NTFS权限基本策略和原则

NTFS权限设置定义：NTFS权限设置就是将某个文件或文件夹赋予用户怎样的权限，包括设置文件、文件夹的权限，删除继承权限，设置NTFS特殊权限。

设置文件夹的NTFS权限1、在“我的电脑”中双击C盘，右击DA TA文件夹，打开“DATA属性”对话框，选择“安全”标签。

2、单击“添加”按钮，弹出“选择用户、计算机或组”对话框。

在“输入对象名称来选择”列表框中输入USER1，单击“确定”按钮；在权限列表中单击“修改”项的“允许”，单击“确定”。

设置文件的NTFS权限（1）单击“开始”中的“资源管理器”，右击C:\data\EXAM.TXT中的属性，选择“安全”标签，打开文件的安全属性对话框。

（2）单击“高级”按钮，弹出“EXAM。

TXT的高级安全设置”对话框，选择“权限”标签，单击“添加”按钮。

（3）弹出“选择用户、计算机或组”对话框，在“输入对象名称来选择”列表中输入用户“黄河”，单击“确定”按钮；如图所示，在权限列表中单击“写入”项的“允许”，单击“确定”按钮。

3、删除继承权限默认情况下，用户为某文件夹指定的权限会被该文件夹所包含的子文件夹和文件继承。

当用户修改了一个文件夹的NTFS安全权限时，不仅改变了该文件夹的权限，也同时改变了该文件夹包含的子文件夹和文件的权限。

如果文件夹不想继承父文件夹的权限，可以通过取消选中“允许父项的继承权限传播到该对象和所有子对象。

包括那些在此明确定义的项目”复选框，来阻止来自父文件夹的权限继承，然后就可以对该文件或文件夹重新设置权限。

（1）单击图对话框中“高级”按钮，弹出“EXAM。

TXT的高级安全设置”对话框，取消选中“允许父项的继承权限传播到该对象和所有子对象。

包括那些在此明确定义的项目。

”复选框，如图所示。

（2）弹出“安全”对话框，如图所示；“复制”按钮表示保留从父文件夹继承来的权限，“删除”按钮表示去掉从父文件夹继承来的权限，单击“删除”按钮。

在特殊权限中比较难以理解的是更改权限和获取所有权。

昨天笔者因为病毒的原因重装了XP，但重装后发现“我的文档”中的一些文件打不开，老提示拒绝访问。

XP原来是装在C盘，而“我的文档”在原来的XP系统中是调整到了D盘的一个文件夹，当时这样做的目的是为了避免重装系统时忘记备份，将我的文档中的内容格式化掉。

记得原来在单位用电脑时也遇到过类似的情况，只是当时没什么重要文件，也就没有想办法解决这个问题。

可现在情况不一样了，那里面有许多重要的文件，而且当时将这个文件设为专用了，这可能是造成“拒绝访问”的原因。

查看了一下，果然不只“我的文档”中的一些文件，以前设为专用的一些文件夹都拒绝访问，推断是由于同一原因。

是不是再新建一个同样名称的用户就能访问呢？经试验，也不行，因为在XP中，每个用户都有一个唯一的SID。

于是在网上搜索了一下，原来有许多朋友也遇到过这种问题，而且也有许多热心的朋友提供了多种解决的办法。

经参考各路豪杰提供的绝招之后，又经过实践，终于总结出解决此类问题的一个良方，发在这里贡献给各位，希望对遇到同类问题的朋友有帮助。

闲言少叙，下面介绍具体解决方法。

1、以具有管理员权限的用户登录XP，在XP中打开资源管理器，选择菜单“工具|文件夹选项”，打开“文件夹选项”对话框。

在对话框中单击“查看”选项卡，取消复选框“使用简单共享”。

图1 取消“使用简单共享”2、右键单击原来设为专用的文件夹，如“i386-sp2”，从弹出菜单中选择“属性”，这时会看到在对话框中多出一个“安全”选项卡。

可以看到这里有一个未知帐户，这应该就是原来XP系统中的那个帐户吧。

这个帐户是能够访问该文件夹的，可问题是我们现在已经不能使用这个帐户。

所以要另想办法。

图2 安全选项卡3、单击图2所示对话框中的“高级”按钮，弹出“i386-sp2的高级安全设置”对话框，显示目前该项目的所有者为刚才看到的未知帐户。

选择“将所有者更改为”下方的用户，比如笔者现在使用的用户名称，然后单击“应用”按钮，所有者就改变为现在用户了，如图3所示。

