在網(wǎng)絡(luò)多用戶環(huán)境下，系統(tǒng)的安全性、權(quán)限設(shè)置非常重要，Windows NT 4.0提供了網(wǎng)絡(luò)環(huán)境下的一個(gè)成功的安全保密系統(tǒng)。Windows NT從最初開發(fā)到目前使用廣泛的Windows NT 4.0，其安全系統(tǒng)已日趨成熟、完備，但同時(shí)也使得系統(tǒng)的管理人員在構(gòu)造網(wǎng)絡(luò)環(huán)境、進(jìn)行權(quán)限分配時(shí)，感到復(fù)雜、難以掌握。筆者查閱了眾多的有關(guān)資料，又經(jīng)過反復(fù)實(shí)踐，在此作一簡(jiǎn)要的分析和介紹。

    Windows NT 4.0的網(wǎng)絡(luò)安全性依賴于給用戶或組授予的三種能力：

   ?權(quán)力:在系統(tǒng)上完成特定動(dòng)作的授權(quán)，一般由系統(tǒng)指定給內(nèi)置組，但也可以由管理員將其擴(kuò)大到組和用戶上。
   ?共享:用戶可以通過網(wǎng)絡(luò)使用的文件夾。
   ?權(quán)限:可以授予用戶或組的文件系統(tǒng)能力。

一、權(quán)力

    權(quán)力適用于對(duì)整個(gè)系統(tǒng)范圍內(nèi)的對(duì)象和任務(wù)的操作，通常是用來(lái)授權(quán)用戶執(zhí)行某些系統(tǒng)任務(wù)。當(dāng)用戶登錄到一個(gè)具有某種權(quán)力的帳號(hào)時(shí)，該用戶就可以執(zhí)行與該權(quán)力相關(guān)的任務(wù)。

    下面列出了用戶的特定權(quán)力：
    ?Access this computer from network 可使用戶通過網(wǎng)絡(luò)訪問該計(jì)算機(jī)。
    ?Add workstation to a domain 允許用戶將工作站添加到域中。
    ?Backup files and directories 授權(quán)用戶對(duì)計(jì)算機(jī)的文件和目錄進(jìn)行備份。
    ?Change the system time 用戶可以設(shè)置計(jì)算機(jī)的系統(tǒng)時(shí)鐘。
    ?Load and unload device drive 允許用戶在網(wǎng)絡(luò)上安裝和刪除設(shè)備的驅(qū)動(dòng)程序。
    ?Restore files and directories 允許用戶恢復(fù)以前備份的文件和目錄。
    ?Shutdown the system 允許用戶關(guān)閉系統(tǒng)。
    以上這些權(quán)力一般已經(jīng)由系統(tǒng)授給內(nèi)置組，在日常維護(hù)過程中很少涉及到，在具體需要時(shí)也可以由管理員將其擴(kuò)大到組和用戶上。熱點(diǎn)網(wǎng)絡(luò)

二、共享權(quán)限

    共享只適用于文件夾（目錄），如果文件夾不是共享的，那么在網(wǎng)絡(luò)上就不會(huì)有用戶看到它，也就更不能訪問。網(wǎng)絡(luò)上的絕大多數(shù)服務(wù)器主要用于存放可被網(wǎng)絡(luò)用戶訪問的文件和目錄，要使網(wǎng)絡(luò)用戶可以訪問在NT Server服務(wù)器上的文件和目錄，必須首先對(duì)它建立共享。共享權(quán)限建立了通過網(wǎng)絡(luò)對(duì)共享目錄訪問的最高級(jí)別。

