在这篇文章中，我们将一起探究Windows 2003 Server增强的安全机制。新的操作系统中提高安全性的新特性随处可见，但这里我们只注重大多数Windows用户和管理员最关心的地方，借此粗略感受一下Windows Server 2003新的安全机制。

    一、NTFS和共享权限

    在以前的Windows中，默认的权限许可将“完全控制”授予了Everyone组，整个文件系统根本没有安全性可言（就本地访问来说）。但从Windows XP Pro开始，这种情况改变了。
    授予Everyone组的根目录NTFS权限只有读取和执行，且这些权限只对根文件夹有效，请参见图1。也就是说，对于任何根目录下创建的子文件夹，Everyone组都不能继承这些权限。对于安全性要求更高的系统文件夹，例如Program Files和Windows文件夹，Everyone组也已经从ACL中排除出去。（说明：ACL即“访问控制列表”，或Access Control List，它是一种安全保护列表，适用于整个对象、对象属性组或某个对象个别属性。Windows Server 2003有两种访问控制列表类型：随机和系统）。

图 1

    Users组除了读取和运行之外，还能够在子文件夹下创建文件夹（可继承）和文件（注意，根驱动器除外）。授予System帐户的权限和本地Administrators组成员的权限仍未改变，它们仍拥有对根文件夹及其子文件夹的完全控制权限。CREATOR OWNER仍被授予子文件夹及其包含的文件的完全控制权限，也就是允许用户全面管理他们自己创建的子文件夹。
    对于新创建的共享资源，Everyone现在只有读取的权限。
    另外，Everyone组现在不再包含匿名SID（安全标识符，一种不同长度的数据结构，用来识别用户、组和计算机帐户。网络上每一个初次创建的帐户都会收到一个唯一的 SID。Windows中的内部进程将引用帐户的SID而不是帐户的用户名或组名），进一步减少了未经授权访问文件系统的可能性。要快速查看文件或文件夹的NTFS权限，可以用右键点击文件或文件夹，选择“安全”选项卡，点击“高级”，然后查看“有效权限”页，如图2所示，不用再猜测或进行复杂的分析来了解继承的以及直接授予的NTFS权限。不过，这个功能还不能涵盖共享权限。

图 2

    二、文件和文件夹的所有权

    现在，你不仅可以拥有文件系统对象（文件或文件夹）的所有者权限，而且还可以通过该文件或文件夹“高级安全设置”对话框的“所有者”选项卡将权限授予任何人，请参见图3。

图 3

    Windows的磁盘配额是根据所有者属性计算的，授予其他人所有者权限的功能简化了磁盘配额的管理。例如，管理员应用户的要求创建了新的文件（例如复制一些文件，或安装新的软件），使得管理员成为新文件的所有者，即新文件占用的磁盘空间不计入用户的磁盘配额限制。以前，要解决这个问题必须经过繁琐的配置修改，或者必须使用第三方工具。现在Windows Server 2003直接在用户界面中提供了设置所有者的功能，这类有关磁盘配额的问题可以方便地解决了（对于使用NTFS文件系统的任何类型的操作系统都有效，包括Windows NT 4.0、2000和XP Pro，只要修改是在Windows Server 2003上进行就可以了）。