windows权限的管理原则

在Windows XP中，针对权限的管理有四项基本原则，即：拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。这四项基本原则
对于权限的设置来说，将会起到非常重要的作用，下面就来了解一下： 拒绝优于允许原则是一条非常重要且基础性的原则，它可以非常完美地处理好因用户在用户组的归属方面引起的权限纠纷，例如，shyzhong这个用户既属于shyzhongs用户组，也属于xhxs用户组，当我们对xhxs组中某个资源进行写入权限的集中分配（即针对用户组进行） 时，这个时候该组中 shyzhong账户将自动拥有写入的权限。
但令人奇怪的是，shyzhong账户明明拥有对这个资源的写入 权限，为什么实际操作中却无法执行呢？原来，在shyzhongs组中同样也对shyzhong用户进行了针对这个资源的权限设置，但设置的权限是拒绝写入。基于拒绝优于允许的原则，shyzhong在shyzhongs组中被 拒绝写入的权限将优先xhxs组中被赋予的允许写入权限被执行。因此，在实际操作中，shyzhong用户无法对这个资源进行写入操作。 Windows XP将保持用户最小的权限作为一个基本原则进行执行，这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。
基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。例如系统中新建的受限用户shyzhong在默认状态下对 DOC目录是没有任何权限的，现在需要为这个用户赋予对DOC目录有读取的权限，那么就必须在DOC目录的权限列表中为 shyzhong用户添加读取权限。 这个原则比较好理解，假设现在zhong用户既属于A用户组，也属于B用户组，它在A用户组的权限是读取，在B用户组中的权限是写入，那么根据累加原则，zhong用户的实际权限将会是读取+写入两种。
显然，拒绝优于允许原则是用于解决权限设置上的冲突问题的；权限最小化原则是用于保障资源安全的；权限继承性原则是用于自动化执行权限设置的；而累加原则则是让权限的设置更加灵活多变。几个原则各有所用，缺少哪一项都会给权限的设置带来很多麻烦！ 首先我们要知道：只要是存在NTFS磁盘分区上的文件夹或文件，无论是否被共享，都具有此权限。此权限对于使用FAT16/FAT32文件系统的文件与文件夹无效！
NTFS权限有两大要素：一是标准访问权限；二是特别访问权限。前者将一些常用的系统权限选项比较笼统地组成6种"套餐型"的权限，即：完全控制、修改、读取和运行、列出文件夹目录、读取、写入。
在大多数的情况下，"标准权限"是可以满足管理需要的，但对于权限管理要求严格的环境，它往往就不能令管理员们满意了，如只想赋予某用户有建立文件夹的权限，却没有建立文件的权限；如只能删除当前目录中的文件，却不能删除当前目录中的子目录的权限等......这个时候，就可以让拥有所有权限选项的"特别权限"来大显身手了。也就是说，特别权限不再使用"套餐型"，而是使用可以允许用户进行"菜单型"的细节化权限管理选择了。
那么如何设置标准访问权限呢？以对一个在NTFS分区中的名为"zhiguo"的文件夹进行设置标准访问权限为例，可以按照如下方法进行操作：
因为NTFS权限需要在资源属性页面的"安全"选项卡设置界面中进行，而Windows XP在安装后默认状态下是没有激活"安全"选项卡设置功能的，
所以需要首先启用系统中的"安全"选项卡。方法是：依次点击"开始"→"设置"→"控制面板 "，双击"文件夹选项"，在"查看"标签页设置界面上的"高级设置"选项列表中清除"使用简单文件共享（推荐）"选项前的复选框后点击"应用"按钮即可。
设置完毕后就可以右键点击"zhiguo" 文件夹，在弹出的快捷菜单中选择"共享与安全"，在"zhiguo属性"窗口中就可以看见"安全"选项卡的存在了。针对资源进行NTFS权限设置就是通过这个选项卡来实现的，此时应首先在"组或用户名称"列表中选择需要赋予权限的用户名组（这里选择"zhong"用户），接着在下方的"zhong 的权限"列表中设置该用户可以拥有的权限即可。
下面简单解释一下六个权限选项的含义：
①完全控制（Full Control）：
该权限允许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的所有者、删除资源的权限等，拥有完全控制权限就等于拥有了其他所有的权限；
②修改（Modify）：
该权限允许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；
③读取和运行（Read & Execute）：
该权限允许用户拥有读取和列出资源目录的权限，另外也允许用户在资源中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问这个路径；
④列出文件夹目录（List Folder Contents）：
该权限允许用户查看资源中的子文件夹与文件名称；
⑤读取（Read）：
该权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等；
