在 Windows 操作系统中，权限指的是不同用户账户或用户组访问文件、文件夹的能力。作为操作系统的安全措施之一，权限管理同样值得用户深入了解。

对文件或文件夹等对象设置使用权限，可以防止系统文件被删除或修改。当应用程序要合法使用操作系统文件时，则可以通过 UAC 临时提升权限。

1、NTFS 权限

对于存储在 NTFS 分区中的每一个文件或文件夹，都会有一个对应的访问控制列表（ACL），ACL 中包括可以访问该文件或文件夹的所有用户账户、用户组以及访问类型。

在 ACL 中，每一个用户账户或用户组都对应一组访问控制项（Access Control Entry，ACE），ACE 用来存储特定用户账户或用户组的访问类型。权限的适用主体只针对数据，由数据的权限设置来决定哪些用户账户可以访问。

当用户访问一个文件或文件夹时，NTFS 文件系统首先会检查该用户所使用的账户或账户所属的组是否存在于此文件或文件夹的 ACL 中。如果存在，则进一步检查ACE，然后根据 ACE 中的访问类型来分配用户的最终权限。如果 ACL 中不存在用户使用的账户或账户所属的组，则拒绝该用户访问此文件或文件夹。

对于用户账户和用户组，Windows 10 使用安全标识符（Security Identifi er, SID）对其进行识别，每一个用户账户或用户组都有其唯一的 SID。即便是删除一个账户，然后重新创建同名账户，其 SID 也不同。可以使用 whoami 命令行工具查看 SID，在命令提示符中输入 whoami /all 命令，即可查看计算机所有用户账户或用户组的 SID以及其他信息，如下图所示。

通过 ACL、ACE、SID 等安全功能，Windows 10 可以很好地管理权限设置，不至于造成权限混乱。

2、Windows 账户

Windows 10 包括如下几种账户。每种账户都是其特定的使用环境：

• Administrator 账户：超级系统管理员账户，默认禁用。默认情况下使用该账户登录操作系统后，可以不受 UAC 管理，以管理员身份运行任何程序、完全控制计算机、访问任何数据、更改任何设置。鉴于此账户的特殊性，除非有特殊要求，不建议启用此账户。
• 管理员账户：此账户可以使用操作系统中的大部分应用程序，以及更改不影响其他用户或操作系统安全的系统设置选项。
• Guest 账户：来宾账户，默认禁用。来宾账户属于受限账户，适合在公用计算机上使用。
• HomeGroupUser$ 账户：家庭组用户账户，可以访问计算机的家庭组的内置账户，用于实现家庭组简化、安全的共享功能。在创建家庭组后，此账户将被创建及启用。关闭家庭组后此账户就会被删除。
• TrustedInstaller 账户：TrustedInstaller 为虚拟账户。默认情况下，所有系统文件的完全控制权限都属于该账户。如果需删除操作系统文件，操作系统就会要求用户提供 TrustedInstaller 权限，如下图所示。

• Administrators 组：Administrators 组成员包含所有系统管理员账户，如下图所示。通常使用 Administrators 组对所有系统管理员账户的权限进行分配。

• Users 组：Users 组的成员包括所有用户账户。通常使用 Users 组对用户的权限设置进行分配。
• SYSTEM 账户：Windows 中的最高权限账户，也是一个虚拟账户，操作系统核心的程序和服务都需以 SYSTEM 账户身份运行。
• HomeUsers 组：HomeUsers 组成员包括所有家庭组账户。通常使用 HomeUsers 组对家庭组的权限设置进行分配。
• Authenticated Users 组：Authenticated Users 组包括在计算机或域中所有通过身份验证的账户。身份验证的用户不包括来宾账户，即使来宾账户有密码。
• Everyone 组：所有用户的集合，无论其是否拥有合法账户。

各种账户的默认权限大小如下图所示：

注意：在启用 UAC 的情况下，如果不提升权限，只有 Administrators 组的拒绝权限会应用到普通管理员账户。

3、基本权限和高级权限

Windows 的权限中分为基本权限与高级权限，其下又会有其他几种特定的操作权限，如下图所示。

基本权限：

高级权限：

1. 基本权限

• 完全控制：该权限允许用户对文件夹、子文件夹、文件进行全权控制，例如修改文件的权限、获取文件的所有者、删除文件的权限等，拥有完全控制权限就等于拥有了其他所有的权限。
• 修改：该权限允许用户修改或删除文件，同时让用户拥有写入、读取、运行权限。
• 读取和执行：该权限允许用户拥有读取和列出文件目录，另外也允许用户在文件中进行移动和遍历，这使得用户能够直接访问子文件夹与文件，即使用户没有权限访问文件目录。
• 列出文件夹内容：该权限允许用户查看文件夹中的子文件夹与文件名称（作用对象仅为文件夹）。
• 读取：权限允许用户查看该文件夹中的文件以及子文件夹，也允许查看该文件夹的属性、所有者和拥有的权限等。
• 写入：该权限允许用户在该文件夹中创建新的文件和子文件夹，也可以改变文件夹的属性、查看文件夹的所有者和权限等。
• 特殊权限：其他不常用的权限，比如删除文件权限的权限。

