NTFS权限设计从入门到精通

NTFS权限只能应用于NTFS分区中，分区、文件夹、文件均可设计NTFS权限。

下图1为Temp文件夹NTFS“标准安全页”属性，从图中可以知道Administrators这个组对Temp这个文件夹有允许操作的完全控制权限。

在“用户控制列表区域”单击其他组或者用户，则会在下面的“权限控制列表区域”列出其相应的权限。

单击“高级”则进入“高级安全页”属性，则会有更加精细的权限设计。如图2

NTFS的几个特点：

1. 默认情况下，权限都是向下继承的。

也就是一个NTFS分区内的所有文件夹和文件权限都从分区的权限继承的。如图1，权限控制列表区域为灰色不可操作说明权限继承于上层。要想修改成可操作状态必须先打破继承，接下来的内容会具体提到。

2. 在XP、2003中，新格式化成NTFS的分区默认情况下Users组成员有追加文件/文件夹的权限。在做文件服务器时需要谨慎该默认权限，通过高级属性可以看到。

3. 当一个用户属于多个组，并且文件/文件夹赋予这些组不同的权限，那么用户得到的最终权限是这些组权限的累加。

4. 在做共享文件时，共享与安全中的权限取两者交集部分。

5. 拒绝权最优先。

图1

 图2

基础知识就复习到这，下面来动手演练演练。

预定义环境如下：

1）环境为域环境，所有GS开头的组为活动目录全局——安全组。

2）所有设计均是在NTFS默认条件下进行。

3）共享权限均设置为Everyone允许完全控制。

4）所有设计都必须保留管理员管理权限。

5）顶层Department设置为Everyone只读权限。

一、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。

允许Acc部门所有成员（GS-ACC-All）访问ACC文件夹、子文件夹及子文件；

允许Admin部门所有成员（GS-Admin-All）可以访问Admin文件夹、子文件夹及子文件。

权限设计过程：

1.1 对ACC文件夹的操作

a) 先打破父权限继承——在安全的高级属性中取消来自父权限的继承，注意，这里会有提示“是否复制父权限到这个文件夹”，选择复制，以防止所有用户都无法访问该文件夹，单击确定回到标准安全页面。后续将不再赘述打破继承的过程。

b）删除Administrators、System、Creator Owner以外的所有组和用户权限.

最好不要随便删除这三个组的默认权限，Administrators提供管理，SYSTEM与EFS加密有关，并且如果删除SYSTEM还会影响到权限的向下继承，需要强制向下层下发权限，Creator Owner是个非常有用的特殊组，后续的设计中会利用到。

c) 添加GS-ACC-All组允许“读取和运行”、“列出文件夹目录”、“读取”的权限。

d) 默认下层子文件夹\文件会继承ACC目录权限，无需设计。

1.2 对Admin文件夹的操作

参考上述操作，将最后一步改成添加GS-Admin-All组即可。

二、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。

允许Acc部门所有成员（GS-ACC-All）读取ACC文件夹、子文件夹及子文件

允许ACC部门经理（GS-ACC-Mgr）可以修改Admin文件夹、子文件夹及子文件。

权限设计过程：

2.1 对ACC文件夹的操作

前面部分参考1.1操作，再加上GS-ACC-Mgr组允许“修改”权限即可。

三、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。

允许Admin部门所有成员（GS-Admin-All）可以修改Admin文件夹、子文件夹（经理的除外）及子文件；

允许Admin经理级成员（GS-Admin-Mgr）可以修改Admin\Manager文件夹、子文件夹及子文件；

允许公司所有成员(GS-All-Member)访问Admin\Manager\公司组织图，但不能访问Admin\Manager下面其他文件；

允