WIN2000中添加了一个与WIN98及以前的WINDOWS版本不同的一个特性，那就是NTFS权限，由于有了这个特性，那么在WIN2000中就可以实现文件夹及文件级别的安全控制，这不同于WIN98中的帐号和密码，在WIN98中，只要知道了帐号和密码，那么就可以对计算机完全控制，而无法实现对某个帐户只允许读取某个文件夹或者某个文件的功能。而在WIN2000中，完全可以完美的实现这一点。OK,Let's go！

首先，先说一下要实现该功能的前提条件，那就是你的分区必须是NTFS分区，如果是FAT或者FAT32分区的话，那么是无法实现该功能的，其实如果你的电脑上只有一个WIN2000操作系统的话，或者说只要你的机子上没有装WIN98及WIN98以前的系统的话，那么用NTFS分区是一个非常好的选择，这将大大提高你的系统的稳定性和安全性。如果你的分区是FAT32分区，那么可以通过这条命令来把他转成NTFS分区：

convert x: /fs:ntfs

其中的x可以用实际的盘符替换。不过要注意的一点是，WIN98是无法识别NTFS格式的分区的，也就是说如果在WIN98的分区使用NTFS格式，那么WIN98将无法使用。而且该命令是不可逆的，也就是说该命令只能将FAT32转换成NTFS格式，而无法将NTFS格式转换成FAT32格式，如果要转换回来的话，那么要用PQ等软件才能实现。

好了，现在言归正传，使用了NTFS分区以后，你必须为需要访问一个资源的每一个用户帐号授予NTFS权限，用户必须获得明确的授权才能访问经过设置的资源。如果没有权限，那么它将被拒绝访问该资源。打个比方：假设有一个文件，我对他进行NTFS权限设置，我设置成只有我自己和A用户才能访问，那么除了我和A以外，其他任何帐户登陆都将无法使用该文件，WIN2000会给出“没有适当的权限读取”等字样的提示。这就实现了该文件的安全性，而且该安全性无论是在计算机上还是在网络上都有效，也就是说即使通过网络连接到该计算机，也只有我和A用户可以使用该文件，其他人也是无法使用的，虽然该文件被共享，但是其他人只能看到有这个文件，但是却不能读取，呵呵，有点看得见，吃不着的意思吧？

在WIN2000中有个叫做Access Control List（ACL，访问控制列表）的东西，里面包含了可以访问该资源的用户的帐户，组和计算机。当一个用户访问该资源时，那么必须在ACL中有它的帐号，那么WIN2000才允许该用户访问该资源，否则拒绝

这里要说明的一点是，和我们想象的不一样，WIN2000不是根据用户名是否相同来识别用户的，每一个帐号在创建的时候都有一个Security ID（SID,安全标识符），WIN2000是根据这个SID是否相同来识别用户的，如果SID不一样，就算用户名等其它设置一模一样，WIN2000也会认为是不一样的两个帐号，这就像我们领奖的时候，只认你的身份证是否符合，而不管你的名字是否相同是一个道理的，而该SID是WIN2000在创建该帐号的时候随机给的，所以说当删除了一个帐号后，再次重新建立一个一模一样的帐号，其SID和原来的那个是不一样，那么他的NTFS权限就必须重新设置。

现在说一下NTFS权限的实际应用。用鼠标右键点击你想要设置权限的文件或者文件夹，选属性－＞安全，这时你可以看到允许使用该文件的帐号或者组，默认是都有Everyone组的，该组表示所有的用户，下面部分就是可以为该组或者帐号设置的权限。如果Everyone的权限设置为完全控制，那么意味着所有的用户都可以随意操作该文件，包括读取，修改，删除等等。这也是WIN2000默认的权限。你还可以添加帐号，为帐号设置权限，这个只要你自己操作一下就知道怎么操作了，现在我只是举个例子来说明一下：

假设有一个文件叫做FILE，我要设置为只有USER1，USER2和USER3这三个用户可以使用该文件，但是USER1用户可以随意操作该文件，USER2用户只能读取该文件，而不能进行如修改等等的其他操作，USER3可以读取，可以写入，但是不能删除该文件，我说明一下具体的操作方法。