资源描述
Windows Server 2003Windows Server 2003系统管理系统管理第三章NTFS权限n工作组的概念工作组的概念n本地用户账户的创建本地用户账户的创建n配置本地用户账户属性配置本地用户账户属性n用户配置文件的应用用户配置文件的应用n本地组的应用本地组的应用n常用的网络命令常用的网络命令n系统启动过程,启动文件系统启动过程,启动文件内容回顾内容回顾n了解了解NTFS的概述(功能)的概述(功能)n熟悉熟悉NTFS权限和其特点权限和其特点n掌握掌握NTFS分区下分区下ACL(访问控制列表)的(访问控制列表)的配置方法配置方法n熟悉熟悉NTFS下的压缩和加密和磁盘配额下的压缩和加密和磁盘配额本章目标本章目标文件系统介绍文件系统介绍n管理文件系统是操作系统中管理文件的一个重要组成部分n一些常见的文件系统ufat&fat32fat&fat32uNtfsNtfsn从FAT转向NTFS的命令 convert c:/fs:ntfsFAT16FAT32NTFSDOSWINDOWS 95WINDOWS 97/98/MEWINDOWS NTWINDOWS 2000WINDOWS XPWINDOWS SERVER 2003注释:注释:代表不支持代表不支持代表支持代表支持 代表有时需要安装微软提供的补丁才能代表有时需要安装微软提供的补丁才能够更好的支持。够更好的支持。文件系统对操作系统的支持文件系统对操作系统的支持 NTFS概述概述 n可以设置权限可以设置权限;n更好的伸缩性使扩展为大驱动成为可能更好的伸缩性使扩展为大驱动成为可能;n压缩功能压缩功能;n文件加密,它极大地增强了安全性文件加密,它极大地增强了安全性;n域控制器和域控制器和 Active Directory 需要使用需要使用 NTFS;n磁盘配额,可用来监视和控制单个用户使用的磁盘配额,可用来监视和控制单个用户使用的磁盘空间量磁盘空间量;n格式化磁盘,在格式化时选格式化磁盘,在格式化时选择择NTFS文件系统。文件系统。n将将FAT文件系统转换为文件系统转换为NTFS文件系统,文件系统,convert e:/fs:ntfsn使用第三方软件转换,如分使用第三方软件转换,如分区大师软件等。区大师软件等。获得获得NTFS文件系统文件系统n文件或文件夹的属性中文件或文件夹的属性中都增加了一个安全选项都增加了一个安全选项卡卡,在选项卡中有一个在选项卡中有一个访问控制列表和访问控访问控制列表和访问控制项制项.n只有被授予权限的用户只有被授予权限的用户或组才能访问或组才能访问安全选项卡安全选项卡什么是什么是NTFS权限权限n读取读取:可查看文件夹内文件名、子文件夹可查看文件夹内文件名、子文件夹名,文件夹的属性名,文件夹的属性、所有者、所有者、权限;权限;n写入写入:可创文件夹或文件、改变文件夹的可创文件夹或文件、改变文件夹的属性,查看文件夹所有者和权限等;属性,查看文件夹所有者和权限等;n列出文件夹目录列出文件夹目录:除拥有除拥有“读取读取”的权限的权限外,还可以浏览所有的子文件夹;外,还可以浏览所有的子文件夹;n读取和运行读取和运行:可以读取内容,并且可以执可以读取内容,并且可以执行应用程序,相当于行应用程序,相当于“读取读取”“列出文列出文件夹目录件夹目录”权限的总和;权限的总和;n修改修改:拥有前面所有的权限,还可删除文拥有前面所有的权限,还可删除文件夹和文件;件夹和文件;n完全控制完全控制:除了拥有所有的除了拥有所有的NTFS权限外,权限外,还拥有还拥有“更改权限更改权限”与与“取得所有权取得所有权”的的权限;权限;n特别的权限特别的权限:其他不常用的权限,如其他不常用的权限,如“更更改权限改权限”与与“取得所有权取得所有权”的权限。的权限。文件夹权文件夹权限列表限列表文件夹的文件夹的NTFS权限权限nAdministrators:内置管理:内置管理员组,对所有子文件夹和文员组,对所有子文件夹和文件都具有完全控制权限。件都具有完全控制权限。