Windows2008开始共享文件夹权限设置与Windows XP有很大的不同，Windows2008里权限设置分三个level：

1。Reader，这个权限的用户可以浏览共享文件夹的内容，打开文件，浏览文件属性运行文件。

2. Contributor， 拥有Reader的所有权限，此外还有创建新文件夹、文件，以及对所创建的文件有删除的权限。

3. Co-owner, 拥有contributor的所有权限，此外还有删除任意分解的权限。

阅前须知：

确保共享的PC与本机在同一网段【以10.10.1.0（本机）和10.10.1.1（被共享PC）为例，多台PC操作也一样】，能够互相ping通；
	
在10.10.1.0中新建文件夹，命名“文件”，进入文件夹，创建两个文件夹“software”和“upload”，
	
以下演示本机共享文件夹“文件”给被共享PC，其中software只能读取，upload文件夹只能写入；
	
演示PC系统版本为windows server 2003 Enterprise 和windows xp （其他windows版本基本一致）；
	
被分享用户以user001为例
实现步骤：

1.右击“文件”，点击属性-共享，点击共享文件夹，输入共享名（自定义）



 

2.点击权限，更改EVERYONE权限为完全控制



 

3.点击安全-高级，取消勾选“允许福相的继承权限传播到该对象…”点击复制-确定。



4.除了Administrator外，删除其他的所有组或用户



 

 

5.点击添加，添加要共享的用户名（user001），选择user001更改权限为列出文件夹目录，取消其他权限，点击确定。

 





 

6.进入文件夹，右击software文件夹，点击属性-安全，选择用户user001，更改权限增加读取权限，点击高级，取消勾选“允许福相的继承权限传播到该对象…”点击复制-确定；



 

7.右击upload文件夹，点击属性-安全，选择用户user001，更改权限增加写入权限，点击高级，取消勾选“允许福相的继承权限传播到该对象…”点击复制-确定；



 

8.进入10.10.1.1,打开我的电脑，输入\\10.10.1.0，使用user001用户登录，会出现共享的文件，点击进入后列出software和upload文件夹，进入software，可以读取文件，但是不能写入文件，但upload文件夹中只能上传文件，不能读取文件。

 



 



windows系统中相关cmd命令

添加用户   ”net user [用户名] [密码] /add“

查询所有用户 ”net user“

删除用户  ”net user [用户名] /del“

 

	

0x01 需求介绍
在实际生产环境中，为了数据文件的安全完整性，针对文件服务器权限设置，很多时候需要设置特定用户能上传修改文件内容，禁止删除文件的需求。
0x02 环境介绍
SERVER端：Windows Server 2012R2 同时模拟担任DC、DHCP与File 域名：yeah.local
IP:172.16.252.110
CLIENT端：Windows 7 模拟客户端电脑
IP：DHCP
USER：张三
0x03 操作步骤
1. 查看AD中有以下OU以及用户，财务部-用户组当前已加入 财务部文件夹-访问组(读写) 组中
2. 查看共享文件夹权限
3. 以 张三 为例，登录客户端，并在共享中新建测试文本文档
证明权限可以新增，再次测试文档删除，此处我们开启文档审核功能，从日志中查看文档删除。
现在需求是不允许张三删除，只允许新增与保存权限，权限如何设置？
在OU中新建一个安全组，命名不允许删除组，加张三加入到这个用户组中，一般文件权限建议针对用户组去做，而不是直接在ntfs权限中添加用户，这样每次新增一个用户权限都需要应用权限很久，如果数据量大的话，应用权限都需要半天，且并不方便管理，针对用户组做文件夹权限控制的话，方便后续维护，如需新增用户，直接在AD中将用户加入到组中即可，客户端稍等几分钟即可生效或者直接注销登出账号再重新登录即可生效。
同时将张三从读写组中移除。
到共享文件夹中去设置高级权限。
添加刚新建的不可删除群组。
在权限项目中去掉删除子文件夹及文件与删除权限前的对号。
禁用建立拥有者，并删除，否则假设张三新建的文件，依然可以删除。
取消继承，选择将已继承权限转换为此对象显示权限。
再删除新建拥有者用户权限，删除后如下，
验证：注销张三当前在客户端的登录，重新登录，发现验证可以新增与修改，
当删除文件的时候，出现弹窗报错，
到此，就达到了可新建，修改文件，无法删除的需求。但是，出现一个问题，每次直接新建文件的时候无法重命名，也就是没有此处的修改权限，但是如果给到修改权限了，就又可以删除文件，暂时也没想到什么好的办法来解决，只能要求用户丢文件到服务器的时候先在本机修改好文件名。
当修改权限打上的时候，
查了半天，发现当前的功能暂时无法实现，需要额外再新增服务，好像ADRMS可以做到这个具体的功能，暂时不研究。
@Webpoplayer
其实,我是一个演员
呆呆的初学者
乐在学习,进无止境

