教授你限制Win7文件所有者的权限
从Windows Vista开始,Windows系统中新增了一个账户,叫做Owner Rights (所有者权限),这个账户的主要目的是为了限制所有者对资源的访问权限。
操作方法
- 01
在Windows操作系统中,文件夹的所有者默认拥有以下两个权限,如图1所示。
- 02
1) 读取权限:内部名称是READ CONTROL,让用户账户可以读取文件夹的权限设置。 (2)更改权限:内部名称是WRITE_DAC,让用户账户可以修改文件夹的权限设置。 很多时候,其实win7系统下载用户只需要给所有者提供读取、执行和写人的权限就可以了,而不希望所有者能够修改文件或者文件夹的权限。换句话说,用户并不需要给所有者提供那么高的权限。这就可以借助最新的Owner Rights这个账户SID,来对所有者的权限进行限制。 下面举个例子说明。假设文件夹C:\TestPerm的所有者是Admin,该文件夹目前的权限设置是Admin只有读取权限,而无法在该文件夹中创建文件。 现在用户的目的是允许Admin在文件夹C:\TestPerm中创建内容,但是不希望Admin拥有自己修改权限的能力。 传统的方法是直接给Admin添加写人权限,但这样的话,由于Admin是文件夹的所有者, 默认具有修改权限的能力,无法阻止其今后自己调整文件夹权限。 在Windows 7 (也包括Windows Vista)下这个问题就可以得到圆满解决,方法如下。 (1)只需在文件夹属性对话框的“安全”选项卡中单击“编辑”按钮,在打开的权限编辑对 话框中单击“添加”按钮,在打开的“选择用户或组”对话框中输入“Owner Rights”,并单击“确定”按钮,如图2所示。 (2)接下来就把“OwnerRights”当成是普通的用户账户,并给该账户添加“修改”权限,最后单击“确定”按钮,如图3所示。
- 03
1) 读取权限:内部名称是READ CONTROL,让用户账户可以读取文件夹的权限设置。 (2)更改权限:内部名称是WRITE_DAC,让用户账户可以修改文件夹的权限设置。 很多时候,其实win7系统下载用户只需要给所有者提供读取、执行和写人的权限就可以了,而不希望所有者能够修改文件或者文件夹的权限。换句话说,用户并不需要给所有者提供那么高的权限。这就可以借助最新的Owner Rights这个账户SID,来对所有者的权限进行限制。 下面举个例子说明。假设文件夹C:\TestPerm的所有者是Admin,该文件夹目前的权限设置是Admin只有读取权限,而无法在该文件夹中创建文件。 现在用户的目的是允许Admin在文件夹C:\TestPerm中创建内容,但是不希望Admin拥有自己修改权限的能力。 传统的方法是直接给Admin添加写人权限,但这样的话,由于Admin是文件夹的所有者, 默认具有修改权限的能力,无法阻止其今后自己调整文件夹权限。 在Windows 7 (也包括Windows Vista)下这个问题就可以得到圆满解决,方法如下。 (1)只需在文件夹属性对话框的“安全”选项卡中单击“编辑”按钮,在打开的权限编辑对 话框中单击“添加”按钮,在打开的“选择用户或组”对话框中输入“Owner Rights”,并单击“确定”按钮,如图2所示。 (2)接下来就把“OwnerRights”当成是普通的用户账户,并给该账户添加“修改”权限,最后单击“确定”按钮,如图3所示。
- 04
(4)而在“安全”选项卡中单击“高级”按钮,在弹出的对话框中单击“更改权限”按钮,win7旗舰版用户可以看到打开的对话框中只有“查看”按钮可以使用,如图5所示。
- 05
(5)如果这时候查看Admin的有效权限,会发现该账户只具有创建文件和文件夹的权限,而没有更改权限的能力,如图6所示。 通过这个例子,用户能够很好地了解到,Owner Rights账户可以用来限制所有者的权限,从而符合最小用户特权原则,确保系统安全。