⑥写入（Write）：
该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。
如果在"组或用户名称"列表中没有所需的用户或组，那么就需要进行相应的添加操作了，方法如下：点击"添加"按钮后，在出现的"选择用户和组"对话框中，既可以直接在"输入对象名称来选择"文本区域中输入用户或组的名称（使用"计算机名\用户名"这种方式），也可以点击"高级"按钮，在弹出的对话框中点击" 立即查找"按钮让系统列出当前系统中所有的用户组和用户名称列表。此时再双击选择所需用户或组将其加入即可。
如果想删除某个用户组或用户的话，只需在" 组或用户名称"列表中选中相应的用户或用户组后，点击下方的"删除"按钮即可。但实际上，这种删除并不能确保被删除的用户或用户组被拒绝访问某个资源，因此，如果希望拒绝某个用户或用户组访问某个资源，还要在"组或用户名称"列表中选择相应的用户名用户组后，为其选中下方的"拒绝"复选框即可。
那么如何设置特殊权限呢？假设现在需要对一个名为"zhiguo"的目录赋"zhong"用户对其具有"读取"、"建立文件和目录"的权限，基于安全考虑，又决定取消该账户的"删除"权限。此时，如果使用"标准权限"的话，将无法完成要求，而使用特别权限则可以很轻松地完成设置。方法如下：
首先，右键点击"zhiguo"目录，在右键快捷菜单中选择"共享与安全"项，随后在"安全"选项卡设置界面中选中"zhong"用户并点击下方的"高级"按钮，在弹出的对话框中点击清空"从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目"项选中状态，这样可以断开当前权限设置与父级权限设置之前的继承关系。在随即弹出的" 安全"对话框中点击"复制"或"删除"按钮后（点击"复制"按钮可以首先复制继承的父级权限设置，然后再断开继承关系），接着点击"应用"按钮确认设置，再选中"zhong"用户并点击"编辑"按钮，在弹出的"zhong的权限项目"对话框中请首先点击"全部清除"按钮，接着在"权限"列表中选择"遍历文件夹/运行文件"、"列出文件夹/读取数据"、"读取属性"、"创建文件/写入数据"、"创建文件夹/附加数据"、"读取权限"几项，最后点击"确定"按钮结束设置。
在经过上述设置后，"zhong"用户在对"zhiguo"进行删除操作时，就会弹出提示框警告操作不能成功的提示了。显然，相对于标准访问权限设置
上的笼统，特别访问权限则可以实现更具体、全面、精确的权限设置。
为了大家更好地理解特殊权限列表中的权限含义，以便做出更精确的权限设置，下面简单解释一下其含义：
⑴遍历文件夹/运行文件（Traverse Folder/Execute File）：
该权限允许用户在文件夹及其子文件夹之间移动（遍历），即使这些文件夹本身没有访问权限。
注意：只有当在"组策略"中（"计算机配置 "→"Windows设置"→"安全设置"→"本地策略"→"用户权利指派")将"跳过遍历检查"项授予了特定的用户或用户组，该项权限才能起作用。默认状态下，包"Administrators"、"Users"、"Everyone"等在内的组都可以使用该权限。
对于文件来说，拥了这项权限后，用户可以执行该程序文件。但是，如果仅为文件夹设置了这项权限的话，并不会让用户对其中的文件带上"执行"的权限；
⑵列出文件/读取数据（List Folder/Read Data）：
该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据；
⑶读取属性（Read Attributes）：
该权限允许用户查看文件或文件夹的属性（如系统、只读、隐藏等属性）；
⑷读取扩展属性（Read Extended Attributes）：
该权限允许查看文件或文件夹的扩展属性，这些扩展属性通常由程序所定义，并可以被程序修改；
⑸创建文件/写入数据（Create Files/Write Data）：
该权限允许用户在文件夹中创建新文件，也允许将数据写入现有文件并覆盖现有文件中的数据；
⑹创建文件夹/附加数据（Create Folder/Append Data）：
该权限允许用户在文件夹中创建新文件夹或允许用户在现有文件的末尾添加数据，但不能对文件现有的数据进行覆盖、修改，也不能删除数据；
⑺写入属性（Write Attributes）：
该权限允许用户改变文件或文件夹的属性；
⑻写入扩展属性（Write Extended Attributes）：
该权限允许用户对文件或文件夹的扩展属性进行修改；
⑼删除子文件夹及文件（Delete Subfolders and Files）：
该权限允许用户删除文件夹中的子文件夹或文件，即使在这些子文件夹和文件上没有设置删除权限；
⑽删除（Delete）：
该权限允许用户删除当前文件夹和文件，如果用户在该文件或文件夹上没有删除权限，但是在其父级的文件夹上有删除子文件及文件夹权限，那么就仍然可以删除它；
⑾读取权限（Read Permissions）：
该权限允许用户读取文件或文件夹的权限列表；
⑿更改权限（Change Permissions）：
该权限允许用户改变文件或文件夹上的现有权限；
