对于一个操作系统来说,很重要的一项功能就是数据管理。对数据的管理至少应该体现在三个方面,分别是:数据管理的集中性,数据管理的安全性和数据管理的冗余性。在Windows 2000中可以利用分布式文件系统(DFS)来实现数据管理的集中性,利用NTFS文件系统实现数据管理的安全性,利用Windows 2000的备份工具实现数据管理的冗余性。下面我们就着重讨论一下在Windows 2000中NTFS权限的使用。
在Windows 2000的NTFS磁盘分区上可以分别对文件或文件夹设置NTFS权限,其中对文件可以设置五种权限,分别是:“完全控制”、“修改”、“读取及运行”、“读取”和“写入”。对文件夹可以设置六种权限,除上面五种权限外还有一个“列出文件夹目录”权限,如图1-1和图1-2所示。
以上几种权限又称为标准的NTFS权限,其作用比较容易理解。除了这几种标准权限外,Windows 2000还提供了一些特殊的NTFS权限,作为这几种标准权限的补充和细化。例如在特殊NTFS权限中把标准权限中的“读取”权限分为“读取数据”、“读取属性”、“读取扩展属性”和“读取权限”四种更加具体的权限。在图1-2所示的对话框中单击“高级”按钮,然后在弹出的“访问控制设置”对话框的“权限”标签中单击“查看/编辑”按钮,即可设置特殊的NTFS权限,如图1-3所示。
下面就来介绍这些特殊NTFS权限的功能。
1. 遍历文件夹/运行文件
“遍历文件夹”可以让用户即使在无权访问某个文件夹的情况下,仍然可以切换到该文件夹内。这个权限设置只适用于文件夹,不适用于文件。只有当组或用户在“组策略”中没有赋予“绕过遍历检查”用户权力时,对文件夹的遍历才会生效。默认情况下,everyone组具有“绕过遍历检查”的用户权力,所以此处的“遍历文件夹”权限设置不起作用。“运行文件”让用户可以运行程序文件,该权限设置只适用于文件,不适用于文件夹。
2. 列出文件夹/读取数据
“列出文件夹”让用户可以查看该文件夹内的文件名称与子文件夹的名称。“读取数据”让用户可以查看文件内的的数据
3. 读取属性
该权限让用户可以查看文件夹或文件的属性,例如只读、隐藏等属性
4. 读取扩展属性
该权限让用户可以查看文件夹或文件的扩展属性。扩展属性是由应用程序自行定义的,不同的应用程序可能有不同的设置
5. 创建文件/写入数据
“创建文件”让用户可以在文件夹内创建文件;“写入数据”让用户能够更改文件内的数据
6. 创建文件夹/附加数据
“创建文件夹”让用户可以在文件夹内创建子文件夹;“附加数据”让用户可以在文件的后面添加数据,但是无法更改、删除、覆盖原有的数据。
7. 写入属性
该权限让用户可以更改文件夹或文件的属性,例如只读、隐藏等属性。
8. 写入扩展属性
该权限让用户可以更改文件夹或文件的扩展属性。扩展属性是由应用程序自行定义的,不同的应用程序可能有不同的设置
10. 删除子文件夹及文件
该权限让用户可以删除该文件夹内的子文件夹与文件,即使用户对这个子文件夹或文件没有“删除”的权限,也可以将其删除。
11. 删除
该权限让用户可以删除该文件夹与文件。即使用户对该文件夹或文件没有“删除”的权限,但是只要他对其父文件夹具有“删除子文件夹及文件”的权限,他还是可以删除该文件夹或文件。
12. 读取权限
该权限让用户可以读取文件夹或文件的权限设置
13. 更改权限
该权限让用户可以更改文件夹或文件的权限设置。
14. 取得所有权
该权限让用户可以夺取文件夹或文件的所有权。文件夹或文件的所有者,不论对该文件夹或文件权限是什么,他永远具有更改该文件夹或文件权限的能力。
下面举例说明特殊权限中“取得所有权”权限的使用。
(1)以administrator账号登录Windows 2000 Server计算机,分别创建用户账号test和user。
(2)以user账号登录,在一个NTFS分区上创建文件user.txt,并写入字符“This is user’s file”,设置文件的NTFS权限,只有用户账号user具有完全控制的权限,如图1-1所示。
图1-1 设置用户账号user的NTFS权限 (3)此时以用户账号test登录,当试图打开文件user.txt时会出现拒绝访问的对话框,如图1-2所示。
图1-2 用户test无法打开文件user.txt (4)此时用户账号test右键单击文件user.txt选择“属性”,打开文件属性对话框,发现无法查看文件的安全性设置,如图1-3所示。
图1-3 用户test无法打开文件user.txt的安全性设置 (5)此时以user账号登录设置文件的特殊NTFS权限。在图1-1所示对话框中单击“高级”按钮,在弹出的“访问控制设置”对话框的“权限”标签中单击“查看/编辑”按钮打开用户的“权限项目”设置对话框,如图1-4所示。
图1-4 设置文件user.txt的特殊NTFS权限 (6)单击“更改”按钮,选择用户账号“test”,如图1-5所示。
图1-5 选择用户或组对话框 (7)单击“确定”按钮返回用户的“权限项目”设置对话框,设置用户test具有“取得所有权”的权限,如图1-6所示。
图1-6 设置用户test具有“取得所有权”的权限 (8)现在,再次以用户账号test登录,并试图打开文件user.txt,会出现如图1-7所示对话框。
图1-7 具有“取得所有权”权限的用户test试图打开文件 (9)单击“确定”按钮打开“user的访问控制设置”对话框,单击“所有者”标签,将文件的所有者更改为“test”,如图1-8所示。
图1-8 更改文件所有者为test (10)连续单击“确定”按钮完成对文件所有者的更改,再次打开文件属性对话框发现用户test已经出现在文件的访问控制列表中(ACL)。设置用户账号test对文件具有“读取”的权限。如图1-9所示。
图1-9 为用户账号test设置NTFS权限 (11)单击“确定”按钮完成对用户权限的设置,再次打开文件就可以看到文件内容了。如图1-10所示。
图1-10 用户账号test打开文件user.txt 此时由于文件的所有者已经是test了,所以当用户账号user登录并试图打开此文件时将显示“拒绝访问。”