目录

权限设置

文件夹的NTFS权限

文件的NTFS权限

NTFS权限的应用规则

文件压缩

文件加密

磁盘配额

卷影副本

权限设置的应用

遇到的一个权限问题的小bug

权限问题的实际应用

权限设置

NTFS文章：FAT32和NTFS

在Windows中，NTFS文件系统可以设置文件和目录的权限。存储在 NTFS 分区上的文件和文件夹对用户的访问有安全控制，可以控制用户访问的级别。 当一个用户试图访问一个文件或者文件夹的时候，NTFS 文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表（ACL）中。如果存在，则进一步检查访问控制项 ACE，然后根据控制项中的权限来判断用户最终的权限。



文件夹的NTFS权限

文件夹内的文件或文件夹会默认继承上一级目录的权限

完全控制：对文件或者文件夹可执行所有操作 
	
修改：可以修改、删除文件或文件夹 
	
读取和执行：可以读取内容，并且可以执行应用程序
	
列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在，文件无此权限
	
读取：可以读取文件或者文件夹的内容
	
写入：可以创建文件或者文件夹 
	
特别的权限：其他不常用的权限，比如删除权限的权限
文件的NTFS权限

完全控制：对文件或者文件夹可执行所有操作
	
修改：可以修改、删除文件或文件夹
	
读取和执行：可以读取内容，并且可以执行应用程序
	
读取：可以读取文件的内容
	
写入：可以修改文件的内容
	
特殊权限：其他不常用的权限，比如删除权限的权限
NTFS权限的应用规则

NTFS 权限具有累加性： 当一个用户属于多个组的时候，用户对某个资源的有效权限是其所有权限来源的总和
	
“拒绝”权限会覆盖所有其他的权限： 虽然用户对某个资源的有效权限是其所有权限来源的总和，但是只要其中有一个权限被设为拒绝访问，则用户将无法访问该资源
	
NTFS 权限的继承： 当用户设置文件夹的权限后，位于该文件夹下添加的子文件夹与文件，默认会自动继承该文件夹的权限
文件压缩

文件、文件夹的压缩可以减少它们占用磁盘的空间，但是文件的大小是不变化的。压缩可以对文件、文件夹或整个卷进行。

NTFS 文件系统的压缩过程和解压过程对用户是完全透明的，压缩前和压缩后的文件在使用上没有不同。

复制或移动文件对压缩状态的影响

操作
			
同一NTFS分区
			
不同NTFS分区
			
FAT32分区
		
复制
			
继承目标文件压缩状态
			
继承目标文件压缩状态
			
压缩状态丢失
		
移动
			
保留原文件（夹）压缩状态
			
继承目标文件压缩状态
			
压缩状态丢失
		
文件压缩的启用：右键文件，属性，高级，然后会显示文件压缩了，加密后的文件显示是蓝色的





文件原来的大小是1.18MB，占用空间也是1.18MB。压缩后文件大小还是1.18MB，只不过占用空间变成了1.01MB。



文件加密

利用“加密文件系统 EFS（Encrypting File System）”提供文件加密功能。文件或文件夹经过加密后，只有当初将其加密的用户或者经过授权的用户能够读取，因此可以增强文件的安全性。
	
只有 NTFS 磁盘内的文件和文件夹才可以被加密，FAT32 磁盘并没有该功能。
	
如果将文件复制或移动到非 NTFS 磁盘内，则该文件会解密。 文件压缩与加密无法共存。
	
如果要对已经压缩的文件进行加密，则该文件会自动解压缩；如果要对已经加密的文件进行压缩，则该文件会自动解密
文件加密的启用：右键文件，属性，高级，然后会显示文件加密了，加密后的文件显示是绿色的





一般情况下其他用户是看不了你的加密文件的，如果想要让其他的用户可以看你的加密文件，你需要把你的证书导出来，然后其他用户再将你的证书导入进去，就可以看你的加密文件了。

