一、什么是權(quán)限
Windows XP提供了非常細(xì)致的權(quán)限控制項(xiàng),能夠精確定制用戶對(duì)資源的訪問(wèn)控制能力,大多數(shù)的權(quán)限從其名稱上就可以基本了解其所能實(shí)現(xiàn)的內(nèi)容。
"權(quán)限"(Permission)是針對(duì)資源而言的。也就是說(shuō),設(shè)置權(quán)限只能是以資源為對(duì)象,即"設(shè)置某個(gè)文件夾有哪些用戶可以擁有相應(yīng)的權(quán)限",而不能是以用戶為主,即"設(shè)置某個(gè)用戶可以對(duì)哪些資源擁有權(quán)限"。這就意味著"權(quán)限"必須針對(duì)"資源"而言,脫離了資源去談權(quán)限毫無(wú)意義──在提到權(quán)限的具體實(shí)施時(shí),"某個(gè)資源"是必須存在的。
利用權(quán)限可以控制資源被訪問(wèn)的方式,如User組的成員對(duì)某個(gè)資源擁有"讀取"操作權(quán)限、Administrators組成員擁有"讀取+寫入+刪除"操作權(quán)限等。
值得一提的是,有一些Windows用戶往往會(huì)將"權(quán)力"與"權(quán)限"兩個(gè)非常相似的概念搞混淆,這里做一下簡(jiǎn)單解釋:"權(quán)力"(Right)主要是針對(duì)用戶而言的。"權(quán)力"通常包含"登錄權(quán)力" (Logon Right)和"特權(quán)"(Privilege)兩種。登錄權(quán)力決定了用戶如何登錄到計(jì)算機(jī),如是否采用本地交互式登錄、是否為網(wǎng)絡(luò)登錄等。特權(quán)則是一系列權(quán)力的總稱,這些權(quán)力主要用于幫助用戶對(duì)系統(tǒng)進(jìn)行管理,如是否允許用戶安裝或加載驅(qū)動(dòng)程序等。顯然,權(quán)力與權(quán)限有本質(zhì)上的區(qū)別 。
二、安全標(biāo)識(shí)符、訪問(wèn)控制列表、安全主體
說(shuō)到Windows XP的權(quán)限,就不能不說(shuō)說(shuō)"安全標(biāo)識(shí)符"(Security Identifier, SID)、"訪問(wèn)控制列表"(Access Control List,ACL)和安全主體(Security Principal)這三個(gè)與其息息相關(guān)的設(shè)計(jì)了。
1.安全標(biāo)識(shí)符
在Windows XP中,系統(tǒng)是通過(guò)SID對(duì)用戶進(jìn)行識(shí)別的,而不是很多用戶認(rèn)為的"用戶名稱"。SID可以應(yīng)用于系統(tǒng)內(nèi)的所有用戶、組、服務(wù)或計(jì)算機(jī),因?yàn)镾ID是一個(gè)具有惟一性、絕對(duì)不會(huì)重復(fù)產(chǎn)生的數(shù)值,所以,在刪除了一個(gè)賬戶(如名為"A"的賬戶)后,再次創(chuàng)建這個(gè)"A"賬戶時(shí),前一個(gè)A與后一個(gè)A賬戶的SID是不相同的。這種設(shè)計(jì)使得賬戶的權(quán)限得到了最基礎(chǔ)的保護(hù),盜用權(quán)限的情況也就徹底杜絕了。
查看用戶、組、服務(wù)或計(jì)算機(jī)的SID值,可以使用"Whoami"工具來(lái)執(zhí)行,該工具包含在Windows XP安裝光盤的"Support\Tools"目錄中,雙擊執(zhí)行該目錄下的"Setup"文件后,將會(huì)有包括Whoami工具在內(nèi)的一系列命令行工具拷貝到"X:\Program Files\Support Tools"目錄中。此后在任意一個(gè)命令提示符窗口中都可以執(zhí)行"Whoami /all"命令來(lái)查看當(dāng)前用戶的全部信息。
2.訪問(wèn)控制列表(ACL)
訪問(wèn)控制列表是權(quán)限的核心技術(shù)。顧名思義,這是一個(gè)權(quán)限列表,用于定義特定用戶對(duì)某個(gè)資源的訪問(wèn)權(quán)限,實(shí)際上這就是Windows XP對(duì)資源進(jìn)行保護(hù)時(shí)所使用的一個(gè)標(biāo)準(zhǔn)。
在訪問(wèn)控制列表中,每一個(gè)用戶或用戶組都對(duì)應(yīng)一組訪問(wèn)控制項(xiàng)(Access Control Entry, ACE),這一點(diǎn)只需在"組或用戶名稱"列表中選擇不同的用戶或組時(shí),通過(guò)下方的權(quán)限列表設(shè)置項(xiàng)是不同的這一點(diǎn)就可以看出來(lái)。顯然,所有用戶或用戶組的權(quán)限訪問(wèn)設(shè)置都將會(huì)在這里被存儲(chǔ)下來(lái),并允許隨時(shí)被有權(quán)限進(jìn)行修改的用戶進(jìn)行調(diào)整,如取消某個(gè)用戶對(duì)某個(gè)資源的"寫入"權(quán)限。
3.安全主體(Security Principal)
在Windows XP中,可以將用戶、用戶組、計(jì)算機(jī)或服務(wù)都看成是一個(gè)安全主體,每個(gè)安全主體都擁有相對(duì)應(yīng)的賬戶名稱和SID。根據(jù)系統(tǒng)架構(gòu)的不同,賬戶的管理方式也有所不同──本地賬戶被本地的SAM管理;域的賬戶則會(huì)被活動(dòng)目錄進(jìn)行管理......
