解密6个让人迷惑的文件服务器NTFS权限问题

5、能否通过阻止Everyone组限制匿名访问?

对于“Everyone”用户组我们必须当心。在XP以前的Windows版本里，“Everyone”用户组中默认包含匿名用户，所以那时专家们总是忠告不要授予“Everyone”组任何访问权。而在Windows Server XP/2003/Vista/2008里，“Everyone”组默认不包含匿名用户，所以根据我们的特定权限设置，拒绝”Everyone”组的访问权限并不一定意味着匿名用户的访问也被拒绝。要阻止匿名用户以及其他不希望的用户访问资源，最保险的方法不是拒绝某些用户组的权限，而是把允许访问权限只授予那些需要访问的用户和用户组即所谓的白名单。

6、如何快速地对用户赋权?

当我们为文件和文件夹设置权限时，不要忘了利用各种内置的用户组，Windows会在用户登录系统时自动将内置用户组的权限分配给用户。比如，对于“Remote Desktop Users”这个用户组，我们可以根据登录类型来设置非常详细的NTFS权限。比方说，我们可能希望只允许管理员或那些实际登录到本地控制台的用户访问某些敏感文件。这时，我们把访问权只授予“Administrators”和“Interactive Logon Users”这两个组就可以了。我们还可以做进一步的限制，比如只允许作为服务登录的帐号访问相关文件等等。结合内置用户组来设置权限这能够在很大程度上减轻管理员的工作量，同时也利用集中管理。(图8)

总结：毫无疑问NTFS是一套安全高效的文件系统，当然它也是非常复杂的，希望本文所揭示的这些能够让大家在面对一些复杂局面时少几分困惑，更好地发挥NTFS权限的作用，最大程度提升文件服务器的安全。