硬件实战硬件实战硬件实战用户和组和NTFS主要内容:用户的建立、删除、NTFS与F32区别设置文件的权限、加密、用户磁盘配合使用命令:netuser;convert证书的导入和导出。硬件实战硬件实战硬件实战用户的建立硬件实战硬件实战硬件实战netuser命令可以查看并管理与帐户有关的事务,包括新建帐户、删除帐户、查看特定帐户、激活帐户及禁用帐户等。(1)查看帐户信息。键入不带参数的netuser命令,可以查看所有帐户(包括已经禁用的帐户)。如果需要查看某个帐户的详细,可以在netuser命令后面接帐户名。(2)新建帐户使用netuser命令的“/add”参数可以为计算机新建一个帐户,同时可以为该帐户设置用户密码,新建帐户默认为user组的成员。使用netuser命令新建帐户的命令格式为:netuser用户名密码/add(3)删除帐户Netuser用户名/del(4)激活/禁用帐户Netuser用户名/active:yes/no硬件实战硬件实战硬件实战介绍用户账户使用者完成管理任务或使用网络资源位于SAM(本地用户)位于活动目录(域用户)域用户帐户使用者通过登陆域有权使用网络资源位于活动目录本地用户帐户使用者通过登陆和访问本计算机资源位于SAM使用者AdministratorandGuest硬件实战硬件实战硬件实战管理员,普通用户,组管理员:administrator普通用户:user管理员具有最高权限,普通用户只拥有操作权限。普通用户无安装权限,删除程序权限,无注册表,组策略,设备管理器,网络等操作权限。注:合理分配管理员权限可以很方便的管理控制单机。组:具有某种共同操作特征的一组用户。硬件实战硬件实战硬件实战建立组硬件实战硬件实战硬件实战•它是一个系统[内置组],在管理窗口是看不见的!•Everyone组称之为任意组,系统里任何用户都是此组的成员。Everyone组硬件实战硬件实战硬件实战netlocalgroup命令:添加、显示或更改本地组,常用来提升用户的管理权限。硬件实战硬件实战硬件实战硬件实战硬件实战硬件实战硬件实战硬件实战硬件实战注意:把组删除,组里的成员并没有删除,只把组的许可和权限删除了。硬件实战硬件实战硬件实战试验任务:建立两个用户A,B(默认加入Users组)任务:让A具有具有关闭系统的权限;拒绝B在本机登陆。步骤1:新建关闭系统组和拒绝本机登陆组。把A加入关闭系统组。把B加入拒绝本机登陆组。硬件实战硬件实战硬件实战步骤2:运行:gpedit.msc进入组策略。•选择关闭系统,将关闭系统组加入其中。•选择拒绝本地登陆,将拒绝本机登陆组加入其中。硬件实战硬件实战硬件实战•注意:千万不要把Everyone组和Administrators组加入到[拒绝本地登陆],后果很严重!!!!•然后注销,验证试验。硬件实战硬件实战硬件实战文件安全管理:1、文件系统简介NTFS文件系统相对于FAT和FAT32文件系统来说,可以更好的保护文件资源。提高文件资源的安全性。硬件实战硬件实战硬件实战具体表现在:(1)可以对单个文件设置权限,而不仅仅是对文件夹设置权限。这使的在管理文件时,可以针对不同用户设置不同的访问权限,从而可以更好的保护文件资源。(2)提供了文件加密功能,用户可以将自己的秘密文件加密,使其他用户不能访问自己的秘密文件。(3)提供了文件压缩功能,从而极大的节省了磁盘空间。(4)提供了磁盘配额功能,可以监视和控制单个用户使用的磁盘空间量。通过磁盘配额功能,使管理员可以对不同用户使用磁盘的量进行控制,来提高磁盘利用率。硬件实战硬件实战硬件实战2、磁盘文件转化:要把fat分区转换成NTFS格式有两种途径:(1)选择NTFS文件格式重新格式化分区;(2)使用convert.exe命令转化;注意:要把ntfs格式转化成fat格式则只能通过磁盘格式化操作进行,不能通过convert.exe命令进行。最大优点:可保持磁盘或分区中现有的文件和文件夹完好无损。