nCREATOR OWNER:文件:文件夹的创建者,对所有子文件夹的创建者,对所有子文件夹和文件都具有完全控制权夹和文件都具有完全控制权限。限。nSYSTEM:此账户是代表操:此账户是代表操作系统本身,默认权限是完作系统本身,默认权限是完全控制。全控制。用户列表用户列表文件夹的文件夹的NTFS权限权限n读取读取:可读取文件内的数据,查看文件可读取文件内的数据,查看文件的属性、所有者和文件权限的属性、所有者和文件权限;n写入写入:可更改或覆盖文件的内容,该文可更改或覆盖文件的内容,该文件属性,查看文件的所有者和权限等;件属性,查看文件的所有者和权限等;n读取和运行读取和运行:可以读取内容,并且可以可以读取内容,并且可以执行应用程序;执行应用程序;n修改修改:拥有前面所有的权限,还可以删拥有前面所有的权限,还可以删除文件;除文件;n完全控制完全控制:除了拥有所有的除了拥有所有的NTFS权限权限外,还拥有外,还拥有“更改权限更改权限”与与“取得所有取得所有权权”的权限;的权限;n特别的权限特别的权限:其他不常用的权限,如其他不常用的权限,如“更改权限更改权限”与与“取得所有权取得所有权”的权限。的权限。用户列表用户列表文件的文件的NTFS权限权限nAdministrators:内置管理:内置管理员组,对所有子文件夹和文员组,对所有子文件夹和文件都具有完全控制权限。件都具有完全控制权限。nSYSTEM:此账户是代表操:此账户是代表操作系统本身,默认权限是完作系统本身,默认权限是完全控制。全控制。nUsers:此组代表:此组代表Server2003计算机上所有的计算机上所有的用户,默认权限是读取和运用户,默认权限是读取和运行行/特殊权限。特殊权限。用户列表用户列表文件的文件的NTFS权限权限n和文件或文件夹数和文件或文件夹数据本身没有关系的据本身没有关系的权限。权限。u更改权限更改权限u取得所有权取得所有权特殊权限特殊权限特殊权限特殊权限n对于其他用户建立的文对于其他用户建立的文件夹,如果拒绝管理员件夹,如果拒绝管理员管理,可以取得其所有管理,可以取得其所有权,然后再进行管理。权,然后再进行管理。n位置在安全选项卡中的位置在安全选项卡中的高级里的所有者选项卡高级里的所有者选项卡中。中。n没有修改权限的文件夹没有修改权限的文件夹n取得所有权后的文件夹取得所有权后的文件夹取得文件或文件夹的所有权取得文件或文件夹的所有权 NTFS权限的特点权限的特点n累加性累加性n继承性继承性n拒绝权限优先拒绝权限优先n文件权限优先于文件夹权限文件权限优先于文件夹权限n用户对某些资源的有效权限是其所有权限来源的用户对某些资源的有效权限是其所有权限来源的累加:累加:u例如用户例如用户xiaoqiang属于属于A组(读权限)、组(读权限)、B(写权限)(写权限)两个组,那么此时的两个组,那么此时的xiaoqiang具有读写权限,即权限具有读写权限,即权限会进行累加。会进行累加。n默认情况下,制定给父级文件夹的权限会被这个默认情况下,制定给父级文件夹的权限会被这个文件夹中所容纳的子文件夹和文件继承和传播:文件夹中所容纳的子文件夹和文件继承和传播:u例如用户例如用户wangcai对对AAA文件夹具有文件夹具有“读取和运行读取和运行”的权限,那么他对的权限,那么他对AAA文件夹下的子文件夹或文件也文件夹下的子文件夹或文件也有有“读取和运行读取和运行”的权限。的权限。权限的累加与继承权限的累加与继承n新建的的子文件夹和文新建的的子文件夹和文件会继承上一级目录的件会继承上一级目录的权限权限n根目录下的文件夹或文根目录下的文件夹或文件继承驱动器的权限件继承驱动器的权限nWindows 2003也允许也允许阻止父文件夹的权限被阻止父文件夹的权限被子文件夹继承,阻止继子文件夹继承,阻止继承后,该文件夹变成新承后,该文件夹变成新的父文件夹,制定给他的父文件夹,制定给他的权限将被他的下级文的权限将被他的下级文件夹和文件所继承。件夹和文件所继承。