用過Linux的朋友一定對chmod記憶猶新，復雜的權限設置是保證系統安全的第二道屏障（第一道是用戶隔離），在Windows 9x版本中FAT32文件系統的天生不足導致的無法進行權限控制給Windows落下了罵名。不過NT中就不一樣了，NTFS文件系統下的Windows NT具備了基本的用戶和權限保護能力。下面就來簡要介紹一下Windows NT Server下面常用的權限控制。

以下基于Windows NT 5.x和NTFS文件系統，介紹的比較簡單，算作入門吧。

權限的標記——用戶和組

Windows NT中的權限控制單位是進程，進程的身份是靠其啟動的用戶和組來標記的。用戶和組分為本地帳戶，指本地建立的用戶帳戶，用作對以本地帳戶登錄的進程（如administrator啟動運行的程序，標記為以administrator啟動的服務），域帳戶（如GrapeCityValentinening啟動運行的程序，標記為以GrapeCityValentinening啟動的服務）計算機（如以計算機GrapeCityxa-app-xxx$的LocalSystem啟動的服務）。三者在進行設置時一視同仁。

文件訪問權限——NTFS權限

當一個用戶試圖訪問一個文件或者文件夾的時候（不論是本地訪問還是通過Microsoft File and printer sharing for Microsoft network指定UNC進行訪問），NTFS文件系統會檢查用戶使用的賬戶或者賬戶所屬的組是否在此文件或者文件夾的訪問控制列表（ACL）中，如果存在則進一步檢查訪問控制項（ACE），然后根據控制項中的權限來判斷用戶最終的權限。如果訪問控制列表中不存在用戶使用的賬戶或者賬戶所屬的組，就拒絕用戶訪問。該權限可以在文件夾屬性的Security選項卡中進行設置。這里可以添加用戶到ACL中，并指定ACE。

NTFS權限的應用規則

1． 權限的組合——交集。（原文此處為并集，有誤）如果一個用戶同時在兩個組或者多個組內，而各個組對同一個文件有不同的權限，那么這個用戶對這個文件有什么權限呢？簡單的說，當一個用戶屬于多個組的時候，這個用戶會得到各個組的累加權限，但是一旦有一個組的相應權限被拒絕，此用戶的此權限也會被拒絕。2、權限的繼承新建的文件或者文件夾會自動繼承上一級目錄或者驅動器的NTFS權限，一般的說從上一級繼承下來的權限是不能直接修改的，只能在此基礎上添加其他權限。如果需要取消繼承，可以通過文件夾屬性的Security選項卡中的Advanced進行修改。

3、權限的拒絕——最高權限拒絕（Deny）是需要謹慎的操作，因為按照NTFS的規則，Deny權限具有最高的計算地位。無論給賬戶或者組了什么權限，只要在拒絕的這一欄里有勾，那么被拒絕的權限就絕對有效。4、權限的移動——同分區保留由于NTFS的權限是以分區為單位進行保存的，只有移動到同一分區內才保留原來設置的權限，否則為繼承目的地文件夾或者驅動器的NTFS權限（原設定的權限被清除）。

共享文件權限——Share權限：

共享權限只作用于Microsoft File and printer sharing for Microsoft network指定UNC進行訪問，權限有三種：讀取、更改和完全控制。

1、 讀取。讀取權限是指派給Everyone組的默認權限。a、 查看文件名和子文件夾名。b、 查看文件中的數據。c、 運行程序文件。2、 更改。更改權限不是任何組的默認權限。更改權限除允許所有的讀取權限外，還增加以下權限。a、 添加文件和子文件夾。b、 更改文件中的數據。c、 刪除子文件夾和文件。3、 完全控制。 完全控制權限是指派給本機上的Administrators組的默認權限。完全控制權限除允許全部讀取及更改權限外，還具有更改權限的權限。

共享權限的計算方法和NTFS權限一樣，如果賦予某用戶或者用戶組拒絕的權限，該用戶或者該用戶組的成員將不能執行被拒絕的操作。

常用的權限控制——共享權限和NTFS權限的組合權限。共享權限只對通過網絡訪問的用戶有效，所以需要和NTFS權限配合才能嚴格的控制用戶的訪問（比如LeySer Service的部分權限控制）。當一個共享文件夾設置了共享權限和NTFS權限后，就要受到兩種權限的控制。如果希望用戶能夠完全控制共享文件夾，首先要在共享權限中添加此用戶（組），并設置完全控制的權限。然后在NTFS權限設置中添加此用戶（組），也設置完全控制權限。只有兩個地方都設置了完全控制權限，才最終有完全控制權限。當用戶從網絡訪問一個存儲在NTFS文件系統上的共享文件夾的時候會受到兩種權限的約束，而有效權限是最嚴格的權限（也就是兩種權限的交集）。而當用戶從本地計算機直接訪問文件夾的時候，不受共享權限的約束，只受NTFS權限的約束。同樣的，這里也要考慮到兩個權限的沖突問題，比如，共享權限為只讀，NTFS權限是寫入，那么最終權限是完全拒絕。這是因為這兩個權限的組合權限是兩個權限的交集。