网络中最重要的是安全，安全中最重要的是权限。在网络中，网络管理员首先面对的是权限，日常解决的问题是权限问题，最终出现漏洞还是由于权限设置。权限决定着用户可以访问的数据、资源，也决定着用户享受的服务，更甚者，权限决定着用户拥有什么样的桌面。理解NTFS，对于高效地在Windows Server 2008中实现这种功能来说是非常重要的。

对于NTFS磁盘分区上的每一个文件和文件夹，NTFS都存储一个远程访问控制列表（ACL）。ACL中包含那些被授权访问该文件或文件夹的所有用户账户、组和计算机，包含它们被授予的访问类型。为了让一个用户访问某个文件或者文件夹，针对用户账户、组或者该用户所属的计算机，ACL中必须包含一个相对应的元素，这样的元素叫做访问控制元素（ACE）。为了让用户能够访问文件或文件夹，访问控制元素必须具有用户所请求的控制类型。如果ACL中没有相应的ACE存在，Windows Server 2008就拒绝该用户访问相应的资源。

1.NTFS权限的类型

利用NTFS权限，可以控制用户账户和组对文件夹和个别文件的访问。NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT或者FAT32文件系统格式化的磁盘分区。可以利用NTFS权限指定哪些用户、组和计算机能够访问文件和文件夹。NTFS权限也指明哪些用户、组和计算机能够操作文件中或者文件夹中的内容。

1）NTFS文件夹权限：可以通过授予文件夹权限，来控制对文件夹和包含在这些文件夹中的文件和子文件夹的访问。表6-1列出了可以授予的标准NTFS文件夹权限和各个权限提供的访问类型。

表6-1 标准NTFS文件夹权限列表

2）NTFS文件权限：可以通过授予文件权限，控制对文件的访问。表6-2列出了可以授予的标准NTFS文件权限和各个权限提供给用户的访问类型。

表6-2 标准NTFS文件权限列表

注意：无论用什么权限保护文件，被准许对文件夹进行“完全控制”的组或用户都可以删除该文件夹内的任何文件。尽管“列出文件夹内容”和“读取和运行”看起来有相同的特殊权限，但这些权限在继承时却有所不同。“列出文件夹内容”可以被文件夹继承而不能被文件继承，并且它只在查看文件夹权限时才会显示。“读取和运行”可以被文件和文件夹继承，并且在查看文件和文件夹权限时始终出现。在默认情况下，Windows Server 2008赋予每个用户对于NTFS文件和文件夹的完全控制权限。

2.NTFS权限的应用规则

如果将针对某个文件或者文件夹的权限授予了个别用户账户，又授予了某个组，而该用户是该组的一个成员，那么该用户就对同样的资源有了多个权限。关于NTFS如何组合多个权限，存在一些规则和优先权。

●权限是累加的：一个用户对某个资源的有效权限是授予这一用户账户的NTFS权限与授予该用户所属组的NTFS权限的组合。例如，如果某个用户Long对某个文件夹Folder有“读取”权限，用户Long是某个组Sales的成员，而组Sales对文件夹Folder有“写入”权限，那么用户Long对文件夹Folder就有“读取”和“写入”两种权限。

●文件权限超越文件夹权限：NTFS的文件权限超越NTFS的文件夹权限。例如，某个用户对某个文件有“修改”权限，那么即使该用户对于包含该文件的文件夹只有“读取”权限，但仍然能够修改该文件。

●权限的继承：新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，但是从上一级继续下来的权限是不能直接修改的，只能在此基础上添加其他权限。当然这并不是绝对的，只要有足够的权限，例如系统管理员，也可以修改这个继承下来的权限，或者让文件不再继承上一级目录或者驱动器的NTFS权限。

●“拒绝”权限超越其他权限：可以拒绝某用户账户或组对特定文件或者文件夹的访问，为此，将“拒绝”权限授予该用户账户或者组即可。这样，即使某个用户作为某个组的成员具有访问该文件或文件夹的权限，但是因为将“拒绝”权限授予该用户，所以该用户具有的任何其他权限也被阻止了。因此，对于权限的累积规则来说，“拒绝”权限是一个例外。应该避免使用“拒绝”权限，因为允许用户和组进行某种访问比明确拒绝他们进行某种访问更容易做到。应该巧妙地构造和组织文件夹中的资源，使各种各样的“允许”权限就足以满足需要，从而可避免使用“拒绝”权限。例如，用户Long同时属于Sales组和Manager组，文件File1和File2是文件夹Folder下面的两个文件。其中，用户Long拥有对文件夹Folder的读取权限，Sales组拥有对文件夹Folder的读取和写入权限，Manager组则被禁止对文件File2进行“写”操作。由于使用了“拒绝”权限，用户Long拥有对文件夹Folder和文件File1的读取和写入权限，但对文件File2只有读取权限。(www.daowen.com)

提示：用户不具有某种访问权限和明确地拒绝用户的访问权限，这二者之间是有区别的。“拒绝”权限是通过在ACL中添加一个针对特定文件或文件夹的拒绝元素而实现的。这就意味着，管理员还有另一种拒绝访问的手段，而不仅仅是不允许某个用户访问文件或文件夹。

●移动和复制操作对权限的影响：在NTFS分区内、分区间复制文件夹或者在NTFS分区间移动文件夹时，文件或文件夹将继承目标文件夹的权限。而在同一NTFS分区内移动文件或文件夹时，权限将被保留，如果将文件或文件夹复制或者移动到FAT分区，所有权限信息将丢失。

3.查看文件与文件夹的访问许可权限

如果用户需要查看文件或文件夹的属性，首先使用鼠标右键单击选定的文件或文件夹，打开相应的快捷菜单，然后选择“属性”命令，在打开的文件或文件夹的属性对话框中单击“安全”标签，打开“安全”选项卡如图6-1和6-2所示。在“组或用户名”列表框中，列出了对选定的文件或文件夹具有访问许可权限的组和用户。当选定了某个组或用户后，该组或用户所具有的各种访问权限将显示在权限列表中。本例选中的是Administrators组，从图6-1和图6-2可以看出，该组的所有用户具有对文件夹的“完全控制”、“修改”、“读取和执行”、“列出文件夹目录”、“读取”和“写入”等权限，对文件的“完全控制”、“修改”、“读取和执行”、“读取”和“写入”和“特殊权限”等权限。

图6-1 文件夹权限

图6-2 文件权限

没有列出来的用户也可能具有对文件或文件夹的访问许可权限，因为用户可能属于该选项中列出的某个组。因此，最好不要把对文件的访问许可权限分配给各个用户，最好先创建组，再把许可权限分配给该组，然后把用户添加到该组中，这样需要更改的时候，只需要更改整个组的访问许可权限，而不必逐个修改每个用户。

4.更改文件或文件夹的访问许可权限

当用户需要更改文件或文件夹的权限时，必须具有对它的更改权限或拥有权。用户可以在如图6-1或图6-2所示的对话框中，选择需要设置的用户或组，然后单击“编辑”按钮，将打开选定对象的权限项目对话框，如图6-3所示。此时，用户可以对选定对象的访问权限进行更加全面的设置。

用户可以在如图6-1或图6-2所示的对话框中，选择需要设置的用户或组，然后单击“高级”按钮，打开如图6-4所示的访问控制对话框，可以针对特殊权限或是高级权限进行更详细的设置。

图6-3 更改访问权限

图6-4 设置高级访问权限