1當設置文件夾權(quán)限的時候“共享”與“安全”有什么區(qū)別？

a.當為一個文件夾設置共享之后，就會有“共享”選項需要設置共享的目的用來通過網(wǎng)絡來訪問的

b.當分區(qū)格式為NTFS時候，就會有“安全”選項需要設置，一個放置在NTFS分區(qū)中的文件夾，總是會有“安全”選項，即使這個文件夾不是被用于共享目的有一種可能是僅為本地使用時：一臺電腦的D盤是NTFS格式的這臺電腦是給多個人使用的這個時候可以為不同的本地用戶設置“安全”權(quán)限來實現(xiàn)各人對于文件訪問安全的需求，這樣不同的用戶登錄此臺電腦時，就可以控制各人不能訪問其他本地賬號的訪問了

2共享”和“安全”都有的時候，此時該怎樣分別設置“共享”和“安全”

這種情況是非常常見的一臺Server如果是作為文件服務器的那么大多數(shù)的情況下（也是推薦的設置）一個文件夾既在NTFS分區(qū)中，也會用于共享，個人認為，此時考慮權(quán)限設置的簡化和清晰以及安全性的保證，共享”中應當設置everyon-->完全控制然后到安全”中設置詳細的權(quán)限比如說某個域中的組可以完全控制，某個域中的賬號只可以讀等等?？赡軙腥苏J為在共享”中設置everyon完全控制有安全隱患，但是事實上此時這個文件夾的權(quán)限會另外由“安全”中的設置來控制權(quán)限，所以并不會有安全隱患，除非你把“安全”中也設置成為everyon完全控制。

3既然如你所推薦，共享”中把Everyon設成完全控制，那么請教，里面的其他讀、修改這些選擇豈非是無用的難道微軟瞎搞？

有一種情況下是有用的就是當你分區(qū)是FA T16/FA T32時，此時是沒有“安全”選項的所以此時需要通過“共享”中的設置來設定一些不同的權(quán)限，當然比起“安全”來，詳細程度要差很多。

4說了半天Everyon那么Everyon底是什么？

windows2000以及之前的OS版本中，這個組除了包含包括"A uthentUsers"和"Guests"兩個組，還包含了"A nonymLogon"組，表示"每個人"意思。

windows2003和XP中，Everyon只包括"A uthentUsers"和"Guests"兩個組，而不再包括"A nonymLogon"組，所以它表示了"可訪問計算機的所有用戶"而不再是"每個人"請注意這是有區(qū)別的"可訪問計算機的所有用戶"意味著必須是通過認證的用戶，而"每個人"則不必考慮用戶是否通過了認證。從安全方面來看，這一點是直接導致安全隱患是否存在關(guān)鍵所在

附:如果想在WindowXP中實現(xiàn)Window2000中那種"Everyone"設計機制，那么可以通過編輯"本地安全策略"來實現(xiàn)，方法是"運行"欄中輸入"Secpol.msc"命令打開"安全設置"管理單元，依次展開"安全設置""本地策略"然后進入"安全選項"雙擊右側(cè)的"網(wǎng)絡訪問：讓‘每個人'權(quán)限應用于匿名

用戶"項，然后選擇"已啟用"項即可。

5又搞出AuthentUser和AnonymLogon這兩個家伙又是什么？

AnonymLogon任何沒有經(jīng)過Window驗證程序(Authent而以匿名方式登錄域的用戶均屬于此組；

AuthentUser與前項相反，所有經(jīng)過Window驗證程序登錄的用戶均屬于此組。設置權(quán)限和用戶權(quán)力時，可考慮用此項代替，需要注意的計算機賬號也是一種用戶

6如此麻煩，那么我設置權(quán)限的時候設置DomainUsAuthentUser以及Everyon有什么區(qū)別？

 

前面第3個里面說了2k和2k3everyon有區(qū)別的這里用2k3中的everyon來說：

Domainus只是代表域中用戶賬號。

AuthentUser森林中所有經(jīng)過Window驗證程序登錄的用戶均屬于此組，包括用戶賬號和計算機賬號。

Everyon包含"A uthentUsers"和"Guests"兩個組。

注意上面藍色highlight地方，事實上一個森林中會有很多個域，此時如果僅僅設置domainus其他域中的賬號將無法訪問。所以如果你文件夾需要For森林中所有用戶，那么建議設定AuthentUser而Everyon由于包含了Guest組，一般不建議，即使Guest組中僅僅包括默認被禁用的guest賬號，此時如果guest被啟用，那么你設置Everyon讀的文件夾就會允許被訪問。

