第1部分—WindowsServer2003安装与基本管理66第4章文件系统管理案例分析JS物资流动公司已经顺利完成了服务器硬盘的安装以及相关的分区操作,并兼顾了WindowsServer2003以及RedHatLinux9双操作系统的需求。由于公司财力的加强,故考虑增加几台基于WindowsServer2003操作系统的服务器,请协助解决以下相关问题:1.合理规划文件系统类型2.针对用户职能的不同给予不同的文件管理和访问的许可权。3.考虑有多台WindowsServer2003服务器,请将分布的文件统一起来,让访问者看起来属于一个文件夹,以便于管理和维护。学习目标WindowsServer2003支持的文件系统类型;FAT和NTFS各自的特点和性能;管理文件和文件夹的访问许可权;添加和管理共享文件夹。分布式文件系统DFS概述DFS配置使用DFS复制配置第1部分—WindowsServer2003安装与基本管理674.1WindowsServer2003支持的文件系统4.1.1FAT文件系统FAT(FileAllocationTable)指的是文件分配表,包括FAT和FAT32两种。FAT是一种适合小卷集、对系统安全性要求不高、需要双重引导的用户应选择使用的文件系统。1.FAT文件系统简介FAT16是用户早期使用的DOS、Windows95使用的文件系统,现在常用的Windows98/2000/XP等系统均支持FAT16文件系统。它最大可以管理2GB的磁盘分区,但每个分区最多只能有65525个簇(簇是磁盘空间的配置单位)。随着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。FAT32是FAT16的增强版,随着大容量硬盘的出现,从Windows98开始流行,它可以支持大到2TB(2048G)的磁盘分区。FAT32使用的簇比FAT16小,从而有效地节约了磁盘空间。FAT文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统,它向后兼容,最大的优点就在它适用于所有的Windows操作系统。另外,FAT文件系统在容量较小的卷上使用比较好,因为FAT启动只使用非常少的开销。FAT在容量低于512MB的卷上工作时最好,当卷容量超过1.024GB时,效率就显得很低。而对于400MB—500MB以下的卷,FAT文件系统相对于NTFS文件系统来说是一个比较好的选择。不过对于使用WindowsServer2003的用户来说,FAT文件系统则不能满足系统的要求。4.1.2NTFS文件系统1.NTFS简介(NewTechnologyFileSystem)Windows的NTFS文件系统提供了FAT文件系统所没有的安全性、可靠性和兼容性。其设计目标就是在大容量的硬盘上能够很快地执行读、写和搜索等标准的文件操作,甚至包括像文件系统恢复这样的高级操作。NTFS文件系统包括了文件服务器和高端个人计算机所需的安全特性。它还支持对于关键数据、十分重要的数据访问控制和私有权限。除了可以赋予计算机中的共享文件夹特定权限外,NTFS文件和文件夹无论共享与否都可以赋予权限,NTFS是惟一允许为单个文件指定权限的文件系统。但是,当用户从NTFS卷移动或复制文件到FAT卷时,NTFS文件系统权限和其他特有属性将会丢失。NTFS文件系统设计简单却功能强大。从本质上来讲,卷中的一切都是文件,文件中的一切都是属性,从数据属性到安全属性,再到文件名属性。NTFS卷中的每个扇区都分配给了某个文件,甚至文件系统的超数据(描述文件系统自身的信息)也是文件的一部分。2.NTFS文件系统的优点(1)更为安全的文件保障,提供文件加密,能够大大提高信息的安全性。