1.怎样正确设置NTFS权限?
一、不能访问的现象 我们知道,自Windows 2000系统以来,系统中引入了NTFS分区格式,随之而来的就是安全权限配置。
如果权限配置不当,那么则可能出现发布的网站不能正常访问。而对其故障进行分析,大概可以分为三类: 1。
无法显示网页 这种错误最直接,输入正确的地址后直接就提示“HTTP 500内部服务器错误”。 但是因为权限配置不当所引发的这种提示并不是特别常见。
2。输入密码访问 输入要访问的地址并回车后,打开的不是网站的内容,而是弹出一个登录窗口,要求用户输入正确的用户名、密码。
可是明明已经在IIS中配置了允许匿名访问。 3。
无法互动 静态页面一切正常,但使用asp、asp。 net编写的动态页面却出错。
常常表现为页面能够正常显示,但是添加信息、回复时,则会返回出错信息,而这些动态网站在本机测试时又完全正常。 二、故障分析 从这些故障现象中可以看出,它们有一个共同的特点,就是在本机测试时完全正常,而服务器的配置过程也没有问题。
如果说到权限,都已经授权匿名用户访问了。这到底是怎么回事呢?其实这完全就是NTFS系统权限分配错误所造成的。
我们知道,在Windos 2000/2003 Server系统NTFS分区中的文件或文件夹,其默认权限主要是管理员等系统用户账户来添加的。 而用户访问网站却是通过“Internet来宾帐户”来完成的。
该账户在安装IIS后会自动创建,它并不会自动拥有NTFS中文件(夹)的访问权限。这样用户访问网站时,如果网站的内容不是放在默认的WWW中,那么则很可能因为“Internet来宾”无法操作而出现上面提到的问题。
三、故障解决 由此看来,问题的症结都是因为采用了NTFS分区格式。那么只要以后不采用NTFS格式,而使用传统的Fat32格式,问题不就是解决了吗?确实如此,如果使用Fat32格式,那么则不会再出现因为权限设置的问题导致网站无法访问。
但是另外一个问题也随之而来,Fat32分区没有安全配置,无法对文件的操作权限进行管理,使得安全性和性能得到了下降。 那么最佳的解决方法是什么呢?那就是给网站文件夹重新设置权限。
打开网站文件所存放的目标文件夹属性窗口,切换到“安全”标签,在这里我们可以看到只有***istrators、System、Users等组显示在其中。此时,我们需要单击“添加”按钮,在打开的“选择用户或组”窗口中单击“高级”按钮,然后再单击“立即查找”命令,这样即会在“搜索结果”中显示搜索到的系统中所有的账户或组名称,我们只需要选中其中的“IUSR_计算机名称”账户(注意,下划线后面的内容和计算机名称相同),单击“确定”按钮返回权限设置窗口。
这时候,我们就可以看到添加进来的“Internet来宾帐户”了。如果只是普通的静态页面,那么只需分配其“读取和运行”、“列出文件夹目标”等控制能力较低的权限即可;如果是动态asp类型的页面,需要互动的,那么则要拥有“修改”、“写入”等权限,分配好权限后单击“确定”按钮保存设置。
2.NTFS默认权限如何设置?
在本文中,我将针对Windows Vista Business Edition的系统权限进行讲解。
其它不同版本的Windows系统,比如Windows NT, Windows 2000, 2003, XP,以及2008等,根据版本不同会有些许差异。 而默认的应用范围则完全不同,比如在Windows 2000中,Everyone组的默认NTFS权限对于C:来说是Full Control的,而这种权限被整个等级继承,这种现象对于系统安全来说极为不利。
其它版本的Windows在这方面进行了改善,避免了类似安全漏洞。 对于大多数应用来说, NTFS 权限种类足够用了。
这些默认的权限包括: 1。 完全控制 2。
修改 3。 读取和执行 4。
文件夹内容列表 5。 读取 6。
写入 一般来说,如果某个用户拥有了 Modify(修改)权限,他就拥有了修改相关文件和文件夹的权限。 又比如拥有Read and Execute(读取和执行)权限,那么就同时拥有了读取和文件夹内容列表的权限。
而Write (写入)权限则有些特别,因为有时候我们希望用户可以对文件或者文件夹进行写入操作,但是却不希望他们读取其中的内容。另一个具有极大诱惑力的权限就是 Full Control(完全控制)。
Full Control权限不仅可以让用户具有编辑文件和文件夹的功能,还可以控制修改文件和文件夹的访问属性。 这些默认权限其实是由一些***的权限组合成的,具体组合方式如表A所示: 表A 完全控制 修改 读取和执行 列表文件夹 (仅文件夹) 读取 写入 完全控制 P 遍历文件夹/执行文件 P P P P 列表文件夹/读取数据 P P P P P 读取属性 P P P P P 读取扩展信息 P P P P P 创建文件/写入数据 P P P 创建文件夹/附加数据 P P P 写入属性 P P P 写入扩展属性 P P P 删除子文件夹和文件 P 删除 P P 读取权限 P P P P P P 更改权限 P 取得所有权 P 从中我们可以注意到,读取和执行权限,列表文件夹权限,以及读取权限的组成非常相似,但是它们的应用范围却完全不同。
对于不同的权限需要留意的另一点是它们的应用范围。默认的权限属性是自上而下进行继承的。
而我们可以通过修改设置来修改某个权限的应用范围,这些范围包括: · 仅当前文件夹 · 当前文件夹,子文件夹,以及文件 · 当前文件夹,子文件夹 · 当前文件夹和文件 · 仅子文件夹和文件 · 仅子文件夹 · 仅文件 默认状态的权限应用范围是当前文件夹,子文件夹,以及文件 ,也就是继承范围。 当然,根据环境要求,我们可以设定权限的应用范围。
比如控制访问C:Windows目录的权限。 本文的目的是帮助大家了解NTFS文件权限的实质以及它的默认属性。
3.怎样手动设置电脑防删防下载
你先以你所设定的来宾用户身份登录,右击桌面上的IE,选择属性,在弹出的INTERNET选项对话框的“安全”选项卡中点击“自定义级别”,将文件下载设置为禁用。
然后切换回管理员用户,这时你会发现管理员用户并未受到影响。若要防止相应用户去更改安全级别,你可以隐藏安全选项卡,不过对你自己也会产生影响,只是你比较容易改回。
你运行 c,在“用户配置”/“管理模板”/“Windows组件”/“Internet Explorer”/“Internet控制面板”右面窗口中双击禁用安全页,设置为已启用并点击应用按钮,他们就没办法更改了。不过如果是USERS组成员仍旧可以修改注册表,那么你可以再到“系统”右面窗口中双击阻止访问注册表编辑工具,设置为已启用。
他们就连注册表也改不了了。你要使用时,只需重新运行 c,找到上面所述位置,设置为已禁用并应用即可。
而文件删除完全可以利用NTFS的安全特性,即右击相应的文件或文件夹,选择属性,然后选择“安全”选项卡,点击“高级”,选择USERS组成员或者是GUESTS组成员,将“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”复选框清除,并点击复制按钮,然后只给予他们读取和运行、读取这两个权限,对于文件夹,则再加上列出文件夹目录的权限,其它权限的复选框全部清除,他们就没办法删除,只能打开文件查看。 现在你可以让小孩玩了。
只是你自己要注意打上系统安全补丁啊,否则他们一旦上了恶意网站,你又有得头疼了。另看到你的评论,我做个补充,我特意做了个试验,禁止了文件下载,发现仍旧是可以收看在线电影的,包括用Windows Media Player和RealPlayer播放的。
而且我是让你对文件给予读取、读取和运行这两个权限,这样就不会影响到RealPlayer控件的运行,只是你的孩子不能删除和修改你的文件罢了。 在NTFS格式的文件系统中,系统实际上也是默认绝大多数文件夹对于管理员都有完全控制权限,而普通用户则是读取、读取和运行权限,而对于他们自己的文件夹,比如Documents and Settings\你的孩子的用户名这个文件夹拥有完全控制权限。
4.Windows XP中怎样设置NTFS权限基本策略和原则
在Windows XP中,针对权限的管理有四项基本原则,即:拒绝优于允许原则、权限最小化原则、累加原则和权限继承性原则。
这四项基本原则对于权限的设置来说,将会起到非常重要的作用,下面就来了解一下: 拒绝优于允许原则 “拒绝优于允许”原则是一条非常重要且基础性的原则,它可以非常完美地处理好因用户在用户组的归属方面引起的权限“纠纷”,例如,“shyzhong”这个用户既属于“shyzhongs”用户组,也属于“xhxs”用户组,当我们对“xhxs”组中某个资源进行“写入”权限的集中分配(即针对用户组进行)时,这个时候该组中的“shyzhong”账户将自动拥有“写入”的权限。 但令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,为什么实际操作中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。
基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际操作中,“shyzhong”用户无法对这个资源进行“写入”操作。
权限最小化原则 Windows XP将“保持用户最小的权限”作为一个基本原则进行执行,这一点是非常有必要的。这条原则可以确保资源得到最大的安全保障。
这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限赋予限制。 基于这条原则,在实际的权限赋予操作中,我们就必须为资源明确赋予允许或拒绝操作的权限。
例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。 权限继承性原则 权限继承性原则可以让资源的权限设置变得更加简单。
假设现在有个“DOC”目录,在这个目录中有“DOC01”、“DOC02”、“DOC03”等子目录,现在需要对DOC目录及其下的子目录均设置“shyzhong”用户有“写入”权限。因为有继承性原则,所以只需对“DOC”目录设置“shyzhong”用户有“写入”权限,其下的所有子目录将自动继承这个权限的设置。
累加原则 这个原则比较好理解,假设现在“zhong”用户既属于“A”用户组,也属于“B”用户组,它在A用户组的权限是“读取”,在“B”用户组中的权限是“写入”,那么根据累加原则,“zhong”用户的实际权限将会是“读取+写入”两种。 显然,“拒绝优于允许”原则是用于解决权限设置上的冲突问题的;“权限最小化”原则是用于保障资源安全的;“权限继承性”原则是用于“自动化”执行权限设置的;而“累加原则”则是让权限的设置更加灵活多变。
几个原则各有所用,缺少哪一项都会给权限的设置带来很多麻烦! 注意:在Windows XP中,“***istrators”组的全部成员都拥有“取得所有者身份”(Take Ownership)的权力,也就是管理员组的成员可以从其他用户手中“夺取”其身份的权力,例如受限用户“shyzhong”建立了一个DOC目录,并只赋予自己拥有读取权力,这看似周到的权限设置,实际上,“***istrators”组的全部成员将可以通过“夺取所有权”等方法获得这个权限。 取消"Everyone"完全控制权限 选择要取消权限的文件或文件夹,右键选择属性,在“安全”选项卡下的ACL中找到“Everyone”的ACE,选择编辑,将其“完全控制”权限前的勾去掉。
复制和移动文件夹对权限的影响 在权限的应用中,不可避免地会遇到设置了权限后的资源需要复制或移动的情况,那么这个时候资源相应的权限会发生怎样的变化呢?下面来了解一下: (1)复制资源时 在复制资源时,原资源的权限不会发生变化,而新生成的资源,将继承其目标位置父级资源的权限。 (2)移动资源时 在移动资源时,一般会遇到两种情况,一是如果资源的移动发生在同一驱动器内,那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限);二是如果资源的移动发生在不同的驱动器之间,那么不仅对象本身的权限会丢失,而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。
实际上,移动操作就是首先进行资源的复制,然后从原有位置删除资源的操作。 (3)非NTFS分区 上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的,如果将资源复制或移动到非NTFS分区(如FAT16/FAT32分区)上,那么所有的权限均会自动全部丢失。
转载请注明出处windows之家 » win10里怎么修改ntfs权限设置