第6章 文件系统管理与资源共享

1、Windows Server 2003 网络操作系统网络操作系统 第6章 文件系统管理与资源共享 学习要点学习要点 第6章 文件系统管理与资源共享 Windows Server 2003文件系统文件系统 资源共享资源共享 文件访问权限控制文件访问权限控制 加密文件系统（加密文件系统（EFS） 分布式文件系统（分布式文件系统（DFS） Windows Server 2003 网络操作系统网络操作系统 6.1 WindowsServer20036.1 WindowsServer2003支持的文件系统支持的文件系统 1 1FATFAT文件系统简介文件系统简介 6.1.1 FAT文件系统文件系统 FA

2、T32 FAT32是是FAT16FAT16的派生文件系统，支持大到的派生文件系统，支持大到 2TB2TB（2048 GB2048 GB）的磁盘分区，它使用的簇比）的磁盘分区，它使用的簇比 FAT16FAT16小，从而有效地节约了磁盘空间。小，从而有效地节约了磁盘空间。FATFAT文文 件系统是一种最初用于小型磁盘和简单文件夹件系统是一种最初用于小型磁盘和简单文件夹 结构的简单文件系统，它向后兼容，最大的优结构的简单文件系统，它向后兼容，最大的优 点是适用于所有的点是适用于所有的WindowsWindows操作系统。操作系统。 第6章 文件系统管理与资源共享 Windows Server 200

3、3 网络操作系统网络操作系统 6.1 Windows Server 2003支持的文件系统 2 2FATFAT文件系统的优缺点文件系统的优缺点 6.1.1 FAT文件系统文件系统 容易受损害容易受损害 单用户单用户 非最佳更新策略非最佳更新策略 没有防止碎片的最佳措施没有防止碎片的最佳措施 文件名长度受限文件名长度受限 Windows Server 2003 网络操作系统网络操作系统 6.1 Windows Server 2003支持的文件系统 1 1NTFSNTFS简介简介 6.1.2 NTFS文件系统文件系统 NTFS NTFS是从是从Windows NTWindows NT开始使用的文件

4、系统，它开始使用的文件系统，它 是一个特别为网络和磁盘配额、文件加密等管理是一个特别为网络和磁盘配额、文件加密等管理 安全特性设计的磁盘格式。安全特性设计的磁盘格式。NTFSNTFS文件系统包括了文件系统包括了 文件服务器和高端个人计算机所需的安全特性，文件服务器和高端个人计算机所需的安全特性， 它还支持对于关键数据以及十分重要的数据访问它还支持对于关键数据以及十分重要的数据访问 控制和私有权限。控制和私有权限。NTFSNTFS是唯一允许为单个文件指是唯一允许为单个文件指 定权限的文件系统。定权限的文件系统。NTFSNTFS文件系统设计简单但功文件系统设计简单但功 能强大能强大. . Wind

5、ows Server 2003 网络操作系统网络操作系统 6.1 Windows Server 2003支持的文件系统 2 2NTFSNTFS文件系统的优点文件系统的优点 6.1.2 NTFS文件系统文件系统 更安全的文件保障更安全的文件保障 更好的磁盘压缩功能更好的磁盘压缩功能 支持最大达支持最大达2TB2TB的大硬盘的大硬盘 可以赋予单个文件和文件夹权限可以赋予单个文件和文件夹权限 NTFSNTFS文件恢复能力文件恢复能力 NTFSNTFS文件夹文件夹B-TreeB-Tree结构速度快结构速度快 可以压缩单个文件和文件夹可以压缩单个文件和文件夹 支持活动目录和域支持活动目录和域 支持磁盘配

6、额支持磁盘配额 支持稀疏文件支持稀疏文件 Windows Server 2003 网络操作系统网络操作系统 6.1 Windows Server 2003支持的文件系统 3 3NTFSNTFS的安全性的安全性 6.1.2 NTFS的安全性的安全性 （1 1）许可权。）许可权。 （2 2）审计。）审计。 （3 3）拥有权。）拥有权。 （4 4）可靠的文件清除。）可靠的文件清除。 （5 5）上次访问时间标记。）上次访问时间标记。 （6 6）自动缓写功能。）自动缓写功能。 （7 7）热修复功能。）热修复功能。 （8 8）磁盘镜像功能。）磁盘镜像功能。 （9 9）有校验的磁盘条带化。）有校验的磁盘条带

