第6章 文件系统管理与资源共享

第6章文件系统管理与资源共享学习要点第6章文件系统管理与资源共享WindowsServer2003文件系统资源共享文件访问权限控制加密文件系统（EFS）分布式文件系统（DFS）6.1WindowsServer2003支持的文件系统

1．FAT文件系统简介6.1.1FAT文件系统

FAT32是FAT16的派生文件系统，支持大到2TB（2048GB）的磁盘分区，它使用的簇比FAT16小，从而有效地节约了磁盘空间。FAT文件系统是一种最初用于小型磁盘和简单文件夹结构的简单文件系统，它向后兼容，最大的优点是适用于所有的Windows操作系统。第6章文件系统管理与资源共享6.1WindowsServer2003支持的文件系统2．FAT文件系统的优缺点6.1.1FAT文件系统容易受损害单用户非最佳更新策略没有防止碎片的最佳措施文件名长度受限6.1WindowsServer2003支持的文件系统1．NTFS简介6.1.2NTFS文件系统NTFS是从WindowsNT开始使用的文件系统，它是一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS文件系统包括了文件服务器和高端个人计算机所需的安全特性，它还支持对于关键数据以及十分重要的数据访问控制和私有权限。NTFS是唯一允许为单个文件指定权限的文件系统。NTFS文件系统设计简单但功能强大.6.1WindowsServer2003支持的文件系统2．NTFS文件系统的优点6.1.2NTFS文件系统更安全的文件保障·更好的磁盘压缩功能支持最大达2TB的大硬盘可以赋予单个文件和文件夹权限NTFS文件恢复能力NTFS文件夹B-Tree结构速度快可以压缩单个文件和文件夹支持活动目录和域支持磁盘配额·支持稀疏文件6.1WindowsServer2003支持的文件系统3．NTFS的安全性6.1.2NTFS的安全性（1）许可权。（2）审计。（3）拥有权。（4）可靠的文件清除。（5）上次访问时间标记。（6）自动缓写功能。（7）热修复功能。（8）磁盘镜像功能。（9）有校验的磁盘条带化。（10）文件加密。6.2资源共享1.手工设置共享文件夹6.2.1设置资源共享（1）打开资源管理器，选中需要设置为共享资源的文件夹，右击鼠标，在弹出的快捷菜单中选择“共享和安全”项（2）在对话框中选中“共享该文件夹”后，就可以为共享文件夹设置共享名称和简单的描述内容。若单击“权限”按钮，还可以设置共享权限。第6章文件系统管理与资源共享6.2资源共享2.在“计算机管理”中设置共享资源6.2.1设置资源共享（1）也可以在“开始”→“程序”→“管理工具”→“计算机管理”中找到“共享文件夹”管理项目，展开左侧“共享文件夹”。（2）右击“共享”选项，从弹出的快捷菜单中选择“新建共享”选项，即可运行“共享文件夹向导”。3.特殊共享常见的特殊共享：

driveletter$ADMIN$IPC$

PRINT$共享文件夹共享文件夹需求条件共享某个文件夹授予权限和修改共享文件夹的设置值共享文件夹需求条件需求条件由以下因素确定:共享的文件夹驻留计算机是在域中，还是工作组中。共享的文件夹驻留计算机上运行的操作系统。为了共享文件夹你必须是组成员在Windows2003域管理员或服务器操作员组在Windows2003工作组管理员或超级用户在运行Windowsxp

计算机的客户端管理员或超级用户共享某个文件夹Netshare

共享一个文件夹Netsharesharename=“路径＝…”如：netshareoffice2003=c:\office删除共享Netsharesharename/del如:netshareoffice/del小知识：fsmgmt.msc

