在這篇文章中，我們將一起探究Windows 2003 Server增強的安全機制。新的操作系統(tǒng)中提高安全性的新特性隨處可見，但這里我們只注重大多數(shù)Windows用戶和管理員最關(guān)心的地方，借此粗略感受一下Windows Server 2003新的安全機制。

一、NTFS和共享權(quán)限

在以前的Windows中，默認的權(quán)限許可將“完全控制”授予了Everyone組，整個文件系統(tǒng)根本沒有安全性可言（就本地訪問來說）。但從Windows XP Pro開始，這種情況改變了。

授予Everyone組的根目錄NTFS權(quán)限只有讀取和執(zhí)行，且這些權(quán)限只對根文件夾有效。也就是說，對于任何根目錄下創(chuàng)建的子文件夾，Everyone組都不能繼承這些權(quán)限。對于安全性要求更高的系統(tǒng)文件夾，例如Program Files和Windows文件夾，Everyone組也已經(jīng)從ACL中排除出去。（說明：ACL即“訪問控制列表”，或Access Control List，它是一種安全保護列表，適用于整個對象、對象屬性組或某個對象個別屬性。Windows Server 2003有兩種訪問控制列表類型：隨機和系統(tǒng)）。

Users組除了讀取和運行之外，還能夠在子文件夾下創(chuàng)建文件夾（可繼承）和文件（注意，根驅(qū)動器除外）。授予System帳戶的權(quán)限和本地Administrators組成員的權(quán)限仍未改變，它們?nèi)該碛袑Ω募A及其子文件夾的完全控制權(quán)限。CREATOR OWNER仍被授予子文件夾及其包含的文件的完全控制權(quán)限，也就是允許用戶全面管理他們自己創(chuàng)建的子文件夾。

對于新創(chuàng)建的共享資源，Everyone現(xiàn)在只有讀取的權(quán)限。

另外，Everyone組現(xiàn)在不再包含匿名SID（安全標(biāo)識符，一種不同長度的數(shù)據(jù)結(jié)構(gòu)，用來識別用戶、組和計算機帳戶。網(wǎng)絡(luò)上每一個初次創(chuàng)建的帳戶都會收到一個唯一的 SID。Windows中的內(nèi)部進程將引用帳戶的SID而不是帳戶的用戶名或組名），進一步減少了未經(jīng)授權(quán)訪問文件系統(tǒng)的可能性。要快速查看文件或文件夾的NTFS權(quán)限，可以用右鍵點擊文件或文件夾，選擇“安全”選項卡，點擊“高級”，然后查看“有效權(quán)限”頁，不用再猜測或進行復(fù)雜的分析來了解繼承的以及直接授予的NTFS權(quán)限。不過，這個功能還不能涵蓋共享權(quán)限。

二、文件和文件夾的所有權(quán)

現(xiàn)在，你不僅可以擁有文件系統(tǒng)對象（文件或文件夾）的所有者權(quán)限，而且還可以通過該文件或文件夾“高級安全設(shè)置”對話框的“所有者”選項卡將權(quán)限授予任何人。

Windows的磁盤配額是根據(jù)所有者屬性計算的，授予其他人所有者權(quán)限的功能簡化了磁盤配額的管理。例如，管理員應(yīng)用戶的要求創(chuàng)建了新的文件（例如復(fù)制一些文件，或安裝新的軟件），使得管理員成為新文件的所有者，即新文件占用的磁盤空間不計入用戶的磁盤配額限制。以前，要解決這個問題必須經(jīng)過繁瑣的配置修改，或者必須使用第三方工具。現(xiàn)在Windows Server 2003直接在用戶界面中提供了設(shè)置所有者的功能，這類有關(guān)磁盤配額的問題可以方便地解決了（對于使用NTFS文件系統(tǒng)的任何類型的操作系統(tǒng)都有效，包括Windows NT 4.0、2000和XP Pro，只要修改是在Windows Server 2003上進行就可以了）。

[本文共有 4 頁，當(dāng)前是第 1 頁] <<上一頁 下一頁>>