你有沒有試過找出Windows中的所有許可權？有共享許可權、NTFS許可權、訪問控制列表等等。以下是它們如何協同工作。

安全識別符號

Windows作業系統使用sid來表示所有安全主體。SID只是表示機器、使用者和組的字母數字字元的可變長度字串。每次授予使用者或組對檔案或資料夾的許可權時，都會將SID新增到ACL（訪問控制列表）中。在場景後面，SID的儲存方式與所有其他資料物件的儲存方式相同，都是二進位制的。但是，當您在Windows中看到SID時，它將使用更可讀的語法顯示。在Windows中，您並不經常看到任何形式的SID，最常見的情況是，當您授予某人對資源的許可權，然後他們的使用者帳戶被刪除，它將在ACL中顯示為SID。讓我們看看Windows中sid的典型格式。

您將看到的符號採用特定的語法，下面是這個符號中SID的不同部分。

1. “S”字首
2. 結構修訂號
3. 48位識別符號授權值
4. 32位子許可權或相對識別符號（RID）值的可變數目

在下面的圖片中使用我的SID，我們將分解不同的部分以獲得更好的理解。

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this secti*** of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principal, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

安全主體

安全主體是任何附加了SID的東西，可以是使用者、計算機甚至組。安全主體可以是本地的，也可以在域上下文中。您可以透過“計算機管理”下的“本地使用者和組”管理單元來管理本地安全主體。要到達那裡，請右鍵單擊“開始”選單中的“計算機”快捷方式，然後選擇“管理”。

要新增新的使用者安全主體，可以轉到“使用者”資料夾，右鍵單擊並選擇“新使用者”。

如果雙擊某個使用者，可以將其新增到“成員”選項卡上的安全組中。

要建立新的安全組，請導航到右側的Groups資料夾。在空白處單擊滑鼠右鍵，然後選擇“新建組”。

共享許可權和ntfs許可權

在Windows中，有兩種型別的檔案和資料夾許可權，第一種是共享許可權，第二種是NTFS許可權，也稱為安全許可權。請注意，在預設情況下共享資料夾時，“Everyone”組具有讀取許可權。資料夾的安全性通常是透過共享和NTFS許可權的組合來實現的如果是這種情況，必須記住最嚴格的限制總是適用的，例如，如果共享許可權設定為Everyone=Read（這是預設值），但NTFS許可權允許使用者對檔案進行更改，共享許可權將優先考慮，並且不允許使用者進行更改。設定許可權時，LSASS（本地安全機構）控制對資源的訪問。當您登入時，系統會給您一個帶有SID的訪問令牌，當您訪問資源時，LSASS會比較您新增到ACL（訪問控制列表）的SID，如果SID在ACL上，它會決定是允許還是拒絕訪問。無論您使用什麼許可權，都存在差異，因此讓我們看看，以便更好地瞭解何時應該使用什麼。

共享許可權：

1. 僅適用於透過網路訪問資源的使用者。如果您在本地登入，例如透過終端服務登入，則它們不適用。
2. 它適用於共享資源中的所有檔案和資料夾。如果您想提供更細粒度的限制方案，除了共享許可權外，還應該使用NTFS許可權
3. 如果您有任何FAT或FAT32格式的卷，這將是唯一可用的限制形式，因為NTFS許可權在這些檔案系統上不可用。

NTFS許可權：

1. 對NTFS許可權的唯一限制是，只能在格式化為NTFS檔案系統的捲上設定這些許可權
2. 請記住，NTFS是累積的，這意味著使用者的有效許可權是使用者分配的許可權和使用者所屬的任何組的許可權相結合的結果。

新共享許可權

Windows7採用了一種新的“輕鬆”共享技術。選項從讀取、更改和完全控制更改為。讀和讀/寫。這個想法是整個家庭小組思想的一部分，讓不懂電腦的人很容易共享一個資料夾。這是透過上下文選單完成的，並與您的家庭組輕鬆共享。

如果你想與不在家庭組中的人分享，你可以選擇“特定的人…”選項。這會帶來一個更“複雜”的對話。您可以在其中指定特定的使用者或組。

如前所述，只有兩種許可權，它們一起為您的資料夾和檔案提供全有或全無保護方案。

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

老派的方式

舊的共享對話方塊有更多的選項，並給了我們在不同別名下共享資料夾的選項，它允許我們限制同時連線的數量以及配置快取。這些功能在Windows7中都沒有丟失，而是隱藏在一個名為“高階共享”的選項下。如果右鍵單擊資料夾並轉到其屬性，則可以在“共享”選項卡下找到這些“高階共享”設定。

如果單擊需要本地管理員憑據的“高階共享”按鈕，則可以配置以前版本的Windows中熟悉的所有設定。

如果你點選permissi***按鈕，你會看到3個我們都熟悉的設定。

1. Read permission allows you to view and open files and subdirectories as well as execute applicati***. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissi***, as it allows for you to do any and all of the previous permissi***. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

ntfs許可權

NTFS許可權允許對檔案和資料夾進行非常精細的控制。儘管如此，對於新手來說，粒度的大小可能會讓人望而生畏。您還可以按檔案和資料夾設定NTFS許可權。要設定檔案的NTFS許可權，您應該右鍵單擊並轉到需要轉到“安全”選項卡的“檔案屬性”。

要編輯使用者或組的NTFS許可權，請單擊“編輯”按鈕。

正如您可能看到的，有相當多的NTFS許可權，所以讓我們來分解它們。首先，我們將瞭解您可以對檔案設定的NTFS許可權。

1. Full Control allows you to read, write, modify, execute, change attributes, permissi***, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissi***, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissi***.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

資料夾的NTFS許可權有稍微不同的選項，所以讓我們看看它們。

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissi***, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissi***.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Microsoft的文件還宣告，“列出資料夾內容”將允許您執行資料夾中的檔案，但您仍然需要啟用“讀取和執行”才能執行。這是一個非常混亂的檔案許可。

總結

總之，使用者名稱和組是一個稱為SID（安全識別符號）的字母數字字串的表示形式，共享和NTFS許可權與這些SID繫結。共享許可權僅在透過網路訪問時由LSSA檢查，而NTFS許可權僅在本地計算機上有效。我希望大家對Windows7中檔案和資料夾的安全性有一個很好的理解。如果您有任何問題，請隨時在評論中發表意見。