硬件实战硬件实战硬件实战•文件或文件夹的属性中都增加了一个安全选项卡,在选项卡中有一个访问控制列表和访问控制项.•只有被授予权限的用户或组才能访问安全选项卡3、什么是NTFS权限硬件实战硬件实战硬件实战•完全控制:对文件或者文件夹可执行所有操作。它还拥有“更改权限”与“取得所有权”的权限•修改:可以修改、删除文件或者文件夹。•读取和运行:可以读取内容,并且可以执行应用程序。文件夹的NTFS权限硬件实战硬件实战硬件实战列出文件夹目录:可以列出文件夹的内容。此权限只针对文件夹存在。读取:可以读取文件或者文件夹的内容。写入:可以创建文件夹或者文件。特别的权限:其他不常用的权限,如删除权限、更改权限的权限等等。硬件实战硬件实战硬件实战常见组的权限•Administrators:内置管理员组,对所有子文件夹和文件都具有完全控制权限。•SYSTEM:此账户是代表操作系统本身,默认权限是完全控制。•Users:此组代表Server2003计算机上所有的用户,默认权限是读取和运行/特殊权限。用户列表硬件实战硬件实战硬件实战权限的组合NTFS权限具有累加性用户的有效权限是用户所属各个组权限的总和如USER属于A(读权限)、B(写权限)两个组,那么USER具有读写权限。拒绝权限会覆盖其他所有权限如果所属的组有一个被拒绝,此用户也会被拒绝如USER属于A(读写权限)、B(拒绝权限)两个组,那么USER将被拒绝。文件权限会覆盖文件夹的权限NTFS权限的继承当用户设置文件夹的权限后,位于该文件夹下添加的子文件夹与文件,默认会自动继承文件夹的权限。新建的子文件夹和文件会继承上一级目录的权限,根目录下的文件夹或文件继承驱动器的权限。用户可以设置让子文件夹或文件不要继承父文件夹的权限。硬件实战硬件实战硬件实战灰色为继承权限NTFS权限的设置1、指派文件夹的权限只有administrators组的成员、文件/文件夹的所有者、具备完全控制权限的用户,才有权指派这个文件文件夹的ntfs权限。可以更改从父项对象所继承的权限,不能直接将灰色的对勾删除。硬件实战硬件实战硬件实战从上继承向下继承2、不继承父文件夹的权限,撤选下面复选框硬件实战硬件实战硬件实战继承于可以拒绝继承上级权限可以强制向下继承权限硬件实战硬件实战硬件实战用户可以用特殊权限更精确的指派权限,满如各种不同权限的需求。硬件实战硬件实战硬件实战遍历文件夹/运行文件:“遍历文件夹”可以让用户即使在无权访问某个文件夹的情况下,仍然可以切换到该文件夹内。运行文件:让用户可以运行程序,该权限设置只适用于文件不适用于文件夹。列出文件夹/读取数据:列出文件夹让用户可以查看该文件夹内的文件名称、子文件夹名称(该权限只适用与文件夹)读取属性:可以查看文件夹或文件的属性,例如只读、隐藏等属性。创建文件/写入数据:创建文件让用户可以在文件夹内创建文件,写入数据让用户能够修改文件内的数据或者覆盖文件内容。创建文件夹/附加数据:创建文件夹让用户可以在文件夹中创建子文件夹,附加数据:让用户可以在文件的后面添加数据,但是无法修改、删除、覆盖原有的数据。写入属性:让用户可以修改文件夹或文件的属性,例如只读、隐藏等属性。特殊权限的意义:硬件实战硬件实战硬件实战删除子文件夹及文件:该权限让用户可以删除该文件夹内的子文件夹与文件。即使用户对这个子文件夹或文件没有删除权限,也可以将其删除。删除:该权限让用户可以删除此文件夹或文件。(即使用户对该文件夹或文件没有删除的权限,但是只要他对父文件夹具有删除子文件夹及文件的权限,就可以删除此文件夹或文件。)读取权限:该权限让用户可以查看文件夹或文件的权限设置。更改权限:该权限让用户可以更改文件夹或文件的权限设置。取得所有权:该权限让用户可以夺取文件夹或文件的所有权。无论文件夹或文件的所有者对该文件夹或文件拥有说明权限,他永远具有更改该文件夹或文件权限的能力。硬件实战硬件实战硬件实战文件与文件夹的所有权:在NTFS磁盘内,每个文件与文件夹都有其“所有者”。