感谢您对微软产品的热情和关注。对于一些经常遇到的问题,我们特别撰写、翻译了一些“如何做”的文档。真诚地希望这些文档能对你有一些帮助。
HOW TO:设置 Windows 2000 文件系统实现安全访问
最近更新: 19-Jul-2001
文章ID: CHS300691
这篇文章中的信息适用于:
>> Microsoft Windows 2000 Server
>> Microsoft Windows 2000 Professional
概要
文件系统的基本安全性开始于选择适当的文件系统。Windows 2000 包括三种不同的文件系统:NTFS、FAT32 和 FAT。
NTFS 文件系统是推荐的文件系统,因为它在可靠性和安全性方面具有优势,还因为它是大容量驱动器必需的。FAT 和 FAT32 文件系统彼此相似,除了 FAT32 比 FAT 适于更大的硬盘。NTFS 一直是比 FAT 或 FAT32 更强大的文件系统。Windows 2000 Server 有一个新版本的 NTFS,其中包括许多重要的安全功能,如:
>> 权限,可对单个文件设置而不仅仅是对文件夹设置。
>> 文件加密,大大增强了安全性。
>> Active Directory,可用来方便地查看和控制网络资源。
>> 域,它是 Active Directory 的一部分,可用于在简化管理任务的同时微调安全选项。域控制器需要 NTFS。
>> 磁盘活动的故障恢复日志,在发生断电或其他系统问题时,帮助您快速地还原信息。
>> 硬盘配额,可用于监视和控制单个用户使用的磁盘空间大小。
>> 对于大驱动器的更好的可缩放性。NTFS 的最大驱动器大小远大于 FAT,当驱动器容量增大时,NTFS 的性能不会象 FAT 一样下降。
如果当前使用的是 FAT 文件系统,则可以使用 Windows 2000 附带的"转换"工具,将其转换为 NTFS。有关使用"转换"工具的其他信息,请单击下面的文章编号,以便查看 Microsoft Knowledge Base 中的文章:
Q214579 How to Use Convert.exe to Convert a Partition to NTFS(如何使用 Convert.exe 将分区转换为 NTFS)
只要是使用 NTFS,就可以使用文件和文件夹权限保护数据。Windows 2000 为您对硬盘上的每个文件和文件夹提供了广泛的控制。您还可使用加密文件系统 (EFS) 技术,它是一项安全性技术,可使单个用户对文件进行加密,以防止其他用户读取。有关 EFS 的其他信息,请参阅 Windows 帮助。
修改文件和文件夹的权限
例如,如果要限制对文件夹的访问,以便 A 组和 B 组能查看文件夹但是不能删除它,您可以按照下列步骤添加这两组,并限制两组的写权限。若要修改文件和文件夹权限,请按照下列步骤操作:
1. 单击开始,指向程序,指向附件,单击 Windows 资源管理器,然后找到您想为其设置权限的文件或文件夹。
2. 右键单击文件或文件夹,单击属性,然后单击安全选项卡。
3. 若要为新组或新用户设置权限,请单击添加。键入要对其设置权限的组或用户名称,请使用域名\名称格式,然后单击确定。
4. 若要从现有的组或用户更改或删除权限,请单击组或用户的名称。
5. 如有必要,针对要允许或拒绝的每个权限单击允许或拒绝。或者,若要从权限列表中删除组或用户,请单击删除。
修改特殊权限
如果您需要对权限进行更精细的控制,则可以修改特殊权限。在本例中,假设已经共享了一个文件夹,并将访问权授予 A 组和 B 组。但是,不希望 A 组在共享文件夹中创建文件夹。可以拒绝 A 组的"写入"权限中的特殊的"创建文件夹/附加数据"权限。若要修改特殊权限,请按照下列步骤操作:
1. 单击开始,指向程序,指向附件,单击 Windows 资源管理器,然后找到要为其设置权限的文件或文件夹。
2. 右键单击文件或文件夹,单击属性,然后单击安全选项卡。
3. 点击高级,然后使用下列步骤之一:
o 若要为新组或新用户设置特殊权限,请单击添加。在名称框中,键入用户或组的名称,使用域名\名称格式。完成后,单击确定可自动打开权限项目对话框。
o 若要查看或更改现有组或用户的特殊权限,请单击组或用户的名称,然后单击查看/编辑。
o 若要删除一个组或用户及其特殊权限,请单击组或用户名称,然后单击删除。如果删除按钮不可用,请单击以清除允许将来自父系的可继承权限传播给该对象复选框。文件或文件夹将不再继承权限。跳过第 4 至 6 步。
4. 如有必要,在权限项目对话框中,在应用到中单击要对其应用权限的对象。注意应用到只是针对文件夹时才有。
5. 在权限中,针对每个权限单击允许或拒绝。
6. 如果希望目录树中子文件夹和文件继承这些权限,请单击以选中这些权限适用于所有文件夹和在这个文件夹中的文件复选框。
