NTFS权限设计从入门到精通

NTFS权限只能应用于NTFS分区中，分区、文件夹、文件均可设计NTFS权限。
下图1为Temp文件夹NTFS“标准安全页”属性，从图中可以知道Administrators这个组对Temp这个文件夹有允许操作的完全控制权限。

图1

在“用户控制列表区域”单击其他组或者用户，则会在下面的“权限控制列表区域”列出其相应的权限。
单击“高级”则进入“高级安全页”属性，则会有更加精细的权限设计。如图2

 图2
 
NTFS的几个特点：
1. 默认情况下，权限都是向下继承的。
也就是一个NTFS分区内的所有文件夹和文件权限都从分区的权限继承的。如图1，权限控制列表区域为灰色不可操作说明权限继承于上层。要想修改成可操作状态必须先打破继承，接下来的内容会具体提到。
2. 在XP、2003中，新格式化成NTFS的分区默认情况下Users组成员有追加文件/文件夹的权限。在做文件服务器时需要谨慎该默认权限，通过高级属性可以看到。
3. 当一个用户属于多个组，并且文件/文件夹赋予这些组不同的权限，那么用户得到的最终权限是这些组权限的累加。
4. 在做共享文件时，共享与安全中的权限取两者交集部分。
5. 拒绝权最优先。

基础知识就复习到这，下面来动手演练演练。
预定义环境如下：
1）环境为域环境，所有GS开头的组为活动目录全局——安全组。
2）所有设计均是在NTFS默认条件下进行。
3）共享权限均设置为Everyone允许完全控制。
4）所有设计都必须保留管理员管理权限。
5）顶层Department设置为Everyone只读权限。
 
一、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。
允许Acc部门所有成员（GS-ACC-All）访问ACC文件夹、子文件夹及子文件；
允许Admin部门所有成员（GS-Admin-All）可以访问Admin文件夹、子文件夹及子文件。
 
权限设计过程：
1.1 对ACC文件夹的操作
a) 先打破父权限继承——在安全的高级属性中取消来自父权限的继承，注意，这里会有提示“是否复制父权限到这个文件夹”，选择复制，以防止所有用户都无法访问该文件夹，单击确定回到标准安全页面。后续将不再赘述打破继承的过程。

b）删除Administrators、System、Creator Owner以外的所有组和用户权限.
最好不要随便删除这三个组的默认权限，Administrators提供管理，SYSTEM与EFS加密有关，并且如果删除SYSTEM还会影响到权限的向下继承，需要强制向下层下发权限，Creator Owner是个非常有用的特殊组，后续的设计中会利用到。
c) 添加GS-ACC-All组允许“读取和运行”、“列出文件夹目录”、“读取”的权限。
d) 默认下层子文件夹\文件会继承ACC目录权限，无需设计。
 
1.2 对Admin文件夹的操作
参考上述操作，将最后一步改成添加GS-Admin-All组即可。
 
 
二、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。
允许Acc部门所有成员（GS-ACC-All）读取ACC文件夹、子文件夹及子文件
允许ACC部门经理（GS-ACC-Mgr）可以修改Admin文件夹、子文件夹及子文件。
 
权限设计过程：
2.1 对ACC文件夹的操作
前面部分参考1.1操作，再加上GS-ACC-Mgr组允许“修改”权限即可。
 
 
三、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。
允许Admin部门所有成员（GS-Admin-All）可以修改Admin文件夹、子文件夹（经理的除外）及子文件；
允许Admin经理级成员（GS-Admin-Mgr）可以修改Admin\Manager文件夹、子文件夹及子文件；
允许公司所有成员(GS-All-Member)访问Admin\Manager\公司组织图，但不能访问Admin\Manager下面其他文件；
允许公司所有成员访问Admin\Notice公告文件，但不能访问Admin下面其他文件。
 
权限设计过程：
3.1 对Admin文件夹的设计
a) 先打破父权限继承；
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限；
c) 添加GS-Admin-All对Admin文件夹允许“修改”权限；
4）添加GS-All-Member对Admin文件夹仅允许“列出文件夹目录”。“列出文件夹目录”只对文件夹生效，对文件无效，使得GS-All-Member成员可以穿透到Admin下层目录，而又不能访问Admin下层的文件。
至此Admin文件夹设置完毕。
 
3.2 对Manager文件夹的设计
a) 先打破父权限继承；
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限；
c) 添加GS-Admin-Mgr对Manager文件夹允许“修改”权限；
d) 添加GS-All-Member对Manager文件夹仅允许“列出文件夹目录”。穿透效果。
至此Manager文件夹设置完毕。
 
3.3 对Notice文件夹的设计
a) 在默认的基础上添加GS-All-Member对Notice文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。
 
3.4 对公司组织图的设计
a) 在默认的基础上添加GS-All-Member对公司组织图文件夹“读取和运行”、“列出文件夹目录”、“读取”的权限。
 
 
四、Department为共享目录，其他文件层次如下图

要求：最小化管理操作。
允许Admin部门所有成员（GS-Admin-All）可以在Admin\Report下面创建以各自名字命名的文件夹，不允许创建乱七八糟的文件；
各用户之间的文件只允许自己可以访问、修改，其他用户不可访问；
 
权限设计过程：
4.1 对Admin文件夹的设计
参考3.1过程。
 
4.2 对Report文件夹的设计
a) 先打破父权限继承；
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限；
c) 添加GS-All-Member对Report文件夹仅允许“列出文件夹目录”。
d) 进入Report的“高级”安全页中，单击“添加”，在空白处输入“GS-Admin-All”组名，单击“确定”，弹出“Report权限项目”，在“应用到”选择范围为“该文件夹”，单击下面的清除按钮，清除掉所有默认设置权限，只勾上允许“创建文件夹/附加数据”。然后一步步确定即可。
 
这个权限设计主要是用到了用户自身权限（仅可以创建文件夹）+Creator Owner（完全控制）组合，当用户创建了文件夹之后，他就是这个文件夹本身的创建者，那么他最终的权限就升级到了“完全控制”。
 
这个设计的难点在于Report文件夹下的用户文件夹名字未知，要去实现未知文件夹的权限隔离。
 
 
五、Department为共享目录，其他文件层次如下图

你刚搭建好一台文件服务器给各部门使用，要求设计初始权限；
要求：最小化管理操作。
所有部门的部门文件夹必须统一放在Department下，并且以部门命名；
Department下只允许IT部门新建文件夹、修改文件夹名字，但不可以创建文件；
其他任何人不得修改Department下文件夹名字，不得删除Department下面的文件夹；
部门文件夹只允许各部门成员访问；
各部门经理有对自己部门所有文件的完全控制权限。
 
权限设计过程：
 
5.1 对Department的设计
a) 先打破父权限继承；
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限；
c) 添加GS-All-Member对Department文件夹仅允许“读取和运行”、“列出文件夹目录”、“读取”的权限；
d) 先添加一条GS-IT-All对Department的修改权限；然后进入高级再添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限；
至此Department设计完毕。
 
5.2 对Department下部门文件夹的设计（以ACC为例）
a) 先打破父权限继承；
b) 删除Administrators、System、Creator Owner以外的所有组和用户权限；
c) 添加GS-ACC-All对Acc文件夹允许“读取和运行”、“列出文件夹目录”、“读取”的权限；
d) 添加GS-ACC-Mgr对Acc文件夹允许“完全控制”的权限；
e) 进入高级安全页添加一条GS-All-Member只应用到“该文件夹”的拒绝“创建文件/附加数据”权限和拒绝“删除”的权限。
至此，ACC文件夹设置完毕。
 
5.3 其他部门文件夹可参考ACC来做。
 
 
以上NTFS权限设计均是我工作碰到的一些实际需求，只要大家对NTFS掌握比较深入（高级特性中的每个权限细节以及特殊的组），应该都不难解决。