共享文件夹管理器

共享文件夹权限Data共享文件夹许可权限读取更改完全控制User共享文件夹的累积性拒绝:超越其它所有许可尽量不要授权授予权限和修改共享文件夹的设置值当你为共享文件夹授予权限:共享文件夹可以驻留在格式化为NTFS、FAT或者FAT32文件系统的硬盘上在NTFS卷上，用户还需要适宜的NTFS权限可以修改共享文件夹的设置:停止共享文件夹、修改共享文件名、修改许可、对一个文件夹创建多次共享、移除共享、复制和移动一个共享文件夹使用管理型共享文件夹管理员可利用管理共享文件夹执行日常管理任务管理对普通用户隐藏的共享文件夹管理员拥有“完全控制”权限IPC$：文件服务器无法停用SharePurposeC$,D$,E$每个分区根默认共享Admin$C:\Winnt

共享成为Admin$（远程管理）Print$包含打印机驱动程序文件的文件夹共享为

Print$(创建于安装第一台打印机时)查看、创建共享文件夹的方法查看、创建共享文件夹的方法：文件服务器管理计算机管理fsmgmt.mscNetshare其他创建共享文件夹的方法：创建资源管理器、Web共享查看共享访问共享文件夹23网上邻居1访问共享文件夹Web浏览器访问Web共享访问普通共享UNC路径的使用：运行对话框浏览器资源管理器、我的电脑映射网络驱动器隐藏共享访问时不要忘记“$”6.2资源共享6.2.2访问网络共享资源企业网络中的客户端计算机，可以根据需要采用不同方式访问网络共享资源。1.使用网上邻居2.使用UNC路径UNC，即UniversalNamimgConversion是用于命名文件和其他资源的一种约定，以两个反斜杠“\”开头，指明该资源位于网络计算机上。3.映射网络驱动器使用命令行工具：

netusedrive\\Servername\sharename卷影副本卷影副本服务功能：用户可以通过“共享文件夹的卷影副本”功能，让系统自动在指定的时间将所有共享文件夹内的文件复制到另外一个存储区内备用。当用户通过网络访问共享文件夹内的文件时，若用户将文件删除或者修改文件的内容后，却反悔想要救回该文件或者想要还原文件的原来内容时，他可以通过“卷影副本”存储区内的旧文件来达到目的，因为系统之前已经将共享文件夹内的所有文件，都复制到“卷影副本”存储区域内。启用“共享文件夹的卷影副本”功能隐藏的SystemVolumeInfomation系统会以共享文件夹所在的磁盘空间决定“卷影副本”储存区的容量大小，默认是会配置该磁盘空间的10％作为“卷影副本”的存储区域，而且该区域的大小最下需要100MB。用户可以改变隐藏的SystemVolumeInformation的位置，不过必须在启用“卷影副本”功能前更改，启用后就无法更改了。更改隐藏的SystemVolumeInfomation安装客户端和客户端访问

％Windir％\system32\clients\twclient\x86客户端访问

权限和数量“卷影副本”内的文件只可以读取，不可以修改，而且每个磁盘最多只可以有64个“卷影副本”，如果达到限制时则最旧的“卷影副本”会被删除。6.3资源访问权限的控制

6.3.1NTFS权限的概述

NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT或者FAT32文件系统格式化的磁盘分区。Windows2000/2003只为用NTFS进行格式化的磁盘分区提供NTFS权限。1.NTFS权限的类型（1）NTFS文件夹权限读取（Read）写入（Write）列出文件夹内容（ListFolderContents）读取和运行（Read&Execute）修改（Modify）完全控制（FullControl）第6章文件系统管理与资源共享6.3资源访问权限的控制

6.3.1NTFS权限的概述

（2）NTFS文件权限

读取（Read）

写入（Write）

读取和运行（Read&Execute）

修改（Modify）

完全控制（FullControl）2.多重NTFS权限（1）权限是累积的（2）文件权限超越文件夹权限（3）拒绝权限超越其他权限6.3.2共享文件夹权限与NTFS文件系统权限的组合

