NTFS权限分析与应用

格式：pdf
大小：244.58 KB
文档页数：6

下载文档原格式

/ 6

ntfs6个基本权限

ntfs6个基本权限NTFS是一种用于Windows操作系统的文件系统，具有很强的权限管理功能。

NTFS允许管理员对文件和文件夹设置细粒度的访问权限，以控制用户或组对这些文件和文件夹的访问级别。

下面是NTFS中的6个基本权限：1. 完全控制（Full Control）：拥有完全的权限来读取、写入、修改和删除文件，以及更改文件的属性和权限。

具有完全控制权限的用户可以执行任何操作。

2. 修改（Modify）：允许用户对文件进行读取、写入和修改。

用户可以创建、删除和重命名文件，但不能更改文件的属性和权限。

3. 读取和执行（Read & Execute）：用户可以打开和查看文件的内容，并执行其中可执行文件、脚本和程序。

4. 列出文件夹内容（List Folder Contents）：用户可以查看文件夹中的文件和子文件夹的列表，但不能打开或读取文件的内容。

5. 读取（Read）：允许用户打开和查看文件的内容，但不能对文件进行修改或删除。

6. 写入（Write）：用户可以向文件中写入内容，但不能读取或删除文件。

这些基本权限可以与其他高级权限结合使用，以创建更复杂的权限设置。

例如，可以设置只读权限、拒绝访问权限以及特定时间段内的访问权限。

NTFS还支持继承权限，允许将文件夹的权限应用到其中的文件和子文件夹。

总结：NTFS文件系统提供了6个基本权限，包括完全控制、修改、读取和执行、列出文件夹内容、读取以及写入。

这些权限可以用于控制用户或组对文件和文件夹的访问级别。

与其他高级权限结合使用，可以创建更复杂的权限设置。

NTFS还支持继承权限，方便将文件夹的权限应用到其中的文件和子文件夹。

ntfs权限

昨天笔者因为病毒的原因重装了XP，但重装后发现“我的文档”中的一些文件打不开，老提示拒绝访问。

XP原来是装在C盘，而“我的文档”在原来的XP系统中是调整到了D盘的一个文件夹，当时这样做的目的是为了避免重装系统时忘记备份，将我的文档中的内容格式化掉。

记得原来在单位用电脑时也遇到过类似的情况，只是当时没什么重要文件，也就没有想办法解决这个问题。

可现在情况不一样了，那里面有许多重要的文件，而且当时将这个文件设为专用了，这可能是造成“拒绝访问”的原因。

查看了一下，果然不只“我的文档”中的一些文件，以前设为专用的一些文件夹都拒绝访问，推断是由于同一原因。

是不是再新建一个同样名称的用户就能访问呢？经试验，也不行，因为在XP中，每个用户都有一个唯一的SID。

于是在网上搜索了一下，原来有许多朋友也遇到过这种问题，而且也有许多热心的朋友提供了多种解决的办法。

经参考各路豪杰提供的绝招之后，又经过实践，终于总结出解决此类问题的一个良方，发在这里贡献给各位，希望对遇到同类问题的朋友有帮助。

闲言少叙，下面介绍具体解决方法。

1、以具有管理员权限的用户登录XP，在XP中打开资源管理器，选择菜单“工具|文件夹选项”，打开“文件夹选项”对话框。

在对话框中单击“查看”选项卡，取消复选框“使用简单共享”。

