在我们的Windows XP系统中,针对的权限管理一般有以下的四项基本原则,即:拒绝优于允许的原则、权限最小化的原则、累加的原则和权限继承性的原则。这四项基本原则对权限设置来说,将会起到非常重要的作用,下面笔者就来和大家详解一下具体的内容:
1.拒绝优于允许的原则
“拒绝优于允许”的原则是一条非常重要且基础性原则,它可非常完美地处理好因用户在用户组的归属方面引起权限“纠纷”问题,如,“shyzhong”这个用户既属于“shyzhongs”的用户组,同时也属于“xhxs”的用户组,当我们对“xhxs”组中某个资源要进行“写入”权限的集中分配,这个时候该组中的“shyzhong”账户将自动的拥有“写入”的权限。
但非常令人奇怪的是,“shyzhong”账户明明拥有对这个资源的“写入”权限,但为什么实际用中却无法执行呢?原来,在“shyzhongs”组中同样也对“shyzhong”用户进行了针对这个资源的权限设置,但设置的权限是“拒绝写入”。基于“拒绝优于允许”的原则,“shyzhong”在“shyzhongs”组中被 “拒绝写入”的权限将优先于“xhxs”组中被赋予的允许“写入”权限被执行。因此,在实际作中,“shyzhong”用户无法对这个资源进行“写入”作。
2.权限最小化的原则
Windows XP系统将“保持用户最小的权限”作为一个基本原则进行执行,这一点非常有必要。这条原则可确保资源得到最大的安全保障。这条原则可尽量让用户不能访问或不必要的去访问资源得到有效的权限赋予限制。
基于这个原则,在实际的权限赋予作中,我们就必须为资源明确赋予允许或拒绝作的权限。例如系统中新建的受限用户“shyzhong”在默认状态下对“DOC”目录是没有任何权限的,现在需要为这个用户赋予对“DOC”目录有“读取”的权限,那么就必须在“DOC”目录的权限列表中为“shyzhong”用户添加“读取”权限。
……