公司辦公都會應用到共享文件，也會把重要的共享文件放到服務器進行共享，這一方面方便大家工作，便于協同辦公；另一方面也為大家存儲工作中形成的重要文件提供了方便。

但是，這也使得員工可以隨時訪問服務器重要的共享文件，一旦將這些文件復制到自己的電腦，尤其是外來電腦；或者外部人士隨意訪問公司共享文件，都會使得共享文件面臨著各種風險。

為此，設置共享文件訪問權限、監控共享文件夾訪問，就成為企業共享文件管理的重要工作。

權限要了解如何對文件服務器進行授權，也就是說如何設置文件夾的權限，必須首先明白什么是權限。

權限其實是一張表，這張表中記錄了什么用戶可以使用什么方式訪問什么對象。

例如在圖一中，我們新建了一個secret文件夾，這里面是機密文件，只允許DG_IT這個群組訪問。

但是這個群組中有一位即將離職的員工劉海波Louis_liu，自然不能允許這個賬戶再訪問secret文件夾。

那么我們可以這樣設置，將DG_IT群組加入這張“安全表”，并授予相應的權限，同時也添加Louis_liu賬戶，設置這個賬戶拒絕訪問該文件夾的權限。

通常我們把這張“安全表”;叫做自主訪問控制列表discretionary access control list (DACL)在設置DACL的時候，一般不要將用戶賬戶一個個添加進來，而是添加一個群組，這樣有利于提高系統訪問的效率和方便管理。

我們授權DG_IT這個群組可以訪問secret文件夾，且只有DG_IT組可以及讀取、瀏覽和執行IT_Public下面的文件，則此時任何不屬于DG_IT組用戶讀取該文件夾下的文件時，就會遭到系統的拒絕。

共享與安全出于安全性的考慮，當您在服務器上共享文件夾的時候，需要設置兩個權限：共享權限和安全權限。

這兩個權限的關系，可以通過一個網絡用戶的訪問過程來說清楚。

當用戶從網絡訪問一個目錄時，系統先校驗共享權限，看看這個用戶是否在共享權限允許的范圍內。

如果允許訪問再校驗安全權限。

所以這個目錄較終允許什么用戶訪問，將取決于共享權限和安全權限的交集。

當前安全權限和共享權限在同一對象上發生沖突或者疊加時，取較嚴格的設置。

文件夾在安全權限中還有一個隱含拒絕的權限，這個權限是不需要賦予的。

例如IT_Public共享文件夾的共享權限是完全控制，而安全權限下面什么用戶都沒有，較終IT_Public網絡訪問權限是拒絕所有，這個權限就是隱含拒絕權限。

隱含拒絕權限對于實現文件服務器來說是非常重要的，因為對于整個局域網中的所有用戶來說，訪問某個文件服務器的某個文件夾只是極少數的用戶，而且這些用戶往往又具有某種相同的特點，通過這個隱含拒絕所有的權限有利于簡化我們的權限設定與管理。

是不是有了隱含的拒絕權限，我們就不需要明確的拒絕權限？其實也不是，必要時我們還是需要利用明確拒絕權限。

其實上面的例子當中已經提到了明確拒絕權限的作用，例如實例中拒絕即將離職的Louis_liu訪問secret文件夾。

共享權限利用windows server 2003 R2來實現文件服務器，共享權限是必不可少。

共享權限是用以控制文件夾及其子文件夾和文件來進行共享的。

文件夾共享的特性不管是基于fat16/32還是NTFS分驅，本身就具有。

同樣子文件夾會繼承這種屬性。

共享文件夾只針對從網絡上訪問才有限，對于本機訪問是屬于無效的，不同于文件夾的安全性設定。

共享權限優大于NTFS安全權限，例如IT_Public設置了允許Jimmy完全控制的安全權限，但共享權限當中卻只有只讀的權限，結果Jimmy對IT_Public的較大權限是只讀權限，而不是完全控制。

在設置文件夾共享建議把該權限設置為完全控制，否則后面的安全權限設置完全失去了意義，除非是Fat32/16沒有安全權限，但該分區是不大可能用來作文件服務器分區。

安全權限因為大家通常都在Windows NTFS類型的分區上設置文件夾的安全權限（在FAT 16/32 的分驅上是沒有的），所以有人也喜歡把安全全權限叫做NTFS權限。

這是基于NTFS文件系統的磁盤分驅特有的權限。

NTFS分驅下面的每個文件夾、子文件夾及其文件均允許設置與上一級不同的權，權限一經設定，不但對本機存取的安全主體有效，而且對整個網絡的安全主體都有效。

默認情況下其子文件夾及文件會自動繼承上級權限，但若有必要，也可針對的每一個子文件夾及文件予以設定個別權限。

但在實際只是縮小上級權限的范圍，我們不需要一個個添加，只需要對某個文件進行阻斷繼承設置，去掉限制訪問的用戶，也可以是添加拒絕訪問的用戶，設置拒絕訪問權限。

至于用哪一種方法好，起決個人習慣，大多數人使用較早種方法。

修改子文件夾的權限的時候要避免犯低級錯誤，如添加了一個用戶，該用戶根本就沒有權限訪問上級文件夾；設置文件夾權限的時候一定至少要留一個“修改”的權限給管理員作備份用，當然用“完全控制”;亦可以，如果嚴格考慮到網絡的安全因素，建議用前者。

