在进行网站权限控制时,以下几点要注意

①权限是相加的。如果一个用户同时属于两个组 Network和 SYSTen,那么他就有了这两个组所允许的所有权限,即拥有这两个组的权限的并集。

②拒绝永远优先于允许。如果一个用户所在的组被设置为禁止访问某个资源,另外一个组设置了允许访问这个资源,那最后的结果是无法访问,因为从策略的执行顺序来讲,拒绝总是先执行。这点一定要搞清楚,不然到时明明这个组已经开放网站权限控制了,却还是无法访问之类的问题就会出现。

③文件权限比文件夹权限高。用户对一个文件有读、写的权限,而对于这个文件所在的文件夹只有只读网站权限控制,但是最终用户对于这个文件还是拥有读、写的权限。虽然用户对于文件夹只有只读权限,但是完全可以赋予用户对于此文件夹下的某个文件完全的进行权限控制。具体详细介绍可以参考下面的网站：www.zhiyuanit.com.cn

④NTFS文件权限的继承。NTFS分区中,权限控制是可以继承的,通常情况下,文件夹中的权限的。如果文件夹中的文件和子文件夹继承了父文件夹的权限,在查询子文件夹权限的时候,继承下来的项的权限设置以灰色显示,并不能更改。可以在文件(夹)属性中的【安全】选项卡中,不选择【允许将来自父系的可继承权限传播给该对象】即可取消继承。当在NTFS分区内、分区间复制文件或者在NTFS分区间移动文件或文件夹时,文件或文件夹将继承目标文件夹的权限。而当在同一NTFS分区内移动文件或文件夹时,权限将被保留。无论是将文件或文件夹复制还是移动到FAT分区,所有权限信息将丢失。

⑤平时利用用户组来进行权限控制是一种十分成熟的行为。 Windows2000附带了许多内置组,其中有几个特别值得注意,包括 Power Users组(在工作站、独立服务器和成员服务器上)、 Server Operators、 Print Operators和 Backup Operators(在服务器上)。这些组的作用是在无须使用户成为管理员的情况下提升用户的权限。不过鉴于这些组的具体权限,其中每个组的成员都可以成为管理员，更好的了解网站更新。Operators组的作用主要是防止管理员意外损坏系统,但不能防止对系统的故意破坏。 Power Users组主要用于普通用户无法正常运行某些早期应用程序的情况。因此,这个组在某些仅需决定是使用户成为 Power Users还是 Administrators的环境中非常重要。

⑥仅给用户真正需要的权限。权限的最小化是安全的重要保障。这点我想读者应该很容易理解,不同的用户只能做他所应该做的事,而不可以越权。

⑦访问权限和共享权限交叉时,取两个权限的交集。当一个文件夹或者文件为用户设置了访问权限又设置了共享权限时,那么最终就是访问权限和共享权限之间最小最严格的权限。例如,文件夹为用户A设置了只读访问权限和完全控制共享权限,那么最后用户A对于文件夹只能有只读操作权限。