|
|
Windows XP中关于权限的问题有四个基本原则,在进行NTFS权限设置的时候就需要. 注意这些基本原则。对于Windows XP的各种权限设置我们还是需要. 格外的注重 。
一 设置NTFS权限基本策略和原则
在Windows XP中,针对权限的管理有四项基本原则,即:回绝 优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到十分 重要的作用,下面就来理解 一下:
1 回绝 优于允许原则
“回绝 优于允许”原则是一条十分 重要且基础性的原则,它可以十分 完美地处理好因用户在用户组的归属方面惹起 的权限“纠葛 ”,例 如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的 集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动具有 “写入”的权限。
但令人奇异 的是,“shyzhong”账户明明具有 对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中 同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“回绝 写入”。基于“回绝 优于允许”的原则,“shyzhong”在 “shyzhongs”组中被 “回绝 写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因而 ,在实际操作中,“shyzhong”用户无法对这个资源进行“写入” 操作。
2 权限最小化原则
Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是十分 有必要的。这条原则可以确保资源得到最大的安全保证 。这条原则可以尽量让用户不能访问或不用 要访问的资源得到有效的权限赋予限制。
基于这条原则,在实际的权限赋予操作中,我们就必须为资源明白 赋予允许或回绝 操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态 下对“DOC”目录是没有任何权限的,现在需要. 为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为 “shyzhong”用户添加“读取”权限。
3 权限继承性原则
权限继承性原则可以让资源的权限设置变得愈加 简单。假定 现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等 子目录,现在需要. 对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。由于 有继承性原则,所以只需对“DOC”目录设置 “shyzhong”用户有“写入”权限,其下的一切 子目录将自动继承这个权限的设置。
4 累加原则
这个原则比较好了解 ,假定 现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么依据 累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。
显然,“回绝 优于允许”原则是用于解决权限设置上的抵触 问题的;“权限最小化”原则是用于保证 资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置愈加 灵活多变。几个原则各有所用,短少 哪一项都会给权限的设置带来很多费事 !
注意:在Windows XP中,“Administrators”组的全部成员都具有 “获得 一切 者身份”(Take Ownership)的权利 ,也就是管理员组的成员可以从其他用户手中“攫取 ”其身份的权利 ,例如受限用户“shyzhong”建立了一个DOC目录,并 只赋予自己. 具有 读取权利 ,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“攫取 一切 权”等方法取得 这个权限。
5 文件的权限要凌驾于文件夹的权限
貌似看文档有这么一条,不知道是不是文档版本过旧导致的,对单独文件权限设置会优先被舷? |
|
|
|
|
|
|
|
|
|