图1 取消“使用简单共享”2、右键单击原来设为专用的文件夹，如“i386-sp2”，从弹出菜单中选择“属性”，这时会看到在对话框中多出一个“安全”选项卡。

可以看到这里有一个未知帐户，这应该就是原来XP系统中的那个帐户吧。

这个帐户是能够访问该文件夹的，可问题是我们现在已经不能使用这个帐户。

所以要另想办法。

图2 安全选项卡3、单击图2所示对话框中的“高级”按钮，弹出“i386-sp2的高级安全设置”对话框，显示目前该项目的所有者为刚才看到的未知帐户。

选择“将所有者更改为”下方的用户，比如笔者现在使用的用户名称，然后单击“应用”按钮，所有者就改变为现在用户了，如图3所示。

NTFS详细权限介绍

NTFS的详细权限介绍
1.遍历文件夹/执行文件：遍历文件夹让用户即使没有权限访问的
情况下，仍然可以切换到文件夹内，此权限仅适用于文件夹；
执行文件让用户可以运行程序
2.列出文件夹/读取数据：让用户可以查看此文件夹的文件名和子
文件夹名，只适用于文件夹；读取数据让用户可以查看文件内的数据
3.读取属性：用户可以查看文件内的数据
4.读取扩展属性：用户可以查看文件或文件夹的扩展属性，扩展
属性由应用程序制定的
5.创建文件/写入数据：创建文件可以让用户在文件夹内新建文
件，该权限仅适用于文件；写入数据可以让用户修改文件内容，只适用于文件
6.创建文件夹/附加数据：创建文件夹可以让用户在文件夹内新建
子文件夹；附加数据可以在文件内添加数据，但无法删除、覆盖原有的数据。

7.写入属性：让用户可以更改文件或文件夹属性（只读、隐藏等）
8.写入扩展属性：可以修改文件或文件夹的扩展属性
9.删除子文件夹及文件：用户可以删除此文件夹内的子文件夹和
文件，即使用户对子文件夹没有删除权限也能删除
10.删除：允许用户删除该文件夹和文件（如果有子文件夹则无法
删除）
11.读取权限：可以查看文件或文件夹的权限设置
12.更改权限：可以更改文件或文件夹的权限设置
13.取得所有权：可以获得该文件夹或文件的所有权，无论该资源
权限为何，都具备更改文件夹或文件的能力。

NTFS文件夹权限

5.3.3 NTFS文件访问权限属性Windows NT系统的安全性在本地网络中主要还是用设置各用户对文件和文件夹的访问权限来保证的。

为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须安全有效地设置文件夹和文件的访问权限。

NTFS文件或文件夹的访问权限分为读取、写入、读取及执行、修改、列目录和完全控制。

在默认的情况下，大多数的文件夹和文件对所有用户（Everyone组）都是完全控制的（Full Control），这根本不能满足不同网络的权限设置需求，所以还需要根据应用的需求进行重新设置。

要正确有效地设置好系统文件或文件夹的访问权限，必须注意NTFS文件夹和文件权限具有的如下属性。

1．权限具有继承性权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的，更明确地说就是如果一个用户对某一文件夹具有“读取”的权限，那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限，除非打断这种继承关系，重新设置。

