信息系统安全工程师-第十课之NTFS权限(2)

大家好，我是小亮，上节课我们讲到NTFS第一节。今天我们继续讲解，由于个人原因，只能打字了，见谅。

本节课会讲到以下内容：
1.理解NTFS权限的概念 2.掌握NTFS权限的组合 3.理解移动和复制对权限的影响  4.掌握AGDLP动态
------------------------------------------------------------
上节课我们讲到取得文件或者文件夹的所有权，这节课我们来说下NTFS的应用规则，包括NTFS权限的组合、权限的继承记忆拒绝权限等方面。
首先我们先来看下权限的组合。假设域用户账户xiaoliang，属于本地域组U1。管理员创建一个文本文件1.txt。设置域用户账户xiaoliang对1.txt的权限为读取权限，设置本地域组U1对1.txt的权限为写入权限，此事域用户帐号xiaoliang的最终有效权限就是读取和写入权限。
那么假设域用户账户xiaoliang属于本地域组u1和u2。管理员对1.txt设置本地域组u1对其的权限为读取权限，设置本地域u2对其为写入权限。那么xiaoliang最终有效权限是读取和写入权限。
-------------------------------------------------------------
刚才我们提到的都是对文件的允许权限，那么权限的拒绝呢？拒绝权限可以覆盖所有其他权限！
假设域用户xiaoliang属于本地域组u1和u2。管理员对1.txt的权限设置本地域组u1对其为读取权限，设置u2组对其为写入权限，那么想让xiaoliang有读取权限而不能有写入权限，那么就需要对该账户设置拒绝写入权限，这样xiaoliang对1.txt就只有读取权限但没有写入权限了。
如果有大量的用户需要拒绝访问的话，可以建立一个拒绝组，然后将需要拒绝的用户加入此组，给这个组设置拒绝权限即可。
---------------------------------------------------------------
我们再来看下权限的继承，新建的本机或者文件夹会自动继承上一级目录或磁盘分区的NTFS权限，如果想修改从上一级继承下来的权限，不能对其直接修改，只能添加其他的权限。那么我们可以通过高级--权限来清除继承权限。
如果保留权限就单击复制按钮，如果不保留就可以单击删除。
---------------------------------------------------------------
下面我们讲下复制或者移动对其权限的影响。
在同一分区内：移动 会保留原来的权限  复制 会继承目的地文件夹的权限
在不同分区内：移动 继承目的地文件夹的权限  复制  继承目的地文件夹的权限
---------------------------------------------------------------------------
好了，关于NTFS权限设置到这里就结束了，下节课我们会讲到本地策略等一系列课程。大家再见！