【正文】 權(quán)限設(shè)置對于網(wǎng)絡(luò)安全更重要，而本節(jié)所要介紹的 NTFS訪問權(quán)限則對于各服務(wù)器和工作站的本地系統(tǒng)安全更為重要。但是共享文件夾的訪問權(quán)限與 NTFS文件訪問權(quán)限又不完全獨(dú)立的，在 NTFS文件格式磁盤中的共享文件夾中，兩個(gè)權(quán)限是相互影響的，這在上節(jié)已有說明。 在 FAT和 NTFS文件格式的文件夾中都可以設(shè)置共享權(quán)限，但只有 NTFS格式的文件夾可以配置 NTFS本地文件訪問權(quán)限。而且共享權(quán)限只能在文件夾中中配置，而 NTFS訪問權(quán)限卻可以同時(shí)在文件和文件夾中配置，如圖 64所示的是NTFS文件訪問權(quán)限的配置對話框；而如圖 65所示的是NTFS文件夾訪問權(quán)限配置對話框。 圖 64 文件屬性 “ 安全 “ 選項(xiàng)卡對話框 圖 65 文件夾屬性 “ 安全 ” 選項(xiàng)卡對話框 進(jìn)入的方法都是在相應(yīng)的文件或文件夾上單擊右鍵，然后選擇 “ 屬性 ” 選項(xiàng)，再在打開的對話框中選擇 “ 安全 ” 選項(xiàng)卡即可。對比兩個(gè)對話框可以看出，文件和文件夾的 NTFS訪問權(quán)限選項(xiàng)并不完全相同 NTFS訪問權(quán)限 NTFS文件夾訪問權(quán)限包括 “ 完全控制 ” 、 “ 修改 ” 、“ 讀取和運(yùn)行 ” 、 “ 列出文件夾目錄 ” 、 “ 讀取 ” 、 “ 寫入 ” 和 “ 特別權(quán)限 ” 共七項(xiàng)；而 NTFS文件訪問權(quán)限僅包括： “ 完全控制 ” 、 “ 修改 ” 、 “ 讀取和運(yùn)行 ” 、 “ 讀取 ” 、 “ 寫入 ” 和 “ 特別權(quán)限 ” 共六項(xiàng)，因?yàn)樗粚儆谖募A，所以沒有 NTFS文件夾訪問權(quán)限中的 “ 列出文件夾目錄 ” 權(quán)限選項(xiàng)。這些只是一些大的權(quán)限權(quán)限類型，具體包括許多細(xì)的權(quán)限選項(xiàng)，都可以在 “ 特別權(quán)限 ” 選項(xiàng)中設(shè)置。 以上具體權(quán)限選項(xiàng)說明參見書本 P225頁的表 66。 用戶對 NTFS文件和文件夾的訪問權(quán)限是由書本 P225中的表 66所列出特別權(quán)限邏輯組成， 具體參見書本 P225頁的表 67。 文件服務(wù)器的最佳權(quán)限設(shè)置 對于共享文件夾的訪問通過兩個(gè)權(quán)限項(xiàng)集來確定：共享上的權(quán)限集（稱為 “ 共享權(quán)限 ” ）和文件夾上的權(quán)限集（稱為 “ NTFS 文件和文件夾權(quán)限 ” ）。共享權(quán)限時(shí)常用于管理使用 FAT32文件系統(tǒng)的計(jì)算機(jī)或不使用 NTFS文件系統(tǒng)的其他計(jì)算機(jī)。 共享權(quán)限和 NTFS權(quán)限是獨(dú)立的，即它們不彼此更改，但對于共享文件夾的最終訪問權(quán)限是考慮共享權(quán)限和 NTFS權(quán)限項(xiàng)后確定的。 書中 P226頁 的表 68的建議權(quán)限配置是管理員可以為 Users組授予的對于某些共享文件夾類型的權(quán)限。推薦的權(quán)限已經(jīng)過測試，并且正確工作；但還存在一些其他方法。例如，一些有經(jīng)驗(yàn)的管理員始終喜歡將 Everyone的共享權(quán)限設(shè)置為完全控制，并完全依賴 NTFS權(quán)限來限制訪問，當(dāng)然這只是對共享文件夾才有效。 