NTFS权限只能应用于NTFS分区中,分区、文件夹、文件均可设计NTFS权限。
下图1为Temp文件夹NTFS“标准安全页”属性,从图中可以知道Administrators这个组对Temp这个文件夹有允许操作的完全控制权限。
在“用户控制列表区域”单击其他组或者用户,则会在下面的“权限控制列表区域”列出其相应的权限。
单击“高级”则进入“高级安全页”属性,则会有更加精细的权限设计。如图2
NTFS的几个特点:
1. 默认情况下,权限都是向下继承的。
也就是一个NTFS分区内的所有文件夹和文件权限都从分区的权限继承的。如图1,权限控制列表区域为灰色不可操作说明权限继承于上层。要想修改成可操作状态必须先打破继承,接下来的内容会具体提到。
2. 在XP、2003中,新格式化成NTFS的分区默认情况下Users组成员有追加文件/文件夹的权限。在做文件服务器时需要谨慎该默认权限,通过高级属性可以看到。
3. 当一个用户属于多个组,并且文件/文件夹赋予这些组不同的权限,那么用户得到的最终权限是这些组权限的累加。
4. 在做共享文件时,共享与安全中的权限取两者交集部分。
5. 拒绝权最优先。
图1
图2
基础知识就复习到这,下面来动手演练演练。
预定义环境如下:
1)环境为域环境,所有GS开头的组为活动目录全局——安全组。
2)所有设计均是在NTFS默认条件下进行。
3)共享权限均设置为Everyone允许完全控制。
4)所有设计都必须保留管理员管理权限。
5)顶层Department设置为Everyone只读权限。
一、Department为共享目录,其他文件层次如下图
要求:最小化管理操作。
允许Acc部门所有成员(GS-ACC-All)访问ACC文件夹、子文件夹及子文件;
允许Admin部门所有成员(GS-Admin-All)可以访问Admin文件夹、子文件夹及子文件。
权限设计过程:
1.1 对ACC文件夹的操作
a) 先打破父权限继承——在安全的高级属性中取消来自父权限的继承,注意,这里会有提示“是否复制父权限到这个文件夹”,选择复制,以防止所有用户都无法访问该文件夹,单击确定回到标准安全页面。后续将不再赘述打破继承的过程。
b)删除Administrators、System、Creator Owner以外的所有组和用户权限.
最好不要随便删除这三个组的默认权限,Administrators提供管理,SYSTEM与EFS加密有关,并且如果删除SYSTEM还会影响到权限的向下继承,需要强制向下层下发权限,Creator Owner是个非常有用的特殊组,后续的设计中会利用到。
c) 添加GS-ACC-All组允许“读取和运行”、“列出文件夹目录”、“读取”的权限。
d) 默认下层子文件夹\文件会继承ACC目录权限,无需设计。
1.2 对Admin文件夹的操作
参考上述操作,将最后一步改成添加GS-Admin-All组即可。
二、Department为共享目录,其他文件层次如下图
要求:最小化管理操作。
允许Acc部门所有成员(GS-ACC-All)读取ACC文件夹、子文件夹及子文件
允许ACC部门经理(GS-ACC-Mgr)可以修改Admin文件夹、子文件夹及子文件。
权限设计过程:
2.1 对ACC文件夹的操作
前面部分参考1.1操作,再加上GS-ACC-Mgr组允许“修改”权限即可。
三、Department为共享目录,其他文件层次如下图
要求:最小化管理操作。
允许Admin部门所有成员(GS-Admin-All)可以修改Admin文件夹、子文件夹(经理的除外)及子文件;
允许Admin经理级成员(GS-Admin-Mgr)可以修改Admin\Manager文件夹、子文件夹及子文件;
允许公司所有成员(GS-All-Member)访问Admin\Manager\公司组织图,但不能访问Admin\Manager下面其他文件;
允许公司所有成员访问Admin\Notice公告文件,但不能访问Admin下面其他文件。
权限设计过程:
3.1 对Admin文件夹的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-Admin-All对Admin文件夹允许“修改”权限;
4)添加GS-All-Member对Admin文件夹仅允许“列出文件夹目录”。“列出文件夹目录”只对文件夹生效,对文件无效,使得GS-All-Member成员可以穿透到Admin下层目录,而又不能访问Admin下层的文件。
至此Admin文件夹设置完毕。
3.2 对Manager文件夹的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-Admin-Mgr对Manager文件夹允许“修改”权限;
d) 添加GS-All-Member对Manager文件夹仅允许“列出文件夹目录”。穿透效果。
至此Manager文件夹设置完毕。
3.3 对Notice文件夹的设计
a) 在默认的基础上添加GS-All-Member对Notice文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。
3.4 对公司组织图的设计
a) 在默认的基础上添加GS-All-Member对公司组织图文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。
四、Department为共享目录,其他文件层次如下图
要求:最小化管理操作。
允许Admin部门所有成员(GS-Admin-All)可以在Admin\Report下面创建以各自名字命名的文件夹,不允许创建乱七八糟的文件;
各用户之间的文件只允许自己可以访问、修改,其他用户不可访问;
权限设计过程:
4.1 对Admin文件夹的设计
参考3.1过程。
4.2 对Report文件夹的设计
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-All-Member对Report文件夹仅允许“列出文件夹目录”。
d) 进入Report的“高级”安全页中,单击“添加”,在空白处输入“GS-Admin-All”组名,单击“确定”,弹出“Report权限项目”,在“应用到”选择范围为“该文件夹”,单击下面的清除按钮,清除掉所有默认设置权限,只勾上允许“创建文件夹/附加数据”。然后一步步确定即可。
这个权限设计主要是用到了用户自身权限(仅可以创建文件夹)+Creator Owner(完全控制)组合,当用户创建了文件夹之后,他就是这个文件夹本身的创建者,那么他最终的权限就升级到了“完全控制”。
这个设计的难点在于Report文件夹下的用户文件夹名字未知,要去实现未知文件夹的权限隔离。
五、Department为共享目录,其他文件层次如下图
你刚搭建好一台文件服务器给各部门使用,要求设计初始权限;
要求:最小化管理操作。
所有部门的部门文件夹必须统一放在Department下,并且以部门命名;
Department下只允许IT部门新建文件夹、修改文件夹名字,但不可以创建文件;
其他任何人不得修改Department下文件夹名字,不得删除Department下面的文件夹;
部门文件夹只允许各部门成员访问;
各部门经理有对自己部门所有文件的完全控制权限。
权限设计过程:
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-All-Member对Department文件夹仅允许“读取和运行”、“列出文件夹目录”、“读取”的权限;
d) 先添加一条GS-IT-All对Department的修改权限;然后进入高级再添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限;
至此Department设计完毕。
5.2 对Department下部门文件夹的设计(以ACC为例)
a) 先打破父权限继承;
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限;
c) 添加GS-ACC-All对Acc文件夹允许“读取和运行”、“列出文件夹目录”、“读取”的权限;
d) 添加GS-ACC-Mgr对Acc文件夹允许“完全控制”的权限;
e) 进入高级安全页添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限和拒绝“删除”的权限。
至此,ACC文件夹设置完毕。
5.3 其他部门文件夹可参考ACC来做。
以上NTFS权限设计均是我工作碰到的一些实际需求,只要大家对NTFS掌握比较深入(高级特性中的每个权限细节以及特殊的组),应该都不难解决。
本文转自yangye1985 51CTO博客,原文链接:http://blog.51cto.com/yangye/633013,如需转载请自行联系原作者
