2009/09/12

file permissions in Windows NTFS

1.Windows檔案權限由來
Windows系統自NT 3.1開始發布專屬檔案系統「NTFS」,兼具安全性與容錯機制。NT 4.0時該檔案系統漸趨成熟。

2.Windows權限說明
除應有的基本讀寫修改權限外,尚有許多進階權限如下:

I.周遊資料夾/執行檔案:「周遊資料夾」可允許或拒絕在資料間移動,以存取其他檔案資料夾,即使使用者沒有周遊權限亦可使用(僅套用至資料夾)。只有未在「群組原則」中給使用者「略過周遊檢查」時才為有效動作。
II.列出資料夾/讀取資料:允許或拒絕檢視資料夾內檔案名稱及子資料夾名稱;若以檔案為單位則是允許或拒絕讀取檔案內資料。
III.讀取屬性:允許或拒絕讀取檔案或資料夾的屬性,如唯讀、隱藏等。
IV.讀取擴充屬性:允許或拒絕讀取檔案或資料夾的擴充屬性,由應用程式定義。
V.建立檔案/寫入檔案:資料夾為單位時,允許或拒絕建立檔案;以檔案為單位時,允許或拒絕變更檔案或覆寫現有資料。
VI.建立資料夾/附加資料:資料夾為單位時,允許或拒絕建立資料夾於其中;檔案為單位時,允許或拒絕變更檔案結尾,但不變更、刪寫現有資料。
VII.寫入屬性:允許或拒絕變更檔案或資料夾的屬性,由檔案系統所定義。
VIII.寫入擴充屬性:允許或拒絕變更檔案或資料夾的擴充屬性,由應用程式定義。
IX.刪除子資料夾及檔案:允許或拒絕刪除子資料夾及檔案,即使該檔案資料夾未取得「刪除」權限亦可執行。
X.刪除:允許或拒絕刪除檔案或資料夾,若未有刪除權限,但已在上層資料夾取得「刪除子資料夾與檔案」權限,亦可執行。
XI.讀取權限:允許或拒絕讀取檔案或資料夾使用權限,例如完全控制、讀寫等。
XII.變更使用權限:允許或拒絕變更檔案或資料夾使用權限,例如完全控制、讀寫等。
XIII.取得擁有權:允許或拒絕取得檔案或資料夾的擁有權,無論檔案或資料夾權限為何,擁有者皆可隨時變更使用權限。

擴充屬性:為檔案所用於的應用程式寫入相關資訊等,如作者、版本等。

3.權限與檔案處理關係
繼承

I.權限不相衝設定:

      根目錄:Administrators – 完全控制
                          Users – 列出資料夾/讀取資料
         Pub:繼承
 User1目錄:繼承、user1完全控制
 User2目錄:繼承、user2完全控制

II.權限相衝設定:

     根目錄:Administrators – 完全控制
                                 Users – 列出資料夾/讀取資料
        Pub:繼承
User1目錄:繼承、user1完全控制、user2全拒絕
User2目錄:繼承、user2完全控制、user1全拒絕


Users仍可互相進入資料夾,可讀取檔案資料夾清單,但無法讀取檔案內容。

不繼承

I.權限不相衝設定:

     根目錄:Administrators – 完全控制
                                 Users – 列出資料夾/讀取資料
        Pub:繼承
User1目錄:不繼承、user1完全控制
User2目錄:不繼承、user2完全控制


II.權限相衝設定:

     根目錄:Administrators – 完全控制
                                  Users – 列出資料夾/讀取資料
        Pub:繼承
User1目錄:不繼承,移除父系資料夾權限、user1完全控制、user2全拒絕
User2目錄:不繼承,移除父系資料夾權限、user2完全控制、user1全拒絕




Users僅能讀取資料夾名稱,無法進入資料夾(實務使用)。

4.特殊權限
特殊權限主要為減輕管理者負擔,包含多種系統管理權限控制,如備份、載入驅動程式、關機等。

0 Comments:

張貼留言