7、化。 （1010）文件加密。）文件加密。 Windows Server 2003 网络操作系统网络操作系统 6.2 6.2 资源共享资源共享 1. 1. 手工设置共享文件夹手工设置共享文件夹 6.2.1 设置资源共享设置资源共享 （1 1）打开资源管理器，选中需要设置为共享资源）打开资源管理器，选中需要设置为共享资源 的文件夹，右击鼠标，在弹出的快捷菜单中选择的文件夹，右击鼠标，在弹出的快捷菜单中选择 “共享和安全共享和安全”项项 （2 2）在对话框中选中）在对话框中选中“共享该文件夹共享该文件夹”后，就可后，就可 以为共享文件夹设置共享名称和简单的描述内容。以为共享文件夹设置共享名称和简单的

8、描述内容。 若单击若单击“权限权限”按钮，还可以设置共享权限。按钮，还可以设置共享权限。 第6章 文件系统管理与资源共享 Windows Server 2003 网络操作系统网络操作系统 6.2 资源共享 2. 在在“计算机管理计算机管理”中设置共享资源中设置共享资源 6.2.1 设置资源共享设置资源共享 （1）也可以在）也可以在“开始开始”“程序程序”“管理工管理工 具具”“计算机管理计算机管理”中找到中找到“共享文件夹共享文件夹”管理管理 项目，展开左侧项目，展开左侧“共享文件夹共享文件夹”。 （2）右击）右击“共享共享”选项，从弹出的快捷菜单中选选项，从弹出的快捷菜单中选 择择“新建共享

9、新建共享”选项，即可运行选项，即可运行“共享文件夹向共享文件夹向 导导”。 3. 特殊共享特殊共享 常见的特殊共享：常见的特殊共享： driveletter$ ADMIN$ IPC$ PRINT$ Windows Server 2003 网络操作系统网络操作系统 共享文件夹 共享文件夹需求条件共享文件夹需求条件 共享某个文件夹共享某个文件夹 授予权限和修改共享文件夹的设置值授予权限和修改共享文件夹的设置值 Windows Server 2003 网络操作系统网络操作系统 共享文件夹需求条件 需求条件由以下因素确定需求条件由以下因素确定: 共享的文件夹驻留计算机是在域中，还是工作组中。共享的文件

10、夹驻留计算机是在域中，还是工作组中。 共享的文件夹驻留计算机上运行的操作系统。共享的文件夹驻留计算机上运行的操作系统。 在 Windows 2003 域 管理员或服务器管理员或服务器 操作员组操作员组 在 Windows 2003 工作组管理员或超级用户管理员或超级用户 在运行 Windows xp 计算机的客户端管理员或超级用户管理员或超级用户 Windows Server 2003 网络操作系统网络操作系统 共享某个文件夹 Windows Server 2003 网络操作系统网络操作系统 Net share 共享一个文件夹共享一个文件夹 Net share sharename=“Net s

11、hare sharename=“路径路径” 如：如：net share office2003=c:officenet share office2003=c:office 删除共享删除共享 Net share sharename /delNet share sharename /del 如如: net share office /del: net share office /del 小知识：fsmgmt.msc共享文件夹管理器 Windows Server 2003 网络操作系统网络操作系统 共享文件夹权限 Data 共享文件夹许可权限共享文件夹许可权限 读取读取 更改更改 完全控制完全控制 U

12、ser n共享文件夹的累积性共享文件夹的累积性 n拒绝拒绝: u超越其它所有许可超越其它所有许可 u尽量不要授权尽量不要授权 Windows Server 2003 网络操作系统网络操作系统 授予权限和修改共享文件夹的设置值 当你为共享文件夹授予权限: l共享文件夹可以驻留在格式化为NTFS、 FAT或者 FAT32 文件系统的硬盘上 l在 NTFS 卷上，用户还需要适宜的NTFS 权限 可以修改共享文件夹的设置: l停止共享文件夹、修改共享文件名、修 改许可、对一个文件夹创建多次共享、 移除共享、复制和移动一个共享文件夹 Windows Server 2003 网络操作系统网络操作系统 使用

13、管理型共享文件夹 管理员可利用管理共享文件夹执行日常管理管理员可利用管理共享文件夹执行日常管理 任务任务 管理对普通用户隐藏的共享文件夹管理对普通用户隐藏的共享文件夹 管理员拥有管理员拥有 “ “完全控制完全控制” ” 权限权限 IPC$IPC$：文件服务器无法停用：文件服务器无法停用 C$, D$, E$每个分区根默认共享 Admin$C:Winnt 共享成为Admin$（远程管理） Print$ 包含打印机驱动程序文件的文件夹共享为 Print$ (创建于安装第一台打印机时) Windows Server 2003 网络操作系统网络操作系统 查看、创建共享文件夹的方法 查看、创建共享文件夹

