第5章 文件系统管理

第5章文件系统管理学习目标•了解Windows2000支持的三种文件系统各自的特点及适用环境；•熟悉文件系统的转换；•掌握NTFS文件系统权限的分类和设置方法；了解NTFS权限的继承性及权限法则；•掌握NTFS加密文件系统、数据压缩、磁盘配额等功能的使用；•掌握共享文件夹的创建及共享权限设定；•了解共享文件夹权限法则；•掌握访问共享文件夹的方法；•熟悉Dfs分布式文件系统的应用。Windows2000文件系统简介•Windows2000支持FAT16、FAT32、NTFS三种格式的文件系统。•默认情况下安装Windows2000操作系统时，格式化分区为NTFS文件系统。FAT16和FAT32文件系统文件系统FAT16FAT32文件分配表16位32位最大磁盘分区2GB2TB支持的操作系统主要用于MS-DOS、Windows95各种操作系统广泛支持Windows95OSR2、Windows98、Windows98SE、WindowsME、Windows2000、WindowsXP、Windows2003、Linux优点速度较快提高了磁盘的利用率缺点大容量磁盘利用效率低相对FAT16速度较慢不支持早期的DOS版本不支持小于512M的分区单个文件容量不能大于4GB•FAT(FileAllocationTable)是“文件分配表”的意思，它的意义在于对硬盘分区的管理。NTFS文件系统•NTFS的英文全称是NewTechnologyFileSystem，即新技术文件系统。•最大可支持2TB容量的磁盘分区。•仅支持Windows2000、WindowsXP、Windows2003等NT内核的操作系统。•目前，Windows2000和Windows2003所支持的是NTFS5.0。NTFS文件系统的优点：•磁盘利用率较高，安全性和稳定性极其出色，读取文件的效率很高，而且在使用中不易产生文件碎片。对硬盘上的逻辑错误和物理错误可以进行自动侦测和修复。•用户都只能按照系统赋予的权限进行操作。•提供了操作审核功能。•支持文件和文件夹的压缩以及加密（EFS）。•支持磁盘配额管理。•支持活动目录所需的功能以及其他重要安全性功能。NTFS文件系统的缺点：•与使用很广泛的DOS、Windows98等操作系统不兼容。•软盘不能使用NTFS格式化。选择合适的文件系统•安装Windows2000系列操作系统，建议使用NTFS文件系统。•安装Windows2000和诸如Windows98等多个操作系统，可根据实际需要选择FAT16或者FAT32文件系统。•在Windows2000Server上安装活动目录，则一些相关数据文件必须保存在NTFS分区中，因此要保证在这些计算机中至少存在一个NTFS分区。•在Windows2000中使用大于32GB的磁盘分区，那么只能选择NTFS格式管理文件和文件夹的权限•在NTFS分区上的每个文件和文件夹都有一个访问控制列表（AccessControlList，以下简称ACL），记录了每一个用户和组对该资源的访问权限，只有得到明确授权的用户和组才能访问相应的文件和文件夹。•用户（组）、资源和权限三者是密不可分的，只能指定用户（组）对某个资源的访问权限，而不能仅仅指定用户具有某种权限。三者的结合才有意义。项目环境•TEST公司财务部的两个用户User020和User021共同使用一台计算机•存放数据的D:盘是FAT32文件系统。•要求对财务数据进行加密，并将各自的财务数据独立存储。•一部分财务数据能够让这两个用户共同访问。•在D:盘“财务数据备份”文件夹中存放了一些往年的财务数据备份，将这些数据进行压缩存储。•剩余的磁盘空间为这两个用户各自分配1GB使用。NTFS文件系统权限NTFS权限分为标准NTFS权限和特殊NTFS权限两大类。标准NTFS权限文件夹和文件的标准NTFS权限有所不同，它们各自拥有的可设置权限见下表。