·如何設置文件的安全性
你知道Windows 2000的文件安全性嗎? 在使用Windows 98時,我們從來沒有考慮文件的安全,如果一台電腦有多個人使用的話,自己的文件其他人也可以打開、複製、刪除。在Windows 2000下,這已不在是問題了,那麼如何來建立文件的安全性呢?
說到安全性,首先要提Windows 2000采用的NTFS文件係統,在安裝Windows 2000的時候安裝程序就提示過是否要將磁盤分區轉換成NTFS格式的。可能當時你有些擔心,會不會把磁盤上的文件都丟掉,會不會在轉換的時候要格式化磁盤,其實這個轉換的過程是很安全的。隻有磁盤采用了NTFS的文件係統,才能給目錄、文件提供安全設置。
·看看文件的安全性
下麵我們就先看看目錄的安全設置,從"我的電腦"訪問到E盤的"Project"目錄,選中此目錄,單擊鼠標右鍵,選擇"屬性"。你會發現目錄的屬性比在Windows 98下多出了"安全"一項,我們打開"安全"選項卡。(如圖一)和設置共享權限的畫麵類似,上麵是分配了安全權限的組或用戶列表,下麵對應列出他們所擁有的權限。(如圖二)
圖一 | 圖二 |
圖三 |
我們先選中"Administrators"組,在下麵的框中可以看到沒有給該組分配任何權限,注意看下麵"高級"按鈕下的說明文字"額外的權限已存在,但無法在此處查看。(如圖三)"為何會這樣呢?從"組"後麵的說明可以看到該組是本機的內置係統管理員組,他的權限比較特殊,所以係統采用一些保護方式。
再點下麵的"System"組,這個組和Administrators有同樣特殊性,"System"是"係統程序"用戶,屬於內置組。對於這兩個組,通常都不要更改他們的權限。
圖四 |
再點一下"Everyone"組,他的權限是允許"完全控製",隻是這些權限的框被標為灰色的,(如圖四)這又有什麼特殊的地方嗎?這種灰色的框,表示這些權限是繼承自"父係"的,這裏又出現一個新概念,那如何來理解"父係"呢?對於目錄"Project"來講,E盤根目錄是它的上級目錄,以前人們叫做"父"目錄,也就是這裏所說的"目錄Project"的"父係"。我們在E盤的圖標上單擊鼠標右鍵,選擇"屬性",再打開"安全"選項卡,在這裏可以看到"Everyone"組對E盤所擁有的安全權限,"E盤Project"的安全權限便是繼承它的。
·自己設置文件的安全性
比如這裏我們隻希望 係統管理員組 可以讀取該目錄下的文件和子目錄,用戶Super對該目錄"Project"有完全控製的權限,其他人員或組隻能查看目錄中的文件和子目錄,而不能讀取數據。如何來設置呢?
先要刪除"System"組,在“Project”目錄上點擊右鍵,選擇“屬性”。打開“安全”選項卡。(如圖一) | ||
選中“SYSTEM”組,點"刪除"。(如圖二) | 圖二 | |
圖三 | 再選中"Everyone"組,然後將下麵的"允許將來自父係的可繼承權限傳遞給該對象"前麵的選擇點掉,(如圖三) |
屏幕上會彈出一個安全提示,這裏選擇"複製"或者"刪除"都可以,意思是是否保留或者刪除"從父係繼承的權限"。再點"刪除"。也許你開始產生疑惑了,為什麼這裏要刪除"Everyone"組呢?為何不通過"Everyone"組給其他人設置隻能看目錄的"安全"權限呢?
這裏我們要做一點解釋,登錄到本機上的任何用戶身份都屬於"Everyone"組,如果給"Everyone"隻設置讀目錄權限,又給一個用戶設置寫的權限,但最終該用戶隻有讀目錄的權限,因為"安全"屬性總是取所有權限中最嚴格的,而"共享"則取最多的權限,如果同時設置"共享"和"安全"則"共享"也要按"安全"設置取最嚴格的,因為"安全"的優先權更高。
圖四 | 圖五 |
下麵點添加,(如圖四)從列表中,選擇"Super",點"添加",(如圖五)再選"Guest",點"添加",這裏我們使用Guest帳號給其他用戶設置"隻能讀取目錄的權限"。再點"確定"返回。
圖六 | 接下來分別設置權限,先選定"Super",(如圖六) | |
在下麵的權限中選擇"允許 完全控製"。(如圖七) | 圖七 | |
圖八 | 再選擇"Guest",點一下允許"讀取及運行"和允許"讀取",將這兩個選擇都去掉,隻保留"列出文件夾目錄"項,這樣Guest身份的用戶就隻能看到該文件夾的目錄了。(如圖八) |
圖九 |
最後,選擇"Administrators"組,然後其權限也選擇為允許"讀取及運行",下麵的"列出文件夾目錄"、"讀取"也被自動選中。到現在為止,點"確定"所有的設置都完成了。(如圖九)
·什麼是拒絕權限?
在設置文件的安全性和前麵設置共享權限,在權限欄中都有"拒絕"一列,它又表示什麼?我們隻需設置是否有允許的權限不就夠了嗎,要這個"拒絕"做什麼用?(如圖一)
圖一 | 圖二 |
我們還是看一個實例:比如在E盤上有一個Public目錄,這個目錄存放一些公共文件,可以允許Users組成員讀寫,但是這個目錄中還有一個"Secret"目錄用來存放一些重要文件,隻允許Users組成員讀取。
我們先瀏覽到E盤的Public目錄,將其選中,單擊右鍵選擇"屬性",打開"安全"選項卡,(如圖二)將其中的"Everyone"刪除,添加上Users組,將權限設置為允許"完全控製",然後再打開"Public"下的"Secret"目錄屬性,打開"安全"選項卡,同樣也刪除"Everyone"組,此時Users組擁有"完全控製"的權限,允許權限顯示灰色,(如圖三)表明該權限是從上一級目錄"Public"上傳遞下來的,單擊"拒絕"中的"寫入",選中該項,單擊"確定",(如圖四)此時係統給出一個警告,提示"拒絕"的優先級要高於"允許",單擊"是",此時Users組成員再往"Secret"目錄中寫文件,就會遭到拒絕。
圖三 | 圖四 |
拒絕權限好比是攔路設的屏障,用來阻止來自上一級(父級)下達的命令。