NTFS权限能够很好控制系统上的资源。旧版NTFS(Windows NT)和当前NTFS(Windows 2000、Windows Server 2003和Windows XP)之间有许多相似之处，也存在一些区别。

　　许多经验丰富的管理员都熟悉应用于每个文件、文件夹、注册表项、打印机和活动目录(Active Directory)对象的新技术文件系统(NTFS)。NTFS最初在Windows NT中推出，以替代文件分配表(FAT)文件系统。这些年来，NTFS已经历几次改变。Windows 2000、Windows Server 2003和Windows XP使用其当前版本NTFS v5。

　　旧版NTFS(Windows NT)和当前NTFS之间存在许多相似点和一些区别。下面我们来详细了解一下。

　　标准与高级权限

　　你可以将NTFS权限设定为允许(Allow)或拒绝(Deny)，以下为旧版NTFS中的标准权限：

　　完全控制(Full Control)：用户可以修改、增加、移动和删除文件，以及它们相关的属性和目录。另外，用户还能改变所有文件和子目录的权限设置。

　　修改(Modify)：用户能够查看和修改文件和文件属性，包括删除和添加目录文件或文件属性。

　　读取与执行(Read & Execute)：用户可以运行可执行文件，包括脚本。

　　读取(Read)：用户能够查看文件和文件属性。

　　写入(Write)：用户能够改写文件。

　　微软后来改进了这些权限，增加以下内容：

　　遍历文件夹/执行文件(Traverse Folder/Execute File)：用户可以通过文件夹到达其它文件或文件夹，即使这些文件夹没有遍历文件或文件夹的权限。只有在“组策略”管理单元中没有将“跳过遍历检查”用户权限授予用户组或用户时，遍历文件夹才会生效。(默认情况下，Everyone用户组拥有“跳过遍历检查”用户权限。)

　　列出文件夹/读取数据(List Folder/Read Data)：用户可以查看一个文件的内容和数据文件列表。

　　读取属性(Read Attributes)：用户可以查看一个文件或文件夹的属性，如只读和隐藏。(NTFS定义这些属性。)

　　读取扩展属性(Read Extended Attributes)：用户可以查看一个文件或文件夹的扩展属性。(扩展属性由程序定义，可能各不相同。)

　　建立文件/写入数据(Create File/Write Data)：建立文件权限允许用户在文件夹内建立文件。(这个权限只应用于文件夹。)写入数据权限允许用户改写文件，覆盖现有内容。(这个权限只应用于文件。)

　　建立文件夹/附加数据(Create Folders/Append Data)：建立文件夹权限允许用户在文件夹内建立文件夹。(这个权限只应用于文件夹。)附加数据权限允许用户修改文件末尾部分，但他们不能改变、删除或覆盖现有数据。(这个权限只应用于文件。)

　　写入属性(Write Attributes)：用户可以修改文件或文件夹的属性，如只读或隐藏。(NTFS定义这些属性。)

　　写入扩展属性(Write Extended Attributes)：用户可以修改一个文件或文件夹的扩展属性。

　　删除(Delete)：用户可以删除文件或文件夹。(如果用户在该文件或文件夹上没有删除权限，但是在其父级的文件夹上有删除子文件及文件夹权限，那么就仍然可以删除它。)

　　读取权限(Read Permissions)：用户拥有文件或文件夹的读取权限，如完全控制、读取和写入。

　　变更权限(Change Permissions)：用户拥有文件或文件夹的变更权限，如完全控制、读取和写入。

　　取得所有权(Take Ownership)：用户可以取得文件或文件夹的所有权。文件的所有者总能改变这个文件的权限，不管文件或文件夹受到何种权限的保护。

　　主要区别

　　旧版NTFS和新版NTFS之间的最大区别在于建立了继承和外来权限优先级。虽然你可能认为拒绝权限的优先权最高，但事实并非如此。

　　以下为权限等级：

　　外来拒绝

　　外来允许

　　继承拒绝

　　继承允许

　　当一名用户访问每个文件、文件夹、注册表项、打印机和活动目录对象时，系统从上到下检查其权限。如果满足四个条件中的一个，它准许或拒绝访问。这使得你可以设置一个对象的权限继承，并对你的通用权限策略进行良好控制。

　　总结

　　NTFS权限为系统资源提供许多控制选项。如果用户在活动目录结构下无法访问所需数据或对象，查看这些权限的等级，你就能找出问题。

下一篇：Windows 2000操作系统中NTFS权限介绍及应用