从windows server的文件服务到分布式文件服务（五）

更新时间：2022-08-19 22:51:55

3. NTFS权限设置规则

NTFS权限除了控制通过网络访问共享文件夹，还控制本地用户访问这个文件夹的权限。NTFS的设置比较复杂，基本上按照微软的说法，细粒度的分子权限和更细粒度的原子权限，分别如下表7-1

（表7-1）

在表7-1中，绿色字就是原子权限，蓝色字就是分子权限，X代表了分子权限包含的原子权限。这张表扎看点复杂，其实你要认真看并且领悟了，就可以很灵活的设置你需要的权限了。

4. 潜规则

以下几条我个人把它叫做潜规则，在设置用户权限的时候，必须要熟知它们，否则就会为带来困惑

A、允许和拒绝权限，拒绝永远优先拒绝。

当给一个用户分配权限，如读权限分别被设置为读允许和读拒绝，那么这个用户最后的权限就是无法读取。所以拒绝权限一定要慎用。

B、默认继承规则

子文件夹默认继承上级文件夹的权限，文件权限默认继承文件夹的权限。微软这样做的好处是免于重复的设置。但坏处是，如果子文件夹和上级文件夹的权限不同，那么就要删除这个继承规则

C、不设置则隐式拒绝

如果对用户不设置某个权限（不勾选）那么这个用户就没有这个权限。

D、多重权限的效果

比如一个用户分别属于两个组，现在对这两个组访问某文件夹有不同的权限。一个组可读，一个组可写。那么这个用户最后的权限是两个组的“逻辑或”关系，结果就是用户对这个文件夹即可读也可以写。还是画图直观一些，如下图7.28

（图7.28）

如果一个用户的两个组有一个有拒绝权限，结果是“逻辑非或”关系比如一个组可读，一个组禁止写。那么这个用户最后的权限就是不可写，可读。如下图7.29

（图7.29）

似乎看图是很容易理解的，但是我们有时候在实际工作中不知道用户到底有什么权限，能更直观的看出来吗？其实是可以的，方法如下图7.30

（图7.30）

右键共享文件夹属性-“安全”选项卡-“高级“按钮-“有效权限“选项卡，输入我们需要查询的用户名，就可以看到了。

注：这里看到的某用户累积后的NFTS有效权限，因为前文已说，通过网络访问共享文件夹还需要共享权限，由于共享权限设置比较简单，所以很容易看出。

本文转自 z00w00 51CTO博客，原文链接：http://blog.51cto.com/z00w00/1081734，如需转载请自行联系原作者

相关阅读