NTFS 保护文件 / 官方详解

 可以使用 NTFS 文件系统限制对网站文件和目录的访问。可以授予或拒绝某个用户帐户或用户组的访问权限。例如，可以配置您的 Web 服务器使得特定的用户能够浏览和执行某个文件，同时拒绝所有其他访问该文件的用户。

IIS 需要 NTFS 权限来保护单个文件和目录免遭未经授权的访问。与应用于所有用户的网站权限不同，您可以使用 NTFS 权限准确地定义允许哪些 Windows 用户访问您的内容，以及这些用户可以对内容执行哪些操作。

NTFS 权限级别如下所示：

完全控制：用户可以对文件执行任何操作，其中包括接管该文件。建议仅给管理员授予此访问级别。 
修改：用户可以查看和修改文件和文件属性，包括在目录中删除和添加文件，或删除和添加文件的属性。用户不能接管文件或更改文件的权限。 
读取和运行：用户可以运行可执行文件（包括脚本）。 
列出文件夹目录：用户可以查看文件夹内容的列表。 
读取：用户可以查看文件和文件属性。 
写入：用户可以将内容写入文件。 
要点 如果没有给 IUSR_computername 帐户指派某个资源的“读取和运行”权限，就会导致拒绝匿名用户访问该资源。在向访问控制列表 (ACL) 添加用户或组时指派的默认权限为“读取和运行”、“列出文件夹目录”和“读取”。

以下是设置 NTFS 权限时的最佳操作列表：

将权限指派给组而不是用户。由于直接维持用户帐户效率不高，因此最好不要将权限直接指派给用户。 
如果可能，避免更改文件系统对象的默认权限，尤其是系统文件夹和根文件夹。更改默认权限可能会出现意外的访问问题或者降低安全性。 
从不拒绝 Everyone 组访问某个对象的权限。如果拒绝 Everyone 访问某个对象的权限，则管理员也不能访问该对象。更好的解决方案是删除 Everyone 组，只要给其他用户、组或计算机授予访问该对象的权限即可。也可能需要给 Administrators 组和 LocalSystem 授予“完全控制”。 
如果对象具有显式允许权限，则继承的拒绝权限并不禁止访问该对象。显式权限优于继承的权限，其中包括继承的拒绝权限。 
拒绝权限仅应用于以下特殊情形： 
要从具有“允许”权限的组中排除部分成员。 
在给用户或组授予“完全控制”后要排除一个特殊的权限。 
在配置网站的 NTFS 权限时要小心谨慎。权限设置不恰当可能拒绝有效用户访问需要的文件和目录。例如，即使用户有查看和执行程序的正确权限，但用户可能没有访问运行此程序所需的特定动态链接库 (DLL) 的权限。要保证用户可以安全和不间断地访问文件，可将相关文件放在同一目录，并指派合适的 NTFS 权限。 
相关主题
有关权限的详细信息，请参阅 Windows 帮助中的访问控制。 
详细信息，请参阅设置目录或文件的 NTFS 权限。