但要注意的是这仅是对静态的文件权限来讲，对于文件或文件夹的移动或复制，其权限的继承性依照如下原则进行。

①在同一NTFS分区间复制或移动在同一NTFS分区间复制到不同文件夹时，它的访问权限是和原文件或文件夹的访问权限不一样。

但在同一NTFS分区间移动一个文件或文件夹其访问权限保持不变，继承原先未移动前的访问的权限。

②在不同NTFS分区间复制或移动在不同NTFS分区间复制文件或文件夹访问权限会随之改变，复制的文件不是继承原权限，而是继承目标（新）文件夹的访问权限。

同样如果是在不同NTFS分区间移动文件或文件夹则访问权限随着移动而改变，也继承移动后所在文件夹的权限。

③从NTFS分区复制或移动到FAT格式分区因为FAT格式的文件或文件夹根本没有权限设置项，所以原来文件或文件夹也就不再有访问权限配置了。

2．权限具有累加性NTFS文件或文件夹的权限的累加性具体表现在以下几个方面。

标准ntfs权限的概念

标准ntfs权限的概念
标准NTFS权限是NTFS文件系统中的一种权限设置，它允许用户根据需要限制对文件和文件夹的访问。

这些权限包括完全控制、修改、读取和运行、列出文件夹目录、读取和写入等。

这些权限可以通过右键单击文件或文件夹，然后选择“属性” -> “安全”来查看和修改。

标准NTFS权限具有以下特点：
1. 累加性：用户对某个资源的有效权限是所有权限来源的总和。

例如，如果用户对某个文件具有“读取”和“写入”权限，那么他们可以对该文件进行读取、写入和修改操作。

2. 权限细分：NTFS权限可以针对不同的用户或用户组进行设置，以便更好地控制对特定文件或文件夹的访问。

例如，可以设置某些用户只能读取某个文件夹中的文件，而其他用户则可以修改这些文件。

3. 安全性：标准NTFS权限可以帮助保护文件和文件夹免受未经授权的访问和修改，从而提高系统的安全性。

通过合理设置权限，可以确保只有授权用户才能访问敏感数据或执行关键操作。

需要注意的是，在设置NTFS权限时应该根据实际需求进行合理配置，避免过度限制或宽松的权限设置。

同时，为了确保系统的安全性，还需要定期备份数据、使用强密码并保持操作系统和安全软件的更新。

NTFS的权限

NTFS的权限NTFS（New Technology File System）是Windows操作系统中常用的文件系统之一。

它提供了一种可靠的方式来管理计算机上的文件和文件夹。

除了文件和文件夹的管理之外，NTFS还提供了强大的权限控制功能，允许系统管理员对不同用户或用户组的访问权限进行精细调整。

权限是指操作系统为每个用户或用户组分配的特定访问权限。

这些权限可以控制用户对文件和文件夹的读取、写入、修改、删除等操作，以确保数据的安全性和整体的系统稳定性。

一、权限类型NTFS的权限主要分为以下几种类型：1. 文件权限：用于控制对单个文件的访问权限。

2. 文件夹权限：用于控制对整个文件夹及其内部文件的访问权限。

3. 共享权限：用于控制共享文件夹对网络用户的访问权限。

二、权限级别NTFS的权限级别主要有以下几个：1. 完全控制：允许用户对文件或文件夹进行任何操作，包括读取、修改、删除等。

2. 读取与执行：允许用户查看文件内容和执行可执行文件。

3. 读取：允许用户查看文件内容但不允许对文件进行修改或删除。

4. 写入：允许用户对文件进行写入操作，但不允许对文件进行修改或删除。

5. 修改：允许用户修改文件内容，但不允许删除文件或对文件进行重命名。

三、权限分配权限的分配是通过ACL（Access Control List，访问控制列表）实现的。

ACL是一种数据结构，它存储了访问权限的信息。

每个文件和文件夹都有一个ACL，其中包含了多个访问控制条目（ACE，Access Control Entry）。

每个ACE定义了一个用户或用户组和对应的访问权限。

权限分配的方式主要有以下几种：1. 继承权限：当创建一个新文件夹时，默认会继承父文件夹的权限设置。

这意味着子文件夹和文件的权限会自动与父文件夹保持一致。

如果需要单独设置子文件夹或文件的权限，可以手动取消继承。

2. 显式权限：显式权限是直接为文件或文件夹设置的权限。

与继承权限不同，显式权限只适用于当前对象，不会影响到子文件夹和文件。

7文件与文件夹的NTFS权限10

文件复制或移动时权限的改变
1、文件从某文件夹复制到另一个文件时：由于文件的复制等于是产生另一个新的文件，因此新文件的权限继承目的地对C:\duan具有＂完全控制＂的权限，当sntg被复制到c:\duan文件后，对此新文件具有＂完全控制＂的权限。 2、文件从某文件夹移动到另一个文件夹时，分为两种情况：、如果移动到同一分区的另一个文件夹内，则仍然保持原来的权限。因为对 windows 2000来说，这个文件只是指针改变而已，并不是真正的移动。如果移动到另一个磁盘分区的某个文件夹内，则该文件继承目的地的权限。例如：从C:\duan文件夹移动到d:\common文件夹，因为它是在d:\common产生了一个新的文件(并将原来文件删除)，该文件会继承d:\common的权限。将文件移动或复制到上目的地的用户，将成为该文件的所有者。文件夹的移动和复制的原理与文件是相同的。如果从NTFS分区移动或复制文件夹到FAT或FAT32磁盘分区内，则它原有的权限设置都将被删除。必须具备＂修改＂和＂写入＂的权限才可以移动文件或复制。
NTFS权限的类型权限的类型
可以通过指派用户对文件或文件夹的权限，决定用户对该文件或文件夹具有哪些访问能力。 1.读取：读取数据，查看属性，所有者和权限。 2.写入：覆盖文件，改变文件的属性，查看所有者和权限。 3.读取及运行：除了拥有读取的权限外，还能运行应用程序。 4.修改：除了拥有写入和读取及运行的权利外，还可以更改，删除文件内的数据，改变文件名。 5.完全控制：拥有以上所有权限外，还可以修改权限。
NTFS权限的设置权限的设置
将某个磁盘格式化为NTFS后，系统默认的权限设置为Everyone 的权限都是完全控制，为了该磁盘内的文件夹与文件的安全性，应该改变这个默认什，也就是重新给用户指派适当的权限。