7說的A uthentUser包括計算機賬號無法理解，用戶賬號有密碼，而計算機賬號并沒有密碼一說，那么沒有密碼又何來驗證？經(jīng)過驗證的計算機賬號又有什么用？

 

計算機賬號沒有密碼，通過本身來驗證的文件夾驗證權(quán)限的順序是

a先使用當前登錄的用戶賬號驗證身份

b如果a不通過，再使用計算機賬號驗證身份。

可以做一個實驗，為一個網(wǎng)絡上的文件夾僅僅設置一個權(quán)限AuthentUser讀，然后你另一臺處于相同域中的電腦上，登錄到本機此時你會發(fā)現(xiàn)你仍然可以通過訪問剛剛設置的那個共享文件夾，其實此時由于登錄到本機，而本機的賬號是無法通過域中的身份驗證的所以此時實際上是通過計算機賬號驗證的

c計算機賬號的驗證據(jù)我所知會用在一個地方：組策略

組策略中有一種是計算機策略”這種策略是客戶端電腦的登入到域之前就生效的如果我計算機策略中設置了一個“開機腳本”那么你可以想象，電腦尚未登錄，怎樣提供身份驗證給DC然后下載腳本的呢？看看你DC上的sysvol這個共享目錄，安全”設置就是通過 A uthentUser這個組來設的目的就是為了讓域中計算機賬號也能通過驗證來下載開機腳本。所以如果你開機腳本不是放在默認的sysvol路徑下，而是某個域中文件服務器的共享目錄中，此時你需要為這個目錄設置AuthentUser讀，客戶端電腦才可以訪問；否則如果僅僅是用DomainUs來設置，腳本將會由于無權(quán)訪問而無法運行，這個也可以做個實驗驗證一下。

8服務器上一個共享文件夾中的一個子文件夾，誰也無法打開，提示沒有權(quán)限，使用管理員賬號也不行，右鍵打開文件夾的屬性，發(fā)現(xiàn)在安全”中沒有任何設置，嘗試在其的父文件夾來將權(quán)限“套”下來，可是仍然提示我沒有權(quán)限。此時我改怎樣才能打開此文件夾。

這種情況較為常見，一般原因是有人有意或無意將這個子文件夾的權(quán)限給全部刪除了大多無意的情況是取消此子文件夾繼承權(quán)限選項時，面對提示，選擇了移除”此時即使是本地的管理員組中的成員也無法訪問。處理思路是這樣的

a因為是由于沒有權(quán)限而無法訪問，所以需要加權(quán)限，然后此時即使是本地管理員組中的成員也無法加權(quán)限，只有這個文件夾的所有者”O(jiān)wner可以，這個“所有者”一般來說是這個文件夾的創(chuàng)建者，查看方法：

此子文件夾的屬性對話框，點擊"安全"選項卡設置界面中的"高級"按鈕，彈出的"用戶名)高級安全設置"界面中點擊"所有者"選項卡，從其中的"目前該項目的所有者"列表中就可以看到當前資源的所有者是誰了

b如果你恰好認識這個“所有者”然后讓他登錄去加權(quán)限，當然最好；可是往往是一時無法找到此“所有者”或者甚至此賬號都被刪除了那么此時只能去修改“所有者”本地管理員組中的成員可以修改本地電腦中任意文件夾的所有者”

OK所以一般來說處理這個問題的辦法是

a用本地管理員賬號，修改其“所有者”為本地管理員組，地方同查看“所有者”一樣，并點完所有“確定”關(guān)閉屬性對話框。

b用本地管理員賬號，為自己增加完全控制的權(quán)限。

c此時應可以打開此文件夾，并可為其他人增加權(quán)限。

9文件服務器上的文件夾被刪除了但是不知道是被誰刪除的有什么辦法可以找到肇事者？

這個問題也曾一度困擾我好久，目前能夠知道的辦法是

a文件服務器上，針對此文件夾開啟“審核”可以僅僅選擇domainus-->delete

b文件服務器上的本地安全策略中開啟：稽核物件存取-成功

c將你Eventlog上的Secur部分設置的足夠大，因為開啟了審核之后，日志量非常大，如果不設大了后面的默認會覆蓋前面的就沒法查了之前我遇到每天有600MB日志，所以我又做了一個Script每天導出并刪除SecurEventlog

d如果有人刪除了文件夾需要找到這個家伙，可以到EventlogSecur部分去search描述字段輸入那個文件夾的路徑名稱，并且設置好時間區(qū)間。

10有什么辦法能夠備份權(quán)限？

對于文件服務器來說，對文件夾權(quán)限的備份僅次于備份文件夾本身，一般來說備份軟件都提供了這項支持，如Verita或者是自帶的NTbackup備份文件夾的時候會將其中的安全”權(quán)限也備份下來。

