文/劉暉

　　上個月家里買了一臺電腦，家人立刻都迷上了這東西。老爸在網上看新聞，跟網友侃足球；老媽用電腦在聯眾挖坑；妹妹則在電腦里寫日記，順便練習自己在學校學的Word等辦公軟件的基本操作方法。不過現在問題出來了，老爸和妹妹在網上看到好看的網頁都會添加到收藏夾中，時間一長兩人為了在收藏夾中找到自己的收藏都要花不少時間；老媽則在抱怨妹妹給電腦中裝了太多軟件，桌面上堆滿了快捷方式，害她想上聯眾都要在眾多的快捷方式中找半天；而妹妹則抱怨爸媽可能趁她不在的時候偷看她的日記。家人要我給想辦法解決一下這些問題，在使用Windows xp后，這些問題迎刃而解。

　　在繼續閱讀前有幾個問題要搞清楚：

　　首先，權限和權利的區別。在Windows操作系統中，權限和權利代表不同的內容。權限(Permission)代表一個用戶對文件、文件夾、打印機等系統資源的訪問能力；而權利(Right)代表用戶對系統進行設置的能力。權限和權利可以統稱為特權。

　　其次，只有Windows NT以及后續的Windows 2000/XP/2003中才有嚴格的特權等定義。除此之外如果要使用文件訪問權限，文件還必須位于NTFS文件系統的分區上。跟FAT和FAT32文件系統相比，NTFS文件系統可以在保持簇大小不變的情況下支持更大的分區，還有一系列的安全特性，建議使用。不過DOS和Windows 9x操作系統并不能支持這種文件系統。有兩種方法獲得NTFS文件系統的分區：創建一個分區，然后格式化為NTFS文件系統；或者把現有的FAT或者FAT32文件系統的分區在保留數據的前提下轉化為NTFS文件系統。這個轉化可以使用Windows自帶的convert.exe程序，在命令行狀態下輸入“convert c:/fs:ntfs”并回車就可以把C盤轉換，其他盤需要替換C為相應的盤符。另外要注意，轉換系統盤可能需要你重啟動系統才能完成。

　　用戶帳戶

　　使用Windows 9x的時候，我們對用戶帳戶這個概念可能了解不多，因為Windows 9x中用戶的概念不是很完善，所以很少有人使用。不過在Windows NT/2000/XP中，用戶帳戶則是和系統安全息息相關的一個重要因素，操作系統會根據不同的用戶帳戶以及預先的設置指派給每個用戶相應的權限，以完成一定的任務。而且每個帳戶之間是互相獨立，各不打擾的。

　　簡單來說，系統中的帳戶可以跟QQ等即時通訊軟件中的帳戶相比較，例如我們可以申請一個QQ號碼，配合自己設置的密碼，這就成了一個QQ帳戶。利用這個帳戶我們可以登錄QQ，并跟預先添加的其他好友聊天，使用QQ提供的各種服務。但是一個人也可以申請多個QQ號碼，而且這些號碼之間并不會互相影響，例如我們在第一個號碼中添加的好友不會自動添加到第二個號碼中。

　　通過使用Windows中的帳戶，我們可以登錄（可以是本地登錄，也可以是網絡登錄）到Windows操作系統，使用相應的系統資源、查看自己的文件。除此之外，利用Windows的帳戶我們還可以做到更多，例如每個帳戶都有獨立的收藏夾、我的文檔文件夾、桌面快捷方式設置、Cookie等，每個用戶用自己的帳戶對系統進行的一般性設置都不會影響其他用戶。

　　那么要解決我家的矛盾，只要為每個家庭成員創建自己的帳戶就可以了。要注意，在Windows XP中，微軟為了簡化帳戶和權限的設置，使用了各種簡易方法，這樣雖然使得設置更加簡單，但是可設置的選項也少了很多，只能實現最簡單的目標。如果想要進行更復雜的設置還需要使用Windows 2000中類似的傳統帳戶以及權限設置方法。幸好這個在Windows XP中也可以使用，我們會在后面詳細說明。

　　下面具體說明一下我們要實現的目標，相信大部分關心此文的用戶也是為了相同的目的：

　　每個使用計算機的人都有自己獨立的帳戶，并且互相不影響。

　　每個人都有專用的文件夾用來保存自己的私人文件，其他人不能查看、修改或刪除別人的私人文件。

　　使用具有管理權限的帳戶登錄，在控制面板中打開“用戶帳戶”設置窗口，你將能看到圖一的界面。在“挑選一項任務”選項下點擊“創建一個新帳戶”，接著系統需要你提供帳戶的用戶名，輸入完成后點擊下一步，接著需要選擇帳戶的類型（圖二）。默認情況下Windows XP提供了兩種類型的帳戶：計算機管理員和受限制帳戶。顧名思義，計算機管理員是對計算機有最高控制權限的人，這類帳戶可以對系統進行任何設置，查看、修改或者刪除計算機上的所有文件。因此我們在創建這種帳戶的時候一定要小心，因為使用這類帳戶的用戶錯誤的設置可能會造成很嚴重的系統障礙。安全起見也不建議日常使用中使用管理員帳戶。所以這里我們選擇帳戶類型為“受限制用戶”。接著我們分別為老爸、老媽和妹妹每人創建一個受限制帳戶。

