WindowsserverNTFS权限应用本实用教案

1、本章(bn zhn)目标 理解文件及文件夹权限的概念 掌握NTFS分区下ACL（访问控制列表）的配置方法(fngf) 掌握NTFS权限的应用规则 掌握NTFS分区下的磁盘配额功能 掌握NTFS分区下的压缩和加密第1页/共38页第一页，共39页。NTFS概述(i sh) 可以设置权限 更好的伸缩性使扩展为大驱动器成为可能。 压缩功能。 文件加密，它极大地增强了安全性 域控制器和 Active Directory 需要(xyo)使用 NTFS 磁盘配额，可用来监视和控制单个用户使用的磁盘空间量第2页/共38页第二页，共39页。NTFS概述(i sh)FAT16FAT32NTFSDOSWINDOWS

2、 95WINDOWS 97/98/MEWINDOWS NTWINDOWS 2000WINDOWS XPWINDOWS SERVER 2003注释：代表(dibio)不支持代表(dibio)支持 代表(dibio)有时需要安装微软提供的补丁才能够更好的支持。 第3页/共38页第三页，共39页。获得(hud)NTFS文件系统1. 格式化磁盘(c pn)，在格式化时选择NTFS文件系统。2. 3. 将FAT文件系统转换为NTFS文件系统:4. convert 盘符 /fs:ntfs5. 使用第三方软件转换，如分区大师软件等。第4页/共38页第四页，共39页。 什么是权限 权限是对资源而言，是用来控制

3、谁可以(ky)访问资源及访问资源的方式,权限是由资源的所有者授予或拒绝。 为什么要设置权限 权限设置:就是为组和用户指定资源的访问级别. 例如:同一个文件可以(ky)让不同的用户具有不同的访问权限什么(shn me)是NTFS权限第5页/共38页第五页，共39页。什么(shn me)是NTFS权限 文件或文件夹的属性中都增加(zngji)了一个安全选项卡,在选项卡中有一个访问控制列表（ ACL ）和访问控制项 . 只有被授予权限的用户或组才能访问安全选项卡第6页/共38页第六页，共39页。文件夹的NTFS权限(qunxin)1.完全控制：对文件或文件夹可执行(zhxng)所有操作。拥有所有NT

4、FS权限，可以修改权限和取得文件夹的所有权。2.修改：可以修改、重命名、删除文件或者文件夹。且具有“读取和运行”+“写入” 权限。3.读取和运行；可以读取文件或文件夹的内容，并且可以执行(zhxng)应用程序。且具有“读取”权限。4.列出文件夹目录：可以列出文件夹的内容。此权限只针对文件夹存在。5.读取：可读取文件或文件夹的内容，显示文件或文件夹的属性、所有者和权限分配情况。6.写入：可以修改该文件内文件的数据、覆盖文件和子文件夹、改变其属性；在文件夹中建立文件和子文件夹；不可以删除和重命名。7.特别的权限：其他不常用的权限，如删除权限、更改权限的权限等等。文件夹权限列表第7页/共38页第七页

5、，共39页。文件(wnjin)的NTFS权限文件权限列表1.完全控制：对文件可执行所有操作。拥有所有NTFS权限，可以修改权限和取得文件的所有权。2.修改：可以修改、重命名、删除文件，同时拥有“写入”+“读取和运行”的权限。 3.读取和运行；可以读取文件内容，并且可以执行应用程序。4.读取：读取文件内容；显示文件的属性、所有者和权限分配情况。5.写入：可以修改文件数据(shj)、覆盖文件,改变其属性。不可以删除和重命名。6.特别的权限：其他不常用的权限，如删除权限、更改权限的权限等等。第8页/共38页第八页，共39页。文件(wnjin)的NTFS权限 Administrators：内置管理员组

6、，对所有子文件夹和文件都具有完全控制(kngzh)权限。 SYSTEM：此账户是代表操作系统本身，默认权限是完全控制(kngzh)。 Users：此组代表Server2003计算机上所有的用户，默认权限是读取和运行/特殊权限。用户列表第9页/共38页第九页，共39页。特殊(tsh)权限 和文件或文件夹数据本身没有关系的权限。 读取权限 更改(gnggi)权限 取得所有权特殊权限第10页/共38页第十页，共39页。取得(qd)文件或文件夹的所有权 对于其他用户建立的文件夹，如果拒绝管理员管理，可以取得其所有权，然后再进行管理。 位置在安全选项卡中的高级里的所有者选项卡中。 没有修改权限的文件夹