灰色为继灰色为继承权限承权限继承于继承于权限的继承权限的继承n可以拒绝继承上级权限可以拒绝继承上级权限n可以强制向下继承权限可以强制向下继承权限从上继承从上继承向下继承向下继承权限的继承权限的继承拒绝权限优先拒绝权限优先n用户对某些资源的有效权限是所有权限来源用户对某些资源的有效权限是所有权限来源的总和,但只要其中有一个权限被设置为拒的总和,但只要其中有一个权限被设置为拒绝访问,则用户将无法访问该资源:绝访问,则用户将无法访问该资源:u如用户周星星属于如用户周星星属于A(读写权限)、(读写权限)、B(拒绝权(拒绝权限)两个组,那么周星星此时将被拒绝。限)两个组,那么周星星此时将被拒绝。u如果所属的组有一个被拒绝,此用户也会被拒如果所属的组有一个被拒绝,此用户也会被拒绝绝n拒绝用户拒绝用户u用户将不能访问用户将不能访问n拒绝组拒绝组u组里的所有成员都不能访问组里的所有成员都不能访问权限的拒绝权限的拒绝 文件权限优先于文件夹权限文件权限优先于文件夹权限n如果针对于某个文件夹设置了如果针对于某个文件夹设置了NTFS权限,权限,同时也对该文件夹下的文件设置了权限,则同时也对该文件夹下的文件设置了权限,则文件的权限优先:文件的权限优先:例如,若例如,若A用户对用户对test文件夹有文件夹有“读取读取”的权限,同时的权限,同时A对文件有对文件有“修改修改”的权限,的权限,此时,用户此时,用户A同样可以修改和删除的内容。同样可以修改和删除的内容。特殊权限的指派特殊权限的指派n复制文件和文件夹时,继承目的文件夹的权限复制文件和文件夹时,继承目的文件夹的权限设置设置n在同一分区移动文件或文件夹时,权限不变在同一分区移动文件或文件夹时,权限不变n在不同分区移动文件或文件夹时,继承目的文在不同分区移动文件或文件夹时,继承目的文件夹的权限设置件夹的权限设置NTFS 分区分区C:NTFS 分区分区E:NTFS 分区分区D:移动移动复制复制复制复制或或移动移动移动和复制操作对权限的影响移动和复制操作对权限的影响nNTFS文件系统中的文文件系统中的文件和文件夹都具有压缩件和文件夹都具有压缩属性属性n压缩文件可以节约磁盘压缩文件可以节约磁盘空间空间n压缩和加密只能选择一压缩和加密只能选择一项项n用颜色来区分压缩的文用颜色来区分压缩的文件(夹),蓝色件(夹),蓝色n降低性能降低性能 压缩属性压缩属性文件及文件夹的压缩文件及文件夹的压缩注意:当用户或应用程序要读取压缩文件时,系统会将文件从磁盘内读注意:当用户或应用程序要读取压缩文件时,系统会将文件从磁盘内读出,自动解压缩后供用户或应用程序使用,然而存储在磁盘内的文件仍出,自动解压缩后供用户或应用程序使用,然而存储在磁盘内的文件仍然处于压缩状态;当用户或应用程序要将文件写入磁盘时,系统会自动然处于压缩状态;当用户或应用程序要将文件写入磁盘时,系统会自动压缩后再写入磁盘内。这些都时系统自动,不需要用户介入。压缩后再写入磁盘内。这些都时系统自动,不需要用户介入。n将压缩的文件或文件夹移动至另一文件夹,将压缩的文件或文件夹移动至另一文件夹,同分区移动后文件仍保持压缩状态同分区移动后文件仍保持压缩状态,否则遵否则遵从目标文件夹的压缩状态。从目标文件夹的压缩状态。n拷贝文件到另一文件夹时,文件将遵从目标拷贝文件到另一文件夹时,文件将遵从目标文件夹的压缩属性。文件夹的压缩属性。n如果将压缩文件复制到如果将压缩文件复制到FAT文件系统上时,文件系统上时,都会自动解压。都会自动解压。复制、移动操作对压缩的影响复制、移动操作对压缩的影响、EFS EFS 介绍介绍(encrypting file system,文件加密系统,文件加密系统)u基于公共密钥的文件级或文件夹级的保护功能基于公共密钥的文件级或文件夹级的保护功能u为为NTFSNTFS分区提供加密分区提供加密u由指定的由指定的EFSEFS恢复代理启用文件恢复功能恢复代理启用文件恢复功能、特性、特性u在后台运行,仅允许授权用户访问,自动解密,保存时在加密在后台运行,仅允许授权用户访问,自动解密,保存时在加密u管理员可作为恢复代理,访问数据管理员可作为恢复代理,访问数据u提供内置的数据恢复支持功能提供内置的数据恢复支持功能u至少有一个恢复代理,可以指定多个代理,代理需要至少有一个恢复代理,可以指定多个代理,代理需要EFSEFS恢复代理证恢复代理证书书、加密和解密文件夹或文件、加密和解密文件夹或文件u用公钥加密后的文件只有授权的用户才能访问,恢复代理用公钥加密后的文件只有授权的用户才能访问,恢复代理(Recovery AgentRecovery Agent)可以解密。)