标准NTFS权限读取写入列出文件夹目录读取及运行修改完全控制文件夹●●●●●●文件●●●●●特殊NTFS权限•遍历文件夹/运行文件•列出文件夹/读取数据•读取属性•读取扩展属性•创建文件/写入数据•创建文件夹/附加数据•写入属性•写入扩展属性•删除子文件夹及文件•删除•读取权限•更改权限取得所有权•取得所有权标准NTFS权限和特殊NTFS权限的关系•标准NTFS权限是特殊NTFS权限的特定组合NTFS权限的继承性•当一个分区被格式化为NTFS文件系统后，Windows2000会自动将“Everyone”组赋予对该分区根目录“完全控制”的权限。•“Everyone”组是Windows2000中的一个内置系统组，所有访问文件资源的用户自动成为“Everyone”组的成员。•默认情况下，NTFS权限是从父文件夹继承而来，授予文件夹的权限将被文件夹下的子文件夹或文件所继承，继承来的权限不能直接设置和修改，除非设置取消父系的可继承权限传播给该对象。NTFS权限在移动和复制时的继承性①同一个NTFS分区内移动文件或文件夹文件和文件夹仍然保留原有的NTFS权限②不同NTFS分区之间移动文件或文件夹文件或文件夹将会继承目的地所在文件夹的NTFS权限③同一个或不同的NTFS分区复制文件或文件夹文件或文件夹将会继承目的地所在文件夹的NTFS权限④NTFS分区向非NTFS分区内复制或移动文件文件和文件夹的权限都将丢失NTFS权限法则（1）权限累加法则（2）文件权限覆盖文件夹权限（3）拒绝权限覆盖所有其他权限NTFS加密文件系统（EFS）(1)•采用加密文件系统(EFS)对敏感数据文件进行加密，可以大大增强数据的安生性，有效的减小数据丢失的隐患。加密是一种采用数学算法的应用程序，只有NTFS卷上的文件或文件夹才能被加密。NTFS加密文件系统（EFS）(2)•对加密该文件的用户，加密是透明的。文件经过加密处理后，只有拥有正确密钥的用户方可读取其内容。即只有设置加密的用户才能解密文件，除非使用加密数据恢复代理。在单机和工作组模式下Administrator用户指定为恢复代理，所以该用户可直接解密文件。在域环境下默认的恢复代理是域管理员。•被压缩的文件或文件夹不可以加密。如果加密一个压缩文件或文件夹，则该文件或文件夹将会被解压。•如果将加密的文件复制或移动到非NTFS格式的卷上，该文件将会被解密。•如果将非加密文件移动到加密文件夹中，则这些文件将在新文件夹中自动加密。然而，反向操作不能自动解密文件。文件必须明确解密。•加密文件夹或文件不能防止删除文件或列出文件夹内容。因此，建议结合NTFS权限使用EFS。此外，EFS用户必须拥有在NTFS卷中修改文件的权限。•在WindowsXP/2003中加密文件夹的名称将显示为绿色。NTFS文件系统数据压缩功能•数据压缩功能是NTFS文件系统的内置功能，无需第三方软件的支持。•NTFS文件系统的压缩和解压缩过程对于用户而言是完全透明的，由操作系统自动在后台进行。使用数据压缩功能，可以节省一定的磁盘空间，但是该功能是以牺牲处理器运算资源为代价换取磁盘空间。•在WindowsXP/2003中加密文件夹的名称将显示为蓝色。NTFS文件系统磁盘配额Windows2000的NTFS文件系统集成了磁盘配额功能，利用该功能可以限制用户对NTFS分区上磁盘空间的使用。•要配置磁盘配额功能，必须具有Administrator权限。•磁盘配额只能针对NTFS分区（卷）进行设置，不能对物理磁盘或文件夹进行设置，磁盘配额不受分区（卷）的文件夹结构和物理磁盘布局的影响。•磁盘配额是以文件所有权为基础的。默认情况下，创建文件或文件夹的用户拥有该文件或文件夹的所有权，除非其他用户获得了该文件或文件夹的所有权。当一个NTFS分区是由FAT16或FAT32文件系统转换而来时，该分区上所有的文件所有权将自动归属于管理员。管理员默认拥有所有系统卷无限的使用权限。•不能使用文件压缩防止用户超过其配额限制，因为磁盘配额是按未压缩时文件的大小来计算的。文件系统的转换1.