WindowsServer2003系统管理第三章NTFS权限Version2.0•系统启动过程及boot.ini内容•本地用户账户的创建•配置本地用户账户属性•用户配置文件的应用•工作组的概念•本地组的应用内容回顾•了解各个文件系统特点•理解文件及文件夹权限的概念•掌握NTFS权限的应用规则•掌握NTFS分区下的压缩和加密•掌握磁盘配额的作用及使用本章目标文件系统介绍•管理文件系统是操作系统中管理文件的一个重要组成部分•一些常见的文件系统–fat&fat32文件分配表–Ntfs新技术文件系统–Cdfs紧致文件系统–UDF通用文件系统FAT16FAT32NTFSDOS∨╳╳WINDOWS95∨╳╳WINDOWS97/98/ME∨∨╳WINDOWSNT∨╳∨╳WINDOWS2000∨∨∨WINDOWSXP∨∨∨WINDOWSSERVER2003∨∨∨注释:╳代表不支持∨代表支持∨╳代表有时需要安装微软提供的补丁才能够更好的支持。文件系统对操作系统的支持NTFS概述•可以设置权限•压缩功能。•文件加密,它极大地增强了安全性•磁盘配额,可用来监视和控制单个用户使用的磁盘空间量•更好的伸缩性使扩展为大驱动器成为可能(FAT—2GFAT32—32GNTFS—2T)•格式化磁盘,在格式化时选择NTFS文件系统。•将FAT文件系统转换为NTFS文件系统,converte:/fs:ntfs•使用第三方软件转换,如分区大师软件等。获得NTFS文件系统•文件或文件夹的属性中都增加了一个安全选项卡,在选项卡中有一个访问控制列表和访问控制项.•只有被授予权限的用户或组才能访问安全选项卡什么是NTFS权限•完全控制。对文件或者文件夹可执行所有操作。•修改。它除了拥有读取写入读取和运行的所有权限外还可以删除文件。•读取和运行。可以读取内容,并且可以执行应用程序。•列出文件夹目录。可以列出文件夹的内容。此权限只针对文件夹存在。•读取。可以读取文件或者文件夹的内容,查看属性、所有者、权限•写入。可以创建文件夹或者文件。更改属性•特别的权限。其他不常用的权限,如删除权限、更改权限的权限等等。文件夹权限列表文件夹的NTFS权限•Administrators:内置管理员组,对所有子文件夹和文件都具有完全控制权限。•SYSTEM:此账户是代表操作系统本身,默认权限是完全控制。•Users:此组代表Server2003计算机上所有的用户,默认权限是读取和运行/特殊权限。用户列表文件的NTFS权限•和文件或文件夹数据本身没有关系的权限。–读取权限–更改权限–取得所有权特殊权限特殊权限•对于其他用户建立的文件夹,如果拒绝管理员管理,可以取得其所有权,然后再进行管理。•位置在安全选项卡中的高级里的所有者选项卡中。•没有修改权限的文件夹•取得所有权后的文件夹取得文件或文件夹的所有权•权限的累加性用户的有效权限是用户所属各个组权限的总和–如USER属于A(读权限)、B(写权限)两个组,那么USER具有读写权限。•拒绝优先如果所属的组有一个被拒绝,此用户也会被拒绝–如USER属于A(读写权限)、B(拒绝权限)两个组,那么USER将被拒绝。•文件权限优先文件夹权限.如果用户对文件夹只有一个只读权限,而对其下的文件有完全控制权限,则也有完全控制权限.–如USER对文件A有读权限、而对其下的文件B有完全控制权限,则USER对文件夹也有完全控制权限.权限的特性•新建的的子文件夹和文件会继承上一级目录的权限•根目录下的文件夹或文件继承驱动器的权限灰色为继承权限继承于权限的继承•可以拒绝继承上级权限•可以强制向下继承权限从上继承向下继承权限的继承(Cont.)•拒绝用户–用户将不能访问•拒绝组–组里的所有成员都不能访问权限的拒绝•复制文件和文件夹时,继承目的文件夹的权限设置•在同一分区移动文件或文件夹时,权限不变•在不同分区移动文件或文件夹时,继承目的文件夹的权限设置FAT分区C:\NTFS分区E:\NTFS分区D:\复制或移动复制或移动复制或移动移动和复制操作对权限的影响•NTFS文件系统中的文件和文件夹都具有压缩属性•压缩文件可以节约磁盘空间•压缩和加密只能选择一项•用颜色来区分压缩的文件(夹),蓝色•降低性能压缩属性文件及文件夹的压缩•将压缩的文件或文件夹移动至另一文件夹,同分区移动后文件仍保持压缩状态,否则遵从目标文件夹的压缩状态。•拷贝文件到另一文件夹时,文件将遵从目标文件夹的压缩属性。•如果将压缩文件复制到FAT文件系统上时,都会自动解压。复制、移动操作对压缩的影响1、EFS介绍–基于公共密钥的文件级或文件夹级的保护功能–为NTFS分区提供加密–由指定的EFS恢复代理启用文件恢复功能2、特性–在后台运行,仅允许授权用户访问,自动解密,保存时在加密–管理员可作为恢复代理,访问数据–提供内置的数据恢复支持功能–至少有一个恢复代理,可以指定多个代理,代理需要EFS恢复代理证书3、加密和解密文件夹或文件–用公钥加密后的文件只有授权的用户才能访问,恢复代理(RecoveryAgent)可以解密。–其他用户即便改变了所属关系也不能解密文件及文件夹的加密•只有NTFS卷上的文件或文件夹才能被加密•如果将加密的文件复制或移动到非NTFS格式的文件系统上,该文件将会被解密。•加密文件夹或文件不能防止删除或列出文件和目录。•颜色区分:绿色加密属性文件及文件夹的加密(cont.)•利用磁盘配额可以限制用户使用磁盘空间•必须在NTFS文件系统上实现•Administrators组成员不受限制磁盘配额•启用磁盘配额,设置配额限制500MB和450MB•配额项•为单个用户设置配额磁盘配额(cont.)•NTFS文件系统的优点:权限控制、压缩、加密。•NTFS权限的工作原理,通过访问控制列表和访问控制项工作。•NTFS权限中的常用权限,完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别权限。•文件夹比文件多一个列出文件夹目录权限。本章总结•文件的NTFS权限优先级高于文件夹的权限。•NTFS的权限具有继承性,即使没有做任何设置,子文件夹和文件也会继承父级别的权限。•NTFS权限具有累加性,当用户属于多个组时,它的有效权限是所有组权限的总和,但拒绝权限会高于其他所有权限。本章总结(cont.)•移动和复制对NTFS权限的影响,只有本地磁盘移动时才保留NTFS权限。•NTFS中的文件可以进行加密,以保护数据的安全。•NTFS中的文件可以使用压缩功能,可以节约一部分磁盘空间。•利用磁盘配额可以限制用户使用磁盘空间,必须在NTFS文件系统上现,Administrators组成员不受限制。本章总结(cont.)