2.共享权限(Shared Permission) 只要是共享出来的文件夹就一定具有此权限。如该文件夹存在于NTFS分区中，那么它将同时具有NTFS权限与共享权限，如果这个资源同时拥有NTFS和共享两种权限，那么系统中对权限的具体实施将以两种权限中的"较严格的权限"为准──这也是"拒绝优于允许"原则的一种体现！ 例如，某个共享资源的NTFS权限设置为完全控制，而共享权限设置为读取，那么远程用户就只能使用"读取"权限对共享资源进行访问了。 注意：如果是FAT16/FAT32文件系统中的共享文件夹，那么将只能受到共享权限的保护，这样一来就容易产生安全性漏洞。这是因为共享权限只能够限制从网络上访问资源的用户，并无法限制直接登录本机的人，即用户只要能够登录本机，就可以任意修改、删除FAT16/FAT32分区中的数据了。因此，从安全角度来看，我们是不推荐在Windows XP中使用FAT16/FAT32分区的。 设置共享权限很简单，在右键选中并点击一个文件夹后，在右键快捷菜单中选择"共享与安全"项，在弹出的属性对话框"共享"选项卡设置界面中点击选中"共享该文件夹"项即可，这将使共享资源使用默认的权限设置(即"Everyone"用户拥有读取权限)。如果想具体设置共享权限，那么请点击"权限"按钮，在打开的对话框中可以看到权限列表中有"完全控制 "、"更改"和"读取"三项权限可供选择。 下面先简单介绍一下这三个权限的含义： ①完全控制：允许用户创建、读取、写入、重命名、删除当前文件夹中的文件以及子文件夹，另外，也可以修改该文件夹中的NTFS访问权限和夺取所有权； ②更改：允许用户读取、写入、重命名和删除当前文件夹中的文件和子文件夹，但不能创建新文件； ③读取：允许用户读取当前文件夹的文件和子文件夹，但是不能进行写入或删除操作。 说完了权限的含义，我们就可以点击"添加"按钮，将需要设置权限的用户或用户组添加进来了。在缺省情况下，当添加新的组或用户时，该组或用户将具备"读取"(Read)权限，我们可以根据实际情况在下方的权限列表中进行复选框的选择与清空。 接着再来说说令很多读者感到奇怪的"组和用户名称"列表中的"Everyone"组的含义。在Windows 2000中，这个组因为包含了"Anonymous Logon"组，所以它表示"每个人"的意思。但在Windows XP中，请注意──这个组因为只包括"Authenticated Users"和"Guests"两个组，而不再包括"Anonymous Logon"组，所以它表示了"可访问计算机的所有用户"，而不再是"每个人"！请注意这是有区别的，"可访问计算机的所有用户"意味着必须是通过认证的用户，而"每个人"则不必考虑用户是否通过了认证。从安全方面来看，这一点是直接导致安全隐患是否存在关键所在！ 当然，如果想在 Windows XP中实现Windows 2000中那种"Everyone"设计机制，那么可以通过编辑"本地安全策略"来实现，方法是：在"运行"栏中输入"Secpol.msc"命令打开" 安全设置"管理单元，依次展开"安全设置"→"本地策略"，然后进入"安全选项"，双击右侧的"网络访问：让‘每个人'权限应用于匿名 用户"项，然后选择"已启用"项即可。 注意：在Windows XP Professional中，最多可以同时有10个用户通过网络登录(指使用认证账户登录的用户，对于访问由IIS提供的Web服务的用户没有限制)方式使用某一台计算机提供的共享资源。 3.资源复制或移动时权限的变化与处理 在权限的应用中，不可避免地会遇到设置了权限后的资源需要复制或移动的情况，那么这个时候资源相应的权限会发生怎样的变化呢？下面来了解一下： (1)复制资源时 在复制资源时，原资源的权限不会发生变化，而新生成的资源，将继承其目标位置父级资源的权限。 (2)移动资源时 在移动资源时，一般会遇到两种情况，一是如果资源的移动发生在同一驱动器内，那么对象保留本身原有的权限不变(包括资源本身权限及原先从父级资源中继承的权限)；二是如果资源的移动发生在不同的驱动器之间，那么不仅对象本身的权限会丢失，而且原先从父级资源中继承的权限也会被从目标位置的父级资源继承的权限所替代。实际上，移动操作就是首先进行资源的复制，然后从原有位置删除资源的操作。 (3)非NTFS分区 上述复制或移动资源时产生的权限变化只是针对NTFS分区上而言的，如果将资源复制或移动到非NTFS分区(如FAT16FAT32分区)上，那么所有的权限均会自动全部丢失。 4.资源所有权的高级管理 有时我们会发现当前登录的用户无法对某个资源进行任何操作，这是什么原因呢？其实这种常见的现象很有可能是因为对某个资源进行的NTFS权限设置得不够完善导致的──这将会造成所有人(包括 "Administrator"组成员)都无法访问资源，例如不小心将"zhiguo"这个文件夹的所有用户都删除了，这将会导致所有用户都无法访问这个文件夹，此时很多朋友就会束手无策了，其实通过使用更改所有权的方法就可以很轻松地解决这类权限问题了。 首先，我们需要检查一下资源的所有者是谁，如果想查看某个资源(如sony目录)的用户所有权的话，那么只需使用"dir sony /q"命令就可以了。