、查看、更改或刪除文件和文件夾權(quán)限 本節(jié)介紹的是文件和文件夾權(quán)限查看、設(shè)置、更改或刪除方法， 具體參見書本 P227~P228頁。 權(quán)限的繼承 為了簡化文件權(quán)勢配置，微軟的 Windows NT核心采取一種權(quán)限繼承功能，使下級文件或子文件夾在未做重新配置前完全繼承上一級文件夾的權(quán)限配置。而且這些繼承下來的權(quán)限配置并不是輕易可以打斷的。雖然可以簡化許多文件權(quán)限配置工作，但對于一個(gè)大的企業(yè)網(wǎng)絡(luò)系統(tǒng)中，這種繼承關(guān)鍵并不適用于所有文件或文件夾。 對于文件或文件夾，系統(tǒng)默認(rèn)是直接繼承上一級文件夾的權(quán)限配置。此時(shí)表明該文件或文件夾已經(jīng)繼承了父文件夾的權(quán)限。有以下三種方法可以更改繼承的權(quán)限： 1. 直接更改父文件權(quán)限 2. 選擇相反權(quán)限以覆蓋所繼承的權(quán)限 3. 打斷繼承關(guān)系 本節(jié)詳細(xì)內(nèi)容參見書本 P229~P230頁。 NTFS文件權(quán)限屬性 要正確有效地設(shè)置好系統(tǒng)文件或文件夾的訪問權(quán)限，必需注意 NTFS文件夾和文件權(quán)限有如下屬性： 1. 權(quán)限具有繼承性 權(quán)限的繼承性就是下級文件夾的權(quán)限設(shè)置在未重設(shè)之前是繼承其上一級文件的權(quán)限設(shè)置。在文件或文件夾的移動或復(fù)制，其權(quán)限的繼承性要依如下幾種情況而定： （ 1）在同一 NTFS分區(qū)間復(fù)制或移動 （ 2）在不同 NTFS分區(qū)間復(fù)制或移動 （ 3）從 NTFS分區(qū)復(fù)制或移動到 FAT格式分區(qū) 2. 權(quán)限具有累加性 NTFS文件或文件夾的權(quán)限的累加性具體雙表現(xiàn)在以下幾個(gè)方面： （ 1）工作組權(quán)限由組中各用戶權(quán)限累加決定 （ 2）用戶權(quán)限由所屬組權(quán)限的累決定 3. 權(quán)限的優(yōu)先性 權(quán)限的這一特性又包含兩種子特性，（ 1）文件的訪問權(quán)限優(yōu)先文件夾的權(quán)限，也就是說文件權(quán)限可以越過文件夾的權(quán)限，不顧上一級文件夾的設(shè)置；（ 2） “ 拒絕 ” 權(quán)限優(yōu)先其它權(quán)限，也就是說 “ 拒絕 ” 權(quán)限可以越過其它所有其它權(quán)限，一旦選擇了 “ 拒絕 ” 權(quán)限，則其它權(quán)限也就不能取任何作用，相當(dāng)于沒有設(shè)置。 4. 訪問權(quán)限和共享權(quán)限的交叉性 當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時(shí)又為用戶設(shè)置了該文件夾的訪問權(quán)限，且所設(shè)權(quán)限不一致時(shí)，它的取舍原則是取兩個(gè)權(quán)限的交集，也即最嚴(yán)格、最小的那種權(quán)限。如文件夾 Folder A 為用戶 USER1設(shè)置的共享權(quán)限為 “ 只讀 ” ，同時(shí)文件夾 Folder A為用戶 USER1設(shè)置的訪問權(quán)限為 “ 完全控制 ” ，那用戶 USER1的最終訪問權(quán)限為 “ 只讀 ” 。當(dāng)然這個(gè)文件夾只能是在 NTFS文件格式的分區(qū)中，如是 FAT格式的分區(qū)中也就不存在 “ 訪問權(quán)限 ”了，因?yàn)?FAT文件格式的文件夾沒有本地訪問權(quán)限的設(shè)置選項(xiàng)。 本節(jié)詳細(xì)內(nèi)容參見書本 P230~P232頁。