共享文件夹权限具有以下特点：共享文件夹权限只适用于文件夹，而不适用于单独的文件。共享文件夹权限并不对直接登录到计算机上的用户起作用，它们只适用于通过网络连接该文件夹的用户。在FAT/FAT32系统卷上，共享文件夹权限是保证网络资源被安全访问的唯一方法。默认的共享文件夹权限是读取，并被指定给Everyone组。6.3资源访问权限的控制

6.3.2共享文件夹权限与NTFS文件系统权限的组合

当在NTFS卷上为共享文件夹授予权限时，应遵循如下规则：可以对共享文件夹中的文件和子文件夹应用NTFS权限。可以对共享文件夹中包含的每个文件和子文件夹应用不同的NTFS权限。除共享文件夹权限外，用户必须要有该共享文件夹包含的文件和子文件夹的NTFS权限，才能访问那些文件和子文件夹。在NTFS卷上必须要求NTFS权限。默认Everyone组具有“完全控制”权限。6.3资源访问权限的控制

6.3.3NTFS权限的继承性1.权限的继承性默认情况下，授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件。当授予访问某个文件夹的NTFS权限时，就将授予该文件夹的NTFS权限授予了该文件夹中任何现有的文件和子文件夹，以及在该文件夹中创建的任何新文件和新的子文件夹。2.阻止权限的继承性阻止权限的继承，也就是阻止子文件夹和文件从父文件夹继承权限。为了阻止权限的继承，要删除继承来的权限，只保留被明确授予的权限。6.3资源访问权限的控制

6.3

资源访问权限的控制NTFS权限可以实现高度的本地安全性，通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问。NTFS分区上的每一个文件和文件夹都有一个列表，被称为ACL（AccessControlList，访问控制列表），该列表记录了每一用户和组对该资源的访问权限。在默认情况下NTFS权限具有继承性，即文件和文件夹继承来自其上层文件夹的权限。NTFS权限介绍文件权限文件夹权限完全控制修改读取和执行 写入读取列出文件夹目录完全控制修改读取和运行写入读取标准NTFS文件权限的类型NTFS权限介绍NTFS分区ACLUser1User2读取Group1User1读取Group1完全控制完全控制使用NTFS权限控制文件与文件夹的访问

文件夹属性——可以看到添加的用户高级安全设置权限项目对话框高级安全设置——所有者选项卡高级安全设置——有效权限多个NTFS权限NTFS权限的累积文件权限超越文件夹权限拒绝权限超越其它权限File1File2GroupBGroupADenyWritetoFile2WriteUser1ReadRead/WriteFolderANTFSPartition

NTFS权限的使用法则权限最大法则（权限的累加性）

用户对每个资源的有效权限是其所有权限的总和文件权限超越文件夹权限拒绝权限超越其它所有权限

权限的两种状态：“允许”和“拒绝”。不允许，也不拒绝NTFS权限继承AccesstoFolderBFolderAFolderB权限继承Read/Write阻止权限继承NoaccesstoFolderBFolderAFolderBFolderCRead/WriteNTFS权限继承权限继承授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件．包括新建的文件和文件夹。阻止权限继承删除继承来的权限，只保留被明确授予的权限.这时，被阻止从父文件夹继承权限的子文件夹就成新的父文件夹。6.3.5利用NTFS权限管理数据1.授予标准NTFS权限（1）NTFS文件夹权限（2）NTFS文件权限2.授予特殊访问权限有13项Special访问权限，把他们组合在一起就构成了标准的NTFS权限。其中两个Special访问权限，对于管理文件和文件夹的访问来说特别有用。（1）更改权限。（2）获得所有权。6.3资源访问权限的控制