一般來(lái)說(shuō),權(quán)限的指派過(guò)程實(shí)際上就是為某個(gè)資源指定安全主體(即用戶、用戶組等)可以擁有怎樣的操作過(guò)程。因?yàn)橛脩艚M包括多個(gè)用戶,所以大多數(shù)情況下,為資源指派權(quán)限時(shí)建議使用用戶組來(lái)完成,這樣可以非常方便地完成統(tǒng)一管理。
三、權(quán)限的四項(xiàng)基本原則
在Windows XP中,針對(duì)權(quán)限的管理有四項(xiàng)基本原則,即:拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。這四項(xiàng)基本原則
對(duì)于權(quán)限的設(shè)置來(lái)說(shuō),將會(huì)起到非常重要的作用,下面就來(lái)了解一下:
1.拒絕優(yōu)于允許原則
"拒絕優(yōu)于允許"原則是一條非常重要且基礎(chǔ)性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限"糾紛",例如,"shyzhong"這個(gè)用戶既屬于"shyzhongs"用戶組,也屬于"xhxs"用戶組,當(dāng)我們對(duì)"xhxs"組中某個(gè)資源進(jìn)行"寫入"權(quán)限的集中分配(即針對(duì)用戶組進(jìn)行)時(shí),這個(gè)時(shí)候該組中 "shyzhong"賬戶將自動(dòng)擁有"寫入"的權(quán)限。
但令人奇怪的是,"shyzhong"賬戶明明擁有對(duì)這個(gè)資源的"寫入"權(quán)限,為什么實(shí)際操作中卻無(wú)法執(zhí)行呢?原來(lái),在"shyzhongs"組中同樣也對(duì)"shyzhong"用戶進(jìn)行了針對(duì)這個(gè)資源的權(quán)限設(shè)置,但設(shè)置的權(quán)限是"拒絕寫入"?;?拒絕優(yōu)于允許"的原則,"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權(quán)限將優(yōu)先"xhxs"組中被賦予的允許"寫入"權(quán)限被執(zhí)行。因此,在實(shí)際操作中,"shyzhong"用戶無(wú)法對(duì)這個(gè)資源進(jìn)行"寫入"操作。
2.權(quán)限最小化原則
Windows XP將"保持用戶最小的權(quán)限"作為一個(gè)基本原則進(jìn)行執(zhí)行,這一點(diǎn)是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問(wèn)或不必要訪問(wèn)的資源得到有效的權(quán)限賦予限制。
基于這條原則,在實(shí)際的權(quán)限賦予操作中,我們就必須為資源明確賦予允許或拒絕操作的權(quán)限。例如系統(tǒng)中新建的受限用戶"shyzhong"在默認(rèn)狀態(tài)下對(duì)"DOC"目錄是沒(méi)有任何權(quán)限的,現(xiàn)在需要為這個(gè)用戶賦予對(duì)"DOC"目錄有"讀取"的權(quán)限,那么就必須在"DOC"目錄的權(quán)限列表中為"shyzhong"用戶添加"讀取"權(quán)限。
3.權(quán)限繼承性原則
權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡(jiǎn)單。假設(shè)現(xiàn)在有個(gè)"DOC"目錄,在這個(gè)目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄,現(xiàn)在需要對(duì)DOC目錄及其下的子目錄均設(shè)置"shyzhong"用戶有"寫入"權(quán)限。因?yàn)橛欣^承性原則,所以只需對(duì)"DOC"目錄設(shè)置"shyzhong"用戶有"寫入"權(quán)限,其下的所有子目錄將自動(dòng)繼承這個(gè)權(quán)限的設(shè)置。
4.累加原則
這個(gè)原則比較好理解,假設(shè)現(xiàn)在"zhong"用戶既屬于"A"用戶組,也屬于"B"用戶組,它在A用戶組的權(quán)限是"讀取",在"B"用戶組中的權(quán)限是"寫入",那么根據(jù)累加原則,"zhong"用戶的實(shí)際權(quán)限將會(huì)是"讀取+寫入"兩種。
顯然,"拒絕優(yōu)于允許"原則是用于解決權(quán)限設(shè)置上的沖突問(wèn)題的;"權(quán)限最小化"原則是用于保障資源安全的;"權(quán)限繼承性"原則是用于"自動(dòng)化"執(zhí)行權(quán)限設(shè)置的;而"累加原則"則是讓權(quán)限的設(shè)置更加靈活多變。幾個(gè)原則各有所用,缺少哪一項(xiàng)都會(huì)給權(quán)限的設(shè)置帶來(lái)很多麻煩!
注意:在Windows XP中,"Administrators"組的全部成員都擁有"取得所有者身份"(Take Ownership)的權(quán)力,也就是管理員組的成員可以從其他用戶手中"奪取"其身份的權(quán)力。例如受限用戶"shyzhong"建立了一個(gè)DOC目錄,并只賦予自己擁有讀取權(quán)力,這看似周到的權(quán)限設(shè)置,實(shí)際上,"Administrators"組的全部成員將可以通過(guò)"奪取所有權(quán)"等方法獲得這個(gè)權(quán)限。
四、資源權(quán)限高級(jí)應(yīng)用
以文件與文件夾的權(quán)限為例,依據(jù)是否被共享到網(wǎng)絡(luò)上,其權(quán)限可以分為NTFS權(quán)限與共享權(quán)限兩種,這兩種權(quán)限既可以單獨(dú)使用,也可以相輔使用。兩者之間既能夠相互制約,也可以相互補(bǔ)充。下面來(lái)看看如何進(jìn)行設(shè)置:
1.NTFS權(quán)限
首先我們要知道:只要是存在NTFS磁盤分區(qū)上的文件夾或文件,無(wú)論是否被共享,都具有此權(quán)限。此權(quán)限對(duì)于使用FAT16/FAT32文件系統(tǒng)的文件與文件夾無(wú)效!
