文件夹访问权限的十个问与答

1当设置文件夹权限的时候“共享”与“安全”有什么区别？

 

a.当为一个文件夹设置共享之后，就会有“共享”选项需要设置共享的目的用来通过网络来访问的

 

b.当分区格式为NTFS时候，就会有“安全”选项需要设置，一个放置在NTFS分区中的文件夹，总是会有“安全”选项，即使这个文件夹不是被用于共享目的有一种可能是仅为本地使用时：一台电脑的D盘是NTFS格式的这台电脑是给多个人使用的这个时候可以为不同的本地用户设置“安全”权限来实现各人对于文件访问安全的需求，这样不同的用户登录此台电脑时，就可以控制各人不能访问其他本地账号的访问了

 

2共享”和“安全”都有的时候，此时该怎样分别设置“共享”和“安全”

 

这种情况是非常常见的一台Server如果是作为文件服务器的那么大多数的情况下（也是推荐的设置）一个文件夹既在NTFS分区中，也会用于共享，个人认为，此时考虑权限设置的简化和清晰以及安全性的保证，共享”中应当设置everyon-->完全控制然后到安全”中设置详细的权限比如说某个域中的组可以完全控制，某个域中的账号只可以读等等。可能会有人认为在共享”中设置everyon完全控制有安全隐患，但是事实上此时这个文件夹的权限会另外由“安全”中的设置来控制权限，所以并不会有安全隐患，除非你把“安全”中也设置成为everyon完全控制。

 

3既然如你所推荐，共享”中把Everyon设成完全控制，那么请教，里面的其他读、修改这些选择岂非是无用的难道微软瞎搞？

 

有一种情况下是有用的就是当你分区是FA T16/FA T32时，此时是没有“安全”选项的所以此时需要通过“共享”中的设置来设定一些不同的权限，当然比起“安全”来，详细程度要差很多。

 

4说了半天Everyon那么Everyon底是什么？

 

windows2000以及之前的OS版本中，这个组除了包含包括"A uthentUsers"和"Guests"两个组，还包含了"A nonymLogon"组，表示"每个人"意思。

 

windows2003和XP中，Everyon只包括"A uthentUsers"和"Guests"两个组，而不再包括"A nonymLogon"组，所以它表示了"可访问计算机的所有用户"而不再是"每个人"请注意这是有区别的"可访问计算机的所有用户"意味着必须是通过认证的用户，而"每个人"则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在关键所在

 

附:如果想在WindowXP中实现Window2000中那种"Everyone"设计机制，那么可以通过编辑"本地安全策略"来实现，方法是"运行"栏中输入"Secpol.msc"命令打开"安全设置"管理单元，依次展开"安全设置""本地策略"然后进入"安全选项"双击右侧的"网络访问：让‘每个人'权限应用于匿名

 

用户"项，然后选择"已启用"项即可。

 

5又搞出AuthentUser和AnonymLogon这两个家伙又是什么？

 

AnonymLogon任何没有经过Window验证程序(Authent而以匿名方式登录域的用户均属于此组；

 

AuthentUser与前项相反，所有经过Window验证程序登录的用户均属于此组。设置权限和用户权力时，可考虑用此项代替，需要注意的计算机账号也是一种用户

 

6如此麻烦，那么我设置权限的时候设置DomainUsAuthentUser以及Everyon有什么区别？

 

 

前面第3个里面说了2k和2k3everyon有区别的这里用2k3中的everyon来说：

 

Domainus只是代表域中用户账号。

 

AuthentUser森林中所有经过Window验证程序登录的用户均属于此组，包括用户账号和计算机账号。

 

Everyon包含"A uthentUsers"和"Guests"两个组。

 

注意上面蓝色highlight地方，事实上一个森林中会有很多个域，此时如果仅仅设置domainus其他域中的账号将无法访问。所以如果你文件夹需要For森林中所有用户，那么建议设定AuthentUser而Everyon由于包含了Guest组，一般不建议，即使Guest组中仅仅包括默认被禁用的guest账号，此时如果guest被启用，那么你设置Everyon读的文件夹就会允许被访问。