证书的导出：打开IE浏览器-->工具-->Internet选项-->内容-->证书-->导出

证书的导入：打开IE浏览器-->工具-->Internet选项-->内容-->证书-->导入

磁盘配额

在 Windows 中，用户可利用磁盘配额功能来控制和跟踪每个用户可用的磁盘空间。下面列出磁盘配额的特性：

磁盘配额是针对单一用户来控制与跟踪的。 
	
只有 NTFS 磁盘才支持磁盘配额功能。
	
磁盘配额是以文件和文件夹的所有权进行计算的。
	
磁盘配额的计算不考虑文件压缩的因素。
	
每个 NTFS 磁盘分区的磁盘配额是独立计算的，不论这几个 NTFS 分区是否在同一个硬盘内。
	
系统管理员默认不会受到磁盘配额的限制。
磁盘配额的启用：右键-->属性-->然后找到配额



当启用了磁盘配额后，其他用户显示的磁盘的容量就是配额的大小



卷影副本

卷影副本，也称快照，是存储在 Data Protection Manager (DPM) 服务器上的副本的时间点副本。副本是文件服务器上单个卷的受保护共享、文件夹和文件的完整时间点副本。共享文件夹的卷影副本提供位于共享资源上的实时文件副本。通过使用共享文件夹的卷影副本，用户可以查看在过去某个时刻存在的共享文件和文件夹。在Windows Server版本上的系统都有卷影副本的功能，在普通家用版本上不提供该功能。

卷影副本只能对于整个盘符进行，而不能对于文件或目录做卷影副本。

访问文件的以前版本或卷影副本非常有用，原因是用户可以：

恢复被意外删除的文件。如果用户意外删除了某个文件，则可以打开前一版本，然后将其复制到安全的位置 
	
恢复意外覆盖的文件。如果用户意外覆盖了某个文件，则可以恢复该文件的前一版本
	
 在处理文件的同时对文件版本进行比较。当用户希望检查一个文件的两个版本之间发生的更改时，可以查看到以前的版本
卷影副本的启用：右键盘符-->找到卷影副本-->点击是，然后就进入了下面的界面，然后就可以对相应的盘符做卷影副本了



权限设置的应用

遇到的一个权限问题的小bug

不知道这个小bug是不是windows权限问题的bug，反正这个bug违反了权限累加性。

例：我现在是以Administrators组登录的一个用户，我创建了一个文件test。目前我对这文件拥有所有的权限，包括读写修改等等所有权。然后我现在就是想让其他用户只能看这个文件，但是修改不了这个文件。所以我就需要对文件的权限进行修改。

我把 Authenticated Users 和Users 用户组的权限改成了只有读取和执行的权限，而没有其他任何的权限。

注：这里修改 Authenticated Users组的权限的时候，要先把这个组的默认继承权限给取消勾选了，然后再修改其权限



效果是达到了，其他的用户只能看这个文件，但是修改不了这个文件。但是，有一个很大的bug，那就是文件的创建者也不能修改这个文件，而且这个创建者是属于Administrators用户组的，按理说Administartors用户组对该文件完全控制。但是事实就是只要你把Authenticated Users组的权限改成只有读取和执行的话，所有人都只能读取而不能修改了。

这个bug对于目录同样存在，目录的话你只要修改了Authenticated Users组的权限为读取和列出文件夹内容，那么所有的其他用户只能列出该目录的内容，Administrators组内的用户除了可以列出内容外还可以创建文件夹和移动文件或文件夹到该目录，但是创建不了文件！！！

以上 bug 发生的前提是取消了 Authenticated Users 组的默认继承权限，然后修改其权限为只能读取和执行。或者就是删除Authenticated Users权限都会发生这个bug。

权限问题的实际应用

只允许用户读自己提交的文件

某软件学院学生平时作业都是提交电子版文档到文件服务器的 HomeWork 文件夹中，为了防止其他学生相互抄袭作业，需要设置 HomeWork 文件夹的 NTFS 权限，达到以下目的：

学生能够打开 HomeWork 文件夹 
	
学生能够在 HomeWork 文件夹中提交文件 
	
不允许用户在 HomeWork 中创建文件夹
	
学生对自己提交的文件有完全控制权，即能够删除、修改、读取 
	
学生能够看到其他学生提交的文件，但不能打开，不能删除和修改
首先，因为要让其他学生可以提交文件到文档服务器，所以学生要有可以登录到系统的账号。又因为Authenticated Users组和Users组包含了可以登录的用户，所以先把这两个组的权限给删掉。但是又不能直接把这两个组给删除，必须先取消其继承权限，然后删除。

然后给所有的学生创建一个stu组，用来管理学生用户的。编辑stu组的权限，让其拥有列出文件夹和创建文件的权限，只应用于该文件夹



然后因为学生要可以对自己的文件进行删除修改等操作，所以就是学生要对自己的文件拥有完全控制操作。所以我们就可以编辑CREATOR_OWNER的权限，让其拥有完全控制权，应有于该文件夹内的文件



还有就是要让管理员可以查看学生提交的作业，所以针对管理员用户 xie 给予权限，使其对该文件夹以及文件夹内的文件拥有完全控制权



这是该文件夹的权限截图