在繼續(xù)閱讀前有幾個問題要搞清楚:
首先,權限和權利的區(qū)別。在Windows操作系統(tǒng)中,權限和權利代表不同的內容。權限(Permission)代表一個用戶對文件、文件夾、打印機等系統(tǒng)資源的訪問能力;而權利(Right)代表用戶對系統(tǒng)進行設置的能力。權限和權利可以統(tǒng)稱為特權。
其次,只有Windows NT以及后續(xù)的windows 2000/XP/2003中才有嚴格的特權等定義。除此之外如果要使用文件訪問權限,文件還必須位于NTFS文件系統(tǒng)的分區(qū)上。跟FAT和FAT32文件系統(tǒng)相比,NTFS文件系統(tǒng)可以在保持簇大小不變的情況下支持更大的分區(qū),還有一系列的安全特性,建議使用。不過DOS和Windows 9x操作系統(tǒng)并不能支持這種文件系統(tǒng)。有兩種方法獲得NTFS文件系統(tǒng)的分區(qū):創(chuàng)建一個分區(qū),然后格式化為NTFS文件系統(tǒng);或者把現(xiàn)有的FAT或者FAT32文件系統(tǒng)的分區(qū)在保留數(shù)據(jù)的前提下轉化為NTFS文件系統(tǒng)。這個轉化可以使用Windows自帶的convert.exe程序,在命令行狀態(tài)下輸入“convert c:/fs:ntfs”并回車就可以把C盤轉換,其他盤需要替換C為相應的盤符。另外要注意,轉換系統(tǒng)盤可能需要你重啟動系統(tǒng)才能完成。
用戶帳戶
使用Windows 9x的時候,我們對用戶帳戶這個概念可能了解不多,因為Windows 9x中用戶的概念不是很完善,所以很少有人使用。不過在Windows NT/2000/XP中,用戶帳戶則是和系統(tǒng)安全息息相關的一個重要因素,操作系統(tǒng)會根據(jù)不同的用戶帳戶以及預先的設置指派給每個用戶相應的權限,以完成一定的任務。而且每個帳戶之間是互相獨立,各不打擾的。
簡單來說,系統(tǒng)中的帳戶可以跟QQ等即時通訊軟件中的帳戶相比較,例如我們可以申請一個QQ號碼,配合自己設置的密碼,這就成了一個QQ帳戶。利用這個帳戶我們可以登錄QQ,并跟預先添加的其他好友聊天,使用QQ提供的各種服務。但是一個人也可以申請多個QQ號碼,而且這些號碼之間并不會互相影響,例如我們在第一個號碼中添加的好友不會自動添加到第二個號碼中。
通過使用Windows中的帳戶,我們可以登錄(可以是本地登錄,也可以是網絡登錄)到Windows操作系統(tǒng),使用相應的系統(tǒng)資源、查看自己的文件。除此之外,利用Windows的帳戶我們還可以做到更多,例如每個帳戶都有獨立的收藏夾、我的文檔文件夾、桌面快捷方式設置、Cookie等,每個用戶用自己的帳戶對系統(tǒng)進行的一般性設置都不會影響其他用戶。
那么要解決我家的矛盾,只要為每個家庭成員創(chuàng)建自己的帳戶就可以了。要注意,在windows xp中,微軟為了簡化帳戶和權限的設置,使用了各種簡易方法,這樣雖然使得設置更加簡單,但是可設置的選項也少了很多,只能實現(xiàn)最簡單的目標。如果想要進行更復雜的設置還需要使用windows 2000中類似的傳統(tǒng)帳戶以及權限設置方法。幸好這個在windows xp中也可以使用,我們會在后面詳細說明。
下面具體說明一下我們要實現(xiàn)的目標,相信大部分關心此文的用戶也是為了相同的目的:
每個使用計算機的人都有自己獨立的帳戶,并且互相不影響。
每個人都有專用的文件夾用來保存自己的私人文件,其他人不能查看、修改或刪除別人的私人文件。
使用具有管理權限的帳戶登錄,在控制面板中打開“用戶帳戶”設置窗口,你將能看到圖一的界面。在“挑選一項任務”選項下點擊“創(chuàng)建一個新帳戶”,接著系統(tǒng)需要你提供帳戶的用戶名,輸入完成后點擊下一步,接著需要選擇帳戶的類型(圖二)。默認情況下windows xp提供了兩種類型的帳戶:計算機管理員和受限制帳戶。顧名思義,計算機管理員是對計算機有最高控制權限的人,這類帳戶可以對系統(tǒng)進行任何設置,查看、修改或者刪除計算機上的所有文件。因此我們在創(chuàng)建這種帳戶的時候一定要小心,因為使用這類帳戶的用戶錯誤的設置可能會造成很嚴重的系統(tǒng)障礙。安全起見也不建議日常使用中使用管理員帳戶。所以這里我們選擇帳戶類型為“受限制用戶”。接著我們分別為老爸、老媽和妹妹每人創(chuàng)建一個受限制帳戶。
