如何查看和修改共享文件夹的NTFS权限？

一、前提条件与核心概念

1. 文件系统要求：目标文件夹必须位于NTFS 格式分区（FAT32/exFAT 不支持权限控制）
2. 权限类型：

   权限级别	核心能力
   完全控制	所有操作（修改、删除、更改权限、获取所有权）
   修改	读取 + 写入 + 删除 + 修改文件内容
   读取和执行	读取文件 + 运行程序
   列出文件夹内容	查看文件夹内文件 / 子文件夹
   读取	查看文件内容 / 属性
   写入	新建文件 / 文件夹 + 修改属性

3. 关键规则：
   • 权限具有累加性（用户从多个组获得的权限叠加）
   • 拒绝权限优先级最高（即使被允许也会被拒绝）
   • 子对象默认继承父对象权限（可手动禁用）
   • 域环境优先使用域用户 / 域组授权（避免本地账户混乱）

二、图形界面：查看 NTFS 权限（最常用）

1. 打开文件资源管理器，找到目标共享文件夹
2. 右键 → 属性 → 切换到安全选项卡（核心入口）
3. 在 “组或用户名” 列表中，可查看当前授权的账户 / 组
4. 选中某账户，下方 “权限” 区域显示其允许 / 拒绝的具体权限
5. 点击高级，可查看更详细信息（如权限是否继承、应用范围）

三、图形界面：修改 NTFS 权限（详细步骤）

3.1 基础修改（添加 / 编辑 / 删除权限）

1. 进入 “安全” 选项卡 → 点击编辑（需管理员权限）
2. 添加新用户 / 组（域环境必备）：
   • 点击添加 → 输入账户名（域环境格式：域名\用户名 如company\张三）
   • 点击检查名称（验证账户有效性，避免输入错误）
   • 确定后，新账户出现在列表中
3. 设置权限：
   • 选中目标账户 → 在 “权限” 区域勾选所需权限（如 “修改”+“读取和执行”）
   • 谨慎使用拒绝（仅用于明确禁止的场景）
4. 删除权限：选中账户 → 点击删除
5. 点击应用 → 确定保存设置

3.2 高级设置（继承 / 所有者 / 应用范围）

1. 在 “安全” 选项卡 → 点击高级，打开 “高级安全设置” 窗口
2. 权限继承管理（解决子文件夹权限问题）：
   • 点击禁用继承 → 选择以下两种方式之一：

     ① “将已继承的权限转换为对此对象的显式权限”（保留现有权限，后续不再继承）

     ② “删除所有已继承的权限”（清空权限，重新配置）

   • 若需批量应用到子对象：勾选 “替换所有子对象的权限项”
3. 更改所有者（解决权限被拒问题）：
   • 点击更改（所有者区域） → 输入管理员账户 → 检查名称
   • 勾选 “替换子容器和对象的所有者”（递归应用）
   • 确定后重新获取权限
4. 自定义权限项：
   • 点击添加 → 选择主体 → 点击显示高级权限
   • 可精细控制 “创建文件 / 文件夹”“删除子文件夹 / 文件” 等特殊权限

四、命令行：高效管理 NTFS 权限（批量 / 自动化场景）

4.1 查看权限

# 查看单个文件夹权限
icacls "D:\SharedFolder"

# 递归查看文件夹及所有子内容权限
icacls "D:\SharedFolder" /T

4.2 修改权限（常用命令）

4.3 解决权限被拒（强制获取所有权 + 授权）

# 强制获取文件夹所有权（递归）
takeown /F "D:\SharedFolder" /R /D Y

# 授予管理员完全控制权限（递归）
icacls "D:\SharedFolder" /grant Administrators:F /T

五、域环境特殊注意事项

1. 授权优先选择域全局组 / 通用组（避免直接授权单个用户，便于管理）
2. 添加域账户时，必须通过检查名称验证（确保识别为域对象）
3. 若文件夹位于文件服务器，建议：
   • 禁用继承 → 保留 SYSTEM + 域管理员权限 → 添加业务组权限
   • 共享权限设置为 “Everyone 读取”，通过 NTFS 权限实现精细控制

六、常见问题与排查

1. 看不到 “安全” 选项卡：
   • 原因：分区非 NTFS；或启用了 “简单文件共享”
   • 解决：转换为 NTFS（convert D: /fs:ntfs）；关闭简单文件共享（文件夹选项→查看→取消勾选）
2. 修改权限提示 “拒绝访问”：
   • 原因：当前用户非所有者 / 无权限
   • 解决：先更改所有者为管理员，再修改权限
3. 子文件夹权限不生效：
   • 原因：未禁用继承；或未勾选 “替换子对象权限项”
   • 解决：在高级设置中调整继承规则，重新应用权限