NTFS的权限NTFS（New Technology File System）是Windows操作系统中常用的文件系统之一。

它提供了一种可靠的方式来管理计算机上的文件和文件夹。

除了文件和文件夹的管理之外，NTFS还提供了强大的权限控制功能，允许系统管理员对不同用户或用户组的访问权限进行精细调整。

权限是指操作系统为每个用户或用户组分配的特定访问权限。

这些权限可以控制用户对文件和文件夹的读取、写入、修改、删除等操作，以确保数据的安全性和整体的系统稳定性。

一、权限类型NTFS的权限主要分为以下几种类型：1. 文件权限：用于控制对单个文件的访问权限。

2. 文件夹权限：用于控制对整个文件夹及其内部文件的访问权限。

3. 共享权限：用于控制共享文件夹对网络用户的访问权限。

二、权限级别NTFS的权限级别主要有以下几个：1. 完全控制：允许用户对文件或文件夹进行任何操作，包括读取、修改、删除等。

2. 读取与执行：允许用户查看文件内容和执行可执行文件。

3. 读取：允许用户查看文件内容但不允许对文件进行修改或删除。

4. 写入：允许用户对文件进行写入操作，但不允许对文件进行修改或删除。

5. 修改：允许用户修改文件内容，但不允许删除文件或对文件进行重命名。

三、权限分配权限的分配是通过ACL（Access Control List，访问控制列表）实现的。

ACL是一种数据结构，它存储了访问权限的信息。

每个文件和文件夹都有一个ACL，其中包含了多个访问控制条目（ACE，Access Control Entry）。

每个ACE定义了一个用户或用户组和对应的访问权限。

权限分配的方式主要有以下几种：1. 继承权限：当创建一个新文件夹时，默认会继承父文件夹的权限设置。

这意味着子文件夹和文件的权限会自动与父文件夹保持一致。

如果需要单独设置子文件夹或文件的权限，可以手动取消继承。

2. 显式权限：显式权限是直接为文件或文件夹设置的权限。

与继承权限不同，显式权限只适用于当前对象，不会影响到子文件夹和文件。

第八章管理NTFS权限8.1 什么是权限 (2)8.2 安全标识符、访问控制列表、安全主体 (3)8.3共享权限、NTFS权限 (5)8.4 权限的四项基本原则 (12)8.5 权限的委派 (21)8.6 作者的话 (27)128.1 什么是权限？我个人觉得有必要在讲NTFS 权限之前，先和大家探讨一下什么是权限！" 权限"(Permission)是针对资源而言的。

也就是说，设置权限只能是以资源为对象，即"设置某个文件夹有哪些用户可以拥有相应的权限"，而不能是以用户为主，即"设置某个用户可以对哪些资源拥有权限"。

这就意味着"权限"必须针对"资源"而言，脱离了资源去谈权限毫无意义──在提到权限的具体实施时，"某个资源"是必须存在的。

另外值得一提的就是很多人往往把“权利”和“权限”两个非常相似的概念搞混淆，这里做一下简单解释： 登录权利:决定了用户如何登录到计算机，如是否采用本地交互式登录、是否为网络登录等。

特权:是一系列权利的总称，这些权利主要用于帮助用户对系统进行管理，如是否允许用户安装或加载驱动程序等。

显然，权利与权限有本质上的区别。

8.2 安全标识符、访问控制列表、安全主体权利"(Right)主要是针对用户而言的。

"权利"通常包含"登录这里还有3个名词需要大家能够牢记，至于他们具体的意义如果你能够清楚的掌握，那么恭喜你，关于权限你已经基本掌握了一半了~O(∩_∩)O ~（1）安全标识符(Security Identifier, SID)安全标识符在Windows XP中，系统是通过SID对用户进行识别的，而不是很多用户认为的"用户名称"。

SID可以应用于系统内的所有用户、组、服务或计算机，因为SID是一个具有惟一性、绝对不会重复产生的数值，所以，在删除了一个账户(如名为"A"的账户)后，再次创建这个"A"账户时，前一个A 与后一个A账户的SID是不相同的。

