虽然搭建服务器⽐较简单，但是设置服务器共享⽂件的访问权限则通常⽐较⿇烦。

这⼀⽅⾯是操作系统设置共享⽂件访问权限⽐较⿇烦，另⼀个⽅⾯即便采⽤域控制器也⽆法有效控制局域⽹⽤户访问共享⽂件的权限，特别是只让读取共享⽂件⽽禁⽌复制共享⽂件、只让打开共享⽂件⽽禁⽌另存为本地磁盘、只让修改共享⽂件⽽禁⽌删除共享⽂件等。

这就需要借助于“⼤势⾄局域⽹共享⽂件管理系统”。

如下图所⽰：接下来，我们可以详细了解⼀下如何搭建⽂件服务器，并配置服务器共享⽂件的访问权限。

⽂件共享是企事业单位局域⽹应⽤的⼀个主要⽅⾯，基于此需要通常会搭建专门的共享服务器。

其实，现在的企事业单位都有⾃⼰的Web服务器，如果采⽤的是基于Windows Server 2008的Web服务器平台，搭建专门的⽂件服务器并不是唯⼀的选择，我们可以借⽤Web通道实现⽂件共享。

另外，就算有专门的共享服务器，这条基于Web的共享通道在共享服务器负载增加的情况下，可以实现分流或者直接代替已有的⽂件服务器，这样不仅带来性能的提升也避免了⽂件服务应过载⽽宕机。

1、实现思路利⽤Windows Server 2008的新特性，对运⾏Web的服务器进⾏配置实现⽂件共享。

通过移动共享配置将站点内容映射到⼀个⽂件服务器的存储，通过很简便的配置使得不同的服务器使⽤共享配置存储，⽽不需要做任何修改。

2、实现过程为了使⼤家有更完整的了解，笔者搭建环境从头开始详细演⽰搭建这条Web通道的具体过程。

笔者演⽰中的参数设置仅⽤于演⽰，⼤家在部署时可更加实际环境来设置。

(1).Web站点配置创建新的应⽤程序池以管理员(administrator)⾝份登录Web服务器，然后依次点击在“开始”“管理⼯具”“Internet信息服务(IIS)管理器”打开IIS 7管理器窗⼝。

1. 权限概述在NTFS分区中，用户可以通过设定文件及文件夹的权限来分配访问资源在windows中，有两种权限(1)ntfs权限(2)共享权限2. NTFS权限概述(1) 只适用于NTFS分区(1) 如果是FAT32,可以使用convert命令进行转换3. NTFS权限的种类5种标准（组合）权限--读Read--写Write--读和执行Read&Write--修改Modify完全控制Full Control注意!1.默认everyone对根及其下的子目录有FＣ权限2.一般应删除everyone权限4. 复制和移动文件夹对权限的影响(1) 从一个NTFS分区到另一个NTFS分区c-d--无论复制/移动，都是继承（2）同一个NTFS分区d/k1 – d/k2--复制:继承--移动:保留（3）复制/移动到FAT(32)分区--NTFS权限丢失5. 授予NTFS权限的注意事项●尽量为组授权，而不为用户授权●只授予用户所要求级别的权限●对应用程序只授予“读和执行”权限--防止病毒和意外损害8. NTFS详细权限(1)当以上的权限分类还不满足用户的要求时，可以使用更详细的权限来设置查看详细权限(2)两个特殊的特殊权限--更改(change)权限//可以更改"权限"的权限--取得所有权权限//可以获得所有权的权限什么是文件的所有者权限？默认情况下，管理员是所有文件的所有者，另外，创建文件或文件夹的那个用户对那个文件或文件夹有所有权权限。

实验1☐某文件夹，仅给某用户取得所有权权限，该用户最终能否查看到里面的内容？☐某文件夹，仅给某用户更改权限的权限，该用户最终能否查看到里面的内容？9. 共享权限设置☐适用于所有分区fat32 ntfs power users☐只对文件夹有效☐有三种权限--完全控制、更改、读取客户端访问共享的方法☐通过unc路径☐通过映射☐客户端可以修改我的文档，以方便存储到服务器10.两种权限的比较。