NTFS权限实验报告
NTFS 权限实验报告
试验项目:
1.NTFS 权限的累加性
2.NTFS权限的拒绝权限覆盖其它所有权限
3.NTFS权限的继承性
4.NTFS权限的权限移动
5.NTFS权限的efs 加密
实验条件:
1.准备好两个NTFS分区和一个FAT32 分区
2.实验用的TXT文件和EXE文件
实验思路:
1.项目1:让用户 stz
...同时属于 1组和 2组,分别赋予1组和2组不相同的权限,实验
文件被
stz用户加
密管理员管理员虽无法
查看但可以更
管理员已
把文档所
文件原有
者已被管
理员删
除,stz
管理员可以把所有者
进行更改。把原来的
同样,管理
员也可以
实验结果:administrator帐户无法察看stz加密过的文档,无法阻止管理员更改权限、
无法阻止管理员使用特别权限修改所有者,无法阻止管理员删除。
到此 5项实验全部结束。
NTFS权限题目付答案
1.NTFS权限可以应用在以下文件系统上正确答案:1, A.NTFS B.FAT32 C.FAT D.EXT3 2.以下属于NTFS权限的有正确答案:1,2,3,4, A.Read B.Write C.Modify D.Full Control 3.5613 以下哪种NTFS文件夹权限可以执行对文件夹的删除操作正确答案:3, A.Read B.Write C.Modify D.List folder contents 4.5614 NTFS权限可以控制对什么对象的访问正确答案:1,2, A.文件 B.文件夹 C.计算机 D.某一个硬件 5.5616 以下有关NTFS权限的说法正确的有正确答案:1,2,3,4, A.NTFS权限只能在NTFS的卷上使用 B.NTFS权限对用户访问在本地计算机上或者网络上的文件和文件夹都是有效的 C.NTFS文件权限高于NTFS文件夹权限 D.NTFS中的否定权限覆盖其它权限 6.如果一个用户对一个文件夹有Read权限,同时他是一个对该文件夹有Write权限的组的成员,那么用户对这个文件的权 限是正确答案:3, A.Read B.Write C.Read和Write D.None https://www.360docs.net/doc/e3692689.html,er1对FolderA具有Read权限,用户是GroupA和GroupB的成员。GroupB对FolderA具有Write权限,GroupA被否 定对File2的Write权限,那么User1对File2的权限是 正确答案:4, A.Read B.Write C.Read和Write D.None https://www.360docs.net/doc/e3692689.html,er1对FolderA无权限,但对FolderA中的File1有读权限,那么User1如何来访问File1 正确答案:1, 通过UNC名 通过第三方软件 直接通过资源管理器就可以访问 无法访问 9.在相同的分区上拷贝文件和文件夹时NTFS权限的变化是正确答案:1, A.权限变化成目的地的权限 B.权限保持不变 C.权限消失 D.权限增大 10.在不同的分区上拷贝文件和文件夹时NTFS权限的变化是正确答案:1, A.权限变化成目的地的权限 B.权限保持不变 C.权限消失 D.权限增大 11.5622 在相同的分区上移动文件和文件夹时NTFS权限的变化是正确答案:2, A.权限变化成目的地的 B.权限保持不变 C.权限消失 D.权限增大 12.下述有关共享文件夹权限的描述正确的有正确答案:1,2,3,4, A.共享文夹权限是应用到文件夹而不是单个的文件 B.共享文件夹权限不限制用户在共享文件夹所在的计算机上对文件夹的访问。他们只对通过网络连接文件夹的用户 起作用。
NTFS权限设置
实验二 NTFS权限设置 【实验目的】 1)理解NTFS权限设置的作用、分类及应用法则。 2)掌握NTFS权限设置的方法。 【实验环境】 【实验重点及难点】 重点学习掌握NTFS权限设置的方法。 【实验内容】 假如用户Jack同时属于Groupl、Group2和Apps三个组,对于资源Data 文件夹分别具有如下的权限:
在这个例子中用户Jack对Data文件夹的最终权限为“完全控制”,因为“完全控制”是这些权限中最宽松的权限。本实验中Apps组对Data文件夹的权限为“拒绝”权限,则用户Jack对Data文件夹的访问将是被拒绝的,因为“拒绝”权限覆盖一切权限,即使用户本身对Data文件夹被赋予了“完全访问”的权限。如果用户对于Data文件夹下的一个文件File.doc被赋予“读取”的权限,则最终用户到底对该文件是什么样的权限呢?综合考虑所有的法则在文件夹一级用户的最终权限为“完全控制”,而对于该文件夹下的文件File.doc的权限为“读取”,根据“文件权限超越文件夹权限”法则因此用户对该文件的最终权限为“读取”而非“完全控制”。 NTFS权限设置步骤: 1、打开“我的电脑”,在硬盘上找到要设置权限的文件或文件夹(本例 中以对new文件夹为例)。 2、在该文件夹上右击,在弹出的快捷菜单中单击选择“属性”,打开“new 属性”对话框。 3、单击“安全”选项卡,打开“安全”对话框。在该对话柜中可以看 到everyone组对new文件夹有“完全控制”的权限,这是因为系统会自动为everyone组对分区的根文件夹赋予“完全控制”的权限,而这个权限会向下继承,因此everyone组对该分区下的所有文件和文件夹都被赋予“完全控制”的权限。 4、单击“添加”按钮,打开“选择用户、计算机或组”对话框。在上 半部的用户和组列表中单击选中要赋予权限的用户或组,单击“添加” 按钮将选定的用户或组加到下半部的列表中。 5、单击“确定”按钮回到“安全”选项卡中,这时会看见刚刚添加的 用户列在用户列表中,并且系统已经为该用户赋予了默认的权限。