而“共享”權(quán)限的備份可以使用下面的方法：

 

二、共享屬性、共享權(quán)限的保留

<法1>利用注冊表的導出/導入實現(xiàn)，具體操作如下：

1  共享資源所在源計算機上，開始/運行：regedit

2  找到HKEY_LOCA L_MA CHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

3 shares項上右鍵，將所有共享及其權(quán)限設置信息導出為.reg文件

4  目標計算機上，雙擊.reg文件導入

5  電腦/右鍵/管理，計算機管理的服務下，重新啟動Server服務。

<法2>如果共享資源的數(shù)量較少，也可以使用03 Resource Kits工具中的PermCopy將共享權(quán)限設置復制給目標，目標文件夾必須先共享出來，同一計算機上共享名不能相同。

利用PermCopy必須針對各個共享資源，逐個去復制共享權(quán)限（也僅是共享權(quán)限，不會復制NTFS權(quán)限、文件及文件夾）命令格式如下：

PermCopy \\源計算機 共享名 \\目標計算機 共享名

 

另外，有的時候可能你只需要臨時備份一下文件夾，那么此時你可以使用xcopi來快速的備份文件夾的結(jié)構(gòu)和權(quán)限設置，windows2003中已經(jīng)有了這個命令你可以使用/e復制目錄和子目錄 /t僅復制文件夾結(jié)構(gòu) /o復制安全性設置，其他選項可以查看改命令幫助。

總結(jié)：權(quán)限的設置看似簡單，實則還是有些門道的即使做了不少時間的Window管理員也未必很清楚里面的門道，愿我能拋磚引玉。上面的一些問答，還有一些屬于基本概念的比如說，移動和復制文件夾時“安全”中的設置的變更，權(quán)限的繼承原則，設置權(quán)限的技巧等等，可以參考下面的一些文章。

文章來源：http://www. | 下一篇:使用EFS加密文件系統(tǒng)的技巧（三）

1當設置文件夾權(quán)限的時候“共享”與“安全”有什么區(qū)別？

a.當為一個文件夾設置共享之后，就會有“共享”選項需要設置共享的目的用來通過網(wǎng)絡來訪問的

b.當分區(qū)格式為NTFS時候，就會有“安全”選項需要設置，一個放置在NTFS分區(qū)中的文件夾，總是會有“安全”選項，即使這個文件夾不是被用于共享目的有一種可能是僅為本地使用時：一臺電腦的D盤是NTFS格式的這臺電腦是給多個人使用的這個時候可以為不同的本地用戶設置“安全”權(quán)限來實現(xiàn)各人對于文件訪問安全的需求，這樣不同的用戶登錄此臺電腦時，就可以控制各人不能訪問其他本地賬號的訪問了

2共享”和“安全”都有的時候，此時該怎樣分別設置“共享”和“安全”

這種情況是非常常見的一臺Server如果是作為文件服務器的那么大多數(shù)的情況下（也是推薦的設置）一個文件夾既在NTFS分區(qū)中，也會用于共享，個人認為，此時考慮權(quán)限設置的簡化和清晰以及安全性的保證，共享”中應當設置everyon-->完全控制然后到安全”中設置詳細的權(quán)限比如說某個域中的組可以完全控制，某個域中的賬號只可以讀等等。可能會有人認為在共享”中設置everyon完全控制有安全隱患，但是事實上此時這個文件夾的權(quán)限會另外由“安全”中的設置來控制權(quán)限，所以并不會有安全隱患，除非你把“安全”中也設置成為everyon完全控制。

3既然如你所推薦，共享”中把Everyon設成完全控制，那么請教，里面的其他讀、修改這些選擇豈非是無用的難道微軟瞎搞？

有一種情況下是有用的就是當你分區(qū)是FA T16/FA T32時，此時是沒有“安全”選項的所以此時需要通過“共享”中的設置來設定一些不同的權(quán)限，當然比起“安全”來，詳細程度要差很多。