NTFS權(quán)限有兩大要素:一是標(biāo)準(zhǔn)訪問(wèn)權(quán)限;二是特別訪問(wèn)權(quán)限。前者將一些常用的系統(tǒng)權(quán)限選項(xiàng)比較籠統(tǒng)地組成6種"套餐型"的權(quán)限,即:完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入。
在大多數(shù)的情況下,"標(biāo)準(zhǔn)權(quán)限"是可以滿足管理需要的,但對(duì)于權(quán)限管理要求嚴(yán)格的環(huán)境,它往往就不能令管理員們滿意了,如只想賦予某用戶有建立文件夾的權(quán)限,卻沒(méi)有建立文件的權(quán)限;如只能刪除當(dāng)前目錄中的文件,卻不能刪除當(dāng)前目錄中的子目錄的權(quán)限等......這個(gè)時(shí)候,就可以讓擁有所 有權(quán)限選項(xiàng)的"特別權(quán)限"來(lái)大顯身手了。也就是說(shuō),特別權(quán)限不再使用"套餐型",而是使用可以允許用戶進(jìn)行"菜單型"的細(xì)節(jié)化權(quán)限管理選擇了。
那么如何設(shè)置標(biāo)準(zhǔn)訪問(wèn)權(quán)限呢?以對(duì)一個(gè)在NTFS分區(qū)中的名為"zhiguo"的文件夾進(jìn)行設(shè)置標(biāo)準(zhǔn)訪問(wèn)權(quán)限為例,可以按照如下方法進(jìn)行操作:
因?yàn)镹TFS權(quán)限需要在資源屬性頁(yè)面的"安全"選項(xiàng)卡設(shè)置界面中進(jìn)行,而Windows XP在安裝后默認(rèn)狀態(tài)下是沒(méi)有激活"安全"選項(xiàng)卡設(shè)置功能的,
所以需要首先啟用系統(tǒng)中的"安全"選項(xiàng)卡。方法是:依次點(diǎn)擊"開始"→"設(shè)置"→"控制面板 ",雙擊"文件夾選項(xiàng)",在"查看"標(biāo)簽頁(yè)設(shè)置界面上的"高級(jí)設(shè)置"選項(xiàng)列表中清除"使用簡(jiǎn)單文件共享(推薦)"選項(xiàng)前的復(fù)選框后點(diǎn)擊"應(yīng)用"按鈕即可。
設(shè)置完畢后就可以右鍵點(diǎn)擊"zhiguo" 文件夾,在彈出的快捷菜單中選擇"共享與安全",在"zhiguo屬性"窗口中就可以看見"安全"選項(xiàng)卡的存在了。針對(duì)資源進(jìn)行NTFS權(quán)限設(shè)置就是通過(guò)這個(gè)選項(xiàng)卡來(lái)實(shí)現(xiàn)的,此時(shí)應(yīng)首先在"組或用戶名稱"列表中選擇需要賦予權(quán)限的用戶名組(這里選擇"zhong"用戶),接著在下方的"zhong 的權(quán)限"列表中設(shè)置該用戶可以擁有的權(quán)限即可。
下面簡(jiǎn)單解釋一下六個(gè)權(quán)限選項(xiàng)的含義:
①完全控制(Full Control):
該權(quán)限允許用戶對(duì)文件夾、子文件夾、文件進(jìn)行全權(quán)控制,如修改資源的權(quán)限、獲取資源的所有者、刪除資源的權(quán)限等,擁有完全控制權(quán)限就等于擁有了其他所有的權(quán)限;
②修改(Modify):
該權(quán)限允許用戶修改或刪除資源,同時(shí)讓用戶擁有寫入及讀取和運(yùn)行權(quán)限;
③讀取和運(yùn)行(Read & Execute):
該權(quán)限允許用戶擁有讀取和列出資源目錄的權(quán)限,另外也允許用戶在資源中進(jìn)行移動(dòng)和遍歷,這使得用戶能夠直接訪問(wèn)子文件夾與文件,即使用戶沒(méi)有權(quán)限訪問(wèn)這個(gè)路徑;
④列出文件夾目錄(List Folder Contents):
該權(quán)限允許用戶查看資源中的子文件夾與文件名稱;
⑤讀取(Read):
該權(quán)限允許用戶查看該文件夾中的文件以及子文件夾,也允許查看該文件夾的屬性、所有者和擁有的權(quán)限等;
⑥寫入(Write):
該權(quán)限允許用戶在該文件夾中創(chuàng)建新的文件和子文件夾,也可以改變文件夾的屬性、查看文件夾的所有者和權(quán)限等。
如果在"組或用戶名稱"列表中沒(méi)有所需的用戶或組,那么就需要進(jìn)行相應(yīng)的添加操作了,方法如下:點(diǎn)擊"添加"按鈕后,在出現(xiàn)的"選擇用戶和組"對(duì)話框中,既可以直接在"輸入對(duì)象名稱來(lái)選擇"文本區(qū)域中輸入用戶或組的名稱(使用"計(jì)算機(jī)名\用戶名"這種方式),也可以點(diǎn)擊"高級(jí)"按鈕,在彈出的對(duì)話框中點(diǎn)擊"立即查找"按鈕讓系統(tǒng)列出當(dāng)前系統(tǒng)中所有的用戶組和用戶名稱列表。此時(shí)再雙擊選擇所需用戶或組將其加入即可。
如果想刪除某個(gè)用戶組或用戶的話,只需在" 組或用戶名稱"列表中選中相應(yīng)的用戶或用戶組后,點(diǎn)擊下方的"刪除"按鈕即可。但實(shí)際上,這種刪除并不能確保被刪除的用戶或用戶組被拒絕訪問(wèn)某個(gè)資源,因此,如果希望拒絕某個(gè)用戶或用戶組訪問(wèn)某個(gè)資源,還要在"組或用戶名稱"列表中選擇相應(yīng)的用戶名用戶組后,為其選中下方的"拒絕"復(fù)選框即可。
