6个让人迷惑的文件服务器NTFS权限问题

　　基于Windows平台的文件服务器是个简单易行的方案，而NTFS是Windows文件服务器最关键的权限机制。正如我们所知，NTFS提供了一套有效的文件(文件夹)安全访问机制，它可以让我们对用户如何读取、写入以及以其它方式来操作系统中的文件进行严格的控制。但NTFS权限是复杂的，通常情况下，管理员虽然在文件服务器上按要求设置了文件或文件夹权限，但是却未能得到我们所预期的效果，即使是一个经验丰富的管理员也会遇到这样的困惑。是什么原因呢?笔者认为主要原因是他们不知道或者忽略了NTFS的某些安全特性。本文将就六个令人困惑的NTFS权限问题进行解密，希望对大家提升文件服务器的安全有帮助。

　　1、ACL权限继承中为什么有例外?

　　(1).ACL之间存在冲突

　　NTFS所使用的继承机制在文件的访问控制上扮演了重要的角色。为了确定权限，Windows必须查看影响该文件的所有ACL。任何文件或文件夹都有自己的ACL，通过它来授予或拒绝特定用户或用户组的访问。此外，每个对象还会从父文件夹及各种上级文件夹继承复杂的权限。所有这些权限都存在相互冲突的潜在可能：一条ACL允许用户访问文件，而另一条则明确拒绝访问。另外，一个用户也可能同时是多个用户组的成员，从而拥有不同的权限。(图1)

　　(2).避免ACL冲突的规则

　　为了解决ACL之间的冲突问题，Windows规定了以下一组规则：(1).在任一级别上，来自不同用户组的权限将进行组合。(2).在任一级别上，拒绝权限优先于允许权限。(3).直接设定在某一对象上的权限优先于该对象继承来的权限。(4).从近亲文件夹继承来的权限优先于从远亲文件夹继承来的权限。(5).任何对象都可以通过继承父文件夹的权限而受到保护。在处理这些规则时，Windows首先会检查该对象自身所带有的访问控制项目。如果没找到，Windows就会继续往上查看它的父文件夹，直至找到明确规定允许或拒绝访问该对象的访问控制项目。

　　(3).阻止权限继承

　　我们可以阻止某个对象继承父文件夹权限，具体做法是：打开该对象的安全属性高级对话框，找到“权限”页，清除“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目” 复选框即可。如果我们这么做了，那么父文件夹的权限将不再影响到当前文件或文件夹以及再下一级文件或文件夹至少大多数情况下是这样的。(图2)

　　(4).权限继承中的两个例外

　　然而，有关权限继承的两个鲜为人知的例外却会给我们带来困惑。第一个例外是：如果父文件夹允许列出文件夹的话，那么对其下文件拒绝“读取属性” 权限将不起作用。即使我们明确拒绝“读取属性” 权限，任何用户只要具有列出文件夹权限就一定能够查看该文件夹下任何文件的属性。这一例外显然违背了规则2和3，它不仅让一条允许权限优先于一条拒绝权限，而且让父文件夹的权限优先于对象自身的权限。这一例外同时也违背了规则4和5，因为即使我们通过清除“从父项继承那些可以应用到子对象的权限项目，包括那些在此明确定义的项目” 复选框的方式来明确阻止继承权限，父文件夹仍然会对其子对象的权限产生影响。(图3)

　　第二个例外是：如果父文件夹允许“删除子文件夹及文件”权限的话，那么对其下文件或文件夹拒绝“删除”权限将不起作用。因为大多数文件夹都默认允许“删除子文件夹及文件”权限，所以对其下文件拒绝“删除” 权限鲜有效果。这个例外也会带来一些困惑，因为我们可能需要禁止某用户删除某个文件，但是当我们拒绝他的“删除”权限后我们却发现他仍然可以删除文件。这一例外同样也违背了多条继承规则，而且即使我们明确阻止从父文件夹继承权限也无济于事。(图4)

　　(5).如何才能真正拒绝删除文件?

　　更令人不解的是，我们或许认为允许“删除子文件夹及文件” 权限的话，用户就能够删除子文件夹及文件。而拒绝该权限就意味着不允许用户删除子文件夹及文件。然而事实却并非如此。对某个文件夹拒绝“删除子文件夹及文件“ 权限实际上所起的效果是对其下的所有子对象开启了“删除“ 权限。我们不能单独依靠“删除子文件夹及文件” 和“删除” 这两个权限中的任何一个来阻止用户删除文件。防止文件被删除需要两个步骤：首先，对该文件本身拒绝“删除”权限;然后再对其父文件夹拒绝“删除子文件夹及文件” 权限。可见，权限继承及其例外情况实在太复杂了，对此管理员们一定要理解透彻才不会在遇到问题时困惑。(图5)