项目5 管理文件系统与共享资源

项目5管理文件系统与共享资源网络中最重要的是安全，安全中最重要的是权限。权限决定着用户可以访问的数据、资源，也决定着用户享受的服务。更甚者，权限决定着用户拥有什么样的桌面。理解NTFS和它的能力，对于高效地在WindowsServer2022中实现这种功能来说是非常重要的。2项目背景学习要点掌握设置共享资源和访问共享资源的方法。掌握卷影副本的使用方法。掌握使用NTFS控制资源访问的方法。 掌握使用文件系统加密文件的方法。掌握压缩文件的方法。学习要点素质要点了解图灵奖，激发学生的求知欲，从而激发学生的潜能。“观众器者为良匠，观众病者为良医。”“为学日益，为道日损。”学生要多动脑、多动手，只有多实践、多积累，才能提高技艺，也才能成为优秀的“工匠”。素质要点01.项目基础知识contents目录02.项目设计及准备03.项目实施04.习题与实训项目基础知识为学日益，为道日损。5.1文件、文件夹和文件系统文件和文件夹是计算机系统组织数据的集合单位。WindowsServer提供了强大的文件管理功能，其NTFS具有高安全性能，用户可以十分方便地在计算机或网络中处理、使用、组织、共享和保护文件及文件夹。文件系统是指文件命名、存储和组织的总体结构，运行WindowsServer的计算机的磁盘分区可以使用3种类型的文件系统：FAT16、FAT32和NTFS。FAT文件系统01.FAT文件系统

contents目录02.NTFS文件系统03.管理访问概述04.拓展阅读图灵奖FAT文件系统功崇惟志，业广惟勤。5.1.1FAT文件系统FAT文件系统，全称FileAllocationTable（文件配置表），是一种由微软发明并拥有部分专利的文件系统。FAT包括FAT16和FAT32两种。FAT是一种适合小卷集、对系统安全性要求不高、需要双重引导的用户应选择使用的文件系统。这种文件系统最初是为了MS-DOS设计的，并且也是所有非NT核心的微软窗口操作系统（如Windows95、98、ME等）所使用的文件系统。FAT文件系统因其简单性而被广泛支持。

FAT文件系统FAT16文件系统FAT16支持的最大分区是216（即65536）个簇，每个簇有64个扇区，每个扇区为512字节，所以支持的最大分区为2GB。FAT16最大的缺点就是簇的大小和分区有关，这样当外存中存放较多小文件时，会浪费大量的空间。FAT文件系统FAT16文件系统FAT32是FAT16的派生文件系统，支持最大2TB（2048GB）的磁盘分区。它使用的簇比FAT16的要小，从而有效地节约了磁盘空间。FAT文件系统FAT文件系统FAT是一种最初用于小型磁盘和简单文件夹结构的简单文件系统。它向后兼容，最大的优点是适用于所有的Windows操作系统。另外，FAT在容量较小的卷上使用效果比较好，因为FAT启动只使用非常小的开销。FAT在容量低于512MB的卷上工作效果最好，当卷的容量超过1.024GB时，FAT的工作效率就很低。对于400～500MB的卷，FAT相对于NTFS来说是一个比较好的选择；但对于使用WindowsServer2022的用户来说，FAT无法满足系统的要求。FAT文件系统NTFS文件系统古之立大事者，不惟有超世之才，亦必有坚忍不拔之志。5.1.2NTFS文件系统NTFS（NewTechnologyFileSystem）是Windows操作系统中使用的一种文件系统，其设计目标是提供更高的性能、可靠性和安全性，以适应大型存储设备和复杂的操作环境。NTFS是WindowsNT以及后续Windows版本（如Windows2000、WindowsXP、WindowsServer2003、WindowsServer2008、WindowsVista、Windows7及更高版本）的标准文件系统。NTFS取代了早期的文件分配表（FAT）文件系统，为Microsoft的Windows系列操作系统提供文件系统支持。NTFS文件系统NTFS主要特点--安全性高NTFS对用户权限做出了非常严格的限制，具有更高的安全性。支持随机访问控制和拥有权，对共享文件夹无论采用FAT还是NTFS文件系统都可以指定权限，以免受到本地访问或远程访问的影响。每个文件和文件夹都有一个安全描述符，包含了访问控制列表（ACL）和访问策略等信息，可以设置哪些用户或组对文件有何种操作权限。NTFS文件系统NTFS主要特点--性能与可靠性好使用高级数据结构，如MasterFileTable（MFT），来存储文件和文件夹的元数据信息，改善了性能。支持文件压缩，可以减少磁盘空间的使用，同时保持文件的访问速度。使用事务日志自动记录所有文件夹和文件更新，系统能重做或恢复未成功的操作，从而保护了系统的安全性。NTFS文件系统NTFS主要特点--磁盘空间利用率高对于超过4GB以上的硬盘，使用NTFS分区可以减少磁盘碎片的数量，大大提高硬盘的利用率。支持的文件大小可以达到64GB，远远大于FAT32下的4GB。NTFS文件系统NTFS主要特点--支持长文件名与UnicodeNTFS文件系统支持长文件名，文件名可以包含空格和特殊字符。支持Unicode字符集，可以存储使用多种语言的文件名。FAT与NTFS文件系统转换如果安装WindowsServer时采用了FAT，则用户可以在安装完毕使用convert命令将FAT分区转换为NTFS分区。命令如下：convertD:/FS:NTFSNTFS文件系统管理访问概述盛年不重来，一日难再晨。及时当勉励，岁月不待人。5.1.3安全主体管理访问概述--安全主体安全主体-可用于身份验证和分配资源访问权的用户、组或计算机对象。相对ID(RID)-安全ID(SID)的一部分，在域中惟一标识的账户或组。安全ID(SID)-在创建用户、计算机或安全组时分配的惟一值。Windows中的内部过程引用账户的SID，而不是账户的用户名或组名。安全主体S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID安全主体管理访问概述--安全主体用户的访问令牌主体其他访问权信息用户权利列表组SID用户SID权限管理访问概述--权限分配权限的方式

