解密6个让人迷惑的文件服务器NTFS权限问题

核心提示：基于Windows平台的文件服务器是个简单易行的方案，而NTFS是Windows文件服务器最关键的权限机制，解密6个让人迷惑的文件服务器NTFS权限问题，正如我们所知，NTFS提供了一套有效的文件(文件夹)安全访问机制，如果没找到，Windows就会继续往上查看它的父文件夹，它可以让我们对用户如何读取、写入以及以其它方

基于Windows平台的文件服务器是个简单易行的方案，而NTFS是Windows文件服务器最关键的权限机制。正如我们所知，NTFS提供了一套有效的文件(文件夹)安全访问机制，它可以让我们对用户如何读取、写入以及以其它方式来操作系统中的文件进行严格的控制。但NTFS权限是复杂的，通常情况下，管理员虽然在文件服务器上按要求设置了文件或文件夹权限，但是却未能得到我们所预期的效果，即使是一个经验丰富的管理员也会遇到这样的困惑。是什么原因呢?笔者认为主要原因是他们不知道或者忽略了NTFS的某些安全特性。本文将就六个令人困惑的 NTFS权限问题进行解密，希望对大家提升文件服务器的安全有帮助。

1、ACL权限继承中为什么有例外?

(1).ACL之间存在冲突

NTFS所使用的继承机制在文件的访问控制上扮演了重要的角色。为了确定权限，Windows必须查看影响该文件的所有ACL。任何文件或文件夹都有自己的ACL，通过它来授予或拒绝特定用户或用户组的访问。此外，每个对象还会从父文件夹及各种上级文件夹继承复杂的权限。所有这些权限都存在相互冲突的潜在可能：一条ACL允许用户访问文件，而另一条则明确拒绝访问。另外，一个用户也可能同时是多个用户组的成员，从而拥有不同的权限。(图1)

(2).避免ACL冲突的规则

为了解决ACL之间的冲突问题，Windows规定了以下一组规则：(1).在任一级别上，来自不同用户组的权限将进行组合。(2).在任一级别上，拒绝权限优先于允许权限。(3).直接设定在某一对象上的权限优先于该对象继承来的权限。(4).从近亲文件夹继承来的权限优先于从远亲文件夹继承来的权限。(5).任何对象都可以通过继承父文件夹的权限而受到保护。在处理这些规则时，Windows首先会检查该对象自身所带有的访问控制项目。如果没找到，Windows就会继续往上查看它的父文件夹，直至找到明确规定允许或拒绝访问该对象的访问控制项目。