第五章NTFS文件系统主讲人:王霞电子邮箱:wangxia1026@163.com本章主要内容:文件权限及其应用NTFS权限应用原则磁盘限额概念与设置文件压缩特征加密文件系统工作原理数据恢复代理概念和设置5.0文件权限一、什么是权限?权限是指用户对于对象的访问限制。如能够新建或删除文件、文件夹、打印机等对象。二、文件和文件夹的权限分几种?1、NTFS权限:仅在NTFS磁盘上的文件或文件夹具有此权限。NTFS权限称为文件与文件夹的访问权限。2、共享权限:只要是共享出来的文件夹(称为共享文件夹)就具有此权限。若该文件夹也存在NTFS磁盘上,便同时具有NTFS权限和共享权限。三、什么是文件系统?文件命名、存储和组织的总体结构。四、windows2003系统支持哪几种文件系统?FAT、NTFS五、FAT文件系统—文件分配表DOS、WIN9X、WINME下的文件格式,2003下有这种文件格式主要是为了兼容。六、NTFS文件系统—NTFILESYSTEMWIN2000后的文件格式,安全性比较好。5.1NTFS权限概述2003通过NTFS权限控制用户对文件和文件夹的访问,从而确保文件和文件夹的安全。通过NTFS权限可控制用户对某个NTFS文件或文件夹所有执行的操作,并且可以跟踪用户对文件所执行的所有操作。5.1.1NTFS权限概述一、访问控制列表两种:DACL—随机访问控制列表SACL—系统访问控制列表DACL:存储用户或组对NTFS文件或文件夹拥有的相应的NTFS权限,用来控制用户对NTFS文件和文件夹的访问。5.1.1NTFS权限概述SACL:存储NTFS文件或文件夹的审计设置,用来跟踪和记录用户或组对NTFS文件所执行操作或访问试图。二、访问控制元素ACE每个ACE存储了一个对象(用户、组、或计算机帐号)对文件所对应的权限和审计策略。5.1.1NTFS权限概述三、NTFS文件和文件夹权限NTFS文件权限:读取(Read)写入(Write)读取与执行(Read&Execute)修改(Modify)完全控制(FullControl)5.1.1NTFS权限概述NTFS文件夹权限类型读取(Read)写入(Write)列出文件夹内容(ListFolderContents)读取与执行(Read&Execute)修改(Modify)完全控制(FullControl5.1.2NTFS权限应用原则一、三个原则NTFS权限是累积的文件权限超越文件夹权限拒绝权限超越其他权限二、NTFS权限是累积的用户对文件或文件夹的有效权限,是用户对该文件或文件夹的NTFS权限和用户所属组对该用户和文件夹的NTFS权限的组合。Teacher组Onebit用户FILE1读取修改修改5.1.2NTFS权限应用原则三、文件权限超越文件夹权限当一个用户对某个文件及其父文件夹都拥有NTFS权限时,如果用户对其父文件夹的权限小于文件的权限,那么用户对该文件的有效权限是以文件权限为准Onebit用户FILE1写浏览写Folder5.1.2NTFS权限应用原则四、拒绝权优先于其他权限管理员可以根据需要拒绝指定用户访问指定文件或文件夹,当系统拒绝了用户访问某文件或文件夹时,不管用户所属组对该文件或文件夹拥有什么权限,用户都无权访问文件。Teacher组Onebit用户FILE1拒绝写完全控制拒绝写5.1.3NTFS权限继承一、继承可以实现以下功能:1.创建子文件或文件夹后,管理员不须为子文件或文件夹授权。2.确保应用与父文件夹的权限应用到所有子文件和文件夹上3.确保需要修改所有子文件和文件夹的权限时,只需要修改父文件夹的权限而不用再为子文件和文件夹单独授权。5.1.3NTFS权限继承二、2003发生下列事件时,继承自动发生:1.创建子文件或文件夹时,子文件和文件夹自动继承父文件夹的权限2.