Windows XP权限整合应用全解

　　　　　　　　　　　　　　　　　　　　　　　图4

　　下面先简单介绍一下这三个权限的含义：

　　①完全控制：答应用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹，另外，也可以修改该文件夹中的NTFS访问权限和夺取所有权；

　　②更改：答应用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹，但不能创建新文件；

　　③读取：答应用户读取当前文件夹的文件和子文件夹，但是不能进行写入或删除操作。

　　说完了权限的含义，我们就可以点击“添加”按钮，将需要设置权限的用户或用户组添加进来了。在缺省情况下，当添加新的组或用户时，该组或用户将具备“读取”(Read)权限，我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。

　　接着再来说说令很多读者感到希奇的“组和用户名称”列表中的“Everyone”组的含义。在Windows 2000中，这个组因为包含了“Anonymous Logon”组，所以它表示“每个人”的意思。但在Windows XP中，请注重──这个组因为只包括“Authenticated Users”和“Guests”两个组，而不再包括“Anonymous Logon”组，所以它表示了“可访问计算机的所有用户”，而不再是“每个人”！请注重这是有区别的，“可访问计算机的所有用户”意味着必须是通过认证的用户，而“每个人”则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在要害所在！

　　当然，假如想在Windows XP中实现Windows 2000中那种“Everyone”设计机制，那么可以通过编辑“本地安全策略”来实现，方法是：在“运行”栏中输入“Secpol.msc”命令打开“安全设置”治理单元，依次展开“安全设置”→“本地策略”，然后进入“安全选项”，双击右侧的“网络访问：让‘每个人’权限应用于匿名用户”项，然后选择“已启用”项既可。

　　注重：在Windows XP Professional中，最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户，对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。

　　3.资源复制或移动时权限的变化与处理

　　在权限的应用中，不可避免地会碰到设置了权限后的资源需要复制或移动的情况，那么这个时候资源相应的权限会发生怎样的变化呢？下面来了解一下：

　　(1)复制资源时

　　在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继续其目标位置父级资源的权限。

　　(2)移动资源时

　　在移动资源时，一般会碰到两种情况，一是假如资源的移动发生在同一驱动器内，那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继续的权限)；二是假如资源的移动发生在不同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级资源中继续的权限也会被从目标位置的父级资源继续的权限所替代。实际上，移动操作就是首先进行资源的复制，然后从原有位置删除资源的操作。

　　(3)非NTFS分区

　　上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的，假如将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上，那么所有的权限均会自动全部丢失。

　　4.资源所有权的高级治理

　　有时我们会发现当前登录的用户无法对某个资源进行任何操作，这是什么原因呢？其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人(包括“Administrator”组成员)都无法访问资源，例如不小心将“zhiguo”这个文件夹的所有用户都删除了，这将会导致所有用户都无法访问这个文件夹，此时很多朋友就会束手无策了，其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。

　　首先，我们需要检查一下资源的所有者是谁，假如想查看某个资源(如sony目录)的用户所有权的话，那么只需使用“dir sony /q”命令就可以了。在反馈信息的第一行就可以看到用户是谁了，例如第一行的信息是“lovebook\zhong”，那么意思就是lovebook这台计算机中的“zhong”用户。如图5所示。

　　　　　　　　　　　　　　　　　　　　　　　图5

　　假如想在图形界面中查看所有者是谁，那么需要进入资源的属性对话框，点击“安全”选项卡设置界面中的“高级”按钮，在弹出的“(用户名)高级安全设置”界面中点击“所有者”选项卡，从其中的“目前该项目的所有者”列表中就可以看到当前资源的所有者是谁了。

　　假如想将所有者更改用户，那么只需在“将所有者更改为”列表中选择目标用户名后，点击“确定”按钮即可。此外，也可以直接在“安全”选项卡设置界面中点击“添加”按钮添加一个用户并赋予相应的权限后，让这个用户来获得当前文件夹的所有权。

　　注重：查看所有者究竟对资源拥有什么样的权限，可点击进入“有效权限”选项卡设置界面，从中点击“选择”按钮添加当前资源的所有者后，就可以从下方的列表中权限选项的勾取状态来获知了。

　　五、程序使用权限设定

　　Windows XP操作系统在文件治理方面功能设计上颇为多样、周全和智能化。这里通过“程序文件使用权限”设置、将“加密文件授权多个用户可以访问”和了解系统日志的访问权限三个例子给大家解释一下如何进行日常应用。

　　1.程序文件权限设定

　　要了解Windows XP中关于程序文件的访问权限，我们应首先来了解一下Windows XP在这方面的两个设计，一是组策略中软件限制策略的设计；二是临时分配程序文件使用权限的设计。

　　(1)软件限制策略

　　在“运行”栏中输入“Gpedit.msc”命令打开组策略窗口后，在“计算机配置”→“Windows设置”→“安全设置”分支中，右键选中“软件限制策略”分支，在弹出的快捷菜单中选择新建一个策略后，就可以从“软件限制策略”分支下新出现的“安全级别”中看到有两种安全级别的存在了。