网站搜索

如何理解那些令人困惑的 Windows 7 文件/共享权限

你有没有试过弄清楚 Windows 中的所有权限?有共享权限、NTFS 权限、访问控制列表等。以下是它们如何协同工作。

安全标识符

Windows 操作系统使用 SID 来表示所有安全主体。 SID 只是可变长度的字母数字字符串,代表机器、用户和组。每次您授予用户或组对文件或文件夹的权限时,SID 都会添加到 ACL(访问控制列表)中。在幕后,SID 的存储方式与所有其他数据对象相同,以二进制形式存储。但是,当您在 Windows 中看到 SID 时,它将使用更具可读性的语法显示。在 Windows 中您很少会看到任何形式的 SID,最常见的情况是当您授予某人对资源的权限,然后他们的用户帐户被删除,它会在 ACL 中显示为 SID。因此,让我们看一下您将在 Windows 中看到 SID 的典型格式。

您将看到的表示法采用特定语法,下面是此表示法中 SID 的不同部分。

  1. “S”前缀
  2. 结构修订号
  3. 48 位标识符权限值
  4. 可变数量的 32 位子权限或相对标识符 (RID) 值

在下图中使用我的 SID,我们将分解不同的部分以获得更好的理解。

SID 结构:

‘S’ – SID 的第一个组件始终是“S”。这是所有 SID 的前缀,用于通知 Windows 以下是 SID。
'1' – SID 的第二个组成部分是 SID 规范的修订号,如果 SID 规范要更改,它将提供向后兼容性。从 Windows 7 和 Server 2008 R2 开始,SID 规范仍处于第一次修订中。
‘5’ – SID 的第三部分称为标识符授权。这定义了生成 SID 的范围。 SID 的这一部分的可能值可以是:

  1. 0 – 无效权限
  2. 1 – 世界权威
  3. 2 – 地方当局
  4. 3 – 创作者权限
  5. 4 – 非唯一权限
  6. 5 – NT 权限

'21' – 第四个组成部分是子权限 1,值“21”用于第四个字段以指定后面的子权限标识本地计算机或域。
‘1206375286-251249764-2214032401’ – 这些分别称为子权限 2、3 和 4。在我们的示例中,这用于标识本地计算机,但也可以是域的标识符。
'1000' – Sub-authority 5 是我们 SID 中的最后一个组件,称为 RID(Relative Identifier),RID 是相对于每个安全主体的,请注意任何用户定义的对象,非 Microsoft 提供的 RID 为 1000 或更高。

安全负责人

安全主体是任何附加有 SID 的东西,可以是用户、计算机甚至组。安全主体可以是本地的或在域上下文中。您可以通过计算机管理下的本地用户和组管理单元管理本地安全主体。要到达那里,请右键单击开始菜单中的计算机快捷方式,然后选择管理。

要添加新的用户安全主体,您可以转到用户文件夹并右键单击并选择新用户。

如果双击用户,您可以将他们添加到“成员”选项卡上的安全组。

要创建新的安全组,请导航到右侧的组文件夹。右键单击空白区域并选择新组。

共享权限和 NTFS 权限

在 Windows 中有两种类型的文件和文件夹权限,首先是共享权限,其次是 NTFS 权限也称为安全权限。请注意,默认情况下共享文件夹时,“Everyone”组将获得读取权限。文件夹的安全性通常通过共享和 NTFS 权限的组合来完成,如果是这种情况,必须记住最严格的限制始终适用,例如,如果共享权限设置为 Everyone=Read(这是默认设置),但 NTFS 权限允许用户对文件进行更改,共享权限将优先,并且不允许用户进行更改。当您设置权限时,LSASS(本地安全机构)控制对资源的访问。当你登录时,你会得到一个带有你的 SID 的访问令牌,当你访问资源时,LSASS 会比较你添加到 ACL(访问控制列表)的 SID,如果 SID 在 ACL 上,它会决定是否访问允许或拒绝访问。无论您使用什么权限,都存在差异,因此让我们看一下以更好地了解我们何时应该使用什么。

共享权限:

  1. 仅适用于通过网络访问资源的用户。如果您在本地登录,例如通过终端服务,则它们不适用。
  2. 它适用于共享资源中的所有文件和文件夹。如果您想提供一种更精细的限制方案,除了共享权限之外,您还应该使用 NTFS 权限
  3. 如果您有任何 FAT 或 FAT32 格式的卷,这将是您可用的唯一限制形式,因为 NTFS 权限在这些文件系统上不可用。