数据访问权限集的作用
定义 数据访问权限集是一个重要的、必须设定的系统配置文件选项。对具有相同科目表、日历和期间类型的分类帐及其所有平衡段值或管理段值的定义读写权限,系统管理员将其分配至不同的责任以控制不同的责任对分类帐数据的访问。 可以定义以下三种类型的数据访问权限集: ?全部分类帐:授予分类帐中所有数据的访问权限。例如,在具有两个分类帐(A和B)的数据访问权限集中,可以授予对分类帐A中所有数据的只读权限,对分类帐B中所有数据的读写权限。 ?平衡段值:授予对所有或特定分类帐/平衡段值(BSV)组合的访问权限。例如,可能使用包含分类帐A的数据访问权限集,授予对平衡段值01的只读权限,授予对平衡段值02的读写权限,对于相同分类帐中的平衡段值03没有任何权限。这对于使用少量包含有许多平衡段值来表示多个公司或法人主体的分类帐的公司非常有用。 ?管理段值:授予对所有或特定分类帐/管理段值(MSV)组合的访问权限。例如,可能使用包含分类帐A的数据访问权限集,授予对管理段值100的只读权限,授予对管理段值200的读写权限,对于相同分类帐中的管理段值300没有任何权限。只在当在科目表中指定了管理段时,才能使用管理段值。 注:1.“全部分类帐”访问权限集类型提供比“平衡段值”或“管理段值”访问权限集类型更好的系统性能。 2.在分配特定平衡段值/管理段值时,可以分别指定所有值、包括子值的父值或子值。 目的 通过定义分类帐、平衡段值、管理段值的读写权限,来控制不同的责任对分类帐数据的访问,同时控制用户对平衡段值和管理段值的读写。 前提条件: ?分类帐必须已分配给具有“完成”状态的会计科目设置。
?分配至数据访问权限集的分类帐(集)必须共用相同科目表、日历和期间类型。 ?需要进一步限制对分类帐、分类帐集或分类帐/分类帐集的特定平衡段值或管理段值的读写权限; 因为在创建分类帐(集)时,系统自动创建数据访问权限集。 创建使用的职责: 1.总帐超级用户—定义数据访问权限集 2.系统管理员—分配数据访问权限集 使用说明 1.必须为每个数据访问权限集指定三种类型之一。在定义之后,不能更改类型。只能添加或删除数据 访问权限集中指定的分类帐/分类帐集和段值。 2.在以下情况发生时,Oracle General Ledger会自动创建数据访问权限集: ?创建分类帐 ?定义分类帐集 2.1分类帐的系统生成数据访问权限集使用与分类帐相同的名称。此数据访问权限集使用“全部分类 帐”访问权限集类型,提供对分类帐的完全读写权限。 分类帐集的系统生成数据访问权限集使用与分类帐集相同的名称。此数据访问权限集使用“全 部分类帐”访问权限集类型,提供对分配给分类帐集的所有分类帐的完整读写权限。 2.2全部分类帐访问权限 需要具有全部分类帐访问权限才能执行某些操作,如打开和关闭期间、创建汇总帐户、创建明细帐户、创建预算以及执行成批维护。全部分类帐权限意味着具有分类帐及其所有平衡段值 或管理段值的完全读写权限。 要获得全部分类帐访问权限,的数据访问权限集必须为以下类型之一: ?“全部分类帐”数据访问权限集类型,提供对分类帐的读写权限。 ?“平衡段值”数据访问权限集类型,该类型为使用“所有值”复选框的分类帐提供对所有 平衡段值的读写权限。
NTFS权限基本策略和原则
Windows XP中设置NTFS权限基本策略和原则Windows XP中关于权限的问题有四个基本原则,在进行NTFS权限设置的时候就需要注意这些基本原则。对于Windows XP的各种权限设置我们还是需要格外的重视。 设置NTFS权限基本策略和原则 在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下: 拒绝优于允许原则 “拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。 但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被“拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际操作中,“shyzhong”用户无法对这个资源进行“写入”操作。 权限最小化原则 Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。 基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。 权限继承性原则
11 BO数据权限控制
