Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1657332
  • 博文数量: 292
  • 博客积分: 10791
  • 博客等级: 上将
  • 技术积分: 2479
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-20 21:06
文章分类

全部博文(292)

文章存档

2011年(31)

2010年(261)

分类: WINDOWS

2010-05-20 17:43:37

安全就是一切。我到每天都收的安全,对于安全方面的关切,对绝大多数的IT专业人员来说毫不陌生。

但是,绝大多数的讨论都是针对保护一个公司的资源免受外部的威胁。其实通常情况下,在公司内的数据同样更需要进行隔离。只要想像一下,如果雇员们可以随意获取他人的人事记录资料的话,将会引起多么大的麻烦,你就明白了。

Windows XP的NTFS文件系统,以及对文件共享设置的权限,都是设计用于保护文件和目录免受未授权用户访问的,不管这些人是来自公司的内部还是外部。要想确认已经正确的对NTFS权限以及文件共享进行了正确的管理,请按如下做法进行:

文件共享权限
绝大多数用户都是和工作组共享文件开始,或者是点对点网络,遵循下述步骤:

1. 鼠标右键点击包含欲共享文件(文档,表格,或其他文件)的文件夹
2. 从弹出菜单中选择“共享与安全”
3. 选择属性框中共享标签下的“共享此文件夹”按钮(图A)

图A 一个文件夹的属性框,用于对不同用户和用户群组的共享级别权限

1. 为该文件夹输入一个共享名称。
2. 在注释栏中,可以看需要为该文件夹的内容写上一些描述性的文字,不写也可以。
3. 点击OK按钮。

不过,这种方法并不总会像你需要的那样工作,除非是在已经使用NTFS文件系统对过之后的Windows XP中(这样的话,NTFS的权限管理可以阻止未经许可的用户获取相关资源——起码不是立刻就能获取)。不过,更不好的一点是,在Windows XP的默认配置中,对共享的是允许任何人都可以读取共享文件夹中的内容。

另外,注意一下Windows XP的简单文件共享也非常重要,这个设置默认是启动的,要想对不同用户自定义不同的权限,就必须先关闭它。要先关闭简单文件共享:

1. 打开Windows浏览器
2. 点击“工具”
3. 选择“文件夹选项”
4. 点击“查看”标签
5. 在高级设置部分里面,卷到窗口底部,然后去掉“使用简单文件共享(推荐)”选项前面的勾选。
6. 点击“确定”。

要想去掉设置为“任何人”的权限,并根据不同的用户来对文件共享设置不同的权限:

1. 右键点击你打算共享的文件夹
2. 在弹出窗口中选择“共享与安全”
3. 点击权限按钮,对于该文件夹的权限设置窗口就会出现了(图B)

图B 共享权限是在贡献权限的标签窗口中被设置的(通过点击一个文件夹的属性窗口中的权限按钮)

4. 在用户名或者用户组的窗口中,高亮选择“Everyone”
5. 点击“移除”按钮
6. 点击“添加”按钮,然后出现选择用户或者用户群组的窗口(图C)

图C 通过进入目标名称的窗口,定义不同的用户或者群组

7. 在进入目标名称选择的窗口后,定义你打算允许存取的用户名,然后点击“确定”。
8. 高亮选择具体的用户名和组名(在群组或者用户名窗口之中),并在该用户名或群组的对话框中具体定义该用户(该用户组)的具体权限(允许或者拒绝其完全控制,以及修改、读取等可选的权限)
9. 点击“确定”来执行修改,并关闭对话框;再点击“确定”来关闭文件的属性对话框。

“完全控制”权限可以让一个用户或一个用户组拥有对文件夹中内容的读取,写入,删除以及执行的权限。同时,拥有“完全控制”权限的用户也可以在共享文件夹中建立和删除文件夹。

“修改”权限可以让一个用户或一个用户组拥有对文件夹中文件的读取和修改权,并可以在该共享文件夹中建立文件和文件夹。拥有“修改”权限的用户也可以执行该文件夹中的文件。

“读取”权限,可以让一个用户和一个用户组来读取共享文件夹中的文件,并可以运行该文件夹中的文件。

使用NTFS文件系统格式化的Windows ,提供了额外的权限设定。下一部分对NTFS权限的配置进行回顾。

NTFS权限
Windows NTFS的权限提供了许多额外的权限选项。另外,NTFS权限可以被用到单个文件或者单个文件夹上。

在配置NTFS的权限之前,首先应当确认Windows XP系统已经被配置为使用了NTFS文件系统。

1. 点击“开始”
2. 点击“运行”
3. 输入“compmgmt.msc”并点击“确定”。然后会出现电脑管理控制台。
4. 在存储项中高亮选择,从而了解每一个系统磁盘所具体使用的文件系统。

