新华网技WindowsServer2003EnterpriseEdition利用NTFS管理数据5新华网技WindowsServer2003EnterpriseEdition5-2概述•权利:用户•权限;资源•NTFS:压缩、限额、加密–本地级、文件级新华网技WindowsServer2003EnterpriseEdition5-3关于NTFS权限的初步介绍•只适用于NTFS分区•访问控制列表(ACL)–区别CAL客户访问许可–随资源存储–访问控制元素ACE:user1权限如何新华网技WindowsServer2003EnterpriseEditionNTFS权限•NTFS文件夹权限6种标准(组合)权限–读Read–写Write–列文件夹内容ListFolderContents–读和执行Read&Excecute–修改Modify–完全控制FullControl新华网技WindowsServer2003EnterpriseEdition•NTFS文件权限5种标准(组合)权限–读Read–写Write–读和执行Read&Excecute–修改Modify–完全控制FullControl•注意:–默认Everyone对根及其下FC–一般应删除Everyone组,必要设为DomainUsers新华网技WindowsServer2003EnterpriseEdition5-4windows2003怎样应用NTFS权限•默认:子文件夹及文件继承权限•复制、移动文件(夹)会对权限有影响•多个NTFS权限–权限是累积的(取大)•用户本身权限,用户所属多个组–文件权限优于文件夹权限–拒绝(deny)权限超越其他权限(一票否决)•注意:明确拒绝(ACL中的拒绝元素)和没设权限的区别新华网技WindowsServer2003EnterpriseEditionNTFS权限的继承性•默认:子文件夹、文件及新建的对象继承权限•阻止权限的继承性–复制、删除新华网技WindowsServer2003EnterpriseEdition复制和移动文件夹•从一个NTFS分区到另一个NTFS分区–无论复制/移动,都是继承•不同分区,移动=复制+删除•同一个NTFS分区–复制:继承–移动:保留•复制/移动到FAT(32)分区–NTFS权限丢失新华网技WindowsServer2003EnterpriseEdition5-5利用NTFS权限•控制文件(夹)的访问,即分配权限–管理员–FC用户–所有者•授予NTFS权限–默认:创建对象时,everyoneFC•作者为拥有者,若为Administrators组成员创建,Administrators组也为拥有者新华网技WindowsServer2003EnterpriseEdition设置权限的继承性•权限的继承简化了资源的权限分配•阻止权限的继承性–复制、删除–删除后,若想恢复,再次选中即可新华网技WindowsServer2003EnterpriseEdition关于授予NTFS权限的最佳实践•尽量为组授权,而不为用户授权–保护较短的ACL,提高性能•将文件分组–应用程序、共享数据、主文件夹•只授予用户所要求级别的访问权限•对应用程序只授予“读和执行”权限–防止病毒和意外损害新华网技WindowsServer2003EnterpriseEdition5-7实验A:利用NTFS权限新华网技WindowsServer2003EnterpriseEdition5-8在NTFS分区上压缩数据•减少所占硬盘空间•自动压缩/解压缩,对用户是透明的•对磁盘限额无效•对复制到软盘(FAT)无效新华网技WindowsServer2003EnterpriseEdition关于压缩的文件(夹)的初步介绍•压缩文件(夹)复制/移动时–NTFS按非压缩大小为其分配空间–则可能出现空间不足提示•文件夹的压缩状态,不一定对应,子文件(夹)的状态•压缩状态的显示颜色–工具—文件选项—查看—使用交替颜色•自动压缩/解压缩,对用户是透明的新华网技WindowsServer2003EnterpriseEdition压缩文件和文件夹•文件(夹)—属性—高级—压缩•可选择应用于:–该文件夹–该文件夹、子文件夹、文件•压缩后在属性中显示的仍是原大小•改变显示颜色–资源管理器——工具—文件选项—查看—使用交替颜色新华网技WindowsServer2003EnterpriseEdition复制和移动压缩文件(夹)•复制/移动到非NTFS分区–解除压缩属性•从一个NTFS分区到另一个NTFS分区–无论复制/移动,都是继承•不同分区,移动=复制+删除•同一个NTFS分区–复制:继承–移动:保留新华网技WindowsServer2003EnterpriseEdition关于压缩数据的最佳实践•不同类型文件压缩比不同–Bmp不到50%–而应用程序一般不会低于75%•不要二次压缩(??其它软件压过的)–浪费系统时间,还节省不了多少空间•使用不同颜色显示压缩文件(夹)•压缩不太常用的文件新华网技WindowsServer2003EnterpriseEdition2151-7Afolderonyourwindows2003StandardEditioncomputercontainsbitmapfilesthathavebeencompressedfrom2MBto1MB.Youwanttocopyoneofthecompressedbitmapfilesfromyourharddisktoa1.4-MBfloppydisk.Whenyouattempttocopythefile,youreceivethefollowingerrormessage:DestinationdriveIsfull.Whatshouldyoudo?