以后啟動計算機后將不會立刻出現(xiàn)桌面,而是出現(xiàn)類似圖三的歡迎屏幕。在歡迎屏幕上,每個用戶可以點擊自己的帳戶名并輸入密碼(如果需要的話)登錄進Windows。每個用戶使用自己的帳戶登錄后都能看到完全一樣的初始桌面設置,而他們在這個桌面上進行的任何修改(例如添加或刪除某個桌面快捷方式,或者更換墻紙)都只對自己生效,不會影響到別人。
同時,他們可以把自己的私人文檔保存到“我的文檔”文件夾中,并把文件夾設置為專用。方法是這樣的:使用自己的帳戶登錄系統(tǒng),然后在“我的文檔”文件夾上點擊鼠標右鍵,選擇屬性,接著打開“共享”選項卡,選中“將該文件夾設為專用”(圖四),這樣別人就無法訪問被設為專用的文件夾了。他們除了不能查看對方保存在“我的文檔”中的文件,還不能刪除在自己“我的文檔”文件夾以外的任何文件和文件夾。除此之外,這些用戶還可以給自己的帳戶設置密碼,這樣在選擇使用自己的帳戶登錄時就必須先輸入正確的密碼,否則登錄將被拒絕。
注意,將文件夾設為專用這個功能僅在簡單文件共享開啟的情況下有效,禁用簡單文件共享后將只能使用傳統(tǒng)方式設置該文件夾的訪問權限。具體方法后面會詳細說明。另外,不是所有的文件夾都可以直接設置為專用的,只有出于用戶配置文件中的文件夾(也就是默認情況下的“我的文檔”文件夾)才可以被設置為專用,您無法選擇“將這個文件夾設為專用”選項:同時,系統(tǒng)盤使用了NTFS文件系統(tǒng)也是能夠設置文件夾為專用的一個大前提。
如果你用的操作系統(tǒng)是windows 2000,或者你想要在windows xp Professional下實現(xiàn)更復雜的權限設置,那么可以繼續(xù)閱讀以下的內容。
注意:以下內容適合于windows 2000和windows xp Professional以及Windows Server 2003操作系統(tǒng),不適合windows xp Home,同樣也需要硬盤的文件系統(tǒng)為NTFS。
我們仍然會以Windows XP Professional為例說明,因為在禁用了windows xp的簡單文件共享后,其他的設置和windows 2000以及Windows Server 2003中沒有太大區(qū)別。
使用具有管理權限的帳戶登錄,在windows xp中,打開我的電腦,然后在“工具”菜單下點擊“文件夾選項”,打開文件夾選項的“查看”選項卡。在這里,取消對“使用簡單文件共享(推薦)”的選擇(圖五)。
之后我們假設了要完成以下的目標:在C盤根目錄下創(chuàng)建一個“Temp”文件夾,里面隨意保存幾個文件。我們要讓老爸能夠訪問這個文件夾以及其中的文件,并能刪除任何一個文件,但是不能給別人分配權限;老媽只能查看文件的內容,不能修改或者刪除文件;禁止妹妹訪問這個文件夾。
在Temp文件夾上點擊鼠標右鍵,選擇“屬性”,打開文件夾屬性對話框,接著打開“安全”選項卡,你將能看到圖六的界面。這里顯示了幾個默認安全組的權限設置。接著我們開始給老爸設置權限,點擊旁邊的“添加”按鈕,然后輸入老爸帳戶的用戶名,并回車,可以看見,用戶列表中多出了老爸的帳戶。用同樣的方法把老媽和妹妹的帳戶都添加到這個列表中,然后開始依次設置。
因為我們允許老爸讀取和修改以及刪除其中的文件,因此在上面的窗口中選中老爸的用戶名,然后在下面的“允許”復選框中選中“修改”、“讀取和運行”、“列出文件夾目錄”、“讀取”和“寫入”(圖七)。請注意,這里不要簡單地選中允許父親帳戶對該文件夾具有“完全控制”權限。因為完全控制意味著除了能讀寫修改和刪除目標文件夾外,還可以給其他用戶分配權限,這樣顯然不夠安全,因此完全控制的權限最好不要隨便分配給別人,尤其是受限制用戶。