NTFS——取得所有权及takeown命令详解

NTFS——取得所有权及takeown命令详解2020年1月21日问题现象一、无权访问该文件夹此种提示经常出现在打开文件夹的时候出现，意思是当前用户没有“列出文件夹内容”的权限。

二、无法枚举容器中的对象在设置文件夹权限并将其权限项强制覆盖子对象的权限的时候遇到。

提示的原因是当前用户没有“更改权限”的权限。

解决办法如果当前用户不能访问文件夹，却是文件夹的“所有者”，那么点击继续，系统就会自动授予当前用户“完全控制权限”。

如果当前用户不能访问文件夹，且不是文件夹的“所有者”，那么点击“继续”，系统会要求先将用户设置成“所有者”。

设置完成之后，系统会同时授权用户“完全控制”权限。

夺取文件与文件夹所有权NTFS和ReFS分区内的文件或文件夹都有“所有者”，默认是其创建者。

所有者可以修改文件或者文件夹的权限，不论其是否有权访问。

用户可以夺取所有权成为新的所有者，夺权者须具备下列条件之一：1、具备“取得文件或其他对象的所有权”的用户，组策略默认只包含“administrators”，如下组组策略截图。

上面的“cc\oasrv”用户就在“administrators”组里面，所以能夺取所有权。

2、对该文件或文件夹拥有“取得所有权”权限如下图。

3、具备“还原文件和目录”权限的用户，默认设置如下。

取得所有权可以用命令“takeown”实现取得所有权可以用命令“takeown”实现，例如强制将当前目录下的所有文件及文件夹、子文件夹下的所有者更改为管理员组(administrators)命令：takeown /f * /a /r /d yWindows 2003提供了一款全新的命令行工具takeown，帮助你轻松获得文件及文件夹的所有权。

从Windows Vista 需要以管理员（此处的管理员指的是system而不是administrator）权限运行takeown命令即在“权限提升的命令提示符”里运行。

takeown命令的参数绝不止“/f”一种。

NTFS的诸多高级功能介绍

NTFS的诸多高级功能介绍NTFS是一种高级文件系统,对FAT和HPFS(高性能文件系统)作了若干改进,提供长文件名、数据保护和恢复，并通过目录和文件许可实现安全性.从DOS或其他操作系统上不能直接访问NTFS 分区上的文件。

但在Windows2000和WindowsXP中，NTFS还可以提供诸如文件和文件夹权限、加密、磁盘配额和压缩这样的高级功能,今天就给大家详细介绍下这些高级的功能.一、加密文件或文件夹步骤一：打开Windows资源管理器。

步骤二：右键单击要加密的文件或文件夹，然后单击"属性'。

步骤三：在"常规'选项卡上，单击"高级'。

选中"加密内容以便保护数据'复选框在加密过程中还要注意以下五点：1.要打开"Windows 资源管理器'，请单击"开始程序附件'，然后单击"Windows 资源管理器'。

2.只可以加密NTFS分区卷上的文件和文件夹，FAT分区卷上的文件和文件夹无效。

3.被压缩的文件或文件夹也可以加密。

如果要加密一个压缩文件或文件夹，则该文件或文件夹将会被解压。

4.无法加密标记为"系统'属性的文件，并且位于systemroot目录结构中的文件也无法加密。

5.在加密文件夹时，系统将询问是否要同时加密它的子文件夹。

如果选择是，那它的子文件夹也会被加密，以后所有添加进文件夹中的文件和子文件夹都将在添加时自动加密。

二、解密文件或文件夹步骤一：打开Windows资源管理器。

步骤二：右键单击加密文件或文件夹，然后单击"属性'。

步骤三：在"常规'选项卡上，单击"高级'。

步骤四：清除"加密内容以便保护数据'复选框。

同样，我们在使用解密过程中要注意以下问题：1.要打开"Windows资源管理器'，请单击"开始程序附件'，然后单击"Windows 资源管理器'。

Windows下NTFS权限设置详解

一. 只有磁盘的文件系统是NTFS,才能设置权限的.如何查看呢?在我的电脑里,右击你要查看的磁盘,点属性,在常规里面可以查看文件系统,有些是NTFS的,有些是FAT32的,有些是FAT的.二. 以管理员身份登陆,注意,这是一个要点.只有以管理员身份登陆,才能进行权限设置的.打开我的电脑,点工具,文件夹选项,查看,在高级设置里,找到使用简单文件共享(推荐),把前面的勾去掉.点确定.三. 经过第二步的设置,我们在NTFS文件系统的磁盘,随便找一个文件或者文件夹右击.会看到有一个安全选项.如果没有第二步的设置,则这个选项是不会有的.另外,在XP HOME版的系统里,一般也不会有安全选项的.但对于XP HOME版的系统,我们可以在命令行下进行设置的.为了讲解的方便,我们这里以在D盘新建一个文件夹为例.四. 在安全选项里面,我们可以看到组或用户名称里面有很多的用户名.这里面我们以everyone为例进行讲解.权限设置存在着诸多的复杂性的.各用户组的权限是相互关联的.我们只取everone进行设置,是为了简化.我们先在组或用户名称里面找到everone用户组.但是,有可能在这里找不到这个用户组,怎么办呢?点添加.再点高级.再点立即查找找到Everone点一下选定.点确定.再在选择用户或组中点确定这样我们就成功地在组或者用户名称里面添加了evervone用户组.点一下选定.然后在完全拒绝上打上勾.点应用.在弹出的安全对话框里点是.然后我们退出权限设置的界面,双击这个文件夹.会有一个对话框弹出.我们可以看到,这个文件我们已经无法访问了.然后我们重新进入权限设置的界面,也就是右击这个文件夹.点属性,安全,选定everyone,把完全控制选项打上勾.点应用.我们再双击这个文件夹.我们会发现,文件夹被成功打开.特别说明一下,只要把everyone设置为完全拒绝,则所有的用户都是不能访问的,包括具有最高权限的系统用户也不能访问.但是,特殊的软件可以突破这种权限,比如冰刃.如果把everyone设置为完全控制,则所有用户都将能够完全访问,这样是很危险的.权限究竟如何设置合理,本文不作探讨.本文主要的是教人如何设置权限.四. 然则有些文件夹或者文件,当我们点属性,安全,会弹出一个对话框.点确定.我们会发现,前面我们所教的权限设置的办法无法操作.组或用户名称里面是空的.有些也不是空的.但是,里面的用户和组都是灰色不可以选定的.添加和删除按钮都是灰色的.怎么办?难道这个文件夹我们就无奈它何?五. 不,办法是有的.我们现在点高级.有所有者上点一下.我们选择一个管理员,或者是管理员组Adminstrators,在上面点一下.把替换子容器及对象的所有者这个选项打上勾.点应用.在弹出的安全对话框中点是:现在我们来双击这个文件.我们将会发现,这个文件能够访问了.六. 我们关闭安全设置对话框,再重新进入.我们会发现,我们又可以对这个文件夹设置权限了.添加和删除按钮都是可以用的了.七. 但是,当我们进入刚才这个文件夹的子目录时,可能会发现,有些文件或者文件夹还是不能访问.如果文件不多,我们可以一一设置.如果文件特别多,一一设置就不那么现实了.怎么办?这时我们仍点高级.在权限里面设置.把这里面的几个用户全部选上(按CTRL+鼠标单击一一选定.把用在此显示的可以应用到子对象的项目替代所有子对象的权限项目打上勾.点应用.在弹出的安全对话框里点是.然后我们再进入子目录,我们会发现,所有的文件都可以访问了.当然,如果有那种XX..\一类的文件夹,仍是不能访问的.。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