用Administrator身份登录计算机，选择“开始”-“程序”-“附件”-“命令提示符”打开“命令提示符”窗口。2.输入“convert/?”后回车，查看CONVERT命令使用方法。3.输入“convertd:/fs:ntfs”后回车，并按照提示输入D:盘卷标“DATA”后回车，等待系统转换直至结束。使用CONVERT命令转换本地用户和组的创建(1)•选择“开始”-“设置”-“控制面板”，在打开的控制面板中进入“管理工具”，双击运行其中的“计算机管理”。•在打开的“计算机管理”控制台左侧窗格中，选择“系统工具”-“本地用户和组”下的“用户”。选择“操作”菜单中的“新用户”命令。“新用户”菜单命令本地用户和组的创建(2)•在“新用户”对话框中输入“用户名”为User020,输入“密码”等参数，取消默认的“用户下次登录使须更改密码”前的勾选（图5.3），单击“创建”按钮新建User020用户帐号。•重复以上操作建立User021用户帐号。“新用户”对话框本地用户和组的创建(3)•在控制台左侧窗格中，选择“系统工具”-“本地用户和组”下的“组”。选择“操作”菜单中的“新建组”命令“新建组”菜单命令本地用户和组的创建(4)•“选择用户或组”对话框中按住CTRL键选择User020和User021两个用户，单击“添加”按钮将两个用户添加至下方列表中。•单击“确定”按钮返回。“选择用户或组”对话框本地用户和组的创建(5)•返回“新建组”对话框，单击“创建”按钮完成新组的建立，•关闭“新建组”对话框。在组中添加用户设置单个用户的NTFS权限和EFS加密文件系统(1)•在D:盘新建“制造部”和“市场部”两个文件夹，在“制造部”文件夹上单击鼠标右键，选择“属性”命令。在“属性”对话框的“安全”标签中取消“允许将来自父系的可继承权限传播给该对象”前的选择。“文件夹安全属性设置设置单个用户的NTFS权限和EFS加密文件系统(2)•系统弹出“安全”对话框，选择“删除”按钮将原有继承权限全部删除。“安全”对话框设置单个用户的NTFS权限和EFS加密文件系统(3)•在文件夹“属性”对话框中单击“添加”按钮，在“选择用户和组”对话框中选择“User020”用户，单击“添加”按钮，将用户添加至下方列表中。•单击“确定”按钮返回文件夹“属性”对话框。“选择用户和组”对话框设置单个用户的NTFS权限和EFS加密文件系统(4)•在名称列表中保持对“User020”用户的选择，在下方的权限列表中的“允许”列下勾选“完全控制”，单击“确定”按钮完成设置。•重复以上操作，赋予用户“User021”对“市场部”文件夹完全控制权限，完成后注销Administrator用户。设置用户权限设置单个用户的NTFS权限和EFS加密文件系统(5)•用User020用户身份登录计算机，在“制造部”文件夹上单击鼠标右键，选择“属性”命令。在“属性”对话框的“常规”标签中单击“高级”按钮，在打开的“高级属性对话框”的“压缩或加密属性”区中勾选“加密内容以保护数据”。•单击“确定”按钮。“高级属性”对话框设置单个用户的NTFS权限和EFS加密文件系统(6)•在“确认属性更改”对话框中选择“将更改应用于该文件夹、子文件夹和文件”。•单击“确定”按钮。“确认属性更改”对话框设置单个用户的NTFS权限和EFS加密文件系统(7)•系统开始应用EFS属性设置“应用属性”对话框设置单个用户的NTFS权限和EFS加密文件系统(8)•注销用户User020，用User021用户身份登录，访问“制造部”文件夹中的文本文件时将显示“拒绝访问”对话框，说明EFS加密文件系统工作正常。•.对“市场部”文件夹参照“制造部”的设置步骤设置EFS加密属性，完成后注销用户User021。“拒绝访问”对话框设置“共用数据”文件夹NTFS权限(1)•.用Administrator用户身份登录计算机，在D:盘新建“共用数据”文件夹。•在“共用数据”文件夹上单击鼠标右键，选择“