使用NTFS权限保护数据安全

1.1.1 NTFS权限介绍 当一个用户试图访问一个文件或者文件夹的时候，NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表(ACL)中，如果存在则进一步检查访问控制项(ACE)，然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。
文件夹的NTFS安全权限有如下7种，而文件的NTFS安全权限有6种，少了列出文件夹目录权限。






完全控制：对文件或者文件夹可执行所有操作。
修改：可以修改、删除文件或者文件夹。
读取和运行：可以读取内容，并且可以执行应用程序。
列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在。
读取：可以读取文件或者文件夹的内容。
写入：可以创建文件或者文件夹。
特别的权限：其他不常用权限，比如删除权限的权限。
所有权限都有相应的“允许”和“拒绝”两种选择。文件或者文件夹的默认权限是继承上一级文件夹的权限，如果是根目录(比如c:\)下的文件夹，则权限是继承磁盘分区的权限。
1.1.2 NTFS权限的应用规则 下面讲述NTF安全权限的应用规则。
权限是累积的。
当一个用户属于多个组的时候，这个用户会得到各个组的累加权限，但是一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝，比如：
假设有一个用户USER，如果USER属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，USER自己对此文件有修改权限，那么USER对此文件的最终权限为读取+写入+修改权限。
权限的继承。
新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，如图所示，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。也就是不能把权限上的勾去掉。
当然这并不是绝对的，只要你的权限够，比如你是管理员，也可以把这个继承下来的权限修改了，或者让文件不再继承上一级目录或者驱动器的NTFS权限。
权限的拒绝
拒绝的权利优先于允许的权限。无论给用户账户什么权限，只要设置了拒绝权限，那么被拒绝的权限就绝对有效。
移动和复制操作对权限的影响
这里一共有3种情况，同一NTFS分区、不同NTFS分区以及FAT分区，如下表所示。

	同一NTFS分区	不同NTFS分区	FAT分区
复制	继承目标文件（夹）权限	继承目标文件（夹）权限	丢失权限
移动	保留原文件（夹）权限	继承目标文件（夹）权限	丢失权限