项目11 使用权限、备份与恢复实现存储安全

Windows

Server2019网络组建项目化教程课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)主编：夏笠芹

“十二五”“十三五”职业教育国家规划教材教材资源清单资源下载地址：/classification.asp?sid=126

要搭建一台安全的服务器,首先面对的问题是对服务器中存储资源的权限分配和备份与恢复。权限决定着用户可以访问的资源对象,也决定着用户享受的服务项目。由于所有者和用途的不同,需要针对不同的用户设置不同的访问权限，公司网络管理员小刘首先将服务器磁盘的各个分区(或卷)全部转换成了NTFS分区(卷),并针对不同用户或部门成员对同一文件或文件夹设置了不同的访问权限以保障资料的安全。为了避免由于故障导致丢失数据的情况发生,对重要的数据进行手工和自动备份以便在发生故障时能够及时恢复。项目背景项目11使用权限和备份与恢复实现存储安全项目12使用权限和备份与恢复实现存储安全知识目标了解：网络安全、安全策略的含义；WindowsServer2012R2的安全管理机制文件系统的概念、种类熟悉：NTFS各种权限、复制和移动文件或文件夹对NTFS权限的影响掌握：设置NTFS权限的方法，NTFS权限的应用规则；备份和还原数据的方法步骤能力目标能根据资源的访问要求设置NTFS权限和共享权限；能运用NTFS权限和共享权限的应用规则确定资源的最终访问权限会对磁盘数据和系统状态等重要信息进行备份和还原能运用制定备份任务计划，实现重要数据的自动备份教学目标11.2

项目知识准备网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。一个网络是否安全应具备以下五个方面的特性:保密性:数据在产生、传输、处理和存储的各个环节不泄露给非授权用户、实体或过程。完整性:数据在存储或传输过程中不被修改。可用性:当需要时数据可被授权用户使用。可控性:数据时刻处于合法所有者或使用者的有效掌控之下。可审查性:管理员能够跟踪用户的操作行为。11.2.1网络安全的含义与特征11.2

项目知识准备11.2.2

WindowsServer2019安全管理机制身份验证——它用于确认尝试登录访问网络资源的用户的身份，即控制哪些用户能够登录到服务器。访问控制——规定了访问发起者(如用户、进程、服务等)对访问对象(需要保护的资源)的访问权限。安全策略——规定了用户在使用计算机、运行应用程序和访问网络等方面的行为约束规则本地安全策略:实现本地计算机的安全。包括帐户策略、本地策略、公钥策略、软件限制策略和IP安全策略。域控制器安全策略:实现域控制器的安全。域安全策略:实现整个域的安全。组策略:实现整个网络的安全。11.2

项目知识准备11.2.2

WindowsServer2019安全管理机制审核——就是把发生的事件按照预先设定的方式记录下来以供检查和分析。数据保护——数据存储：加密文件系统(EFS)；数据恢复：RAID、ntbackup、安全模式、故障恢复控制台；数据传输：IAS、IPSec和FIPS加密、SSL和IAS/RADIUS认证；数据使用：数字签名技术、凭证管理器、ICF软件防火墙公钥结构——通过使用公钥加密技术，对电子交易中涉及每一方的合法性进行验证和身份验证域信任——允许用户对其他域上的资源进行身份验证。Windows防火墙——一种基于软件的监控状态筛选防火墙,它通过检查传入的数据包并将其与一组规则进行比较,从而决定是否让数据包进入到服务器或网络。11.2项目知识准备NTFS/ReFS权限——指用户对NTFS/ReFS分区(卷)上的文件或文件夹的访问能力。NTFS权限只适用于NTFS与ReFS磁盘分区(卷),其他的FAT、FAT32和exFAT磁盘分区都不具备NTFS权限的功能。11.2.3

权限的含义与种类11.2.3

权限的含义与种类在NTFS分区上的每一个文件和文件夹都有一个列表，被称为ACL(AccessControlList,访问控制列表)。在ACL中，每一个用户或组都对应一组访问控制项(AccessControlEntry,ACE)，每个ACE都记录了一个用户和组对该资源的访问权限。当一个用户或组试图访问一个文件或文件夹时，NTFS文件系统会检测该用户是否在被访问的文件或文件夹对应的ACL中，若不存在则无法访问；若存在，则进一步比较该用户的访问权限与ACL中的访问权限是否一致，若一致就允许访问，否则就无法访问。访问控制列表（ACL）11.2.3