(2)更好的磁盘压缩功能;(3)支持最大达2TB的大硬盘;(4)可以赋予单个文件和文件夹权限;(5)NTFS文件系统中设计的恢复能力无需用户在NTFS卷中运行磁盘修复程序;(6)NTFS文件夹的B-Tree结构使得用户在访问较大文件夹中的文件时,速度甚至较访问卷中较小文件夹中的文件还快;(7)可以在NTFS卷中压缩单个文件和文件夹;(8)支持活动目录和域;(9)支持稀疏文件;(10)支持磁盘配额。3.NTFS的安全特性(1)许可权第1部分—WindowsServer2003安装与基本管理68(2)审计(3)拥有权(4)可靠的文件清除(5)上次访问时间标记(6)自动缓写功能(7)热修复功能(8)磁盘镜像功能(9)有校验的磁盘条带化(10)文件加密第1部分—WindowsServer2003安装与基本管理694.2管理文件与文件夹的访问许可权WindowsServer2003以用户和组账户为基础来实现文件系统的许可权。每个文件、文件夹都有一个称作访问控制清单(accesscontrollist)的许可清单,该清单列举出哪些用户或组对该资源有哪种类型的访问权限。访问控制清单中的各项称为访问控制项。文件访问许可权只能用于NTFS卷。4.2.1NTFS文件权限的类型(1)读取此权限允许用户读取文件内的数据、查看文件的属性、查看文件的所有者、查看文件的权限。(2)写入此权限包括覆盖文件、改变文件的属性、查看文件的所有者、查看文件的权限等。(3)读取及运行除了具有“读取”的所有权限,还具有运行应用程序的权限(4)修改此权限除了拥有“写入”、“读取及运行”的所有的权限外,还能够更改文件内的数据、删除文件、改变文件名等。(5)完全控制拥有所有的NTFS文件的权限,也就是拥有上面所提到的所有权限,此外,还拥有“修改权限”和“取得所有”权限。4.2.2设置安全的访问许可权WindowsServer2003中安全策略主要包括以下几种:(1)对服务器上的所有文件,实施强有力的基于许可的安全措施。(2)对中低安全性的安装,除系统卷和引导卷外,所有驱动器上均实施域用户(DomainUser)管理,避免使用缺省的每个用户(Everyone)、完全控制(Fullcontrol)许可等安全措施。(3)对于高安全性安装,去掉所有Everyone、完全控制许可权。不要用缺省许可代替,只在特别需要的地方才增加许可。(4)以机构中的自然关系为基础建立组,按组分配文件许可权。(5)利用第三方的许可审计软件管理复杂环境中的许可权问题。4.2.3文件与文件夹的访问许可冲突随着网络环境下的共享文件和文件夹的创建,可能会出现资源许可权冲突。当某个用户是多个组的成员时,其中的某些组可能允许访问某种资源,而其他组的成员被拒绝访问它。另外,有时也可能出现重复的许可。例如,某用户对一文件夹应能进行读(Read)访问,但他又是Administrator组的成员而同时又有完全控制(FullContro1)权限。WindowsServer2003按以下方式确定访问权。(1)权限的累加性。用户对每个资源的有效权限是其所有权限的总和,即权限相加,把所有的权限加在一起为该用户的权限。(2)对资源的拒绝权限会覆盖掉所有其他的权限。例如,当用户对某一个资源的权限被设为拒绝访问,则用户的最后权限是无法访问该资源,其他的权限不再起作用。(3)文件权限会覆盖掉文件夹权限。当用户或组对某个文件夹以及该文件夹下的文件有不同的访问权限时,用户对文件的最终权限是用户被赋予访问该文件的权限。例如,共享文件夹允许完全控制而文件允许只读,则该文件为只读。4.2.4查看文件与文件夹的访问许可权如果用户需要查看文件或文件夹的属性,首先选定文件或文件夹,单击鼠标右键打开快捷菜第1部分—WindowsServer2003安装与基本管理70单,然后选择“属性”命令。在打开的文件或文件夹的属性对话框中单击“安全”标签,选择如图4-1所示的“安全”属性卡。在“名称”列表框中,列出了对选定的文件或文件夹具有访问许可权限的组和用户。当选定了某个组或用户后,该组或用户所具有的各种访问权限将显示在“权限”列表柜中。这里我们选中的是Guests组,从图中可以看到,该组的所有用户具有对文件或文件夹的“读取及运行”、“列出文件夹目录”、“读取”权限。