如果您需要限制特定用户对某个文件夹的访问行为,例如仅允许查看而禁止修改或删除,则必须通过NTFS权限系统配置访问控制列表(ACL)。以下是实现该目标的具体操作路径:
一、通过安全选项卡配置标准NTFS权限
此方法适用于为指定用户或组直接分配基础访问权限,如仅允许打开(读取)但禁止修改,是本地文件访问控制中最常用且直观的方式。
1、右键点击目标文件夹,选择【属性】。
2、在属性窗口中,切换到【安全】选项卡。
3、点击【编辑】按钮以修改当前权限列表。
4、在弹出的窗口中,点击【添加】,在“输入要选择的对象名称”框中输入用户名(如YourName)或组名(如Users),点击【检查名称】确认有效性。
5、选中刚添加的用户或组,在下方权限列表中勾选所需权限:若仅允许打开查看,勾选读取和执行、列出文件夹内容、读取;若还需保存修改,额外勾选写入;若需完全控制,勾选完全控制。
6、点击【应用】,再点击【确定】保存更改。
二、获取文件夹所有权后再设置权限
当您不是该文件夹的所有者时,“编辑”按钮可能呈灰色不可用状态,此时必须先取得所有权,才能进行后续权限配置。
1、右键目标文件夹,选择【属性】,进入【安全】选项卡。
2、点击【高级】按钮,打开高级安全设置窗口。
3、在“所有者”字段右侧,点击【更改】链接。
4、在“输入要选择的对象名称”框中输入您的登录用户名,或点击【高级】→【立即查找】,从搜索结果中选择您的账户。
5、点击【确定】返回上一级窗口。
6、勾选替换子容器和对象的所有者(若需对整个文件夹及其全部子项生效)。
7、点击【应用】,再点击【确定】完成所有权转移。
三、禁用权限继承并建立独立权限规则
此操作可切断文件夹与父级目录的权限继承关系,避免上级策略覆盖本地设置,从而确保所设“仅允许打开”等限制真正生效。
1、右键目标文件夹,进入【属性】→【安全】→【高级】。
2、点击【禁用继承】按钮。
3、在弹出的对话框中选择从此对象中删除所有已继承的权限(注意:此操作不可逆,原继承规则将被清除)。
4、点击【是】确认删除。
5、此时权限列表为空白状态,点击【添加】启动新权限条目创建流程。
6、在“输入要选择的对象名称”处填写目标用户或组名,点击【检查名称】确认。
7、为其分配所需权限级别,并在“应用于”下拉菜单中指定作用范围:仅此文件夹、此文件夹、子文件夹和文件或仅子文件夹和文件。
四、使用icacls命令行工具批量设置权限
该方法适用于需要处理大量文件夹、执行自动化配置或图形界面失效的场景,支持递归应用且精度高。
1、按Win + R组合键打开“运行”对话框,输入cmd,以管理员身份运行命令提示符。
2、执行以下命令为指定用户授予仅读取权限:icacls “C:\目标文件夹” /grant 用户名:(RX) /t。
3、执行以下命令拒绝某用户所有访问:icacls “C:\目标文件夹” /deny 用户名:F /t。
4、执行以下命令重置权限并仅保留指定用户条目:icacls “C:\目标文件夹” /reset /t。
5、执行以下命令移除所有继承权限并强制独立应用:icacls “C:\目标文件夹” /inheritance:r /t。
五、通过PowerShell设置精细化ACE规则
该方法支持定义精确的访问控制项(ACE),包括允许/拒绝组合、继承标志及审计策略,适用于多用户差异化管控场景。
1、以管理员身份启动PowerShell。
2、执行以下命令获取目标文件夹当前ACL:$acl = Get-Acl “C:\目标文件夹”。
3、创建仅读取允许规则:$rule = New-Object System.Security.AccessControl.FileSystemAccessRule(“用户名”,”ReadAndExecute, Synchronize”,”Allow”)。
4、添加规则到ACL:$acl.SetAccessRule($rule)。
5、应用更新后的ACL:Set-Acl “C:\目标文件夹” $acl。
评论(0)