administrator，用a1登录系统，检测对文件夹
win2003中，重新使用administrator登录系统，对文件夹abc，添加用户组
a1的”列出”权限保持不变
步骤五：在win2003中，注销administrator，用a1登录系统，检测文件夹abc的权限，是否是的权限+ work组的权限
也就是说：现在a1用户对文件夹abc的操作权限是”列出”+ ”读取”+ ”写入”
三、文件权限超越文件夹的权限
步骤三：在win2003中，注销administrator，用a1登录系统，检测对文件夹abc的权限，是否只有”列出文件夹目录”+“读取”，而“写入”权限被拒绝掉了？
指授予对某个文件夹的权限可传递到它的子文件夹和文件（包括以后新建的文件和文件夹）
观察子文件、文件、程序从abc继承来的权限，完全相同
步骤四：在文件夹abc里，新建文件或文件夹，同样从abc处继承权限，权限完全相同注意：可以拒绝继承上级权限，也可以强制下级继承权限
复制到文件夹2 里面，观察文件夹1的权限
磁盘分区之间进行移动操作时，文件或文件夹将继承目的文件夹的权限将文件或文件夹移动到非ntfs磁盘分区，文件或文件夹将丢失原有的权限
“写”权限，seller组对folder1文件夹有
复制：打断继承，但是会继承父亲当前的权限；以后父亲权限再发生变化，不会影响到自己
删除：打断继承，而且不从父亲那继承任何权限，完全删除以前继承的权限
提问1．为了防止数据和应用程序文件被意外删除或破坏，针对应用程序文件夹应为用户或组授予何种权限？
everyone用户配置“读取“权限
提问2．对于数据文件夹，要让用户能查看和修改其它用户建立的文件的能力，应用怎样为用户或组。

简述ntfs权限应用原则NTFS（New Technology File System）是Windows操作系统中使用的一种文件系统，它具有灵活、安全的权限管理机制。

在NTFS中，权限被分配给文件和文件夹，以控制用户或组对这些对象的访问和操作。

以下是NTFS权限应用的原则。

1. 最小权限原则最小权限原则是指在分配权限时，应该给予用户或组所需的最低权限，以避免不必要的风险和滥用。

例如，如果用户只需要读取文件的权限，就不应该给予他们写入或删除文件的权限。

2. 权限继承原则NTFS允许权限在文件夹层次结构中向下继承，这意味着在父文件夹上设置的权限也适用于子文件夹和文件。

这样可以简化权限管理，并确保子文件夹和文件的安全性与父文件夹的安全性保持一致。

3. 显式权限优先原则当给予用户或组显式权限时，这些权限将优先于继承的权限。

这意味着，如果在父文件夹上设置了读取权限，但在子文件夹上显式设置了拒绝访问权限，那么用户将无法访问该子文件夹，即使他们在父文件夹上具有读取权限。

4. 审计原则NTFS还提供了审计功能，可以记录对文件和文件夹的访问和操作，以便追踪和监控用户的行为。

审计可以帮助发现潜在的安全问题，并提供对安全事件的调查和响应。

5. 组织结构原则在分配权限时，应该根据组织结构进行合理的权限分配。

例如，可以根据部门或职位来创建组，并为这些组分配相应的权限。

这样可以简化权限管理，并确保只有需要访问特定文件或文件夹的人员才能获得相应的权限。

6. 定期审查原则权限管理是一个动态的过程，应该定期审查和更新权限设置。

这可以确保权限始终与实际需求保持一致，并防止权限滥用或过度授权。

7. 强密码策略原则除了NTFS权限，还应该采取强密码策略来保护用户帐户的安全。

强密码策略包括要求用户使用复杂的密码、定期更改密码，并限制密码的使用次数等。

NTFS权限应用的原则是基于最小权限、权限继承、显式权限优先、审计、组织结构、定期审查和强密码策略等。

操作系统]NTFS与FAT32的转换及磁盘文件格式介绍操作系统]NTFS与FAT32的转换及磁盘文件格式介绍这一段看到有几例用PQMagic转换分区出现文件名乱码的情况，因此我想简单介绍一下分区转换的技术及注意事项，并附一篇分区格式（主要是NTFS）的技术文章，以供参考。

现在主流的PC操作系统，其分区不外乎NTFS/FA T32两种主要形式（此处不涉及Linux 等），NTFS对于基于NT技术的2000/XP/2003等具有先天的优势，主要体现在性能、安全性、可靠性三个方面。

但是兼容性则不如FA T/FA T32，在系统出现故障或需要其他需要光盘、软盘启动时，FA T显然在大多数情况下是必然的选择。

因此，一般的分区格式划分，我建议C盘（主引导区）划为FA T32，其他分区皆可设置为NTFS，以获得最优化的性能。

下面简单说一下分区转换：1、FA T32->NTFS可以用PQMagic等工具，不过我强烈推荐Windows自带的转换命令：convert，这毕竟是ms自己提供的，绝对安全可靠，命令格式如下：D:\>convert /?将FA T 卷转换成NTFS。

CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]volume 指定驱动器号(后面跟一个冒号)、装载点或卷名。

