NTFS 权限中的继承

easy

标准 NTFS 权限的种类有：
读取( Read )
写入( Write )
读取和执行( Read & Execute )
修改( Modify )
完全控制( Full Control ) ：其中完全控制权限除了前面的所有权限外，还拥有“更改权限” 和 “取得所有权” 这两个特殊权限。

标准 NTFS 文件夹权限有以下几种：
读取( Read )
写入( Write )
列出文件夹内容( List Folder Contents )
读取和执行( Read & Execute ) ：该权限除了拥有“列出文件夹内容”几乎相同的权限外，只有在权限继承方面有所不同：列出文件夹内容权限只会被文件夹继承，而“读取和执行”会同时被文件夹与文件来继承。
修改( Modify )
完全控制( Full Control  )


NTFS 权限具有累加性
比如用户 A 同属于两个用户组，一个是研发组，一个是经理组；用户自身对一个文件具有写入权限，而所在研发组具有读权限，经理组具有“读取和执行”权限，于是这个员工对这个权限最后累加就有了“读取+写入+执行” 权限。

“拒绝”权限有较高优先级
虽然用户对某个文件的有效权限是其所有权限来源的综合（权限的累加性），但只要其中一个权限的来源被设置为拒绝，那么该用户不会再拥有此项权限。如上面的用户A，若所处的研发部的权限的读权限是拒绝的，那么用户 A 的“读取”权限 就会被拒绝。

NTFS 权限是可以被继承的。比如当对一个文件夹设置好权限之后，这个权限会被文件夹下的子文件夹和文件所继承。当然，我们也可以单独设置子文件夹和文件的继承，或者不让它们继承。

假设一个在 C:\ 下的文件夹 tmp 的权限为：



那么在其下新建的一个 tmp.txt 文件将继承这个默认的权限：



由于 tmp.txt 只是普通的文本文件而非文件夹，所以它没有“列出文件夹内容“这个权限。需要注意的是，tmp.txt 中的 Users 组的权限两个勾是灰色的，这也说明了它是从附项继承而来的，因此只可添加权限，如可添加”写入“权限。若要修改继承而来的权限，如将 Users 里的”读取“ 权限取消，那么只能勾选”拒绝“，而不能将灰色的勾去掉，如下所示：


反过来也是同样。

如果不希望文件继承父文件夹的权限因该怎么办？
如果不希望继承父项权限，如不希望 tmp.txt 继承上面的文件夹 C:\tmp 的权限，那么可以：

1. 打开 tmp.txt 属性的”安全“选项卡，然后点击上面的”高级“按钮：



然后会看到”高级安全设置“对话框，点击上面的”更改权限“按钮：



接下来会看到下面的对话框：



在上图的红色框框中，打勾了”包括从该对象的父项继承的权限“，这些继承的权限就是上面“权限项目”里列出来的几项。我们可以将这个勾勾去掉，此时会弹出一个提示框：


这里，点击“删除”按钮的话，就会删除掉那些继承而来的权限；如果添加的话，那么这些原来继承而来的权限会被转换为非继承的权限，然后我们在此基础上也可以添加自己的自定义权限，，这里我们点击“添加”：



从上图中可以看到，“继承于“下面显示的是”不是继承的“，这就是将继承转换为非继承的结果。如果点击的是”删除“按钮，那上面继承的权限就会被删除掉。