1. 程式人生 > >檔案訪問被拒絕,TrustedInstaller,登錄檔訪問被拒絕,permission許可權,願願。

檔案訪問被拒絕,TrustedInstaller,登錄檔訪問被拒絕,permission許可權,願願。

        正常情況下,使用者不需要關注許可權,因為系統為我們做好了一切。每一個使用者的許可權都已經被系統定義,這樣可以避免非授權訪問檔案和資料夾,以及其他受限物件。
        這篇文章原文是由Aseem Kishore,在2015年11月13日寫的。願願翻譯,並解釋。
首先,我要說的一點是,更改檔案或者其他物件的訪問許可權,並不能保證更改後系統沒有安全風險,在windows中,管理員可以首先獲得受限物件的所有權,然後就可以任意更改首先物件的許可權了。
如果你需要隱藏硬碟,或者加密檔案,你可以閱讀, encrypt your hard drive
https://www.online-tech-tips.com/computer-tips/how-to-encrypt-your-computers-hard-disk-data-and-files-for-free/
和 TrueCrypt工具, TrueCrypt 7.1a已經被上傳到了GitHub,目前其穩定性也得到了第三方的驗證。
好了,開始我們的正題。
        先說說權利與許可權的區別:訪問權利(rights)在程式設計中,與受限物件的可用操作相關聯,用一個位元位來表示,用訪問掩碼來設定。而許可權(permissions)是與訪問控制規則列表ACLs相關聯。對於受限物件,如果沒有相應的訪問權利,則一定不能進行許可權操作,但如果有相應的訪問權利,但許可權也可以設定為不可操作。
許可權是個相對巨集觀的概念,它可以被分解為若干ACL,而ACL是由使用者和其對應的訪問控制權利(rights)組成。如下圖:
 


上面的是使用者列表,下面是對應的相應的權利規則,或者說訪問控制規則ACEs。
專業來講,許可權英文是permission,而權利是right。
再來,許可權可以被繼承,當然也可以不。正常情況下,一個檔案或者資料夾的許可權是從其父資料夾繼承而來的,一直到根目錄,也就是硬碟。最簡單的許可權,至少包含三個使用者:SYSTEM,當前登入使用者,以及管理員組。
看下圖:
 
可以看見上面的“讀取和執行”和“讀取”打勾,然而所有的許可權都是灰色的,這代表著,兩種情況之一:1.這些許可權都是繼承來的,取消繼承才可以修改,2.這些許可權需要獲得所有者許可權才可以修改。所以最壞的情況下,第一要獲得所有者許可權,第二要取消繼承,才可以編輯。基本的許可權有六種:(可以從微軟官方查,這裡直接給大家貼過來)
 

再說,編輯許可權,要編輯許可權,首先要獲得檔案或者受限物件的所有權。其次,如果繼承與父物件,那麼要取消掉隱式繼承,才可以編輯。
有三條規律:需要說下
1.如果你給某個使用者對於某個資料夾的“完全控制”許可權,那這個使用者在任何情況下都可以對這個資料夾裡的檔案或者子資料夾進行刪除操作。
2.預設下,許可權是被繼承的,如果你想定製某個受限物件的許可權,那麼第一步你要先取消繼承。
3.拒絕許可權,總優先於,允許許可權,所以建議使用拒絕許可權要比允許許可權更保守些,比如不要對使用者組進行拒絕操作。

為了更好理解windows授權管理,願願畫了兩幅知識地圖: