《windowsxp权限问题》由会员分享,可在线阅读,更多相关《windowsxp权限问题(16页珍藏版)》请在金锄头文库上搜索。
1、一、什么是权限WindowsXP提供了非常细致的权限控制项,能够精确定制用户对资源的访问控制能力,大多数的权限从其名称上就可以基本了解其所能实现的内容。权限(Permission)是针对资源而言的。也就是说,设置权限只能是以资源为对象,即设置某个文件夹有哪些用户可以拥有相应的权限,而不能是以用户为主,即设置某个用户可以对哪些资源拥有权限。这就意味着权限必须针对资源而言,脱离了资源去谈权限毫无意义在提到权限的具体实施时,某个资源是必须存在的。利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有读取操作权限、Administrators组成员拥有读取+写入+删除操作权限等。值得一提的
2、是,有一些Windows用户往往会将权力与权限两个非常相似的概念搞混淆,这里做一下简单解释:权力(Right)主要是针对用户而言的。权力通常包含登录权力(LogonRight)和特权(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。二、安全标识符、访问控制列表、安全主体说到WindowsXP的权限,就不能不说说安全标识符(SecurityIdentifier,SID)、访问控制列表(AccessContr
3、olList,ACL)和安全主体(SecurityPrincipal)这三个与其息息相关的设计了。1.安全标识符在WindowsXP中,系统是通过SID对用户进行识别的,而不是很多用户认为的用户名称。SID可以应用于系统内的所有用户、组、服务或计算机,因为SID是一个具有惟一性、绝对不会重复产生的数值,所以,在删除了一个账户(如名为A的账户)后,再次创建这个A账户时,前一个A与后一个A账户的SID是不相同的。这种设计使得账户的权限得到了最基础的保护,盗用权限的情况也就彻底杜绝了。查看用户、组、服务或计算机的SID值,可以使用Whoami工具来执行,该工具包含在WindowsXP安装光盘的Sup
4、portTools目录中,双击执行该目录下的Setup文件后,将会有包括Whoami工具在内的一系列命令行工具拷贝到X:ProgramFilesSupportTools目录中。此后在任意一个命令提示符窗口中都可以执行Whoami/all命令来查看当前用户的全部信息。2.访问控制列表(ACL)访问控制列表是权限的核心技术。顾名思义,这是一个权限列表,用于定义特定用户对某个资源的访问权限,实际上这就是WindowsXP对资源进行保护时所使用的一个标准。在访问控制列表中,每一个用户或用户组都对应一组访问控制项(AccessControlEntry,ACE),这一点只需在组或用户名称列表中选择不同的用
5、户或组时,通过下方的权限列表设置项是不同的这一点就可以看出来。显然,所有用户或用户组的权限访问设置都将会在这里被存储下来,并允许随时被有权限进行修改的用户进行调整,如取消某个用户对某个资源的写入权限。3.安全主体(SecurityPrincipal)在WindowsXP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,每个安全主体都拥有相对应的账户名称和SID。根据系统架构的不同,账户的管理方式也有所不同本地账户被本地的SAM管理;域的账户则会被活动目录进行管理.一般来说,权限的指派过程实际上就是为某个资源指定安全主体(即用户、用户组等)可以拥有怎样的操作过程。因为用户组包括多个用户,
6、所以大多数情况下,为资源指派权限时建议使用用户组来完成,这样可以非常方便地完成统一管理。三、权限的四项基本原则在WindowsXP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下:1.拒绝优于允许原则拒绝优于允许原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限纠纷,例如,shyzhong这个用户既属于shyzhongs用户组,也属于xhxs用户组,当我们对xhxs组中某个资源进行写入权限的集中分配(即针对用户组进行)时,这个时候该
7、组中shyzhong账户将自动拥有写入的权限。但令人奇怪的是,shyzhong账户明明拥有对这个资源的写入权限,为什么实际操作中却无法执行呢?原来,在shyzhongs组中同样也对shyzhong用户进行了针对这个资源的权限设置,但设置的权限是拒绝写入。基于拒绝优于允许的原则,shyzhong在shyzhongs组中被拒绝写入的权限将优先xhxs组中被赋予的允许写入权限被执行。因此,在实际操作中,shyzhong用户无法对这个资源进行写入操作。2.权限最小化原则WindowsXP将保持用户最小的权限作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则
8、可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户shyzhong在默认状态下对DOC目录是没有任何权限的,现在需要为这个用户赋予对DOC目录有读取的权限,那么就必须在DOC目录的权限列表中为shyzhong用户添加读取权限。3.权限继承性原则权限继承性原则可以让资源的权限设置变得更加简单。假设现在有个DOC目录,在这个目录中有DOC01、DOC02、DOC03等子目录,现在需要对DOC目录及其下的子目录均设置shyzhong用户有写入权限。因为有继承性原则,所以只需对DO
