Windows 2000 NTFS aplicación de permisos de disco

WIN2000 agregó una característica diferente de WIN98 y versiones anteriores de WINDOWS, es decir, permisos de NTFS, debido a esta característica, entonces WIN2000 puede implementar carpetas y archivos El control de seguridad de nivel, que es diferente de la cuenta y la contraseña en WIN 98. En WIN98, siempre que sepa el número de cuenta y la contraseña, puede controlar completamente la computadora, pero no solo puede permitir que una carpeta lea una determinada cuenta o La función de un archivo. En WIN2000, esto se puede lograr perfectamente. Ok vamos En primer lugar, permítame hablarle de la premisa para lograr esta función, es decir, su partición debe ser una partición NTFS, si es una partición FAT o FAT32, entonces esta función no se puede lograr, de hecho, si solo tiene un sistema operativo WIN2000 en su computadora Si no tiene un sistema con WIN98 y WIN98 instalado en su máquina, entonces usar una partición NTFS es una muy buena opción, lo que mejorará en gran medida la estabilidad y seguridad de su sistema. Si su partición es una partición FAT32, puede usar este comando para convertirla en una partición NTFS: convierta x: /fs: ntfs donde x puede reemplazarse con la letra de unidad real. Sin embargo, debe tenerse en cuenta que WIN98 no reconoce la partición de formato NTFS, lo que significa que si se usa el formato NTFS en la partición WIN98, WIN98 no estará disponible. Además, el comando es irreversible, lo que significa que el comando solo puede convertir FAT32 al formato NTFS y no puede convertir el formato NTFS al formato FAT32. Si desea convertirlo nuevamente, puede usar PQ y otro software para lograrlo.

Bien, ahora, ahora mismo, después de usar la partición NTFS, debe otorgar permisos NTFS a cada cuenta de usuario que necesite acceder a un recurso. Los usuarios deben estar autorizados explícitamente para acceder a los recursos establecidos. Si no hay permiso, se le negará el acceso al recurso. Por ejemplo: Supongamos que hay un archivo, establezco permisos NTFS para él. Lo configuro para que sea accesible solo para mí y para los usuarios A. Luego, excepto para mí y A, cualquier otro inicio de sesión de la cuenta no podrá usar el archivo. WIN2000 Fuera de las palabras "no tienen los permisos apropiados para leer" palabras. Esto logra la seguridad del archivo, y la seguridad es válida tanto en la computadora como en la red, es decir, incluso si me conecto a la computadora a través de la red, solo el usuario y yo podemos usar el archivo, otros También es inutilizable, aunque el archivo se comparte, pero otros solo pueden ver este archivo, pero no se puede leer, ¿eh, eh, un poco visible, no se puede comer? En WIN2000 hay algo llamado Lista de control de acceso (ACL) que contiene las cuentas, los grupos y las computadoras de los usuarios que pueden acceder al recurso. Cuando un usuario accede al recurso, debe tener su cuenta en la ACL, luego WIN2000 le permite al usuario acceder al recurso, de lo contrario, se rehusa.

El punto que se explica aquí es que es diferente de lo que imaginamos. WIN2000 no identifica a los usuarios según si el nombre de usuario es el mismo. Cada cuenta tiene un ID de seguridad (SID, identificador de seguridad) cuando se crea. WIN2000 identifica al usuario según si el SID es el mismo. Si el SID es diferente, incluso si el SID es diferente, El nombre de usuario y otras configuraciones son exactamente iguales, WIN2000 también pensará que no son las mismas dos cuentas, es como cuando recibimos el premio, solo reconocemos si su tarjeta de identificación es consistente, sin importar si su nombre es el mismo o no, y WIN2000 asigna el SID al azar al crear la cuenta. Por lo tanto, cuando se elimina una cuenta, se restablece una cuenta idéntica. El SID es diferente del original y, a continuación, se deben restablecer sus permisos NTFS. . Ahora hablemos de la aplicación práctica de los permisos NTFS. Haga clic con el botón derecho en el archivo o la carpeta para el que desea establecer permisos y seleccione Propiedades -> Seguridad. En este punto, puede ver la cuenta o el grupo que tiene permiso para usar el archivo. Por defecto, está el grupo Todos, que representa a todos los usuarios. Las siguientes secciones son los permisos que se pueden establecer para este grupo o cuenta. Si los permisos de Todos están configurados en control total, significa que todos los usuarios pueden manipular el archivo a voluntad, incluida la lectura, modificación, eliminación, etc. Este es también los permisos predeterminados para WIN2000. También puedes agregar una cuenta y establecer permisos para la cuenta. Mientras lo hagas tú mismo, sabes cómo hacerlo. Ahora, solo doy un ejemplo para ilustrar: Supongamos que hay un archivo llamado ARCHIVO, tengo que configurarlo solo en USER1, USER2 y USER3. Estos tres usuarios pueden usar el archivo, pero el usuario USER1 puede operar el archivo a voluntad, el usuario USER2 solo puede leer el archivo, pero no puede realizar otras operaciones como la modificación, USER3 puede leer, puede escribir, pero no puede eliminar Este documento, explico el método de operación específica. 1. Haga clic con el botón derecho en ARCHIVO y seleccione Propiedades -> Seguridad. 2. El siguiente "Permitir que los permisos heredables del padre se propaguen al objeto". Aparecerá un cuadro de diálogo y elegirá eliminar. En otras palabras, elimine todas las cuentas, como Todos arriba. 3, apunte para agregar, abra un cuadro de diálogo, seleccione USUARIO1, agregue, OK. 4, luego seleccione USUARIO1, en el "control total" detrás de "permitir" y " debajo de la marca. 5. Agregue USER2 como se describe anteriormente. 6. Seleccione USER2 y marque la casilla de verificación "Permitir" después de " Leer " y elimine todos los demás ganchos. 7. Añadir USER3. 8. Seleccione USER3 y marque < Permitir > en la sección " Modificar " para confirmar la comprobación de " Control total ". 9. Seleccione " Avanzado ", seleccione USER3, haga clic en " Ver /Editar ". Elimine el " eliminar >; '; permitir " comprobar. 10, lo consigue! ! ! ^ - ^ En este momento, inicie sesión con USER1, luego puede controlar completamente el archivo.

Inicie sesión con USER2, puede abrir el archivo, cuando lo guarde aparecerá "No se puede crear ARCHIVO, confirme la ruta y el nombre del archivo Es el cuadro correcto y " Esto significa que USER2 no puede guardar el archivo ahora. Por supuesto, no se pueden realizar otras operaciones, solo puede leer el archivo. Inicia sesión con USER3 para abrir el archivo o guardarlo. Al eliminar el archivo, aparecerá "No se puede eliminar ARCHIVO: Acceso denegado". Es posible que el archivo de origen esté utilizando el indicador <quo; para indicar que no se pudo eliminar el archivo. ***** Recordatorio: antes de que pueda comprender completamente el uso de los permisos, es mejor crear un archivo que no sea útil y luego probarlo, lo que es más seguro. De lo contrario, no es mi negocio hacer que los documentos importantes se eliminen. En cuanto a la seguridad de la carpeta, los pasos son similares a los anteriores, pero la carpeta tendrá una herencia, es decir, puede elegir si la configuración del permiso es solo para la carpeta o la subcarpeta de la carpeta y la carpeta. Carpetas y archivos de trabajo. Simplemente reinicie los permisos de todos los objetos secundarios y permita que se propaguen los permisos heredados.

Puntos clave y dificultades Los permisos NTFS múltiples no han sido claros para muchas personas. Ahora permítanme presentarles y dar ejemplos. ****** Nota: Lo siguiente describe el problema entre varios permisos NTFS, múltiples entre permisos que no son NTFS y permisos compartidos.

1. Acumulación de permisos Los permisos efectivos de un usuario a un recurso son la suma de todos los permisos asignados a esa cuenta de usuario individual y el grupo al que pertenece el usuario. Si el usuario tiene el permiso "Leer" para el archivo, el grupo al que pertenece tiene el permiso para "escribir" en el archivo, entonces el usuario tiene tanto "Leer" como "ld"; Los permisos para escribir en " son los siguientes:

Supongamos que la situación es la siguiente: Hay un archivo llamado ARCHIVO. USER1 usuario pertenece a GROUP1 group USER1 (permiso de lectura) ---- > FILE < ---- GROUP1 (permiso de escritura) | | | | El permiso USER1 para FILE es read + write

2, los permisos de archivo son más altos que los permisos de carpeta significa que los permisos de archivo NTFS tienen prioridad para los permisos de carpeta NTFS, asumiendo que puede acceder a un archivo, incluso si el archivo está en una carpeta a la que no tiene acceso, puede Acceso (siempre que el archivo no herede los permisos de la carpeta a la que pertenece). Un ejemplo es el siguiente: Supongamos que no tiene acceso a la carpeta FOLDER, pero el archivo FILE.TXT de esta carpeta no hereda los permisos de FOLDER, lo que significa que tiene acceso al archivo FILE.TXT, pero no puede usar Algo como el administrador de recursos para abrir la carpeta FOLDER, no puede ver el archivo ARCHIVO (porque no tiene acceso a FOLDER), pero puede acceder al archivo ingresando su ruta completa. Por ejemplo, puede usar c: \\ folder \\ file.txt para acceder al archivo FILE (asumiendo que está en la unidad C). 3. Rechazar más alto que otros permisos. Denegar permisos puede anular todos los demás permisos. Incluso si un miembro de un grupo tiene acceso a una carpeta o archivo, pero al grupo se le niega el acceso, todos los permisos que tendría el usuario están bloqueados y no se puede acceder a la carpeta o al archivo. En otras palabras, el principio de acumulación de privilegios en el primer punto anterior será inválido. Un ejemplo es el siguiente: Supongamos que la situación es la siguiente: Hay un archivo llamado ARCHIVO. El usuario USER1 pertenece al GRUPO1 GRUPO USER1 (permiso de lectura) ---- > ARCHIVO < ---- GRUPO1 (rechazado) | | | | Acceso denegado, el permiso del USUARIO1 para ARCHIVO ya no será: leer + escribir , pero no puede acceder al archivo ARCHIVO. Otro caso es que el principio de rechazo y el principio de acumulación coexisten, por ejemplo: hay un archivo llamado ARCHIVO. El usuario USER1 pertenece al grupo GROUP1 y también pertenece al grupo GROUP2, USER1 (permiso de lectura) | | GROUP1 (permiso de escritura) ---- > ARCHIVO < ---- GROUP2 (rechazo de escritura) | | | Leer Lleve el USUARIO 1 a ARCHIVO: lea (de acuerdo con el principio de acumulación, el USUARIO1 tiene ARCHIVO originalmente: " read + write " permissions, pero debido a que el grupo GROUP2 al que pertenece el USER1 se rechaza, por lo que solo " Leer y " Permisos