正常情况下,用户不需要关注权限,因为系统为我们做好了一切。每一个用户的权限都已经被系统定义,这样可以避免非授权访问文件和文件夹,以及其他受限对象。
这篇文章原文是由Aseem Kishore,在2015年11月13日写的。愿愿翻译,并解释。
首先,我要说的一点是,更改文件或者其他对象的访问权限,并不能保证更改后系统没有安全风险,在windows中,管理员可以首先获得受限对象的所有权,然后就可以任意更改首先对象的权限了。
如果你需要隐藏硬盘,或者加密文件,你可以阅读, encrypt your hard drive
https://www.online-tech-tips.com/computer-tips/how-to-encrypt-your-computers-hard-disk-data-and-files-for-free/
和 TrueCrypt工具, TrueCrypt 7.1a已经被上传到了GitHub,目前其稳定性也得到了第三方的验证。
好了,开始我们的正题。
先说说权利与权限的区别:访问权利(rights)在编程中,与受限对象的可用操作相关联,用一个比特位来表示,用访问掩码来设置。而权限(permissions)是与访问控制规则列表ACLs相关联。对于受限对象,如果没有相应的访问权利,则一定不能进行权限操作,但如果有相应的访问权利,但权限也可以设置为不可操作。
权限是个相对宏观的概念,它可以被分解为若干ACL,而ACL是由用户和其对应的访问控制权利(rights)组成。如下图:
上面的是用户列表,下面是对应的相应的权利规则,或者说访问控制规则ACEs。
专业来讲,权限英文是permission,而权利是right。
再来,权限可以被继承,当然也可以不。正常情况下,一个文件或者文件夹的权限是从其父文件夹继承而来的,一直到根目录,也就是硬盘。最简单的权限,至少包含三个用户:SYSTEM,当前登录用户,以及管理员组。
看下图:
可以看见上面的“读取和执行”和“读取”打勾,然而所有的权限都是灰色的,这代表着,两种情况之一:1.这些权限都是继承来的,取消继承才可以修改,2.这些权限需要获得所有者权限才可以修改。所以最坏的情况下,第一要获得所有者权限,第二要取消继承,才可以编辑。基本的权限有六种:(可以从微软官方查,这里直接给大家贴过来)
再说,编辑权限,要编辑权限,首先要获得文件或者受限对象的所有权。其次,如果继承与父对象,那么要取消掉隐式继承,才可以编辑。
有三条规律:需要说下
1.如果你给某个用户对于某个文件夹的“完全控制”权限,那这个用户在任何情况下都可以对这个文件夹里的文件或者子文件夹进行删除操作。
2.默认下,权限是被继承的,如果你想定制某个受限对象的权限,那么第一步你要先取消继承。
3.拒绝权限,总优先于,允许权限,所以建议使用拒绝权限要比允许权限更保守些,比如不要对用户组进行拒绝操作。
为了更好理解windows授权管理,愿愿画了两幅知识地图:
