Windows Server 2003 文件夹权限与共享

权限(Permission)所谓权限，是指用户对于对象的访问限制，例如能否新建、修改或删除对象，对象类型包括文件、文件夹、磁盘与打印机等。NTFS权限存在于NTFS分区上的文件夹或文件，无论是否共享出来，都具有此权限。共享权限共享文件夹具有此权限。若该文件夹存在于NTFS分区上，便同时具有NTFS权限与共享权限。若文件夹同时具有NTFS权限与共享权限，则取其中“较严格的权限”为准。NTFS权限运行的原则NTFS文件系统的每个文件夹与文件都有一项称为SecurityDescriptor的属性，此属性中有个为DiscretionaryAccessControlList(DACL,一般称为ACL)，该列表记录了用户或组帐户对该对象的访问权限。设置NTFS权限，实际上就是在编辑ACL的属性。NTFS权限的设置方式，是以“文件夹(文件)”为设置对象，不能够以“用户”为设置对象。即只能“选文件夹，设置谁对它有什么权限”，不能“选用户，设置他能够使用哪些对象”。NTFS权限具有继承性，即使没有额外做任何权限设置，子文件夹与文件已经继承了来自其上层文件夹的权限。认识NTFS权限标准访问权限特别访问权限完全控制修改读取及执行读取写入数据清单属性(只有文件夹会有这项权限)遍历文件夹/执行文件OOOXXO列出文件夹/读取数据OOOOXO读取属性OOOOXO读取扩展属性OOOOXO建立文件/写入数据OOXXOX建立文件夹/附加数据OOXXOX写入属性OOXXOX写入扩展属性OOXXOX删除子文件夹及文件OXXXXX删除OOXXXX读取使用权限OOOOXO更改使用权限OXXXXX取得所有权OXXXXX设置NTFS标准访问权限(1)设置NTFS标准访问权限(2)去掉此处选择，以切断默认的继承。这些都是继承来的。设置NTFS标准访问权限(3)设置NTFS标准访问权限(4)设置NTFS标准访问权限(5)设置NTFS标准访问权限(6)设置NTFS标准访问权限(7)设置NTFS标准访问权限(8)设置NTFS标准访问权限(9)自定义特别访问权限(1)自定义特别访问权限(2)自定义特别访问权限(3)自定义特别访问权限(4)内置的安全主体(1)内置的安全主体(2)内置的安全主体(3)内置的安全主体(4)设置NTFS权限的注意事项权限尽量赋予组，避免赋予用户。权限具有累加性。例外：当勾选拒绝某一项权限时，则无论其他组的设置是什么，用户都不会具有该项权限。将文件夹或文件复制到其它的文件夹中，则被复制的数据会继承目的文件夹的权限。将文件夹或文件移动到同磁盘的文件夹中，被移动的数据会保留原来的权限。将文件夹或文件移动到另一磁盘，则被移动的数据会继承目的文件夹的权限。当子文件夹或文件与上层文件夹的权限设置不同时，以子文件夹或文件的设置为准。当上层文件夹允许完全控制时，因为它包含了删除子文件夹及文件这项特别访问权限，所以无论子文件夹或文件是否允许删除，用户都可以删除其中的子文件夹与文件。练习：NTFS权限(1)环境：系统有两个用户A和B,以及对应的文件夹usrA和usrB，上层文件夹为Demo。问题：如何让文件夹usrA只能被A读取，而B不能读取？练习：NTFS权限(2)环境：系统有两个用户A和B，以及对应的文件夹usrA和usrB，上层文件夹为Demo。问题：如何让第三个用户usrC读取文件夹Demo，但不能读取文件夹usrA？练习：NTFS权限(3)环境：系统有两个用户A和B，以及对应的文件夹usrA和usrB，上层文件夹为Demo。问题：如何让用户usrB可以读取文件夹usrA，而且可以更改权限，但不能在文件夹usrA中增加或删除文件？关于所有权（1）建立对象的用户就是该对象的拥有者。新建、复制某个文件夹或文件的用户，就自然成为该文件夹或文件的拥有者。移动文件夹或文件时，必须移动到不同的磁盘，执行移动操作的用户才会成为文件夹或文件的拥有者。关于所有权（2）Administrators组成员拥有取得所有权的能力。满足以下任一条件的组或用户也可以取得文件夹或文件的所有权：拥有文件夹或文件的取得所有权这项特别访问权限。同时拥有文件夹或文件的读取使用权限与更改使用权限这两项特别权限。拥有文件夹或文件的完全控制权限。将现有的文件夹共享(1)将现有的文件夹共享(2)将现有的文件夹共享(3)将现有的文件夹共享(4)将现有的文件夹共享(5)共享资源的访问网上邻居映射网络驱动器UNC路径Netuse命令共享管理开始－设置－控制面板－管理工具－计算机管理－共享文件夹开始－运行－COMPMGMT.MSC－共享文件夹开始－运行－FSMGMT.MSC新建文件夹并共享(1)新建文件夹并共享(2)新建文件夹并共享(3)新建文件夹并共享(4)新建文件夹并共享(5)新建文件夹并共享(6)新建文件夹并共享(7)新建文件夹并共享(8)映射网络驱动器(1)或打开网上邻居，点工具菜单。映射网络驱动器(2)映射网络驱动器(3)映射网络驱动器(4)映射网络驱动器(5)如何跨域访问共享文件如果共享文件位于其它域的计算机，且与你所在的域没有建立任何信任关系，则在连接时会出现要求输入用户名与密码的对话框，此时必须输入该域中授权用户账户及密码。使用NETUSE命令连接同域的共享文件夹假设要将\\Server\SharedFile映射为F盘：NETUSEF:\\Server\SharedFile连接其它域的共享文件夹假设要连接无信任关系的”win2003.com”域中\\Server\SharedFile文件夹，但已知道该域的”Administrator”密码。NETUSEF:\\Server\SharedFile/user:Adminstrator@win2003.com远程建立共享文件夹(1)远程建立共享文件夹(2)远程建立共享文件夹(3)远程建立共享文件夹(4)远程建立共享文件夹(5)远程建立共享文件夹(6)远程建立共享文件夹(7)停止共享(1)停止共享(2)停止共享(3)隐藏共享文件夹在共享名后加上$符号即可。访问时也必须在共享名后加上$符号。特殊的共享文件夹ADMIN$：%systemroot%的共享名。磁盘驱动器符号$：默认磁盘共享。IPC$：进行远程管理或浏览共享资源时，作为应用程序间交换信息用。PRINT$：打印机共享.NETLOGONDC才有。对应%systemroot%\SYSVOL\sysvol\域名\scripts文件夹，供登录时自动运行脚本文件。（为了兼容NT4）SYSVOLDC才有。对应%systemroot%\SYSVOL\sysvol文件夹。禁用默认共享[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]AutoShareServer=dword:00000000（服务器版）[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]AutoShareWks=dword:00000000（专业版）练习环境：系统有USERA、USERB、USERC三个用户，C盘（NTFS文件系统）根目录下有一文件夹EXAMPLE。要求：将EXAMPLE文件夹共享，USERA可以在文件夹创建文件，USERB可以修改文件夹内容，USERC可以读取、删除文件夹中的文件。注意Windows2000Server与WindowsServer2003默认共享权限的差别