14、的方法：查看、创建共享文件夹的方法： l文件服务器管理文件服务器管理 l计算机管理计算机管理 lfsmgmt.mscfsmgmt.msc lNet shareNet share 其他创建共享文件夹的方法：其他创建共享文件夹的方法： 创建资源管理器、创建资源管理器、WebWeb共享共享 Windows Server 2003 网络操作系统网络操作系统 查看共享 Windows Server 2003 网络操作系统网络操作系统 访问共享文件夹 网上邻居网上邻居 Windows Server 2003 网络操作系统网络操作系统 访问共享文件夹 WebWeb浏览器浏览器 l访问访问WebWeb共享共享

15、 l访问普通共享访问普通共享 UNCUNC路径的使用：路径的使用： l运行对话框运行对话框 l浏览器浏览器 l资源管理器、我的电脑资源管理器、我的电脑 l映射网络驱动器映射网络驱动器 隐藏共享访问时不要忘记隐藏共享访问时不要忘记“$”$” Windows Server 2003 网络操作系统网络操作系统 6.2 资源共享 6.2.2 访问网络共享资源访问网络共享资源 企业网络中的客户端计算机，可以根据需要采用企业网络中的客户端计算机，可以根据需要采用 不同方式访问网络共享资源。不同方式访问网络共享资源。 1. 1. 使用网上邻居使用网上邻居 2. 2. 使用使用UNCUNC路径路径 UNC U

16、NC，即，即Universal Namimg ConversionUniversal Namimg Conversion是用于是用于 命名文件和其他资源的一种约定，以两个反斜杠命名文件和其他资源的一种约定，以两个反斜杠 “”开头，指明该资源位于网络计算机上。开头，指明该资源位于网络计算机上。 3. 3. 映射网络驱动器映射网络驱动器 使用命令行工具：使用命令行工具： net use drive Servernamesharenamenet use drive Servernamesharename Windows Server 2003 网络操作系统网络操作系统 卷影副本 Windows Se

17、rver 2003 网络操作系统网络操作系统 卷影副本服务 功能：用户可以通过“共享文件夹的卷影 副本”功能，让系统自动在指定的时间将 所有共享文件夹内的文件复制到另外一个 存储区内备用。当用户通过网络访问共享 文件夹内的文件时，若用户将文件删除或 者修改文件的内容后，却反悔想要救回该 文件或者想要还原文件的原来内容时，他 可以通过“卷影副本”存储区内的旧文件 来达到目的，因为系统之前已经将共享文 件夹内的所有文件，都复制到“卷影副本” 存储区域内。 Windows Server 2003 网络操作系统网络操作系统 启用“共享文件夹的卷影副本”功能 Windows Server 2003 网络

18、操作系统网络操作系统 隐藏的System Volume Infomation 系统会以共享文件夹所在的磁盘空间决定系统会以共享文件夹所在的磁盘空间决定“卷影卷影 副本副本”储存区的容量大小，默认是会配置该磁盘储存区的容量大小，默认是会配置该磁盘 空间的空间的1010作为作为“卷影副本卷影副本”的存储区域，而且的存储区域，而且 该区域的大小最下需要该区域的大小最下需要100MB100MB。 用户可以改变隐藏的用户可以改变隐藏的System Volume InformationSystem Volume Information 的位置，不过必须在启用的位置，不过必须在启用“卷影副本卷影副本”功能前

19、更功能前更 改，启用后就无法更改了。改，启用后就无法更改了。 Windows Server 2003 网络操作系统网络操作系统 更改隐藏的System Volume Infomation Windows Server 2003 网络操作系统网络操作系统 安装客户端和客户端访问 WindirWindirsystem32clientstwclientx86system32clientstwclientx86 客户端访问客户端访问 Windows Server 2003 网络操作系统网络操作系统 权限和数量 “卷影副本卷影副本”内的文件只可以读取，不可以内的文件只可以读取，不可以 修改，而且每个磁盘

20、最多只可以有修改，而且每个磁盘最多只可以有6464个个“卷卷 影副本影副本”，如果达到限制时则最旧的，如果达到限制时则最旧的“卷影卷影 副本副本”会被删除。会被删除。 Windows Server 2003 网络操作系统网络操作系统 6.3 6.3 资源访问权限的控制资源访问权限的控制 6.3.1 NTFS权限的概述权限的概述 NTFSNTFS权限只适用于权限只适用于NTFSNTFS磁盘分区。磁盘分区。NTFSNTFS权限不能权限不能 用于由用于由FATFAT或者或者 FAT32FAT32文件系统格式化的磁盘分区。文件系统格式化的磁盘分区。 Windows 2000/2003Windows 2

