共享和 NTFS 权限之间的差异

NTFS 和共享权限都经常在 Microsoft Windows 环境中使用。虽然共享和 NTFS 权限都有相同的目的（防止未经授权的访问），但在确定如何最好地执行共享文件夹等任务之前，需要了解一些重要的差异。以下是共享权限和 NTFS 权限之间的主要区别，以及有关何时以及如何使用每种权限的一些建议。

什么是 NTFS 权限？

NTFS（新技术文件系统）是Microsoft Windows NT及更高版本操作系统的标准文件系统； NTFS 权限用于管理对 NTFS 文件系统中存储的数据的访问。 NTFS 共享权限的主要优点是它们会影响本地用户和网络用户，并且它们基于 Windows 登录时授予单个用户的权限，无论用户从何处连接。

NTFS 权限有基本权限和高级权限。您可以将每个权限设置为“允许”或“拒绝”来控制对 NTFS 对象的访问。以下是访问权限的基本类型：

• 完全控制 - 用户可以添加、修改、移动和删除文件和目录及其关联属性。此外，用户可以更改所有文件和子目录的权限设置。
• 修改 - 用户可以查看和修改文件和文件属性，包括向目录添加文件或从目录删除文件，或者向文件添加文件属性或从文件删除文件属性。
• 读取和执行 - 用户可以运行可执行文件，包括脚本。
• 读取 — 用户可以查看文件、文件属性和目录。
• 写入 - 用户可以写入文件并将文件添加到目录。

什么是共享权限？

共享权限管理对通过网络共享的文件夹的访问；它们不适用于本地登录的用户。共享权限适用于共享中的所有文件和文件夹；您无法精确控制对共享上的子文件夹或对象的访问。您可以指定允许访问共享文件夹的用户数量。共享权限可与 NTFS、FAT 和 FAT32 文件系统一起使用。

共享权限分为三种类型：完全控制、更改和读取。您可以将它们分别设置为“拒绝”或“允许”来控制对共享文件夹或驱动器的访问：

• 读取 - 用户可以查看文件和子文件夹名称、读取文件中的数据以及运行程序。默认情况下，“Everyone”组被分配“读取”权限。
• 更改 - 用户可以执行“读取”权限允许的所有操作，以及添加文件和子文件夹、更改文件中的数据以及删除子文件夹和文件。默认情况下不分配此权限。
• 完全控制 — 用户可以执行“读取”和“更改”权限允许的所有操作，还可以仅更改 NTFS 文件和文件夹的权限。默认情况下，“管理员”组被授予“完全控制”权限。

NTFS 与共享权限

以下是您需要了解的 NTFS 和共享权限之间的主要区别：

• 共享权限易于应用和管理，但 NTFS 权限可以更精细地控制共享文件夹及其内容。
• 当同时使用共享和 NTFS 权限时，限制性最强的权限始终获胜。例如，当共享文件夹权限设置为“所有人读取允许”并且NTFS权限设置为“所有人修改允许”时，共享权限适用，因为它是最严格的；不允许用户更改共享驱动器上的文件。
• 共享FAT和FAT32文件系统中的文件夹时可以使用共享权限； NTFS权限不行。
• NTFS权限适用于本地登录服务器的用户；共享权限则不然。
• 与 NTFS 权限不同，共享权限允许您限制共享文件夹的并发连接数。
• 共享权限在“权限”设置的“高级共享”属性中配置。 NTFS 权限在文件或文件夹属性的“安全”选项卡上配置。

如何更改 NTFS 权限

更改 NTFS 权限：

1. 打开“安全”选项卡。
2. 在该文件夹的“属性”对话框中，单击“编辑”。
3. 单击要更改权限的对象的名称。
4. 为每个设置选择“允许”或“拒绝”。
5. 单击“应用”以应用权限。

或者，您可以使用 PowerShell 更改 NTFS 权限。

如何更改共享权限

更改共享权限：

1. 右键单击共享文件夹。
2. 单击“属性”。
3. 打开“共享”选项卡。
4. 单击“高级共享”。
5. 单击“权限”。
6. 从列表中选择用户或组。
7. 为每个设置选择“允许”或“拒绝”。

权限最佳实践

• 向组分配权限，而不是用户帐户 - 向组分配权限可以简化共享资源的管理。如果用户的角色发生变化，您只需将他们添加到适当的新组中，并将他们从不再相关的组中删除。
• 强制执行最小权限原则 - 授予用户所需的权限，仅此而已。例如，如果用户需要读取文件夹中的信息，但从未有正当理由删除、创建或更改文件，请确保他们仅具有“读取”权限。
• 仅对本地用户使用 NTFS 权限——共享权限仅适用于通过网络访问共享资源的用户；它们不适用于本地登录的用户。
• 将具有相同安全要求的对象放在同一文件夹中 - 例如，如果用户需要一个部门使用的多个文件夹的“读取”权限，请将这些文件夹存储在同一父文件夹中并共享父文件夹，而不是单独共享每个文件夹。
• 请勿将“所有人”组的权限设置为“拒绝” - “所有人”组包括有权访问共享文件夹的任何人，包括“来宾”帐户，但“匿名登录”组。
• 避免显式拒绝对共享资源的权限 - 通常，只有当您想要覆盖已分配的特定权限时，才应显式拒绝权限。
• 授予“管理员”组对父共享文件夹的“完全控制”权限 - 此策略使管理员能够管理权限、导出访问列表以及跟踪对所有权限、文件和文件夹的更改。
• 密切关注“管理员”组的成员身份 - 该组中的用户对您的所有共享文件和文件夹拥有“完全访问”权限。因此，您应该使用审核策略和安全事件日志或第三方软件解决方案仔细审核对其成员资格的更改，这些解决方案可以实时通知您这个强大组的任何更改，并促进对所有成员进行定期证明用户权限。

有关详细信息，请阅读 NTFS 权限管理最佳实践。

仅使用一组权限

如果您觉得使用两组独立的权限太复杂，则可以仅使用 NTFS 共享权限。只需将文件夹的共享权限更改为“完全控制”，然后您就可以对 NTFS 权限进行任何所需的更改，而不必担心文件共享权限会干扰它们。

总结

了解共享权限和 NTFS 权限之间的差异使您能够将它们一起使用以保护对本地和共享资源的访问。遵循此处详述的指南和最佳实践将进一步增强您的 IT 环境的安全性。