如果权限下的复选框不可用,或者如果删除按钮不可用,则文件或文件夹已从父文件夹继承了权限。
文件服务器上的权限
您可能需要对文件服务器上的文件指派权限。例如,假设您需要对小部门使用的服务器设置权限。文件服务器包括程序文件夹、该部门每个用户的主文件夹、用户可在其中共享文件的公用文件夹、用户用来存储只有组管理员才能读取的机密报告的保密文件夹。
程序文件夹
在该文件夹中,将所有程序文件设置为对所有用户只读,从而阻止病毒和特洛伊木马。也可以为 Administrators 组的成员授予"更改"权限,以便在升级程序时,管理员为自己授予"写入"权限。
1. 单击开始,指向程序,指向附件,单击 Windows 资源管理器,然后找到要为其设置权限的文件夹。在本例中,使用名为 Programs 的文件夹。
2. 在 Programs 文件夹,右键单击一个程序文件,单击属性,然后单击安全选项卡。
3. 单击 Everyone 组。如果未列出 Everyone 组,可以通过单击添加来添加组。
4. 在权限中,针对读取及运行和读取单击允许。
5. 针对写入单击拒绝,然后单击以清除其余权限的复选框。
6. 单击 Administrators 组,单击高级按钮,然后单击查看/编辑。
7. 对于更改权限,单击允许,然后单击确定。
8. 单击应用,单击确定,然后单击确定。
如果没有一个程序需要在它们自己的文件夹中写入任何文件(如初始化文件),也应该将包含这些程序的所有文件夹设置为只读。
主文件夹
在这些文件夹中,向每个用户授予完全控制各自文件夹的权限,但不要向任何人赋予对任何其他文件夹的权限。
1. 单击开始,指向程序,指向附件,单击 Windows 资源管理器,然后找到要为其设置权限的文件夹。在本例中,使用名为 User1 的文件夹。
2. 右键单击 User1 文件夹,单击属性,然后单击安全选项卡。
3. 删除列出的所有组和用户。若要完成该操作,请单击组或用户,然后单击删除。
4. 单击添加,然后添加适当的用户。例如,添加名为 User1 的用户。单击确定。
5. 单击用户。在权限中,针对完全控制单击允许。
公用文件夹
在该文件夹里,可以授予所有用户"修改"权限。"修改"权限比"完全控制"更适合,这是由于"完全控制"还允许用户设置对公用文件夹的权限,并获取对它的所有权。
1. 单击开始,指向程序,指向附件,单击 Windows 资源管理器,然后找到要为其设置权限的文件夹。在本例中,使用名为 Public 的文件夹。
2. 右键单击 Public 文件夹,单击属性,然后单击安全选项卡。
3. 在权限中,单击 Everyone 组,然后单击以清除完全控制复选框。
4. 在权限中,针对修改权限单击允许。
5. 删除所有其他组和用户。若要完成该操作,请单击组或用户,然后单击删除。
保密文件夹
若要创建保密文件夹,应将"写入"权限授予文件夹的 Users 或 Everyone 内置组,并将"修改"权限授予要读取该文件夹中文件的管理员。
1. 单击开始,指向程序,指向附件,单击 Windows 资源管理器,然后找到要为其设置权限的文件夹。在本例中,使用名为 Drop 的文件夹和名为 Manager1 的用户。
2. 右键单击 Drop 文件夹,单击属性,然后单击安全选项卡。
3. 单击 Everyone 组。如果未列出 Everyone 组,可通过单击添加来添加该组。
4. 针对写入权限单击允许,然后单击以清除其余权限的复选框。
5. 针对读取及运行单击拒绝。这还将显式拒绝"列出文件夹目录"和"读取"权限。
6. 保留 Everyone 组并删除列出的所有其他的组和用户。若要完成该操作,请单击组或用户,然后单击删除。
7. 单击添加,然后添加适当的用户。在本例中,添加 Manager1。单击确定。
8. 在权限中,单击 Manager1 用户,单击以清除完全控制复选框,然后针对修改权限单击允许。
备注:仅向管理员或服务器操作员授予对本地系统文件夹或子文件夹的访问权限。
缺陷
切记,被授予对文件夹具有"完全控制"权限的组或用户可以删除该文件夹中的文件和子文件夹,而无论保护文件和子文件夹的权限是什么。
只能针对 NTFS 驱动器上设置文件和文件夹权限。
- 微软全球技术中心 WinNT/2K/XP技术支持
立即参加微软认证的“最有价值专家”评选,赢取价值万元以上的丰富奖品!详情参见(http://www.csdn.net/expert/Topic/456/456919.shtm)
本贴子以“现状”提供且没有任何担保,同时也没有授予任何权利。具体事项可参见使用条款(http://support.microsoft.com/directory/worldwide/zh-cn/community/terms_chs.asp)。