4說了半天Everyon那么Everyon底是什么？

windows2000以及之前的OS版本中，這個組除了包含包括"A uthentUsers"和"Guests"兩個組，還包含了"A nonymLogon"組，表示"每個人"意思。

windows2003和XP中，Everyon只包括"A uthentUsers"和"Guests"兩個組，而不再包括"A nonymLogon"組，所以它表示了"可訪問計算機的所有用戶"而不再是"每個人"請注意這是有區(qū)別的"可訪問計算機的所有用戶"意味著必須是通過認證的用戶，而"每個人"則不必考慮用戶是否通過了認證。從安全方面來看，這一點是直接導致安全隱患是否存在關(guān)鍵所在

附:如果想在WindowXP中實現(xiàn)Window2000中那種"Everyone"設計機制，那么可以通過編輯"本地安全策略"來實現(xiàn)，方法是"運行"欄中輸入"Secpol.msc"命令打開"安全設置"管理單元，依次展開"安全設置""本地策略"然后進入"安全選項"雙擊右側(cè)的"網(wǎng)絡訪問：讓‘每個人'權(quán)限應用于匿名

用戶"項，然后選擇"已啟用"項即可。

5又搞出AuthentUser和AnonymLogon這兩個家伙又是什么？

AnonymLogon任何沒有經(jīng)過Window驗證程序(Authent而以匿名方式登錄域的用戶均屬于此組；

AuthentUser與前項相反，所有經(jīng)過Window驗證程序登錄的用戶均屬于此組。設置權(quán)限和用戶權(quán)力時，可考慮用此項代替，需要注意的計算機賬號也是一種用戶

6如此麻煩，那么我設置權(quán)限的時候設置DomainUsAuthentUser以及Everyon有什么區(qū)別？

 

前面第3個里面說了2k和2k3everyon有區(qū)別的這里用2k3中的everyon來說：

Domainus只是代表域中用戶賬號。

AuthentUser森林中所有經(jīng)過Window驗證程序登錄的用戶均屬于此組，包括用戶賬號和計算機賬號。

Everyon包含"A uthentUsers"和"Guests"兩個組。

注意上面藍色highlight地方，事實上一個森林中會有很多個域，此時如果僅僅設置domainus其他域中的賬號將無法訪問。所以如果你文件夾需要For森林中所有用戶，那么建議設定AuthentUser而Everyon由于包含了Guest組，一般不建議，即使Guest組中僅僅包括默認被禁用的guest賬號，此時如果guest被啟用，那么你設置Everyon讀的文件夾就會允許被訪問。

7說的A uthentUser包括計算機賬號無法理解，用戶賬號有密碼，而計算機賬號并沒有密碼一說，那么沒有密碼又何來驗證？經(jīng)過驗證的計算機賬號又有什么用？

 

計算機賬號沒有密碼，通過本身來驗證的文件夾驗證權(quán)限的順序是

a先使用當前登錄的用戶賬號驗證身份

b如果a不通過，再使用計算機賬號驗證身份。

可以做一個實驗，為一個網(wǎng)絡上的文件夾僅僅設置一個權(quán)限AuthentUser讀，然后你另一臺處于相同域中的電腦上，登錄到本機此時你會發(fā)現(xiàn)你仍然可以通過訪問剛剛設置的那個共享文件夾，其實此時由于登錄到本機，而本機的賬號是無法通過域中的身份驗證的所以此時實際上是通過計算機賬號驗證的

c計算機賬號的驗證據(jù)我所知會用在一個地方：組策略

組策略中有一種是計算機策略”這種策略是客戶端電腦的登入到域之前就生效的如果我計算機策略中設置了一個“開機腳本”那么你可以想象，電腦尚未登錄，怎樣提供身份驗證給DC然后下載腳本的呢？看看你DC上的sysvol這個共享目錄，安全”設置就是通過 A uthentUser這個組來設的目的就是為了讓域中計算機賬號也能通過驗證來下載開機腳本。所以如果你開機腳本不是放在默認的sysvol路徑下，而是某個域中文件服務器的共享目錄中，此時你需要為這個目錄設置AuthentUser讀，客戶端電腦才可以訪問；否則如果僅僅是用DomainUs來設置，腳本將會由于無權(quán)訪問而無法運行，這個也可以做個實驗驗證一下。

8服務器上一個共享文件夾中的一個子文件夾，誰也無法打開，提示沒有權(quán)限，使用管理員賬號也不行，右鍵打開文件夾的屬性，發(fā)現(xiàn)在安全”中沒有任何設置，嘗試在其的父文件夾來將權(quán)限“套”下來，可是仍然提示我沒有權(quán)限。此時我改怎樣才能打開此文件夾。