圖一

圖二

　　以后啟動計算機后將不會立刻出現桌面，而是出現類似圖三的歡迎屏幕。在歡迎屏幕上，每個用戶可以點擊自己的帳戶名并輸入密碼（如果需要的話）登錄進Windows。每個用戶使用自己的帳戶登錄后都能看到完全一樣的初始桌面設置，而他們在這個桌面上進行的任何修改（例如添加或刪除某個桌面快捷方式，或者更換墻紙）都只對自己生效，不會影響到別人。

圖三

　　同時，他們可以把自己的私人文檔保存到“我的文檔”文件夾中，并把文件夾設置為專用。方法是這樣的：使用自己的帳戶登錄系統，然后在“我的文檔”文件夾上點擊鼠標右鍵，選擇屬性，接著打開“共享”選項卡，選中“將該文件夾設為專用”（圖四），這樣別人就無法訪問被設為專用的文件夾了。他們除了不能查看對方保存在“我的文檔”中的文件，還不能刪除在自己“我的文檔”文件夾以外的任何文件和文件夾。除此之外，這些用戶還可以給自己的帳戶設置密碼，這樣在選擇使用自己的帳戶登錄時就必須先輸入正確的密碼，否則登錄將被拒絕。

圖四

　　注意，將文件夾設為專用這個功能僅在簡單文件共享開啟的情況下有效，禁用簡單文件共享后將只能使用傳統方式設置該文件夾的訪問權限。具體方法后面會詳細說明。另外，不是所有的文件夾都可以直接設置為專用的，只有出于用戶配置文件中的文件夾（也就是默認情況下的“我的文檔”文件夾）才可以被設置為專用，詳細情況請參考微軟知識庫文章Q307286：您無法選擇“將這個文件夾設為專用”選項：http://support.microsoft.com/?kbid=307286 。同時，系統盤使用了NTFS文件系統也是能夠設置文件夾為專用的一個大前提。

　　如果你用的操作系統是Windows 2000，或者你想要在Windows XP PRofessional下實現更復雜的權限設置，那么可以繼續閱讀以下的內容。 　　注意：以下內容適合于Windows 2000和Windows XP Professional以及Windows Server 2003操作系統，不適合Windows XP Home，同樣也需要硬盤的文件系統為NTFS。

　　我們仍然會以Windows XP Professional為例說明，因為在禁用了Windows XP的簡單文件共享后，其他的設置和Windows 2000以及Windows Server 2003中沒有太大區別。

　　使用具有管理權限的帳戶登錄，在Windows XP中，打開我的電腦，然后在“工具”菜單下點擊“文件夾選項”，打開文件夾選項的“查看”選項卡。在這里，取消對“使用簡單文件共享（推薦）”的選擇（圖五）。

圖五

　　之后我們假設了要完成以下的目標：在C盤根目錄下創建一個“Temp”文件夾，里面隨意保存幾個文件。我們要讓老爸能夠訪問這個文件夾以及其中的文件，并能刪除任何一個文件，但是不能給別人分配權限；老媽只能查看文件的內容，不能修改或者刪除文件；禁止妹妹訪問這個文件夾。

　　在Temp文件夾上點擊鼠標右鍵，選擇“屬性”，打開文件夾屬性對話框，接著打開“安全”選項卡，你將能看到圖六的界面。這里顯示了幾個默認安全組的權限設置。接著我們開始給老爸設置權限，點擊旁邊的“添加”按鈕，然后輸入老爸帳戶的用戶名，并回車，可以看見，用戶列表中多出了老爸的帳戶。用同樣的方法把老媽和妹妹的帳戶都添加到這個列表中，然后開始依次設置。

圖六

　　因為我們允許老爸讀取和修改以及刪除其中的文件，因此在上面的窗口中選中老爸的用戶名，然后在下面的“允許”復選框中選中“修改”、“讀取和運行”、“列出文件夾目錄”、“讀取”和“寫入”（圖七）。請注意，這里不要簡單地選中允許父親帳戶對該文件夾具有“完全控制”權限。因為完全控制意味著除了能讀寫修改和刪除目標文件夾外，還可以給其他用戶分配權限，這樣顯然不夠安全，因此完全控制的權限最好不要隨便分配給別人，尤其是受限制用戶。