21、000/2003只为用只为用NTFSNTFS进行格式化的磁盘分进行格式化的磁盘分 区提供区提供NTFSNTFS权限。权限。 1. NTFS1. NTFS权限的类型权限的类型 （1 1）NTFSNTFS文件夹权限文件夹权限 读取（读取（ReadRead） 写入（写入（WriteWrite） 列出文件夹内容（列出文件夹内容（List Folder ContentsList Folder Contents） 读取和运行（读取和运行（Read & ExecuteRead & Execute） 修改（修改（ModifyModify） 完全控制（完全控制（Full ControlFull Control）

22、 第6章 文件系统管理与资源共享 Windows Server 2003 网络操作系统网络操作系统 6.3 资源访问权限的控制 6.3.1 NTFS权限的概述权限的概述 （2 2）NTFSNTFS文件权限文件权限 读取（读取（ReadRead） 写入（写入（WriteWrite） 读取和运行（读取和运行（Read & ExecuteRead & Execute） 修改（修改（ModifyModify） 完全控制（完全控制（Full ControlFull Control） 2. 2. 多重多重NTFSNTFS权限权限 （1 1）权限是累积的）权限是累积的 （2 2）文件权限超越文件夹权限）文件

23、权限超越文件夹权限 （3 3）拒绝权限超越其他权限）拒绝权限超越其他权限 Windows Server 2003 网络操作系统网络操作系统 6.3.2 共享文件夹权限与共享文件夹权限与NTFS文件系统权限的组合文件系统权限的组合 共享文件夹权限具有以下特点：共享文件夹权限具有以下特点： 共享文件夹权限只适用于文件夹，而不适用于单独的文件。共享文件夹权限只适用于文件夹，而不适用于单独的文件。 共享文件夹权限并不对直接登录到计算机上的用户起作用，共享文件夹权限并不对直接登录到计算机上的用户起作用， 它们只适用于通过网络连接该文件夹的用户。它们只适用于通过网络连接该文件夹的用户。 在在FAT/FAT

24、32FAT/FAT32系统卷上，共享文件夹权限是保证网络资源被系统卷上，共享文件夹权限是保证网络资源被 安全访问的唯一方法。安全访问的唯一方法。 默认的共享文件夹权限是读取，并被指定给默认的共享文件夹权限是读取，并被指定给EveryoneEveryone组。组。 6.3 资源访问权限的控制 Windows Server 2003 网络操作系统网络操作系统 6.3.2 共享文件夹权限与共享文件夹权限与NTFS文件系统权限的组合文件系统权限的组合 当在当在NTFSNTFS卷上为共享文件夹授予权限时，应遵循如下规则卷上为共享文件夹授予权限时，应遵循如下规则： 可以对共享文件夹中的文件和子文件夹应用可

25、以对共享文件夹中的文件和子文件夹应用NTFSNTFS权限。可以权限。可以 对共享文件夹中包含的每个文件和子文件夹应用不同的对共享文件夹中包含的每个文件和子文件夹应用不同的NTFSNTFS权权 限。限。 除共享文件夹权限外，用户必须要有该共享文件夹包含的文除共享文件夹权限外，用户必须要有该共享文件夹包含的文 件和子文件夹的件和子文件夹的NTFSNTFS权限，才能访问那些文件和子文件夹。权限，才能访问那些文件和子文件夹。 在在NTFSNTFS卷上必须要求卷上必须要求NTFSNTFS权限。默认权限。默认EveryoneEveryone组具有组具有“完全完全 控制控制”权限。权限。 6.3 资源访问权

26、限的控制 Windows Server 2003 网络操作系统网络操作系统 6.3.3 NTFS权限的继承性权限的继承性 1. 权限的继承性 默认情况下，授予父文件夹的任何权限也将应用默认情况下，授予父文件夹的任何权限也将应用 于包含在该文件夹中的子文件夹和文件。当授予访问于包含在该文件夹中的子文件夹和文件。当授予访问 某个文件夹的某个文件夹的 NTFSNTFS权限时，就将授予该文件夹的权限时，就将授予该文件夹的 NTFSNTFS权限授予了该文件夹中任何现有的文件和子文件权限授予了该文件夹中任何现有的文件和子文件 夹，以及在该文件夹中创建的任何新文件和新的子文夹，以及在该文件夹中创建的任何新文

27、件和新的子文 件夹。件夹。 2. 阻止权限的继承性 阻止权限的继承，也就是阻止子文件夹和文件从阻止权限的继承，也就是阻止子文件夹和文件从 父文件夹继承权限。为了阻止权限的继承，要删除继父文件夹继承权限。为了阻止权限的继承，要删除继 承来的权限，只保留被明确授予的权限。承来的权限，只保留被明确授予的权限。 6.3 资源访问权限的控制 Windows Server 2003 网络操作系统网络操作系统 6.3 资源访问权限的控制 NTFS权限可以实现高度的本地安全性，通过对用 户赋予NTFS权限可以有效地控制用户对文件和文 件夹的访问。 NTFS分区上的每一个文件和文件夹都有一个列表， 被称为ACL

28、（Access Control List，访问控制列 表），该列表记录了每一用户和组对该资源的访 问权限。 在默认情况下NTFS权限具有继承性，即文件和文 件夹继承来自其上层文件夹的权限。 Windows Server 2003 网络操作系统网络操作系统 NTFS 权限介绍 文件权限文件权限文件夹权限文件夹权限 完全控制完全控制 修改修改 读取和执行读取和执行 写入写入 读取读取 列出文件夹目录列出文件夹目录 完全控制完全控制 修改修改 读取和运行读取和运行 写入写入 读取读取 Windows Server 2003 网络操作系统网络操作系统 标准NTFS文件权限的类型 Windows Ser

29、ver 2003 网络操作系统网络操作系统 NTFS 权限介绍 NTFS分区分区 User1 User2 Group1 User1 读取读取 Group1 完全控制完全控制 Windows Server 2003 网络操作系统网络操作系统 使用NTFS权限控制文件与文件夹的访问 Windows Server 2003 网络操作系统网络操作系统 文件夹属性可以看到添加的用户 Windows Server 2003 网络操作系统网络操作系统 高级安全设置 Windows Server 2003 网络操作系统网络操作系统 权限项目对话框 Windows Server 2003 网络操作系统网络操作系

30、统 高级安全设置所有者选项卡 Windows Server 2003 网络操作系统网络操作系统 高级安全设置有效权限 Windows Server 2003 网络操作系统网络操作系统 多个NTFS权限 NTFS权限的累积 文件权限超越文件夹权限 拒绝权限超越其它权限 File1 File2 Group B Group A User1 Read/Write Folder A NTFS Partition Windows Server 2003 网络操作系统网络操作系统 NTFS权限的使用法则 权限最大法则（权限的累加性）权限最大法则（权限的累加性） 用户对每个资源的有效权限是其所有权限的总和用户

31、对每个资源的有效权限是其所有权限的总和 文件权限超越文件夹权限文件权限超越文件夹权限 拒绝权限超越其它所有权限拒绝权限超越其它所有权限 权限的两种状态：权限的两种状态：“允许允许”和和“拒绝拒绝”。 不允许，也不拒绝不允许，也不拒绝 Windows Server 2003 网络操作系统网络操作系统 NTFS 权限继承 Access to FolderB FolderA FolderB 权限继承权限继承 Read / Write 阻止权限继承阻止权限继承 No access to FolderB FolderA FolderB FolderC Read / Write Windows Serve

32、r 2003 网络操作系统网络操作系统 NTFS 权限继承 权限继承权限继承 授予父文件夹的任何权限也将应用于包含授予父文件夹的任何权限也将应用于包含 在该文件夹中的子文件夹和文件包括新建在该文件夹中的子文件夹和文件包括新建 的文件和文件夹。的文件和文件夹。 阻止权限继承阻止权限继承 删除继承来的权限，只保留被明确授予删除继承来的权限，只保留被明确授予 的权限的权限. .这时，被阻止从父文件夹继承权限这时，被阻止从父文件夹继承权限 的子文件夹就成新的父文件夹。的子文件夹就成新的父文件夹。 Windows Server 2003 网络操作系统网络操作系统 6.3.5 利用利用NTFS权限管理数据

33、权限管理数据 1. 1. 授予标准授予标准NTFSNTFS权限权限 （1 1）NTFSNTFS文件夹权限文件夹权限 （2 2）NTFSNTFS文件权限文件权限 2. 2. 授予特殊访问权限授予特殊访问权限 有有1313项项SpecialSpecial访问权限，把他们组合在一起就构访问权限，把他们组合在一起就构 成了标准的成了标准的NTFSNTFS权限。其中两个权限。其中两个SpecialSpecial访问权限，访问权限， 对于管理文件和文件夹的访问来说特别有用。对于管理文件和文件夹的访问来说特别有用。 （1 1）更改权限。）更改权限。 （2 2）获得所有权。）获得所有权。 6.3 资源访问权限

34、的控制 Windows Server 2003 网络操作系统网络操作系统 复制和移动文件夹是NTFS权限的变化 实验之前在目标和本地创建新的文件夹和文实验之前在目标和本地创建新的文件夹和文 件，首先确定目标和本地的权限，移动或件，首先确定目标和本地的权限，移动或 复制之后，得出结论，复制或移动的文件复制之后，得出结论，复制或移动的文件 是保留源文件夹的权限，还是继承目的文是保留源文件夹的权限，还是继承目的文 件夹的权限件夹的权限 NTFS Partition C: NTFS Partition E: NTFS Partition D: Move Copy Copy Or Move Window