可以解密。u其他用户即便改变了所属关系也不能解密其他用户即便改变了所属关系也不能解密文件及文件夹的加密文件及文件夹的加密n只有只有 NTFS 卷上的文卷上的文件或文件夹才能被加密件或文件夹才能被加密n如果将加密的文件复制如果将加密的文件复制或移动到非或移动到非 NTFS 格格式的文件系统上,该文式的文件系统上,该文件将会被解密。件将会被解密。n加密文件夹或文件不能加密文件夹或文件不能防止删除或列出文件和防止删除或列出文件和目录。目录。n颜色区分颜色区分:绿色绿色加密属性加密属性文件及文件夹的加密文件及文件夹的加密注意注意:压缩和加密时不能同时进行的压缩和加密时不能同时进行的n利用磁盘配额可以限制用户使用磁盘空间利用磁盘配额可以限制用户使用磁盘空间n必须在必须在NTFS文件系统上实现文件系统上实现nAdministrators组成员不受限制组成员不受限制 磁盘配额磁盘配额n启用磁盘配额,设启用磁盘配额,设置配额限制置配额限制500MB和和450MBn配额项配额项n为单个用户设置配为单个用户设置配额额 磁盘配额磁盘配额(cont.)(cont.)nNTFS文件系统的优点:权限控制、压缩、文件系统的优点:权限控制、压缩、加密。加密。nNTFS权限的工作原理,通过访问控制列表权限的工作原理,通过访问控制列表和访问控制项工作。和访问控制项工作。nNTFS权限中的常用权限,完全控制、修改、权限中的常用权限,完全控制、修改、读取和运行、列出文件夹目录、读取、写入、读取和运行、列出文件夹目录、读取、写入、特别权限。特别权限。n文件夹比文件多一个文件夹比文件多一个“列出文件夹目录列出文件夹目录”权权限。限。本章总结本章总结n文件的文件的NTFS权限优先级高于文件夹的权限。权限优先级高于文件夹的权限。nNTFS的权限具有继承性,即使没有做任何的权限具有继承性,即使没有做任何设置,子文件夹和文件也会继承父级别的权设置,子文件夹和文件也会继承父级别的权限。限。nNTFS权限具有累加性,当用户属于多个组权限具有累加性,当用户属于多个组时,它的有效权限是所有组权限的总和,但时,它的有效权限是所有组权限的总和,但拒绝权限会高于其他所有权限。拒绝权限会高于其他所有权限。本章总结本章总结n移动和复制对移动和复制对NTFS权限的影响,只有本地权限的影响,只有本地磁盘移动时才保留磁盘移动时才保留NTFS权限。权限。nNTFS中的文件可以进行加密,以保护数据中的文件可以进行加密,以保护数据的安全。的安全。nNTFS中的文件可以使用压缩功能,可以节中的文件可以使用压缩功能,可以节约一部分磁盘空间。约一部分磁盘空间。n利用磁盘配额可以限制用户使用磁盘空间利用磁盘配额可以限制用户使用磁盘空间,必须在必须在NTFS文件系统上现文件系统上现,Administrators组成员不受限制。组成员不受限制。本章总结本章总结n查看和修改查看和修改NTFS权限权限n设置权限的继承设置权限的继承n文件的压缩和解压缩文件的压缩和解压缩n了解移动和复制对权限和压缩状态的影响了解移动和复制对权限和压缩状态的影响实验实验客户机客户机1客户机客户机2实验拓扑实验拓扑n能够查看文件或文件夹的能够查看文件或文件夹的NTFS权限权限n学员正确更改了文件或文件夹的学员正确更改了文件或文件夹的NTFS权限权限n成功取消子文件夹的继承权限成功取消子文件夹的继承权限n从父文件夹能够强制向下继承权限从父文件夹能够强制向下继承权限n可以将文件夹压缩和解压缩可以将文件夹压缩和解压缩n知道移动和复制对权限的影响知道移动和复制对权限的影响实验完成标准实验完成标准
展开阅读全文