NTFS文件系统管理.ppt

2020 3 15 1 项目3NTFS文件系统管理 2020 3 15 2 项目描述 某公司创建了自己的文件服务器 内有公司最新的设备资料 考勤状况 行政文件和各部门资料等 在使用过程中发现有以下需求 管理员需对所有文件夹拥有完全控制权 所有员工对共享文件夹只拥有读取权限 每位员工只对自己的文件夹拥有完全控制权 且不能读取其他员工的文件夹 每位员工所能使用的磁盘空间有一定的限制 磁盘配额 每位员工希望能保存尽量多的数据 2020 3 15 3 项目3NTFS文件系统管理 任务1NTFS安全权限简介任务2加密文件系统任务3文件压缩 2020 3 15 4 任务1 NTFS安全权限简介 任务描述 在网络中会有很多资源 例如系统本身 文件 目录和打印机等各种网络共享资源以及其他资源对象 在WindowsServer2008操作系统中 提供了控制资源存取的工具 对资源可以灵活地控制到特定的用户 组等 这些控制是由管理员来决定的 这样才能避免非授权的访问 并提供一个安全的网络环境 任务目标 通过学习 读者应掌握资源对象访问控制的基本概念 以及文件和目录等资源对象的访问控制的操作技能 2020 3 15 5 文件系统 文件系统是操作系统在磁盘上组织文件的方法 规定了计算机对文件和文件夹进行操作处理的标准和机制 WIN2008支持的文件系统包括 FATFAT32NTFSCDFS 2020 3 15 6 FAT文件系统 FAT FileAllocationTable 文件分配表 也称FAT16 用于跟踪硬盘上每个文件的数据库 而FAT表存储关于簇的信息 这样 以后就可以检索文件了 FAT文件系统可以在所有版本Windows MS DOS或OS 2等众多操作系统上被正确识别 FAT文件系统最初用于小型磁盘和简单文件结构的简单文件系统 FAT文件系统得名于它的组织方法 放置在卷起始位置的文件分配表 为了保护卷 使用了两份备份 另外 为确保正确装载启动系统所必需的文件 文件分配表和根文件必须存放在固定的位置 2020 3 15 7 FAT32文件系统 FAT32 增强的文件分配表 文件系统提供了比FAT文件系统更为先进的文件管理特性 通过使用更小的簇来更有效率地使用磁盘空间 可以在大到2TB的驱动器上使用 FAT32是在大型磁盘驱动器 超过512MB 上存储文件的极有效的系统 如果用户的驱动器使用了这种格式 则会在驱动器上创建多至几百兆的额外硬盘空间 从而更有效地存储数据 此外 可使程序运行加快 而使用的计算机系统资源却更少 2020 3 15 8 NTFS文件系统 NTFS NewTechnologyFileSystem 是WindowsNT操作环境和WindowsNT高级服务器网络操作系统环境的文件系统 只有运行基于NT内核的操作系统才可以存取NTFS卷中的文件 NTFS文件系统提供了FAT和FAT32文件系统所没有的 全面的性能 可靠性和兼容性 支持文件和文件夹级的访问控制 权限 可限制用户对文件或文件夹的访问 审计文件的安全 NTFS文件系统还支持文件压缩和文件加密功能 可节省磁盘空间和保护数据安全 NTFS文件系统支持磁盘配额功能 2020 3 15 9 将FAT32转换为NTFS文件系统 步骤如下 步骤1 关闭要转换的分区或逻辑驱动器上所有正在运行的程序 步骤2 单击 开始 运行 在运行文本框中输入 cmd 命令 点击 确定 按钮 步骤3 在命令提示符窗口中 键入 convertvolume FS ntfs 然后按Enter键 步骤4 键入要转换的卷的名称 然后按Enter键 注意 这种转换是单向不可逆的 2020 3 15 10 3 1 2NTFS权限概述NTFS权限基于NTFS分区 NTFS权限可以实现高度的本地安全性 通过对用户赋予NTFS权限可以有效地控制用户对文件和文件夹的访问 访问控制列表 权限的核心技术用于定义特定用户对某个资源的访问权限每一个用户或用户组都对应一组访问控制项 AccessControlEntry ACE 2020 3 15 11 2020 3 15 12 NTFS权限 1 标准NTFS权限 1 读取 可以读取文件或文件夹的内容 查看文件或文件夹的属性 但不修改文件内容 2 读取和执行 包含读取能够执行的所有操作 并能运行应用程序和可执行文件 3 写入 包含读取和执行的所有操作 可修改文件或文件夹属性和内容 在文件夹中创建文件和文件夹 但不能删除文件 4 修改 包含写权限能够执行的所有操作 可以删除文件 5 列出文件夹内容 仅对文件夹有此权限 查看此文件夹中的文件和子文件夹的属性和权限 读取文件夹中的文件内容 6 完全控制 对文件的最高权力 在拥有上述其他所有的权限以外 还可以修改文件权限以及替换文件所有者 7 特殊权限 是对文件或文件夹权限更为详细的设置 下面就来介绍这些特殊NTFS权限的功能 2020 3 15 13 2020 3 15 14 特殊NTFS权限 1 完全控制 2 遍历文件夹 执行文件 3 列出文件夹 读取数据 4 读取属性 5 读取扩展属性 6 创建文件 写入数据 7 创建文件夹 附加数据 8 写入属性 9 写入扩展属性 10 删除子文件夹及文件 11 删除 12 读取权限 13 更改权限 14 取得所有权 2020 3 15 15 假设有一个文件叫做FILE 我要设置为只有USER1 