解密6个让人迷惑的文件服务器NTFS权限问题

核心提示： 然而，有时候某个可执行文件也会包含一些敏感信息(比如：数据库连接字符串)，解密6个让人迷惑的文件服务器NTFS权限问题(4)，我们显然不希望这样的信息被他人通过16位进制编辑器来读取，这时，只有在这种场合，“取得所有权”权限才会像我们期待的那样发挥作用，取消“

然而，有时候某个可执行文件也会包含一些敏感信息(比如：数据库连接字符串)，我们显然不希望这样的信息被他人通过16位进制编辑器来读取，这时，取消“读取”权限就显得很有必要了。此外，还有一个好处是：用户在没有“读取”权限的情况下是无法将可执行文件拷贝到另一个地方的。我们可以通过灵活运用“运行文件”权限来实现不同级别的访问控制。然而，需要牢记的是：脚本和批处理文件的情况正好相反,运行这类文件，用户必须具有“读取” 权限，而不一定需要“运行文件” 权限。还有一点非常有趣：如果对一个DLL或OLE自定制(OCX)ActiveX组件拒绝“运行文件“ 权限的话，用户将无法使用regsvr32.exe来注册该组件。(图6)

3、为什么有些文件权限不如另一些管用?

有些文件权限不如另一些管用，原因仅仅在于其它默认的系统特权将它们覆盖了。比如，如果用户具有“还原文件和目录” 系统特权的话，我们就无法拒绝他的“取得所有权” 权限，默认情况下“Administrators” 和“BackuP Operators” 用户组成员都属于这类用户，因为他们具有“取得文件或其它对象所有权” 这一特权。我们虽然可以剥夺管理员所具有的这一系统特权，但管理员毕竟是管理员，他们也可以把特权重新夺回来。

(1).关于“取得所有权”权限

“取得所有权”权限在很大程度上是没有意义的，因为默认情况下只有“Administrators” 或“BackuP Operators” 组的成员才有权取得某个文件的所有权，而这两个组中任意一组的成员已经具有了“取得文件或其它对象所有权” 这一系统特权。唯一用的上这一权限的情形是：如果某一用户或用户组不属于“Administrators”组，不具有“还原文件和目录” 系统特权，但是又具有“取得文件或其它对象所有权”特权，而我们希望拒绝该用户或用户组取得某些文件的所有权。只有在这种场合，“取得所有权”权限才会像我们期待的那样发挥作用，否则就不要在它身上浪费时间了。