NTFS權限有多少，可以細化到一個什么樣的程度呢？下面將對NTFS權限作一個全面剖析和比較。

標準的NTFS權型有五種分別是：寫入，讀取，讀取及執行，修改，完全控制。

這幾種權限是屬于NTFS的標準權限，雖然從上面的權限上我們可以大致看出它們都具備什么樣的功能。

但是實際上這幾種功能遠遠不能滿足于實際的需求，例如Jimmy想要授權給Tom能刪除文件，但很現有的五種權限似乎都不滿足，都不精確，那么列底該給他一個什么樣的權限呢才合適。

實際上windows2003在這6種標準的權限的背后，還分別對應一組共計13項的“有效權限”(如圖二)，為了方便權限的管理，windows才將權限簡化成6大標準權限。

我們可以得知五個標準權限的對應的有效權限。

比如修改權限，除了不具備“刪除子文件夾及文件”、“更改權限”和“取得所有權”這三個功能外，它具備有效權限的其它所有功能。

需要強調一點，“寫入”權限與“讀取”權限并沒有關聯。

讀取權限比較好理解，但是寫入權限不具備讀取的能力理解起來如何有點困難，其實具有寫入權限的用戶雖然不能直接對文件進行讀取，但可以通過修改文件的屬性，或者是以另外一個文件的內容來覆蓋原始文件。

“讀取”及“運行”權限比較好理解，它涵蓋了讀取所能做的所有事，外加允許運行可運行文件。

“修改”權限涵蓋了讀取、讀取及執行及寫入所能做的所有事，外加允許刪除。

“完全控制”權限涵蓋了修改所能做的所有事（含讀取、讀取及執行及寫入），外加允許改變用戶權限及取得擁有權。

在設計共享文件夾時建議至少留給一個完全控制權限給管理員，方便權限權限丟失時來取得所有權，其它用戶端就沒有必要給完全控制權限。

文件夾權限設置Windows 之所以設計成基本權限及特別的權限架構，將13項有效權限組合成六項較常用的標準權限，這樣可以有效避免用戶或網絡管理人員直接面對眾多復雜多樣的權限，通過簡化文件權限有效提升了管理效率。

當然，這也不等于說windows特別權限可以取消了，不需要了。

實際在許多場合下面還是需要利用到特別權限。

當您在Windows 上有特殊的權限需要，可以自行將有效權限予以組合。

例如以標準權限而言，讓用戶或群組有能力刪除檔案，至少需要賦予修改的權限，但事實上從前面的列表中你會發現“修改”的權限不但能刪除，還能新增、讀取、寫入等等，權限相當的大。

如果您只希望用戶能讀取和刪除，卻不能寫入，此時就可以自行在13項有效權限中加以組合。

這種組合而成非標準的權限，我們稱之為特別的殊權。

在Windows NT下，每一個文件夾及文件的權限都可以自行設定，并會各自隨該對象存取在文件系統中。

當建立一個新的子文件夾或新文件時，會參照上層文件夾的設定成為新對象的預設權限。

新物件一經建立完成，在上下層之間的權限從此各自獨立，沒有繼承關系。

但在每一次重新設定或修改文件夾的權限時，可選擇是否需要以新權限取代該文件夾下的原有使用權限。

但在windows 2003以及R2版本下，對于上層文件夾所設定的NTFS權限默認值會自動繼承到其子文件夾及文件。

繼承過來的權限屬性以灰色狀態呈現，不能直接對其權限進行修改。

如果不想下面的物件繼承上級權限，可以通過“高級”à“權限”，然后去掉選中“從父項繼承那些可以應用到子對象的權限項目，包括那些在此明確定義的項目（I）”這個選項，再通過“添加”、“刪除”和“編輯”來修改權限，修改權限時應該注意一個問題，新增的子文件夾權限必須是能夠讀取上級文件夾的權限，否則連父文件夾都不能讀取不可能進入子文件夾。

Windows Server 2003 R2雖然比起以前版本實現文件服務器有很多改進，比如添加了文件屏蔽、磁盤限額，但依然存在許多不足。

這些不足表現在如下方面：文件審核過于檢查，檢查起來比較麻煩。

當一個文件有多個人訪問時，文件泄密就非常難查。

1、不能實現對文件進行加密，雖然微軟有RMS系統，但只適合于Office系統，往往公司較重要的不是Office文件，而是設計之類的。

2、無法對文件進行歸檔。

比如某大型企業有若干臺文件服務器，并部署了DFS系統。

若干年后，文件服務器的承載越來越大，如何判斷哪些文件有重要的有效的，哪些年久的文件可以刪除，沒有再利用的價值。

3、文件屏蔽功能雖然有，但顯得很蒼白，只是根據文件的擴展名來屏蔽，換了一個擴展名就無能為力了。

希望微軟在下一代操作系統中對文件服務器的功能有更大重視，安全性能夠更高，目前個人感覺微軟對文件服務器并不是十分重視，文件服務器設計過于簡單。

但是，可以應用第三方服務器共享文件夾加密軟件來保護共享文件的安全。

例如有一款共享文件夾加密專家，只需要在服務器上安裝就可以，對共享文件夾加密，即可實現設置不同用戶訪問共享文件夾的不同權限，可以只讓讀取共享文件而禁止復制共享文件、只讓打開共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除共享文件等，以及禁止拖動共享文件、禁止打印共享文件，禁止共享文件重命名、禁止剪切共享文件等，全面保護共享文件的安全。