那么如何設(shè)置特殊權(quán)限呢?假設(shè)現(xiàn)在需要對(duì)一個(gè)名為"zhiguo"的目錄賦"zhong"用戶對(duì)其具有"讀取"、"建立文件和目錄"的權(quán)限,基于安全考慮,又決定取消該賬戶的"刪除"權(quán)限。此時(shí),如果使用"標(biāo)準(zhǔn)權(quán)限"的話,將無(wú)法完成要求,而使用特別權(quán)限則可以很輕松地完成設(shè)置。方法如下:
首先,右鍵點(diǎn)擊"zhiguo"目錄,在右鍵快捷菜單中選擇"共享與安全"項(xiàng),隨后在"安全"選項(xiàng)卡設(shè)置界面中選中"zhong"用戶并點(diǎn)擊下方的"高級(jí)"按鈕,在彈出的對(duì)話框中點(diǎn)擊清空"從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目,包括那些在此明確定義的項(xiàng)目"項(xiàng)選中狀態(tài),這樣可以斷開當(dāng)前權(quán)限設(shè)置與父級(jí)權(quán)限設(shè)置之前的繼承關(guān)系。在隨即彈出的" 安全"對(duì)話框中點(diǎn)擊"復(fù)制"或"刪除"按鈕后(點(diǎn)擊"復(fù)制"按鈕可以首先復(fù)制繼承的父級(jí)權(quán)限設(shè)置,然后再斷開繼承關(guān)系),接著點(diǎn)擊"應(yīng)用"按鈕確認(rèn)設(shè)置,再選中"zhong"用戶并點(diǎn)擊"編輯"按鈕,在彈出的"zhong的權(quán)限項(xiàng)目"對(duì)話框中請(qǐng)首先點(diǎn)擊"全部清除"按鈕,接著在"權(quán)限"列表中選擇"遍歷文件夾/運(yùn)行文件"、"列出文件夾/讀取數(shù)據(jù)"、"讀取屬性"、"創(chuàng)建文件/寫入數(shù)據(jù)"、"創(chuàng)建文件夾/附加數(shù)據(jù)"、"讀取權(quán)限"幾項(xiàng),最后點(diǎn)擊"確定"按鈕結(jié)束設(shè)置。
在經(jīng)過(guò)上述設(shè)置后,"zhong"用戶在對(duì)"zhiguo"進(jìn)行刪除操作時(shí),就會(huì)彈出提示框警告操作不能成功的提示了。顯然,相對(duì)于標(biāo)準(zhǔn)訪問(wèn)權(quán)限設(shè)置上的籠統(tǒng),特別訪問(wèn)權(quán)限則可以實(shí)現(xiàn)更具體、全面、精確的權(quán)限設(shè)置。
為了大家更好地理解特殊權(quán)限列表中的權(quán)限含義,以便做出更精確的權(quán)限設(shè)置,下面簡(jiǎn)單解釋一下其含義:
⑴遍歷文件夾/運(yùn)行文件(Traverse Folder/Execute File):
該權(quán)限允許用戶在文件夾及其子文件夾之間移動(dòng)(遍歷),即使這些文件夾本身沒(méi)有訪問(wèn)權(quán)限。
注意:只有當(dāng)在"組策略"中("計(jì)算機(jī)配置 "→"Windows設(shè)置"→"安全設(shè)置"→"本地策略"→"用戶權(quán)利指派")將"跳過(guò)遍歷檢查"項(xiàng)授予了特定的用戶或用戶組,該項(xiàng)權(quán)限才能起作用。默認(rèn)狀態(tài)下,包"Administrators"、"Users"、"Everyone"等在內(nèi)的組都可以使用該權(quán)限。
對(duì)于文件來(lái)說(shuō),擁了這項(xiàng)權(quán)限后,用戶可以執(zhí)行該程序文件。但是,如果僅為文件夾設(shè)置了這項(xiàng)權(quán)限的話,并不會(huì)讓用戶對(duì)其中的文件帶上"執(zhí)行"的權(quán)限;
⑵列出文件/讀取數(shù)據(jù)(List Folder/Read Data):
該權(quán)限允許用戶查看文件夾中的文件名稱、子文件夾名稱和查看文件中的數(shù)據(jù);
⑶讀取屬性(Read Attributes):
該權(quán)限允許用戶查看文件或文件夾的屬性(如系統(tǒng)、只讀、隱藏等屬性);
⑷讀取擴(kuò)展屬性(Read Extended Attributes):
該權(quán)限允許查看文件或文件夾的擴(kuò)展屬性,這些擴(kuò)展屬性通常由程序所定義,并可以被程序修改;
⑸創(chuàng)建文件/寫入屬性(Create Files/Write Data):
該權(quán)限允許用戶在文件夾中創(chuàng)建新文件,也允許將數(shù)據(jù)寫入現(xiàn)有文件并覆蓋現(xiàn)有文件中的數(shù)據(jù);
⑹創(chuàng)建文件夾/附加數(shù)據(jù)(Create Folder/Append Data):
該權(quán)限允許用戶在文件夾中創(chuàng)建新文件夾或允許用戶在現(xiàn)有文件的末尾添加數(shù)據(jù),但不能對(duì)文件現(xiàn)有的數(shù)據(jù)進(jìn)行覆蓋、修改,也不能刪除數(shù)據(jù);
⑺寫入屬性(Write Attributes):
該權(quán)限允許用戶改變文件或文件夾的屬性;
⑻寫入擴(kuò)展屬性(Write Extended Attributes):
該權(quán)限允許用戶對(duì)文件或文件夾的擴(kuò)展屬性進(jìn)行修改;
⑼刪除子文件夾及文件(Delete Subfolders and Files):
該權(quán)限允許用戶刪除文件夾中的子文件夾或文件,即使在這些子文件夾和文件上沒(méi)有設(shè)置刪除權(quán)限;
⑽刪除(Delete):