TrustedInstaller：特殊用户。可信任的安装程序，实质上其指代的是一种特殊的服务，与 Windows Modules Installer 服务关系很大。可通过直接输入名称 NTSERVICE\TrustedInstaller 将其添加到 ACL 中。 Administrators：组。所有管理员帐户都是 Administrators 组的成员。在 ACL 中，针对管理员的权限设置，通常使用 Administrators 组进行分配。注意在 UAC 启用的情况下，非经提权，仅有 Administrators 组的拒绝权限会应用到普通管理员。 Users：组。所有用户帐户都是 Users 组的成员。在 ACL 中，针对用户的权限设置，通常使用 Users 组进行分配。 HomeUsers：组。在 ACL 中，针对家庭组的权限设置，通常使用 HomeUsers 组进行分配。 Authenticated Users：特殊组。是所有在本系统或域内有合法账户的用户的集合。 Everyone：特殊组。顾名思义，所有用户的集合，无论其是否拥有有合法账户。 Creator Owner：特殊组。创建对象或目前是对象所有者的用户的集合。实质上此组的作用是：当它存在于 ACL 中时，将同时将所有者用户帐户以设定的权限添加进 ACL。 Owner Rights：特殊组。此组的作用主要在于限制对象所有者隐性的查看、更改 ACL 的权限。 SYSTEM：特殊组。本地系统。相当多的服务使用此身份运行，如 Windows Search。
一、谈论 ACL 时不得不说的话题——用户与组
权限设置，必然是为授予某一群体对对象的访问权而设立，而用户与组正是这被授权的群体。用户是授予权限的最小单位，而组可以视作是用户的集合。用户与组都使用 SID 作为其唯一标识符。比起活动目录域中域本地组、全局组、通用组及其嵌套、转换所带来的多彩缤纷的应用相比，单机环境下的用户与组要简单得多。这里主要介绍一些具备特殊功能定位的用户与组。 Administrator：用户。所谓 “超级管理员” ，默认禁用。在系统默认的安全策略下，其不受 UAC 约束且将以管理员身份运行任何程序。鉴于这一特性将严重降低系统安全性，不建议将其启用。 Guest：用户。来宾帐户，默认禁用。相较于普通用户帐户，来宾帐户受到更多限制。在于“控制面板\用户帐户和家庭安全\用户帐户\管理帐户”中启用来宾帐户后，此帐户也将被启用。 HomeGroupUser$：用户。家庭组用户帐户。用于实现家庭组简化的、安全的共享功能。在创建家庭组后，此帐户将被创建及启用。
四、有效权限是如何计算的？——权限规则
权限规则很简单，仅仅两条： 1、“指定”优先于“继承” 即一个对象上对某用户/组的明确权限设置优先于继承而来的对该用户/组的权限设置。例如：现有文件夹 folderA，folderA 中有子文件夹 folderB，folderB 与 folderA 存在权限继承关系。对于用户 User，folderA 拒绝其拥有写入权限，而 folderB 在继承而来的权限设置之外，还单独赋予 User 写入权限。此时，User 对 folderB 拥有写入权限。 2、“拒绝”优先于“允许” 即当除规则 1 的情形外，对某用户/组同时赋予允许和拒绝权限时，拒绝权限优先。例如：
“NTFS 权限”，鉴于 NTFS 已经与我们亲密接触了如此长的时间，这个话题可以算是老生常谈了。然而在 NT6.x 大幅度改进了系统安全性后，作为安全重要环节的 NTFS 权限就不再是远离用户应用的技术。在实践中，部分用户由于特殊的应用需求可能需要对个别受保护的系统文件进行更改，不少用户可能会遇到 NTFS 权限设置错误导致的异常，而 NTFS 权限与 UAC 的结合也为我们的应用带来了更多可能性。要在不损害系统安全性的前提下实现我们的应用目标，就需要对 NTFS 权限的内容与配置方法有个初步的了解。是而为此文。严格的说，NTFS 权限的正式称谓是 ACL（访问控制列表），因而在下文的陈述中也会逐步的引入 ACL 的概念。同时由于 ACL 广泛应用于系统权限控制中，因而本文所陈述的内容虽以 NTFS 权限为主，但可以类推于其他具备 ACL 特性的情景中，如注册表。
