管理文件与文件夹权限(WINDOWS)

1、管理文件与文件夹权限管理文件与文件夹权限计算机网络安全技术计算机网络安全技术教师:郑开涛TELQ:33732587Email:讲课提纲讲课提纲v任务描述任务描述v任务目标任务目标v任务分析任务分析v任务分解任务分解v任务实施任务实施v任务总结任务总结v任务拓展任务拓展任务描述任务描述XX公司因工作需要，经常使用文件服务来管理员公司因工作需要，经常使用文件服务来管理员工之间的文件传递，公司要求：工之间的文件传递，公司要求： 经理级人员不但能完全管理经理文件夹，且能对员经理级人员不但能完全管理经理文件夹，且能对员工文件夹的内容进行修改，但不能删除；工文件夹的内容进行修改，

2、但不能删除； 员工级人员只能管理员工文件夹，不能读取经理文员工级人员只能管理员工文件夹，不能读取经理文件夹；件夹； 由于服务器器空间消耗量很大，为了避免员工随意由于服务器器空间消耗量很大，为了避免员工随意将一些不必要的文件放在服务器上，需要限制用户将一些不必要的文件放在服务器上，需要限制用户可以使用的磁盘空间（普通员工限制为可以使用的磁盘空间（普通员工限制为100MB，部，部门经理限制为门经理限制为300MB）.任务目标任务目标vNTFS权限和共享权限实现用户和组访问文权限和共享权限实现用户和组访问文件夹和文件的安全性件夹和文件的安全性 理解理解NTFS权限概念权限概念 掌握掌握NTFS权限的

3、组合权限的组合 理解移动和复制对权限的影响理解移动和复制对权限的影响 创建共享文件夹创建共享文件夹 掌握掌握访问共享文件夹的方法访问共享文件夹的方法 理解理解共享权限与共享权限与NTFS权限权限 掌握磁盘配额的配置掌握磁盘配额的配置任务分析任务分析J分析：分析： 通过设置文件夹访问权限来通过设置文件夹访问权限来保护文件的安全。保护文件的安全。 通过设置磁盘配额来限制用通过设置磁盘配额来限制用户使用服务器空间。户使用服务器空间。 通过通过查看事件日志查看事件日志来观察安来观察安全的情况全的情况任务分解任务分解J 建立用户与用户组（上节课已学习过）建立用户与用户组（上节课已学习过）J 设置安全共享

4、访问（上节课已学习过）设置安全共享访问（上节课已学习过）J 设置设置NTFS权限与共享权限权限与共享权限J 设置磁盘配额设置磁盘配额J 查看查看事件事件日志日志任务实施任务实施J 建立用户与用户组建立用户与用户组 建立用户组建立用户组USER（普通员工组）和（普通员工组）和MASTER（经理（经理组）组） 建立代表用户建立代表用户User01 （普通员工）和（普通员工）和Master01（经（经理）理） 加入组加入组USERUser01User nMASTERMaster01Master n用户组用户组用户用户任务实施任务实施J 设置安全共享访问设置安全共享访问 设置各用户密码（含超级用户）设

5、置各用户密码（含超级用户） 分配用户权限分配用户权限任务实施任务实施J 设置安全共享访问设置安全共享访问 设置安全选项设置安全选项任务实施任务实施J 设置安全共享访问设置安全共享访问 更新策略（更新策略（gpupdate /force） 设置共享文件夹设置共享文件夹USER和和MASTER 访问共享文件夹就输入用户名与密码访问共享文件夹就输入用户名与密码任务实施任务实施J 设置设置NTFS权限与共享权限权限与共享权限 NTFS概述概述 NTFS权限含义权限含义 获得获得NTFS 文件夹的文件夹的NTFS权限权限 文件的文件的NTFS权限权限 特别的权限特别的权限 取得文件或文件夹的所有权取得文