9、C目录设置shyzhong用户有写入权限,其下的所有子目录将自动继承这个权限的设置。4.累加原则这个原则比较好理解,假设现在zhong用户既属于A用户组,也属于B用户组,它在A用户组的权限是读取,在B用户组中的权限是写入,那么根据累加原则,zhong用户的实际权限将会是读取+写入两种。显然,拒绝优于允许原则是用于解决权限设置上的冲突问题的;权限最小化原则是用于保障资源安全的;权限继承性原则是用于自动化执行权限设置的;而累加原则则是让权限的设置更加灵活多变。几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦!注意:在WindowsXP中,Administrators组的全部成员都拥有取得所
10、有者身份(TakeOwnership)的权力,也就是管理员组的成员可以从其他用户手中夺取其身份的权力。例如受限用户shyzhong建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,Administrators组的全部成员将可以通过夺取所有权等方法获得这个权限。四、资源权限高级应用以文件与文件夹的权限为例,依据是否被共享到网络上,其权限可以分为NTFS权限与共享权限两种,这两种权限既可以单独使用,也可以相辅使用。两者之间既能够相互制约,也可以相互补充。下面来看看如何进行设置:1.NTFS权限首先我们要知道:只要是存在NTFS磁盘分区上的文件夹或文件,无论是否被共享,都
11、具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效!NTFS权限有两大要素:一是标准访问权限;二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种套餐型的权限,即:完全控制、修改、读取和运行、列出文件夹目录、读取、写入。在大多数的情况下,标准权限是可以满足管理需要的,但对于权限管理要求严格的环境,它往往就不能令管理员们满意了,如只想赋予某用户有建立文件夹的权限,却没有建立文件的权限;如只能删除当前目录中的文件,却不能删除当前目录中的子目录的权限等.这个时候,就可以让拥有所有权限选项的特别权限来大显身手了。也就是说,特别权限不再使用套餐型,而是使用可以允许用户
12、进行菜单型的细节化权限管理选择了。那么如何设置标准访问权限呢?以对一个在NTFS分区中的名为zhiguo的文件夹进行设置标准访问权限为例,可以按照如下方法进行操作:因为NTFS权限需要在资源属性页面的安全选项卡设置界面中进行,而WindowsXP在安装后默认状态下是没有激活安全选项卡设置功能的,所以需要首先启用系统中的安全选项卡。方法是:依次点击开始设置控制面板,双击文件夹选项,在查看标签页设置界面上的高级设置选项列表中清除使用简单文件共享(推荐)选项前的复选框后点击应用按钮即可。设置完毕后就可以右键点击zhiguo文件夹,在弹出的快捷菜单中选择共享与安全,在zhiguo属性窗口中就可以看见安
13、全选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的,此时应首先在组或用户名称列表中选择需要赋予权限的用户名组(这里选择zhong用户),接着在下方的zhong的权限列表中设置该用户可以拥有的权限即可。下面简单解释一下六个权限选项的含义:完全控制(FullControl):该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等,拥有完全控制权限就等于拥有了其他所有的权限;修改(Modify):该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限;读取和运行(Read&Execute):该权限允许用户拥有读取和列出
14、资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;列出文件夹目录(ListFolderContents):该权限允许用户查看资源中的子文件夹与文件名称;读取(Read):该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;写入(Write):该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。如果在组或用户名称列表中没有所需的用户或组,那么就需要进行相应的添加操作了,方法如下:点击添加按钮后,在出现的选择用户和组对话框中,既可以直
15、接在输入对象名称来选择文本区域中输入用户或组的名称(使用计算机名用户名这种方式),也可以点击高级按钮,在弹出的对话框中点击立即查找按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。如果想删除某个用户组或用户的话,只需在组或用户名称列表中选中相应的用户或用户组后,点击下方的删除按钮即可。但实际上,这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源,因此,如果希望拒绝某个用户或用户组访问某个资源,还要在组或用户名称列表中选择相应的用户名用户组后,为其选中下方的拒绝复选框即可。那么如何设置特殊权限呢?假设现在需要对一个名为zhiguo的目录赋zhong用户对其具有读取、建立文件和目录的权限,基于安全考虑,又决定取消该账户的删除权限。此时,如果使用标准权限的话,将无法完成要求,而使用特别权限则可以很轻松地完成设置。方法如下:首先,右键点击zhiguo目录,在右键快捷
