项目6管理文件系统与共享资源.ppt

项目6 管理文件系统与共享资源,6.1 FAT与NTFS文件系统 6.1.1 FAT文件系统 6.1.2 NTFS文件系统 6.2 项目设计及准备,项目6 管理文件系统与共享资源,6.3 项目实施 6.3.1 任务1 设置资源共享 6.3.2 任务2 访问网络共享资源 6.3.3 任务3 使用卷影副本 6.3.4 任务4 认识NTFS权限 6.3.5 任务5 继承与阻止NTFS权限 6.3.6 任务6 复制和移动文件和文件夹 6.3.7 任务7 利用NTFS权限管理数据,项目6 管理文件系统与共享资源,6.4 习 题 实训项目 管理文件系统与共享资源 一、项目实训目的 二、项目环境 三、项目要求 四、做一做,6.1 FAT与NTFS文件系统,6.1 FAT与NTFS文件系统 6.1.1 FAT文件系统 6.1.2 NTFS文件系统,FAT32文件系统采用32位的文件分配表. 可以支持大到2TB（2048GB)的分区 使用固定512字节作为扇区大小 用“簇” 作为数据单元。簇的最大值32KB，默认簇的大小为4KB,6.1.1 FAT文件系统,6.1.2 NTFS文件系统,NTFS（New Technology File System）是可扩展和可恢复的文件系统； 它有磁盘配额、文件加密； NTFS可以设置文件安全性； NTFS有压缩功能； NTFS是以簇为单位来存储数据文件，在给定大小的卷上， NTFS总是使用最小的默认簇。,6.1.2 NTFS文件系统,6.1.3 管理访问概述-安全主体,安全主体 - 可用于身份验证和分配资源访问权的用户、组或计算机对象。,相对 ID (RID) -安全 ID (SID) 的一部分，在域中惟一标识的账户或组。,安全 ID (SID) - 在创建用户、计算机或安全组时分配的惟一值。 Windows 中的内部过程引用账户的 SID，而不是账户的用户名或组名。,安全主体,S-1-5-21-1454471165-1004336348-1606980848-5555,SID,RID,6.1.3 管理访问概述-访问令牌,用户的访问令牌,主体,其他访问权信息,用户权利列表,组 SID,用户 SID,6.1.3 管理访问概述-权限,分配权限的方式,“允许”或“拒绝”权限可分配到资源（文件夹、打印机、文件）,权限： 是授予或拒绝对象访问权的规则 用于控制访问,权限可分配到本地计算机中的账户或 AD DS 中的账户,可以显式应用权限、继承权限或隐式应用权限,6.1.3 管理访问概述-访问控制的工作方式,随机访问控制列表 (DACL) DACL 包含用户和组的列表，这些用户和组可以访问资源或者被拒绝而无法访问资源 NTFS 卷上的每一个文件和文件夹都有关联的 DACL,系统访问控制列表 (SACL) SACL 控制审核对资源的访问,访问控制条目 (ACE) 定义 DACL 或 SACL 中的每一个条目 指定一组要允许、拒绝或审核的 SID 如果在 DACL 中未指定任何 ACE，那么将拒绝访问资源,6.2 项目设计与准备,项目6 管理文件系统与共享资源,6.3 项目实施 6.3.1 任务1 设置资源共享 6.3.2 任务2 访问网络共享资源 6.3.3 任务3 使用卷影副本 6.3.4 任务4 认识NTFS权限 6.3.5 任务5 继承与阻止NTFS权限 6.3.6 任务6 复制和移动文件和文件夹 6.3.7 任务7 利用NTFS权限管理数据,文件夹可以共享，但是各个文件不可共享,共享文件夹是允许通过网络访问其内容的文件夹。,默认情况下，共享文件夹权限为“Everyone，读取”,可通过以下方式找到共享文件夹： 在 Windows 资源管理器中寻找有两个用户图标的文件夹 在命令行下通过 Net Share 命令 在“计算机管理”的“共享文件夹”下,任务1 设置资源共享-共享文件夹,管理共享： 是隐藏共享 在使用 Net View 时或者在“网络”视图中都不会显示,管理员有完全权限,共享权限不可更改,任务1 设置资源共享-管理共享,任务1 设置资源共享-共享文件夹权限,任务1 设置资源共享,1.