【51CTO獨家特稿】微軟悄悄地推出了Windows Server 2003 SP2，在使用中對于對于NTFS訪問控制列表及權限集成的使用需要引起的重視。NTFS磁盤分區上的每一個文件和文件夾，NTFS都存儲一個遠程訪問控制列表（ACL，Access Control Lists）。ACL中包含有那些被授權訪問該文件或者文件夾的所有用戶賬號、組和計算機，還包含他們被授予的訪問類型。

為了讓一個用戶訪問某個文件或文件夾，針對相應的用戶賬號、組，或者該用戶所屬的計算機，ACL中必須包含一個對應的入口，這樣的入口叫做訪問控制入口（ACE，Access control entries）。為了讓用戶能夠訪問文件或者文件夾，訪問控制入口必須具有用戶所請求的訪問類型。如果ACL沒有相應的ACE存在，Windows Server 2003就拒絕該用戶訪問相應資源。

上圖即一個ACL，包含了四個ACE，分別給予administrator完全控制權限，system完全控制權限，authenticated users修改權限，users讀取和執行權限。Windows允許單獨為用戶指定權限，同時也可以為用戶所隸屬的每一個組指定權限，從而為一個用戶賬戶指定多重權限。
為了理解多重繼承，需要了解NTFS權限的一些原則。

1) 權限的積累

用戶對資源的有效權限是分配給該個人用戶帳戶和用戶所屬的組的所有權限的總和。如果用戶對文件具有“讀取”權限，該用戶所屬的組又對該文件具有“寫入”的權限，那么該用戶就對該文件同時具有“讀取”和“寫入”的權限，舉例如下：　　

假設情況如下所示：

有一個文件叫FILE。

USER1用戶屬于GROUP1組

2) 文件權限高于文件夾權限

意思就是說NTFS文件權限對于NTFS文件夾權限具有優先權，假設你能夠訪問一個文件，那么即使該文件位于你不具有訪問權限的文件夾中，你也可以進行訪問（前提是該文件沒有繼承它所屬的文件夾的權限）。

舉例說明如下：假設你對文件夾FOLDER沒有訪問權限，但是該文件夾下的文件FILE.TXT沒有繼承FOLDER的權限，也就是說你對FILE.TXT文件是有權限訪問的，只不過你無法用資源管理器之類的東西來打開FOLDER文件夾，你無法看到文件FILE而已（因為你對FOLDER沒有訪問權限），但是你可以通過輸入它的完整的路徑來訪問該文件。比如你可以用 c:\folder\file.txt來訪問FILE文件（假設在C盤）。

3) 拒絕高于其他權限

拒絕權限可以覆蓋所有其他的權限。甚至作為一個組的成員有權訪問文件夾或文件，但是該組被拒絕訪問，那么該用戶本來具有的所有權限都會被鎖定而導致無法訪問該文件夾或文件。也就是說上面第一點的權限累積原則將失效。舉例說明如下：

假設情況如下：

有一個文件叫FILE。

USER1用戶屬于GROUP1組

那么USER1對FILE的權限將不再是：讀取＋寫入，而是無法訪問文件FILE。另外一種情況是拒絕原則與累計原則并存，舉例如下：

有一個文件叫FILE。

USER1用戶屬于GROUP1組，同時也屬于GROUP2組，

那么USER1對FILE的權限為：讀取（根據累計原則，USER1對FILE本來有：“讀取＋寫入”權限，但是由于USER1所屬的GROUP2組被拒絕寫入，所以就只剩下“讀取”權限了

系統的默認設置是權限從父文件夾繼承的。新建的的子文件夾和文件具有與其父文件夾相同的訪問控制表，使得管理共享文件夾環境變得更加容易，用戶不必擔心在新文件夾或文件中調整權限。

可以拒絕繼承上級權限，也可以強制下級繼承權限，即父對象上的權限將替換其子對象上的權限。在強制下級文件夾或者文件繼承權限的過程中，當前用戶沒有權限處理的文件夾或者文件將不會繼承權限。

讓UserA創建一個文件夾，里面包含一個子文件夾和一個管理員創建的文件，而管理員創建的文件UserA是沒有權限的，然后讓UserA把上一層的文件夾做強制，會發現由UserA創建的文件和文件夾會繼承下來。而管理員創建的內容不會繼承。 

【51CTO獨家特稿，合作站點轉載請注明原文譯者和出處。】

【編輯推薦】

1. 配置Windows Server 2003網絡負載均衡
2. Windows Server 2003 集群中的仲裁
3. Windows Server 2003服務器集群體系結構
4. Windows Server 2003集群服務技術概述
5. 自動管理Windows Server 2003上的后臺打印