35、s Server 2003 网络操作系统网络操作系统 移动和拷贝对NTFS权限的影响 同一同一NTFSNTFS分区分区 同一同一NTFSNTFS分区分区 Inherits 不同不同NTFSNTFS分区分区不同不同NTFSNTFS分区分区 DC AB Windows Server 2003 网络操作系统网络操作系统 6.3.4 复制和移动文件和文件夹复制和移动文件和文件夹 1. 1. 复制文件和文件夹复制文件和文件夹 当从一个文件夹向另一个文件夹复制文件或者文当从一个文件夹向另一个文件夹复制文件或者文 件夹时，或者从一个磁盘分区向另一个磁盘分区复制件夹时，或者从一个磁盘分区向另一个磁盘分区复制

36、文件或者文件夹时，这些文件或者文件夹具有的权限文件或者文件夹时，这些文件或者文件夹具有的权限 可能发生变化。可能发生变化。 2. 2. 移动文件和文件夹移动文件和文件夹 当移动某个文件或者文件夹的位置时，依赖于目当移动某个文件或者文件夹的位置时，依赖于目 的地文件夹的权限情况，针对这些文件或者文件夹的的地文件夹的权限情况，针对这些文件或者文件夹的 权限可能发生变化。权限可能发生变化。 6.3 资源访问权限的控制 Windows Server 2003 网络操作系统网络操作系统 课堂讨论: 应用 NTFS 权限 nUsers Group 对文件夹有读的权限对文件夹有读的权限 nSales Gro

37、up 对文件夹有写的权限对文件夹有写的权限 nUsers Group 对文件夹有修改的权对文件夹有修改的权 限限 n文件只能被文件只能被sales group组访问，并且是组访问，并且是 读的权限读的权限 File2 文件夹文件夹1 文件夹文件夹 File1 Users Group Sales Group User1 1？ 2？ NTFS Partition nUsers Group 对文件夹对文件夹1有写的权限有写的权限 nSales Group 对文件夹对文件夹1有读的权限有读的权限 Windows Server 2003 网络操作系统网络操作系统 关于授予NTFS权限的最佳实践 尽量用为

38、组授权代替为用户授权尽量用为组授权代替为用户授权 将资源分类分组管理将资源分类分组管理 只授予用户要求级别的访问权限只授予用户要求级别的访问权限 针对应用程序文件夹授权时针对应用程序文件夹授权时,授予授予“读和执行读和执行”权限权限 按照组的成员所要求的对资源的访问方式创建组按照组的成员所要求的对资源的访问方式创建组 Windows Server 2003 网络操作系统网络操作系统 6.4 6.4 加密文件系统（加密文件系统（EFSEFS）与压缩）与压缩 6.4.1 加密文件系统概述加密文件系统概述 EFSEFS具有下面几个关键的功能特征：具有下面几个关键的功能特征： （1 1）它在后台运行，

39、对用户和应用程序来说是透）它在后台运行，对用户和应用程序来说是透 明的。明的。 （2 2）只有被授权的用户才能访问加密的文件。）只有被授权的用户才能访问加密的文件。 （3 3）它提供内置的数据恢复支持功能。）它提供内置的数据恢复支持功能。 （4 4）它要求至少有一个恢复代理，用以恢复加密）它要求至少有一个恢复代理，用以恢复加密 的文件。的文件。 第6章 文件系统管理与资源共享 Windows Server 2003 网络操作系统网络操作系统 6.4 加密文件系统（EFS）与压缩 6.4.2 加密文件或文件夹加密文件或文件夹 使用加密文件系统需要注意以下事项：使用加密文件系统需要注意以下事项：

40、为确保最高安全性，在创建敏感文件以前将其所在为确保最高安全性，在创建敏感文件以前将其所在 的文件夹加密。因为这样所创建的文件将是加密文的文件夹加密。因为这样所创建的文件将是加密文 件，文件的数据就不会以纯文本的格式写到磁盘上。件，文件的数据就不会以纯文本的格式写到磁盘上。 加密文件夹而不是加密单独的文件，以便如果程序加密文件夹而不是加密单独的文件，以便如果程序 在编辑期间创建了临时文件，这些临时文件也会被在编辑期间创建了临时文件，这些临时文件也会被 加密。加密。 1.指定的故障恢复代理应该将数据恢复证书和私钥导指定的故障恢复代理应该将数据恢复证书和私钥导 出到磁盘中，并确保它们处于安全的位置，