該權(quán)限允許用戶刪除當(dāng)前文件夾和文件,如果用戶在該文件或文件夾上沒(méi)有刪除權(quán)限,但是在其父級(jí)的文件夾上有刪除子文件及文件夾權(quán)限,那么就仍然可以刪除它;
⑾讀取權(quán)限(Read Permissions):
該權(quán)限允許用戶讀取文件或文件夾的權(quán)限列表;
⑿更改權(quán)限(Change Permissions):
該權(quán)限允許用戶改變文件或文件夾上的現(xiàn)有權(quán)限;
⒀取得所有權(quán)(Take Ownership):
該權(quán)限允許用戶獲取文件或文件夾的所有權(quán),一旦獲取了所有權(quán),用戶就可以對(duì)文件或文件夾進(jìn)行全權(quán)控制。
這里需要單獨(dú)說(shuō)明一下"修改"權(quán)限與"寫入 "權(quán)限的區(qū)別:如果僅僅對(duì)一個(gè)文件擁有修改權(quán)限,那么,不僅可以對(duì)該文件數(shù)據(jù)進(jìn)行寫入和附加,而且還可以創(chuàng)建新文件或刪除現(xiàn)有文件。而如果僅僅對(duì)一個(gè)文件擁有寫入權(quán)限,那么既可以對(duì)文件數(shù)據(jù)進(jìn)行寫入和附加,也可以創(chuàng)建新文件,但是不能刪除文件。也就是說(shuō),有 寫入權(quán)限不等于具有刪除權(quán)限,但擁有修改權(quán)限,就等同于擁有刪除和寫入權(quán)限。
2.共享權(quán)限(Shared Permission)
只要是共享出來(lái)的文件夾就一定具有此權(quán)限。如該文件夾存在于NTFS分區(qū)中,那么它將同時(shí)具有NTFS權(quán)限與共享權(quán)限,如果這個(gè)資源同時(shí)擁有NTFS和共享兩種權(quán)限,那么系統(tǒng)中對(duì)權(quán)限的具體實(shí)施將以兩種權(quán)限中的"較嚴(yán)格的權(quán)限"為準(zhǔn)──這也是"拒絕優(yōu)于允許"原則的一種體現(xiàn)!
例如,某個(gè)共享資源的NTFS權(quán)限設(shè)置為完全控制,而共享權(quán)限設(shè)置為讀取,那么遠(yuǎn)程用戶就只能使用"讀取"權(quán)限對(duì)共享資源進(jìn)行訪問(wèn)了。
注意:如果是FAT16/FAT32文件系統(tǒng)中的共享文件夾,那么將只能受到共享權(quán)限的保護(hù),這樣一來(lái)就容易產(chǎn)生安全性漏洞。這是因?yàn)楣蚕頇?quán)限只能夠限制從網(wǎng)絡(luò)上訪問(wèn)資源的用戶,并無(wú)法限制直接登錄本機(jī)的人,即用戶只要能夠登錄本機(jī),就可以任意修改、刪除FAT16/FAT32分區(qū)中的數(shù)據(jù)了。因此,從安全角度來(lái)看,我們是不推薦在Windows XP中使用FAT16/FAT32分區(qū)的。
設(shè)置共享權(quán)限很簡(jiǎn)單,在右鍵選中并點(diǎn)擊一個(gè)文件夾后,在右鍵快捷菜單中選擇"共享與安全"項(xiàng),在彈出的屬性對(duì)話框"共享"選項(xiàng)卡設(shè)置界面中點(diǎn)擊選中"共享該文件夾"項(xiàng)即可,這將使共享資源使用默認(rèn)的權(quán)限設(shè)置(即"Everyone"用戶擁有讀取權(quán)限)。如果想具體設(shè)置共享權(quán)限,那么請(qǐng)點(diǎn)擊"權(quán)限"按鈕,在打開的對(duì)話框中可以看到權(quán)限列表中有"完全控制"、"更改"和"讀取"三項(xiàng)權(quán)限可供選擇。
下面先簡(jiǎn)單介紹一下這三個(gè)權(quán)限的含義:
①完全控制:允許用戶創(chuàng)建、讀取、寫入、重命名、刪除當(dāng)前文件夾中的文件以及子文件夾,另外,也可以修改該文件夾中的NTFS訪問(wèn)權(quán)限和奪取所有權(quán);
②更改:允許用戶讀取、寫入、重命名和刪除當(dāng)前文件夾中的文件和子文件夾,但不能創(chuàng)建新文件;
③讀?。涸试S用戶讀取當(dāng)前文件夾的文件和子文件夾,但是不能進(jìn)行寫入或刪除操作。
說(shuō)完了權(quán)限的含義,我們就可以點(diǎn)擊"添加"按鈕,將需要設(shè)置權(quán)限的用戶或用戶組添加進(jìn)來(lái)了。在缺省情況下,當(dāng)添加新的組或用戶時(shí),該組或用戶將具備"讀取"(Read)權(quán)限,我們可以根據(jù)實(shí)際情況在下方的權(quán)限列表中進(jìn)行復(fù)選框的選擇與清空。
接著再來(lái)說(shuō)說(shuō)令很多讀者感到奇怪的"組和用戶名稱"列表中的"Everyone"組的含義。在Windows 2000中,這個(gè)組因?yàn)榘?Anonymous Logon"組,所以它表示"每個(gè)人"的意思。但在Windows XP中,請(qǐng)注意──這個(gè)組因?yàn)橹话?Authenticated Users"和"Guests"兩個(gè)組,而不再包括"Anonymous Logon"組,所以它表示了"可訪問(wèn)計(jì)算機(jī)的所有用戶",而不再是"每個(gè)人"!請(qǐng)注意這是有區(qū)別的,"可訪問(wèn)計(jì)算機(jī)的所有用戶"意味著必須是通過(guò)認(rèn)證的用戶,而"每個(gè)人"則不必考慮用戶是否通過(guò)了認(rèn)證。從安全方面來(lái)看,這一點(diǎn)是直接導(dǎo)致安全隱患是否存在關(guān)鍵所在!
