文件权限如何设置和生效?
通过本文,你可以了解 fnOS 文件权限的设置方式和生效逻辑。遇到无权限、无法删除、电脑端操作失败等问题时,也可以参考本文进行排查。
1. 文件权限机制升级说明
自 v1.2.0 版本起,fnOS 存储空间下的文件权限将使用 Windows ACL 权限机制。
相比旧版基于 POSIX ACL 的权限机制,新机制支持更精细的权限设置:
- 支持 13 种权限的自由组合,实现更细粒度的读取、写入、删除、修改权限等操作控制;
- 支持「允许」和「拒绝」两种权限类型;
- 支持父级文件夹权限继承到子文件夹和文件;
- 通过 SMB 在电脑上访问文件时,权限表现更符合 Windows 文件权限习惯。
如果你从低版本升级到 v1.2.0 及以上版本,原有的存储空间需要完成一次权限转换,系统将基于原有权限自动生成新的权限配置。
转换前,你可以导出当前文件的权限设置,用于后续核对或留存。
如暂不完成转换,可能会出现以下问题:
- 团队文件夹、他人共享中的权限设置失效,相关文件可能无法正常访问;
- 应用可能无法正常访问已授权的文件夹;
- 未转换期间新增或修改的权限设置,后续转换时可能丢失。
你可以通过以下入口进行权限转换:
- 升级后出现的文件权限升级提示;
- 系统通知中的文件权限升级提醒;
- 系统设置 > 存储空间管理 中显示「权限未适配」的存储空间。
.png)
2. 文件权限相关入口
你可以通过以下入口查看或调整文件权限。不同入口面向的使用场景不同:
- 文件右键 > 详细信息 > 权限:适用于查看或编辑文件本身的权限。选中文件或文件夹、右键,进入 详细信息 > 权限。你可以在这里查看当前文件或文件夹的权限列表,也可以添加、编辑或删除权限规则。
- 文件右键 > 共享给设备内的用户:适用于将 我的文件 中的个人文件或文件夹共享给指定用户。共享时可选择访问权限;共享后可在 共享设置 中修改。具体请参考 《如何将我的文件共享给其他用户?》。
- 文件管理 > 团队文件:适用于多人共同维护的团队文件夹。管理员或有权限的用户可为团队文件夹的成员或用户组设置权限,其他用户可从 文件管理 > 团队文件 中访问。具体请参考 《如何共享团队文件?》。
- 系统设置 > 应用:适用于设置指定应用可访问的文件夹范围和权限,仅管理员有权限操作。
3. 权限类型与设置项
在 团队文件 中设置成员权限,或将个人文件共享给他人时,fnOS 提供了常见权限组合,方便你快速完成设置。如果需要更灵活的权限控制,也可以选择「自定义」。
| 权限类型 | 说明 |
|---|---|
| 只读 | 可以查看和打开文件,不能修改内容。 |
| 读写 | 可以查看、上传、新建、移动、修改和删除文件,包含删除自身和删除子文件、子文件夹。 |
| 禁止访问 | 明确拒绝访问该文件或文件夹。 |
| 自定义 | 进入自定义权限设置,可精确控制读取、写入、管理权限。 |
请注意:「禁止访问」属于拒绝权限,优先级较高,可能会覆盖用户通过用户组或父级文件夹获得的允许权限。需谨慎设置。
.png)
自定义权限
当常见权限组合无法满足需求时,例如希望用户可以上传文件但不能删除文件,可以选择「自定义」。你也可以在 文件管理 > 详细信息 > 权限 中,选择添加或编辑权限,进入自定义权限设置。
.png)
自定义权限通常需要设置以下内容:
- 对象:这条权限规则授予或限制谁,可包括用户、用户组、应用、所有人(Everyone)、Owner(文件或文件夹所有者)。
- 权限类型:选择「允许」表示授予对应操作权限;选择「拒绝」表示禁止对应操作。
- 权限项:控制对象可以执行哪些具体操作。
- 应用于:设置权限的应用范围,例如只应用于当前文件夹,或继续应用到子文件夹和文件。
自定义权限项可分为 3 类,共 13 项:
- 读取
- 遍历文件夹/执行文件
- 列出文件夹/读取数据
- 读取属性
- 读取扩展属性
- 读取权限
- 写入
- 创建文件/写入数据
- 创建文件夹/附加数据
- 写入属性
- 写入扩展属性
- 删除自身
- 删除子文件夹及文件
- 管理
- 更改权限
- 取得所有权
例如,当你希望用户可以上传文件,但不能删除文件时,可以通过自定义权限保留读取、创建、写入等权限,并去掉删除相关权限。
4. 文件权限生效规则
文件权限根据来源,可以分为两类:
- 显式权限:直接设置在当前文件或文件夹上的权限。
- 继承权限:从父级文件夹继承而来的权限,也称为隐式权限。
.png)
你可以重点关注以下几类情况下的生效结果:
显式权限与继承权限同时存在时
- 当前文件或文件夹直接设置的显式权限,通常优先于从父级继承来的隐式权限。
- 多层父级都设置了可继承权限时,通常以最近一层父级的权限为准。