“允许”或“拒绝”权限可分配到资源（文件夹、打印机、文件）权限：是授予或拒绝对象访问权的规则用于控制访问权限可分配到本地计算机中的账户或ADDS中的账户可以显式应用权限、继承权限或隐式应用权限访问控制的工作方式管理访问概述--访问控制的工作方式随机访问控制列表(DACL)DACL包含用户和组的列表，这些用户和组可以访问资源或者被拒绝而无法访问资源NTFS卷上的每一个文件和文件夹都有关联的DACL系统访问控制列表(SACL)SACL控制审核对资源的访问访问控制条目(ACE)定义DACL或SACL中的每一个条目指定一组要允许、拒绝或审核的SID如果在DACL中未指定任何ACE，那么将拒绝访问资源项目设计及准备盛年不重来，一日难再晨。及时当勉励，岁月不待人。5.2项目设计功能与特性本项目所有实例部署在同一个网络环境下，Server1、Server2是2台不同角色的域控制器，操作系统是WindowsServer2022。MS1是成员服务器，操作系统是WindowsServer2022。项目准备Server1、Server2和MS1是3台虚拟机。在Server1与MS1上可以测试资源共享情况，而资源访问权限的控制、加密文件系统与压缩、分布式文件系统等需在MS1上实施并测试。项目实施观众器者为良匠，观众病者为良医。5.3项目实施任务1第一台C任务6复制移动任务4NTFS基础任务5继承&阻止任务2访问共享任务7标准与特殊NTFS任务8压缩任务1设置共享任务3卷影副本任务9加密任务1设置资源共享C:\share1

文件夹共享设置共享资源系统自动创建的共享特殊共享010201-设置共享资源01-设置共享资源02-特殊共享driveletter$：为存储设备的根目录创建的一种共享资源。例如：D$ADMIN$：在远程管理计算机的过程中系统使用的资源。IPC$：共享命名管道的资源，它对程序之间的通信非常重要。PRINT$：在远程管理打印机的过程中使用的资源任务2访问网络共享资源利用系统网络发现功能网络发现通用命名规则UNC010201-网络发现必须确保Server1、Server2和MS1开启了网络发现功能，并且运行了FunctionDiscoveryResourcePublication服务（自动、启动）。“网络”窗口