复制和移动文件夹是NTFS权限的变化实验之前在目标和本地创建新的文件夹和文件，首先确定目标和本地的权限，移动或复制之后，得出结论，复制或移动的文件是保留源文件夹的权限，还是继承目的文件夹的权限NTFSPartitionC:\NTFSPartitionE:\NTFSPartitionD:\MoveCopyCopyOrMove移动和拷贝对NTFS权限的影响同一NTFS分区同一NTFS分区Inherits继承目标不同NTFS分区不同NTFS分区D继承目标C复制移动A复制保留原有B移动6.3.4复制和移动文件和文件夹1.复制文件和文件夹

当从一个文件夹向另一个文件夹复制文件或者文件夹时，或者从一个磁盘分区向另一个磁盘分区复制文件或者文件夹时，这些文件或者文件夹具有的权限可能发生变化。2.移动文件和文件夹

当移动某个文件或者文件夹的位置时，依赖于目的地文件夹的权限情况，针对这些文件或者文件夹的权限可能发生变化。6.3资源访问权限的控制

课堂讨论:应用NTFS权限UsersGroup

对文件夹１有读的权限SalesGroup

对文件夹２有写的权限UsersGroup

对文件夹１有修改的权限文件２只能被salesgroup组访问，并且是读的权限File2文件夹1文件夹２File1UsersGroupSalesGroupUser11？2？NTFSPartitionUsersGroup

对文件夹1有写的权限SalesGroup

对文件夹1有读的权限关于授予NTFS权限的最佳实践尽量用为组授权代替为用户授权将资源分类分组管理只授予用户要求级别的访问权限针对应用程序文件夹授权时,授予“读和执行”权限按照组的成员所要求的对资源的访问方式创建组6.4加密文件系统（EFS）与压缩

6.4.1加密文件系统概述

EFS具有下面几个关键的功能特征：（1）它在后台运行，对用户和应用程序来说是透明的。（2）只有被授权的用户才能访问加密的文件。（3）它提供内置的数据恢复支持功能。（4）它要求至少有一个恢复代理，用以恢复加密的文件。第6章文件系统管理与资源共享6.4加密文件系统（EFS）与压缩

6.4.2加密文件或文件夹

使用加密文件系统需要注意以下事项：为确保最高安全性，在创建敏感文件以前将其所在的文件夹加密。因为这样所创建的文件将是加密文件，文件的数据就不会以纯文本的格式写到磁盘上。加密文件夹而不是加密单独的文件，以便如果程序在编辑期间创建了临时文件，这些临时文件也会被加密。指定的故障恢复代理应该将数据恢复证书和私钥导出到磁盘中，并确保它们处于安全的位置，同时将数据恢复私钥从系统中删除。这样，唯一可以为系统恢复数据的人就是可以物理访问数据恢复私钥的人。6.4

加密文件系统（EFS）与压缩EFS内置于Windows2003中的NTFS文件系统中。利用EFS可以启用基于公共密钥的文件级或者文件夹级的保护功能。特征

（1）它在后台运行，对用户和应用程序来说是透明的。（2）只有被授权的用户才能访问加密的文件。（3）它提供内置的数据恢复支持功能。（4）它要求至少有一个恢复代理，用以恢复加密的文件。注意：加密操作和压缩操作是互斥的。因此，建议或者采用加密技术，或者对文件进行压缩，二者不能同时采用。加密文件或文件夹6.4加密文件系统（EFS）与压缩

6.4.3备份密钥

操作过程：（1）运行certmgr.MSC

（2）依次打开“当前用户”→“个人”→“证书”目录树，打开“证书导出向导”对话框。（3）进入“导出私钥”对话框，选“是，导出私钥”按钮。（4）进入“导出文件格式”对话框。选“个人信息交换-PKCS#12（.PFX）”。（5）指定在导入证书时要用到的密码。（6）指定要导出证书和私钥的文件名和位置。（7）继续安装，完成证书导出向导。（8）回到“证书控制台”窗口，可以看到后缀名为“pfx”的证书文件。实验：EFS加密恢复1、授权访问：2、证书恢复：jw登录，加密自己的文件，然后将自己的私钥导出jy登录，将jw的私钥导入，然后即可打开jw加密的文件