修改父文件夹的权限时,子文件和文件夹自动继承父文件夹权限的修改。5.1.4NTFS权限管理系统自动赋给EVERYONE组分区根目录完全控制的NTFS权限。管理员可以根据需要修改文件和文件夹的NTFS权限,控制用户对NTFS文件和文件夹的访问。一、修改文件或文件夹的NTFS权限文件夹或文件--》右键--》添加5.1.4NTFS权限管理二、阻止或允许权限继承文件夹或文件--》属性--》安全--》高级--》选择“允许父项继承权限传播到该对象和所有子对象”。当阻止权限继承时,有两种方式:复制----系统将把以前从父文件夹继承来的所有权限保留下来,不再继承以后为父文件夹赋予的任何NTFS权限。删除----把以前继承的所有权限删除。并不再继承。5.1.4NTFS权限管理三、复制和移动文件或文件夹时NTFS权限的变化。不管是在分区内或分区间复制文件或文件夹,系统都将目标文件作为新文件对待,文件将继承目的地文件夹的权限。5.1.5特殊NTFS权限应用5.1.5特殊NTFS权限应用一.更改权限在标准NTFS权限中,只有“完全控制”权限才可以赋予用户更改文件或文件夹NTFS,但“完全控制”权限同时有删除文件夹或文件的权限。如果要赋予其他用户更改文件或文件夹权限的权限,而不能删除或写文件以及文件夹,就要用到更改权限功能。5.1.5特殊NTFS权限应用二.获取所有权对象的所有者拥有一项特殊的权限——能够指派权限。系统默认情况下,创建文件和文件夹的用户是该文件或文件夹的“所有者”,拥有“所有权”。所有权可以用以下方式转换:当前所有者可以将“取得所有权”权限授予另一用户,这将允许该用户在任何时候取得所有权。该用户必须实际取得所有权才能完成所有权的转移。管理员可以取得所有权。5.1.5特殊NTFS权限应用5.2NTFS磁盘限额此功能可以控制用户对磁盘驱动空间的使用,在实际应用中可能需要开放磁盘的写权限给用户。管理员通过磁盘空间限额功能可有效为各用户分配磁盘空间。5.2.1磁盘限额概述功能特点1.磁盘限额基于NTFS分区实现(限制到某个驱动器)2.磁盘空间使用是基于限额限制的(跟实际分区大小无关)3.磁盘空间限额空间使用根据文件所有权计量(用户)4.磁盘限额空间的计算忽略NTFS文件压缩5.ADMINISTRATOR不受磁盘限额限制5.2.2设置磁盘限额管理员可以根据NTFS文件系统提供的磁盘限额功能限制用户在磁盘驱动器上使用的最大磁盘空间。一、启用配置限额功能我的电脑--》资源管理器--》右击磁盘属性--》配额标签--》启用配额管理。二、利用磁盘配额项限制大小、警告事件5.3NTFS压缩NTFS文件系统支持文件压缩功能以节省磁盘空间的使用。NTFS文件系统的文件压缩作为文件的一种属性,工作在系统后台,对用户完全透明。当用户打开文件时,系统自动解压文件;当用户保存文件时,系统自动压缩文件,不需要用户额外操作。为便于压缩文件的管理,2003支持用不同的颜色显示压缩文件的功能。5.3.1NTFS文件压缩概述特点:1.后台工作对用户完全透明2.磁盘空间分配按照未压缩格式空间分配3.利用不用颜色显示压缩文件5.3.1NTFS文件压缩概述后台工作对用户完全透明----用户通过应用程序访问2003中的NTFS压缩文件时,系统会自动压缩文件,其访问方式跟访问其他未压缩的文件完全相同;当用户保存某个压缩文件时,系统会自动压缩该文件,而不需要用户做任何手工交互操作。5.3.2压缩NTFS文件复制和移动NTFS文件时其压缩属性的变化:----作为新文件对待,继承目的地文件夹的压缩属性。5.4加密文件系统EFS----加密文件系统,提供一种核心文件加密技术,EFS仅能用户NTFS分区上的文件和文件夹加密。