6个让人迷惑的文件服务器NTFS权限问题

　　3、为什么有些文件权限不如另一些管用?

　　有些文件权限不如另一些管用，原因仅仅在于其它默认的系统特权将它们覆盖了。比如，如果用户具有“还原文件和目录” 系统特权的话，我们就无法拒绝他的“取得所有权” 权限，默认情况下“Administrators” 和“BackuP Operators” 用户组成员都属于这类用户，因为他们具有“取得文件或其它对象所有权” 这一特权。我们虽然可以剥夺管理员所具有的这一系统特权，但管理员毕竟是管理员，他们也可以把特权重新夺回来。

　　(1).关于“取得所有权”权限

　　“取得所有权”权限在很大程度上是没有意义的，因为默认情况下只有“Administrators” 或“BackuP Operators” 组的成员才有权取得某个文件的所有权，而这两个组中任意一组的成员已经具有了“取得文件或其它对象所有权” 这一系统特权。唯一用的上这一权限的情形是：如果某一用户或用户组不属于“Administrators”组，不具有“还原文件和目录” 系统特权，但是又具有“取得文件或其它对象所有权”特权，而我们希望拒绝该用户或用户组取得某些文件的所有权。只有在这种场合，“取得所有权”权限才会像我们期待的那样发挥作用，否则就不要在它身上浪费时间了。

　　(2).“读取权限” 和“更改权限”

　　“读取权限” 和“更改权限” 这两个权限对文件的所有者不起作用，即使我们明确拒绝这两个权限。因此，这些权限对于任何具有“取得文件或其它对象所有权” 特权的用户也不起作用。如果我们要拒绝“读取权限” 和“更改权限”，我们必须同时拒绝“取得所有权” 权限。注意，尽管“读取权限“ 和“更改权限” 没有明确地允许或限制对审核设置(即：系统访问控制列表SACL)的访问，大多数查看权限的方法(比如：在Windows资源管理器里查看对象属性对话框的安全页)在权限即自由访问控制列表DACL)不可用的情况下都不会显示SACL。

　　(3).关于“遍历文件夹”权限

　　最后一点，我们大可不必在“遍历文件夹” 这个权限上浪费时间，因为系统已经默认授予所有用户“绕过遍历检查” 特权，这使得该权限形同虚设。此外，微软也一直建议不要强制执行遍历检查，因为某些应用程序无法正确处理目录遍历错误，从而会导致一些问题。