Windows 2003 Server的新安全机制

核心提示：在这篇文章中，我们将一起探究Windows 2003 Server增强的安全机制，Windows 2003 Server的新安全机制，新的操作系统中提高安全性的新特性随处可见，但这里我们只注重大多数Windows用户和管理员最关心的地方，不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限，不过，借此粗略感

在这篇文章中，我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见，但这里我们只注重大多数Windows用户和管理员最关心的地方，借此粗略感受一下Windows Server 2003新的安全机制。 　　

一、NTFS和共享权限

在以前的Windows中，默认的权限许可将“完全控制”授予了Everyone组，整个文件系统根本没有安全性可言（就本地访问来说）。但从Windows XP Pro开始，这种情况改变了。

授予Everyone组的根目录NTFS权限只有读取和执行，且这些权限只对根文件夹有效。也就是说，对于任何根目录下创建的子文件夹，Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹，例如Program Files和Windows文件夹，Everyone组也已经从ACL中排除出去。（说明：ACL即“访问控制列表”，或Access Control List，它是一种安全保护列表，适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型：随机和系统）。

Users组除了读取和运行之外，还能够在子文件夹下创建文件夹（可继承）和文件（注意，根驱动器除外）。授予System帐户的权限和本地Administrators组成员的权限仍未改变，它们仍拥有对根文件夹及其子文件夹的完全控制权限。CREATOR OWNER仍被授予子文件夹及其包含的文件的完全控制权限，也就是允许用户全面管理他们自己创建的子文件夹。

对于新创建的共享资源，Everyone现在只有读取的权限。

另外，Everyone组现在不再包含匿名SID（安全标识符，一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的 SID。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名），进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限，可以用右键点击文件或文件夹，选择“安全”选项卡，点击“高级”，然后查看“有效权限”页，不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过，这个功能还不能涵盖共享权限。