前章内容回顾•活动目录的特点是什么•要安装域控制器(DC)需要什么条件•本地用户帐户与域用户帐户有什么区别•用户属性中的登录时间和登录的计算机有什么作用•安全组和通讯组各有什么作用•OU的设计方式有哪几种利用NTFS管理数据7本章目标•利用NTFS权限实现用户和组访问文件夹和文件的安全性–理解NTFS权限概念–掌握NTFS权限的组合–理解移动和复制对权限的影响–掌握AGDLP规则NTFS概述2-1FAT16FAT32NTFSDOS√××WINDOWS95√××WINDOWS97/98/ME√√×WINDOWSNT√×√×WINDOWS2000√√√WINDOWSXP√√√WINDOWSSERVER2003√√√×代表不支持√代表支持√×代表有时需要安装微软提供的补丁才能够更好的支持3种文件系统的兼容性NTFS概述2-2•NTFS特点–可以设置权限–支持更大的磁盘容量–压缩功能–文件加密–AD需要使用NTFS–磁盘配额,可用来监视和控制单个用户使用的磁盘空间量如何获得NTFS•格式化磁盘,在格式化时选择NTFS文件系统•将FAT文件系统转换为NTFS文件系统–converte:/fs:ntfs•使用第三方软件转换,如PQmagic等NTFS权限含义•NTFS文件系统可以针对不同用户和组设置各种访问权限•只有被授予权限的用户或组才能访问•文件或文件夹的属性中有【安全】选项卡•访问控制列表(ACL)•访问控制项(ACE)安全选项卡文件夹的NTFS权限•完全控制:可执行所有操作•修改:可以修改、删除•读取和运行:可以读取内容,并且可以执行应用程序•列出文件夹目录:可以列出文件夹的内容•读取:可以读取内容•写入:可以创建文件夹或者文件•特别的权限:与文件和文件夹的数据无关,与【安全】选项卡读取、更改相关文件夹权限列表文件的NTFS权限•完全控制•修改•读取和运行•读取•写入•特别的权限特别的权限•和文件或文件夹数据本身没有关系•和【安全】选项卡相关–读取权限–更改权限–取得所有权特别的权限取得文件或文件夹的所有权•管理员可以取得其所有权•如何取得所有权–【安全】|【高级】|【所有者】•管理员没有所有权–不能修改权限•管理员取得所有权–可以修改权限阶段总结NTFS文件系统的特点如何获得NTFS文件夹的NTFS权限有哪几种取得所有权有什么作用阶段练习背景网管员无权访问某些文件夹如何获得访问权限目标设置NTFS权限取得所有权NTFS权限的应用规则•权限的组合•权限的继承•权限的拒绝•移动和复制操作对权限的影响•AGDLP规则权限的组合•用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的累加权限–例如user属于组group1和group2权限的拒绝•拒绝权限可以覆盖所有其他权限•可以设置拒绝用户帐户也可以拒绝组–例如user属于组group1和group2权限的继承2-1•新建的的子文件夹和文件会继承上一级目录的权限•根目录下的文件夹或文件继承磁盘分区的权限灰色为继承权限继承于权限的继承2-2•可以拒绝继承上级权限•可以强制下级继承权限从上继承向下继承复制和移动操作对权限的影响NTFS分区移动复制相同保留原来的权限继承目的地文件夹的权限不同继承目的地文件夹的权限继承目的地文件夹的权限复制的影响移动的影响添加域用户帐户到全局组添加全局组到本地域组给本地域组赋权限用户帐户全局组本地域组权限AGDLPDLGAGDLP规则2-1AGDLP规则2-2阶段总结用户的有效权限是用户所属各个组的累加权限如果所属的组有一个被拒绝,此用户也会被拒绝权限的继承如何拒绝继承上级权限如何强制下级继承权限移动和复制操作对权限的影响AGDLP规则含义是什么阶段练习背景BENET公司的行政部和人事部的员工需要对某文件夹有读取和写入权限其他部门的员工有读取权限目标AGDLP规则设置NTFS权限5-8在NTFS分区上压缩数据压缩的文件(夹)的初步介绍•压缩文件(夹)复制/移动时–NTFS按非压缩大小为其分配空间–则可能出现空间不足提示•文件夹的压缩状态,不一定对应,子文件(夹)的状态•压缩状态的显示颜色–工具—文件选项—查看—使用交替颜色•自动压缩/解压缩,对用户是透明的对磁盘限额无效•对复制到软盘(FAT)无效压缩文件和文件夹•文件(夹)—属性—高级—压缩•可选择应用于:–该文件夹–该文件夹、子文件夹、文件•压缩后在属性中显示的仍是原大小•改变显示颜色–资源管理器——工具—文件选项—查看—使用交替颜色复制和移动压缩文件(夹)•复制/移动到非NTFS分区–解除压缩属性•从一个NTFS分区到另一个NTFS分区–无论复制/移动,都是继承•同一个NTFS分区–复制:继承–移动:保留关于压缩数据的最佳实践•不同类型文件压缩比不同–Bmp不到50%–而应用程序一般不会低于75%•不要二次压缩–浪费系统时间,还节省不了多少空间•压缩不太常用的文件5-9NTFS分区的磁盘限额•利用磁盘限额–控制用户所用磁盘空间–设置警告阀值,默认1KB–要求:NTFS分区,2003用户–用户超过限额时,可设为:•强制应用限额,拒绝继续访问•或不选:允许继续使用设置磁盘限额•针对所有用户–盘符—右键—属性—配额•启用配额管理,是否“拒绝超过”•设置“大小”“警告”•针对个别用户–配额—配额项–配额—新建配额项•可设为“无限制”•只能针对逐个用户来设,不能针对组•为上面“针对所有用户”配额的特例•若要删除某一配额项,之前必须–必须将用户拥有的所有文件移走–或其它人取得所有权实验B:配置磁盘压缩状态和限额5-11利用EFS保护数据的安全•内置于2003的NTFS文件系统中•基于公共密钥系统的文件级保护–公钥加密,私钥解密——数字信封–确认收件人身份•由于算法原因,压缩/加密只能选一种•对管理员无效,其可授权恢复代理–工作组:指本机管理员–域模式:指域管理员•新文件移入加密夹自动加密•加密后自己可任意复制移动(对用户透明)•其它人无法复制/移动–但可删除、重命名–更无法解密,•出“忽略、全部忽略、重试、取消”错误提示–可利用windows的备份功能复制并恢复•恢复时可拷到硬盘,这样快一些•但需指定.bkf文件位置关于EFS的初步介绍•后台运行,对用户和应用程序是透明的•只有授权的用户才能访问加密的文件–但管理员可以恢复数据•至少要有一个恢复代理默认:–工作组:指本机管理员–域模式:指域管理员,不包括本机管理员对文件夹或者文件进行加密•NTFS文件夹—属性—常规—高级—加密•加密后,文件加密密钥存储在文件头标中•同一分区内移动,保留加密属性–(不同分区也是这样)对文件(夹)进行解密•利用私有密钥进行解密•只有文件的拥有者(?加密者)或恢复代理可以解密•而无论权限如何•可以与其他用户共享加密的文件恢复加密的文件(夹)•出于安全性的考虑,建议:–不要将私有密钥复制到另一计算机上•恢复代理恢复文件(夹)的步骤:–将加密文件或夹备份恢复至证书所在计算机–清除加密属性–将解密文件拷回实验C:利用EFS保护文件的安全•实验中:先导出,再加密,再导入•实际与顺序与无关–只有私钥在就可以–有时需重启后生效