我在安裝網(wǎng)站程序的過程中，遇到了一些文件和文件夾權(quán)限設(shè)置的問題，

1. MySQL，MSSQL，程序文件夾 的權(quán)限最小化，降權(quán)處理。
2. 一般情況下，將數(shù)據(jù)庫服務(wù)安裝到非系統(tǒng)盤，刪除其他權(quán)限，只保留System和Administrators權(quán)限，
3. 為MySQL設(shè)置獨立賬戶，MSSQL安裝過程中選擇低權(quán)限的內(nèi)置賬戶（例如network services）達到降權(quán)的目的，
4. 程序文件夾同樣設(shè)置獨立賬戶匿名登陸。

權(quán)限管理的四個特性和四個原則：

    四個特性： 繼承性、累加性、優(yōu)先性、交叉性

    繼承性是說下級的目錄在沒有經(jīng)過重新設(shè)置之前，是擁有上一級目錄權(quán)限設(shè)置的。

    這里還有一種情況要說明一下，在分區(qū)內(nèi)復(fù)制目錄或文件的時候，復(fù)制過去的目錄和文件將擁有它現(xiàn)在所處位置的上一級目錄權(quán)限設(shè)置。

   但在分區(qū)內(nèi)移動目錄或文件的時候，移動過去的目錄和文件將擁有它原先的權(quán)限設(shè)置。

    累加性是說如一個組GROUP1中有兩個用戶USER1、USER2，他們同時對某文件或目錄的訪問權(quán)限分別為“讀取”和“寫入”，

那么組GROUP1對該文件或目錄的訪問權(quán)限就為USER1和USER2的訪問權(quán)限之和，實際上是取其最大的那個，即“讀取”+“寫入”=“寫入”。

又如一個用戶USER1同屬于組GROUP1和GROUP2，而GROUP1對某一文件或目錄的訪問權(quán)限為“只讀”型的，而GROUP2對這一文件或文件夾的訪問權(quán)限為“完全控制”型的，

則用戶USER1對該文件或文件夾的訪問權(quán)限為兩個組權(quán)限累加所得，即：“只讀”+“完全控制”=“完全控制”。

    優(yōu)先性，權(quán)限的這一特性又包含兩種子特性，其一是文件的訪問權(quán)限優(yōu)先目錄的權(quán)限，也就是說文件權(quán)限可以越過目錄的權(quán)限，不顧上一級文件夾的設(shè)置。另一特性就是“拒絕”權(quán)限優(yōu)先其它權(quán)限，也就是說“拒絕”權(quán)限可以越過其它所有其它權(quán)限，一旦選擇了“拒絕”權(quán)限，則其它權(quán)限也就不能取任何作用，相當(dāng)于沒有設(shè)置。

    交叉性是指當(dāng)同一文件夾在為某一用戶設(shè)置了共享權(quán)限的同時又為用戶設(shè)置了該文件夾的訪問權(quán)限，且所設(shè)權(quán)限不一致時，它的取舍原則是取兩個權(quán)限的交集，也即最嚴格、最小的那種權(quán)限。如目錄A為用戶USER1設(shè)置的共享權(quán)限為“只讀”，同時目錄A為用戶USER1設(shè)置的訪問權(quán)限為“完全控制”，那用戶USER1的最終訪問權(quán)限為“只讀”。

四個原則：拒絕優(yōu)于允許原則、權(quán)限最小化原則、累加原則和權(quán)限繼承性原則

   拒絕優(yōu)于允許原則
" 拒絕優(yōu)于允許"原則是一條非常重要且基礎(chǔ)性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權(quán)限"糾紛"，例如，"shyzhong"這個用戶既屬于"shyzhongs"用戶組，也屬于"xhxs"用戶組，當(dāng)我們對"xhxs"組中某個資源進行"寫入"權(quán)限的集中分配（即針對用戶組進行） 時，這個時候該組中 "shyzhong"賬戶將自動擁有"寫入"的權(quán)限。
但令人奇怪的是，"shyzhong"賬戶明明擁有對這個資源的"寫入 "權(quán)限，為什么實際操作中卻無法執(zhí)行呢？原來，在"shyzhongs"組中同樣也對"shyzhong"用戶進行了針對這個資源的權(quán)限設(shè)置，但設(shè)置的權(quán)限是"拒絕寫入"。基于"拒絕優(yōu)于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權(quán)限將優(yōu)先"xhxs"組中被賦予的允許"寫入"權(quán)限被執(zhí)行。因此，在實際操作中，"shyzhong"用戶無法對這個資源進行"寫入"操作。
  權(quán)限最小化原則
Windows XP將"保持用戶最小的權(quán)限"作為一個基本原則進行執(zhí)行，這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權(quán)限賦予限制。
基于這條原則，在實際的權(quán)限賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的權(quán)限。例如系統(tǒng)中新建的受限用戶"shyzhong"在默認狀態(tài)下對 "DOC"目錄是沒有任何權(quán)限的，現(xiàn)在需要為這個用戶賦予對"DOC"目錄有"讀取"的權(quán)限，那么就必須在"DOC"目錄的權(quán)限列表中為 "shyzhong"用戶添加"讀取"權(quán)限。
權(quán)限繼承性原則
權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個"DOC"目錄，在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置 "shyzhong"用戶有"寫入"權(quán)限。因為有繼承性原則，所以只需對"DOC"目錄設(shè)置"shyzhong"用戶有"寫入"權(quán)限，其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。
  累加原則
這個原則比較好理解，假設(shè)現(xiàn)在"zhong"用戶既屬于"A"用戶組，也屬于"B"用戶組，它在A用戶組的權(quán)限是"讀取"，在"B"用戶組中的權(quán)限是"寫入"，那么根據(jù)累加原則，"zhong"用戶的實際權(quán)限將會是"讀取+寫入"兩種。
顯然，"拒絕優(yōu)于允許"原則是用于解決權(quán)限設(shè)置上的沖突問題的；"權(quán)限最小化"原則是用于保障資源安全的；"權(quán)限繼承性"原則是用于"自動化"執(zhí)行權(quán)限設(shè)置的；而"累加原則"則是讓權(quán)限的設(shè)置更加靈活多變。幾個原則各有所用，缺少哪一項都會給權(quán)限的設(shè)置帶來很多麻煩！

 權(quán)限繼承性原則
權(quán)限繼承性原則可以讓資源的權(quán)限設(shè)置變得更加簡單。假設(shè)現(xiàn)在有個"DOC"目錄，在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現(xiàn)在需要對DOC目錄及其下的子目錄均設(shè)置 "shyzhong"用戶有"寫入"權(quán)限。因為有繼承性原則，所以只需對"DOC"目錄設(shè)置"shyzhong"用戶有"寫入"權(quán)限，其下的所有子目錄將自動繼承這個權(quán)限的設(shè)置。