Windows NT文件系統(tǒng)安全

　　當(dāng)建立文件的權(quán)限時，你必須先實現(xiàn)Windows NT的文件系統(tǒng)（NTFS）,當(dāng)然你也可以使用FAT格式，但是并不支持文件級的權(quán)限。FAT只在那些相對來講，對安全要求較低的情況下使用。即使NTFS也不能認(rèn)為是能完全地保護文件的，這一點在稍后的實驗中你將會看到。 　

　　一旦已經(jīng)實施了NTFS的文件系統(tǒng)格式，可通過Windows NT的資源管理器直接來管理文件的安全。使用NT資源管理器你可為設(shè)置目錄或文件的權(quán)限�；�于文件級的權(quán)限你可以分配下面幾種：讀取（R）,寫入(W)，執(zhí)行(X)，刪除(D)，改變(P)，取得所有權(quán)(O)。詳細(xì)請參照下表：

　　為了簡化權(quán)限的管理，NT有幾種有關(guān)權(quán)限的標(biāo)準(zhǔn)。通常在分配權(quán)限的時候，往往是組合使用權(quán)限而不是使用單獨的權(quán)限，這些權(quán)限如下表
　

　 在這些權(quán)限的基礎(chǔ)上，你可以達(dá)到根據(jù)需要來訪問控制。但是確定什么是你需要的最小權(quán)限是困難的。回顧一下第一課我們所講的一個新建立的NTFS分區(qū)默認(rèn)情況下everyone組對其有完全控制的權(quán)限。這種標(biāo)準(zhǔn)是無法接受的，如果你不加選擇的刪除everyone組或在任何地方都把不可訪問的權(quán)限賦予給everyone組，那么有可能會損壞你的NT安裝。Everyone組必須可以訪問主要的系統(tǒng)目錄（比如登陸目錄）來使用戶能夠連接和登陸到服務(wù)器上。因為用戶在開始登陸的過程中還沒有被認(rèn)證，你必須使用everyone組提供訪問以使他們能夠被認(rèn)證。賦予everyone組不可訪問其實更危險，因為拒絕訪問優(yōu)先于允許訪問，而且所有的用戶都是屬于everyone組的，這樣也就等于完全阻止了對文件系統(tǒng)的訪問。

　　目錄的權(quán)限分配和文件是一樣的。目錄的權(quán)限影響其目錄中新建的文件。換句話說就是任何新建的文件將繼承此目錄的權(quán)限。