解密6个让人迷惑的文件服务器NTFS权限问题

(2).“读取权限” 和“更改权限”

“读取权限” 和“更改权限” 这两个权限对文件的所有者不起作用，即使我们明确拒绝这两个权限。因此，这些权限对于任何具有“取得文件或其它对象所有权” 特权的用户也不起作用。如果我们要拒绝“读取权限” 和“更改权限”，我们必须同时拒绝“取得所有权” 权限。注意，尽管“读取权限“ 和“更改权限” 没有明确地允许或限制对审核设置(即：系统访问控制列表SACL)的访问，大多数查看权限的方法(比如：在Windows资源管理器里查看对象属性对话框的安全页)在权限即自由访问控制列表DACL)不可用的情况下都不会显示SACL。

(3).关于“遍历文件夹”权限

最后一点，我们大可不必在“遍历文件夹” 这个权限上浪费时间，因为系统已经默认授予所有用户“绕过遍历检查” 特权，这使得该权限形同虚设。此外，微软也一直建议不要强制执行遍历检查，因为某些应用程序无法正确处理目录遍历错误，从而会导致一些问题。

4、共享极限和NTFS权限哪个级别高?

当我们在某个共享文件夹上设置权限时，这些共享权限会以相对独立的方式与NTFS权限一同作用于相关的文件和文件夹。Windows会兼顾这两方面权限，取其更严格者实施。在这两组权限中，NTFS权限的重要性更高。尽管共享权限可以控制用户通过网络共享来访问文件，但它却不能阻止用户从本地系统或通过终端服务来直接访问这些文件。在控制文件访问方面，值得信赖的永远都是NTFS权限，而共享权限只能作为一种辅助手段来对网络用户的访问控制做进一步的限制。

另外，需要注意的是，各共享文件夹的权限只对该共享本身起作用，这些权限不会继承也不会传播给其它共享，即使在同一物理目录结构中是上下级关系。举个例子，假设我们为所有用户建了一个共享，映射到“C:\ctocio”。所有用户都可以访问这个共享以及其中的所有对象。现在，我们又专门为管理员建了一个共享“C:\ctocio\admin”。就第二个共享而言，尽管它寄宿在第一个共享内部，但在权限上却与第一个共享毫无关联。就算我们拒绝普通用户访问“C:\ctocio\admin” 共享，他们还是可以先访问“C:\ctocio” 共享然后再进入“admin” 目录。要阻止用户访问“admin” 目录，我们必须设置相应的NTFS权限。所以，为了避免此类情况发生，最好不要把一个共享寄宿在另一个共享内部。(图7)