- 如果子文件或文件夹设置了「禁用继承父级权限」,将不再受父级权限的影响。
可以在 详细信息 > 权限 > 高级 中,对继承权限做以下处理:
- 禁用继承父级权限:让当前文件或文件夹不再继续继承父级权限。禁用时,可以选择将已有继承权限转为显式权限以继续生效,或移除所有继承权限。
- 重置子级权限:将当前权限重新应用到下级文件夹和文件,常用于希望子级重新跟随当前文件夹权限时。
以上操作会影响当前文件夹或下级文件的权限结果,建议仅在需要统一权限或单独管理子文件夹时使用。
.png)
允许权限与拒绝权限同时存在时
- 拒绝权限优先级较高,可能会限制用户通过其他规则获得的允许权限。
用户权限与用户组权限同时存在时
- 如果同一个用户同时命中了用户权限和用户组权限,系统会综合计算这些权限。
通过 SMB 访问文件时
- 通过 SMB 在电脑上访问 NAS 存储空间中的文件时,权限仍由 fnOS 文件权限控制。
- Windows 和 macOS 可能会在一次操作中请求多项权限。自定义权限过窄时,从电脑操作文件时可能出现无法打开、新建或保存等情况。
以下情况不受普通权限规则的限制
- 管理员:对所有文件拥有最高权限。
- 用户目录所有者:对自己用户目录(即“我的文件”)下的文件拥有最高权限。
- Docker 目录和部分应用目录:保持基于 POSIX ACL,不应用 Windows ACL,以保障应用正常运行。
5. 常见设置场景与问题
如何让用户只能查看,不能修改?
将该用户或用户组的权限设置为「只读」。
如果希望子文件夹和子文件也只能查看,请确认权限应用范围包含子文件夹和子文件。
如何让用户可以上传和编辑,但不能删除?
可以使用「自定义」权限。
设置时保留读取、创建、写入等相关权限,不授予删除相关权限。该方式适用于资料收集、协作上传等场景。
如何让用户可访问父文件夹、但禁止访问子文件夹?
先在父文件夹上为该用户或用户组设置允许访问的权限,例如「只读」或「读写」。
然后在需要限制访问的子文件夹上,为该用户或用户组设置「禁止访问」。子文件夹上的拒绝权限会优先于从父文件夹继承来的允许权限生效。
如果该子文件夹需要独立管理,也可以「禁用继承父级权限」后单独设置权限。
如何让子文件夹不再跟随父级权限变化?
可以在子文件夹权限设置中使用「禁用继承父级权限」。
禁用继承后,父级权限变化可能不再影响该子文件夹。如需恢复,可重新继承父级权限,或重置子级权限。
为什么我能看到文件,但打不开?
可能原因包括:
- 你可以访问上级文件夹,但没有读取当前文件的权限;
- 当前文件或子文件夹被单独设置了禁止访问;
- 子文件夹禁用了继承,没有继承上级文件夹的访问权限;
- 通过 SMB 访问时,电脑端请求了更多读取相关权限。
你可以联系管理员或文件所有者,检查你对该文件的实际权限。
为什么我有读写权限,但不能删除?
删除文件需要对应的删除权限。
如果该文件或文件夹使用了自定义权限,可能允许你新建、编辑文件,但不允许删除文件。
为什么我无法查看或修改权限?
查看权限需要具备读取权限信息的权限。修改权限需要具备更改权限的权限。
如果你没有相应权限,权限列表可能提示「权限不足」,或只能查看不能编辑。
管理员和用户目录所有者通常拥有更高权限。部分位置也可能因为系统限制,只支持查看或不支持设置权限。
为什么通过 SMB 在电脑上操作文件时,明明有权限却无法完成操作?
通过 SMB 将 fnOS 文件夹挂载到电脑后,Windows 或 macOS 在浏览、预览、新建、编辑和保存文件时,可能会同时请求多项文件权限;如果自定义权限过窄,可能出现无法打开、无法新建、无法保存等情况。
另外,从电脑上使用某些软件编辑保存文件时,软件可能会创建临时文件、替换原文件,或在保存后清理临时文件。如果缺少删除权限,可能会出现异常表现。例如:
- 在 Windows 上使用 WPS 编辑文件时,如果没有删除权限,文件可以保存成功,但会在同目录下留下本应在保存后删除的临时文件。
- 在 Windows 上使用 Photoshop 编辑文件时,如果没有删除权限,可能无法保存。
处理建议:
- 如果电脑端提示访问被拒绝,可回到 fnOS 的 文件 > 详细信息 > 权限 中检查该用户或用户组的实际权限;
- 如果没有特殊需求,建议优先使用「只读」「读写」等常用权限类型。必须使用自定义权限时,请确认读取、写入、属性读写等相关权限是否完整;
- 部分专业软件对网络位置中的文件支持有限。例如,Adobe 官方建议使用 Photoshop 等软件时,优先打开电脑本地文件进行编辑。建议使用 飞牛同步 将 NAS 上的文件同步到电脑本地后再编辑。保存后,修改内容会再同步回 NAS。