如何查看NTFS有效权限

在本指南中，您将了解如何检查 Windows 共享文件夹的 NTFS 权限。

有时您需要检查和分析共享文件夹的安全权限，以验证谁有权访问哪些内容。这可以用于安全审核或应您主管的要求。不时检查 NTFS 权限也是一个好习惯。

不幸的是，内置的 Windows 工具没有提供一种简单的方法来检查共享文件夹的 NTFS 权限。

为了解决这个问题，我们可以使用第三方工具来分析 NTFS 有效权限并验证对文件和文件夹的访问。

一探究竟。

什么是 NTFS 有效权限？

NTFS 有效权限是用户或组对文件或文件夹的最终权限。它是对象上显式权限和继承权限的组合。换句话说，它是用户或组对文件或文件夹的权限。

在尝试确定有效权限时，您需要考虑以下事项：

• 团体会员
• 继承的权限
• 嵌套组
• 显式拒绝权限
• 本地团体成员资格

当您创建新文件或文件夹时，它将采用操作系统的默认值或继承父文件夹的权限。

看起来很简单吧？是与否

根据您的网络共享的结构以及访问的粒度，它可能会变得一团糟。

但是，这不是本教程的重点。

让我们继续看一些查看有效访问的示例。

查看NTFS有效权限的步骤

在本视频中，我将介绍如何查看 NTFS 权限对网络共享的影响。这是在 Windows Server 2016 上完成的，其他 Windows 版本上的步骤非常相似。

虽然上述方法工作得很好，但让我们看一下更快、更有效的检查 NTFS 权限的方法。

对于此方法，我将使用 SolarWinds 权限分析器工具。

该工具不仅可以快速分析 NTFS 权限，还可以分析共享权限。

第 1 步：下载并安装权限分析器

在此下载免费工具

第2步：配置权限分析器

将权限分析器连接到您的 Active Directory。

现在，选择要分析的用户或组，然后选择文件或文件夹，然后单击“分析”。

在此示例中，我将检查用户 Amanda Gord 对 HR 共享的权限。

只需点击几下，我就能看到该用户对 HR 文件夹的有效权限。我还可以检查安全组的访问权限。

检查所有文件夹的 NTFS 权限

在此示例中，我将使用 AD Pro Toolkit 提供的 NTFS Permissions Reporter 工具。该工具可以检查共享文件夹的根目录和所有子文件夹的 NTFS 权限。该工具将显示其他详细信息，例如目录所有者、权限和权限类型。请参阅以下步骤。

第1步：选择NTFS权限

单击此处下载免费试用版。

从左侧菜单中选择 NTFS 权限工具。

第2步：输入文件夹路径

接下来，浏览或输入要分析的文件夹的路径。

单击“运行”按钮。

在此示例中，我检查服务器 srv-vm1 上的共享文件夹。

在结果网格中，您可以看到所有文件夹和安全权限。

您可以对结果进行排序、筛选并将结果导出到 CSV 文件。

使用权限分析器工具排除 NTFS 权限故障

让我们再看几个使用权限分析器工具检查权限的示例。

设置：

• Windows Server 2016 文件服务器上的 HR 网络共享

• Active Directory 安全组

  • HR 完全安全组：该组中的用户已被授予对 HR 网络共享的修改权限
• HR 只读安全组：该组中的用户已被授予对 HR 网络共享的读取和执行权限
• HR主管文件夹安全组：授予主管文件夹修改权限

示例 1：查看网络共享文件夹的有效权限

我想验证 HR 网络共享的有效权限。我想确保没有未经授权的访问。

我要检查 Dan Warner 的访问权限，他是 HR 团队的成员。

提示：不要授予用户对文件或文件夹的完全控制权。这使他们能够获得所有权、更改权限并真正搞砸事情。

这看起来是正确的。 Dan 拥有修改权，但不具有完全控制权。

现在，让我们看看 Sam Rodgers 的权限，他位于 HR ReadOnly 组中。

看起来正确，Sam 具有读取和执行文件的权限。

现在，我们要确保 HR 之外的任何人都无法访问 HR 文件夹。

我要检查 Pam Smith 的访问权限，她不是 HR Full 或只读组的成员。

嗯，Pam 没有 NTFS 权限，但她有共享权限。即使她无法访问文件和文件夹，她仍然可以看到 HR 共享文件夹。用户不需要查看他们无权访问的共享，因此我需要删除她的共享权限。

这是一个很好的例子，说明了为什么您应该验证和审核文件和文件夹访问。

示例2：查看子文件夹的有效权限

部门通常希望锁定子文件夹，以便只有某些用户可以访问它们。他们经常要求将文件夹深度锁定几层，我拒绝这些请求，因为这成为管理的噩梦。

人力资源部门希望将一个名为主管的文件夹锁定给少数用户。我创建了一个名为 HR Supervisor 文件夹的 Active Directory 组并添加了请求的用户。

我设置的唯一可以访问主管文件夹的用户是 Amanda Gord，所以让我们检查一下她的有效权限。

是的，看起来不错。阿曼达只有修改权。

现在我将检查 Sam Rodgers，他是 HR ReadOnly 组的成员。我应该看到 Sam 被拒绝访问此文件夹。

看起来不错。山姆，你被拒绝了！

据报道，丹·华纳能够访问主管文件夹。 Dan 不是人力资源主管文件夹组的成员，因此他不应该具有访问权限。

让我检查一下他的有效权利。

都该死。尽管 Dan 不在主管组中，但他确实具有访问权限。

怎么会这样？

我们可以使用权限分析器工具根据 Dan 所属的组来分析文件夹。

Dan 是 Domain Users 和 HR Full 的成员。我要检查 HR 完整组的访问权限。

怎么了。 HR Full 组有权访问主管文件夹。这解释了为什么丹可以访问。

让我去检查一下文件夹的权限。

啊，就是这样。一位系统管理员忘记从主管文件夹中删除 HR Full 组。这使得该组中的任何人都可以访问该文件夹。

我已删除 HR Full 组，现在让我再次检查 Dan 的访问权限。

看起来好多了，丹不再有访问权限。

结论

正如您所看到的，权限分析器工具可以轻松检查有效的 NTFS 和共享权限。如果您还没有这样做，请下载免费的权限分析器副本并尝试一下。

NTFS 权限对于确保对文件和文件夹进行未经授权的访问至关重要。一个错误的配置设置可能会让一整组用户访问他们未经授权的数据。了解如何快速检查文件和文件夹的有效权限有助于排除故障并确保用户和组的权限以及他们只需要的权限。

任何问题？请在下面发表评论。