⒀取得所有权（Take Ownership）：
该权限允许用户获取文件或文件夹的所有权，一旦获取了所有权，用户就可以对文件或文件夹进行全权控制。
这里需要单独说明一下"修改"权限与"写入 "权限的区别：如果仅仅对一个文件拥有修改权限，那么，不仅可以对该文件数据进行写入和附加，而且还可以创建新文件或删除现有文件。而如果仅仅对一个文件拥有写入权限，那么既可以对文件数据进行写入和附加，也可以创建新文件，但是不能删除文件。也就是说，有写入权限不等于具有删除权限，但拥有修改权限，就等同于拥有删除和写入权限。 只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中，那么它将同时具有NTFS权限与共享权限，如果这个资源同时拥有NTFS和共享两种权限，那么系统中对权限的具体实施将以两种权限中的"较严格的权限"为准──这也是"拒绝优于允许"原则的一种体现！
例如，某个共享资源的NTFS权限设置为完全控制，而共享权限设置为读取，那么远程用户就只能使用"读取"权限对共享资源进行访问了。
注意：如果是FAT16/FAT32文件系统中的共享文件夹，那么将只能受到共享权限的保护，这样一来就容易产生安全性漏洞。这是因为共享权限只能够限制从网络上访问资源的用户，并无法限制直接登录本机的人，即用户只要能够登录本机，就可以任意修改、删除FAT16/FAT32分区中的数据了。因此，从安全角度来看，我们是不推荐在Windows XP中使用FAT16/FAT32分区的。
设置共享权限很简单，在右键选中并点击一个文件夹后，在右键快捷菜单中选择"共享与安全"项，在弹出的属性对话框"共享"选项卡设置界面中点击选中"共享该文件夹"项即可，这将使共享资源使用默认的权限设置（即"Everyone"用户拥有读取权限）。如果想具体设置共享权限，那么请点击"权限"按钮，在打开的对话框中可以看到权限列表中有"完全控制 "、"更改"和"读取"三项权限可供选择。
下面先简单介绍一下这三个权限的含义：
①完全控制：允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹，另外，也可以修改该文件夹中的NTFS访问权限和夺取所有权；
②更改：允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹，但不能创建新文件；
③读取：允许用户读取当前文件夹的文件和子文件夹，但是不能进行写入或删除操作。
说完了权限的含义，我们就可以点击"添加"按钮，将需要设置权限的用户或用户组添加进来了。在缺省情况下，当添加新的组或用户时，该组或用户将具备"读取"(Read）权限，我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。
接着再来说说令很多读者感到奇怪的"组和用户名称"列表中的"Everyone"组的含义。在Windows 2000中，这个组因为包含了"Anonymous Logon"组，所以它表示"每个人"的意思。但在Windows XP中，请注意──这个组因为只包括"Authenticated Users"和"Guests"两个组，而不再包括"Anonymous Logon"组，所以它表示了"可访问计算机的所有用户"，而不再是"每个人"！请注意这是有区别的，"可访问计算机的所有用户"意味着必须是通过认证的用户，而"每个人"则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在关键所在！
当然，如果想在 Windows XP中实现Windows 2000中那种"Everyone"设计机制，那么可以通过编辑"本地安全策略"来实现，方法是：在"运行"栏中输入"Secpol.msc"命令打开" 安全设置"管理单元，依次展开"安全设置"→"本地策略"，然后进入"安全选项"，双击右侧的"网络访问：让‘每个人'权限应用于匿名
用户"项，然后选择"已启用"项即可。 在权限的应用中，不可避免地会遇到设置了权限后的资源需要复制或移动的情况，那么这个时候资源相应的权限会发生怎样的变化呢？下面来了解一下：
⑴复制资源时
在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其目标位置父级资源的权限。
⑵移动资源时
在移动资源时，一般会遇到两种情况，一是如果资源的移动发生在同一驱动器内，那么对象保留本身原有的权限不变（包括资源本身权限及原先从父级资源中继承的权限）；二是如果资源的移动发生在不同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上，移动操作就是首先进行资源的复制，然后从原有位置删除资源的操作。
⑶非NTFS分区
上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的，如果将资源复制或移动到非NTFS分区（如FAT16/FAT32分区）上，那么所有的权限均会自动全部丢失。 有时我们会发现当前登录的用户无法对某个资源进行任何操作，这是什么原因呢？其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人（包括 "Administrator"组成员）都无法访问资源，例如不小心将"zhiguo"这个文件夹的所有用户都删除了，这将会导致所有用户都无法访问这个文件夹，此时很多朋友就会束手无策了，其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。