 

7说的A uthentUser包括计算机账号无法理解，用户账号有密码，而计算机账号并没有密码一说，那么没有密码又何来验证？经过验证的计算机账号又有什么用？

 

 

计算机账号没有密码，通过本身来验证的文件夹验证权限的顺序是

 

a先使用当前登录的用户账号验证身份

 

b如果a不通过，再使用计算机账号验证身份。

 

可以做一个实验，为一个网络上的文件夹仅仅设置一个权限AuthentUser读，然后你另一台处于相同域中的电脑上，登录到本机此时你会发现你仍然可以通过访问刚刚设置的那个共享文件夹，其实此时由于登录到本机，而本机的账号是无法通过域中的身份验证的所以此时实际上是通过计算机账号验证的

 

c计算机账号的验证据我所知会用在一个地方：组策略

 

组策略中有一种是计算机策略”这种策略是客户端电脑的登入到域之前就生效的如果我计算机策略中设置了一个“开机脚本”那么你可以想象，电脑尚未登录，怎样提供身份验证给DC然后下载脚本的呢？看看你DC上的sysvol这个共享目录，安全”设置就是通过 A uthentUser这个组来设的目的就是为了让域中计算机账号也能通过验证来下载开机脚本。所以如果你开机脚本不是放在默认的sysvol路径下，而是某个域中文件服务器的共享目录中，此时你需要为这个目录设置AuthentUser读，客户端电脑才可以访问；否则如果仅仅是用DomainUs来设置，脚本将会由于无权访问而无法运行，这个也可以做个实验验证一下。

 

8服务器上一个共享文件夹中的一个子文件夹，谁也无法打开，提示没有权限，使用管理员账号也不行，右键打开文件夹的属性，发现在安全”中没有任何设置，尝试在其的父文件夹来将权限“套”下来，可是仍然提示我没有权限。此时我改怎样才能打开此文件夹。

 

这种情况较为常见，一般原因是有人有意或无意将这个子文件夹的权限给全部删除了大多无意的情况是取消此子文件夹继承权限选项时，面对提示，选择了移除”此时即使是本地的管理员组中的成员也无法访问。处理思路是这样的

 

a因为是由于没有权限而无法访问，所以需要加权限，然后此时即使是本地管理员组中的成员也无法加权限，只有这个文件夹的所有者”Owner可以，这个“所有者”一般来说是这个文件夹的创建者，查看方法：

 

此子文件夹的属性对话框，点击"安全"选项卡设置界面中的"高级"按钮，弹出的"用户名)高级安全设置"界面中点击"所有者"选项卡，从其中的"目前该项目的所有者"列表中就可以看到当前资源的所有者是谁了

 

 

 

b如果你恰好认识这个“所有者”然后让他登录去加权限，当然最好；可是往往是一时无法找到此“所有者”或者甚至此账号都被删除了那么此时只能去修改“所有者”本地管理员组中的成员可以修改本地电脑中任意文件夹的所有者”

 

OK所以一般来说处理这个问题的办法是

 

a用本地管理员账号，修改其“所有者”为本地管理员组，地方同查看“所有者”一样，并点完所有“确定”关闭属性对话框。

 

b用本地管理员账号，为自己增加完全控制的权限。

 

c此时应可以打开此文件夹，并可为其他人增加权限。

 

9文件服务器上的文件夹被删除了但是不知道是被谁删除的有什么办法可以找到肇事者？

 

这个问题也曾一度困扰我好久，目前能够知道的办法是

 

a文件服务器上，针对此文件夹开启“审核”可以仅仅选择domainus-->delete

 

 

 

b文件服务器上的本地安全策略中开启：稽核物件存取-成功

 

 

 

c将你Eventlog上的Secur部分设置的足够大，因为开启了审核之后，日志量非常大，如果不设大了后面的默认会覆盖前面的就没法查了之前我遇到每天有600MB日志，所以我又做了一个Script每天导出并删除SecurEventlog

 

d如果有人删除了文件夹需要找到这个家伙，可以到EventlogSecur部分去search描述字段输入那个文件夹的路径名称，并且设置好时间区间。

 