    表１列出從最大限制到最小限制的共享權(quán)限。
    表１ 共享權(quán)限
共享權(quán)限級(jí)別             允許的用戶動(dòng)作
No Access（不能訪問）     禁止對(duì)目錄和其中的文件及子目錄進(jìn)行訪問
Read（讀）             允許查看文件名和子目錄名，改變共享目錄的子目錄，還允許查看文件的數(shù)據(jù)和運(yùn)行應(yīng)用程序
Change（更改）         具有“讀”權(quán)限中允許的操作，另外允許往目錄中添加文件和子目錄，更改文件數(shù)據(jù)，刪除文件和子 目錄
Full control（完全控制）     具有“更改”權(quán)限中允許的操作，另外還允許更改權(quán)限（只適用于NTFS卷）和獲取所有權(quán)（只適用于NTFS卷）

三、權(quán)限

    權(quán)限適用于對(duì)特定對(duì)象如目錄和文件（只適用于NTFS卷）的操作，指定允許哪些用戶可以使用這些對(duì)象，以及如何使用（如把某個(gè)目錄的訪問權(quán)限授予指定的用戶）。權(quán)限分為目錄權(quán)限和文件權(quán)限，每一個(gè)權(quán)限級(jí)別都確定了一個(gè)執(zhí)行特定的任務(wù)組合的能力，這些任務(wù)是：Read(R)、Execute(X)、Write(W)、Delete(D)、Set Permission(P)和 Take Ownership(O)。表２和表３顯示了這些任務(wù)是如何與各種權(quán)限級(jí)別相關(guān)聯(lián)的。

    表２ 目錄權(quán)限
權(quán)限級(jí)別    RXWDPO    允許的用戶動(dòng)作
No Access             用戶不能訪問該目錄
List    RX         可以查看目錄中的子目錄和文件名，也可以進(jìn)入其子目錄
Read    RX        具有List權(quán)限，用戶可以讀取目錄中的文件和運(yùn)行目錄中的應(yīng)用程序
Add    XW         用戶可以添加文件和子目錄
Add and Read    RXW        具有Read和Add的權(quán)限
Change    RXWD        有Add和Read的權(quán)限，另外還可以更改文件的內(nèi)容，刪除文件和子目錄
Full control    RXWDPO    有Change的權(quán)限，另外用戶可以更 改權(quán)限和獲取目錄的所有權(quán)

    如果對(duì)目錄有Execute(X)權(quán)限，表示可以穿越目錄，進(jìn)入其子目錄。

    表３ 文件權(quán)限
權(quán)限級(jí)別    RXWDPO    允許的用戶動(dòng)作
No Access        用戶不能訪問該文件
Read    RX    用戶可以讀取該文件，如果是應(yīng)用程序可以運(yùn)行
Change    RXWD    有Read的權(quán)限，還可用修改和刪除 文件
Full control    RXWDPO    包含Change的權(quán)限，還可以更改權(quán)限和獲取文件的所有權(quán)

四、域和委托

    域是Windows NT Server 4.0網(wǎng)絡(luò)安全系統(tǒng)的基本組成單元，&127;委托是復(fù)雜的NT網(wǎng)絡(luò)中域之間的基本關(guān)系。在NT 4.0中通過域的委托關(guān)系為大型或復(fù)雜系統(tǒng)提供了更為靈活和簡(jiǎn)便的管理方法。

    域指的是一組共享數(shù)據(jù)庫(kù)并具有共同安全策略的計(jì)算機(jī)（通俗地說(shuō)是指任意一組NT服務(wù)器和工作站）。在一個(gè)域中至少有一個(gè)服務(wù)器設(shè)計(jì)為主域控制器（稱為PDC），可以（在大多數(shù)情況下應(yīng)該）帶有一個(gè)或多個(gè)備份域控制器（稱為BDC），在PDC中維護(hù)著一個(gè)域內(nèi)適用于所有服務(wù)器的中心帳號(hào)數(shù)據(jù)庫(kù)。用戶帳號(hào)數(shù)據(jù)庫(kù)只能在PDC中更改，然后再自動(dòng)送到BDC中，在BDC中保留著用戶帳號(hào)數(shù)據(jù)庫(kù)的只讀備份。如果PDC出現(xiàn)了重大錯(cuò)誤而不能運(yùn)行，就可以把BDC變成PDC，使得網(wǎng)絡(luò)繼續(xù)正常工作。

