权限设置的三要素为访问者、权限、被访问的对象，任何权限的设置都围绕这三者展开。本文主要围绕NTFS安全权限进行展开。学习NTFS安全权限目的是为了给文件或文件夹设权限，权限可以限制不同的用户在访问文件或文件夹时具有不同的权限。

（1）通过设置NTFS权限，实现不同用户访问不同对象（文件或文件夹）的权限。 （2）分配了正确的访问权限后，用户才能访问其资源。 （3）设置权限防止资源被篡改、删除。

文件系统即在外部存储设备上组织文件的方式，即存储方式/格式。

注意： （1）分区必须建立文件系统，才能存储资料。在分区划分小的存储单元，这些小的存储单元称为簇（block）。 （2）什么是格式化：将分区数据清空，然后重新在分区上划分簇（block），即制作文件系统，因此格式化时需要选择文件系统类型。

格式化时需要选择文件系统，文件系统将分区划分为许多block（其中存储文件内容）和inote（存储文件名及其指针）。

右键分区→格式化→可选择分配单元大小。其中，默认为4096字节，节4KB。格式化时一般需要选择“快速格式化”比较快。

注意： （1）若分区之前格式化时文件系统类型选择的是FAT类型，则不具备设置权限，所有用户一律平等。 （2）当U盘空间比较小时，如4G、8G、16G，格式化时选择FAT32类型效果比较好；NTFS针对大硬盘大分区。

作用： 为不同用户设置存可用空间，类似网盘。 操作： 右键分区→属性→配额，一般在管理服务器时需要使用。

请虚拟机中进行试验及操作。实现在D盘中的PublicResource文件夹，a只能读取内容，b只能上传内容。

（1）打开win2003服务器，选择D盘，查看属性，确定分区文件系统为NTFS格式。 （2）在D盘创建一个文件及文件夹。

（3）创建AB两个用户。

（4）我们的目的是给PublicResource文件夹设置不同访问权限—a只能读取内容，b只能上传内容。a用户虽在该文件夹被限制了权限，但在家目录下，是有完全控制权限，至于其余位置需要看管理员是否设置权限。新建的用户，默认属于普通用户组（users),他的权限也是默认的。 tips: CREATOR OWNER 指创建者本人，即创建文件夹的用户，具有特别的权限，可以更改访问控制列表。 （5）若想修改访问控制列表ACL，需要取消父子级文件间权限的继承。点击复制表示复制父级文件的权限至子级文件，但是切断了两者间的继承性。 （6）删除多余组，避免用户属于不同组而产生权限叠加。 （7）添加用户，输入a;b，注意中间是分号（用分号可以同时添加多个用户），点击检查名称依次添加。 tips: 若不知道用户名称的具体拼写，可以点击>>高级，>>立即查找，选中需要的用户名，再点击确定。 （8）a用户保存默认及可，b用户按以下勾选。 tips: b用户具有上传权限，其上传后不可以再下载，不可以读取、写入和修改。但是可以覆盖自己之前上传的文件或文件夹，但是不能覆盖别人的。可以覆盖自己的文件或文件夹是由于b用户创建的文件或文件夹还带有b用户的某些标识。

（1）当用户属于多个组时，权限是累加的，累加只累加允许。当用户权限与自己预想不一致时，查看用户是否属于多个组。 （2）相同的权限，当允许碰到拒绝时，拒绝最大。取用户所属各组的，对于每一类权限的如何规定，按用户所属各组规定的最强者确定。 （3)设置权限时，一般不碰拒绝，除非遇到特殊情况。如b用户属于IT组，IT组成员为10个用户，IT组拥有对”机密“文件夹的完全控制权限，现要求b用户不能脱离IT组，同时要求b用户没有访问”机密“文件夹的所有权限。这时需要另外对”机密“文件夹设置所有权限对于b用户都勾选拒绝。

场景： 假设a用户创建了一个文件夹，并将父子级继承去掉，同时将其他用户及管理员移除权限，管理员应该怎么处理？ 解决办法： 右键该文件夹→属性→安全→高级。注意只有管理员和管理员组具有取得所有权权限。

适用场景： 当长期使用后，部分子文件夹权限比较混乱，希望这些子文件都恢复以前继承的权限，对此需要将最高级文件夹设置强制继承。 作用： 对下强制继承父子级权限关系。 方法： 父级文件夹右键属性→安全→高级→如下勾选并确定。

（1）复制：

（2）移动： 文件由一个文件夹移动到另外一个文件夹时，分为两种情况：（1）如果移动是在同一个磁盘分区中进行的，则文件的使用权限不变。因为在WINDOWS2000中，同一磁盘文件的移动只是指针的改变，并没有真正的移动。（2）如果是跨分区移动到另一个磁盘分区的某个文件夹中，则该文件将继承目标文件夹的使用权限。因为移动到另一个磁盘分区，实际上是在那个分区产生新文件。 文件夹的复制或移动的原理与文件相同。

[1]本地文件安全权限-以NTFS文件系统为例