“Windows安全”对话框01-网络发现02-UNC通用命名标准（UniversalNamimgConversion，UNC）是用于命名文件和其他资源的一种约定，以两个反斜杠“\”开头，指明该资源位于网络计算机上。例如：\\\share1或者\\Server1\share1任务3使用卷影副本“卷影副本”客户端访问“卷影副本”启用“共享文件夹的卷影副本”03010201-“卷影副本”02-启用“共享文件夹的卷影副本”02-启用“共享文件夹的卷影副本”任务4认识NTFS权限NTFS文件夹权限允许访问类型读取（Read）查看文件夹中的文件和子文件夹，查看文件夹属性、拥有人和权限写入（Write）在文件夹内创建新的文件和子文件夹，修改文件夹属性，查看文件夹的拥有人和权限列出文件夹内容（ListFolderContents）查看文件夹中的文件和子文件夹的名称读取和运行（Read&Execute）遍历文件夹，执行允许“读取”权限和“列出文件夹内容”权限的动作修改（Modify）删除文件夹，执行“写入”权限和“读取和运行”权限的动作完全控制（FullControl）改变权限，成为拥有人，删除子文件夹和文件，以及执行允许所有其他NTFS文件夹权限进行的动作标准NTFS文件夹权限列表任务4认识NTFS权限多重NTFS权限（1）权限是累积的（2）文件权限超越文件夹权限（3）拒绝权限超越其他权限任务4认识NTFS权限共享文件夹权限与NTFS文件系统权限的组合“share1属性”对话框权

限允许用户完成的操作读取显示文件夹名称、文件名称、文件数据和属性，运行应用程序文件，改变共享文件夹内的文件夹修改创建文件夹，向文件夹中添加文件，修改文件中的数据，向文件中追加数据，修改文件属性，删除文件夹和文件，执行“读取”权限所允许的操作完全控制修改文件权限，获得文件的所有权执行“修改”和“读取”权限所允许的所有任务默认情况下，Everyone组具有该权限任务5继承与阻止NTFS权限使用权限的继承性默认情况下，授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件。当授予访问某个文件夹的NTFS权限时，就将授予该文件夹的NTFS权限授予了该文件夹中任何现有的文件和子文件夹，以及在该文件夹中创建的任何新文件和新的子文件夹。如果想让文件夹或者文件具有不同于它们父文件夹的权限，必须阻止权限的继承性。任务5继承与阻止NTFS权限阻止权限的继承性

阻止权限的继承，也就是阻止子文件夹和文件从父文件夹继承权限。(为了阻止权限的继承，要删除继承来的权限，只保留被明确授予的权限。)被阻止从父文件夹继承权限的子文件夹现在就成为新的父文件夹。包含在这一新的父文件夹中的子文件夹和文件将继承授予它们父文件夹的权限。任务5继承与阻止NTFS权限阻止权限的继承性test2的高级安全设置任务6复制和移动文件及文件夹复制文件和文件夹移动文件和文件夹任务7利用NTFS权限管理数据授予标准NTFS权限（1）NTFS文件夹权限授予标准NTFS权限包括授予NTFS文件夹权限和NTFS文件权限。“network属性”对话框“network的权限”对话框任务7利用NTFS权限管理数据授予标准NTFS权限（1）NTFS文件夹权限授予标准NTFS权限包括授予NTFS文件夹权限和NTFS文件权限。“选择用户、计算机、服务账户或组”对话框任务7利用NTFS权限管理数据授予特殊访问权限“network的高级安全设置”对话框“network的权限项目”对话框任务7利用NTFS权限管理数据授予特殊访问权限（1）更改权限：针对文件或者文件夹修改权限的能力（2）取得所有权：取得文件和文件夹的所有权的能力任务8压缩文件NTFS压缩压缩文件压缩文件夹文件夹选项任务8压缩文件文件复制或剪切时压缩属性的变化文件复制或剪切时压缩属性的变化任务8压缩文件压缩的（zipped)文件夹新建压缩zipped文件夹将多个文件发送到压缩zipped文件夹任务9加密文件系统对文件与文件夹加密文件加密任务9加密文件系统对文件与文件夹加密确认属性更改任务9加密文件系统授权其他用户可以