NTFS权限累加

2024年1月2日发(作者：)

完全控制>修改>写入

完全控制>修改>读及运行

例1：以zff用户帐号登录之后，建立一个文件夹/文件，则该文件夹/文件的所有者就是zff。管理员帐号或者管理员组可以剥夺该文件/文件夹的所有权，使它的所有者发生改变。

例2：zff帐号对于“天线宝宝”文件夹的NTFS权限为只读，administrators组对于“天线宝宝”文件夹的NTFS权限为修改，users组对于“天线宝宝”文件夹的NTFS权限为写入。zff属于administrators组，问：zff帐号身份登录访问“天线宝宝”文件夹时，最终有效权限是什么？

分析：zff身份登陆最终权限=zff所属于的所有组针对该文件夹NTFS权限的累加+zff对于该文件夹的单独NTFS权限=修改+写入+只读=修改

例3：zff帐号对于“天线宝宝”文件夹的NTFS权限为只读，administrators组对于“天线宝宝”文件夹的NTFS权限为完全控制，users组对于“天线宝宝”文件夹的NTFS权限为拒绝访问。Qqq组针对“天线宝宝”文件夹的权限为完全控制，zff属于administrators组，问：zff帐号身份登录访问“天线宝宝”文件夹时，最终有效权限是什么？分析：zff身份登陆最终权限=zff所属于的所有组针对该文件夹NTFS权限的累加+zff对于该文件夹的单独NTFS权限=只读+完全控制+拒绝=拒绝

优先权：拒绝>完全控制>修改

注意1：只有同一分区移动文件/文件夹时，原NTFS权限能够得到保留。其余情况，一律改变NTFS权限（指的是拷贝的副本继承目标文件夹权限）。

例4：c:文件在NTFS分区，它的NTFS权限作了单独设置，现将拷贝到c:test2文件夹下面来，问题（1）：c:test2下的的副本权限有何变化？答：副本继承父结点的权限（目标文件夹权限test2）；问题（2）若将c:移动到c:test3文件夹下，则的NTFS权限与当初的在test1下的设置一样；问题（3）若将c:移动到d:test4文件夹下，的权限继承d:test4文件夹权限；问题（4）若将c:拷贝到d:test5文件夹下，则副本的权限继承d:test5的权限。

注意2：如果是用户登陆的主机与访问资源的主机是同一台主机（通过“我的电脑”访问），只有NTFS权限起决定作用；但如果通过“开始”—>“运行”本机IP访问，NTFS权限与共享权限共同起作用。注意3：共享权限只对网络访问起作用，对本地访问不起作用。当某域用户帐号A在计算机1上创建，则它访问计算机2的话：受网络和本地安全性的双重限制（即NTFS权限和共享权限取交集），若它访问计算机1则只受NTFS权限的限制；若A为计算机1的本机帐号（指手工创建的），则它不能访问计算机2。

注意4:共享权限与NTFS权限共同起作用（即远程访问且用户不是本地用户，指访问的资源与建立用户帐号的主机不在同一主机上），而且权限设置得不同时，其最终有限权限取交集。若一个用户属于两个

不同组，其有效权限取并集（累加）。但注意拒绝权限取并集也优先。

例5：在教师机上建立一个名为test的文件夹，现有如下的设置

某文件夹权限的设置 Debugger Users组

共享权限

NTFS权限

完全控制

修改

Administrators组

修改

只读

问：（1）administrator身份本机访问教师机的test文件夹时，最终有效权限是什么？在教师机上开机，访问者以administrator身份登录教师机（访问者使用的主机就是教师机），为修改+只读=修改。此时，只看NTFS权限即可。

(2)以administrator身份网络/远程访问教师机的test文件夹时（相当于学生机上登录并以教师机的administrator身份连接到教师机），最终有效权限是什么？分析：administrator属于这两个不同组，先看每个组的最终有效权限，然后再将这两个组的权限累加。先看Debugger

Users组网络访问test文件夹的最终有效权限= Debugger Users组共享权限与Debugger Users组NTFS权限取交集=完全控制与修改取交集修改；同理，administrators组网络访问test文件夹的最终有效权限=administrators组的共享权限与administrators组的NTFS权限取交集=修改与只读取交集=只读。而administrator网络访问test文件夹的最终有效权限=Debugger Users组的最终有效权限+administrators组的最终有效权限=修改+只读=修改。

例6：在教师机上建立一个名为机器猫的文件夹，现有如下的设置，教师机上建立一个名为zff的用户帐号。Zff既是administrators组员，

又是users组员，而对于机器猫文件夹，zff帐号又单独设置了共享权限和NTFS权限。问：zff本机访问机器猫文件夹时，最终有效权限是什么？网络访问呢？

某文件夹权Users组

限的设置

共享权限

NTFS权限

拒绝

修改

Administratorszff

组

修改

完全控制

只读

写入

只读

默认

everyone

（1） 本机访问：只看NTFS权限=修改+完全控制+写入=完全控制

（2） 网络访问：先将各组、各帐号网络访问的最终有效权限算出，然后再进行各最终有效权限的累加。

 Users组网络访问的最终有效权限=Users组的共享权限与Users组的NTFS权限取交集=拒绝交修改=拒绝

 同理，administrators组网络访问机器猫文件夹的最终有效权限=修改交完全控制=修改

 同理，zff默认是everyone的成员，但everyone在共享权限时才有意义，NTFS权限无意义（只读或拒绝）。

 同理，单独设置的zff网络访问权限=只读交写入=无法判断

真正的zff的最终有效权限=拒绝+修改+无法判断=拒绝

注意5：如果上例中增加一个everyone组的话，要当心：任何帐号都是everyone的成员。