二、可以做什么？——可以分配的权限
事实上当 ACL 被应用于不同的场景时，其有不同的权限可供分配。这里仅介绍基于 NTFS 的 ACL 权限分配可选项。
从类型上看，权限包括标准权限与特定权限。标准权限是由指定的特定权限与指定的作用域组成的。基于 NTFS 的 ACL 中，标准权限有：完全控制（完全控制+遍历文件夹/执行文件+列出文件夹/读取数据+读取属性+读取扩展属性+创建文件/写入数据+创建文件夹/附加数据+写入属性+写入扩展属性+删除子文件夹及文件+删除+读取权限+更改权限+取得所有权）修改（遍历文件夹/执行文件+列出文件夹/读取数据+读取属性+读取扩展属性+创建文件/写入数据+创建文件夹/附加数据+写入属性+写入扩展属性+删除+读取权限，作用域：此文件夹、子文件夹和文件）读取和执行（遍历文件夹/执行文件+列出文件夹/读取数据+读取属性+读取扩展属性+读取权限，作用域：此文件夹、子文件夹和文件）列出文件夹内容（遍历文件夹/执行文件+列出文件夹/读取数据+读取属性+读取扩展属性+读取权限，作用域：此文件夹和子文件夹）读取（列出文件夹/读取数据+读取属性+读取扩展属性+读取权限，作用域：此文件夹、子文件夹和文件）写入（创建文件/写入数据+创建文件夹/附加数据+写入属性+写入扩展属性，作用域：此文件夹、子文件夹和文件）特殊权限（其他特定权限与作用域的结合）
现有文件夹 folderA 及用户 User，User 同时隶属于 GroupA 和 GroupB 两个组。对于 GroupA， folderA 赋予其完全控制权限，对于 GroupB， folderA 拒绝其拥有写入权限。此时 User 不具备对 folderA 的写入权限。当然，我们不必自己手动计算权限结果，而可以使用“有效权限”选项卡来自动计算某一用户/组的有效权限。但需要注意的是它并不会考虑 UAC 对权限分配的影响。
基于 NTFS 的 ACL 中，特定权限有：完全控制遍历文件夹/执行文件列出文件夹/读取数据读取属性读取扩展属性
创建文件/写入数据创建文件夹/附加数据写入属性写入扩展属性删除子文ቤተ መጻሕፍቲ ባይዱ夹及文件删除读取权限更改权限取得所有权
基于 NTFS 的 ACL 中，作用域有：只有该文件夹此文件夹、子文件夹及文件此文件夹和子文件夹此文件夹和文件仅子文件夹和文件只有子文件夹只有文件
但是在实际对权限的配置中，由于继承、权限选项与特殊组的存在，作用域并不是绝对的。
此外，“所有者”也可视为一种特殊的权限设置。所有者始终具备查看、更改对象的隐性权限（除非以 Owner Rights 进行限制）。任何管理员帐户或其他具备“取得所有权” 权限的帐户都可以强行更改对象所有权。取得所有权是接管对象的重要步骤，具体的接管对象的方法则会在下面的文章中提到。
三、如何简化 ACL 配置？——权限选项
在高级权限设置（属性\安全\高级）中，我们可以遇到一些权限选项。权限选项对于简化对 ACL 的配置作用很大。这些权限选项包括：包括可从该对象的父项继承的权限：以当前对象为子对象，在子对象及其父对象之间建立继承关系，并用父对象权限设置替换子对象权限设置。去除该选项的勾选可以阻断继承关系。使用可从此对象继承的权限替换所有子对象权限：以当前对象为父对象，在父对象及其子对象之间建立继承关系，并用父对象权限设置替换子对象权限设置。仅将这些权限应用到此容器中的对象和/或容器：作用域仅及于对象下的第一层文件/ 文件夹而不涉及更深层次的文件/文件夹。替换子容器和对象的所有者：将对象中的所有文件/文件夹的所有者变更为当前对象的所有者。