    在有兩個(gè)或多個(gè)域組成的網(wǎng)絡(luò)中，每個(gè)域都作為帶有其自身帳號(hào)數(shù)據(jù)庫(kù)的一個(gè)獨(dú)立網(wǎng)絡(luò)來(lái)工作。缺省時(shí)域之間是不能相互通信的，如果某個(gè)域的一些用戶需要訪問另一個(gè)域中的資源，就需要建立域之間的委托關(guān)系。委托關(guān)系打開了域之間的通信渠通。

域 Ａ ───→ 域 Ｂ
委 托 
（委托域） （受托域）
    受托域Ｂ中的用戶就可以訪問委托域Ａ中的資源。

    委托關(guān)系可以是雙向的，即域Ａ委托域Ｂ，域Ｂ委托域Ａ，這樣域Ｂ中的用戶就可以訪問域Ａ中的資源，域Ａ中的用戶就可以訪問域Ｂ的資源。

五、用戶組

    用戶組是指具有相同用戶權(quán)力的一組用戶。以組的形式組織用戶只需通過一次操作就能更改整個(gè)組的權(quán)力和權(quán)限，從而可以更快速方便地為多個(gè)用戶授權(quán)對(duì)網(wǎng)絡(luò)資源的訪問，簡(jiǎn)化網(wǎng)絡(luò)的管理維護(hù)工作。

    Windows NT支持兩種類型的組：

    ?全局組：包含來(lái)自該全局組創(chuàng)建時(shí)所在域的用戶帳號(hào)，運(yùn)用域之間的委托關(guān)系可以給全局組授予在其他委托域中的資源的權(quán)力和權(quán)限。
    ?局部組：可以包含該組所在域和其他受托域中的用戶帳號(hào)，也可以包含該組所在域和其他受托域中的全局組。只能給局部組授予該組所在域中的資源的權(quán)力和權(quán)限。

六、網(wǎng)絡(luò)的安全性設(shè)置

    在分析了解了以上這些知識(shí)后，接著簡(jiǎn)要分析一下網(wǎng)絡(luò)的安全管理工作。
    首先考慮整個(gè)NT網(wǎng)絡(luò)域的劃分，具體模型有4種：?jiǎn)斡蚰Ｐ汀沃骺赜蚰Ｐ汀⒍嘀骺赜蚰Ｐ秃屯耆湃蔚亩嘀骺赜蚰Ｐ汀?duì)于用戶不多，不需要進(jìn)行邏輯分割便可管理的網(wǎng)絡(luò)，同時(shí)需要保持最少的管理工作量，那么最好采用單域模型。在這種模型中，所有的服務(wù)器和工作站都在一個(gè)域中，局部組和全局組是一回事，不存在需要管理的委托關(guān)系，但采用這種模型也有一些缺點(diǎn)，比如在性能上隨著資源的增加而降低，瀏覽的速度會(huì)隨著服務(wù)器的增加而變慢。如果網(wǎng)絡(luò)規(guī)模比較大，同時(shí)又需要高度的安全性，那么就應(yīng)該采用多域模型，進(jìn)行合理的域的劃分。在劃分域時(shí)，可以采用多種劃分原則，比如按機(jī)構(gòu)部門劃分、按地理位置劃分等。在規(guī)劃域的過程中，最好把域的數(shù)目減到最少，因?yàn)榫W(wǎng)絡(luò)管理的復(fù)雜性會(huì)隨著域數(shù)目的增加呈幾何級(jí)數(shù)增長(zhǎng)，每個(gè)增加的域都會(huì)引入新的問題，產(chǎn)生新的困難。由于一個(gè)域中的一些用戶要訪問另一個(gè)域中的資源，所以要建立所有可能的委托關(guān)系。