6、件或文件夹的所有权 NTFS权限的应用规则权限的应用规则 复制和移动操作对权限复制和移动操作对权限 共享权限共享权限NTFS概述概述vNTFS特点特点可以设置权限可以设置权限支持更大的磁盘容量支持更大的磁盘容量压缩功能压缩功能文件加密文件加密AD需要使用需要使用 NTFS磁盘配额磁盘配额NTFS权限含义权限含义vNTFS文件系统可以针对文件系统可以针对不同用户和组设置各种访不同用户和组设置各种访问权限问权限 v只有被授予权限的用户或只有被授予权限的用户或组才能访问组才能访问v文件或文件夹的属性中有文件或文件夹的属性中有【安全】选项卡【安全】选项卡v访问控制列表访问控制列表(ACL)v访问控制项

7、访问控制项(ACE)安全选项卡安全选项卡获得获得NTFSv格式化格式化v命令命令:convert e: /fs:ntfsv第三方软件第三方软件文件夹的文件夹的NTFS权限权限v完全控制完全控制v修改读取和运行修改读取和运行v列出文件夹目录列出文件夹目录v读取读取v写入写入v特别的权限特别的权限文件的文件的NTFS权限权限v完全控制完全控制v修改修改v读取和运行读取和运行v读取读取v写入写入v特别的权限特别的权限特别的权限特别的权限 v和【安全】选和【安全】选项卡相关项卡相关读取权限读取权限更改权限更改权限取得所有权取得所有权取得文件或文件夹的所有权取得文件或文件夹的所有权 v取得所有权取得所有

8、权v管理员没有所有权管理员没有所有权不能修改权限不能修改权限v管理员取得所有权管理员取得所有权可以修改权限可以修改权限阶段练习阶段练习J背景背景网管员无权访问某些文件夹网管员无权访问某些文件夹如何获得访问权限如何获得访问权限J目标目标设置设置NTFS权限权限 取得所有权取得所有权 NTFS权限的应用规则权限的应用规则 v权限的组合权限的组合 v权限的继承权限的继承v权限的拒绝权限的拒绝v移动和复制操作对权限的影响移动和复制操作对权限的影响权限的组合权限的组合v用户对资源的有效权限是分配给用户帐户用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的累加权限的权限和用户所属各个组的累加权限

9、例如例如user属于组属于组group1和和group2权限的拒绝权限的拒绝v拒绝权限可以覆盖所有其他权限拒绝权限可以覆盖所有其他权限v可以设置拒绝用户帐户也可以拒绝组可以设置拒绝用户帐户也可以拒绝组例如例如user属于组属于组group1和和group2权限的继承权限的继承2-1 v新建的的子文件夹新建的的子文件夹和文件会继承上一和文件会继承上一级目录的权限级目录的权限v根目录下的文件夹根目录下的文件夹或文件继承磁盘分或文件继承磁盘分区的权限区的权限FolderAFolderB继承权限继承权限Read / Write权限的继承权限的继承2-2v可以拒绝继可以拒绝继承上级权限承上级权限v可以强

10、制下可以强制下级继承权限级继承权限从上继承从上继承向下继承向下继承阻止继承阻止继承FolderAFolderBFolderCRead / Write复制和移动操作对权限的影响复制和移动操作对权限的影响 NTFS分区分区移动移动复制复制相同相同保留原来的权限保留原来的权限继承目的地文件夹的继承目的地文件夹的权限权限不同不同继承目的地文件夹的继承目的地文件夹的权限权限继承目的地文件夹的继承目的地文件夹的权限权限NTFS PartitionC:NTFS PartitionE:NTFS PartitionD:MoveCopyCopyOrMove复制的影响复制的影响 移动的影响移动的影响阶段练习阶段练习