10有什么办法能够备份权限？

 

对于文件服务器来说，对文件夹权限的备份仅次于备份文件夹本身，一般来说备份软件都提供了这项支持，如Verita或者是自带的NTbackup备份文件夹的时候会将其中的安全”权限也备份下来。

 

而“共享”权限的备份可以使用下面的方法：

 

 

二、共享属性、共享权限的保留

 

<法1>利用注册表的导出/导入实现，具体操作如下：

 

1  共享资源所在源计算机上，开始/运行：regedit

 

2  找到HKEY_LOCA L_MA CHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

 

3 shares项上右键，将所有共享及其权限设置信息导出为.reg文件

 

4  目标计算机上，双击.reg文件导入

 

5  电脑/右键/管理，计算机管理的服务下，重新启动Server服务。

 

<法2>如果共享资源的数量较少，也可以使用03 Resource Kits工具中的PermCopy将共享权限设置复制给目标，目标文件夹必须先共享出来，同一计算机上共享名不能相同。

 

利用PermCopy必须针对各个共享资源，逐个去复制共享权限（也仅是共享权限，不会复制NTFS权限、文件及文件夹）命令格式如下：

 

PermCopy \\源计算机 共享名 \\目标计算机 共享名

 

 

另外，有的时候可能你只需要临时备份一下文件夹，那么此时你可以使用xcopi来快速的备份文件夹的结构和权限设置，windows2003中已经有了这个命令你可以使用/e复制目录和子目录 /t仅复制文件夹结构 /o复制安全性设置，其他选项可以查看改命令帮助。

 

总结：权限的设置看似简单，实则还是有些门道的即使做了不少时间的Window管理员也未必很清楚里面的门道，愿我能抛砖引玉。上面的一些问答，还有一些属于基本概念的比如说，移动和复制文件夹时“安全”中的设置的变更，权限的继承原则，设置权限的技巧等等，可以参考下面的一些文章。

 

文章来源：http://www. | 下一篇:使用EFS加密文件系统的技巧（三）

1当设置文件夹权限的时候“共享”与“安全”有什么区别？

 

a.当为一个文件夹设置共享之后，就会有“共享”选项需要设置共享的目的用来通过网络来访问的

 

b.当分区格式为NTFS时候，就会有“安全”选项需要设置，一个放置在NTFS分区中的文件夹，总是会有“安全”选项，即使这个文件夹不是被用于共享目的有一种可能是仅为本地使用时：一台电脑的D盘是NTFS格式的这台电脑是给多个人使用的这个时候可以为不同的本地用户设置“安全”权限来实现各人对于文件访问安全的需求，这样不同的用户登录此台电脑时，就可以控制各人不能访问其他本地账号的访问了

 

2共享”和“安全”都有的时候，此时该怎样分别设置“共享”和“安全”

 

这种情况是非常常见的一台Server如果是作为文件服务器的那么大多数的情况下（也是推荐的设置）一个文件夹既在NTFS分区中，也会用于共享，个人认为，此时考虑权限设置的简化和清晰以及安全性的保证，共享”中应当设置everyon-->完全控制然后到安全”中设置详细的权限比如说某个域中的组可以完全控制，某个域中的账号只可以读等等。可能会有人认为在共享”中设置everyon完全控制有安全隐患，但是事实上此时这个文件夹的权限会另外由“安全”中的设置来控制权限，所以并不会有安全隐患，除非你把“安全”中也设置成为everyon完全控制。

 

3既然如你所推荐，共享”中把Everyon设成完全控制，那么请教，里面的其他读、修改这些选择岂非是无用的难道微软瞎搞？

 

有一种情况下是有用的就是当你分区是FA T16/FA T32时，此时是没有“安全”选项的所以此时需要通过“共享”中的设置来设定一些不同的权限，当然比起“安全”来，详细程度要差很多。

 

4说了半天Everyon那么Everyon底是什么？

 

windows2000以及之前的OS版本中，这个组除了包含包括"A uthentUsers"和"Guests"两个组，还包含了"A nonymLogon"组，表示"每个人"意思。