/FS:NTFS 指定要被转换成NTFS 的卷。

/V 指定Convert 应该用详述模式运行。

/CvtArea:filename将根目录中的一个接续文件指定为NTFS 系统文件的占位符。

/NoSecurity 指定每个人都可以访问转换的文件和目录的安全设置。

/X 如果必要，先强行卸载卷。

该卷的所有打开的句柄则无效。

例如要转换D盘，只要在命令行输入：convert D: /FS:NTFS /X 即可，当然你也可以酌情选择其他参数。

转换可能需要重启。

详解NTFS文件夹权限使用推荐文章电脑修改最高的管理权限方法详解热度：win7系统怎么设置文件夹权限热度：win7系统文件夹权限怎么设置热度：win7怎么删除需要管理员权限的文件夹热度： win7文件夹权限怎么设置热度：欢迎大家来到，小编为大家介绍电脑相关知识，欢迎大家阅读学习。

访问权限严格设置为了保证Windows系统的安全稳定，很多用户都是使用NTFS文件系统，因此共享文件夹的访问权限不但受到“共享权限”限制，还受到 NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。

下面笔者就以“CCE”共享文件夹为例，介绍如何合理设置“cceuser”用户对“CCE”共享文件夹的访问权限，以此来增强共享文件夹的安全。

1、共享权限设置在资源管理器中，右键点击“CCE”共享文件夹，选择“属性”，切换到“共享”标签页，点击“权限”按钮，弹出“CCE的权限”设置对话框，点击“添加”按钮，将“cceuser ”账号添加到“组或用户名称”列表框内，这里“cceuser”账号对“CCE”共享文件夹要有读取和写入权限，因此笔者要给该账号赋予“完全控制”权限，最后点击“确定”按钮，完成共享权限设置。

2、NTFS访问权限设置以上只是设置了“CCE”共享文件夹的共享访问权限，毕竟“CCE”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的，如果NTFS文件系统不允许“cceuser”用户访问共享，也是不行的，并且还要给该账号设置合理的NTFS访问权限。

在“CCE”共享文件属性对话框中切换到“安全”标签页后，首先将“cceuser”账号添加到“组或用户名称”列表框中，接下来还要为该账号设置访问权限。

选中“cceuser”账号后，在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目，最后点击“确定”按钮。

经过以上操作后，就完成了“CCE”共享文件夹的“cceuser”用户的访问权限设置，其它用户的共享文件夹访问权限设置方法是相同的，就不再赘述。

[转]NTFS 权限详解NTFS权限是作为⼀个Windows管理员必备的知识，许多经验丰富的管理员都能够很熟悉地对⽂件、⽂件夹、注册表项等进⾏安全性的权限设置，包括完全控制、修改、只读等。

⽽谈论NTFS权限这个话题也算是⽼⽣常谈了，但是对于⼀些“新⼿”，还是会有⼀些不是⾮常清楚的地⽅，本⽂就针对NTFS权限的重点要素进⾏探讨，以给⼤家对于NTFS权限的内容有⼀个初步的了解。

【正⽂】⼀、 ⽤户和组权限设置必然涉及的三要素为访问者、权限、被访问的对象，那么我们⾸先来看⼀下“访问者”这⼀要素。

“访问者”其实就是我们常说的“⽤户和组”，⽤户是授予权限的最⼩单位，⽽组则可以看作是⽤户的集合，在Windows系统中，⽤户与组都是使⽤SID作为其唯⼀标识符，应⽤到NTFS权限上也是如此，实际上也是对这些SID进⾏权限的授予。

那么在这⾥我们先来了解⼀下在⼯作组环境中的Windows系统内置的⼀些具备特殊功能作⽤的⽤户和组。

⼆、 NTFS 权限NTFS权限是基于NTFS分区实现的，通过对⽤户或组授予NTFS权限可以有效地控制⽤户对⽂件和⽬录的访问。

对于NTFS磁盘分区上的每⼀个⽂件和⽂件夹，NTFS都存储了⼀个访问控制列表（ACL，Access Control Lists）。

ACL中包含有那些被授权访问该⽂件或者⽂件夹的所有⽤户账号、组和计算机，还包含他们被授予的访问类型。

为了让⼀个⽤户访问某个⽂件或⽂件夹，针对相应的⽤户账号、组，或者该⽤户所属的计算机，ACL中必须包含⼀个对应的⼊⼝，这样的⼊⼝叫做访问控制⼊⼝（ACE，Access Control Entries）。

为了让⽤户能够访问⽂件或者⽂件夹，访问控制⼊⼝必须具有⽤户所请求的访问类型。

如果ACL没有相应的ACE存在，Windows系统就拒绝该⽤户访问相应资源。

NTFS权限分为标准NTFS权限和特殊NTFS权限两⼤类。

标准NTFS权限可以说是特殊NTFS权限的特定组合。