安全就是一切。我到每天都收的安全电子邮件,对于安全方面的关切,对绝大多数的IT专业人员来说毫不陌生。
但是,绝大多数的讨论都是针对保护一个公司的资源免受外部的威胁。其实通常情况下,在公司内的数据同样更需要进行隔离。只要想像一下,如果雇员们可以随意获取他人的人事记录资料的话,将会引起多么大的麻烦,你就明白了。 Windows XP的NTFS文件系统,以及对文件共享设置的权限,都是设计用于保护文件和目录免受未授权用户访问的,不管这些人是来自公司的内部还是外部。要想确认已经正确的对NTFS权限以及文件共享进行了正确的管理,请按如下做法进行: 文件共享权限 1. 鼠标右键点击包含欲共享文件(文档,表格,或其他文件)的文件夹
图A 一个文件夹的属性框,用于配置对不同用户和用户群组的共享级别权限 1. 为该文件夹输入一个共享名称。 不过,这种方法并不总会像你需要的那样工作,除非是在已经使用NTFS文件系统对硬盘格式化过之后的Windows XP中(这样的话,NTFS的权限管理可以阻止未经许可的用户获取相关资源——起码不是立刻就能获取)。不过,更不好的一点是,在Windows XP的默认配置中,对共享的权限设置是允许任何人都可以读取共享文件夹中的内容。 另外,注意一下Windows XP的简单文件共享也非常重要,这个设置默认是启动的,要想对不同用户自定义不同的权限,就必须先关闭它。要先关闭简单文件共享: 1. 打开Windows浏览器 要想去掉设置为“任何人”的权限,并根据不同的用户来对文件共享设置不同的权限: 1. 右键点击你打算共享的文件夹
图B 共享权限是在贡献权限的标签窗口中被设置的(通过点击一个文件夹的属性窗口中的权限按钮) 4. 在用户名或者用户组的窗口中,高亮选择“Everyone”
图C 通过进入目标名称的窗口,定义不同的用户或者群组 7. 在进入目标名称选择的窗口后,定义你打算允许存取的用户名,然后点击“确定”。 “完全控制”权限可以让一个用户或一个用户组拥有对文件夹中内容的读取,写入,删除以及执行的权限。同时,拥有“完全控制”权限的用户也可以在共享文件夹中建立和删除文件夹。 “修改”权限可以让一个用户或一个用户组拥有对文件夹中文件的读取和修改权,并可以在该共享文件夹中建立文件和文件夹。拥有“修改”权限的用户也可以执行该文件夹中的文件。 “读取”权限,可以让一个用户和一个用户组来读取共享文件夹中的文件,并可以运行该文件夹中的文件。 使用NTFS文件系统格式化的Windows XP系统,提供了额外的权限设定。下一部分对NTFS权限的配置进行回顾。 NTFS权限 在配置NTFS的权限之前,首先应当确认Windows XP系统已经被配置为使用了NTFS文件系统。 1. 点击“开始” 如果一个硬盘或者分区并不是用NTFS系统格式化的,那么你可以通过输入“convert X: /fs:ntfs”这样的命令将其升级为NTFS(其中X就是具体的盘符)。使用convert命令,你可以在不丢失任何数据的情况下,将一个磁盘升级成NTFS文件系统。不过,为了以防万一,最好还是在打入命令,执行转换之前,确认你已经对重要数据进行了备份。 要配置NTFS权限: 1. 鼠标右键点击要共享的文件或者文件夹
图D NTFS权限允许实施更多的小权限,就像对共享文件夹所做的一样 要注意,默认情况下,子目录将从父目录继承权限。要想自定义非继承的权限,需要在共享或者文件的属性框中,选择“高级”按钮。 有许多NTFS权限可用: * 完全控制——让一个用户或者用户组执行所有的操作,包括查看文件以及子文件夹,执行程序,列出文件夹内容,读取和执行 可执行文件,修改文件以及文件夹属性,建立新文件,为文件添加数据,删除文件和文件夹,修改文件以及文件夹权限,并修改文件和文件夹的所有者。 * 修改——让一个用户或者用户组查看文件以及子文件夹,执行程序,列出文件夹内容,查看文件及文件夹属性,修改文件以及文件夹属性,建立新文件,为文件添加数据,删除文件。 * 读取及执行——让一个用户或者用户组查看文件以及子文件夹,执行程序,列出文件夹内容,读取文件数据以及查看文件(文件夹)的属性 * 列出文件夹内容——让一个用户或者用户组浏览文件夹,列出文件夹内容,并查看文件和文件夹属性。 * 读取——让一个用户或者用户组可以查看一个文件夹的内容,读取数据,并查看文件和文件夹属性。 * 写入——让一个用户或者用户组可以修改一个文件或者文件夹的属性,建立新文件,对文件进行修改,并建立新文件夹,或者对文件进行数据追加。 要终止一个用户的最终权限,只要将所有的NTFS权限都赋予某个用户组,并赋予该用户为某个用户组成员,然后将该用户组的上述权限都设置为禁止即可。 举例来说,如果一个用户明确获得了“完全控制”的权限,但他同时还是一个用户组的成员,而该用户组的“完全控制”权限是被禁止的,那么该用户将失去“完全控制”权限。如果一个用户在一个用户组中获得了“读取执行”以及“列出文件夹内容”的权限,但同时又是另外一个用户组的成员(该组的“列出文件夹内容”权限是被禁止的),那么该用户的NTFS权限将仅仅是“读取控制”权限。基于这个原因,系统管理员应当仔细设置“禁止”权限,因为当同一用户或者用户组拥有相冲突的两个权限时,“禁止”的优先权高于“允许”。 Windows XP提供了一个有效的权限工具,让你可以用它来校验一个用户或者一个用户组的相关权限。要使用该工具: 1. 打开文件夹或者文件的属性对话框
图E 有效权限标签可以帮助简化确定一个用户或者用户组的真实权限 将共享权限和NTFS权限组合 要确定一个用户最终获得的权限,可以将该用户或者该用户组的共享权限与该用户(或该用户组)的NTFS权限进行一下比较。注意到了么,绝大多数对权限的禁止到处可见。 举例来说,如果一个用户当前NTFS的权限是“读与执行”,而同一用户的当前共享权限是“完全控制”,那么该用户实际上将无法获得完全控制的权限。实际上,Windows会选择两个冲突的权限中限制性相对更高的部分,在这个例子里就是NTFS的“读与执行”权限。 记住,要确认一个用户或一个用户组的最终权限,最容易发生NTFS权限和共享权限的冲突。这是很重要的一个教训,但是非常容易被忘记,不过却会非常迅速的导致用户使用挫折,所以一定要事先花费时间,以正确的计算共享和NTFS权限。 (责任编辑:陈毅东) |
|