在“计算机管理”对话框中设置共享资源,任务1 设置资源共享,1.在“计算机管理”对话框中设置共享资源,任务1 设置资源共享,1.在“计算机管理”对话框中设置共享资源,任务1 设置资源共享,1.在“计算机管理”对话框中设置共享资源,Net share,共享一个文件夹 Net share sharename=“路径” 如：net share office2003=c:office 删除共享 Net share sharename /del 如: net share office /del,小知识：fsmgmt.msc 打开共享文件夹管理器,任务1 设置资源共享-使用命令,使用管理型共享文件夹,管理员可利用管理共享文件夹执行日常管理任务 管理对普通用户隐藏的共享文件夹 管理员拥有 “完全控制” 权限 IPC$：文件服务器无法停用,任务1 设置资源共享-特殊共享,通过 UNC 访问：,命名约定为servernameshare 或servernamesharefile 可通过 Windows 资源管理器、命令行或编程方式访问,通过网络访问：,使用图形化工具浏览网络以获得共享 可在域模式或工作组模式下进行 不显示隐藏共享或管理共享,通过映射驱动器访问：,使用 Windows 资源管理器或命令行将驱动器映射到servernameshare,任务2 访问网络共享资源,任务2 访问网络共享资源,使用网络发现功能,任务2 访问网络共享资源,使用网络发现功能,任务2 访问网络共享资源,使用网络发现功能,任务2 访问网络共享资源,使用网络发现功能,任务2 访问网络共享资源,2.使用UNC路径,任务2 访问网络共享资源,2.使用UNC路径,任务2 访问网络共享资源,2.使用UNC路径,访问共享文件夹,2,3,1,任务2 访问网络共享资源-总结一下,使用共享文件夹的注意事项,创建共享文件夹时：,尽可能使用最严格的权限,避免将权限分配给单个用户，尽可能使用组,牢记“完全控制”允许用户修改 NTFS 权限。将组添加到“完全控制”权限组时应谨慎,将 Authenticated Users 组添加到共享的权限，而将 Everyone 组删除,卷影副本服务,功能：用户可以通过“共享文件夹的卷影副本”功能，让系统自动在指定的时间将所有共享文件夹内的文件复制到另外一个存储区内备用。 当用户通过网络访问共享文件夹内的文件时，若用户将文件删除或者修改文件的内容后，却反悔想要救回该文件或者想要还原文件的原来内容时，他可以通过“卷影副本”存储区内的旧文件来达到目的，因为系统之前已经将共享文件夹内的所有文件，都复制到“卷影副本”存储区域内。,任务3 使用卷影副本,任务3 使用卷影副本,1. 启用“共享文件夹的卷影副本”功能,任务3 使用卷影副本,1. 启用“共享文件夹的卷影副本”功能,任务3 使用卷影副本,1. 启用“共享文件夹的卷影副本”功能,任务3 使用卷影副本,1. 启用“共享文件夹的卷影副本”功能,任务3 使用卷影副本,2. 客户端访问“卷影副本”内的文件,任务3 使用卷影副本,2. 客户端访问“卷影副本”内的文件,任务3 使用卷影副本,2. 客户端访问“卷影副本”内的文件,任务3 使用卷影副本,2. 客户端访问“卷影副本”内的文件,“拒绝”权限优先于“允许”权限,任务4 认识NTFS权限,任务4 认识NTFS权限-标准权限和特殊权限,“拒绝”优先,权限可应用于用户或组,文件权限覆盖文件夹权限,文件和文件夹的创建者是所有者,任务4 认识NTFS权限-多重NTFS 权限,共享文件权限和 NTFS 权限合并的效果,在合并共享文件夹权限和 NTFS 权限时，将应用最严格的权限,文件和文件夹共享权限和 NTFS 权限必须有正确的权限，否则系统将隐式拒绝用户或组访问资源,示例：如果用户或组获得了共享权限“读取”和 NTFS 权限“写入”，那么用户或组将只能读取文件，因为这是最严格的权限。