圖七

　　而老媽的權限是只讀，因此在選中老媽的帳戶后分別選中“允許”復選框中的“讀取和運行”、“列出文件夾目錄”和“讀取”（圖八）。

圖八

　　因為拒絕妹妹訪問這個文件夾，因此在選中妹妹的用戶名后，在“拒絕”復選框下選中“完全控制”（圖九）。

圖九

　　完全設置好后可以點擊確定退出，因為我們拒絕了一個用戶對該文件夾的訪問，因此這時系統會彈出一個對話框提醒我們是否繼續（圖十），當然要選擇繼續了。

圖十

　　在我們對某個文件夾設置了權限后可能會遇到這種問題，重裝了操作系統，打開一些以前設置過權限的文件夾時系統提示因為沒有權限，所以訪問被拒絕。你可能會奇怪，為什么會沒有權限？雖讓當初設置過訪問權限，可是在重裝系統后我還是使用了相同的用戶名和密碼登錄的，為什么沒有權限？這是因為你的SID改變了。

　　SID是Security Identifier（安全標示符）的簡稱，是Windows操作系統識別不同帳戶的主要方式。每個帳戶在創建的時候都會由操作系統創建一個唯一的SID，該SID會一直伴隨相應帳戶，直到帳戶被刪除。不過在刪除一個帳戶并重新創建一個同名帳戶后，這個帳戶仍然不會使用同一個SID。這可以理解為人的指紋，每個人的指紋都是不同的，人可以改名，但是指紋永遠不能改；也可能有很多人同名同姓，但是沒有人指紋相同。因此不管是管理還是設置權限，Windows實際上都是依靠每個帳戶的SID來區分用戶。這樣也就可以理解為什么在新系統中創建了同名同密碼的帳戶后仍不能訪問曾經被設置過權限的文件。

　　這種情況下就需要讓管理員取得文件夾的所有權了。方法是這樣的：在禁用簡單文件共享的情況下，在無法打開的文件夾上點擊鼠標右鍵，選擇屬性，然后在屬性窗口打開“安全”選項卡。這時會出現一個警告窗口，不用理會，點擊確定關閉。在安全選項卡上點擊“高級”按鈕，打開高級屬性設置窗口，接著打開“所有者”選項卡（圖十一）。在所有者選項卡上重新選擇一個當前的用戶為新的所有人，然后選中下方的“替換子容器對象….”并點擊確定。稍等片刻，待該文件夾和所有字文件夾的所有權都獲得以后就可以按照平常的方法訪問該文件夾或者重新給不同用戶指定不同的權限。

圖十一

　　到現在我們可能會想，系統管理員對系統擁有完全的控制權限，那么我既然是系統管理員，我能看別人的私人文件嗎？當然可以，除此之外，我還能把文件或者文件夾的所有權從別人手里奪過來，或者把我本沒有權限訪問的資源給我自己分配合適的權限。因為具體的做法跟上面設置權限的方法一樣，因此不再多說。

　　通過網絡共享文件

　　在使用了用戶帳戶以及設置了適當的權限之后，家人使用電腦更積極了，慢慢的一臺電腦逐漸無法滿足家人的需要，因此家里又新添了兩臺電腦。現在一共有三臺電腦，我用這些電腦組建了一個小型的局域網，利用局域網共享一條ADSL線路上網，另外還共享了三臺電腦中的文件。

　　在網絡中共享文件比跟同一臺電腦上的其他用戶共享麻煩多了，整個過程可以這樣理解：

　　當通過網絡鄰居訪問其他運行Windows 2000/XP/2003電腦的共享文件夾時，對方電腦首先會要求你提供能證明身份的用戶名和密碼，默認情況下首先會使用你登錄使用的帳戶驗證，如果無法識別則要你輸入另外的用戶名和密碼進行驗證，以判斷你是否具有訪問該電腦的權限，如果沒有權限，則會拒絕你對這臺電腦的訪問。如果判斷你有訪問這臺電腦的權限，接下來就要看你登錄使用的用戶是否具有訪問共享文件夾的NTFS權限，如果有，才能打開相應的文件夾供你訪問；否則仍舊會收到訪問拒絕的信息。

　　假設我們的局域網中一共有XP1，XP2和98三臺電腦，其中XP1是我們最初的電腦，運行了Windows XP Professional操作系統，上面分別給每個家庭成員創建了帳戶；XP2是新添的電腦，運行Windows XP Professional，98運行了Windows 98。我們要讓家庭成員能夠在XP2和98兩臺電腦上通過局域網訪問XP1中共享出來的每個用戶的個人文件。