當(dāng)然,如果想在Windows XP中實(shí)現(xiàn)Windows 2000中那種"Everyone"設(shè)計(jì)機(jī)制,那么可以通過(guò)編輯"本地安全策略"來(lái)實(shí)現(xiàn),方法是:在"運(yùn)行"欄中輸入"Secpol.msc"命令打開"安全設(shè)置"管理單元,依次展開"安全設(shè)置"→"本地策略",然后進(jìn)入"安全選項(xiàng)",雙擊右側(cè)的"網(wǎng)絡(luò)訪問(wèn):讓‘每個(gè)人‘權(quán)限應(yīng)用于匿名
用戶"項(xiàng),然后選擇"已啟用"項(xiàng)即可。
注意:在Windows XP Professional中,最多可以同時(shí)有10個(gè)用戶通過(guò)網(wǎng)絡(luò)登錄(指使用認(rèn)證賬戶登錄的用戶,對(duì)于訪問(wèn)由IIS提供的Web服務(wù)的用戶沒(méi)有限制)方式使用某一臺(tái)計(jì)算機(jī)提供的共享資源。
3.資源復(fù)制或移動(dòng)時(shí)權(quán)限的變化與處理
在權(quán)限的應(yīng)用中,不可避免地會(huì)遇到設(shè)置了權(quán)限后的資源需要復(fù)制或移動(dòng)的情況,那么這個(gè)時(shí)候資源相應(yīng)的權(quán)限會(huì)發(fā)生怎樣的變化呢?下面來(lái)了解一下:
(1)復(fù)制資源時(shí)
在復(fù)制資源時(shí),原資源的權(quán)限不會(huì)發(fā)生變化,而新生成的資源,將繼承其目標(biāo)位置父級(jí)資源的權(quán)限。
(2)移動(dòng)資源時(shí)
在移動(dòng)資源時(shí),一般會(huì)遇到兩種情況,一是如果資源的移動(dòng)發(fā)生在同一驅(qū)動(dòng)器內(nèi),那么對(duì)象保留本身原有的權(quán)限不變(包括資源本身權(quán)限及原先從父級(jí)資源中繼承的權(quán)限);二是如果資源的移動(dòng)發(fā)生在不同的驅(qū)動(dòng)器之間,那么不僅對(duì)象本身的權(quán)限會(huì)丟失,而且原先從父級(jí)資 源中繼承的權(quán)限也會(huì)被從目標(biāo)位置的父級(jí)資源繼承的權(quán)限所替代。實(shí)際上,移動(dòng)操作就是首先進(jìn)行資源的復(fù)制,然后從原有位置刪除資源的操作。
(3)非NTFS分區(qū)
上述復(fù)制或移動(dòng)資源時(shí)產(chǎn)生的權(quán)限變化只是針對(duì)NTFS分區(qū)上而言的,如果將資源復(fù)制或移動(dòng)到非NTFS分區(qū)(如FAT16/FAT32分區(qū))上,那么所有的權(quán)限均會(huì)自動(dòng)全部丟失。
4.資源所有權(quán)的高級(jí)管理
有時(shí)我們會(huì)發(fā)現(xiàn)當(dāng)前登錄的用戶無(wú)法對(duì)某個(gè)資源進(jìn)行任何操作,這是什么原因呢?其實(shí)這種常見的現(xiàn)象很有可能是因?yàn)閷?duì)某個(gè)資源進(jìn)行的NTFS權(quán)限設(shè)置得不夠完善導(dǎo)致的──這將會(huì)造成所有人(包括 "Administrator"組成員)都無(wú)法訪問(wèn)資源,例如不小心將"zhiguo"這個(gè)文件夾的所有用戶都刪除了,這將會(huì)導(dǎo)致所有用戶都無(wú)法訪問(wèn)這個(gè)文件夾,此時(shí)很多朋友就會(huì)束手無(wú)策了,其實(shí)通過(guò)使用更改所有權(quán)的方法就可以很輕松地解決這類權(quán)限問(wèn)題了。
首先,我們需要檢查一下資源的所有者是誰(shuí),如果想查看某個(gè)資源(如sony目錄)的用戶所有權(quán)的話,那么只需使用"dir sony /q"命令就可以了。在反饋信息的第一行就可以看到用戶是誰(shuí)了,例如第一行的信息是"lovebook\zhong",那么意思就是lovebook這臺(tái)計(jì)算機(jī)中的"zhong"用戶。
如果想在圖形界面中查看所有者是誰(shuí),那么需要進(jìn)入資源的屬性對(duì)話框,點(diǎn)擊"安全"選項(xiàng)卡設(shè)置界面中的"高級(jí)"按鈕,在彈出的"(用戶名)高級(jí)安全設(shè)置"界面中點(diǎn)擊"所有者"選項(xiàng)卡,從其中的"目前該項(xiàng)目的所有者"列表中就可以看到當(dāng)前資源的所有者是誰(shuí)了。
如果想將所有者更改用戶,那么只需在"將所有者更改為"列表中選擇目標(biāo)用戶名后,點(diǎn)擊"確定"按鈕即可。此外,也可以直接在"安全"選項(xiàng)卡設(shè)置界面中點(diǎn)擊"添加"按鈕添加一個(gè)用戶并賦予相應(yīng)的權(quán)限后,讓這個(gè)用戶來(lái)獲得當(dāng)前文件夾的所有權(quán)。