2. 高级权限

• 完全控制：该权限允许用户对文件夹、子文件夹、文件进行全权控制。
• 遍历文件夹 / 执行文件：遍历文件夹允许或拒绝通过文件夹来移动到达其他文件或文件夹，即使用户没有已遍历文件夹的权限。例如用户新建一个 A 文件夹，设置用户 Zhipeng 有遍历文件夹的权限，则 Zhipeng 不能访问这个文件夹，但可以把这个文件夹移动其他目录下面。如果 A 文件夹设置 Zhipeng 没有使用权限，则Zhipeng 无法移动 A 文件夹，访问会被拒绝。
• 列出文件夹 / 读取数据：该权限允许用户查看文件夹中的文件名称、子文件夹名称和查看文件中的数据。
• 读取属性：该权限允许用户查看文件或文件夹的属性（例如只读、隐藏等属性）。
• 读取扩展属性：该权限允许用户查看文件或文件夹的扩展属性，这些扩展属性通常由应用程序所定义，并可以被应用程序修改。
• 创建文件 / 写入数据：该权限允许用户在文件夹中创建新文件，也允许将数据写入并覆盖现有文件中的数据。
• 创建文件夹 / 附加数据：该权限允许用户在文件夹中创建新文件夹或在现有文件的末尾添加数据，但不能对文件现有的数据进行覆盖、修改，也不能删除数据。
• 写入属性：该权限允许用户改变文件或文件夹的属性。
• 写入扩展属性：该权限允许用户对文件或文件夹的扩展属性进行修改。
• 删除子文件及文件：该权限允许用户删除文件夹中的子文件夹或文件，即使在这些子文件夹和文件上没有设置删除权限（作用对象仅为文件夹）。
• 删除：该权限允许用户删除当前文件夹和文件，如果用户在该文件或文件夹上没有删除权限，但是在其父级文件夹上有删除子文件及文件夹的权限，则仍然可以将其删除。
• 读取权限：该权限允许用户读取文件或文件夹的权限列表。
• 更改权限：该权限允许用户改变文件或文件夹上的现有权限。
• 取得所有权：该权限允许用户获取文件或文件夹的所有权，一旦获取了所有权，用户就能完全控制文件或文件夹。

4、权限配置规则
配置 Windows 的权限，需注意以下规则。

• 文件权限高于文件夹权限：意思很简单，就是文件权限相对文件夹权限具有优先权。例如用户对某个文件具有使用权限，该文件位于用户不具有访问权限的文件夹中，此时用户同样可以使用此文件，前提是该文件没有继承它所属的文件夹的权限。假设用户对文件夹 TestA 没有访问权限，但是该文件夹下的文件 TEST.txt 并没有继承TestA 的权限，那么用户可以正常使用 TEST.txt 这个文件，但是不可以使用文件资源管理器打开 TestA 去使用 TEST.txt，只能通过输入 TEST.txt 的完整的路径访问该文件。
• 权限的积累：用户对文件的有效权限等于分配给该用户账户和用户所属的组的所有权限的总和。如果用户账户对文件具有读取权限，该用户所属的组又对该文件具有写入的权限，则该用户账户就对此文件同时具有读取和写入的权限，如下图所示。

• 拒绝权限高于其他权限：拒绝权限可以覆盖所有其他的权限，甚至作为一个组的成员有权访问文件夹或文件，但是该组被拒绝访问，则该用户本来具有的所有权限都会被锁定，从而无法访问此文件夹或文件。此权限规则会导致权限累积规则失效，如下图所示。

• 指定权限优先于继承权限：用户或用户组对文件的明确权限设置优先于继承而来的权限设置。例如有一个文件夹 TestA，其中有子文件夹 TestB，TestB 与 TestA 存在权限继承关系。对于用户 User，TestA 拒绝其拥有写入权限，而 TestB 在除了继承的权限设置外，还单独赋予用户 User 写入权限，此时用户 User 对 TestB 拥有写入权限。

4、获取文件权限

当用户对操作系统文件进行删除操作时，操作系统会要求用户提供 TrustedInstaller 账户权限，如下图所示。

TrustedInstaller 为虚拟账户，其只能由操作系统使用，所以要删除或修改具备 TrustedInstaller 权限的文件，只能去更改文件或文件夹的权限所有者为普通账户，操作步骤如下。

① 右键单击要删除或修改的文件或文件夹，并在弹出菜单中选择【属性】。

② 选择【属性】→【安全】，单击【高级】，如下图所示。

③ 在打开的文件高级安全设置界面中，可以看到此文件的权限所有者为 TrustedInstaller，以及该账户所具有的访问权限，如下图所示。

④ 单击下图所示的【更改】选项，在打开的【选择用户或组】界面中输入要更改所有权的账户，单击【检查名称】可以自动识别账户的完整信息，然后单击【确定】。

如要改回 TrustedInstaller 账户，输入 NT SERVICETrustedInstaller 即可。

⑤ 在高级安全设置界面中，会发现此文件的权限所有者已变成当前使用的用户账户。这时再去删除文件，还会提示需要提升权限，如图所示。

虽然已经修改了此文件的权限所有者账户，但是此账户依旧只有读取和执行的权限，如下图所示。

⑥ 修改权限所有者之后，要继续为该账户委派访问权限，才能完全控制此文件。单击如下图所示的【编辑】按钮：

在打开的界面中选中要修改访问权限的账户，然后在下面的权限列表中勾选【完全控制】并单击【确定】，如下图所示。

这样即可取得该文件的所有控制权限，如下图所示。

5、恢复原有权限配置

不建议用户随意修改操作系统文件或文件夹的权限，即使出于需要进行修改，之后也要修改回默认权限配置，这样才能确保操作系统文件安全。使用 Windows 10 中的icacls 命令行工具，可以快速恢复文件或文件夹的 ACL。

① 按下 Win+X 组合键，在弹出菜单中选择【命令提示符（管理员）】。

② 在命令提示符中输入如下命令并按回车键等待命令执行完毕：

即可恢复文件或文件夹的 ACL，如下图所示：

注意：如果要恢复文件或文件夹原有权限配置，必须手动修改。