微电脑世界1999年第1期
理解Windows NT的权限管理
卢继勇
Windows NT 4.0( 以 下 简 称NT) 在 安 全 管 理 方 面 具 有 不 少 优 点。 它 在 用 户 权 力 的 控 制 方 面 应 用 起 来 既 严 格, 又 不 乏 灵 活 性。 但 许 多 初 次 接 触NT 的 人 对 它 在 权 限 管 理 方 面 的 重 要 概 念 难 以 理 解, 因 此 使 用 起 来 便 觉 得 过 于 繁 琐, 不 得 要 领, 甚 至 无 意 中 制 造 了 安 全 隐 患, 还 被 蒙 在 鼓 里。
NT 的 权 限 管 理 涉 及 到 用 户 权 力、 共 享 权 限 和 对 象 权 限 等。
用 户 权 力(User Rights) 是 指 用 户 或 用 户 组 对 整 个 系 统 的 访 问 权 力, 这 里 使 用“ 权 力” 这 个 词 是 为 了 与 读、 写 等 共 享 权 限 以 及 对 象 权 限 相 区 别。 用 户 权 力 包 括 用 户 能 否 从 网 络 访 问 服 务 器, 是 否 拥 有 从 运 行NT 的 服 务 器 上 登 录 的 权 力 等。
表1 中 列 出 了NT 可 以 设 置 的 用 户 普 通 权 力。 此 外, 用 户 权 力 还 包 括 所 谓 的 高 级 权 力, 它 们 通 常 用 于 特 殊 目 的, 比 如 为 某 些 特 殊 程 序( 如NT 的 系 统 服 务 程 序) 设 置 作 为 服 务 程 序 登 录, 而 不 把 它 们 授 予 用 户 和 用 户 组。
对 象 权 限(Object Permissions) 只 能 在NTFS 中 使 用。 无 论 对 网 络 用 户 还 是 从 运 行NT 的 服 务 器( 本 地 机 器) 上 登 录 的 用 户, 对 象 权 限 都 起 作 用, 也 就 是 说, 不 论 是 否 联 网, 对NTFS 的 文 件 和 目 录 的 权 限 设 置 都 会 发 生 效 力。
对 象 权 限 是 以 系 统 资 源 为 对 象, 设 置 用 户 访 问 控 制 列 表(Access Control List)。 在 表 中 列 出 可 以 访 问 该 资 源 所 承 认 的 用 户 和 组 列 表 及 它 们 相 应 的 权 限 类 型。
表1 用 户 普 通 权 力 表
| 从 网 络 访 问 该 计 算 机 |
| 备 份 文 件 和 目 录 |
| 更 改 系 统 时 间 |
| 强 制 从 远 程 系 统 关 机 |
| 加 载 和 下 载 设 备 驱 动 程 序 |
| 本 地 登 录 |
| 管 理 审 核 和 安 全 日 志 |
| 还 原 文 件 和 目 录 |
| 关 闭 系 统 |
| 获 得 文 件 或 其 他 对 象 的 所 有 权 |
目 录 和 文 件 访 问 权 限 如 表2 所 示。
表2 对 象 权 限 表
| 权 限 类 型 | 目 录 权 限 | 文 件 权 限 |
| 读(R) | 允 许 查 看 文 件 名 和 子 目 录 名 | 允 许 查 看 文 件 数 据 |
| 写(W) | 允 许 添 加 文 件 和 子 目 录 | 允 许 更 改 文 件 数 据 |
| 可 执 行(X) | 允 许 进 入 该 目 录 | 如 果 文 件 是 程 序 文 件, 允 许 运 行 该 文 件 |
| 删 除(D) | 允 许 删 除 文 件 | 允 许 删 除 文 件 |
| 更 改 权 限(P) | 允 许 更 改 目 录 权 限 | 允 许 更 改 文 件 权 限 |
| 获 得 所 有 权(O) | 允 许 获 得 目 录 的 所 有 权 | 允 许 获 得 文 件 的 所 有 权 |
在NT 中 为 设 置 方 便 起 见, 系 统 提 供 了 几 种 权 限 的 组 合, 用 户 可 以 直 接 使 用 它, 这 被 称 为 标 准 权 限。 对 于 目 录, 标 准 权 限 包 括 了 对 目 录 以 及 目 录 中 的 文 件 所 规 定 的 权 限, 如 表3。
表3 目 录 标 准 权 限
| 标 准 权 限 | 目 录 权 限 组 合 | 文 件 权 限 组 合 |
| 不 许 访 问 | ( 无) | ( 无) |
| 显 示 | (RX) | ( 未 指 定) |
| 读 | (RX) | (RX) |
| 添 加 | (WX) | ( 未 指 定) |
| 添 加 和 读 | (RWX) | (RX) |
| 更 改 | (RWXD) | (RWXD) |
| 完 全 控 制 | ( 所 有) | ( 所 有) |
文 件 的 标 准 权 限 只 适 用 于 当 前 设 置 的 文 件, 如 表4。
表4 文 件 标 准 权 限
| 标 准 权 限 | 文 件 权 限 组 合 |
| 不 许 访 问 | ( 无) |
| 读 | (RX) |
| 更 改 | (RWXD) |
| 完 全 控 制 | ( 所 有) |
共 享 权 限(Share Permissions) 决 定 用 户 从 网 络 上 访 问 系 统 资 源 的 方 式, 它 针 对 的 是 通 过 网 络 协 议 访 问NT 系 统 的 用 户 和 设 置 成 共 享 状 态 的 资 源 之 间 的 关 系。 相 对 于 文 件, 在NT 系 统 中 只 能 针 对 目 录( 文 件 夹) 设 置 共 享。
如 果 把 对 象 权 限 比 作 房 间 钥 匙, 那 么 共 享 权 限 就 是 大 楼 的 门 卫。 即 便 你 有 房 间 钥 匙, 但 如 果 门 卫 不 让 你 进 楼, 你 还 是 不 能 进 到 你 的 房 间 里。
共 享 权 限 对NTFS 和FAT 系 统 都 适 用, 权 限 类 型 与 对 象 权 限 是 一 致 的, 但 在NT 中 设 置 共 享 权 限 时, 通 过 共 享 设 置 的GUI 工 具 只 能 设 置 组 合 共 享 权 限( 标 准 共 享 权 限), 这 种 组 合 共 享 权 限 分 为 四 级, 我 们 可 以 比 照 目 录 的 对 象 权 限 来 理 解 它 们 的 含 义。
在Windows NT 中 只 能 以 目 录 为 对 象 进 行 共 享, 共 享 权 限 分 为 四 级, 前 一 部 分 是 指 目 录 权 限, 后 一 部 分 是 指 目 录 中 文 件 的 权 限, 如 表5 所 示。
表5 共 享 权 限 表
| 共 享 权 限 | 权 限 组 合 |
| 不 许 访 问 | ( 无)( 无) |
| 读 | (RX)(RX) |
| 更 改 | (RWXD)(RWXD) |
| 完 全 控 制 | ( 所 有)( 所 有) |
在 实 际 使 用 中, 主 要 是 要 搞 清 楚 用 户 权 力 和 对 象 权 限 这 两 个 概 念 的 区 别, 在 此 基 础 上 合 理 地 分 配 共 享 资 源 的 共 享 权 限, 从 而 既 有 效 地 利 用 网 络 资 源, 又 能 保 障 系 统 的 安 全 运 行。
( 作 者 地 址: 重 庆 邮 电 学 院 管 理 工 程 系,400065)