首先，我们需要检查一下资源的所有者是谁，如果想查看某个资源（如sony目录）的用户所有权的话，那么只需使用"dir sony /q"命令就可以了。在反馈信息的第一行就可以看到用户是谁了，例如第一行的信息是"lovebook\zhong"，那么意思就是lovebook这台计算机中的"zhong"用户。
如果想在图形界面中查看所有者是谁，那么需要进入资源的属性对话框，点击"安全"选项卡设置界面中的"高级"按钮，在弹出的"(用户名）高级安全设置"界面中点击"所有者"选项卡，从其中的"目前该项目的所有者"列表中就可以看到当前资源的所有者是谁了。
如果想将所有者更改用户，那么只需在"将所有者更改为"列表中选择目标用户名后，点击"确定"按钮即可。此外，也可以直接在"安全"选项卡设置界面中点击"添加"按钮添加一个用户并赋予相应的权限后，让这个用户来获得当前文件夹的所有权。 要了解Windows XP中关于程序文件的访问权限，我们应首先来了解一下Windows XP在这方面的两个设计，
一、是组策略中软件限制策略的设计；
二、是临时分配程序文件使用权限的设计。
⑴软件限制策略
在"运行"栏中输入 "Gpedit.msc"命令打开组策略窗口后，在"计算机配置"→"Windows设置"→"安全设置"分支中，右键选中"软件限制策略"分
支，在弹出的快捷菜单中选择新建一个策略后，就可以从"软件限制策略"分支下新出现的"安全级别"中看到有两种安全级别的存在了。
这两条安全级别对于程序文件与用户权限之前是有密切联系的：
①不允许的：从其解释中可以看出，无论用户的访问权如何，软件都不会运行；
② 不受限的：这是默认的安全级别，其解释为 "软件访问权由用户的访问权来决定"。显然，之所以在系统中可以设置各种权限，是因为有这个默认安全策略在背后默默支持的缘故。如果想把"不允许的"安全级别设置为默认状态，只需双击进入其属性界面后点击"设为默认值"按钮即可。
⑵临时分配程序文件
为什么要临时分配程序文件的管理权限呢？这是因为在Windows XP中，有许多很重要的程序都是要求用户具有一定的管理权限才能使用的，因此在使用权限不足以使用某些程序的账户时，为了能够使用程序，我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单：右键点击要运行的程序图标，在弹出的快捷菜单中选择"运行方式"，在打开的"运行身份"对话框中选中"下列用户"选项，在"用户名"和"密码"右侧的文本框中指定用户及密码即可。
显然，这个临时切换程序文件管理权限的设计是十分有必要的，它可以很好地起到保护系统的目的。 Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件，这些用户既可以是本地用户，也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组，而只能颁发给用户，所以只能授权单个的账户访问加密文件，而用户组将不能被授权。
要授权加密文件可以被多个用户访问，可以按照如下方法进行操作：
选中已经加密的文件，用鼠标右键点击该加密文件，选择"属性"，在打开的属性对话框中"常规"选项卡下点击"高级"按钮，打开加密文件的高级属性对话框，点击其中的"详细信息"按钮（加密文件夹此按钮无效），在打开的对话框中点击"添加"按钮添加一个或多个新用户即可（如果计算机加入了域，则还可以点击"寻找用户"按钮在整个域范围内寻找用户）。
如果要删除某个用户对加密文件的访问权限，那么只需选中此用户后点击"删除"按钮即可。 什么是日志？我们可以将日志理解为系统日记，这本"日记"可以按系统管理员预先的设定，自动将系统中发生的所有事件都一一记录在案，供管理员查询。既然日志信息具有如此重要的参考作用，那么就应该做好未经授权的用户修改或查看的权限控制。因此，我们非常有必要去了解一下日志的访问权限在Windows XP中是怎样设计的。一般来说，Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。
这三种类型的账户对不同类型的日志拥有不同的访问权限，下面来看一下表格中具体的说明，请注意"√"表示拥有此权限；"×"表示无此权限。
通过对比，可以看出SYSTEM拥有的权限最高，可以对任意类型的日志进行读写和清除操作；Everyone用户则可以读取应用程序和系统日志，但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些，只有SYSTEM 能够对之写入。
如果想为其他用户赋予管理审核安全日志的权限，那么可以在"运行"栏中输入"Gpedit.msc"命令打开组策略编辑器窗口后，依次进入"计算机配置 "→"Windows设置"→"安全设置 "→"本地策略"→"用户权利指派"，双击右侧的"管理审核和安全日志"项，在弹出的对话框中添加所需的用户即可。