41、同时将出到磁盘中，并确保它们处于安全的位置，同时将 数据恢复私钥从系统中删除。这样，唯一可以为系数据恢复私钥从系统中删除。这样，唯一可以为系 统恢复数据的人就是可以物理访问数据恢复私钥的统恢复数据的人就是可以物理访问数据恢复私钥的 人。人。 Windows Server 2003 网络操作系统网络操作系统 6.4 加密文件系统（EFS）与压缩 EFS内置于 Windows 2003中的 NTFS文件系统中。 利用 EFS可以启用基于公共密钥的文件级或者文 件夹级的保护功能。 Windows Server 2003 网络操作系统网络操作系统 特征 （1 1）它在后台运行，对用户和应用程序来说是透

42、明的。）它在后台运行，对用户和应用程序来说是透明的。 （2 2）只有被授权的用户才能访问加密的文件。）只有被授权的用户才能访问加密的文件。 （3 3）它提供内置的数据恢复支持功能。）它提供内置的数据恢复支持功能。 （4 4）它要求至少有一个恢复代理，用以恢复加密的文）它要求至少有一个恢复代理，用以恢复加密的文 件。件。 注意：注意：加密操作和压缩操作是互斥的。因此，建议或者加密操作和压缩操作是互斥的。因此，建议或者 采用加密技术，或者对文件进行压缩，二者不能同采用加密技术，或者对文件进行压缩，二者不能同 时采用。时采用。 Windows Server 2003 网络操作系统网络操作系统 加密文

43、件或文件夹 Windows Server 2003 网络操作系统网络操作系统 6.4 加密文件系统（EFS）与压缩 6.4.3 备份密钥备份密钥 操作过程：操作过程： （1 1） 运行运行certmgr.MSC certmgr.MSC （2 2）依次打开）依次打开“当前用户当前用户”“”“个人个人”“”“证书证书”目录树，目录树， 打开打开“证书导出向导证书导出向导”对话框。对话框。 （3 3）进入）进入“导出私钥导出私钥”对话框，选对话框，选“是，导出私钥是，导出私钥” ” 按钮。按钮。 （4 4）进入）进入“导出文件格式导出文件格式”对话框。选对话框。选“个人信息交换个人信息交换 - -

44、PKCS #12 PKCS #12 （.PFX.PFX）”。 （5 5）指定在导入证书时要用到的密码。）指定在导入证书时要用到的密码。 （6 6）指定要导出证书和私钥的文件名和位置。）指定要导出证书和私钥的文件名和位置。 （7 7）继续安装，完成证书导出向导。）继续安装，完成证书导出向导。 （8 8）回到）回到“证书控制台证书控制台”窗口，可以看到后缀名为窗口，可以看到后缀名为“pfx”pfx” 的证书文件。的证书文件。 Windows Server 2003 网络操作系统网络操作系统 实验：EFS加密恢复 1 1、授权访问：、授权访问： 2 2、证书恢复：、证书恢复： jwjw登录，加密自己

45、的文件，然后将自己的私登录，加密自己的文件，然后将自己的私 钥导出钥导出 jyjy登录，将登录，将jwjw的私钥导入，然后即可打开的私钥导入，然后即可打开jwjw 加密的文件加密的文件 Windows Server 2003 网络操作系统网络操作系统 Windows Server 2003 网络操作系统网络操作系统 XP/2003的EFS恢复代理 Windows Server 2003 网络操作系统网络操作系统 6.4 加密文件系统（EFS）与压缩 6.4.4 文件压缩文件压缩 1. NTFS1. NTFS压缩压缩 NTFS NTFS压缩是压缩是NTFSNTFS文件系统内置的功能，压缩和文件系

46、统内置的功能，压缩和 解压缩对于用户而言是透明的。用户对文件或解压缩对于用户而言是透明的。用户对文件或 文件夹应用压缩时，系统会在后台自动对文件文件夹应用压缩时，系统会在后台自动对文件 或文件夹进行压缩和解压，用户无需干涉。或文件夹进行压缩和解压，用户无需干涉。 2. 2. 压缩（压缩（zippedzipped）文件夹压缩）文件夹压缩 NTFS NTFS压缩只能应用在压缩只能应用在NTFSNTFS卷上，用压缩文件夹卷上，用压缩文件夹 进行文件压缩可以应用在进行文件压缩可以应用在FAT16FAT16、FAT32FAT32和和NTFSNTFS 卷上。利用资源管理器创建压缩文件夹，复制卷上。利用资源

47、管理器创建压缩文件夹，复制 到该文件夹下的文件被自动压缩。到该文件夹下的文件被自动压缩。 Windows Server 2003 网络操作系统网络操作系统 两种压缩类型 NTFS压缩压缩 压缩文件夹压缩文件夹 Windows Server 2003 网络操作系统网络操作系统 NTFS压缩的特点 系统必须有NTFS驱动器，否则不能实现NTFS压 缩 可以利用NTFS压缩文件，文件夹和NTFS驱动器 可以压缩一个文件夹而不压缩其中的内容 可以直接使用NTFS压缩文件，而不必将它们解压 缩 使用NTFS压缩文件时会降低性能 可以使用不同的颜色来显示压缩文件和文件夹名 称 NTFS压缩文件和文件夹仅当