    其次，在域中建立組（包括全局組和局部組），把擁有類似的作業(yè)或資源訪問需求以及完成類似功能的用戶集合起來(lái)，只需對(duì)組授權(quán)即可。組簡(jiǎn)化了對(duì)資源的管理，因?yàn)榭梢杂谜w的方式來(lái)控制和分配訪問權(quán)。

    最后進(jìn)行共享權(quán)限和權(quán)限的分配，在設(shè)置這些權(quán)限時(shí)，要使得對(duì)系統(tǒng)的操作盡可能簡(jiǎn)單，盡可能將有關(guān)權(quán)限分配給組，而不是分配給單個(gè)用戶，除非必要，否則不要按文件分配權(quán)限，權(quán)限的集中管理可以簡(jiǎn)化管理維護(hù)工作。

    一個(gè)文件夾（目錄）要想供多個(gè)用戶訪問使用，首先要共享，對(duì)FAT卷再以共享權(quán)限的形式添加約束，但是這些約束僅限于目錄級(jí)（而不是文件級(jí)）。對(duì)NTFS卷上的目錄具有與FAT卷上的目錄相同的共享權(quán)限，但它們還可以使用權(quán)限設(shè)置，在這種卷上每個(gè)目錄都有“安全”屬性頁(yè)，可以對(duì)它們進(jìn)行更加詳細(xì)的權(quán)限限制，同時(shí)對(duì)每個(gè)文件也可以通過該文件的“安全”屬性頁(yè)進(jìn)行權(quán)限的限制。

    共享權(quán)限決定了通過網(wǎng)絡(luò)對(duì)資源的最大訪問權(quán)。舉例來(lái)說(shuō)，如果將共享權(quán)限設(shè)置成Change（更改），那么用戶通過網(wǎng)絡(luò)能進(jìn)行的最高訪問權(quán)是Change，這就意味著如果用戶通過“安全”屬性頁(yè)獲取的權(quán)限級(jí)別比Change高（比如Full Control），那么用戶通過網(wǎng)絡(luò)能進(jìn)行的最高訪問權(quán)是Change；如果用戶通過“安全”屬性頁(yè)獲取的權(quán)限級(jí)別比Change低（比如Read），那么這時(shí)用戶通過網(wǎng)絡(luò)能進(jìn)行的最高訪問權(quán)限以通過“安全”屬性頁(yè)獲取的權(quán)限級(jí)別為準(zhǔn)；如果沒有通過“安全”屬性頁(yè)獲取權(quán)限，那么用戶通過網(wǎng)絡(luò)就打不開這個(gè)目錄，無(wú)法訪問該目錄。

    作為一種規(guī)劃，一般是將共享權(quán)限保留為默認(rèn)設(shè)置，即每個(gè)用戶都能完全控制（Full Control)&127;，然后根據(jù)具體需要使用目錄或文件權(quán)限進(jìn)行安全性控制（只適用于NTFS卷）。

    最后說(shuō)明一點(diǎn)，對(duì)FAT卷上的目錄只能通過共享權(quán)限進(jìn)行限制，對(duì)NTFS卷上的目錄不僅可以進(jìn)行共享權(quán)限限制，還可以進(jìn)行權(quán)限的限制（對(duì)NTFS卷上的文件也可進(jìn)行權(quán)限限制）。

七、結(jié)束語(yǔ)熱點(diǎn)網(wǎng)絡(luò)

    網(wǎng)絡(luò)上的信息很有價(jià)值，因此必須受到保護(hù)。網(wǎng)絡(luò)越大，對(duì)安全性的要求就越嚴(yán)格，必須保證每個(gè)用戶的數(shù)據(jù)是安全的。Windows NT 4.0提供了非常完善、方便、先進(jìn)的安全管理手段，可以保證沒有特定權(quán)限的用戶不能訪問任何資源，而同時(shí)這些安全性的運(yùn)行又是透明的，既可防止未授權(quán)用戶的闖入，也可防止授權(quán)用戶做他不該做的事情，從而保證了整個(gè)網(wǎng)絡(luò)系統(tǒng)高效、安全的正常運(yùn)行。