1、在数据库新建权限控制表,记录登录人员及其拥有的权限,下面的例子是基于MS SQL Server 2005和BO R2: CREATE TABLE SIS_CTL_User( name varchar(50),--登录人员ID user_desc varchar(50),--登录人员描述,可为空 Region varchar(20),--有数据权限的区域 country varchar(10),--有数据权限的国家 Sub_Region varchar(10),--有数据权限的小区 City varchar(20),--有数据权限的城市 brand varchar(20),--有数据权限的品牌 Sub_Brand varchar(20)----有数据权限的子品牌 ) 对于地区和产品2个权限,如果记录Sub_Region的数据权限,则Region可以不填,其余类似,即只需要将拥有权限的那层填充即可,上级、下级不需要填。 模拟测试数据: 用户test1拥有Region EOC的权限,用户test2拥有Sub_Region WOC1、WOC2的权限:insert into SIS_Ctl_User(name,region) values('test1','EOC'); insert into SIS_Ctl_User(name,sub_region) values('test2','WOC1'); insert into SIS_Ctl_User(name,sub_region) values('test2','WOC2'); 2、在BO控制台将test1加入组Region,test2加入组Sub_Region(目的是将权限控制应用在组上,如果是对单个用户应用权限控制,则不需要加入组) 3、在Universe配置权限控制: 新建2个限制,一个是限制大区的权限,一个限制小区的权限: 新建访问限制,在新开的窗口输入限制名称“大区权限”,在下面的部分选择“行”,
NTFS权限设置详解
NTFS权限设置详解 WIN2000硬盘内的文件与文件夹,如果是NTFS磁盘分区,则可以通过所谓的NTFS权限来指派用户或组对这些文件或文件夹的使用权限。只ADMINISTRA TORS组内的成员,才能有效地设置NTFS权限。 NTFS权限的类型 1、标准NTFS文件权限的标准 A、读取:读取文件内的数据,查看文件的属性。 B、此权限可以将文件覆盖,改变文件的属性。 C、读取及运行:除了“读取”的权限外,还有运行“应用程序”。 D、修改:除了“写入”与“读取与运行”权限外,还有更改文件数据、删除文件、改变文件名。 E、完全控制:它拥有所有的NTFS权限的。 标准NTFS文件夹权限的类型 A、读取:此权限可以查看文件夹内的文件名称,子文件夹的属性。 B、写入:可以在文件夹里写入文件与文件夹。更改文件的属性。 C、列出文件夹目录:除了“读取”权限外,还有“列出子文件夹”的权限。即使用户对此文件夹没有访问权限。 D、读取与运行:它与“列出文件夹目录”几乎相同的权限。但在权限的继承方面有所不同,“读取与运行”是文件与文件夹同时继承,而“列出子文件夹目录”只具有文件夹的继承性。 E、修改:它除了具有“写入”与“读取与运行”权限,还具有删除,重命名子文件夹的权限。
F、完全控制:它具有所有的NTFS文件夹权限。 用户权限的有效性 1、权限的累加性 用户对某个资源的有效权限是所有权限的来源的总和。 2、“拒绝”权限会覆盖所有其他权限。 虽然用户的有效权限是所有权限的来源的总和。但是只要其中有个权限是被设为拒绝访问,则用户最后的有效权限将是无法访问此资源。 文件会覆盖文件夹的权限: 如果针对某个文件夹设置了NTFS权限,同时也对该文件夹内的文件设置了NTFS权限。则以文件的权限设置为优先。 NTFS权限的设置 指派文件夹的权限: 1、设置NTFS权限的步骤: 我的电脑→双击磁盘→选定文件夹→鼠标右键→属性→安全。 2、权限设置 A、默认:EVERYONE权限是无法更改的。因为它是继承了上一层的权限,若要更改则必须清除“允许将来自父系的可继承权限传播给该对象”。 B、增加权限用户:“安全”选项卡→增加→选择所需用户→设置相应的权限
NTFS文件夹权限
5.3.3 NTFS文件访问权限属性 Windows NT系统的安全性在本地网络中主要还是用设置各用户对文件和文件夹的访问权限来保证的。为了控制好服务器上用户的权限,同时也为了预防以后可能的入侵和溢出,必须安全有效地设置文件夹和文件的访问权限。NTFS文件或文件夹的访问权限分为读取、写入、读取及执行、修改、列目录和完全控制。在默认的情况下,大多数的文件夹和文件对所有用户(Everyone组)都是完全控制的(Full Control),这根本不能满足不同网络的权限设置需求,所以还需要根据应用的需求进行重新设置。 要正确有效地设置好系统文件或文件夹的访问权限,必须注意NTFS文件夹和文件权限具有的如下属性。 1.权限具有继承性 权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的,更明确地说就是如果一个用户对某一文件夹具有“读取”的权限,那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限,除非打断这种继承关系,重新设置。但要注意的是这仅是对静态的文件权限来讲,对于文件或文件夹的移动或复制,其权限的继承性依照如下原则进行。 ①在同一NTFS分区间复制或移动 在同一NTFS分区间复制到不同文件夹时,它的访问权限是和原文件或文件夹的访问权限不一样。但在同一NTFS分区间移动一个文件或文件夹其访问权限保持不变,继承原先未移动前的访问的权限。 ②在不同NTFS分区间复制或移动 在不同NTFS分区间复制文件或文件夹访问权限会随之改变,复制的文件不是继承原权限,而是继承目标(新)文件夹的访问权限。同样如果是在不同NTFS分区间移动文件或文件夹则访问权限随着移动而改变,也继承移动后所在文件夹的权限。 ③从NTFS分区复制或移动到FAT格式分区 因为FAT格式的文件或文件夹根本没有权限设置项,所以原来文件或文件夹也就不再有访问权限配置了。 2.权限具有累加性 NTFS文件或文件夹的权限的累加性具体表现在以下几个方面。 ①工作组权限由组中各用户权限累加决定 如一个组Group1中有两个用户User1、User2,他们同时对某文件或文件夹的访问权限分别为“只读”型的和“写入”型的,那么组Group1对该文件或文件夹的访问权限就为User1和User2的访问权限之和,实际上是取其最大的那个,即“只读”+“写入”=“写入”。 ②用户权限由所属组权限的累加决定 如一个用户User1同属于组Group1和Group2,而Group1对某一文件或文件夹的访问权限为“只读”型的,而Group2对这一文件或文件夹的访问权限为“完全控制”型的,则用户User1对该文件或文件夹的访问权限为两个组权限累加所得,即“只读”+“完全控制”=“完全控制”。 3.权限的优先性 权限的这一特性又包含两种子特性,其一是文件的访问权限优先文件夹的权限,也就是说文件权限可以越过文件夹的权限,不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其他权限,也就是说“拒绝”权限可以越过所有其他权限,一旦选择了“拒绝”权限,则其他权限也就不能起任何作用,相当于没有设置,下面就具体讲一下这两种子特性。
网络层访问权限控制技术ACL详解
网络层访问权限控制技术ACL详解 技术从来都是一把双刃剑,网络应用与互联网的普及在大幅提高企业的生产经营效率的同时,也带来了诸如数据的安全性,员工利用互联网做与工作不相干事等负面影响。如何将一个网络有效的管理起来,尽可能的降低网络所带来的负面影响就成了摆在网络管理员面前的一个重要课题。 A公司的某位可怜的网管目前就面临了一堆这样的问题。A公司建设了一个企业网,并通过一台路由器接入到互联网。在网络核心使用一台基于IOS的多层交换机,所有的二层交换机也为可管理的基于IOS 的交换机,在公司内部使用了VLAN技术,按照功能的不同分为了6个VLAN。分别是网络设备与网管(VLAN1,10.1.1.0/24)、内部服务器(VLAN2)、Internet连接(VLAN3)、财务部(VLAN4)、市场部(VLAN5)、研发部门(VLAN6),出口路由器上Fa0/0接公司内部网,通过s0/0连接到Internet。每个网段的三层设备(也就是客户机上的缺省网关)地址都从高位向下分配,所有的其它节点地址均从低位向上分配。 自从网络建成后麻烦就一直没断过,一会儿有人试图登录网络设备要捣乱;一会儿领导又在抱怨说互联网开通后,员工成天就知道泡网;一会儿财务的人又说研发部门的员工看了不该看的数据。这些抱怨都找这位可怜的网管,搞得他头都大了。那有什么办法能够解决这些问题呢?答案就是使用网络层的访问限制控制技术――访问控制列表(下文简称ACL)。 那么,什么是ACL呢?ACL是种什么样的技术,它能做什么,又存在一些什么样的局限性呢? ACL的基本原理、功能与局限性 网络中常说的ACL是Cisco IOS所提供的一种访问控制技术,初期仅在路由器上支持,近些年来已经扩展到三层交换机,部分最新的二层交换机如2950之类也开始提供ACL的支持。只不过支持的特性不是那么完善而已。在其它厂商的路由器或多层交换机上也提供类似的技术,不过名称和配置方式都可能有细微的差别。本文所有的配置实例均基于Cisco IOS的ACL进行编写。 基本原理:ACL使用包过滤技术,在路由器上读取第三层及第四层包头中的信息如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。 功能:网络中的节点资源节点和用户节点两大类,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。ACL的主要功能就是一方面保护资源节点,阻止非法用户对资源节点的访问,另一方面限制特定的用户节点所能具备的访问权限。 配置ACL的基本原则:在实施ACL的过程中,应当遵循如下两个基本原则: 最小特权原则:只给受控对象完成任务所必须的最小的权限 最靠近受控对象原则:所有的网络层访问权限控制 局限性:由于ACL是使用包过滤技术来实现的,过滤的依据又仅仅只是第三层和第四层包头中的部分信息,这种技术具有一些固有的局限性,如无法识别到具体的人,无法识别到应用内部的权限级别等。因此,要达到end to end的权限控制目的,需要和系统级及应用级的访问权限控制结合使用。 ACL配置技术详解 “说那么多废话做什么,赶快开始进行配置吧。”,A公司的网管说。呵呵,并不是我想说那么多废话,因为理解这些基础的概念与简单的原理对后续的配置和排错都是相当有用的。说说看,你的第一个需求是什么。 “做为一个网管,我不期望普通用户能telnet到网络设备”――ACL基础 “补充一点,要求能够从我现在的机器(研发VLAN的10.1.6.66)上telnet到网络设备上去。”。hamm,是个不错的主意,谁都不希望有人在自己的花园中撤野。让我们分析一下,在A公司的网络中,除出口路由器外,其它所有的网络设备段的是放在Vlan1中,那个我只需要在到VLAN 1的路由器接口上配置只允许源地址为10.1.6.66的包通过,其它的包通通过滤掉。这中只管源IP地址的ACL就叫做标准IP ACL: 我们在SWA上进行如下的配置:
NTFS权限及权限问题的解决
