权限级别配置用于限制个人或群组用户对特定数据的访问权限。FAT32 和 NTFS 都允许为可访问网络的用户提供文件夹共享和文件夹级别的权限。图 1 显示了文件夹权限。而文件级权限的额外安全性仅适用于 NTFS。图 2 显示了文件级权限。

要配置文件级或文件夹级权限,按以下顺序操作:

右键单击相应的文件或文件夹,然后选择属性 > 安全性 > 编辑

为具有 NTFS 的计算机配置网络共享权限时,需创建一个网络共享,然后将共享权限分配给用户或群组。只有同时具有 NTFS 权限和共享权限的用户和群组才能访问网络共享。

要在 Windows 7 中配置文件夹共享权限,按以下顺序操作:

右键单击相应的文件夹,然后选择 Share with(共享对象)

可以选择四个文件共享选项:

要在 Windows Vista 中配置文件夹共享权限,按以下顺序操作:

右键单击相应的文件夹,然后选择共享

要在 Windows XP 中配置文件夹共享权限,按以下顺序操作:

右键单击相应的文件夹,然后选择共享和安全

所有文件系统都会跟踪资源,但只有包含日志(系统的特殊区域,会在更改文件前先记录更改)的文件系统可以按照用户、日期和时间记录访问信息。FAT32 文件系统不具备日志和加密功能。因此在需要良好安全性的情况下,通常会采用 NTFS 进行部署。如果需要更高的安全性,则可以运行特定实用程序(如 CONVERT),将 FAT32 文件系统升级为 NTFS。该转换过程不可逆。因此在执行转换前,必须明确定义相关目标。图 3 显示了两种文件系统类型的比较。

最小权限原则

用户的权限应该仅限于访问计算机系统或网络中的所需资源。例如,如果他们只需要访问单个文件夹,则不应将他们设置为能够访问服务器上的所有文件。虽然向用户提供整个驱动器的访问权限可能更简单,但将访问权限仅限于他们完成工作所需的文件夹可能更加安全。这被称为最小权限原则。有限的资源访问也可以防止用户的计算机被感染后,恶意程序访问这些资源。

限制用户权限

文件和网络共享权限可以授予给个人,也可以授予给群组中的成员。如果个人或群组被拒绝授予网络共享权限,则该拒绝将覆盖授予的任何其他权限。例如,如果您拒绝向某位用户提供某个网络共享的权限,该用户将无法访问此共享,即使该用户是管理员或管理员群组成员也不例外。本地安全策略必须指明允许每位用户或每个群组访问的资源和访问类型。

文件夹权限发生变化时,用户可以选择对所有子文件夹应用相同的权限。这称为权限传播。权限传播是一种快速将权限应用至多个文件和文件夹的简单方式。设定父文件夹权限后,在该父文件夹中创建的文件夹和文件会继承相应的权限。