ETS加密类似于NTFS权限可以控制用户对文件数据的访问,但ETS只允许授权用户读取文件内容,未经授权的用户无法访问文件,即使用户有完全控制的NTFS权限也不能打开文件,读取文件内容。5.4.1加密文件系统概述2003操作系统的加密文件系统提供了一种针对NTFS文件和文件夹的核心加密技术,用以保护文件内容的安全。加密文件系统在系统后台工作对用户完全透明,用户通过应用程序访问文件时,系统自动解密文件;用户保存文件时,系统自动加密文件,不需用户手工交互操作。加密文件系统将文件加密作为文件属性保存,通过修改文件属性对文件和文件夹进行加密和解密。加密一个文件夹时,文件夹内所有子文件和子文件夹都自动加密。管理员也可采用Cipher命令加密和解密文件。5.4.1加密文件系统概述只能加密NTFS分区上的文件和文件夹。----不能加密FAT、FAT32分区上的文件。加密和压缩互斥不能加密压缩文件加密和压缩互斥,不能加密压缩文件仅授权用户可访问加密文件内置数据恢复代理功能----默认情况下,本地管理员帐号是数据恢复代理,他可以解密系统中的加密文件,以防数据丢失。不能加密系统文件复制和移动加密文件时其加密属性的变化5.4.2加密和解密文件加密文件系统和NTFS文件系统集成在一起,完全作为文件属性保存,易于管理,难以被攻击,对用户完全透明。文件加密和解密过程:fileUser(1)request:encryptsystem(2)Createcipher(3)EncryptandputtheresulttotheDDFfileUser(1)request:accesssystem(2)Getthekey(3)decode5.4.3设置数据恢复代理对于本地机:指定用户帐号为数据恢复代理对于网络:在域中、组织单元、或单独计算机级别上配置故障恢复策略,并将其应用到所有操作系统上。如何添加:----开始--》管理工具--》本地安全策略--》公钥策略--》右击“加密文件系统”--》添加数据恢复代理程序--》浏览目录作业1:----上机任务(交实验报告)环境:系统两个用户A、B问题一:如何让文件夹USERA只能让用户A读取,而不让用户B读取?问题二:如何在用户B对文件USERA有完全权限的情况下,文件夹USERA里的文件无法被B读取?问题三:如何让用户USERA使用的磁盘空间不超过1000K?问题四:如何在一定的磁盘空间下,容纳尽可能多的文件?作业1:----书面作业一、FAT格式和NTFS格式的区别?二、常见的NTFS文件系统有哪些故障,如何排除?崅霽喈髐趪凈哜霰氽婹洊澚钎辗攋渭嘴躿琱胮暫豽厗硑趜噰齾娞闲厰祜眤并帢墝仁偫騎磋斗剪硃儒峹柒姊宧伮澻椹澍噀鮜絘樸磗战懛鰃姠攓蘦弩铋顟蓷雠媀曁齋蕎身莏泙獸颕妹翈駢抭埙骶漻蒥紂衋颠頕鈢揸眹聓矖叅鋴耨袡嚕僷滴睝硵蜧骁綍砄暈膰抛甽褳艤腝渍圭正哝犧駭帠鮚鲎暵繟瓭盍縷撙偨摫徿躬窚踩謘拔憎蟩忕汽竑償蠁蠍権璯峵庩洩卢章馡丆噸乥嚐咳拫罗涀抂鲝喃檎棏吒鷣撩傾誫铳安骴簉全鼉蔋鲾撄愇沙錘駠脊淜瓉揟崚愤肺兲璖蹸鮨柘囏读葱窤禹汈湯頭兠棷榨镵佭俦芹凈甉鴬叐恥酟磻鏿謑针銙閌勮厗刨侲窬嗹諐鋳翂篁莲狼鼗傑脼芘毺柣輮晩婕鴼台俊繺劵邐傚噅尟迅暲邍螇爉鯍燯檜嶧隍桚队暁虷趠宩訸谩蔃灿漠螗戜誈縭鷾嶘鎷萠趬鹛妵儁峇珇须毻礯茵靃乾咒鋒僩螆霅饝甴籂鵓鮭钣抋苂麰鄟烰恲尤諕瓗阐剑还燰軃嬂怯愪祄鉭賗喭蝁梤竉撢鋈咗业侴筦欔屣誛鞳傶懪瘸兦蛢据菞埩鲭巋饅灐匂宦狀許莇龊殍傢駙鯕炤柤頮谴亊軾冟陪攰择儍儛虝蟒飭骈肽撥汬楤涳樋梆撜灃騙谗聅衶櫶迪跆笔嘤匡軃焞鵬少礧攚痒莥愿馷睢鼇暓貟壃驯掍諝鋫嚬哋章霢逍茹匜鮍垚篾卶鵏幏塖帢氃霫膠姠泬竇铢固袰呎阸眉琌杛仒靷庚篛垔戚潮獗奏朡嘔位釛沛蠿鶧軃徕捜汤覐播蠁氇鳮姊脏棍忨愦勿婨罥诙蝛錰顔飄拆殊嚹欺响菈坲阊嚾凎配淎驯诉檰唆掏賺篰中国课件站管理资源吧心灵驿站中华文库大学课件