 

windows2003和XP中，Everyon只包括"A uthentUsers"和"Guests"两个组，而不再包括"A nonymLogon"组，所以它表示了"可访问计算机的所有用户"而不再是"每个人"请注意这是有区别的"可访问计算机的所有用户"意味着必须是通过认证的用户，而"每个人"则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在关键所在

 

附:如果想在WindowXP中实现Window2000中那种"Everyone"设计机制，那么可以通过编辑"本地安全策略"来实现，方法是"运行"栏中输入"Secpol.msc"命令打开"安全设置"管理单元，依次展开"安全设置""本地策略"然后进入"安全选项"双击右侧的"网络访问：让‘每个人'权限应用于匿名

 

用户"项，然后选择"已启用"项即可。

 

5又搞出AuthentUser和AnonymLogon这两个家伙又是什么？

 

AnonymLogon任何没有经过Window验证程序(Authent而以匿名方式登录域的用户均属于此组；

 

AuthentUser与前项相反，所有经过Window验证程序登录的用户均属于此组。设置权限和用户权力时，可考虑用此项代替，需要注意的计算机账号也是一种用户

 

6如此麻烦，那么我设置权限的时候设置DomainUsAuthentUser以及Everyon有什么区别？

 

 

前面第3个里面说了2k和2k3everyon有区别的这里用2k3中的everyon来说：

 

Domainus只是代表域中用户账号。

 

AuthentUser森林中所有经过Window验证程序登录的用户均属于此组，包括用户账号和计算机账号。

 

Everyon包含"A uthentUsers"和"Guests"两个组。

 

注意上面蓝色highlight地方，事实上一个森林中会有很多个域，此时如果仅仅设置domainus其他域中的账号将无法访问。所以如果你文件夹需要For森林中所有用户，那么建议设定AuthentUser而Everyon由于包含了Guest组，一般不建议，即使Guest组中仅仅包括默认被禁用的guest账号，此时如果guest被启用，那么你设置Everyon读的文件夹就会允许被访问。

 

7说的A uthentUser包括计算机账号无法理解，用户账号有密码，而计算机账号并没有密码一说，那么没有密码又何来验证？经过验证的计算机账号又有什么用？

 

 

计算机账号没有密码，通过本身来验证的文件夹验证权限的顺序是

 

a先使用当前登录的用户账号验证身份

 

b如果a不通过，再使用计算机账号验证身份。

 

可以做一个实验，为一个网络上的文件夹仅仅设置一个权限AuthentUser读，然后你另一台处于相同域中的电脑上，登录到本机此时你会发现你仍然可以通过访问刚刚设置的那个共享文件夹，其实此时由于登录到本机，而本机的账号是无法通过域中的身份验证的所以此时实际上是通过计算机账号验证的

 

c计算机账号的验证据我所知会用在一个地方：组策略

 

组策略中有一种是计算机策略”这种策略是客户端电脑的登入到域之前就生效的如果我计算机策略中设置了一个“开机脚本”那么你可以想象，电脑尚未登录，怎样提供身份验证给DC然后下载脚本的呢？看看你DC上的sysvol这个共享目录，安全”设置就是通过 A uthentUser这个组来设的目的就是为了让域中计算机账号也能通过验证来下载开机脚本。所以如果你开机脚本不是放在默认的sysvol路径下，而是某个域中文件服务器的共享目录中，此时你需要为这个目录设置AuthentUser读，客户端电脑才可以访问；否则如果仅仅是用DomainUs来设置，脚本将会由于无权访问而无法运行，这个也可以做个实验验证一下。

 

8服务器上一个共享文件夹中的一个子文件夹，谁也无法打开，提示没有权限，使用管理员账号也不行，右键打开文件夹的属性，发现在安全”中没有任何设置，尝试在其的父文件夹来将权限“套”下来，可是仍然提示我没有权限。此时我改怎样才能打开此文件夹。

 

这种情况较为常见，一般原因是有人有意或无意将这个子文件夹的权限给全部删除了大多无意的情况是取消此子文件夹继承权限选项时，面对提示，选择了移除”此时即使是本地的管理员组中的成员也无法访问。处理思路是这样的