11、J背景背景XX公司的行政部和人事部的员工需要对某文件公司的行政部和人事部的员工需要对某文件夹有读取和写入权限夹有读取和写入权限其他部门的员工有读取权限其他部门的员工有读取权限 J目标目标设置设置NTFS权限权限 什么是共享文件夹什么是共享文件夹v什么是共享文件夹什么是共享文件夹v共享文件夹的优点共享文件夹的优点v共享文件夹的特征共享文件夹的特征共享后的文件夹共享后的文件夹创建共享文件夹创建共享文件夹v创建共享文件夹创建共享文件夹启用共享启用共享共享名共享名注释信息注释信息连接用户数连接用户数权限权限删除共享文件夹删除共享文件夹v删除文件夹共享删除文件夹共享v删除时警告信息删除时警告信息访问共享

12、文件夹访问共享文件夹3-1v网上邻居网上邻居通过浏览方式，速度较慢通过浏览方式，速度较慢访问共享文件夹访问共享文件夹3-2vUNC路径组成路径组成服务器名服务器名ip地址地址v输入输入UNC路径路径【开始】【开始】|【运行】对话框【运行】对话框资源管理器的【地址】栏资源管理器的【地址】栏IE的【地址】栏的【地址】栏vUNC路径可以快速访问共路径可以快速访问共享文件夹享文件夹UNC访问共享文件夹访问共享文件夹访问共享文件夹访问共享文件夹3-3v映射网络驱动器映射网络驱动器v如何映射网络驱动器如何映射网络驱动器映射网络驱动器映射网络驱动器共享权限共享权限2-1共享权限共享权限网络用户可以网络用户可

13、以读取读取(Read)(默认权限默认权限, 被被分配给分配给 Everyone 组组)查看文件内容和属性查看文件内容和属性查看文件名称和子文件夹名称查看文件名称和子文件夹名称运行程序运行程序更改更改(Change)(包括包括 Read 权限权限)创建文件和子文件夹创建文件和子文件夹修改文件内容修改文件内容删除文件和文件夹删除文件和文件夹完全控制完全控制(Full Control)包括包括 Read 和和 Change 权限权限允许修改文件和文件夹的允许修改文件和文件夹的NTFS权限权限共享权限共享权限2-2v配置共享权限配置共享权限默认为默认为Everyone读取读取可以添加其他用户和可以添加

14、其他用户和组组共享权限通过网络访共享权限通过网络访问时有效问时有效共享权限与共享权限与NTFS权限权限2-1v共享权限只对通过网络共享权限只对通过网络访问的用户有效访问的用户有效vNTFS权限对本地用户权限对本地用户和网络用户都有效和网络用户都有效v如果共享文件夹存储在如果共享文件夹存储在NTFS文件系统上，还文件系统上，还要考虑要考虑NTFS权限权限v网络访问取两种权限中网络访问取两种权限中最严格的权限有效最严格的权限有效UsersReadChangeFCFile1File2PublicNTFS Volume共享权限与共享权限与NTFS权限权限2-2文件夹的共享权限是完全控制文件夹的共享权限

15、是完全控制file1和和file2的的NTFS权限分别权限分别是读取和修改是读取和修改那么用户通过网络对那么用户通过网络对file1和和file2的权限是读取和修改的权限是读取和修改读取读取修改修改完全控完全控制制File1File2文件夹文件夹NTFS 卷卷注：红色的权限是共享权限，黑色的权限是注：红色的权限是共享权限，黑色的权限是NTFS权限权限共享权限与共享权限与NTFS权限权限2-3共享权限共享权限NTFS权限权限网络访问有效权限网络访问有效权限完全控制完全控制完全控制完全控制完全控制完全控制修改修改更改更改读取读取读取读取拒绝访问拒绝访问拒绝访问拒绝访问更改更改完全控制完全控制更改更