权限的含义与种类基本权限文件文件夹读取读取文件内容,查看文件的属性、所有者以及权限查看文件夹内文件以及子文件夹名称,查看文件夹的属性、所有者和拥有的权限等列出文件夹内容无“读取”+“遍历文件夹”(打开和关闭此文件夹及其子文件夹)写入修改文件内容,在文件后面增加数据,改变文件属性在文件夹内添加文件与子文件夹,更改文件夹属性读取及运行“读取”+运行应用程序“列出文件夹内容”+文件夹及子文件夹内文件的读取继承修改“读取”+“写入”+“读取与运行”+删除文件上述所有权限+删除文件夹完全控制上述所有权限+“更改权限”+“取得所有权”上述所有权限+“更改权限”+“取得所有权”基本权限：是最常分配的权限；高级权限：是对各种标准权限再进行细分的权限11.2.3

权限的含义与种类高级权限/特殊权限访问能力遍历文件夹／执行文件“遍历文件夹”允许用户在文件夹及其子文件夹之间移动(遍历),即使这些文件夹本身没有访问权限;“执行文件”允许运行程序文件读取扩展属性可以查看文件夹或文件的扩展属性。扩展属性是由应用程序自行定义的,不同的应用程序可能有不同的设置创建文件/写入数据“创建文件”让用户可以在文件夹内创建文件;“写入数据”让用户能够更改与覆盖文件内的现有数据创建文件夹/附加数据“创建文件夹”在文件夹内创建子文件夹;“附加数据”让用户可以在文件的后面添加数据,但是无法更改、删除、覆盖原有的数据写入扩展属性用户可以更改文件夹或文件的扩展属性删除子文件夹及文件可以删除该文件夹内的子文件夹与文件,即使用户对这个子文件夹或文件没有“删除”的权限,也可以将其删除删除删除此文件夹与文件。当用户对此文件夹或文件没有“删除”的权限,只要该用户在此文件夹的父文件夹中被授予“删除子文件夹及文件”的权限,他还是可以删除此文件夹或文件更改权限让用户可以更改文件夹或文件的权限设置取得所有权每个文件夹或文件都有其所有者,默认情况下文件夹或文件的创建者自动获得“取得所有权”。该权限让用户可以夺取文件夹或文件的所有权11.2.3

权限的含义与种类资源变化情况复制移动在同一个NTFS分区内继承目的地文件夹的权限保留原来的权限在不同NTFS分区之间继承目的地文件夹的权限继承目的地文件夹的权限NTFS分区→FAT/FAT32分区NTFS权限丢失NTFS分区C:\NTFS分区E:\NTFS分区D:\移动复制复制或移动复制和移动对NTFS权限的影响11.2.3

权限的含义与种类2.共享权限共享权限特指用户通过网络对共享文件夹的访问权限,有三种：读取、更改和完全控制。共享资源包括软件资源软件资源一般是以文件的形式来组织其内容，如系统文件、数据库文件、应用程序文件等。硬件资源硬件资源如打印机、扫描仪等。不同的网络资源，相对应的管理方式和权限设置都有所不同。

DataSalesAppsUser服务器11.2.3

权限的含义与种类2.共享权限共享权限只影响网络访问者NTFS权限既影响网络访问者也影响本地访问者。共享权限和NTFS权限是独立的,即它们不彼此更改。网络用户对于共享文件夹的最终访问权限是共享权限和NTFS权限的交集,即二者最为严格的权限。11.2.4NTFS/ReFS权限的应用规则资源用户或组权限zsfile2.txt张三写入销售部读取技术支持部读取及运行用户张三对文件zsfile2.txt访问的最终有效权限为这3个权限的累加之和，即“写入+读取+读取及运行”。

NTFS分区

文件1文件2组A组B修改写用户1读文件夹A读/写/修改1.权限的累加规则11.2.4NTFS/ReFS权限的应用规则资源用户或组权限zsfile3.txt张三写入销售部读取技术支持部拒绝写入用户张三对文件zsfile3.txt访问的最终有效权限为：“读取”。

