NTFS全面解决Win 2000安全方案(2)

　　NTFS许可及其对应的许可操作　　　1.文件许可介绍:　　(1)READ(读):读取文件，查看文件属性。文件所有者和文件许可。　　(2)WRITE(写):改写文件，改变文件属性，查看文件所有者和许可。　　(3)READ及EXECUTE(读取和执行):除了具有读的许可外，还可执行文件。　　(4)MODIFY(修改):除了具有WRITERREAD技EXECUTE许可外，还可以修改和删除文件。　　(5)FULL CONTROL(完全控制):除了具有以上许可外，还可以修改许可，获取文件的所有权。　　　2.文件夹许可:除了具有以上的许可外，还有一条，就是"列出文件夹目录"，它允许用户可以查看目录。　　　3.宏观ACE:这个概念没有人用过，但是为了方便，我暂且使用它。对于某些用户或者是某些组设定的许可的组合，它实际上最终就是修改了内部的ACE数据结构，所以我称之为宏观ACE。显然，针对一个文件 (夹)所作的多条宏观ACE，最终将修改ACL,它们的查看方法如下:在你要查看的对象上，点击有键/属性/安全页,如图1所示　　　　　图1安全对象的安全页　　针对这个对象，只有一个ACE,即对Everyone组设置的。也就是说，现在的ACT.中有一个ACE构成。　　　4.当ACT.中有多条ACE存在时，如何判定最终的访问许可。　　这是一个比较复杂的问题，比如说，我们设置了Everyone组对文件夹test只读的许可，对用户Ad-ministrator设置了完全控制的许可，那么用户Anministrator最终的许可是什么?对于这类问题的解决，我们有3条原则，分别是:多个组被赋予的不同的许可是可以累加的(针对组之间的许可冲突);文件的许可优先于目录的许可 (针对文件夹和文件的许可冲突);拒绝访问许可优先 (针对用户和它所属的组许可冲突)。　　对于上面提出的问题，我们该如何来理解呢?实际上，Everyone组在设置只读许可的同时，将其他的许可 (如完全控制)也隐含地拒绝了。因为Administrator在访问对象时，要隶属于Everyone组，根据第三条原则 (拒绝访问许可优先)可以知道，Adminsitrator对这个对象的许可是只读。　　再来看一个问题:如果现在针对组Ad-ministrators又在test对象上设置了一个ACE,允许Administrators组对test的完全控制，现在请问Administrator用户的对test的许可是什么，是只读还是完全控制?　　对于这个问题，我们要依据第一条原则，Administrator用户同时属于Administrators和Everyone组，把它们的许可累加，显然，Administrator用户获得了对test的完全控制的许可。　　读者在实际中碰到诸如此类的问题时，可以灵活运用以上的3条原则，做出有利于安全的决策。　　　5.DACL和SACL能够看到吗?　　答案是肯定的!方法是:右键点击 "对象->属性->安全页->高级"，如图2所示。　　　　　图2高级页面　　其中,"权限"页的列表便是DACL,"审核"页的列表便是SACL.用户可以自已动手操作一下看一看.　　　6.所有者变更　　来看这样一个问题"在AAA公司的某台电脑中,用户USER001创建了一个重要文件FILE001,并且只允许它自已完全控制.当用户USER001辞职以后,公司如果想读取这个文件,管理员有没有办法?答案也是肯定(没有管理员办不到的事情，呵呵)!　　这里需要经过两步:　　首先，以管理员身份登录，打开如图2所示的对话框，选择"所有者"页，如图3所示。选中"替换子容器及对象的所有者"，"应用"之后，你就可以看到提示，依次继续下去就可以了。取得所有权之后，在所有者页面中会留下如图3所示的页面(注意:只有管理员组的成员才有这个权限)，以记录是谁取得了所有者权限。然后，就可以在安全页面中设置你想要的ACK，进行访问控制了。　　 　　图3所有页面　　(未完待续)