用過Linux的朋友一定對(duì)chmod記憶猶新，復(fù)雜的權(quán)限設(shè)置是保證系統(tǒng)安全的第二道屏障（第一道是用戶隔離），在Windows 9x版本中FAT32文件系統(tǒng)的天生不足導(dǎo)致的無法進(jìn)行權(quán)限控制給Windows落下了罵名 。不過NT中就不一樣了，NTFS文件系統(tǒng)下的Windows NT具備了基本的用戶和權(quán)限保護(hù)能力 。下面就來簡(jiǎn)要介紹一下Windows NT Server下面常用的權(quán)限控制 。
以下基于Windows NT 5.x和NTFS文件系統(tǒng)，介紹的比較簡(jiǎn)單，算作入門吧 。
權(quán)限的標(biāo)記——用戶和組
Windows NT中的權(quán)限控制單位是進(jìn)程，進(jìn)程的身份是靠其啟動(dòng)的用戶和組來標(biāo)記的 。用戶和組分為本地帳戶，指本地建立的用戶帳戶，用作對(duì)以本地帳戶登錄的進(jìn)程（如administrator啟動(dòng)運(yùn)行的程序，標(biāo)記為以administrator啟動(dòng)的服務(wù)），域帳戶（如GrapeCityValentinening啟動(dòng)運(yùn)行的程序，標(biāo)記為以GrapeCityValentinening啟動(dòng)的服務(wù)）計(jì)算機(jī)（如以計(jì)算機(jī)GrapeCityxa-app-xxx$的LocalSystem啟動(dòng)的服務(wù)） 。三者在進(jìn)行設(shè)置時(shí)一視同仁 。
文件訪問權(quán)限——NTFS權(quán)限
當(dāng)一個(gè)用戶試圖訪問一個(gè)文件或者文件夾的時(shí)候（不論是本地訪問還是通過Microsoft File and printer sharing for Microsoft network指定UNC進(jìn)行訪問），NTFS文件系統(tǒng)會(huì)檢查用戶使用的賬戶或者賬戶所屬的組是否在此文件或者文件夾的訪問控制列表（ACL）中，如果存在則進(jìn)一步檢查訪問控制項(xiàng)（ACE），然后根據(jù)控制項(xiàng)中的權(quán)限來判斷用戶最終的權(quán)限 。如果訪問控制列表中不存在用戶使用的賬戶或者賬戶所屬的組，就拒絕用戶訪問 。該權(quán)限可以在文件夾屬性的Security選項(xiàng)卡中進(jìn)行設(shè)置 。這里可以添加用戶到ACL中，并指定ACE 。
NTFS權(quán)限的應(yīng)用規(guī)則
1． 權(quán)限的組合——交集 。（原文此處為并集，有誤）
如果一個(gè)用戶同時(shí)在兩個(gè)組或者多個(gè)組內(nèi)，而各個(gè)組對(duì)同一個(gè)文件有不同的權(quán)限，那么這個(gè)用戶對(duì)這個(gè)文件有什么權(quán)限呢？簡(jiǎn)單的說，當(dāng)一個(gè)用戶屬于多個(gè)組的時(shí)候，這個(gè)用戶會(huì)得到各個(gè)組的累加權(quán)限，但是一旦有一個(gè)組的相應(yīng)權(quán)限被拒絕，此用戶的此權(quán)限也會(huì)被拒絕 。
2、權(quán)限的繼承
新建的文件或者文件夾會(huì)自動(dòng)繼承上一級(jí)目錄或者驅(qū)動(dòng)器的NTFS權(quán)限，一般的說從上一級(jí)繼承下來的權(quán)限是不能直接修改的，只能在此基礎(chǔ)上添加其他權(quán)限 。如果需要取消繼承，可以通過文件夾屬性的Security選項(xiàng)卡中的Advanced進(jìn)行修改 。
3、權(quán)限的拒絕——最高權(quán)限
拒絕（Deny）是需要謹(jǐn)慎的操作，因?yàn)榘凑誑TFS的規(guī)則，Deny權(quán)限具有最高的計(jì)算地位 。無論給賬戶或者組了什么權(quán)限，只要在拒絕的這一欄里有勾，那么被拒絕的權(quán)限就絕對(duì)有效 。
4、權(quán)限的移動(dòng)——同分區(qū)保留
由于NTFS的權(quán)限是以分區(qū)為單位進(jìn)行保存的，只有移動(dòng)到同一分區(qū)內(nèi)才保留原來設(shè)置的權(quán)限，否則為繼承目的地文件夾或者驅(qū)動(dòng)器的NTFS權(quán)限（原設(shè)定的權(quán)限被清除） 。
共享文件權(quán)限——Share權(quán)限：
共享權(quán)限只作用于Microsoft File and printer sharing for Microsoft network指定UNC進(jìn)行訪問，權(quán)限有三種：讀取、更改和完全控制 。
1、 讀取 。讀取權(quán)限是指派給Everyone組的默認(rèn)權(quán)限 。
a、 查看文件名和子文件夾名 。
b、 查看文件中的數(shù)據(jù) 。
c、 運(yùn)行程序文件 。
2、 更改 。更改權(quán)限不是任何組的默認(rèn)權(quán)限 。更改權(quán)限除允許所有的讀取權(quán)限外，還增加以下權(quán)限 。
a、 添加文件和子文件夾 。
b、 更改文件中的數(shù)據(jù) 。
c、 刪除子文件夾和文件 。
3、 完全控制 。完全控制權(quán)限是指派給本機(jī)上的Administrators組的默認(rèn)權(quán)限 。完全控制權(quán)限除允許全部讀取及更改權(quán)限外，還具有更改權(quán)限的權(quán)限 。

推薦閱讀

• 

  無月能組成什么成語(yǔ)
• 

  排解的意思 排解的相關(guān)知識(shí)
• 

  一年被蛇咬十年怕井繩的意思 一年被蛇咬十年怕井繩是什么意思
• 

  歌曲再見江湖歌詞
• 

  新鮮龍眼怎么曬龍眼干
• 

  南京市鼓樓區(qū)中考考點(diǎn)2022
• 

  2022年佛山禪城區(qū)積分入學(xué)常見問題答疑
• 

  空調(diào)全年能源消耗效率是什么意思
• 

  抗氧化劑力生長(zhǎng) 殺死癌細(xì)胞最狠的水果
• 

  早餐吃什么
• 

  蘋果手機(jī)鬧鐘聲音在哪里設(shè)置
• 

  我愛紅葉 初一作文
• 

  注冊(cè)公司優(yōu)惠政策如何 注冊(cè)優(yōu)惠公司推薦股票怎么選
• 

  首義園小吃街怎么樣
• 

  上海中考分?jǐn)?shù)線2013，b2013年上海市中考錄取分?jǐn)?shù)線b中含不含體育分
• 

  windows7的游戲windows10能玩嗎

• Windows 2003網(wǎng)絡(luò)負(fù)載均衡的實(shí)現(xiàn)
• 遠(yuǎn)程修改Windows 2003機(jī)器名
• windows 2003安全：重新支持ASP腳本
• 微軟Windows 2003 SP2 RC搶先下載
• 隱藏在Windows 2003系統(tǒng)中的“冷招”
• Windows Server 2008 Beta 3官方ISO下載
• Win7添加Windows憑證圖文操作步驟
• Windows 2003實(shí)用技巧七則
• 輕松改變Win2003登錄方式
• Windows 2003系統(tǒng)遠(yuǎn)程桌面管理小竅門