3.权限继续性原则
权限继续性原则可以让资源的权限设置变得更加简单。假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继续性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继续这个权限的设置。
4.累加原则
这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取 写入”两种。
显然,“拒绝优于答应”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继续性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!
注重:在Windows XP中,“Administrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是治理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“Administrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。
四、资源权限高级应用
以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。下面来看看如何进行设置:
1.NTFS权限
首先我们要知道:只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效!
NTFS权限有两大要素:一是标准访问权限;二是非凡访问权限。前者将一些常用的系统权限选项比较笼统地组成6种“套餐型”的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。如图1所示。
图1
在大多数的情况下,“标准权限”是可以满足治理需要的,但对于权限治理要求严格的环境,它往往就不能令治理员们满足了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等……这个时候,就可以让拥有所有权限选项的“非凡权限”来大显身手了。也就是说,非凡权限不再使用“套餐型”,而是使用可以答应用户进行“菜单型”的细节化权限治理选择了。
那么如何设置标准访问权限呢?以对一个在NTFS分区中的名为“zhiguo”的文件夹进行设置标准访问权限为例,可以按照如下方法进行操作:
因为NTFS权限需要在资源属性页面的“安全”选项卡设置界面中进行,而Windows XP在安装后默认状态下是没有激活“安全”选项卡设置功能的,所以需要首先启用系统中的“安全”选项卡。方法是:依次点击“开始”→“设置”→“控制面板”,双击“文件夹选项”,在“查看”标签页设置界面上的“高级设置”选项列表中清除“使用简单文件共享(推荐)”选项前的复选框后点击“应用”按钮即可。
设置完毕后就可以右键点击“zhiguo”文件夹,在弹出的快捷菜单中选择“共享与安全”,在“zhiguo属性”窗口中就可以看见“安全”选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在“组或用户名称”列表中选择需要赋予权限的用户名组(这里选择“zhong”用户),接着在下方的“zhong 的权限”列表中设置该用户可以拥有的权限即可。
下面简单解释一下六个权限选项的含义:
①完全控制(Full Control):该权限答应用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限;
②修改(Modify):该权限答应用户修改或删除资源,同时让用户拥有写入及读取和运行权限;
③读取和运行(Read & Execute):该权限答应用户拥有读取和列出资源目录的权限,另外也答应用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;
④列出文件夹目录(List Folder Contents):该权限答应用户查看资源中的子文件夹与文件名称;
⑤读取(Read):该权限答应用户查看该文件夹中的文件以及子文件夹,也答应查看该文件夹的属性、所有者和拥有的权限等;
⑥写入(Write):该权限答应用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
假如在“组或用户名称”列表中没有所需的用户或组,那么就需要进行相应的添加操作了,方法如下:点击“添加”按钮后,在出现的“选择用户和组”对话框中,既可以直接在“输入对象名称来选择”文本区域中输入用户或组的名称(使用“计算机名\用户名”这种方式),也可以点击“高级”按钮,在弹出的对话框中点击“立即查找”按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。如图2所示。
假如想删除某个用户组或用户的话,只需在“组或用户名称”列表中选中相应的用户或用户组后,点击下方的“删除”按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,假如希望拒绝某个用户或用户组访问某个资源,还要在“组或用户名称”列表中选择相应的用户名用户组后,为其选中下方的“拒绝”复选框即可。
那么如何设置非凡权限呢?假设现在需要对一个名为“zhiguo”的目录赋予“zhong”用户对其具有“读取”、“建立文件和目录”的权限,基于安全考虑,又决定取消该账户的“删除”权限。此时,假如使用“标准权限”的话,将无法完成要求,而使用非凡权限则可以很轻松地完成设置。方法如下: