用過Linux的朋友一定對chmod記憶猶新，復雜的權(quán)限設置是保證系統(tǒng)安全的第二道屏障（第一道是用戶隔離），在Windows 9x版本中FAT32文件系統(tǒng)的天生不足導致的無法進行權(quán)限控制給Windows落下了罵名。不過NT中就不一樣了，NTFS文件系統(tǒng)下的Windows NT具備了基本的用戶和權(quán)限保護能力。下面就來簡要介紹一下Windows NT Server下面常用的權(quán)限控制。

以下基于Windows NT 5.x和NTFS文件系統(tǒng)，介紹的比較簡單，算作入門吧。

權(quán)限的標記——用戶和組

Windows NT中的權(quán)限控制單位是進程，進程的身份是靠其啟動的用戶和組來標記的。用戶和組分為本地帳戶，指本地建立的用戶帳戶，用作對以本地帳戶登錄的進程（如administrator啟動運行的程序，標記為以administrator啟動的服務），域帳戶（如GrapeCityValentinening啟動運行的程序，標記為以GrapeCityValentinening啟動的服務）計算機（如以計算機GrapeCityxa-app-xxx$的LocalSystem啟動的服務）。三者在進行設置時一視同仁。

文件訪問權(quán)限——NTFS權(quán)限

當一個用戶試圖訪問一個文件或者文件夾的時候（不論是本地訪問還是通過Microsoft File and printer sharing for Microsoft network指定UNC進行訪問），NTFS文件系統(tǒng)會檢查用戶使用的賬戶或者賬戶所屬的組是否在此文件或者文件夾的訪問控制列表（ACL）中，如果存在則進一步檢查訪問控制項（ACE），然后根據(jù)控制項中的權(quán)限來判斷用戶最終的權(quán)限。如果訪問控制列表中不存在用戶使用的賬戶或者賬戶所屬的組，就拒絕用戶訪問。該權(quán)限可以在文件夾屬性的Security選項卡中進行設置。這里可以添加用戶到ACL中，并指定ACE。

NTFS權(quán)限的應用規(guī)則

1． 權(quán)限的組合——交集。（原文此處為并集，有誤）如果一個用戶同時在兩個組或者多個組內(nèi)，而各個組對同一個文件有不同的權(quán)限，那么這個用戶對這個文件有什么權(quán)限呢？簡單的說，當一個用戶屬于多個組的時候，這個用戶會得到各個組的累加權(quán)限，但是一旦有一個組的相應權(quán)限被拒絕，此用戶的此權(quán)限也會被拒絕。2、權(quán)限的繼承新建的文件或者文件夾會自動繼承上一級目錄或者驅(qū)動器的NTFS權(quán)限，一般的說從上一級繼承下來的權(quán)限是不能直接修改的，只能在此基礎(chǔ)上添加其他權(quán)限。如果需要取消繼承，可以通過文件夾屬性的Security選項卡中的Advanced進行修改。

3、權(quán)限的拒絕——最高權(quán)限拒絕（Deny）是需要謹慎的操作，因為按照NTFS的規(guī)則，Deny權(quán)限具有最高的計算地位。無論給賬戶或者組了什么權(quán)限，只要在拒絕的這一欄里有勾，那么被拒絕的權(quán)限就絕對有效。4、權(quán)限的移動——同分區(qū)保留由于NTFS的權(quán)限是以分區(qū)為單位進行保存的，只有移動到同一分區(qū)內(nèi)才保留原來設置的權(quán)限，否則為繼承目的地文件夾或者驅(qū)動器的NTFS權(quán)限（原設定的權(quán)限被清除）。

共享文件權(quán)限——Share權(quán)限：

共享權(quán)限只作用于Microsoft File and printer sharing for Microsoft network指定UNC進行訪問，權(quán)限有三種：讀取、更改和完全控制。

1、 讀取。讀取權(quán)限是指派給Everyone組的默認權(quán)限。a、 查看文件名和子文件夾名。b、 查看文件中的數(shù)據(jù)。c、 運行程序文件。2、 更改。更改權(quán)限不是任何組的默認權(quán)限。更改權(quán)限除允許所有的讀取權(quán)限外，還增加以下權(quán)限。a、 添加文件和子文件夾。b、 更改文件中的數(shù)據(jù)。c、 刪除子文件夾和文件。3、 完全控制。 完全控制權(quán)限是指派給本機上的Administrators組的默認權(quán)限。完全控制權(quán)限除允許全部讀取及更改權(quán)限外，還具有更改權(quán)限的權(quán)限。

共享權(quán)限的計算方法和NTFS權(quán)限一樣，如果賦予某用戶或者用戶組拒絕的權(quán)限，該用戶或者該用戶組的成員將不能執(zhí)行被拒絕的操作。

常用的權(quán)限控制——共享權(quán)限和NTFS權(quán)限的組合權(quán)限。共享權(quán)限只對通過網(wǎng)絡訪問的用戶有效，所以需要和NTFS權(quán)限配合才能嚴格的控制用戶的訪問（比如LeySer Service的部分權(quán)限控制）。當一個共享文件夾設置了共享權(quán)限和NTFS權(quán)限后，就要受到兩種權(quán)限的控制。如果希望用戶能夠完全控制共享文件夾，首先要在共享權(quán)限中添加此用戶（組），并設置完全控制的權(quán)限。然后在NTFS權(quán)限設置中添加此用戶（組），也設置完全控制權(quán)限。只有兩個地方都設置了完全控制權(quán)限，才最終有完全控制權(quán)限。當用戶從網(wǎng)絡訪問一個存儲在NTFS文件系統(tǒng)上的共享文件夾的時候會受到兩種權(quán)限的約束，而有效權(quán)限是最嚴格的權(quán)限（也就是兩種權(quán)限的交集）。而當用戶從本地計算機直接訪問文件夾的時候，不受共享權(quán)限的約束，只受NTFS權(quán)限的約束。同樣的，這里也要考慮到兩個權(quán)限的沖突問題，比如，共享權(quán)限為只讀，NTFS權(quán)限是寫入，那么最終權(quán)限是完全拒絕。這是因為這兩個權(quán)限的組合權(quán)限是兩個權(quán)限的交集。