共享文件夹权限整理
1.权限简介
1.1 用户组简介
Administrators,管理员组，默认情况下，Administrators中的用户对计算机/域有不受限制的完全访问权。

分配给该组的默认权限允许对整个系统进行完全控制。

所以，只有受信任的人员才可成为该组的成员。

Power Users，高级用户组，Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。

分配给 Power Users 组的默认权限允许 Power Users 组的成员修改整个计算机的设置。

但Power Users 不具有将自己添加到 Administrators 组的权限。

在权限设置中，这个组的权限是仅次于Administrators的。

Users:普通用户组，这个组的用户无法进行有意或无意的改动。

因此，用户可以运行经过验证的应用程序，但不可以运行大多数旧版应用程序。

Users 组是最安全的组，因为分配给该组的默认权限不允许成员修改操作系统的设置或用户资料。

Users 组提供了一个最安全的程序运行环境。

在经过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操作系统和已安装程序的完整性。

用户不能修改系统注册表设置、操作系统文件或程序文件。

Users 可以关闭工作站，但不能关闭服务器。

Users 可以创建本地组，但只能修改自己创建的本地组。

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾帐户的限制更多。

Everyone:顾名思义，所有的用户，这个计算机上的所有用户都属于这个组。

其实还有一个组也很常见，它拥有和Administrators一样、甚至比其还高的权限，但是这个组不允许任何用户的加入，在察看用户组的时候，它也不会被显示出来，它就是SYSTEM组。

系统和系统级的服务正常运行所需要的权限都是靠它赋予的。

由于该组只有这一个用户SYSTEM，也许把该组归为用户的行列更为贴切。

1.2 权限简介
权限分为以下七种方式即完全控制、修改、读取和运行、列出文件夹目录、读取、写入、和特别的权限。

“完全控制”就是对此卷或目录拥有不受限制的完全访问。

地位就像Administrators 在所有组中的地位一样。

选中了“完全控制”，下面的五项属性将被自动被选中。

“修改”则像Power users，选中了“修改”，下面的四项属性将被自动被选中。

下面的任何一项没有被选中时，“修改”条件将不再成立。

“读取和运行”就是允许读取和运行在这个卷或目录下的任何文件。

“列出文件夹目录”和“读取”是“读取和运行”的必要条件。

“列出文件夹目录”是指只能浏览该卷或目录下的子目录，不能读取，也不能运行。

“读取”是能够读取该卷或目录下的数据。

“写入”就是能往该卷或目录下写入数据。

“特别”则是对以上的六种权限进行了细分。

1.3 权限特性简介
权限是具有继承性、累加性、优先性、交叉性的。

继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。

这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。

但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。

累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1
和USER2的访问权限之和，实际上是取其最大的那个，即“读取”“写入”=“写入”。

又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”“完全控制”=“完全控制”。

优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，
也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。

另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。

交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。

如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。

2权限设置练习
用户只能上传不能删除权限的设置
假设存在用户user1，该用户享有文件夹A的读取、写入的权限，但不享有删除的权限，设置方式如下：
1、建立用户user1：控制面板→管理工具→计算机管理→本地用户和组，在用户组
内建立该用户。

如图所示：
2、右键文件夹A→共享→选择“共享此文件夹”→权限→删除Everyone 用户组，添加刚刚建立的用户useri1并选择“更改”、“读取”权限，如图所示：
3、选择安全→高级→在高级设置中去掉“允许父项的继承权限传播到该对象和所
有子对象。

包括那些在此明确定义的项目”，再弹出的对话框中点击删除，删除这些用户组。

如图所示：
4、删除完成后，回到属性面板，点击添加按钮，添加该用户，如图所示：
5、添加完成后，点击高级，在高级安全设置中选中该用户，点击编辑按钮为该用
户分配权限，权限如图所示：
6、确定后测试该用户是否只享有读取、写入的权限不存在删除权限。