 

a因为是由于没有权限而无法访问，所以需要加权限，然后此时即使是本地管理员组中的成员也无法加权限，只有这个文件夹的所有者”Owner可以，这个“所有者”一般来说是这个文件夹的创建者，查看方法：

 

此子文件夹的属性对话框，点击"安全"选项卡设置界面中的"高级"按钮，弹出的"用户名)高级安全设置"界面中点击"所有者"选项卡，从其中的"目前该项目的所有者"列表中就可以看到当前资源的所有者是谁了

 

 

 

b如果你恰好认识这个“所有者”然后让他登录去加权限，当然最好；可是往往是一时无法找到此“所有者”或者甚至此账号都被删除了那么此时只能去修改“所有者”本地管理员组中的成员可以修改本地电脑中任意文件夹的所有者”

 

OK所以一般来说处理这个问题的办法是

 

a用本地管理员账号，修改其“所有者”为本地管理员组，地方同查看“所有者”一样，并点完所有“确定”关闭属性对话框。

 

b用本地管理员账号，为自己增加完全控制的权限。

 

c此时应可以打开此文件夹，并可为其他人增加权限。

 

9文件服务器上的文件夹被删除了但是不知道是被谁删除的有什么办法可以找到肇事者？

 

这个问题也曾一度困扰我好久，目前能够知道的办法是

 

a文件服务器上，针对此文件夹开启“审核”可以仅仅选择domainus-->delete

 

 

 

b文件服务器上的本地安全策略中开启：稽核物件存取-成功

 

 

 

c将你Eventlog上的Secur部分设置的足够大，因为开启了审核之后，日志量非常大，如果不设大了后面的默认会覆盖前面的就没法查了之前我遇到每天有600MB日志，所以我又做了一个Script每天导出并删除SecurEventlog

 

d如果有人删除了文件夹需要找到这个家伙，可以到EventlogSecur部分去search描述字段输入那个文件夹的路径名称，并且设置好时间区间。

 

10有什么办法能够备份权限？

 

对于文件服务器来说，对文件夹权限的备份仅次于备份文件夹本身，一般来说备份软件都提供了这项支持，如Verita或者是自带的NTbackup备份文件夹的时候会将其中的安全”权限也备份下来。

 

而“共享”权限的备份可以使用下面的方法：

 

 

二、共享属性、共享权限的保留

 

<法1>利用注册表的导出/导入实现，具体操作如下：

 

1  共享资源所在源计算机上，开始/运行：regedit

 

2  找到HKEY_LOCA L_MA CHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

 

3 shares项上右键，将所有共享及其权限设置信息导出为.reg文件

 

4  目标计算机上，双击.reg文件导入

 

5  电脑/右键/管理，计算机管理的服务下，重新启动Server服务。

 

<法2>如果共享资源的数量较少，也可以使用03 Resource Kits工具中的PermCopy将共享权限设置复制给目标，目标文件夹必须先共享出来，同一计算机上共享名不能相同。

 

利用PermCopy必须针对各个共享资源，逐个去复制共享权限（也仅是共享权限，不会复制NTFS权限、文件及文件夹）命令格式如下：

 

PermCopy \\源计算机 共享名 \\目标计算机 共享名

 

 

另外，有的时候可能你只需要临时备份一下文件夹，那么此时你可以使用xcopi来快速的备份文件夹的结构和权限设置，windows2003中已经有了这个命令你可以使用/e复制目录和子目录 /t仅复制文件夹结构 /o复制安全性设置，其他选项可以查看改命令帮助。

 

总结：权限的设置看似简单，实则还是有些门道的即使做了不少时间的Window管理员也未必很清楚里面的门道，愿我能抛砖引玉。上面的一些问答，还有一些属于基本概念的比如说，移动和复制文件夹时“安全”中的设置的变更，权限的继承原则，设置权限的技巧等等，可以参考下面的一些文章。

 

文章来源：http://www. | 下一篇:使用EFS加密文件系统的技巧（三）