Windows 提供两组权限来限制对文件和文件夹的访问:NTFS 权限和共享权限。
- 使用 NTFS 文件系统格式化的卷上存储的每个文件和文件夹都应用了 NTFS 权限。默认情况下,将会从根文件夹继承到对其下的文件和子文件夹的权限,但此继承可被禁用。无论文件或文件夹是在本地访问还是在远程访问,NTFS 权限都会生效。基本级别的 NTFS 权限提供读取、读取和执行、写入、修改、列出文件夹内容以及完全控制等访问级别,如下所示:
此外,还有一组高级的 NTFS 权限,将基本访问级别划分为更精细的设置。这些高级权限因其应用的对象类型而异。对文件夹拥有的高级权限如下所示:
- 共享权限仅应用于共享文件夹。它们在您通过网络从远程系统访问共享文件夹时生效。对特定共享文件夹拥有的共享权限适用于该文件夹及其内容。与 NTFS 权限相比,共享权限的细分程度较小,可提供读取、更改和完全控制等访问级别:
关于 NTFS 权限和共享权限,要记住的最重要的事情是它们组合起来控制访问的方式。
用于确定用户对特定文件的访问级别的规则如下:
- 如果在本地访问文件,则仅使用 NTFS 权限。
- 如果通过共享访问文件,则会使用 NTFS 和共享权限,并应用最严格的权限。例如,如果共享文件夹的共享权限授予用户读取访问权,而 NTFS 权限授予用户修改访问权,则在远程访问共享时用户的有效权限级别是“读取”,在本地访问文件夹时用户的有效权限级别是“修改”。
- 用户的单个权限与用户所属组的权限相加。如果用户对某个文件具有读取访问权,但该用户是对同一文件具有修改访问权的组的成员,则该用户的有效权限级别是“修改”。
- 直接分配给特定文件或文件夹的权限(显式权限)优先于从父文件夹继承的权限(继承的权限)。
- 显式拒绝权限优先于显式允许权限,但由于前面的规则,显式允许权限优先于继承的拒绝权限。
两组权限都可以在文件或文件夹的“属性”窗口中分配。NTFS 权限在属性窗口的 Security 选项卡中分配。共享权限在 Sharing 选项卡中分配:单击 Advanced Sharing,然后单击 Permissions。