NTFS 权限:

  1. NTFS 权限的唯一限制是它们只能在格式化为 NTFS 文件系统的卷上设置
  2. 请记住,NTFS 是累积的,这意味着用户的有效权限是用户分配的权限与用户所属任何组的权限相结合的结果。

新的共享权限

Windows 7 引入了一种新的“简单”共享技术。选项从读取、更改和完全控制更改为。读和读/写。这个想法是整个家庭组心态的一部分,可以轻松地为不懂计算机的人共享文件夹。这是通过上下文菜单完成的,并可以轻松地与您的家庭组共享。

如果你想与不在家庭组中的人分享,你总是可以选择“特定的人......”选项。这会带来一个更“详细”的对话。您可以在其中指定特定用户或组。

如前所述,只有两个权限,它们一起为您的文件夹和文件提供了一个全有或全无的保护方案。

  1. Read 权限是“看,不要碰”选项。收件人可以打开文件,但不能修改或删除文件。
  2. Read/Write 是“做任何事情”选项。收件人可以打开、修改或删除文件。

老派方式

旧的共享对话框有更多选项,让我们可以选择以不同的别名共享文件夹,它允许我们限制同时连接的数量以及配置缓存。这些功能在 Windows 7 中都没有丢失,而是隐藏在一个名为“高级共享”的选项下。如果您右键单击一个文件夹并转到其属性,您可以在共享选项卡下找到这些“高级共享”设置。

如果单击需要本地管理员凭据的“高级共享”按钮,则可以配置您在以前版本的 Windows 中熟悉的所有设置。

如果您单击权限按钮,您将看到我们都熟悉的 3 种设置。

  1. 读取 权限允许您查看和打开文件和子目录以及执行应用程序。但是,它不允许进行任何更改。
  2. 修改权限允许您执行读取权限允许的任何操作,它还添加了添加文件和子目录、删除子文件夹和更改文件中数据的能力。< /li>
  3. 完全控制 是经典权限的“任意操作”,因为它允许您执行任何和所有以前的权限。此外,它还为您提供高级更改 NTFS 权限,这仅适用于 NTFS 文件夹

权限

NTFS 权限允许对您的文件和文件夹进行非常精细的控制。话虽如此,粒度的数量可能会让新手望而生畏。您还可以在每个文件和每个文件夹的基础上设置 NTFS 权限。要在文件上设置 NTFS 权限,您应该右键单击并转到您需要转到安全选项卡的文件属性。

要编辑用户或组的 NTFS 权限,请单击编辑按钮。

正如您可能看到的那样,有很多 NTFS 权限,所以让我们分解它们。首先,我们将了解您可以在文件上设置的 NTFS 权限。

  1. 完全控制 允许您读取、写入、修改、执行、更改属性、权限并取得文件的所有权。
  2. 修改允许您读取、写入、修改、执行和更改文件的属性。
  3. Read & Execute 将允许您显示文件的数据、属性、所有者和权限,并运行文件(如果它是程序)。
  4. 阅读将允许您打开文件,查看其属性、所有者和权限。
  5. 写入 将允许您将数据写入文件、附加到文件以及读取或更改其属性。

文件夹的 NTFS 权限选项略有不同,让我们来看看它们。

  1. 完全控制 允许您读取、写入、修改和执行文件夹中的文件,更改属性、权限,并取得文件夹或其中文件的所有权。
  2. 修改允许您读取、写入、修改和执行文件夹中的文件,并更改文件夹或其中文件的属性。
  3. Read & Execute 将允许您显示文件夹的内容并显示文件夹内文件的数据、属性、所有者和权限,并运行文件夹内的文件。
  4. 列出文件夹内容 将允许您显示文件夹的内容并显示文件夹内文件的数据、属性、所有者和权限。
  5. Read 将允许您显示文件的数据、属性、所有者和权限。
  6. 写入 将允许您将数据写入文件、附加到文件以及读取或更改其属性。

Microsoft 的文档还指出,“列出文件夹内容”可让您执行文件夹中的文件,但您仍需要启用“读取和执行”才能执行此操作。这是一个非常混乱的记录许可。

概括

总之,用户名和组是称为 SID(安全标识符)的字母数字字符串的表示,共享和 NTFS 权限与这些 SID 相关联。共享权限仅在通过网络访问时由 LSSAS 检查,而 NTFS 权限仅在本地计算机上有效。我希望大家对 Windows 7 中的文件和文件夹安全性是如何实现的有充分的了解。如果您有任何问题,请随时在评论中发表意见。