XPでNTFSパーミッションを設定するための基本方針と原則

XPには4つの基本原則があり、これらの基本原則に注意を払う必要があります。 Windows XPのさまざまな権限設定に特に注意を払う必要があります。

NTFSアクセス許可を設定するための基本的な戦略と原則

Windows XPでは、アクセス許可の管理には4つの基本原則があります。拒否は許可の原則、権限の最小化の原則、蓄積の原則より優れています。そして許可継承の原則。これらの4つの基本原則は、権限の設定において非常に重要な役割を果たします。それを見てみましょう：

1拒否は、許可された原則より優れています。

< 「許可」の原則は非常に重要で基本的な原則であり、ユーザーグループ内のユーザーの属性に起因するアクセス許可を完全に処理できます。たとえば、「shyzhong」は両方に属するユーザーです。 Shyzhongs - 'ユーザーグループは、 "xhxs"グループ（つまりユーザーグループ）内のユーザーに対して "write"の集中割り当てを実行する場合、 "xhxs"グループにも属します。 &squo; shyzhong'アカウントは自動的に"書き込み"を書く権限を持ちます。

しかし、アカウントにこのリソースに対する "書き込み"アクセス許可があることは明らかですが、実際には実行できないのはなぜですか。もともと、 "shyzhongs"グループでは、ユーザーはこのリソースに対する権限も設定しましたが、権限セットは "書き込みを拒否"されていました。 「shyzhong」グループの「shyzhong」は「許可するより拒否する」という原則に基づき、「xhxs - 'グループ」の「許可された許可」よりも優先されます。 '権限が実行されます。そのため、実際には、< shyzhong>ユーザーはこのリソースに対して< = write>書き込み操作を実行できません。

2アクセス許可を最小限に抑えるための原則

基本的な原則として、Windows XPでは "ユーザーの最小限のアクセス許可を維持する"ことが非常に重要です。この原則は、リソースに対する最大限のセキュリティを保証します。この原則は、ユーザーがアクセスできない、または不必要にアクセスできるリソースを制限することを試みることができます。

この原則に基づいて、実際の特権割り当て操作では、操作を許可または拒否する権限を明示的にリソースに付与する必要があります。たとえば、システム "shyzhong"の新しい制限付きユーザーは、デフォルトの状態では "DOC"ディレクトリへのアクセス許可を持っていません。このユーザーに "DOC"ディレクトリの "read'"アクセス許可を与える必要があります。次に、&DOquo; DOC'ディレクトリの権限のリストにある'読み取り'権限を' shyzhong'ユーザーに追加する必要があります。

3権限の継承の原則

権限の継承の原則により、リソースに対する権限の設定が簡単になります。 「DOC」というディレクトリがあり、このディレクトリに「DOC01」、「DOC02」、「DOC03」などのサブディレクトリがあるとします。ここで、DOCディレクトリとそのサブディレクトリを' shyzhong'の下に設定する必要があります。ユーザーには書き込み権限があります。継承の原則により、&##############################################################################

4累積の原則

この原則は、ユーザーが "A"ユーザーグループに属し、さらに "B"ユーザーグループ（Aユーザーに属している）に属していると仮定すると、よりよく理解されます。グループの権限は「読み取り」、「B」ユーザーグループの権限は「書き込み」で、累積の原則に従うと、ユーザーの実際の権限は<読み取り+になります。 - ' 2と書いてください。

明らかに、 "拒否は許可よりも優れている"という原則は権限設定の競合を解決するために使用され、 "プライバシーを最小にする"はリソースを保護するために使用される原則です。'原則は「自動化」実行許可設定に使用され、「追加の原則」は許可設定をより柔軟にすることである。いくつかの原則が有用です、そして、1つの欠如は許可の設定に多くの問題をもたらすでしょう！

注：Windows XPでは、 "Administrators"グループのすべてのメンバーは "所有権を取得する"（Take Ownership）権利を持っています。つまり、Administratorsグループのメンバーは他のユーザーのものである可能性があります。制限されたユーザーなどの身元を掌握する権利、shyzhongはDOCディレクトリを確立し、実際には "Administrators"グループという、一見思慮深い許可設定を読む権利のみを与えられていました。すべてのメンバーは、「所有権の取得」によってこの許可を取得することができます。

フォルダの権限を上書きするファイルの5個の権限

ドキュメントにそのようなものがあるように見えますが、ドキュメントのバージョンが古すぎるかどうかわからない場合は、個々のファイルの権限が優先されます。 2つの権限のように見えます。

1 [Everyone]のフルコントロール権限をキャンセルします。

権限をキャンセルするファイルまたはフォルダを選択し、右クリックして[セキュリティ]タブの[プロパティ]を選択します。 ACLで、「Everyone」のACEを見つけ、「編集」を選択して、「フルコントロール」権限から削除します。

2アクセス許可に対するフォルダのコピーと移動の効果

アクセス許可のアプリケーションでは、アクセス許可の設定後にリソースをコピーまたは移動する必要があります。リソースの対応する権限はどのように変わりますか？それを見てみましょう：

（1）リソースをコピーするとき

リソースをコピーするとき、元のリソースのパーミッションは変わりません、そして新しく生成されたリソースはそれらのターゲットロケーションの親を継承します。リソースに対する権限

（2）リソースを移動するとき

& n

bsp;リソースを移動するとき、一般的に2つの状況があります。1つはリソースの移動が発生する場合です。同じドライブ内では、オブジェクトは元のアクセス権（リソース自体のアクセス権と元々親リソースから継承したアクセス権を含む）を保持し、2つ目はリソースの移動が異なるドライブ間で発生する場合、オブジェクト自体だけではありません。権限は失われ、元々親リソースから継承されていた権限は、ターゲットの場所にある親リソースから継承された権限に置き換えられます。実際、移動操作は、リソースをコピーしてから元の場所からリソースを削除する最初の操作です。

（3）NTFS以外のパーティション

リソースをNTFS以外のパーティション（FAT16など）にコピーまたは移動した場合、上記のアクセス権の変更はNTFSパーティションに対してのみ行われます。 /FAT32パーティション）、すべての権限が自動的に失われます。