特殊权限

easy

我们平时看到的 NTFS 权限是标准权限，它为了简化权限管理而设计，并能满足一般的权限管理需求。但是，还可以利用 NTFS 的特殊权限对权限进行更细致的分配管理，以满足不同的权限管理需求。

普通权限：



如何看到特殊权限：
假设有 C:\groad 这个文件夹，右键点击，属性 --> “安全”选项卡 --> "高级“按钮：



在点击上图右边对话框的”更改权限“按钮，可以看到：



在上图中可以看到有两个复选框：
1. 包括可从该对象的父项继承的权限
父项权限中有些是可以被继承的，有些是不可以被继承的，该复选框表示要继承那些可以被继承的权限。

如果将此项取消勾选，那么会看到弹出 Windows 安全对话框：



点击“添加” 按钮，可以看到：



如上所示，“继承于”一栏底下全部从继承于 "C:\" 变为 "<不是继承的>" 。当再点击“编辑”按钮时，还可以看到“应用于”一栏可以重新选择了：



当再次勾选回该项时，又会发现：



这是因为，原来的都是“不是继承的”，那么你再勾选回来时，就又将“继承”的要求附加了回来。因此这时候可以对“非继承”的部分的权限设置为不同于继承于 C:\ 的权限。

2. 使用可从此对象继承的权限替换所有子对象权限
使用此文件夹的权限来替换所有子对象的权限，也就是强迫将所有子对象的权限改成与此文件夹相同（仅限那些可以被子对象继承的权限）。

让我们来看一下特殊权限：


红色方框部分就是特殊权限。标准权限就是这些特殊权限的组合，例如标准权限“读取”就是特殊权限”列出文件夹/读取数据“、”读取属性“、”读取扩展属性“ 以及 ”读取“ 权限等 4 个特殊权限的组合。

特殊权限解释

遍历文件夹/执行文件 (Traverse Folder/Execute File)
遍历文件夹让用户即使在没有权限访问文件夹的情况下，仍然可以切换到该文件夹内。这个权限只适用于文件夹，不适用于文件。另外，这个权限只有用户在组策略或本地计算机策略内未被赋予绕过遍历检查(Bypass Traverse Checking) 权限时才有效。

执行文件让用户运行程序，此权限仅限于文件，不适用于文件夹。

列出文件夹/读取数据(List Folder/Read Data)
列出文件夹让用户可以查看文件夹内的文件名与子文件夹名。此权限只适用于文件夹。读取数据让用户可以查看文件内的数据，此权限仅适用于文件。

读取属性 (Read attributes)
此权限让用户可以查看文件夹或文件的属性（只读、隐藏等属性）。

读取扩展属性 ( Read Extended attributes )
此权限让用户可以查看文件夹或文件的扩展属性。扩展属性是由应用程序自行制定的，不同的应用程序可能有不同的设置。

创建文件/写入数据 (Create files/Write data)
创建文件让用户可以在文件夹内创建文件，此权限只适用于文件夹。写入数据让用户可以修改文件内的数据或者覆盖文件的内容，此权限只适用于文件。

创建文件夹/附加数据 (Create Folder/Append Data)
创建文件夹让用户可以在文件夹内创建子文件夹，此权限只适用于文件夹。
附加数据让用户可以在文件的后面添加数据，但不能修改，删除，覆盖原有的数据，此权限只适用于文件。

写入属性(Write Attributes)
此权限让用户可以修改文件夹或文件的属性（只读、隐藏等属性）。

写入扩展属性(Write Extended Attributes)
此权限让用户可以修改文件夹或文件的扩展属性。扩展属性是由应用程序自行制定的，不同的应用程序可能有不同的设置。

删除子文件夹及文件(Data Subfolders Files)
此权限让用户可以删除此文件夹内的子文件夹与文件，即使用户对这个子文件夹或文件没有删除的权限(见下)也可以将其删除。

删除(Delete)
此权限让用户可以删除此文件夹或文件。

注意：即使用户对文件夹或文件没有删除的权限，但是只要他对父文件夹具有”删除子文件夹及文件“的权限，他还是可以将此文件夹或文件删除。

读取权限 (Read Permissions)
此权限让用户可以查看文件夹或文件的权限设置。

更改权限(Change Permissions)
此权限让用户可以更改文件夹或文件的权限设置。

取得权限(Take ownership)
此权限让用户可以获取文件夹或文件的所有权。文件夹或文件的所有者，无论其对文件夹或文件权限是什么，他永远具备更改此文件夹或文件权限的能力。