這種情況較為常見，一般原因是有人有意或無意將這個子文件夾的權(quán)限給全部刪除了大多無意的情況是取消此子文件夾繼承權(quán)限選項時，面對提示，選擇了移除”此時即使是本地的管理員組中的成員也無法訪問。處理思路是這樣的

a因為是由于沒有權(quán)限而無法訪問，所以需要加權(quán)限，然后此時即使是本地管理員組中的成員也無法加權(quán)限，只有這個文件夾的所有者”O(jiān)wner可以，這個“所有者”一般來說是這個文件夾的創(chuàng)建者，查看方法：

此子文件夾的屬性對話框，點擊"安全"選項卡設置界面中的"高級"按鈕，彈出的"用戶名)高級安全設置"界面中點擊"所有者"選項卡，從其中的"目前該項目的所有者"列表中就可以看到當前資源的所有者是誰了

b如果你恰好認識這個“所有者”然后讓他登錄去加權(quán)限，當然最好；可是往往是一時無法找到此“所有者”或者甚至此賬號都被刪除了那么此時只能去修改“所有者”本地管理員組中的成員可以修改本地電腦中任意文件夾的所有者”

OK所以一般來說處理這個問題的辦法是

a用本地管理員賬號，修改其“所有者”為本地管理員組，地方同查看“所有者”一樣，并點完所有“確定”關(guān)閉屬性對話框。

b用本地管理員賬號，為自己增加完全控制的權(quán)限。

c此時應可以打開此文件夾，并可為其他人增加權(quán)限。

9文件服務器上的文件夾被刪除了但是不知道是被誰刪除的有什么辦法可以找到肇事者？

這個問題也曾一度困擾我好久，目前能夠知道的辦法是

a文件服務器上，針對此文件夾開啟“審核”可以僅僅選擇domainus-->delete

b文件服務器上的本地安全策略中開啟：稽核物件存取-成功

c將你Eventlog上的Secur部分設置的足夠大，因為開啟了審核之后，日志量非常大，如果不設大了后面的默認會覆蓋前面的就沒法查了之前我遇到每天有600MB日志，所以我又做了一個Script每天導出并刪除SecurEventlog

d如果有人刪除了文件夾需要找到這個家伙，可以到EventlogSecur部分去search描述字段輸入那個文件夾的路徑名稱，并且設置好時間區(qū)間。

10有什么辦法能夠備份權(quán)限？

對于文件服務器來說，對文件夾權(quán)限的備份僅次于備份文件夾本身，一般來說備份軟件都提供了這項支持，如Verita或者是自帶的NTbackup備份文件夾的時候會將其中的安全”權(quán)限也備份下來。

而“共享”權(quán)限的備份可以使用下面的方法：

 

二、共享屬性、共享權(quán)限的保留

<法1>利用注冊表的導出/導入實現(xiàn)，具體操作如下：

1  共享資源所在源計算機上，開始/運行：regedit

2  找到HKEY_LOCA L_MA CHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\Shares

3 shares項上右鍵，將所有共享及其權(quán)限設置信息導出為.reg文件

4  目標計算機上，雙擊.reg文件導入

5  電腦/右鍵/管理，計算機管理的服務下，重新啟動Server服務。

<法2>如果共享資源的數(shù)量較少，也可以使用03 Resource Kits工具中的PermCopy將共享權(quán)限設置復制給目標，目標文件夾必須先共享出來，同一計算機上共享名不能相同。

利用PermCopy必須針對各個共享資源，逐個去復制共享權(quán)限（也僅是共享權(quán)限，不會復制NTFS權(quán)限、文件及文件夾）命令格式如下：

PermCopy \\源計算機 共享名 \\目標計算機 共享名

 

另外，有的時候可能你只需要臨時備份一下文件夾，那么此時你可以使用xcopi來快速的備份文件夾的結(jié)構(gòu)和權(quán)限設置，windows2003中已經(jīng)有了這個命令你可以使用/e復制目錄和子目錄 /t僅復制文件夾結(jié)構(gòu) /o復制安全性設置，其他選項可以查看改命令幫助。

總結(jié)：權(quán)限的設置看似簡單，實則還是有些門道的即使做了不少時間的Window管理員也未必很清楚里面的門道，愿我能拋磚引玉。上面的一些問答，還有一些屬于基本概念的比如說，移動和復制文件夾時“安全”中的設置的變更，權(quán)限的繼承原則，設置權(quán)限的技巧等等，可以參考下面的一些文章。

文章來源：http://www. | 下一篇:使用EFS加密文件系統(tǒng)的技巧（三）