NTFS权限基本策略和原则

之前参加一份IT技术支持工程师职位面试时，曾被问到关于NTFS权限的问题。
大概是这样的，讲讲Windows Server 上文件或文件夹的NTFS权限有哪些？然后在设置上有什么讲究？

当时的理论和经验仅局限于设个简单共享，局域网客户端能够访问到，以及大概知道些拒绝优先，权限继承什么的。个人解释感觉不是很系统，体系结构不全。
最近有给一些企业搭建过文件服务器，似乎对Fileserver有了更深的认识

文件的权限主要有：读取、写入、读取和执行、修改、完全控制；还可以自定义



文件夹的权限主要有：读取、写入、列出文件夹目录、修改、完全控制；自定义



可以看到NTFS权限还是很细致地。
文件服务器上文件夹结构一般分三类，公共文件夹，部门文件夹，用户私人文件夹，可以组织在一个根文件夹下，统一设置共享，NTFS权限则需分别设置，具体怎么设置主要取决资源的性质以及企业客户的需求。



这里就不详细介绍了，下面着重看下针对NTFS权限管理的四项基本原则：
权限继承性原则；拒绝优先于允许原则；累加原则；权限最小化原则
这四项基本原则的掌握对于文件服务器的配置将会起到非常重要的作用。

权限继承性原则
比如，有如图所示文件夹MCSE，其下有4个子文件夹，现在需要对MCSE文件夹及下面的子文件夹设置mary用户具有写入权限。因为有继承性原则，故只需对MCSE文件夹设置mary用户有写入权限，其下子目录将自动继承设个权限。




拒绝优先于允许原则
当一个用户属于两个或两个以上组时，有资源对其中任何一个组赋权为拒绝时，该用户权限为拒绝。
场景：如某资源需要让市场部所有用户（mary除外）读取和写入，那我们针对markets组赋权，然后添加mary赋权为拒绝读取和写入。

累加原则
假设现在“mary”用户既属于“A”用户组，也属于“B”用户组，它在A用户组的权限是“读取”，在“B”用户组中的权限是“写入”，那么根据累加原则，“mary”用户的实际权限将会是“读取+写入”两种。
场景：
假设Mary是市场部门经理，mary同时属于2个组，markets和managers；
某文件夹MCSE对这2个组都有赋予权限，markets组具有读取权限；managers组具有修改权限，那用户Mary的权限则是“读取+修改”。

权限最小化原则
Windows server系统建议使用NTFS文件系统，主要原因是NTFS分区权限设置更为精细，如文件权限有读取、写入、读取和运行、修改、完全控制。文件夹权限有读取、写入、列出文件夹内容、修改、完全控制。
这条原则可以尽量让用户不能访问或不必要访问的资源得到有效的权限限制。从而确保资源得到最大的安全保障。
基于这条原则，在实际的权限赋予操作中，我们就必须为资源明确赋予允许或拒绝操作的权限。
场景：
某用户对于MCSE文件夹没有任何权限，现在需要赋予用户mary对MCSE文件夹具有读取权限。能给读取就不要给写入，能给写入就不要给修改，能给修改就不要给完全控制。

总结：
2 "权限继承性"原则是用于"自动化"执行权限设置；
2 拒绝优于允许"原则是用于解决权限设置上的冲突问题；
2 而"累加原则"则是让权限的设置更加灵活多变；
2 "权限最小化"原则是用于保障资源安全。