Windows XP權(quán)限設(shè)置的四項基本原則
時間:
若木1由 分享
在Windows XP中,針對權(quán)限的管理有四項基本原則,即:拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則。這四項基本原則對于權(quán)限的設(shè)置來說,將會起到非常重要的作用,下面就來了解一下:
1.拒絕優(yōu)于允許原則
“拒絕優(yōu)于允許”原則是一條非常重要且基礎(chǔ)性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限“糾紛”,例如,“shyzhong”這個用戶既屬于“shyzhongs”用戶組,也屬于“xhxs”用戶組,當(dāng)我們對“xhxs”組中某個資源進(jìn)行“寫入”權(quán)限的集中分配(即針對用戶組進(jìn)行)時,這個時候該組中的“shyzhong”賬戶將自動擁有“寫入”的權(quán)限。
但令人奇怪的是,“shyzhong”賬戶明明擁有對這個資源的“寫入”權(quán)限,為什么實際作中卻無法執(zhí)行呢?原來,在“shyzhongs”組中同樣也對“shyzhong”用戶進(jìn)行了針對這個資源的權(quán)限設(shè)置,但設(shè)置的權(quán)限是“拒絕寫入”?;?ldquo;拒絕優(yōu)于允許”的原則,“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的權(quán)限將優(yōu)先于“xhxs”組中被賦予的允許“寫入”權(quán)限被執(zhí)行。因此,在實際作中,“shyzhong”用戶無法對這個資源進(jìn)行“寫入”作。
2.權(quán)限最小化原則
Windows XP將“保持用戶最小的權(quán)限”作為一個基本原則進(jìn)行執(zhí)行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權(quán)限賦予限制。
基于這條原則,在實際的權(quán)限賦予作中,我們就必須為資源明確賦予允許或拒絕作的權(quán)限。例如系統(tǒng)中新建的受限用戶“shyzhong”在默認(rèn)狀態(tài)下對“DOC”目錄是沒有任何權(quán)限的,現(xiàn)在需要為這個用戶賦予對“DOC”目錄有“讀取”的權(quán)限,那么就必須在“DOC”目錄的權(quán)限列表中為“shyzhong”用戶添加“讀取”權(quán)限。
3.權(quán)限繼承性原則
權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個“DOC”目錄,在這個目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄,現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置“shyzhong”用戶有“寫入”權(quán)限。因為有繼承性原則,所以只需對“DOC”目錄設(shè)置“shyzhong”用戶有“寫入”權(quán)限,其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。
4.累加原則
這個原則比較好理解,假設(shè)現(xiàn)在“zhong”用戶既屬于“A”用戶組,也屬于“B”用戶組,它在A用戶組的權(quán)限是“讀取”,在“B”用戶組中的權(quán)限是“寫入”,那么根據(jù)累加原則,“zhong”用戶的實際權(quán)限將會是“讀取+寫入”兩種。
顯然,“拒絕優(yōu)于允許”原則是用于解決權(quán)限設(shè)置上的沖突問題的;“權(quán)限最小化”原則是用于保障資源安全的;“權(quán)限繼承性”原則是用于“自動化”執(zhí)行權(quán)限設(shè)置的;而“累加原則”則是讓權(quán)限的設(shè)置更加靈活多變。幾個原則各有所用,缺少哪一項都會給權(quán)限的設(shè)置帶來很多麻煩!
注意:在Windows XP中,“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權(quán)力,也就是管理員組的成員可以從其他用戶手中“奪取”其身份的權(quán)力,例如受限用戶“shyzhong”建立了一個DOC目錄,并只賦予自己擁有讀取權(quán)力,這看似周到的權(quán)限設(shè)置,實際上,“Administrators”組的全部成員將可以通過“奪取所有權(quán)”等方法獲得這個權(quán)限。
1.拒絕優(yōu)于允許原則
“拒絕優(yōu)于允許”原則是一條非常重要且基礎(chǔ)性的原則,它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限“糾紛”,例如,“shyzhong”這個用戶既屬于“shyzhongs”用戶組,也屬于“xhxs”用戶組,當(dāng)我們對“xhxs”組中某個資源進(jìn)行“寫入”權(quán)限的集中分配(即針對用戶組進(jìn)行)時,這個時候該組中的“shyzhong”賬戶將自動擁有“寫入”的權(quán)限。
但令人奇怪的是,“shyzhong”賬戶明明擁有對這個資源的“寫入”權(quán)限,為什么實際作中卻無法執(zhí)行呢?原來,在“shyzhongs”組中同樣也對“shyzhong”用戶進(jìn)行了針對這個資源的權(quán)限設(shè)置,但設(shè)置的權(quán)限是“拒絕寫入”?;?ldquo;拒絕優(yōu)于允許”的原則,“shyzhong”在“shyzhongs”組中被 “拒絕寫入”的權(quán)限將優(yōu)先于“xhxs”組中被賦予的允許“寫入”權(quán)限被執(zhí)行。因此,在實際作中,“shyzhong”用戶無法對這個資源進(jìn)行“寫入”作。
2.權(quán)限最小化原則
Windows XP將“保持用戶最小的權(quán)限”作為一個基本原則進(jìn)行執(zhí)行,這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權(quán)限賦予限制。
基于這條原則,在實際的權(quán)限賦予作中,我們就必須為資源明確賦予允許或拒絕作的權(quán)限。例如系統(tǒng)中新建的受限用戶“shyzhong”在默認(rèn)狀態(tài)下對“DOC”目錄是沒有任何權(quán)限的,現(xiàn)在需要為這個用戶賦予對“DOC”目錄有“讀取”的權(quán)限,那么就必須在“DOC”目錄的權(quán)限列表中為“shyzhong”用戶添加“讀取”權(quán)限。
3.權(quán)限繼承性原則
權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個“DOC”目錄,在這個目錄中有“DOC01”、“DOC02”、“DOC03”等子目錄,現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置“shyzhong”用戶有“寫入”權(quán)限。因為有繼承性原則,所以只需對“DOC”目錄設(shè)置“shyzhong”用戶有“寫入”權(quán)限,其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。
4.累加原則
這個原則比較好理解,假設(shè)現(xiàn)在“zhong”用戶既屬于“A”用戶組,也屬于“B”用戶組,它在A用戶組的權(quán)限是“讀取”,在“B”用戶組中的權(quán)限是“寫入”,那么根據(jù)累加原則,“zhong”用戶的實際權(quán)限將會是“讀取+寫入”兩種。
顯然,“拒絕優(yōu)于允許”原則是用于解決權(quán)限設(shè)置上的沖突問題的;“權(quán)限最小化”原則是用于保障資源安全的;“權(quán)限繼承性”原則是用于“自動化”執(zhí)行權(quán)限設(shè)置的;而“累加原則”則是讓權(quán)限的設(shè)置更加靈活多變。幾個原則各有所用,缺少哪一項都會給權(quán)限的設(shè)置帶來很多麻煩!
注意:在Windows XP中,“Administrators”組的全部成員都擁有“取得所有者身份”(Take Ownership)的權(quán)力,也就是管理員組的成員可以從其他用戶手中“奪取”其身份的權(quán)力,例如受限用戶“shyzhong”建立了一個DOC目錄,并只賦予自己擁有讀取權(quán)力,這看似周到的權(quán)限設(shè)置,實際上,“Administrators”組的全部成員將可以通過“奪取所有權(quán)”等方法獲得這個權(quán)限。