·如何设置文件的安全性
你知道Windows 2000的文件安全性吗? 在使用Windows 98时,我们从来没有考虑文件的安全,如果一台电脑有多个人使用的话,自己的文件其他人也可以打开、复制、删除。在Windows 2000下,这已不在是问题了,那么如何来建立文件的安全性呢?
说到安全性,首先要提Windows 2000采用的NTFS文件系统,在安装Windows 2000的时候安装程序就提示过是否要将磁盘分区转换成NTFS格式的。可能当时你有些担心,会不会把磁盘上的文件都丢掉,会不会在转换的时候要格式化磁盘,其实这个转换的过程是很安全的。只有磁盘采用了NTFS的文件系统,才能给目录、文件提供安全设置。
·看看文件的安全性
下面我们就先看看目录的安全设置,从"我的电脑"访问到E盘的"Project"目录,选中此目录,单击鼠标右键,选择"属性"。你会发现目录的属性比在Windows 98下多出了"安全"一项,我们打开"安全"选项卡。(如图一)和设置共享权限的画面类似,上面是分配了安全权限的组或用户列表,下面对应列出他们所拥有的权限。(如图二)
图一 | 图二 |
图三 |
我们先选中"Administrators"组,在下面的框中可以看到没有给该组分配任何权限,注意看下面"高级"按钮下的说明文字"额外的权限已存在,但无法在此处查看。(如图三)"为何会这样呢?从"组"后面的说明可以看到该组是本机的内置系统管理员组,他的权限比较特殊,所以系统采用一些保护方式。
再点下面的"System"组,这个组和Administrators有同样特殊性,"System"是"系统程序"用户,属于内置组。对于这两个组,通常都不要更改他们的权限。
图四 |
再点一下"Everyone"组,他的权限是允许"完全控制",只是这些权限的框被标为灰色的,(如图四)这又有什么特殊的地方吗?这种灰色的框,表示这些权限是继承自"父系"的,这里又出现一个新概念,那如何来理解"父系"呢?对于目录"Project"来讲,E盘根目录是它的上级目录,以前人们叫做"父"目录,也就是这里所说的"目录Project"的"父系"。我们在E盘的图标上单击鼠标右键,选择"属性",再打开"安全"选项卡,在这里可以看到"Everyone"组对E盘所拥有的安全权限,"E盘Project"的安全权限便是继承它的。
·自己设置文件的安全性
比如这里我们只希望 系统管理员组 可以读取该目录下的文件和子目录,用户Super对该目录"Project"有完全控制的权限,其他人员或组只能查看目录中的文件和子目录,而不能读取数据。如何来设置呢?
先要删除"System"组,在“Project”目录上点击右键,选择“属性”。打开“安全”选项卡。(如图一) | ||
选中“SYSTEM”组,点"删除"。(如图二) | 图二 | |
图三 | 再选中"Everyone"组,然后将下面的"允许将来自父系的可继承权限传递给该对象"前面的选择点掉,(如图三) |
屏幕上会弹出一个安全提示,这里选择"复制"或者"删除"都可以,意思是是否保留或者删除"从父系继承的权限"。再点"删除"。也许你开始产生疑惑了,为什么这里要删除"Everyone"组呢?为何不通过"Everyone"组给其他人设置只能看目录的"安全"权限呢?
这里我们要做一点解释,登录到本机上的任何用户身份都属于"Everyone"组,如果给"Everyone"只设置读目录权限,又给一个用户设置写的权限,但最终该用户只有读目录的权限,因为"安全"属性总是取所有权限中最严格的,而"共享"则取最多的权限,如果同时设置"共享"和"安全"则"共享"也要按"安全"设置取最严格的,因为"安全"的优先权更高。
图四 | 图五 |
下面点添加,(如图四)从列表中,选择"Super",点"添加",(如图五)再选"Guest",点"添加",这里我们使用Guest帐号给其他用户设置"只能读取目录的权限"。再点"确定"返回。
图六 | 接下来分别设置权限,先选定"Super",(如图六) | |
在下面的权限中选择"允许 完全控制"。(如图七) | 图七 | |
图八 | 再选择"Guest",点一下允许"读取及运行"和允许"读取",将这两个选择都去掉,只保留"列出文件夹目录"项,这样Guest身份的用户就只能看到该文件夹的目录了。(如图八) |
图九 |
最后,选择"Administrators"组,然后其权限也选择为允许"读取及运行",下面的"列出文件夹目录"、"读取"也被自动选中。到现在为止,点"确定"所有的设置都完成了。(如图九)
·什么是拒绝权限?
在设置文件的安全性和前面设置共享权限,在权限栏中都有"拒绝"一列,它又表示什么?我们只需设置是否有允许的权限不就够了吗,要这个"拒绝"做什么用?(如图一)
图一 | 图二 |
我们还是看一个实例:比如在E盘上有一个Public目录,这个目录存放一些公共文件,可以允许Users组成员读写,但是这个目录中还有一个"Secret"目录用来存放一些重要文件,只允许Users组成员读取。
我们先浏览到E盘的Public目录,将其选中,单击右键选择"属性",打开"安全"选项卡,(如图二)将其中的"Everyone"删除,添加上Users组,将权限设置为允许"完全控制",然后再打开"Public"下的"Secret"目录属性,打开"安全"选项卡,同样也删除"Everyone"组,此时Users组拥有"完全控制"的权限,允许权限显示灰色,(如图三)表明该权限是从上一级目录"Public"上传递下来的,单击"拒绝"中的"写入",选中该项,单击"确定",(如图四)此时系统给出一个警告,提示"拒绝"的优先级要高于"允许",单击"是",此时Users组成员再往"Secret"目录中写文件,就会遭到拒绝。
图三 | 图四 |
拒绝权限好比是拦路设的屏障,用来阻止来自上一级(父级)下达的命令。