特殊的权限,特别的你——网络权限的深入控制
网络通信
编者按:资源共享是局域网中最常见的应用,在享受共享带来的惬意时,很多人都在为资源的安全管理而发愁。比方说怎样才能让共享资源不被有意无意地删除呢?怎样让资源只有使用特定用户名才能访问到呢?这些看似令人头疼的问题,其实解决的关键就在于你要学会“特殊权限”的应用。
使用NTFS文件系统的分区在安全方面最大的优点就是可以进行完善的权限管理,但很多人并不知道权限其实也是由“标准权限”和“特殊权限”两大部分组成的。那么什么是特殊权限呢?它在网络权限管理中起到什么样的作用呢?
什么是特殊权限
要明白什么是特殊权限,就要先理清“标准权限”和“特殊权限”这两者的区别。前者将一些常用的系统权限选项比较笼统地组成了几种“套餐型”的权限(图1)。如只选“完全控制”项就可以赋予用户所有的权限;选取“读取”项就可以赋予用户在读取方面的所有权限;选取“写入”项则赋予用户包括写入目录和文件方面的所有权限……
在大多数的情况下,“标准权限”是可以满足管理需要的,但在权限管理要求严格的环境中,它往往就不能令大家满意了。如只想赋予某个用户有建立文件夹的权限,而没有建立文件的权限;如只能删除当前目录中的文件,而不能删除当前目录中的子目录的权限等。这时,我们就可以让拥有所有权限选项的“特殊权限”来大显身手了。
也就是说,特殊权限不再采用“套餐型”,而是使用“菜单型”,可以允许我们进行细节化的权限管理选项选择。
特殊权限应用实战
假设现在需要对一个名为“CPCW”的目录进行共享,并打算赋予“shyzhong”账户对此资源可以具有“读取”、“建立文件和目录”的权限,基于安全考虑,又决定取消该账户的“删除”权限。此时,如果使用“标准权限”的话将无法完成要求,而使用特殊权限则可以很轻松地完成设置。特殊权限可在Windows XP/2003系统中进行设置。笔者在此以Windows XP系统为例,进行介绍。
首先右键点击“CPCW”目录,在右键快捷菜单中选择“共享与安全”项,在弹出的属性对话框的“共享”选项卡设置界面中,勾选“共享该文件夹”项后点击“权限”按钮。
提示:
激活共享设置的方法是依次点击“开始→控制面板→文件夹选项”,在弹出的对话框中取消“查看”选项卡设置界面中对“使用简单文件共享(推荐)”项的选择。
在“CPCW的权限”对话框中选中“Everyone”组,并点击“删除”按钮将它删除。接着点击“添加”按钮添加shyzhong账户,并赋予该账户“更改”和“读取”的权限。
随后切换到“安全”选项卡设置界面,添加或直接选中需要设置共享权限的账户(这里是shyzhong),在下方的“账户(shyzhong)的权限”(即标准权限)列表中可以看到并没有单独允许该账户进行新建文件和目录的操作或是否允许删除的选项供选择。
提示:
这个时候大多数的用户就会通过勾选“完全控制”项或“写入”项来解决这个问题,但实际上这样的设置会造成很多安全方面的麻烦。
为了解决这个问题,就需要使用“特殊权限”功能来帮忙了。为了激活这项功能,我们应点击“高级”按钮,在弹出的对话框中取消对“从父项继承那些可以应用到子对象的权限项目,包括那些在此明确定义的项目”项的选择,在弹出的“安全”对话框中点击“复制”按钮,然后点击“应用”按钮确认设置(图2)。
接着在“安全”选项卡设置界面中删除shyzhong之外的所有账户后,选中shyzhong账户并点击“编辑”按钮,在弹出的“CPCW的权限项目”对话框中首先点击“全部清除”按钮(图3),接着在“应用到”项右侧的选择列表中选择“该文件夹,子文件夹及文件”项,在“权限”列表中选择“遍历文件夹/运行文件”、“列出文件夹/读取数据”、“读取属性”、“创建文件/写入数据”、“创建文件夹/附加数据”、“读取权限”几项。接着点击“确定”按钮结束设置。
特殊权限的效果
经过上述设置后,大家现在就可以尝试在局域网中的任意一台计算机中进入CPCW共享目录,你会发现新建和浏览该目录是可以的,但是删除目录时却会弹出提示框警告操作失败。
显然,通过对“特殊权限”的应用,对CPCW目录的管理要求和目的已经达到了。大家觉得这样的权限管理是不是更具体、更全面一些呢?