在反馈信息的第一行就可以看到用户是谁了，例如第一行的信息是"lovebookzhong"，那么意思就是lovebook这台计算机中的"zhong"用户。 如果想在图形界面中查看所有者是谁，那么需要进入资源的属性对话框，点击"安全"选项卡设置界面中的"高级"按钮，在弹出的"(用户名)高级安全设置"界面中点击"所有者"选项卡，从其中的"目前该项目的所有者"列表中就可以看到当前资源的所有者是谁了。 如果想将所有者更改用户，那么只需在"将所有者更改为"列表中选择目标用户名后，点击"确定"按钮即可。此外，也可以直接在"安全"选项卡设置界面中点击"添加"按钮添加一个用户并赋予相应的权限后，让这个用户来获得当前文件夹的所有权。 注意：查看所有者究竟对资源拥有什么样的权限，可点击进入"有效权限"选项卡设置界面，从中点击"选择"按钮添加当前资源的所有者后，就可以从下方的列表中权限选项的勾取状态来获知了。 五、程序使用权限设定 Windows XP操作系统在文件管理方面功能设计上颇为多样、周全和智能化。这里通过"程序文件使用权限"设置、将"加密文件授权多个用户可以访问"和了解系统日志的访问权限三个例子给大家解释一下如何进行日常应用。 1.程序文件权限设定 要了解Windows XP中关于程序文件的访问权限，我们应首先来了解一下Windows XP在这方面的两个设计， 一、是组策略中软件限制策略的设计； 二、是临时分配程序文件使用权限的设计。 (1)软件限制策略 在"运行"栏中输入 "Gpedit.msc"命令打开组策略窗口后，在"计算机配置"→"Windows设置"→"安全设置"分支中，右键选中"软件限制策略"分 支，在弹出的快捷菜单中选择新建一个策略后，就可以从"软件限制策略"分支下新出现的"安全级别"中看到有两种安全级别的存在了。 这两条安全级别对于程序文件与用户权限之前是有密切联系的： ①不允许的：从其解释中可以看出，无论用户的访问权如何，软件都不会运行； ② 不受限的：这是默认的安全级别，其解释为 "软件访问权由用户的访问权来决定"。显然，之所以在系统中可以设置各种权限，是因为有这个默认安全策略在背后默默支持的缘故。如果想把"不允许的"安全级别设置为默认状态，只需双击进入其属性界面后点击"设为默认值"按钮即可。 (2)临时分配程序文件 为什么要临时分配程序文件的管理权限呢？这是因为在Windows XP中，有许多很重要的程序都是要求用户具有一定的管理权限才能使用的，因此在使用权限不足以使用某些程序的账户时，为了能够使用程序，我们就需要为自己临时分配一个访问程序的管理权限了。为程序分配临时管理权限的方法很简单：右键点击要运行的程序图标，在弹出的快捷菜单中选择"运行方式"，在打开的"运行身份"对话框中选中"下列用户"选项，在"用户名"和"密码"右侧的文本框中指定用户及密码即可。 显然，这个临时切换程序文件管理权限的设计是十分有必要的，它可以很好地起到保护系统的目的。 2.授权多个用户访问加密文件 Windows XP在EFS上的改进之一就是可以允许多个用户访问加密文件，这些用户既可以是本地用户，也可以是域用户或受信任域的用户。由于无法将证书颁发给用户组，而只能颁发给用户，所以只能授权单个的账户访问加密文件，而用户组将不能被授权。 要授权加密文件可以被多个用户访问，可以按照如下方法进行操作： 选中已经加密的文件，用鼠标右键点击该加密文件，选择"属性"，在打开的属性对话框中"常规"选项卡下点击"高级"按钮，打开加密文件的高级属性对话框，点击其中的"详细信息"按钮(加密文件夹此按钮无效)，在打开的对话框中点击"添加"按钮添加一个或多个新用户即可(如果计算机加入了域，则还可以点击"寻找用户"按钮在整个域范围内寻找用户)。 如果要删除某个用户对加密文件的访问权限，那么只需选中此用户后点击"删除"按钮即可。 3.日志的访问权限 什么是日志？我们可以将日志理解为系统日记，这本"日记"可以按系统管理员预先的设定，自动将系统中发生的所有事件都一一记录在案，供管理员查询。既然日志信息具有如此重要的参考作用，那么就应该做好未经授权的用户修改或查看的权限控制。因此，我们非常有必要去了解一下日志的访问权限在Windows XP中是怎样设计的。一般来说，Administrators、SYSTEM、Everyone三种类型的账户可以访问日志。 这三种类型的账户对不同类型的日志拥有不同的访问权限，下面来看一下表格中具体的说明，请注意"√"表示拥有此权限；"×"表示无此权限。 通过对比，可以看出SYSTEM拥有的权限最高，可以对任意类型的日志进行读写和清除操作；Everyone用户则可以读取应用程序和系统日志，但对安全日志无法读取。这是因为安全日志相对其他几种类型的日志在安全性方面的要求要高一些，只有SYSTEM 能够对之写入。 如果想为其他用户赋予管理审核安全日志的权限，那么可以在"运行"栏中输入"Gpedit.msc"命令打开组策略编辑器窗口后，依次进入"计算机配置 "→"Windows设置"→"安全设置 "→"本地策略"→"用户权利指派"，双击右侧的"管理审核和安全日志"项，在弹出的对话框中添加所需的用户即可。