我在安裝網站程序的過程中，遇到了一些文件和文件夾權限設置的問題，

1. MySQL，MSSQL，程序文件夾 的權限最小化，降權處理。
2. 一般情況下，將數據庫服務安裝到非系統盤，刪除其他權限，只保留System和Administrators權限，
3. 為MySQL設置獨立賬戶，MSSQL安裝過程中選擇低權限的內置賬戶（例如network services）達到降權的目的，
4. 程序文件夾同樣設置獨立賬戶匿名登陸。

權限管理的四個特性和四個原則：

    四個特性： 繼承性、累加性、優先性、交叉性

    繼承性是說下級的目錄在沒有經過重新設置之前，是擁有上一級目錄權限設置的。

    這里還有一種情況要說明一下，在分區內復制目錄或文件的時候，復制過去的目錄和文件將擁有它現在所處位置的上一級目錄權限設置。

   但在分區內移動目錄或文件的時候，移動過去的目錄和文件將擁有它原先的權限設置。

    累加性是說如一個組GROUP1中有兩個用戶USER1、USER2，他們同時對某文件或目錄的訪問權限分別為“讀取”和“寫入”，

那么組GROUP1對該文件或目錄的訪問權限就為USER1和USER2的訪問權限之和，實際上是取其最大的那個，即“讀取”+“寫入”=“寫入”。

又如一個用戶USER1同屬于組GROUP1和GROUP2，而GROUP1對某一文件或目錄的訪問權限為“只讀”型的，而GROUP2對這一文件或文件夾的訪問權限為“完全控制”型的，

則用戶USER1對該文件或文件夾的訪問權限為兩個組權限累加所得，即：“只讀”+“完全控制”=“完全控制”。

    優先性，權限的這一特性又包含兩種子特性，其一是文件的訪問權限優先目錄的權限，也就是說文件權限可以越過目錄的權限，不顧上一級文件夾的設置。另一特性就是“拒絕”權限優先其它權限，也就是說“拒絕”權限可以越過其它所有其它權限，一旦選擇了“拒絕”權限，則其它權限也就不能取任何作用，相當于沒有設置。

    交叉性是指當同一文件夾在為某一用戶設置了共享權限的同時又為用戶設置了該文件夾的訪問權限，且所設權限不一致時，它的取舍原則是取兩個權限的交集，也即最嚴格、最小的那種權限。如目錄A為用戶USER1設置的共享權限為“只讀”，同時目錄A為用戶USER1設置的訪問權限為“完全控制”，那用戶USER1的最終訪問權限為“只讀”。

四個原則：拒絕優于允許原則、權限最小化原則、累加原則和權限繼承性原則

   拒絕優于允許原則
" 拒絕優于允許"原則是一條非常重要且基礎性的原則，它可以非常完美地處理好因用戶在用戶組的歸屬方面引起的權限"糾紛"，例如，"shyzhong"這個用戶既屬于"shyzhongs"用戶組，也屬于"xhxs"用戶組，當我們對"xhxs"組中某個資源進行"寫入"權限的集中分配（即針對用戶組進行） 時，這個時候該組中 "shyzhong"賬戶將自動擁有"寫入"的權限。
但令人奇怪的是，"shyzhong"賬戶明明擁有對這個資源的"寫入 "權限，為什么實際操作中卻無法執行呢？原來，在"shyzhongs"組中同樣也對"shyzhong"用戶進行了針對這個資源的權限設置，但設置的權限是"拒絕寫入"。基于"拒絕優于允許"的原則，"shyzhong"在"shyzhongs"組中被 "拒絕寫入"的權限將優先"xhxs"組中被賦予的允許"寫入"權限被執行。因此，在實際操作中，"shyzhong"用戶無法對這個資源進行"寫入"操作。
  權限最小化原則
Windows XP將"保持用戶最小的權限"作為一個基本原則進行執行，這一點是非常有必要的。這條原則可以確保資源得到最大的安全保障。這條原則可以盡量讓用戶不能訪問或不必要訪問的資源得到有效的權限賦予限制。
基于這條原則，在實際的權限賦予操作中，我們就必須為資源明確賦予允許或拒絕操作的權限。例如系統中新建的受限用戶"shyzhong"在默認狀態下對 "DOC"目錄是沒有任何權限的，現在需要為這個用戶賦予對"DOC"目錄有"讀取"的權限，那么就必須在"DOC"目錄的權限列表中為 "shyzhong"用戶添加"讀取"權限。
權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單。假設現在有個"DOC"目錄，在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現在需要對DOC目錄及其下的子目錄均設置 "shyzhong"用戶有"寫入"權限。因為有繼承性原則，所以只需對"DOC"目錄設置"shyzhong"用戶有"寫入"權限，其下的所有子目錄將自動繼承這個權限的設置。
  累加原則
這個原則比較好理解，假設現在"zhong"用戶既屬于"A"用戶組，也屬于"B"用戶組，它在A用戶組的權限是"讀取"，在"B"用戶組中的權限是"寫入"，那么根據累加原則，"zhong"用戶的實際權限將會是"讀取+寫入"兩種。
顯然，"拒絕優于允許"原則是用于解決權限設置上的沖突問題的；"權限最小化"原則是用于保障資源安全的；"權限繼承性"原則是用于"自動化"執行權限設置的；而"累加原則"則是讓權限的設置更加靈活多變。幾個原則各有所用，缺少哪一項都會給權限的設置帶來很多麻煩！

 權限繼承性原則
權限繼承性原則可以讓資源的權限設置變得更加簡單。假設現在有個"DOC"目錄，在這個目錄中有"DOC01"、"DOC02"、"DOC03"等子目錄，現在需要對DOC目錄及其下的子目錄均設置 "shyzhong"用戶有"寫入"權限。因為有繼承性原則，所以只需對"DOC"目錄設置"shyzhong"用戶有"寫入"權限，其下的所有子目錄將自動繼承這個權限的設置。