NTFS权限及权限问题的解决 NTFS概述 n 可以设置权限; n 更好的伸缩性使扩展为大驱动成为可能; n 压缩功能; n 文件加密,它极大地增强了安全性; n 域控制器和Active Directory需要使用NTFS; n 磁盘配额,可用来监视和控制单个用户使用的磁盘空间量; 格式化磁盘,在格式化时选择NTFS文件系统。 将FAT文件系统转换为NTFS文件系统,convert e: /fs:ntfs 使用第三方软件转换,如分区大师软件等。 什么是NTFS权限 文件或文件夹的属性中都增加了一个安全选项卡,在选项卡中有一个访问控制列表和访问控制项,只有被授予权限的用户或组才能访问 取得文件或文件夹的所有权 n 对于其他用户建立的文件夹,如果拒绝管理员管理,可以取得其所有权,然后再进行管理。 n 位置在安全选项卡中的高级里的所有者选项卡中。 n 没有修改权限的文件夹 n 取得所有权后的文件夹 NTFS权限的特点 n 累加性 n 继承性 n 拒绝权限优先 n 文件权限优先于文件夹权限 权限的累加与继承 n 用户对某些资源的有效权限是其所有权限来源的累加: u 例如用户xiaoqiang属于A组(读权限)、B(写权限)两个组,那么此时的xiaoqiang 具有读写权限,即权限会进行累加。 n 默认情况下,制定给父级文件夹的权限会被这个文件夹中所容纳的子文件夹和文件继承和传播: u 例如用户wangcai对AAA文件夹具有“读取和运行”的权限,那么他对AAA文件夹下的子文件夹或文件也有“读取和运行”的权限。
权限的继承 n 新建的的子文件夹和文件会继承上一级目录的权限 n 根目录下的文件夹或文件继承驱动器的权限 n Windows 2003也允许阻止父文件夹的权限被子文件夹继承,阻止继承后,该文件夹变成新的父文件夹,制定给他的权限将被他的下级文件夹和文件所继承。 n 可以拒绝继承上级权限 n 可以强制向下继承权限 拒绝权限优先 n 用户对某些资源的有效权限是所有权限来源的总和,但只要其中有一个权限被设置为拒绝访问,则用户将无法访问该资源: u 如用户周星星属于A(读写权限)、B(拒绝权限)两个组,那么周星星此时将被拒绝。 u 如果所属的组有一个被拒绝,此用户也会被拒绝 权限的拒绝 n 拒绝用户 u 用户将不能访问 n 拒绝组 u 组里的所有成员都不能访问 文件权限优先于文件夹权限 n 如果针对于某个文件夹设置了NTFS权限,同时也对该文件夹下的文件设置了权限,则文件的权限优先: 例如d:\test\book.txt,若A用户对test文件夹有“读取”的权限,同时A对book.txt文件有“修改”的权限,此时,用户A同样可以修改和删除book.txt的内容 移动和复制操作对权限的影响 n 复制文件和文件夹时,继承目的文件夹的权限设置 n 在同一分区移动文件或文件夹时,权限不变 n 在不同分区移动文件或文件夹时,继承目的文件夹的权限设置 文件及文件夹的压缩 n NTFS文件系统中的文件和文件夹都具有压缩属性 n 压缩文件可以节约磁盘空间 n 压缩和加密只能选择一项 n 用颜色来区分压缩的文件(夹),蓝色 n 降低性能 复制、移动操作对压缩的影响
WEB应用数据权限控制
WEB应用 数据权限控制 轻量级解决方案 aliang 2012-3-2
目录 1前言 (3) 2方案目标 (4) 3设计思路 (4) 4逻辑流程图 (6) 5数据库表设计 (7) 6关键技术点 (7) 7方案应用 (8) 8总结 (9)
1前言 很早就想把自己关于WEB应用中数据权限控制的思考写出来同大家分享,一直没有抽出时间,今天总算把此码成文字,以便能给对此感兴趣的朋友提供一种思路。 在许多应用开发中我们都会涉及到权限管理,当然,权限管理主要分两部分,即功能权限和数据访问权限。针对功能权限的控制,想必很多朋友都有很成熟的方案,在此不再废话。本文档主要探讨在WEB应用开发中的数据权限控制。 现在,许多的软件公司开发WEB应用都是利用开源框架S(Struts)S(Spring)H(Hibernate)或S(Struts)S(Spring)I(ibatis)来进行WEB应用开发的。关于数据权限的控制一般都是在代码开发时对访问数据库数据的SQL语句添加涉及数据权限控制的WHERE条件来实现。这样做的弊端就是在开发时就要详细分析哪些数据需要加入权限控制,并且这些关于数据权限控制的代码散布到整个应用中。一旦需要调整时就要对许多的SQL语句扒拉一边进行修改,很是耗费精力。 在做项目时,我也同样经受过这样的痛苦,于是我就想,能否把WEB应用的数据权限控制独立出来,就象Spring和切面编程一样,做到代码侵入度最低,灵活方便的添加数据权限控制。于是就有了我下面的思考和验证。 许多成熟的开发平台都有自己的一套关于数据权限控制的方案,这些控制都是依托数据集来完成的,通过把数据访问的规则加到数据集上来实现对数据访问的控制。但在WEB应用开发中,这些开源框架中都没有数据集的概念或展现,准确的说是很难在开发或运行状态下获取到有哪些数据集及数据项。 其实数据集的本质就是SQL语句返回的结果集(从XML或表格文件等形成的数据集不在此讨论范围),对数据集加入数据访问控制就是对SQL语句加入数据过滤条件。既然开源框架中没有数据集可用,那我们是否可以把数据访问控制直接应用到数据库表或视图上来达到目的呢?经过思考和验证完全可以做到。
BI数据权限解决方案