,实施 NTFS 权限和共享文件夹权限的注意事项,将权限授予组而不是用户,只在必要时使用“拒绝”权限,不要拒绝 Everyone 组对对象的访问权,尽可能在文件夹结构中的高位授予权限,使用 NTFS 权限而不是共享权限来实现细粒度的访问,NTFS 权限继承,任务5 继承与阻止NTFS权限,阻止,权限继承可阻止,继承无需对每个对象分配显式权限即可管理对资源的访问 默认情况下，NTFS 权限是按照父/子关系继承的,可在文件或文件夹级别执行阻止,在文件夹上设置阻止可阻止新权限传播到子对象,任务5 继承与阻止NTFS权限,任务5 继承与阻止NTFS权限,任务6 复制和移动文件和文件夹,在复制文件和文件夹时，它们继承目标文件夹的权限 当在同一个分区中移动文件和文件夹时，它们保留其权限 在将文件和文件夹移到其他分区时，它们将继承目标文件夹的权限,NTFS 分区 C:,NTFS 分区 E:,NTFS 分区 D:,移动,复制 或 移动,复制,设置文件夹的NTFS权限,任务7 利用NTFS权限管理数据,对于指定的文件，只有它的拥有者、管理员（Administrator）和有完全控制权限的用户才可以设置它NTFS权限。,设置文件夹的NTFS权限,任务7 利用NTFS权限管理数据,设置文件夹的NTFS权限,任务7 利用NTFS权限管理数据,设置NTFS特殊权限,特殊NTFS权限:包含了各种情况下对资源的访问权限，它规定了用户访问资源的所有行为 标准权限 :提供了必要的保证资源被安全访问的权限 ,是特殊NTFS权限的特定组合 。,任务7 利用NTFS权限管理数据,授予 Special NTFS 权限,任务7 利用NTFS权限管理数据,在文件或文件夹属性的“安全”选项卡中，单击“高级”“权限”按钮，打开“高级安全设置”对话框，选中“sales”用户项，如图6-16所示。点击“查看”按钮。,授予 Special NTFS 权限,任务7 利用NTFS权限管理数据,任务7 利用NTFS权限管理数据,特殊权限-更改权限,特殊权限-更改权限,任务7 利用NTFS权限管理数据,任务7 利用NTFS权限管理数据,特殊权限-取得所有权 单击“高级”“权限”按钮，打开“高级安全设置”对话框,任务7 利用NTFS权限管理数据,加密文件系统（EFS）与压缩,EFS内置于 Windows 2008中的 NTFS文件系统中。 利用 EFS可以启用基于公共密钥的文件级或者文件夹级的保护功能。,补充 使用加密文件系统,什么是EFS 加密?,EFS加密数据 用户通过设置加密属性来加密文件或文件夹 当在一个加密文件夹下创建文件或文件夹时，它们自动被加密，当移动一个文件或文件夹到加密文件夹下会自动被加密 使用EFS访问已加密的数据 当访问一个加密文件时，用户用平常的方法去访问 当用户关闭文件时，EFS自动加密 使用EFS解密数据 文件保持解密状态至到被再次加密,补充 使用加密文件系统,当移动加密文件或文件夹时它的加密状态如何变化,非加密文件夹到 加密文件夹,B,补充 使用加密文件系统,特征,（1）它在后台运行，对用户和应用程序来说是透明的。 （2）只有被授权的用户才能访问加密的文件。 （3）它提供内置的数据恢复支持功能。 （4）它要求至少有一个恢复代理，用以恢复加密的文件。 注意：加密操作和压缩操作是互斥的。因此，建议或者采用加密技术，或者对文件进行压缩，二者不能同时采用。,补充 使用加密文件系统,加密文件或文件夹,补充 使用加密文件系统,实验：EFS加密恢复,1、授权访问： 2、证书恢复：（请同学完成） jw登录，加密自己的文件，然后将自己的私钥导出 jy登录，将jw的私钥导入，然后即可打开jw 加密的文件,补充 使用加密文件系统,恢复代理可以理解为默认被共享了本机所有EFS加密文件的用户（类似于EFS的共享，但不等同），在设置了恢复代理后，本机上所有文件在使用EFS加密的同时，恢复代理的相应信息也会被保存到文件中。这样日后就算加密该文件的帐户已经不存在，或者证书丢失了，我们依然可以使用恢复代理的帐户登录系统，解密文件