Windows 2000中NTFS权限介绍及应用2
多重NTFS权限问题一直是很多人搞不清楚的,现在作介绍并举例说明。
******注意:以下说明的是多重NTFS权限之间的问题,非NTFS权限和共享权限之间的多重。
1、权限的积累
用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该用户就对该文件同时具有“读取”和“写入”的权限,举例如下:
假设情况如下所示:
有一个文件叫FILE。
USER1用户属于GROUP1组
USER1(读取权限)----> FILE <----GROUP1(写入权限)
|
|
|
|
USER1对FILE的权限为 读取+写入
2、文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,假设你能够访问一个文件,那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。
举例说明如下:假设你对文件夹FOLDER没有访问权限,但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限,也就是说你对FILE.TXT文件是有权限访问的,只不过你无法用资源管理器之类的东西来打开FOLDER文件夹,你无法看到文件FILE而已(因为你对FOLDER没有访问权限),但是你可以通过输入它的完整的路径来访问该文件。比如你可以用 c:\folder\file.txt来访问FILE文件(假设在C盘)。
3、拒绝高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下:
假设情况如下:
有一个文件叫FILE。
USER1用户属于GROUP1组
USER1(读取权限)----> FILE <----GROUP1(拒绝)
|
|
|
|
拒绝访问
那么USER1对FILE的权限将不再是:读取+写入,而是无法访问文件FILE。
另外一种情况是拒绝原则与累计原则并存,举例如下:
有一个文件叫FILE。
USER1用户属于GROUP1组,同时也属于GROUP2组,
USER1(读取权限)
|
|
|
GROUP1(写入权限)----> FILE <----GROUP2(拒绝写入)
|
|
|
读取
那么USER1对FILE的权限为:读取(根据累计原则,USER1对FILE本来有:“读取+写入”权限,但是由于USER1所属的GROUP2组被拒绝写入,所以就只剩下“读取”权限了。