NTFS和共享级别权限都将影响用户获取网上资源的能力。应该对两者的特点和需要解决的问题做一个很好的了解。
管理权限问题和排除权限方面故障的工作非常具有挑战性,尤其是当所有的事情看来似乎都很正常的时候。这些提示和经验将帮助用户避免某些常见难题。
NTFS与共享权限
关于Windows系统共享问题最大的困扰是,NTFS和共享级别权限都会影响用户访问网络资源的能力。需要强调的是在Windows XP、Windows server 2003以及后续的Windows版本中,系统所默认的共享权限都是只读。这样通过网络访问NTFS所能获得的权限受到了限制。
区分NTFS和共享许可最好是把共享许可看作是一个资源登录点。只有在共享权限提供了修改或允许全部控制之后,这类NTFS权限才能够使用。
我们可以将共享级别和NTFS权限类比为管理,可以这样理解:共享权限是NTFS权限的网络登录点。当通过共享使用某一网络资源的时候,共享权限规定了用户从总体上可以通过共享实现哪些功能。NTFS权限则针对的是具体的文件和文件夹。在排查问题的时候,应该确定共享级别是否是造成问题的原因。
避免嵌套共享
同时要解决NTFS和共享权限两个问题会让人绞尽脑汁。应该在你的文件结构中避免使用嵌套共享,因为如果通过不同的共享来访问同样的网络资源,就可能会产生冲突。这会带来麻烦,尤其是当共享权限不同的情况下。嵌套共享是指一个共享文件夹在另一个独立共享文件夹中。当然,对默认隐藏共享(C盘,D盘等),其他所有的共享都嵌套在它们之下,他们都是默认共享的。可是,如果用户使用两个独立非隐藏共享,而且都是嵌套的,就会引起共享冲突。
使用CACLS和XCACLS
可以用CACLS和XCACLS来收集文件信息,这些信息反映了所配置的NTFS权限。这些工具可以提供关于特定文件和文件夹权限的数据。NTFS授权和ACL(访问控制列表)之间有什么区别呢?NTFS是通过Windows Explorer管理器或自动机制为文件和文件夹授权,而ACL(通过这些工具)是显示或者管理是否允许对同样的资源进行文件操作。
当然,也可以在一个脚本风格的模板中,通过CACLS及XCALS增加或移除NTFS授权。所以,如果需要进行大量的授权调整,就可以考虑使用这些工具。
对于需要使用独特NTFS权限的重要共享文件或文件夹,最好对文挡使用CACLS.EXE工具,对独立的文件或文件夹使用ACL工具(或者人工进行操作)。但是要小心:你很容易在提示符后面输入“CACLS * /T”,这样的命令。它非常耗占系统资源,甚至在一些情况下可以让CPU使用达到100%。一个大的递归ACL编辑能够大大减少操作时间。在为大文件夹建立新的NTFS授权时,情况也是类似的。
区别基本和特定NTFS授权
特定授权为特定的访问请求提供了更多的灵活性。但是我们必须知道,特定授权会增加NTFS授权的复杂程度和管理难度。因此,最好只在需要的时候使用特定授权。不过在一些场合确实需要使用特定授权。
提示:在解决问题的时候应当考虑到特定授权。每个管理员都会面临着拥有不同权限应用——共享授权、NTFS授权、组成员、多用户帐户等等。快速查看一下特定授权能够让管理员快速确认它们是否是造成问题的原因。
将授权不同的资源分开放置
如果情况允许,最好能够将需要特定授权的资源同其他需要特定授权的资源区分开,或者放在不同的文件夹中。在同一个位置混合使用不同的授权会增加管理的难度。
理解授权继承
在Windows Server 2003和2000系统中,权限继承是NTFS权限的默认属性。这种功能在NTFS中,一个文件夹的权限可以被应用于整个文件夹中所包含的内容,无论这些内容是文件还是另一个文件夹。
如果使用的是默认状态,继承很容易被理解。但是如果继承被阻止了,解决问题的时候就会困难得多。难点在于要弄清楚子文件夹是否继承了母文件夹的权限。在解决这类问题的时候,最好是从根目录开始,按照文件夹结构进行查找。
慎重清除权限继承
如果要清除某个文件夹的NTFS权限继承,将面临着两个选择:复制和移除。复制将影响到子对象,并根据母文件夹的NTFS权限进行权限分配。移除则会清除掉所有默认的NTFS权限,包括管理员、用户、创建者、所有者、系统等等,从组或者用户名列表中被清除掉。在使用移除方式的时候需要特别谨慎。
不要逃避问题
在解决权限问题的时候,最大一个错误就是让某人成为管理员或者授予太多的权限,希望以此解决授权问题。简单地将更多的权力赋予一个用户并不能够解决问题。应该找到问题的真正原因,并找出最佳解决方案。
永远不要过度授权
一个常见的错误是授予组成员太多的权力。特别是在使用动态目录的时候,一个清晰的组织结构和访问请求定义将会实现良好的用户或组管理。防火墙是非常必要的。很多授权并不会造成故障,但是难免会发现一个组或者成员会这样做。
组成员是最常见的过度授权或授权不足的用户。特别是在使用了域的情况下。使用Effective Permissions工具可以看到访问的结果,这取决于使用动态目录的组成员。尽管它并不直接地显示NTFS授权,还是可以检查每个组成员的情况,帮助解决NTFS的权限问题。
知道如何使用复制和移动
标准的复制和移动操作会按照默认的方式处理你配置的权限,或者保持,或者破坏。记住这点的一个好办法是了解复制操作将为目标文件创建权限,而移动操作将会维持原文件的权限。
方法:CC/MM——CopiesCreate/MovesMaintain or CopiesCreate/MovesMake.
当然,有些时候我们需要复制一些资源,但希望保持NTFS权限。这个时候SCOPY就要让位于XCOPY,你可以使用/O和/X参数来实现这一功能。使用带有这些参数的XCOPY,允许复制操作将文件或文件夹复制到一个新位置,并保持原来的NTFS权限。