系统默认是创建文件或文件夹的用户,就是该文件或文件夹的所有者。系统允许用户夺取文件或文件夹的所有权,以便更改其所有者。用户必须具备以下条件之一,才可以取得所有权。(1)对该文件或文件夹拥有“取得所有权”的特殊权限(2)系统管理员(administrators的用户)。无论他对文件或文件夹拥有何种权限,他永远具有“取得所有权”的权限。(3)具备“取得文件或其他对象的所有权”权利的用户。硬件实战硬件实战硬件实战取得文件或文件夹的所有权•对于其他用户建立的文件夹,如果拒绝管理员管理,可以取得其所有权,然后再进行管理。•位置在安全选项卡中的高级里的所有者选项卡中。•没有修改权限的文件夹•取得所有权后的文件夹硬件实战硬件实战硬件实战文件复制或移动后权限的变化(1)文件从某个文件夹复制到另一个文件夹时,无论文件被复制到同一个磁盘或不同的ntfs磁盘内,等于产生了另一个新的文件,因此新文件的权限时继承目的地的权限。(2)文件从某文件夹移动到另一个文件夹时,分两种情况:A、如果移动到同一磁盘的另一个文件夹内,则仍然保持原来的权限。B、如果移动到另一个NTFS磁盘内,则该文件将继承目的地的权限NTFS分区C:\NTFS分区E:\NTFS分区D:\移动复制复制或移动硬件实战硬件实战硬件实战将文件移动或复制到目的地的用户,会成为该文件的所有者。如果将文件从ntfs磁盘移动或复制到FAT磁盘内,则其原有的权限设置都将被删除。要对文件或文件夹移动时,必须对来源文件或文件夹具有“修改”的权限,同时还必须对目的文件夹具有“写入”的权限。硬件实战硬件实战硬件实战4、设置文件压缩:文件、文件夹的压缩可以减少它们占用磁盘的空间。系统默认会将被压缩的磁盘、文件夹、文件以不同的颜色进行显示。可通过“文件夹选项”中查看来修改。如果将文件从不同的NTFS驱动器移动到已压缩的文件夹中,文件也将被压缩。如果将文件从同一个NTFS驱动器移动到已压缩的文件夹中,则文件将保留原始状态。硬件实战硬件实战硬件实战5、设置磁盘配额:用户可以利用磁盘配额的功能控制和跟踪每个用户可用的磁盘空间。磁盘配额时以文件与文件夹的所有权进行计算的。磁盘配额的计算不考虑文件压缩的因素。每个NTFS磁盘分区的磁盘配额是独立计算的,不论几个NTFS磁盘分区是否在同一个硬盘内。系统管理员不会受到磁盘配额的限制。通过磁盘配额的限制,可以避免用户不小心将大量的文件复制到服务器的硬盘内,造成服务器运行效率降低的后果。硬件实战硬件实战硬件实战(1)设置右击要启用磁盘配额的磁盘,选择属性中的配额。注意如果驱动器不是用NTFS文件系统格式化的,或者你不是Administrators组的成员,则驱动器的属性对话框中不显示配额选项卡。硬件实战硬件实战硬件实战“拒绝将磁盘空间给超过配额限制的用户”:选种此复选框后,超过起配额限制的用户将收到来自windows的“磁盘空间不足”信息。并且在没有从中删除和移动一些现存文件的情况下,无法将额外的数据写入卷中。可选择该卷的配额记录选项,用来设置将下列事件记录到系统日志内:用户超出配额限制时记录事件。用户超过警告等级时记录事件。可通过,开始-管理工具-事件查看器-系统-双击来源为“ntfs”的事件。硬件实战硬件实战硬件实战(2)磁盘配额管理:1、查看用户的磁盘配额信息。2、调整配额设置:在配额项上右击选择属性。3、创建配额报告:在配额项中选择数据拖到相应的页面中,如word、excl等。4、将配额设置导出到其他盘符上。选种数据选择导出。5、删除磁盘配额。硬件实战硬件实战硬件实战6、设置数据加密:右击要加密的文件或文件夹,选择属性,选择高级选种“加密内容以便保护数据”注意:不能加密已压缩的文件或文件夹,无法加密系统文件,在加密重要文件后,一定要将加密用的密钥导出,已防止密钥匙损坏时无法打开加密文件。当用户将一个未加密的文件移动或复制到加密文件夹时,该文件会自动加密。将一个加密的文件移动到或复制到非加密文件夹时,该文件