标签：文件 NTFS DACL AD 访问 文件夹 权限 资源

安全主体：

可用于身份验证和分配资源访问权的用户、组或计算机对象

安全ID(SID)-在创建用户、计算机或安全组时分配的唯一值
Windows中的内部过程引用账户的SID，而不是账户的用户名或组名

相对ID(RID)-安全ID(SID)的一部分，在域中唯一标识的账户或组

权限：

是授予或拒绝对象访问权的规则
用于控制访问

分配权限的方式：
"允许"或"拒绝"权限可分配到资源(文件夹、打印机、文件)
权限可分配到本地计算机中的账户或AD DS中的账户
可以显示应用权限、继承权限或隐式应用权限

随机访问控制列表(DACL)

DACL包含用户和组的列表，这些用户和组可以访问资源或者被拒绝而无法访问资源
NTFS卷上的每一个文件和文件夹都有相关联的DACL

系统访问控制列表(SACL)

SACL控制审核对资源的访问

访问控制条目(ACE)

定义DACL或SACL中的每一个条目
指定一组要允许、拒绝或审核的SID
如果在DACL中未指定任何ACE，那么将拒绝访问资源

链接到共享文件夹：

通过UNC访问：
命名约定为\\servername\share或\\servername\share\file
可通过Windows资源管理器、命令行或编程方式访问

通过映射驱动器访问：
使用Windows资源管理器或命令行将驱动器映射到\\servername\share

通过网络访问：
使用图形化工具浏览网络以获得共享
可在域模式或工组组模式下进行
不显示隐藏共享或管理共享



拒绝权限优先于允许权限

NTFS权限继承：

继承无需对每个对象分配显式权限即可管理对资源的访问默认情况下，NTFS权限是按照父/子关系继承的

复制和移动文件和文件夹时，对NTFS权限的影响：

在复制文件和文件夹时，他们继承目标文件夹的权限
当在同一个分区中移动文件和文件夹时，他们保留其权限
在将文件和文件夹移到其他分区时，他们将继承目标文件夹的权限

有效NTFS权限:

NTFS权限时累计的
"拒绝"优先
权限可应用于用户或组
文件权限覆盖文件夹权限
文件和文件夹的创建者是所有者

共享文件权限和NTFS权限合并的效果：

在合并共享文件夹权限和NTFS权限时，将应用最严格的权限
文件和文件夹共享权限和NTFS权限必须有正确的权限，否则系统将隐式拒绝用户或组访问资源

标签：文件,NTFS,DACL,AD,访问,文件夹,权限,资源
来源： https://www.cnblogs.com/f1veseven/p/14778503.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。