注意:查看所有者究竟對(duì)資源擁有什么樣的權(quán)限,可點(diǎn)擊進(jìn)入"有效權(quán)限"選項(xiàng)卡設(shè)置界面,從中點(diǎn)擊"選擇"按鈕添加當(dāng)前資源的所有者后,就可以從下方的列表中權(quán)限選項(xiàng)的勾取狀態(tài)來(lái)獲知了。
五、程序使用權(quán)限設(shè)定
Windows XP操作系統(tǒng)在文件管理方面功能設(shè)計(jì)上頗為多樣、周全和智能化。這里通過(guò)"程序文件使用權(quán)限"設(shè)置、將"加密文件授權(quán)多個(gè)用戶可以訪問(wèn)"和了解系統(tǒng)日志的訪問(wèn)權(quán)限三個(gè)例子給大家解釋一下如何進(jìn)行日常應(yīng)用。
1.程序文件權(quán)限設(shè)定
要了解Windows XP中關(guān)于程序文件的訪問(wèn)權(quán)限,我們應(yīng)首先來(lái)了解一下Windows XP在這方面的兩個(gè)設(shè)計(jì),
一、是組策略中軟件限制策略的設(shè)計(jì);
二、是臨時(shí)分配程序文件使用權(quán)限的設(shè)計(jì)。
(1)軟件限制策略
在"運(yùn)行"欄中輸入 "Gpedit.msc"命令打開組策略窗口后,在"計(jì)算機(jī)配置"→"Windows設(shè)置"→"安全設(shè)置"分支中,右鍵選中"軟件限制策略"分
支,在彈出的快捷菜單中選擇新建一個(gè)策略后,就可以從"軟件限制策略"分支下新出現(xiàn)的"安全級(jí)別"中看到有兩種安全級(jí)別的存在了。
這兩條安全級(jí)別對(duì)于程序文件與用戶權(quán)限之前是有密切聯(lián)系的:
①不允許的:從其解釋中可以看出,無(wú)論用戶的訪問(wèn)權(quán)如何,軟件都不會(huì)運(yùn)行;
②不受限的:這是默認(rèn)的安全級(jí)別,其解釋為 "軟件訪問(wèn)權(quán)由用戶的訪問(wèn)權(quán)來(lái)決定"。顯然,之所以在系統(tǒng)中可以設(shè)置各種權(quán)限,是因?yàn)橛羞@個(gè)默認(rèn)安全策略在背后默默支持的緣故。如果想把"不允許的"安全級(jí)別設(shè)置為默認(rèn)狀態(tài),只需雙擊進(jìn)入其屬性界面后點(diǎn)擊"設(shè)為默認(rèn)值"按鈕即可。
(2)臨時(shí)分配程序文件
為什么要臨時(shí)分配程序文件的管理權(quán)限呢?這是因?yàn)樵赪indows XP中,有許多很重要的程序都是要求用戶具有一定的管理權(quán)限才能使用的,因此在使用權(quán)限不足以使用某些程序的賬戶時(shí),為了能夠使用程序,我們就需要為自己臨時(shí)分配一個(gè)訪問(wèn)程序的管理權(quán)限了。為程序分配臨時(shí)管理權(quán)限的方法很簡(jiǎn)單:右鍵點(diǎn)擊要運(yùn)行的程序圖標(biāo), 在彈出的快捷菜單中選擇"運(yùn)行方式",在打開的"運(yùn)行身份"對(duì)話框中選中"下列用戶"選項(xiàng),在"用戶名"和"密碼"右側(cè)的文本框中指定用戶及密碼即可。
顯然,這個(gè)臨時(shí)切換程序文件管理權(quán)限的設(shè)計(jì)是十分有必要的,它可以很好地起到保護(hù)系統(tǒng)的目的。
2.授權(quán)多個(gè)用戶訪問(wèn)加密文件
Windows XP在EFS上的改進(jìn)之一就是可以允許多個(gè)用戶訪問(wèn)加密文件,這些用戶既可以是本地用戶,也可以是域用戶或受信任域的用戶。由于無(wú)法將證書頒發(fā)給用戶組,而只能頒發(fā)給用戶,所以只能授權(quán)單個(gè)的賬戶訪問(wèn)加密文件,而用戶組將不能被授權(quán)。
要授權(quán)加密文件可以被多個(gè)用戶訪問(wèn),可以按照如下方法進(jìn)行操作:
選中已經(jīng)加密的文件,用鼠標(biāo)右鍵點(diǎn)擊該加密文件,選擇"屬性",在打開的屬性對(duì)話框中"常規(guī)"選項(xiàng)卡下點(diǎn)擊"高級(jí)"按鈕,打開加密文件的高級(jí)屬性對(duì)話框,點(diǎn)擊其中的"詳細(xì)信息"按鈕(加密文件夾此按鈕無(wú)效),在打開的對(duì)話框中點(diǎn)擊"添加"按鈕添加一個(gè)或多個(gè)新用戶即可(如果計(jì)算機(jī)加入了域,則還可以點(diǎn)擊"尋找用戶"按鈕在整個(gè)域范圍內(nèi)尋找用戶)。
如果要?jiǎng)h除某個(gè)用戶對(duì)加密文件的訪問(wèn)權(quán)限,那么只需選中此用戶后點(diǎn)擊"刪除"按鈕即可。