新华网技WindowsServer2003EnterpriseEditionA.Move,ratherthancopy,thecompressedbitmapfiletothefloppydisk.B.Reformatthefloppydisk.Thencopythecompressedbitmapfiletothefloppydisk.C.UseanotherprogramtocompressthebitmapfilebeforecopyingIttothefloppydisk.D.Copyanemptycompressedfoldertothefloppydisk.Thencopythecompressedbitmapfiletoafolderonthefloppydisk.新华网技WindowsServer2003EnterpriseEdition5-9配置NTFS分区的磁盘限额–控制用户所用磁盘(服务器端)空间–原来只能利用分区来控制•利用磁盘限额–统计•基于文件(夹)的拥有权•忽略NTFS压缩–所以压缩对个人用户没用,但对服务器有用•显示的剩余空间为:–=限额—所用的新华网技WindowsServer2003EnterpriseEdition–针对各个分区分别统计•即使它们在同一物理硬盘•但同一分区逐个文件夹统计–设置警告阀值,默认1KB–要求:NTFS分区,2003用户–用户超过限额时,可设为:•强制应用限额,拒绝继续访问•或不选:允许继续使用新华网技WindowsServer2003EnterpriseEdition设置磁盘限额•针对所有用户–盘符—右键—属性—配额•启用配额管理,是否“拒绝超过”•设置“大小”“警告”•针对个别用户–配额—配额项–配额—新建配额项•可设为“无限制”•只能针对逐个用户来设,不能针对组•为上面“针对所有用户”配额的特例•若要删除某一配额项,之前必须–必须将用户拥有的所有文件移走–或其它人取得所有权新华网技WindowsServer2003EnterpriseEdition5-10实验B:配置磁盘压缩状态和限额新华网技WindowsServer2003EnterpriseEdition5-11利用EFS(加密文件系统)保护数据的安全•内置于2003的NTFS文件系统中•基于公共密钥系统的文件级保护–公钥加密,私钥解密——数字信封–确认收件人身份•由于算法原因,压缩/加密只能选一种•对管理员无效,其可授权恢复代理–工作组:指本机管理员–域模式:指域管理员•新文件移入加密夹自动加密新华网技WindowsServer2003EnterpriseEdition•加密后自己可任意复制移动(对用户透明)•其它人无法复制/移动–但可删除、重命名–更无法解密,•出“忽略、全部忽略、重试、取消”错误提示–可利用windows的备份功能复制并恢复•恢复时可拷到硬盘,这样快一些•但需指定.bkf文件位置新华网技WindowsServer2003EnterpriseEdition关于EFS的初步介绍•后台运行,对用户和应用程序是透明的•只有授权的用户才能访问加密的文件–但管理员可以恢复数据•至少要有一个恢复代理默认:–工作组:指本机管理员–域模式:指域管理员,不包括本机管理员新华网技WindowsServer2003EnterpriseEdition对文件夹或者文件进行加密•NTFS文件夹—属性—常规—高级—加密•加密后,文件加密密钥存储在文件头标中•同一分区内移动,保留加密属性–(不同分区也是这样)新华网技WindowsServer2003EnterpriseEdition对文件(夹)进行解密•利用私有密钥进行解密•只有文件的拥有者(?加密者)或恢复代理可以解密•而无论权限如何•不能与其他用户共享加密的文件新华网技WindowsServer2003EnterpriseEdition恢复加密的文件(夹)•出于安全性的考虑,建议:–不要将私有密钥复制到另一计算机上•恢复代理恢复文件(夹)的步骤:–将加密文件或夹备份恢复至证书所在计算机–清除加密属性–将解密文件拷回新华网技WindowsServer2003EnterpriseEdition2151-8Youencryptthreefilestoensurethesecurityofthefiles.Youwanttomakeabackupcopyofthethreefilesandmaintaintheirsecuritysettings.Youhavetheoptionofbackinguptoeitherthenetworkorafloppydisk.Whatshouldyoudo?新华网技WindowsServer2003EnterpriseEditionA.CopythefilestoanetworkshareonanNTFSvolume.Donothingfurther.B.CopythefilestoanetworkshareonaFAT32volume.Donothingfurther.C.Copythefilestoafloppydiskthathasbeenformattedbyusingwindows2003StandardEdition.Donothingfurther.D.PlacethefilesInanencryptedfolder.Thencopythefoldertoafloppydisk.(自己可随便拷贝,其它人实际应使用BACKUP工具)新华网技WindowsServer2003EnterpriseEdition5-12实验C:利用EFS保护文件的安全