BI数据分析是目前企业的热门应用,而对企业来说,权限控制是非常重要的,尤其是作为决策用的企业报表。目前基于微软SQL Server体系的BI架构为Integration Services + Analysis Service + Reporting Services,Integration Services和Analysis都属于应用后台的服务,不会在用户前端展现,其权限控制体系不在我们这篇文章的讨论范围内(但是实现数据级权限控制,需要Analysis Services的参与)。而对于前端展示用的企业报表,权限控制体系分为2种:报表级权限和数据级权限。报表级权限较为简单,主要用于控制谁能够看这个报表;数据级权限则比较复杂了,任何人看同一张报表,报表上的数据只能是他有权限查看的数据。简单说,就是总经理看到的数据和经理看到的数据是不一样的,虽然他们在看同一张报表。比较报表级权限和数据级权限,会发现如果实现了数据级权限的控制,那么企业报表是否需要进行权限控制已经不再重要(当然,为了界面友好性,还是应该控制下的)。 这篇文章主要就是讲述基于SQL Server架构的BI数据级权限的解决方案,这也是我给一个德国大型跨国企业客户实施其BI项目中,对方非常重视的一个功能。这里先简单介绍下这个客户和项目,出于保密要求,我把该客户叫做Customer S(简称CS,呵呵,不是那个游戏哦)。 CS项目前端采用Sharepoint,后台采用SQL Server,主要分析客户S的销售数据。CS的组织结构分为部门、区域;部门和区域是相互交叉的;某个部门的总部人员能够看到全国所有区域的数据;而区域员工则只能看到该区域的数据了。用户能够查看的数据权限,需要在网页上可以进行配置。这就是客户对数据级权限的要求。 针对这些需求,数据级权限解决方案采用如下架构: 报表查看流程说明: 用户查看报表
Windows下NTFS权限设置详解
一. 只有磁盘的文件系统是NTFS,才能设置权限的.如何查看呢?在我的电脑里,右击你要查看的磁盘,点属性,在常规里面 可以查看文件系统,有些是NTFS的,有些是FAT32的,有些是FAT的. 二. 以管理员身份登陆,注意,这是一个要点.只有以管理员身份登陆,才能进行权限设置的.打开我的电脑,点工具,文件夹选 项,查看,在高级设置里,找到使用简单文件共享(推荐),把前面的勾去掉.点确定. 三. 经过第二步的设置,我们在NTFS文件系统的磁盘,随便找一个文件或者文件夹右击.会看到有一个安全选项.如果没有第二步的设置,则这个选项是不会有的.另外,在XP HOME版的系统里,一般也不会有安全选项的.但对于XP HOME版的系统,我们可以在命令行下进行设置的.为了讲解的方便,我们这里以在D盘新建一个文件夹为例.
四. 在安全选项里面,我们可以看到组或用户名称里面有很多的用户名.这里面我们以everyone为例进行讲解.权限设置存在着诸多的复杂性的.各用户组的权限是相互关联的.我们只取everone进行设置,是为了简化.我们先在组或用户名称里面找到everone用户组.但是,有可能在这里找不到这个用户组,怎么办呢?点添加. 再点高级. 再点立即查找 找到Everone点一下选定.点确定.再在选择用户或组中点确定
这样我们就成功地在组或者用户名称里面添加了evervone用户组.点一下选定. 然后在完全拒绝上打上勾. 点应用.在弹出的安全对话框里点是.
然后我们退出权限设置的界面,双击这个文件夹.会有一个对话框弹出. 我们可以看到,这个文件我们已经无法访问了. 然后我们重新进入权限设置的界面,也就是右击这个文件夹.点属性,安全,选定everyone,把完全控制选项打上勾.点应用. 我们再双击这个文件夹.我们会发现,文件夹被成功打开. 特别说明一下,只要把everyone设置为完全拒绝,则所有的用户都是不能访问的,包括具有最高权限的系统用户也不能访问.但是,特殊的软件可以突破这种权限,比如冰刃.如果把everyone设置为完全控制,则所有用户都将能够完全访问,这样是很危险的.权限究竟如何设置合理,本文不作探讨.本文主要的是教人如何设置权限. 四. 然则有些文件夹或者文件,当我们点属性,安全,会弹出一个对话框. 点确定.我们会发现,前面我们所教的权限设置的办法无法操作.组或用户名称里面是空的.有些也不是空的.但是,里面的用
NTFS权限设置
NTFS权限设置 定义:NTFS权限设置就是将某个文件或文件夹赋予用户怎样的权限,包括设置文件、文件夹的权限,删除继承权限,设置NTFS特殊权限。 设置文件夹的NTFS权限 1、在“我的电脑”中双击C盘,右击DA TA文件夹,打开“DATA属性”对话框,选择“安 全”标签。 2、单击“添加”按钮,弹出“选择用户、计算机或组”对话框。在“输入对象名称来选择” 列表框中输入USER1,单击“确定”按钮;在权限列表中单击“修改”项的“允许”,单击“确定”。
设置文件的NTFS权限 (1)单击“开始”中的“资源管理器”,右击C:\data\EXAM.TXT中的属性,选择“安全”标签,打开文件的安全属性对话框。 (2)单击“高级”按钮,弹出“EXAM。TXT的高级安全设置”对话框,选择“权限”标签,单击“添加”按钮。
(3)弹出“选择用户、计算机或组”对话框,在“输入对象名称来选择”列表中输入用户“黄河”,单击“确定”按钮;如图所示,在权限列表中单击“写入”项 的“允许”,单击“确定”按钮。 3、删除继承权限 默认情况下,用户为某文件夹指定的权限会被该文件夹所包含的子文件夹和文件继承。 当用户修改了一个文件夹的NTFS安全权限时,不仅改变了该文件夹的权限,也同时改变了该文件夹包含的子文件夹和文件的权限。如果文件夹不想继承父文件夹的权限,可以通过取消选中“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”复选框,来阻止来自父文件夹的权限继承,然后就可以对该文件或文件夹
重新设置权限。 (1)单击图对话框中“高级”按钮,弹出“EXAM。TXT的高级安全设置”对话框,取消选中“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明 确定义的项目。”复选框,如图所示。 (2)弹出“安全”对话框,如图所示;“复制”按钮表示保留从父文件夹继承来的权限,“删除”按钮表示去掉从父文件夹继承来的权限,单击“删除”按钮。