　　首先在XP上為每個用戶創建一個共享文件夾A、B和C，對應老爸、老媽還有妹妹，共享的要求是每個人通過網絡能完全訪問自己的文件夾，讀取和修改其中的文件，甚至可以刪除。而且每個人可以通過網絡訪問其他用戶的共享文件夾，但只能讀取其中的內容，不能修改或者刪除。

　　在文件夾A上點擊鼠標右鍵，選擇屬性，然后在屬性對話框中打開“共享”選項卡。選中“共享這個文件夾”，然后在下面輸入希望使用的共享文件名以及描述（圖十二），接著點擊“權限”按鈕。在A文件夾的權限設置對話框上可以看到，默認情況下已經給“所有人”設置了只讀權限。

圖十二

　　這里要注意“所有人”這個概念。這是系統中的一個組，該組可以包括所有已經連接到計算機的用戶。而這里默認給所有人設置了只讀權限意味著，任何人，只要能夠使用一個有效的用戶名和密碼通過網絡訪問到這臺計算機，那他就能對這個文件夾具有只讀的權限。

　　另一方面，權限是可以累加的，例如這里已經給“所有人”只讀的權限，但是如果我們又給老爸的帳戶設置了“修改”的權限，那么當老爸訪問這個共享文件夾時，他將擁有讀和寫的權限。相反，如果我們在這里拒絕了老爸完全控制的權限，那么就算老爸使用他的帳戶通過網絡看到了所有的共享文件夾（在這種情況下他已經是“所有人”組的一員，本應該擁有至少只讀的權限），但因為他又被拒絕了完全控制（以及其他所有權限）的權限，因此他將無法訪問這個文件夾。

　　我們在這里要做的就是在此基礎上，給其他的家庭成員設置合適的權限。因為文件夾A是老爸的專用共享文件夾，因此我們要添加老爸的帳戶，然后給這個帳戶設置完全控制的權限（圖十三）。

圖十三

　　同理，我們要用同樣的方法給老媽的帳戶設置對文件夾B的完全控制共享權限；給妹妹的帳戶設置對文件夾C的完全控制共享權限。這樣每個人對自己專用的共享文件夾具有完全控制的權限，可以在其中創建新文件或者修改以及刪除現有文件，但是又都只能只讀查看其他用戶的共享文件。

　　共享設置完之后該考慮訪問這些共享的問題了。在Windows XP和Windows 2000的計算機上，訪問Windows XP的共享文件夾非常簡單，只有在98下訪問XP中的共享資源時有些不同。

　　在XP2計算機上打開運行對話框，然后輸入“/xp1”并回車，接著系統中會彈出一個窗口要你輸入用戶名和密碼。在這里輸入家庭成員的用戶名和密碼，然后點擊確定（圖十四）。如果用戶名和密碼驗證成功就可以訪問所有被授權的資源，同時我們還可以自己試驗一下，雖然其他家庭成員的共享文件夾都可以訪問，不過這僅限于讀取現有的文件，我們不能修改、刪除或者創建文件。

圖十四

　　在98電腦上訪問共享文件夾是有些區別的。因為9x系統和NT系統的驗證機制不同，因此在98中，我們需要在身份驗證上多下功夫。首先打開網上鄰居的屬性對話框，然后在“主網絡登錄”下選中“Microsoft網絡用戶”（圖十五），并點擊確定。這時以后每次啟動98時首先會遇到一個登錄對話框，雖然可以按下ESC鍵跳過這個過程，不過同時你也就失去了訪問網絡共享資源的能力（圖十六）。因此在98的登陸框中每個家庭成員可以使用自己在XP1機器上的用戶帳戶和密碼登錄，這樣雖然主要的界面沒有變化，不過在訪問網絡資源時已經被自動驗證為登錄時使用的帳戶。如果你已經跳過了登錄對話框，則可以在開始菜單中點擊“注銷”，待注銷后輸入一個有效的用戶名和密碼登錄到網絡（圖十七），之后就可以使用所有授權的資源。

圖十五


圖十六


圖十七

　　權限的內容基本上就是這樣，現在通過設置權限，你基本上應該可以控制其他人對你計算機上文件的訪問情況了。不過要注意，安全永遠都是相對的，權限設置也是如此。例如你設置了權限使得我無法訪問硬盤上的某些文件，但是我只要把你的硬盤拆下來掛到其他Windows 2000/XP/2003的計算機上，只要我有一個管理員賬號，我就能在那臺計算機上重新獲得所有文件的所有權和其他一切權限。另外現在有很多工具光盤，用這些光盤引導電腦后可以進入到一個圖形界面的linux或者其他工具中，在這些系統中可以輕易的讀取硬盤上所有的文件。因此NTFS權限在這些方法下將無任何安全性可言。因此如果你的數據很重要，那么在操作系統層面保護的同時，請千萬不要忘了同時保證你的計算機硬件物理上的安全。