windowsxp时代系统大多是安装在FAT32格式硬盘上的,没有文件权限功能,使用虽然方便,但安全性就很弱了,不同的用户之间也没办法限制文件访问,win7之后的系统默认安装在NTFS格式的硬盘上,NTFS文件系统的一大特色功能就是拥有权限控制功能,每个文件或文件夹的属性中都拥有一个安全选项卡,这里控制着访问者的权限。
谈到权限,必须先搞清楚权限的访问者,即用户和组,常见的用户和组有以下几种:
Administrators组:管理员账户组,对计算机有不受限制的完全访问权,内置管理员Administrator和普通管理员账户都在这个组里。
Users组:普通权限用户组,可以运行大部分程序,更改一部分系统设置,是安全性最高的用户组,管理员和来宾账户也包含在此组内。
system账户:执行权限最高的系统账户,仅供运行系统级服务和进程使用,用户无法登陆该账户。
authenticated users:所有使用用户名和密码登陆成功的账户,不包含来宾账户guest。用该组代替everyone组可以防止匿名访问。
TrustedInstaller账户:系统文件管理权限最高的账户,由system运行Windows Modules Installer后生成的服务账户,大多数的系统文件修改删除需要此用户权限。
guest账户:来宾账户,权限最小的用户,仅供没有计算机账户的用户使用,访账户默认没有密码。
everyone用户组:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组,通常用于设置公共或默认的权限时使用。
用户权限除了基本的读取、写入、修改等权限外,还有一些特殊权限,勾选“完全控制”则会拥有所有特殊权限。在属性-安全-高级设置中,继承的用户权限只能查看无法修改,自行添加的用户才可以编辑权限。
NTFS权限的一些规则:
1.权限累加,用户可以同时在不同的组,所在组的权限累加即为用户权限。
2.权限继承,子文件夹和文件的默认权限将继承自父文件夹,windows默认的分区权限用户为authenticated users,system,administrators,users,即所有创建的文件夹和文件默认继承这些权限。
3.拒绝权限高于一切,用户一个组的访问权限被拒绝后,所在的其它组的可访问权限也会失效。
4.默认情况下文件的所有者是创建文件的用户,但管理员组拥有取得文件“所有者”的权利,文件的所有者可以修改文件的权限。