如果一个硬盘或者分区并不是用NTFS系统格式化的,那么你可以通过输入“convert X: /fs:ntfs”这样的命令将其升级为NTFS(其中X就是具体的盘符)。使用convert命令,你可以在不丢失任何数据的情况下,将一个磁盘升级成NTFS文件系统。不过,为了以防万一,最好还是在打入命令,执行转换之前,确认你已经对重要数据进行了备份。

要配置NTFS权限:

1. 鼠标右键点击要共享的文件或者文件夹
2. 在弹出的菜单中选择“属性”
3. 点击“安全”标签
4. 使用“添加/删除”按钮来添加或者去除用户或者用户组的权限
5. 高亮选择具体的用户名和组名(在群组或者用户名窗口之中),并在该用户名或群组的对话框中具体定义该用户(该用户组)的具体权限(勾选或者去除“允许”或“禁止”之前的叉)(图D)
6. 点击“确定”执行修改。

图D NTFS权限允许实施更多的小权限,就像对共享文件夹所做的一样

要注意,默认情况下,子目录将从父目录继承权限。要想自定义非继承的权限,需要在共享或者文件的属性框中,选择“高级”按钮。

有许多NTFS权限可用:

* 完全控制——让一个用户或者用户组执行所有的操作,包括查看文件以及子文件夹,执行程序,列出文件夹内容,读取和执行 可,修改文件以及文件夹属性,建立新文件,为文件添加数据,删除文件和文件夹,修改文件以及文件夹权限,并修改文件和文件夹的所有者。

* 修改——让一个用户或者用户组查看文件以及子文件夹,执行程序,列出文件夹内容,查看文件及文件夹属性,修改文件以及文件夹属性,建立新文件,为文件添加数据,删除文件。

* 读取及执行——让一个用户或者用户组查看文件以及子文件夹,执行程序,列出文件夹内容,读取文件数据以及查看文件(文件夹)的属性

* 列出文件夹内容——让一个用户或者用户组浏览文件夹,列出文件夹内容,并查看文件和文件夹属性。

* 读取——让一个用户或者用户组可以查看一个文件夹的内容,读取数据,并查看文件和文件夹属性。

* 写入——让一个用户或者用户组可以修改一个文件或者文件夹的属性,建立新文件,对文件进行修改,并建立新文件夹,或者对文件进行数据追加。

要终止一个用户的最终权限,只要将所有的NTFS权限都赋予某个用户组,并赋予该用户为某个用户组成员,然后将该用户组的上述权限都设置为禁止即可。

举例来说,如果一个用户明确获得了“完全控制”的权限,但他同时还是一个用户组的成员,而该用户组的“完全控制”权限是被禁止的,那么该用户将失去“完全控制”权限。如果一个用户在一个用户组中获得了“读取执行”以及“列出文件夹内容”的权限,但同时又是另外一个用户组的成员(该组的“列出文件夹内容”权限是被禁止的),那么该用户的NTFS权限将仅仅是“读取控制”权限。基于这个原因,应当仔细设置“禁止”权限,因为当同一用户或者用户组拥有相冲突的两个权限时,“禁止”的优先权高于“允许”。

Windows XP提供了一个有效的权限工具,让你可以用它来校验一个用户或者一个用户组的相关权限。要使用该工具:

1. 打开文件夹或者文件的属性对话框
2. 点击“安全(Security)”标签
3. 点击“高级(Advanced)”按钮。然后会出现“高级安全设定(Advanced Security Settings)”。
4. 点击如图E所示的有效权限标签
5. 点击“选择(Select)”按钮
6. 选择用户或者用户组的对话框会出现
7. 在要选择目标窗口中输入需要校验权限的用户组名或者用户名,然后点击“确定(OK)”
8. 该文件夹或者文件的高级安全设定对话框将出现,显示该用户或者用户组的NTFS权限。

图E 有效权限标签可以帮助简化确定一个用户或者用户组的真实权限

将共享权限和NTFS权限组合
这听上去很简单。配置好你需要的权限,然后一个用户就OK了。但是有一点需要特别留心。那就是文件共享权限必须和NTFS权限相结合,以确定一个用户或者用户组真实获得的权限。不幸的是,这两者常常是冲突的。

要确定一个用户最终获得的权限,可以将该用户或者该用户组的共享权限与该用户(或该用户组)的NTFS权限进行一下比较。注意到了么,绝大多数对权限的禁止到处可见。

举例来说,如果一个用户当前NTFS的权限是“读与执行”,而同一用户的当前共享权限是“完全控制”,那么该用户实际上将无法获得完全控制的权限。实际上,Windows会选择两个冲突的权限中限制性相对更高的部分,在这个例子里就是NTFS的“读与执行”权限。

记住,要确认一个用户或一个用户组的最终权限,最容易发生NTFS权限和共享权限的冲突。这是很重要的一个教训,但是非常容易被忘记,不过却会非常迅速的导致用户使用挫折,所以一定要事先花费时间,以正确的计算共享和NTFS权限。

阅读(1254) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~