共享权限和NTFS权限详解

1.共享权限
共享权限有三种：完全控制、更改、读取
任务：了解共享权限
步骤：打开一共享文件夹，查看其共享权限
注意：共享权限只对从网络访问该文件夹的用户起作用，而对于本机登录的用户不起作用。
2、NTFS权限
NTFS权限是NT和Win2000中的文件系统，它支持本地安全性。换句话说，他在同一台计算机上以不同用户名登录，对硬盘上同一文件夹可以有不同的访问权限。
注意：NTFS权限对从网络访问和本机登录的用户都起作用。
3.共享权限和NTFS权限的联系和区别
(1)共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限;NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置.
(2)共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文件时它会与共享权限联合起作用,规则是取最严格的权限设置.
(3)共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用.
共享权限只有几种:读取,更改和完全控制;NTFS权限有许多种,如读,写,执行,改变,完全控制等....我们可以进行非常细致的设置.
4.共享权限和NTFS权限的特点：
（1） 不管是共享的权限还是NTFS权限都有累加性。
（2） 不管是共享权限还是NTFS权限都遵循“拒绝”权限超越其他权限。
（3） 当一个账户通过网络访问一个共享文件夹，而这个文件夹又在一个NTFS分区上，那么用户最终的权限是它对该文件夹的共享权限与NTFS权限中最为严格的权限。如：一个人要进一个院子，两道门都开才能进去。门就好像是权限。

NTFS权限是做什么的呢？
当一个用户试图访问一个文件或者文件夹的时候，NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。

完全控制：对文件或者文件夹可执行所有操作。
修改：可以修改、删除文件或者文件夹。
读取和运行：可以读取内容，并且可以执行应用程序。
列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在。
读取：可以读取文件或者文件夹的内容。
写入：可以创建文件或者文件夹。
特别的权限：其他不常用权限，比如删除权限的权限。
所有权限都有

相应的“允许”和“拒绝”两种选择。
新建的文件或者文件夹都有默认的NTFS权限，如果没有特别需要，一般不用改。
文件或者文件夹的默认权限是继承上一级文件夹的权限，如果是根目录（比如c:/）下的文件夹，则权限是继承磁盘分区的权限。
设置各个账户以及组对当前文件或者文件夹的权限的方法很简单，就是上图中，选择你要修改的账户或者组，然后再下面的控制项框中选择合适的权限就行了。
还有一些特殊权限，以及取得文件或文件夹的所有权的方法。这里我就不讲了，因为这里一般的用户用不到，至少自己家里的机器我认为是用不到的。因为一般自己家里的机器本来就是用Administrators组（也就是管理员组）内的账户登陆的，这些权限一般用不到。公司里面也许会用到，不过公司里面有自己的网络管理员，都懂。
NTFS权限的应用规则
下面尽量简单明了的讲一下NTFS权限的应用规则，这可是比较麻烦的地方。
1． 权限的组合。
如果一个用户同时在两个组或者多个组内，而各个组对同一个文件有不同的权限，那么这个用户对这个文件有什么权限呢？
简单的说，当一个用户属于多个组的时候，这个用户会得到各个组的累加权限，但是一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。
举例来说：
假设有一个用户WZ，如果WZ属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，WZ自己对此文件有修改权限，那么WZ对此文件的最终权限为读取+写入+修改权限。
假设WZ对文件有写入权限，A组对此文件有读取权限，但是B组对此文件为拒绝读取权限，那么WZ对此文件只有写入权限。这里就还有一个小问题了，WZ对此文件只有写入权限，但是没有读取权限，那么，写入权限有效么？答案很明显，WZ对此文件的写入权限无效，因为不能读取怎么写入？连门都进不去，怎么把家具搬进去？
2、权限的继承。
这里我不想做过多说明，因为我认为这是初学者不用过多了解的东西。只要知道新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。也就是不能把权限上的勾去掉（因为你去不掉），只能添加新的勾。如下图，灰色的框为继承的权限，是不能直接修改的，白色的框是可以添加的权限。
当然这并不是绝对的，只要你的权限够，比如你是管理员，你也可以把这个继承下来的权限修改了，或者让文件不再继承上一级目录或者驱动器的NTFS权限。这里我不多讲这个问题。有必要的话，新开贴讲。因为这又是一个一句两

句说不清楚的东西。
3、权限的拒绝
这个很简单，只要记住，拒绝的权利是最大的就行了。无论给账户或者组了什么权限，只要在拒绝的这一栏里有勾，那么被拒绝的权限就绝对有效。这里如果不明白，看上面权限的组合里的例子。
4、移动和复制操作对权限的影响
这里一共有四种情况，移动和复制文件（夹）到同一或者不同分区内。只需要记住，只有移动到同一分区内才保留原来设置的权限，否则为继承目的地文件夹或者驱动器的NTFS权限。
现在开始说共享权限：
共享权限只有三种：读取、更改和完全控制。Windows Server 2003默认的共享文件设置权限是Everyone用户只具有读取权限。Windows 2000 默认的共享文件设置权限是Everyone用户具有完全控制权限。
下面解释一下三种权限：
1、 读取。读取权限是指派给Everyone组的默认权限。
a、 查看文件名和子文件夹名。
b、 查看文件中的数据。
c、 运行程序文件。
2、 更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外，还增加以下权限。
a、 添加文件和子文件夹。
b、 更改文件中的数据。
c、 删除子文件夹和文件。
3、 完全控制。 完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取及更改权限外，还具有更改权限的权限。
和NTFS权限一样，如果赋予某用户或者用户组拒绝的权限，该用户或者该用户组的成员将不能执行被拒绝的操作。
这里再添加一点，Windows 2000 中，共享的文件夹，可以用空密码用户访问。但是Windows Server 2003中，共享的文件夹，不可以用空密码用户访问。这里是比较常见的网络共享无法访问的问题，希望大家注意。所以我本身来说是不建议个人用户使用Windows Server 2003的各个版本来作为桌面机的操作系统。因为2003针对安全性做了很多变动，而这些安全性的改动对我们桌面机来说没有什么意义，反而增加了网络互联的很多麻烦。
同时大家也许注意到了，Windows Server 2003的各个版本都是Server版的，2003前都有Server这个单词，呵呵。而Windows2000的服务器版是Windows 2000 Server 以及Windows 2000 Ad Server 。

最后在说一下共享权限和NTFS权限的组合权限。
共享权限只对通过网络访问的用户有效，所以有时需要和NTFS权限配合（如果分区是FAT/FAT32文件系统，则不需要考虑），才能严格的控制用户的访问。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。
如果希望用户能够完全控制共享文件夹，首先要在共享权限中添加此用户（组），并设置完全控制的权限。然后在NTFS权限设置中添加此用

户（组），也设置完全控制权限。只有两个地方都设置了完全控制权限，才最终有完全控制权限。
当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束，而有效权限是最严格的权限（也就是两种权限的交集）。而当用户从本地计算机直接访问文件夹的时候，不受共享权限的约束，只受NTFS权限的约束。
同样的，这里也要考虑到两个权限的冲突问题，比如，共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。