在這篇文章中，我們將一起探究Windows 2003 Server增強(qiáng)的安全機(jī)制。新的操作系統(tǒng)中提高安全性的新特性隨處可見，但這里我們只注重大多數(shù)Windows用戶和管理員最關(guān)心的地方，借此粗略感受一下Windows Server 2003新的安全機(jī)制。

一、NTFS和共享權(quán)限

在以前的Windows中，默認(rèn)的權(quán)限許可將“完全控制”授予了Everyone組，整個(gè)文件系統(tǒng)根本沒有安全性可言（就本地訪問來說）。但從Windows XP Pro開始，這種情況改變了。

授予Everyone組的根目錄NTFS權(quán)限只有讀取和執(zhí)行，且這些權(quán)限只對(duì)根文件夾有效。也就是說，對(duì)于任何根目錄下創(chuàng)建的子文件夾，Everyone組都不能繼承這些權(quán)限。對(duì)于安全性要求更高的系統(tǒng)文件夾，例如Program Files和Windows文件夾，Everyone組也已經(jīng)從ACL中排除出去。（說明：ACL即“訪問控制列表”，或Access Control List，它是一種安全保護(hù)列表，適用于整個(gè)對(duì)象、對(duì)象屬性組或某個(gè)對(duì)象個(gè)別屬性。Windows Server 2003有兩種訪問控制列表類型：隨機(jī)和系統(tǒng)）。

Users組除了讀取和運(yùn)行之外，還能夠在子文件夾下創(chuàng)建文件夾（可繼承）和文件（注意，根驅(qū)動(dòng)器除外）。授予System帳戶的權(quán)限和本地Administrators組成員的權(quán)限仍未改變，它們?nèi)該碛袑?duì)根文件夾及其子文件夾的完全控制權(quán)限。CREATOR OWNER仍被授予子文件夾及其包含的文件的完全控制權(quán)限，也就是允許用戶全面管理他們自己創(chuàng)建的子文件夾。

對(duì)于新創(chuàng)建的共享資源，Everyone現(xiàn)在只有讀取的權(quán)限。

另外，Everyone組現(xiàn)在不再包含匿名SID（安全標(biāo)識(shí)符，一種不同長度的數(shù)據(jù)結(jié)構(gòu)，用來識(shí)別用戶、組和計(jì)算機(jī)帳戶。網(wǎng)絡(luò)上每一個(gè)初次創(chuàng)建的帳戶都會(huì)收到一個(gè)唯一的 SID。Windows中的內(nèi)部進(jìn)程將引用帳戶的SID而不是帳戶的用戶名或組名），進(jìn)一步減少了未經(jīng)授權(quán)訪問文件系統(tǒng)的可能性。要快速查看文件或文件夾的NTFS權(quán)限，可以用右鍵點(diǎn)擊文件或文件夾，選擇“安全”選項(xiàng)卡，點(diǎn)擊“高級(jí)”，然后查看“有效權(quán)限”頁，不用再猜測(cè)或進(jìn)行復(fù)雜的分析來了解繼承的以及直接授予的NTFS權(quán)限。不過，這個(gè)功能還不能涵蓋共享權(quán)限。

二、文件和文件夾的所有權(quán)

現(xiàn)在，你不僅可以擁有文件系統(tǒng)對(duì)象（文件或文件夾）的所有者權(quán)限，而且還可以通過該文件或文件夾“高級(jí)安全設(shè)置”對(duì)話框的“所有者”選項(xiàng)卡將權(quán)限授予任何人。

Windows的磁盤配額是根據(jù)所有者屬性計(jì)算的，授予其他人所有者權(quán)限的功能簡化了磁盤配額的管理。例如，管理員應(yīng)用戶的要求創(chuàng)建了新的文件（例如復(fù)制一些文件，或安裝新的軟件），使得管理員成為新文件的所有者，即新文件占用的磁盤空間不計(jì)入用戶的磁盤配額限制。以前，要解決這個(gè)問題必須經(jīng)過繁瑣的配置修改，或者必須使用第三方工具?，F(xiàn)在Windows Server 2003直接在用戶界面中提供了設(shè)置所有者的功能，這類有關(guān)磁盤配額的問題可以方便地解決了（對(duì)于使用NTFS文件系統(tǒng)的任何類型的操作系統(tǒng)都有效，包括Windows NT 4.0、2000和XP Pro，只要修改是在Windows Server 2003上進(jìn)行就可以了）。

[本文共有 4 頁，當(dāng)前是第 1 頁] <<上一頁 下一頁>>