XP/2003的EFS恢复代理6.4加密文件系统（EFS）与压缩

6.4.4文件压缩

1.NTFS压缩NTFS压缩是NTFS文件系统内置的功能，压缩和解压缩对于用户而言是透明的。用户对文件或文件夹应用压缩时，系统会在后台自动对文件或文件夹进行压缩和解压，用户无需干涉。2.压缩（zipped）文件夹压缩NTFS压缩只能应用在NTFS卷上，用压缩文件夹进行文件压缩可以应用在FAT16、FAT32和NTFS卷上。利用资源管理器创建压缩文件夹，复制到该文件夹下的文件被自动压缩。两种压缩类型NTFS压缩压缩文件夹NTFS压缩的特点系统必须有NTFS驱动器，否则不能实现NTFS压缩可以利用NTFS压缩文件，文件夹和NTFS驱动器可以压缩一个文件夹而不压缩其中的内容可以直接使用NTFS压缩文件，而不必将它们解压缩使用NTFS压缩文件时会降低性能可以使用不同的颜色来显示压缩文件和文件夹名称NTFS压缩文件和文件夹仅当它们存储在NTFS驱动器时才会保持压缩状态压缩文件夹的特点可以在FAT、FAT32、NTFS分区上压缩文件可以直接运行压缩文件夹中的某些程序，而无需将其解压，还可以直接从压缩文件夹打开文件可以将压缩文件和文件夹移动到计算机上的任意驱动器或文件夹，它们与其他文件压缩程序兼容可以通过拉链图标来识别这种压缩文件夹不会降低计算机性能要压缩文件夹压缩单个文件，必须先创建一个压缩文件夹，然后将这些文件移动或复制到这个文件夹NTFS和压缩文件夹压缩属性NTFS压缩压缩文件夹文件系统NTFSFAT、FAT32、NTFS压缩对象文件、文件夹、驱动器文件、文件夹对系统性能影响降低系统性能无影响口令保护无可实现文件加密无文件加密可实现文件加密颜色标识有无

图标标识无可用拉链标识移动和拷贝对NTFS压缩属性的影响同一NTFS分区保留原有同一NTFS分区Inherits继承目标A复制不同NTFS分区不同NTFS分区DB移动继承目标C复制移动关于压缩属性的最佳实践确定压缩文件类型

不要重复压缩为压缩文件和压缩文件夹使用不同颜色加以区别压缩不经常使用的数据6.5分布式文件系统

6.5.1分布式文件系统的概述

分布式文件系统有两种类型：域分布式文件系统和独立的根目录分布式文件系统。l.DFS名称空间2.DFS根目录类型：独立根目录和基于域的根目录。3.目录目标4.DFS链接：DFS名称空间内的一个逻辑文件夹5.目标DFS根目录或DFS链接的映射目标，对应于在网络上共享的物理目录。（1）域根目录（2）独立的根目录第6章文件系统管理与资源共享DFS根的类型

DFS根——由DFS形成的共享文件夹树状结构的根目录，也称为DFS根目录。DFS根是整个DFS树状拓扑结构的起点，在“网上邻居”中以共享文件夹形式显示。其中包含指向其他服务器上的共享文件夹的DFS链接。DFS根包括两种类型：独立DFS根和域DFS根DFS根的类型独立DFS根域DFS根位置创建该根的计算机的注册表中，不发布到AD中。独立DFS根可以放置在任何一台计算机上。域中的DC或成员服务器上，并发布到AD中。

特点没有根级别的DFS共享文件夹；不提供容错和负载均衡的功能（不存在副本）；只支持单一级别的DFS链接。有根级别的DFS共享文件夹；支持多个级别的DFS链接。提供容错和负载均衡的功能（存在副本）。

创建DFS根

创建DFS根需要考虑的因素：DFS根类型DFS根所存在的域在众多服务器中选择一个