3.日志的訪問(wèn)權(quán)限
什么是日志?我們可以將日志理解為系統(tǒng)日記,這本"日記"可以按系統(tǒng)管理員預(yù)先的設(shè)定,自動(dòng)將系統(tǒng)中發(fā)生的所有事件都一一記錄在案,供管理員查詢。既然日志信息具有如此重要的參考作用,那么就應(yīng)該做好未經(jīng)授權(quán)的用戶修改或查看的權(quán)限控制。因此,我們非常有必要去了解一下日志的訪問(wèn)權(quán)限在Windows XP中是怎樣設(shè)計(jì)的。一般來(lái)說(shuō),Administrators、SYSTEM、Everyone三種類型的賬戶可以訪問(wèn)日志。
這三種類型的賬戶對(duì)不同類型的日志擁有不同的訪問(wèn)權(quán)限,下面來(lái)看一下表格中具體的說(shuō)明,請(qǐng)注意"√"表示擁有此權(quán)限;"×"表示無(wú)此權(quán)限。
通過(guò)對(duì)比,可以看出SYSTEM擁有的權(quán)限最高,可以對(duì)任意類型的日志進(jìn)行讀寫和清除操作;Everyone用戶則可以讀取應(yīng)用程序和系統(tǒng)日志,但對(duì)安全日志無(wú)法讀取。這是因?yàn)榘踩罩鞠鄬?duì)其他幾種類型的日志在安全性方面的要求要高一些,只有SYSTEM 能夠?qū)χ畬懭搿?nbsp;
如果想為其他用戶賦予管理審核安全日志的權(quán)限,那么可以在"運(yùn)行"欄中輸入"Gpedit.msc"命令打開組策略編輯器窗口后,依次進(jìn)入"計(jì)算機(jī)配置"→"Windows設(shè)置"→"安全設(shè)置 "→"本地策略"→"用戶權(quán)利指派",雙擊右側(cè)的"管理審核和安全日志"項(xiàng),在彈出的對(duì)話框中添加所需的用戶即可。
六、內(nèi)置安全主體與權(quán)限
在Windows XP中,有一群不為人知的用戶,它們的作用是可以讓我們指派權(quán)限到某種"狀態(tài)"的用戶(如"匿名用戶"、"網(wǎng)絡(luò)用戶")等,而不是某個(gè)特定的用戶或組(如 "zhong"、"CPCW"這類用戶)。這樣一來(lái),對(duì)用戶權(quán)限的管理就更加容易精確控制了。這群用戶在Windows XP中,統(tǒng)一稱
為內(nèi)置安全主體。下面讓我們來(lái)了解一下:
1.安全主體的藏身之處
下面假設(shè)需要為一個(gè)名為"zhiguo"的目錄設(shè)置內(nèi)置安全主體中的"Network"類用戶權(quán)限為例,看看這群"默默無(wú)聞"的用戶藏身在系統(tǒng)何處。
首先進(jìn)入"zhiguo"目錄屬性界面的"安全"選項(xiàng)卡設(shè)置界面,點(diǎn)擊其中的"添加"按鈕,在彈出的"選擇用戶或組"對(duì)話框中點(diǎn)擊"對(duì)象類型"按鈕。
在彈出對(duì)話框中只保留列表中的"內(nèi)置安全主體"項(xiàng),并點(diǎn)擊"確定"按鈕。
在接下來(lái)的對(duì)話框中點(diǎn)擊"高級(jí)"按鈕,然后在展開的對(duì)話框中點(diǎn)擊"立即查找"按鈕,就可以看到內(nèi)置安全主體中包含的用戶列表了。
2.安全主體作用說(shuō)明
雖然內(nèi)置安全主體有很多,但正常能在權(quán)限設(shè)置中使用到的并不多,所以下面僅說(shuō)明其中幾個(gè)較重要的:
①Anonymous Logon:任何沒(méi)有經(jīng)過(guò)Windows XP驗(yàn)證程序(Authentication),而以匿名方式登錄域的用戶均屬于此組;
②Authenticated Users:與前項(xiàng)相反,所有經(jīng)過(guò)Windows XP驗(yàn)證程序登錄的用戶均屬于此組。設(shè)置權(quán)限和用戶權(quán)力時(shí),可考慮用此項(xiàng)代替
Everyone組;
③BATCH:這個(gè)組包含任何訪問(wèn)這臺(tái)計(jì)算機(jī)的批處理程序(Batch Process);
④DIALUP:任何通過(guò)撥號(hào)網(wǎng)絡(luò)登錄的用戶;
⑤Everyone:指所有經(jīng)驗(yàn)證登錄的用戶及來(lái)賓(Guest);
⑥Network:任何通過(guò)網(wǎng)絡(luò)登錄的用戶;
⑦Interactive:指任何直接登錄本機(jī)的用戶;
⑧Terminal server user:指任何通過(guò)終端服務(wù)登錄的用戶。
本站僅提供存儲(chǔ)服務(wù),所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容,請(qǐng)
點(diǎn)擊舉報(bào)。