NTFS分区

文件1文件2组B组A拒绝写入文件2写入文件2用户1读取文件2文件夹A用户1——读取文件2组B拒绝读用户1读NTFS分区

文件1文件2文件夹A用户2用户2读读拒绝读2.权限的拒绝规则11.2.4NTFS/ReFS权限的应用规则新建的文件（夹）都有默认的NTFS权限，文件（夹）的默认权限是继承上一级文件夹或驱动器的权限。权限继承的好处是简化了资源的权限分配。从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。当然，通过阻断继承后是可以修改进行单独设置的。可访问文件夹B文件夹A文件夹B权限继承（系统默认）读取/写入阻断权限继承文件夹B不可访问文件夹A文件夹B文件夹C读取/写入3.权限的继承规则11.2.4NTFS/ReFS权限的应用规则当用户或组对某个文件夹以及该文件夹下的文件设置了不同的NTFS权限时，那么文件权限将优先于文件夹权限，即用户对文件的最终权限是被赋予该文件的权限。例如，用户张三对文件夹D:\test有“读取”权限，对文件D:\test\file4.txt有“修改”权限，则张三对文件file4.txt的最终有效权限是“修改”。NTFS分区

文件夹A文件1用户文件夹A——完全控制文件1——写写文件夹A——无权限文件1——读读用户通过路径访问文件1：C:\文件夹A\文件14.权限的优先规则11.2项目实施任务11-1

NTFS文件系统的获取

1.在安装系统时获取在初始安装WindowsServer2019系统时无选择使用NTFS文件系统格式化磁盘后将获得NTFS文件系统。任务11-1NTFS文件系统的获取2．在安装系统后获取如果在初始安装时选择的是使用FAT文件系统来格式化磁盘，安装完成后要转换为NTFS格式时,需根据不同的情况进行不同的处理。①要转换的分区是非系统分区且分区内无数据时任务11-1NTFS文件系统的获取2．在安装系统后获取②要转换的分区是系统分区或者是非系统分区内有数据时在桌面上单击【WindowsPowerShell】图标→进入命令行界面→输入“converte:/fs:ntfs”命令(其中“e:”为要转换的分区盘符)→按【Enter】键→系统提示输入当前卷标,输入要转换分区的卷标(如“新加卷”)→按【Enter】键后开始转换,如图11-3所示。任务11-2NTFS/ReFS基本权限的设置1.设置基本NTFS权限公司级部门级组账号个人目录及用户文档分布结构E:\迅达公司资料库E:\迅达公司资料库\销售部E:\迅达公司资料库\技术部xsb_groupjsb_groupE:\迅达公司资料库\销售部\zhang3E:\迅达公司资料库\销售部\li4E:\迅达公司资料库\技术部\wang5网络共享访问权限所有员工均可看到公司目录并可点击进入每个员工只能看到本部门的目录(文件夹)并可点击进入每个员工只能看到本人的文件夹,点击进入后具有完全控制权限迅达公司文档分布结构及访问权限见表11-6,试完成其权限设置表11-6公司文档分布结构及访问权限任务11-2NTFS/ReFS基本权限的设置设置步骤：步骤1:~步骤7:任务11-3NTFS/ReFS高级权限的设置1.NTFS/ReFS高级权限设置：步骤1:~步骤4:任务11-3NTFS/ReFS高级权限的设置2.有效权限的计算与查看有效权限是指用户或组对某文件或文件夹最终所获得的权限。有效权限的计算,除了用户本身的权限外,还会将用户所属的本地组、本地域组、全局组、通用组、Everyone等组的权限相加。查看用户有效权限的步骤:打开需查看有效权限的文件或文件夹的【属性】对话框→依次选择【安全】→【高级】→【有效访问】→【选择用户】→在打开的【选择用户或组】对话框中选择要查看有效权限的用户或组→单击【查看有效访问】按钮后便可查看用户的有效访问权限了,如图12-13所示。任务11-4备份与还原磁盘数据备份数据的目标是还原丢失的数据备份和还原数据时需要合理地设置权限数据备份

数据数据数据

数据被毁坏还原

数据

数据任务11-4备份与还原磁盘数据1.WindowsServerBackup的安装WindowsServer2019中默认未安装WindowsserverBackup,经常对磁盘中的数据进行备份和异地存放,可以防止由于不可抗力、设备故障、电力不