7、取得所有权后的文件夹 WIN2000/WIN2003 NTFS 分区(fn q)上的文件/文件夹都有其所有者。默认为其创建者。 所有者具有“更改权限”的权限。第11页/共38页第十一页，共39页。权限(qunxin)的组合 文件权限可以大于文件夹权限 用户的有效权限是用户所属各个组权限的总和：最大权限原则(yunz)（权限累加特点） 如USER属于A（读权限）、B （写权限）两个组，那么USER具有读写权限。 如果所属的组有一个被拒绝，此用户也会被拒绝：“拒绝”权限超越其他所有权限（一票否决） 如USER属于A（读写权限）、B （拒绝权限）两个组，那么USER将被拒绝。第12页/共38页第十二

8、页，共39页。NTFSNTFS授予权限(qunxin)(qunxin)的原则 最大权限原则（权限累加特点） 用户对某个资源的有效权限是其所有权限来源的总和。 例如： 某个用户同时属于组1 1、组2 2、组3 3，则 用户的权限= =组1+1+组2+2+组3 3 文件权限超越文件夹权限 文件的权限可以大于文件夹的权限 “拒绝”权限超越其他所有权限（一票否决） 某个用户同时属于组1 1、组2 2、组3 3，如果其中(qzhng)(qzhng)某个组的权限是拒绝，则 用户的权限= =“拒绝” 权限的继承性 如果没有对文件夹下的文件赋予权限，则文件具备自动继承上级文件夹的权限的特点第13页/共38页第

9、十三页，共39页。权限(qunxin)的继承 如果(rgu)没有对文件夹下的文件赋予权限，新建的的子文件夹和文件会继承上一级目录的权限 根目录下的文件夹或文件继承驱动器的权限灰色为继承权限继承于第14页/共38页第十四页，共39页。权限(qunxin)的继承 可以拒绝(jju)继承上级权限 可以强制向下继承权限从上继承向下继承第15页/共38页第十五页，共39页。权限(qunxin)的拒绝 拒绝(jju)用户 用户将不能访问 拒绝(jju)组 组里的所有成员都不能访问第16页/共38页第十六页，共39页。移动和复制操作对权限(qunxin)的影响 复制文件和文件夹时，继承目的地文件夹的权限设置

10、 在同一分区移动(ydng)文件或文件夹时，权限不变 在不同分区移动(ydng)文件或文件夹时，继承目的文件夹的权限设置NTFS 分区C:NTFS 分区E:NTFS 分区D:移动复制复制或移动第17页/共38页第十七页，共39页。第18页/共38页第十八页，共39页。第19页/共38页第十九页，共39页。第20页/共38页第二十页，共39页。第21页/共38页第二十一页，共39页。文件(wnjin)及文件(wnjin)夹的加密 利用“加密文件系统（EFS）”提供文件加密功能经过加密的文件或文件夹只有加密用户(yngh)或经过授权的用户(yngh)才能读取。只有 NTFS 卷上的文件或文件夹才能

11、被加密如果将加密的文件复制或移动到非 NTFS 格式的文件系统上，该文件将会被解密。新文件移入加密文件夹自动加密加密文件夹或文件不能防止删除或列出文件和目录。颜色区分:绿色加密属性第22页/共38页第二十二页，共39页。用户读取加密的数据时，是将该数据提交到内存中解密，原始数据仍处于加密状态；用户将文件写入磁盘时，也自动加密再写入；利用EFS加密的文件，只有存储在在硬盘内才会被加密，通过网络发送时是不加密的；加密、压缩不能够同时(tngsh)使用；加密后自己可任意复制移动（对用户透明）其它人无法复制/移动加密文件夹内的文件和子文件夹但可删除、重命名更无法解密，出“忽略、全部忽略、重试、取消”错

