你有没有试过找出Windows中的所有权限？有共享权限、NTFS权限、访问控制列表等等。以下是它们如何协同工作。

安全标识符

Windows操作系统使用sid来表示所有安全主体。SID只是表示机器、用户和组的字母数字字符的可变长度字符串。每次授予用户或组对文件或文件夹的权限时，都会将SID添加到ACL（访问控制列表）中。在场景后面，SID的存储方式与所有其他数据对象的存储方式相同，都是二进制的。但是，当您在Windows中看到SID时，它将使用更可读的语法显示。在Windows中，您并不经常看到任何形式的SID，最常见的情况是，当您授予某人对资源的权限，然后他们的用户帐户被删除，它将在ACL中显示为SID。让我们看看Windows中sid的典型格式。

您将看到的符号采用特定的语法，下面是这个符号中SID的不同部分。

1. “S”前缀
2. 结构修订号
3. 48位标识符授权值
4. 32位子权限或相对标识符（RID）值的可变数目

在下面的图片中使用我的SID，我们将分解不同的部分以获得更好的理解。

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this secti*** of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principal, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

安全主体

安全主体是任何附加了SID的东西，可以是用户、计算机甚至组。安全主体可以是本地的，也可以在域上下文中。您可以通过“计算机管理”下的“本地用户和组”管理单元来管理本地安全主体。要到达那里，请右键单击“开始”菜单中的“计算机”快捷方式，然后选择“管理”。

要添加新的用户安全主体，可以转到“用户”文件夹，右键单击并选择“新用户”。

如果双击某个用户，可以将其添加到“成员”选项卡上的安全组中。

要创建新的安全组，请导航到右侧的Groups文件夹。在空白处单击鼠标右键，然后选择“新建组”。

共享权限和ntfs权限

在Windows中，有两种类型的文件和文件夹权限，第一种是共享权限，第二种是NTFS权限，也称为安全权限。请注意，在默认情况下共享文件夹时，“Everyone”组具有读取权限。文件夹的安全性通常是通过共享和NTFS权限的组合来实现的如果是这种情况，必须记住最严格的限制总是适用的，例如，如果共享权限设置为Everyone=Read（这是默认值），但NTFS权限允许用户对文件进行更改，共享权限将优先考虑，并且不允许用户进行更改。设置权限时，LSASS（本地安全机构）控制对资源的访问。当您登录时，系统会给您一个带有SID的访问令牌，当您访问资源时，LSASS会比较您添加到ACL（访问控制列表）的SID，如果SID在ACL上，它会决定是允许还是拒绝访问。无论您使用什么权限，都存在差异，因此让我们看看，以便更好地了解何时应该使用什么。

共享权限：

1. 仅适用于通过网络访问资源的用户。如果您在本地登录，例如通过终端服务登录，则它们不适用。
2. 它适用于共享资源中的所有文件和文件夹。如果您想提供更细粒度的限制方案，除了共享权限外，还应该使用NTFS权限
3. 如果您有任何FAT或FAT32格式的卷，这将是唯一可用的限制形式，因为NTFS权限在这些文件系统上不可用。

NTFS权限：

1. 对NTFS权限的唯一限制是，只能在格式化为NTFS文件系统的卷上设置这些权限
2. 请记住，NTFS是累积的，这意味着用户的有效权限是用户分配的权限和用户所属的任何组的权限相结合的结果。

新共享权限

Windows7采用了一种新的“轻松”共享技术。选项从读取、更改和完全控制更改为。读和读/写。这个想法是整个家庭小组思想的一部分，让不懂电脑的人很容易共享一个文件夹。这是通过上下文菜单完成的，并与您的家庭组轻松共享。

如果你想与不在家庭组中的人分享，你可以选择“特定的人…”选项。这会带来一个更“复杂”的对话。您可以在其中指定特定的用户或组。

如前所述，只有两种权限，它们一起为您的文件夹和文件提供全有或全无保护方案。

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

老派的方式

旧的共享对话框有更多的选项，并给了我们在不同别名下共享文件夹的选项，它允许我们限制同时连接的数量以及配置缓存。这些功能在Windows7中都没有丢失，而是隐藏在一个名为“高级共享”的选项下。如果右键单击文件夹并转到其属性，则可以在“共享”选项卡下找到这些“高级共享”设置。

如果单击需要本地管理员凭据的“高级共享”按钮，则可以配置以前版本的Windows中熟悉的所有设置。

如果你点击permissi***按钮，你会看到3个我们都熟悉的设置。

1. Read permission allows you to view and open files and subdirectories as well as execute applicati***. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissi***, as it allows for you to do any and all of the previous permissi***. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

ntfs权限

NTFS权限允许对文件和文件夹进行非常精细的控制。尽管如此，对于新手来说，粒度的大小可能会让人望而生畏。您还可以按文件和文件夹设置NTFS权限。要设置文件的NTFS权限，您应该右键单击并转到需要转到“安全”选项卡的“文件属性”。

要编辑用户或组的NTFS权限，请单击“编辑”按钮。

正如您可能看到的，有相当多的NTFS权限，所以让我们来分解它们。首先，我们将了解您可以对文件设置的NTFS权限。

1. Full Control allows you to read, write, modify, execute, change attributes, permissi***, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissi***, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissi***.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

文件夹的NTFS权限有稍微不同的选项，所以让我们看看它们。

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissi***, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissi*** for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissi***.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Microsoft的文档还声明，“列出文件夹内容”将允许您执行文件夹中的文件，但您仍然需要启用“读取和执行”才能执行。这是一个非常混乱的文件许可。

总结

总之，用户名和组是一个称为SID（安全标识符）的字母数字字符串的表示形式，共享和NTFS权限与这些SID绑定。共享权限仅在通过网络访问时由LSSA检查，而NTFS权限仅在本地计算机上有效。我希望大家对Windows7中文件和文件夹的安全性有一个很好的理解。如果您有任何问题，请随时在评论中发表意见。