数据库权限分配
管理软件中的用户权限分配权限的分配是所有管理软件中必不可少的部分,其实现的方式主要有两大类,以下做出简单的介绍。 1.基于角色管理的系统访问控制 MIS(管理信息系统)中包括信息量巨大以及不同程度的信息敏感度,各种有访问需求的用户,使得其安全管理非常复杂。基于角色的系统安全控制模型是目前国际上流行的先进的安全管理控制方法。其特点是通过分配和取消角色来完成用户权限的授予和取消。安全管理人员根据需要定义各种角色,并设置合适的访问权限,而用户根据其责任和资历再被指派为不同的角色。这样,整个访问控制过程就分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离,如下图所示,角色可以看成是一个表达访问控控制策略的语义结构,它可以表示承担特定工作的资格。 例: 这种控制模式下DBMS会根据不同users所属的role不同来做权限的验证,每个role具有其特定的权限,然后再配合一定的程序来控制user在用户界面中的操作权限。 连接数据库的字符串示例: CString DataBaseName=_T("MFTDMA"); CString DataBaseServer=_T("PC-20090727OAEE"); CString temp=_T("Provider=SQLOLEDB;Server=")+DataBaseServer+_T(";Database=")+ DataBaseName+_T(";uid="); temp.Append(name);
temp.Append(_T(";pwd=")); temp.Append(pwd); temp.Append(_T(";")); 优点:是主流的安全管理控制方式,代码中不会泄露数据库的连接用户及其密码,有很好的安全性,并可以一定程度上防止SQL注入攻击,权限体系的结构明晰,不容易混淆。适用于权限层次比较复杂的系统。 缺点:配置权限到角色的工作比较复杂,需要对每个角色的权限有清晰的了解并精确的在DBMS中建立权限分配及约束。此外在用户登录验证时需要一定的处理来避免权限分配的冲突。 2.编程实现系统访问控制 基于角色管理的系统访问控制是通过DBMS和一定程序控制来实现用户的权限控制,此外也可以完全利用程序代码来实现权限的控制,其基本的思想是:在数据库连接时使用一个统一的数据库用户(以下称为DBUSER)和密码,DBUSER拥有数据库的操作权限(包括增加、删除、修改、更新、查询等)。在应用程序的用户(以下称为PUSER)登录时使用DBUSER连接数据库并查询该PUSER的权限,再根据PUSER的权限信息通过编写控制程序来实现其所能进行的操作。 例:建立如下图的用户表 在用户登录时查询用户表里的信息验证用户输入的用户名和密码,验证成功后记录该用户的用户类型以此来控制该用户所能进行的操作。 连接数据的字符串示例: Provider=SQLOLEDB.1;Server=PC-20090727OAEE;Database=ABC; uid=sa; pwd=330330; 优点:实现比较简单,由于是利用程序做权限控制所以有一定的灵活性,适合用于权限层次结构比较简单的系统。 缺点:在代码中会出现连接数据库的用户名及其密码,如果被反编译则会让破坏者取得访问数据库的权限。
主流BI工具如何设置访问内容的权限
描述 访问BI分析模板内容的权限是指不同用户在使用同一张数据表中的字段进行数据分析时可使用的数据不同,最后导致看到的即时分析内容也不一样的效果,比如说员工的工资表,管理员创建工资表模板,将所有员工的工资信息都添加进去,但是在公司员工用自己的账号登录公司系统时却只能看到自己的工资信息,这就是控制访问模板内容的权限,是根据登录用户控制模板的访问权限。 1.示例 在主流BI工具FineBI即时分析中用表格组件展现了各个员工的工资信息,当前用户只能看到自己的工资信息。 2.数据准备 在主流BI工具FineBI的数据库中新建一张表test,表中包含有2个字段,用户名和工资,如下图: 注:表中的用户名字段中的数据应该来自于服务器数据集中的用户信息表中的uesrname字段。
3.用管理员账号登录主流BI工具FineBI的数据决策系统,点击数据配置>业务包管理,为BIDemo业务包添加一个数据表,即上面新建的数据表,如下图: 具体的数据表添加方式请查看主流BI工具FineBI的数据表的添加与删除。 4.登录用户名所在字段配置 登录用户名所在字段配置是指将主流BI工具FineBI系统的登录用户与该用户名所在字段建立联系起来,以便于对用户进行权限控制,点击管理系统>BI数据配置>权限配置管理,如下图:
5.点击请选择选择用户名所在字段,页面会跳转到主流BI工具FineBI的数据表选择界面,由于前面的配置用户同步数据集时,使用的是服务器数据集,所以可以设置为用户名所在字段的可以是服务器数据集staff,也可以是staff数据集的数据来源表,这里选择服务器数据集staff,与同步数据集保持一致。如下图:
NTFS文件夹权限使用说明