USER2和USER3这三个用户可以使用该文件 但是USER1用户可以随意操作该文件 USER2用户只能读取该文件 而不能进行如修改等等的其他操作 USER3可以修改 但是不能删除该文件 如何设定呢 USER1的权限设为完全控制 USER2的权限设为读取 读取和执行 USER3的权限不能设为修改只设为读取 读取和执行 写入即可 2020 3 15 16 练习假设现在有两个用户A B 同时每个用户有自己对应的文件夹folderA folderB 实现 用户A只能读取folderA 用户B不能读取folderA 用户B只能读取folderB 用户A不能读取folderB 2020 3 15 17 问题 如果用户同时属于多个组 它们分别对某个资源有不同的使用权限 则该用户对该资源的有效权限是什么呢 如果对文件的权限与对文件夹的权限有冲突了又怎么办呢 2020 3 15 18 NTFS权限的有效性 1 资源权限发生重叠时 1 权限的累加性 2 拒绝 权限会覆盖所有其他权限 3 文件会覆盖文件夹的权限 4 权限继承性原则 2020 3 15 19 累加权限 用户对每个资源的有效权限是其所有权限的总和例如 用户user对文件夹test读取User又属于g1 g1对文件夹test写入 2020 3 15 20 拒绝 权限会覆盖所有其他权限 对资源的拒绝 NoAccess 权限会覆盖掉所有其他的权限 2020 3 15 21 文件权限超越文件夹权限原则 文件权限会覆盖掉文件夹权限 新建文件夹data2 在data2中建文件file doc设定用户2对文件夹data2的权限为完全控制 对file doc的权限为读取验证用户2对file doc的最终权限 可以读取 并可重命名 2020 3 15 22 权限继承性原则 2020 3 15 23 可编辑 2020 3 15 24 共享文件夹权限与NTFS文件系统权限的组合 通过对NTFS权限的设置 可以实现文件和文件夹的本地安全性 如何控制网络资源的访问呢 2020 3 15 25 如果在NTFS分区上创建共享文件夹 最终用户对该文件夹的访问权限为二者中最严格的 例C test文件夹的共享权限是 读取 C test文件夹的NTFS权限为 完全控制 最终权限以网络方式访问 读取以本地方式访问 完全控制 2020 3 15 26 查看NTFS权限 2020 3 15 27 修改NTFS权限 2020 3 15 28 取得所有权 2020 3 15 29 查看有效权限 2020 3 15 30 示例假设现在有两个用户A B 同时每个用户有自己对应的文件夹folderA folderB 这两个文件夹都在文件夹folder下实现 用户B能读取folderA 而且可以更改权限 但不可以在文件夹中增删文件 2020 3 15 31 练习假设现在有两个用户A B 同时每个用户有自己对应的文件夹folderA folderB 这两个文件夹都在文件夹folder下实现 用户C能读取folder 但不能读取folderA folderB 2020 3 15 32 2 资源复制或移动时权限的变化与处理 1 复制资源时 2 移动资源时 3 非NTFS分区注意 当从NTFS分区向FAT文件中拷贝或移动文件和文件夹都将导致文件和文件夹的权限丢失 因为FAT分区不支持NTFS权限 2020 3 15 33 复制 移动文件和文件夹 实验之前在目标和本地创建新的文件夹和文件 首先确定目标和本地的权限 移动或复制之后 得出结论 复制或移动的文件是保留源文件夹的权限 还是继承目的文件夹的权限 2020 3 15 34 2020 3 15 35 任务2 加密文件系统 任务描述 每个人都有一些不希望别人看到的东西 例如学习计划 设计方案等 大家都喜欢把它们放在一个文件夹里 虽然可以采用某些工具软件给文件夹加密 但那样太麻烦了 有没有什么简单的方法提高自己的文件夹安全性呢 任务目标 Windows自带的EFS加密系统对用户是透明的 如果用户加密了一些数据 那么本人对这些数据的访问将是完全允许的 并不会受到任何限制 而其他非授权用户试图访问加密过的数据时 就会收到 访问拒绝 的错误提示 EFS加密的用户验证过程是在登录Windows时进行的 只要登录到Windows 就可以打开任何一个被授权的加密文件 2020 3 15 36 EFS简介 EFS EncryptingFileSystem 是Windows的一项功能 它允许用户将文件夹和文件以加密的形式存储在硬盘上 加密是Windows所提供的保护信息安全的最强的保护措施 该技术用于在NTFS文件系统卷上存储已加密的文件夹或文件 加密了文件或文件夹之后 还可以像使用其他文件和文件夹一样使用它们 因此加密 解密对加密该文件的用户是透明的 即不必在使用前手动解密已加密的文件 就可以正常打开和更改文件 2020 3 15 37 加密文件 2020 3 15 38 备份密钥使用EFS加密后 如果重装系统 那么原来被加密的文件就无法打开了 如果你没有事先做好密钥的备份 那么数据是永远打不开的 由此可见 做好密钥的被备份就很重要 1 运行certmgr msc2 在个人 证书的详细窗格中有以当前用户名命名的证书 注运用EFS加密过文件后才会出现该证书 3 导出该证书授权访问 设置数据恢复代理 2020 3 15 39