16、改修改修改更改更改读取读取读取读取拒绝访问拒绝访问拒绝访问拒绝访问读取读取完全控制完全控制读取读取修改修改读取读取读取读取读取读取拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问完全控制完全控制拒绝访问拒绝访问修改修改拒绝访问拒绝访问读取读取拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问阶段练习阶段练习: 确定有效的确定有效的NTFS和共享权限和共享权限在本练习中在本练习中: 确定有效的确定有效的NTFS权限权限确定共享权限确定共享权限NTFS VolumeUsersUsers GroupFCUser3User3FCUser2User2FCUser1User1FC1NTFS VolumeDa

17、taSales GroupRPubsHRSales GroupSalesFC2任务实施任务实施J 设置设置NTFS权限与共享权限权限与共享权限 通过上面的学习，大家先考虑如何设置通过上面的学习，大家先考虑如何设置NTFS权限和共享才能满足企业的要求？权限和共享才能满足企业的要求？任务实施任务实施J 设置磁盘配额设置磁盘配额 磁盘配额概念磁盘配额概念 启用磁盘配额启用磁盘配额C:D:E:F: 磁盘配额概念磁盘配额概念v磁盘配额与用户磁盘配额与用户 磁盘配额限制用户帐户使用卷（或分区）的磁磁盘配额限制用户帐户使用卷（或分区）的磁盘空间盘空间磁盘配额是以文件所有权为基础的磁盘配额是以文件所有权为基础

18、的 当启用磁盘配额后，当启用磁盘配额后，Administrators组成员不组成员不受限制受限制v磁盘配额与卷磁盘配额与卷 磁盘配额只适用于卷（或分区），且不受卷的磁盘配额只适用于卷（或分区），且不受卷的文件夹结构及物理磁盘上的布局的影响文件夹结构及物理磁盘上的布局的影响必须在必须在NTFS文件系统上实现文件系统上实现启用磁盘配额启用磁盘配额2-1 v启用磁盘配额启用磁盘配额启用磁盘配额启用磁盘配额拒绝将磁盘空间给超过拒绝将磁盘空间给超过配额的用户配额的用户磁盘空间限制磁盘空间限制警告等级警告等级记录事件记录事件启用磁盘配额启用磁盘配额2-2 v设置配额项设置配额项启用磁盘配额和设启用磁盘配额

19、和设置配额项置配额项任务实施任务实施J 查看查看事件事件日志日志任务总结 v共享文件夹权限仅适用于通过网络访问共享共享文件夹权限仅适用于通过网络访问共享目录的用户，对计算机上工作的用户无效目录的用户，对计算机上工作的用户无效v而而NTFS权限既适用于通过网络访问共享目权限既适用于通过网络访问共享目录的用户，也适用于在计算机上工作的用户。录的用户，也适用于在计算机上工作的用户。v在共享文件夹权限中兼用用户权限和组权限在共享文件夹权限中兼用用户权限和组权限时，有效权限是累积的，但有时，有效权限是累积的，但有“拒绝访问拒绝访问”权限除外权限除外v兼用共享文件夹权限和兼用共享文件夹权限和NTFS权限时

20、，有效权限时，有效权限是是限制最大的权限权限是是限制最大的权限 任务总结vNTFS权限中兼用用户权限和组权限时，有效权限中兼用用户权限和组权限时，有效权限是累积的，但有权限是累积的，但有“拒绝访问拒绝访问”权限除外权限除外v对于对于NTFS权限，文件权限优于文件夹权限权限，文件权限优于文件夹权限v使用使用NTFS权限是提供本地安全性的唯一的途权限是提供本地安全性的唯一的途径径v共享文件夹权限是共享文件夹权限是FAT分区上提供本地安全性分区上提供本地安全性的唯一的途径，并且仅当从网络访问资源时才的唯一的途径，并且仅当从网络访问资源时才有效有效任务拓展任务拓展 v 某公司在服务器上设置一个共享文件夹某公司在服务器上设置一个共享文件夹Shared。v 公司要三个部门共用这个文件夹，现公司要求作如下数公司要三个部