NTFS文件夹权限使用说明 访问权限严格设置 为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。下面笔者就以“CCE”共享文件夹为例,介绍如何合理设置“cceuser”用户对“CCE”共享文件夹的访问权限,以此来增强共享文件夹的安全。 1、共享权限设置 在资源管理器中,右键点击“CCE”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“CCE的权限”设置对话框,点击“添加”按钮,将“cceuser ”账号添加到“组或用户名称”列表框内,这里“cceuser”账号对“CCE”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。 2、NTFS访问权限设置 以上只是设置了“CCE”共享文件夹的共享访问权限,毕竟“CCE”共享文件夹是受“共享访问权限”和“NTFS 访问权限”双重制约的,如果NTFS文件系统不允许“cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的NTFS访问权限。 在“CCE”共享文件属性对话框中切换到“安全”标签页后,首先将“cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“cceuser”账号后,在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击“确定”按钮。 经过以上操作后,就完成了“CCE”共享文件夹的“cceuser”用户的访问权限设置,其它用户的共享文件夹访问权限设置方法是相同的,就不再赘述。 磁盘管理合理配制 由于共享文件夹中存在着大量的共享资源,因此它要占用一定的硬盘空间。某些有写入权限的用户,任意上传大量与工作无关的文件,不但浪费磁盘资源,而且还容易被感染病毒,因此共享文件夹毫无节制的占用硬盘空间资源,也会带来意想不到的安全隐患,必须进行限制。 1、磁盘配额,限制用户 Windows系统提供的“磁盘配额”功能,可以对每位Windows用户使用的硬盘空间资源进行限制,这样就可以间接的起到控制共享文件夹容量大小的作用。 还是以“CCE”共享文件夹和“cceuser”用户为例,这里“CCE”共享文件夹位于D盘中,下面就要启用D盘中的“磁盘配额”功能,指定“cceuser”用户可以使用的硬盘空间数。
4.NTFS权限案例
NTFS权限案例 实验背景 BENET公司网络环境为域,公司要求所有员工把重要的文件放置到文件服务器上。文件服务器的要求创建以下结构 销售部工程部财务部行政部人事部公共资料 小李专用财务经理专用 小赵专用会计小王专用 实验目标 1 以域管理员身份在文件服务器上按照如上结构创建相关文件夹。保证 每个部门的员工只能访问到自己文件夹的内容,例如销售部小李可以读取销售部文件夹小李专用内容,但却无法读工程部文件夹的内容。 每个部门的员工都可以在自己文件夹下创建任何新文件和文件夹,并能重命名为我的日报告可以读取本部门其他用户的文件夹内容,但不能修改,不可以删除已经创建了的文件 所有部门员工都可以访问公共资料文件夹,在公共资料文件下,同样不可以删除文件。 财务经理专用子文件夹只有财务经理可以访问,并在其中创建文件,其他任何用户帐号不可访问 会计小王专用子文件夹只有会计小王可以访问,并在其中创建文件,其他任何用户帐号不可访问 2公司财务部的会计小王离职,网络管理员删除了他的用户帐号,不久发现文件服务器上某些重要文件连管理员帐号都没有NTFS权限。网络管理员如何能访问该文件夹下的内容,并且可以给其他新会计设置该文件夹权限。 3销售部的小李从文件服务器上的公共资料的文件夹中复制了一个文件到销售部小李自己的文件夹中,保证可以成功复制,销售部其他员工是否可以读这个文件。 销售部的小李又想从文件服务器上的公共资料的文件夹中剪切一个文件到销售部的文件夹中,保证不可以剪切。 实验环境 1 一人一组 2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机) 3 实验网络为192.168.8.0/24 4 保证有至少一个NTFS分区
NTFS权限实验+步骤
实验四NTFS权限 实验背景 某公司网络环境为域,公司要求所有员工把重要的文件放置到文件服务器上。文件服务器的要求创建以下结构 销售部工程部财务部行政部人事部公共资料 小李专用财务经理专用 小赵专用会计小王专用 实验目标 1 以域管理员身份在文件服务器上按照如上结构创建相关文件夹。保证每个部门的员工只能访问到自己文件夹的内容,例如销售部小李可以读取销售部文件夹小李专用内容,但却无法读工程部文件夹的内容。 每个部门的员工都可以在自己文件夹下创建任何新文件和文件夹,并能重命名为我的日报告可以读取本部门其他用户的文件夹内容,但不能修改,不可以删除已经创建了的文件 所有部门员工都可以访问公共资料文件夹,在公共资料文件下,同样不可以删除文件。 财务经理专用子文件夹只有财务经理可以访问,并在其中创建文件,其他任何用户帐号不可访问会计小王专用子文件夹只有会计小王可以访问,并在其中创建文件,其他任何用户帐号不可访问 2公司财务部的会计小王离职,网络管理员删除了他的用户帐号,不久发现文件服务器上某些重要文件连管理员帐号都没有NTFS权限。网络管理员如何能访问该文件夹下的内容,并且可以给其他新会计设置该文件夹权限。 3销售部的小李从文件服务器上的公共资料的文件夹中复制了一个文件到销售部小李自己的文件夹中,保证可以成功复制,销售部其他员工是否可以读这个文件。 销售部的小李又想从文件服务器上的公共资料的文件夹中剪切一个文件到销售部的文件夹中,保证不可以剪切。 实验环境 1 一人一组 2 准备两台Windows Server 2003虚拟机(一台DC,一台成员主机) 3 实验网络为192.168.8.0/24 4 保证有至少一个NTFS分区