48、它们存储在NTFS驱 动器时才会保持压缩状态 Windows Server 2003 网络操作系统网络操作系统 压缩文件夹的特点 可以在FAT、FAT32、NTFS分区上压缩文件 可以直接运行压缩文件夹中的某些程序，而无需 将其解压，还可以直接从压缩文件夹打开文件 可以将压缩文件和文件夹移动到计算机上的任意 驱动器或文件夹，它们与其他文件压缩程序兼容 可以通过拉链图标来识别这种压缩文件夹 不会降低计算机性能 要压缩文件夹压缩单个文件，必须先创建一个压 缩文件夹，然后将这些文件移动或复制到这个文 件夹 Windows Server 2003 网络操作系统网络操作系统 NTFS和压缩文件夹压缩 属

49、性NTFS压缩压缩文件夹 文件系统NTFSFAT、FAT32、 NTFS 压缩对象文件、文件夹、 驱动器 文件、文件夹 对系统性能影响降低系统性能无影响 口令保护无可实现 文件加密无文件加密可实现文件加密 颜色标识有无 图标标识无可用拉链标识 Windows Server 2003 网络操作系统网络操作系统 移动和拷贝对NTFS压缩属性的影响 同一同一NTFSNTFS分区分区同一同一NTFSNTFS分区分区 Inherits A 不同不同NTFSNTFS分区分区不同不同NTFSNTFS分区分区 D B C Windows Server 2003 网络操作系统网络操作系统 关于压缩属性的最佳实践

50、 确定压缩文件类型确定压缩文件类型 不要重复压缩不要重复压缩 为压缩文件和压缩文件夹使用不同颜色加以区别为压缩文件和压缩文件夹使用不同颜色加以区别 压缩不经常使用的数据压缩不经常使用的数据 Windows Server 2003 网络操作系统网络操作系统 6.5 6.5 分布式文件系统分布式文件系统 6.5.1 分布式文件系统的概述分布式文件系统的概述 分布式文件系统有两种类型：域分布式文件系统和独立分布式文件系统有两种类型：域分布式文件系统和独立 的根目录分布式文件系统。的根目录分布式文件系统。 l. DFS l. DFS名称空间名称空间 2. DFS 2. DFS根目录类型：独立根目录和基

51、于域的根目录。根目录类型：独立根目录和基于域的根目录。 3. 3. 目录目标目录目标 4. DFS 4. DFS链接：链接：DFSDFS名称空间内的一个逻辑文件夹名称空间内的一个逻辑文件夹 5. 5. 目标目标 DFS DFS根目录或根目录或DFSDFS链接的映射目标，对应于在网络上共享链接的映射目标，对应于在网络上共享 的物理目录。的物理目录。 （1 1）域根目录）域根目录 （2 2）独立的根目录）独立的根目录 第6章 文件系统管理与资源共享 Windows Server 2003 网络操作系统网络操作系统 DFS根的类型 DFS根由DFS形成的共享文件夹树状结构的根 目录，也称为DFS根目

52、录。 DFS根是整个DFS树状拓扑结构的起点，在“网上 邻居”中以共享文件夹形式显示。其中包含指向 其他服务器上的共享文件夹的DFS链接。 DFS根包括两种类型：独立DFS根和域DFS根 Windows Server 2003 网络操作系统网络操作系统 DFS根的类型 独立DFS根域DFS根 位置 创建该根的计算机的注册 表中，不发布到AD中。 独立DFS根可以放置在任 何一台计算机上。 域中的DC或成员服 务器上，并发布到 AD中。 特点 没有根级别的DFS共享文 件夹； 不提供容错和负载均衡的 功能（不存在副本）； 只支持单一级别的DFS链 接。 有根级别的DFS共 享文件夹； 支持多个级

53、别的 DFS链接。 提供容错和负载均 衡的功能（存在副 本）。 Windows Server 2003 网络操作系统网络操作系统 创建DFS根 创建创建DFSDFS根需要考虑的因素：根需要考虑的因素： DFSDFS根类型根类型 DFSDFS根所存在的域根所存在的域 在众多服务器中选择一个服务器作为在众多服务器中选择一个服务器作为DFSDFS根的驻留服务器根的驻留服务器 指定指定DFSDFS根目录共享并赋予该根目录共享并赋予该DFSDFS根一个名称（唯一）根一个名称（唯一） Windows Server 2003 网络操作系统网络操作系统 6.5 分布式文件系统 6.5.2 实现分布式文件系统实