没有列出来的用户也可能具有对文件或文件夹的访问许可权,因为用户可能属于该选项中列出的某个组。因此,最好不要把对文件的访问许可权分配给各个用户,最好先创建组,把许可权分配给组,然后把用户添加到组中。这样需要更改的时候只需要更改整个组的访问许可权,而不必逐个修改每个用户。图4-1查看文件或文件夹的访问许可权图第1部分—WindowsServer2003安装与基本管理714-2设置文件或文件夹的高级访问权限4.2.5更改文件或文件夹的访问许可权当用户需要更改文件或文件夹的的权限时,必须具有对它的更改权限或拥有权。用户可以在如图4-1所示的对话框中,选择需要设置的用户或组,简单地选定或取消对应权限后面的复选框即可。在打开的文件或文件夹的“属性”对话框里,点击“安全”标签下单击“高级”按钮,可以打开如图4-2所示的访问控制对话框。在此,用户可以进一步设置一些额外的高级访问权限。单击“编辑”,将打开选定对象的权限项目对话框,如图4-3所示。此时,用户可以通过“应用到”下拉列表框选择需设定用户或组,并对选定对象的访问权限进行更加全面的设置。第1部分—WindowsServer2003安装与基本管理72图4-3为用户或组设置额外的高级访问权限第1部分—WindowsServer2003安装与基本管理734.3添加与管理共享文件夹资源共享是网络最重要的特性,通过共享文件夹可以使用户方便地进行文件交换。当然,简单地设置共享文件夹可能回带来安全隐患,因此,必须考虑设置对应文件夹的访问权限。4.3.1添加共享文件夹在WindowsServer2003中,可以通过以下方法设置共享文件夹。步骤一,打开“开始”菜单,选择“程序”/“管理工具”/“计算机管理”命令后,打开“计算机管理”窗口,然后点击“共享文件夹”/“共享”子节点,打开如图4-4所示窗口。步骤二,在窗口的右边显示出了计算机中所有共享文件夹的信息。如果要建立新的共享文件夹,可通过选择主菜单“操作”中的“新建共享”子菜单,或者在左侧窗口鼠标右击“共享”子节点,选择“新建共享”,打开“共享文件夹向导”,单击“下一步”,打开如图4-5所示对话框。输入要共享的文件夹路径。步骤三,点击“下一步”,打开如图4-6所示对话框。输入共享名称、共享描述,在共享描述中可输入一些该资源的描述性信息,以方便用户了解其内容。步骤四,点击“下一步”,打开如图4-7所示对话框,用户可以根据自己的需要设置网络用户的访问权限。或者选择“自定义”自己定义网络用户的访问权限。点击“完成”,即完成共享文件夹的设置。图4-4计算机管理窗口第1部分—WindowsServer2003安装与基本管理74图4-5创建共享文件夹图4-6创建共享文件夹第1部分—WindowsServer2003安装与基本管理75图4-7设置共享文件夹权限用户也可以通过如下方法设置共享文件夹。通过“我的电脑”或“资源管理器”,选择要设置为共享的文件夹。鼠标右键激活快捷菜单,选择“共享和安全”菜单项,打开如图所示4-8窗口。然后进行相应的设置即可,如更改共享名,设定用户连接数量,点击“权限”按钮设置允许访问该文件夹的用户权限。例如,共享本地磁盘的“查毒”文件夹,选择该文件夹,打开该文件夹的“属性”对话框,选择“共享”属性卡,如图4-8所示。该例中设置共享文件夹的名字为“查毒”,即网络上用户看到的本机上共享的这个文件夹名称为“查毒”,其他还可以设置允许同时访问的用户数。单击“共享”属性卡的“权限”按钮后,出现的如图4-9所示的对话框,可以看到该对话框中的“组或用户名称”列表框列出了对该文件夹具有访问权限的用户、组。如果希望查看某个用户对该文件夹具有何种访问权限,可在“组或用户名称”列表框中单击该用户,下面的“权限”列表框中将显示出该用户对应的访问许可权限。例如,这里我们选定了“Guest”组,在“Guest的权限”列表框中便显示出该组对“查毒”文件夹只具有“读取”权限。第1部分—WindowsServer20