12、误提示第23页/共38页第二十三页，共39页。授权读加密(ji m)文件 经过加密的文件只有加密者可以读取或者是被授权者 授权方法(fngf)： 由击已加密文件-“属性”-“高级”-“详细信息”-“添加”如下图：第24页/共38页第二十四页，共39页。第25页/共38页第二十五页，共39页。磁盘(c pn)配额 Win2003利用磁盘配额功能跟踪和控制用户使用磁盘空间的情况。NTFS 5.0才支持该功能，NTFS4.0不支持；只能针对单一用户,而不能针对组；只能针对单一分区,而不能针对一块磁(硬)盘或一台计算机设置用户磁盘配额；磁盘配额根据所有权计算用户使用空间；计算用户使用空间时,不考虑数据

13、加密因素(yn s)每个NTFS分区的磁盘配额独立计算，不论多个NTFS分区是否在同一硬盘内；管理员不受其限制。第26页/共38页第二十六页，共39页。 设置警告阀值，默认1KB 用户超过限额时，可设为： 强制应用限额，拒绝继续访问(fngwn) 或不选：允许继续使用设置磁盘(c pn)限额 针对个别用户 配额配额项 配额新建配额项 可设为“无限制” 只能针对逐个用户来设，不能针对组 为上面“针对所有用户”配额的特例 若要删除某一配额项，之前必须(bx) 必须(bx)将用户拥有的所有文件移走 或其它人取得所有权第27页/共38页第二十七页，共39页。第28页/共38页第二十八页，共39页。文件

14、(wnjin)及文件(wnjin)夹的压缩 NTFS文件系统中的文件和文件夹都具有压缩属性，也可对整个磁盘进行压缩； 压缩文件可以节约磁盘空间； 压缩和加密(ji m)只能选择一项； 用颜色来区分压缩的文件（夹），蓝色； 磁盘配额的使用空间结算时不考虑压缩因素。压缩属性第29页/共38页第二十九页，共39页。压缩文件和文件夹 文件（夹）属性高级压缩 压缩后在属性中显示的仍是原大小 改变(gibin)显示颜色 资源管理器工具文件选项查看用彩色显示加密或压缩的NTFS文件第30页/共38页第三十页，共39页。复制、移动操作对压缩(y su)的影响 将压缩(y su)的文件或文件夹移动至另一文件夹，

15、同分区移动后文件仍保持压缩(y su)状态,否则遵从目标文件夹的压缩(y su)状态。 拷贝文件到另一文件夹时，文件将遵从目标文件夹的压缩(y su)属性。 如果将压缩(y su)文件复制到FAT文件系统上时，都会自动解压。第31页/共38页第三十一页，共39页。本章(bn zhn)总结 NTFS文件系统的优点：权限控制、压缩(y su)、加密。 NTFS权限的工作原理，通过访问控制列表和访问控制项工作。 NTFS权限中的常用权限，完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别权限。 文件夹比文件多一个列出文件夹目录权限。第32页/共38页第三十二页，共39页。本章(bn zhn

16、)总结 文件的NTFS权限优先级高于文件夹的权限。 NTFS的权限具有继承性，即使没有做任何设置，子文件夹和文件也会继承父级别的权限。 NTFS权限具有累加性，当用户属于(shy)多个组时，它的有效权限是所有组权限的总和，但拒绝权限会高于其他所有权限。第33页/共38页第三十三页，共39页。本章(bn zhn)总结 移动和复制对NTFS权限的影响，只有本地磁盘移动时才保留NTFS权限。 NTFS中的文件(wnjin)可以进行加密，以保护数据的安全。 NTFS中的可进行磁盘配额，限制用户使用磁盘的容量。 NTFS中的文件(wnjin)可以使用压缩功能，可以节约一部分磁盘空间。第34页/共38页第三十四页，共39页。实验(shyn)目标 查看和修改NTFS权限 设置权限的继承( jchng) 文件的压缩和解压缩 了解移动和复制对权限和压缩状态的影响第35页/共38页第三十五页，共39页。目标(mbio)图示客户机1客户机2域控制器第36页/共38页第三十六页，共39页。实验完成(wn chng)标准 能够查看文件或文件夹的NTFS权限 学员正确更改了文件或文件夹的NTFS权限 成功取消子文件夹的继承权限 从父文件夹能够强制(qingzh)向下继承权限 可以将文件夹压缩和解压缩 知道移动和复制对权限的影响第37页/共38页第三十七页，共39页。谢谢您的