在WIN2000中有个叫做Access Control List(ACL,访问控制列表)的东西,里面包含了
可以访问该资源的用户的帐户,组和计算机。当一个用户访问该资源时,那么必须在ACL中有
它的帐号,那么WIN2000才允许该用户访问该资源,否则拒绝。
这里要说明的一点是,和我们想象的不一样,WIN2000不是根据用户名是否相同来识别用
户的,每一个帐号在创建的时候都有一个Security ID(SID,安全标识符),WIN2000是根据
这个SID是否相同来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,WIN2000也会认为是不一样的两个帐号,这就像我们领奖的时候,只认你的身份证是否符合,而不管
你的名字是否相同是一个道理的,而该SID是WIN2000在创建该帐号的时候随机给的,所以说
当删除了一个帐号后,再次重新建立一个一模一样的帐号,其SID和原来的那个是不一样,那
么他的NTFS权限就必须重新设置。
现在说一下NTFS权限的实际应用。用鼠标右键点击你想要设置权限的文件或者文件夹,
选属性->安全,这时你可以看到允许使用该文件的帐号或者组,默认是都有Everyone组的
,该组表示所有的用户,下面部分就是可以为该组或者帐号设置的权限。如果Everyone的权
限设置为完全控制,那么意味着所有的用户都可以随意操作该文件,包括读取,修改,删除
等等。这也是WIN2000默认的权限。你还可以添加帐号,为帐号设置权限,这个只要你自己操
作一下就知道怎么操作了,现在我只是举个例子来说明一下:
假设有一个文件叫做FILE,我要设置为只有USER1,USER2和USER3这三个用户可以使用该
文件,但是USER1用户可以随意操作该文件,USER2用户只能读取该文件,而不能进行如修改
等等的其他操作,USER3可以读取,可以写入,但是不能删除该文件,我说明一下具体的操作
方法。
1、右键点击FILE,选属性->安全
2、将下面的“允许将来自父系的可继承权限传播给该对象”前面的勾去掉。他会弹出一个
对话框,选删除。也就是说把上面的Everyone等所有的帐号删除。
3、点添加,弹出一个对话框,选中USER1,添加,确定。
4、然后选中USER1,在“完全控制”后面的“允许”下面打上勾。
5、依照前面的方法添加USER2。
6、选中USER2,在“读取”后面的“允许”中打勾,其他的勾全部去掉。
7、添加USER3。
8、选中USER3,在“修改”后面的“允许”中打勾,确认“完全控制”的勾去掉。
9、选“高级”,选中USER3,点“查看/编辑”。把里面的“删除”后面“允许”的勾去掉

10、搞定!!! ^-^
这时,用USER1登陆,那么你可以完全控制该文件。
用USER2登陆,可以打开该文件,当保存的时候会出现“不能创建FILE,请确认路径和文件名
是否正确”的提示框。这说明现在USER2无法保存该文件。当然也无法进行其它操作,他只能
读取该文件。
用USER3登陆,可以打开该文件,也可以保存。当删除该文件的时候会出现“无法删除FILE:
拒绝访问。源文件可能正在使用”的提示框,说明无法删除该文件。
***** 提醒:在未完全搞清楚权限的用法之前,最好随便创建一个没有用的文件,然后再进
行试验,这样比较安全。否则搞得重要文件被删除了可不关我的事情。
至于给文件夹设置安全,步骤和上面差不多,不过文件夹会多了一个继承,也就是说可
以选择权限设置是仅仅对该文件夹进行起作用,还是对该文件夹和该文件夹的子文件夹及文
件起作用。只要将“重置所有子对象的权限并允许传播可继承权限”前面打勾就可以了。

*********************** 重点及难点 ****************************
多重NTFS权限问题一直是很多人搞不清楚的,现在作介绍并举例说明。
******注意:以下说明的是多重NTFS权限之间的问题,非NTFS权限和共享权限之间的多重。
1、权限的积累
用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如
果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该
用户就对该文件同时具有“读取”和“写入”的权限,举例如下:
假设情况如下所示:
有一个文件叫FILE。
USER1用户属于GROUP1组

USER1(读取权限)----> FILE <---- GROUP1(写入权限)




USER1对FILE的权限为 读取+写入
2、文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,假设你能够访问一个文件,
那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有
继承它所属的文件夹的权限)。
举例说明如下:假设你对文件夹FOLDER没有访问权限,但是该文件夹下的文件FILE.TXT
没有继承FOLDER的权限,也就是说你对FILE.TXT文件是有权限访问的,只不过你无法用资源
管理器之类的东西来打开FOLDER文件夹,你无法看到文件FILE而已(因为你对FOLDER没有访
问权限),但是你可以通过输入它的完整的路径来访问该文件。比如你可以用 c:\folder\file.txt来访问FILE文件(假设在C盘)。
3、拒绝高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但
是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或
文件。也就是说上面第一点的权限累积原则将失效。举例说明如下:
假设情况如下:
有一个文件叫FILE。
USER1用户属于GROUP1组

USER1(读取权限)----> FILE <---- GROUP1(拒绝)




拒绝访问
那么USER1对FILE的权限将不再是:读取+写入,而是无法访问文件FILE。
另外一种情况是拒绝原则与累计原则并存,举例如下:
有一个文件叫FILE。
USER1用户属于GROUP1组,同时也属于GROUP2组,
USER1(读取权限)



GROUP1(写入权限)----> FILE <---- GROUP2(拒绝写入)



读取
那么USER1对FILE的权限为:读取(根据累计原则,USER1对FILE本来有:“读取+写入”权
限,但是由于USER1所属的GROUP2组被拒绝写入,所以就只剩下“读取”权限了)。
************** 共享权限与NTFS权限组合的问题 **************
当一个文件夹被共享后,你可以为他设置共享权限,但是共享只有完全控制、读取和更改三
个可选项。但一个被设置了NTFS权限的文件夹被共享了以后,NTFS权限和共享权限是共同起
作用的,这时WIN2000遵守的是最严格原则,这和权限累积原则不同。也就是说外界的计算机
只有NTFS权限和共享权限都符合,他才能对该文件夹进行访问。举例说明如下:
有一个文件夹叫做FOLDER,有两个从网络登录的用户USER1和USER2。
FOLDER的权限设置如下:
对USER1而言,他具有对FOLDER的“修改”NTFS权限,同时具有对FOLDER的“读取”的权
限。则导致的结果是USER1对FOLDER只有读取权限(最严格原则,也就是说看NTFS和共享那个
权限比较严格就遵循哪个)。
对USER2而言,他具有对FOLDER的“修改”NTFS权限,同时具有对FOLDER的“完全控制”
的权限。则导致的结果是USER2对FOLDER有修改的权限。

*************** 文件的复制和移动 *****************
设置有NTFS权限的文件或文件夹的复制和移动会导致的NTFS权限的改变。
***** 复制:
1、当在单个NTFS分区或者在NTFS分区之间中复制文件夹或文件时,该复件将继承目的地文
件夹的权限。
2、当将文件夹或文件复制到非NTFS分区时,该复件的NTFS权限将消失(因为FAT32或FAT不
支持NTFS权限)。
***** 移动:
1、当在单个NTFS分区中移动文件夹或文件时,该文件夹或文件将保留原有的权限。
2、当在NTFS分区之间中移动文件夹或文件时,该文件夹或文件将继承目的地文件夹的权限

3、当将文件夹或文件移动到非NTFS分区时,该文件夹或文件的NTFS权限将消失。