YH_WS03_03NTFS权限

1、Windows Server 2003系统管理,第三章,NTFS权限,Version 2.0,工作组的概念 本地用户账户的创建 配置本地用户账户属性 用户配置文件的应用 本地组的应用 常用的网络命令 系统启动过程，启动文件boot.ini,内容回顾,了解NTFS的概述（功能） 熟悉NTFS权限和其特点 掌握NTFS分区下ACL（访问控制列表）的配置方法 熟悉NTFS下的压缩和加密和磁盘配额,本章目标,文件系统介绍,管理文件系统是操作系统中管理文件的一个重要组成部分 一些常见的文件系统 fat 更好的伸缩性使扩展为大驱动成为可能; 压缩功能; 文件加密，它极大地增强了安全性; 域控制器和 Act

2、ive Directory 需要使用 NTFS; 磁盘配额，可用来监视和控制单个用户使用的磁盘空间量;,格式化磁盘，在格式化时选择NTFS文件系统。 将FAT文件系统转换为NTFS文件系统，convert e: /fs:ntfs 使用第三方软件转换，如分区大师软件等。,获得NTFS文件系统,文件或文件夹的属性中都增加了一个安全选项卡,在选项卡中有一个访问控制列表和访问控制项 . 只有被授予权限的用户或组才能访问,什么是NTFS权限,读取:可查看文件夹内文件名、子文件夹名，文件夹的属性、所有者、 权限； 写入:可创文件夹或文件、改变文件夹的属性，查看文件夹所有者和权限等； 列出文件夹目录:除拥有

3、“读取”的权限外，还可以浏览所有的子文件夹； 读取和运行:可以读取内容，并且可以执行应用程序，相当于“读取”“列出文件夹目录”权限的总和； 修改:拥有前面所有的权限，还可删除文件夹和文件； 完全控制:除了拥有所有的NTFS权限外，还拥有“更改权限”与“取得所有权”的权限； 特别的权限:其他不常用的权限，如“更改权限”与“取得所有权”的权限。,文件夹的NTFS权限,Administrators：内置管理员组，对所有子文件夹和文件都具有完全控制权限。 CREATOR OWNER：文件夹的创建者，对所有子文件夹和文件都具有完全控制权限。 SYSTEM：此账户是代表操作系统本身，默认权限是完全控制。,

4、文件夹的NTFS权限,读取:可读取文件内的数据，查看文件的属性、所有者和文件权限； 写入:可更改或覆盖文件的内容，该文件属性，查看文件的所有者和权限等； 读取和运行:可以读取内容，并且可以执行应用程序； 修改:拥有前面所有的权限，还可以删除文件； 完全控制:除了拥有所有的NTFS权限外，还拥有“更改权限”与“取得所有权”的权限； 特别的权限:其他不常用的权限，如“更改权限”与“取得所有权”的权限。,文件的NTFS权限,Administrators：内置管理员组，对所有子文件夹和文件都具有完全控制权限。 SYSTEM：此账户是代表操作系统本身，默认权限是完全控制。 Users：此组代表Serve

5、r2003计算机上所有的用户，默认权限是读取和运行/特殊权限。,文件的NTFS权限,和文件或文件夹数据本身没有关系的权限。 更改权限 取得所有权,特殊权限,对于其他用户建立的文件夹，如果拒绝管理员管理，可以取得其所有权，然后再进行管理。 位置在安全选项卡中的高级里的所有者选项卡中。 没有修改权限的文件夹 取得所有权后的文件夹,取得文件或文件夹的所有权,NTFS权限的特点,累加性 继承性 拒绝权限优先 文件权限优先于文件夹权限,用户对某些资源的有效权限是其所有权限来源的累加： 例如用户xiaoqiang属于A组（读权限）、B （写权限）两个组，那么此时的xiaoqiang具有读写权限，即权限会进

6、行累加。 默认情况下，制定给父级文件夹的权限会被这个文件夹中所容纳的子文件夹和文件继承和传播： 例如用户wangcai对AAA文件夹具有“读取和运行”的权限，那么他对AAA文件夹下的子文件夹或文件也有“读取和运行”的权限。,权限的累加与继承,新建的的子文件夹和文件会继承上一级目录的权限 根目录下的文件夹或文件继承驱动器的权限 Windows 2003也允许阻止父文件夹的权限被子文件夹继承，阻止继承后，该文件夹变成新的父文件夹，制定给他的权限将被他的下级文件夹和文件所继承。,权限的继承,可以拒绝继承上级权限 可以强制向下继承权限,权限的继承,拒绝权限优先,用户对某些资源的有效权限是所有权限来源的

7、总和，但只要其中有一个权限被设置为拒绝访问，则用户将无法访问该资源： 如用户周星星属于A（读写权限）、B （拒绝权限）两个组，那么周星星此时将被拒绝。 如果所属的组有一个被拒绝，此用户也会被拒绝,拒绝用户 用户将不能访问 拒绝组 组里的所有成员都不能访问,权限的拒绝,文件权限优先于文件夹权限,如果针对于某个文件夹设置了NTFS权限，同时也对该文件夹下的文件设置了权限，则文件的权限优先： 例如d:testbook.txt，若A用户对test文件夹有“读取”的权限，同时A对book.txt文件有“修改”的权限，此时，用户A同样可以修改和删除book.txt的内容。,特殊权限的指派,复制文件和文件夹

8、时，继承目的文件夹的权限设置 在同一分区移动文件或文件夹时，权限不变 在不同分区移动文件或文件夹时，继承目的文件夹的权限设置,移动和复制操作对权限的影响,NTFS文件系统中的文件和文件夹都具有压缩属性 压缩文件可以节约磁盘空间 压缩和加密只能选择一项 用颜色来区分压缩的文件（夹），蓝色 降低性能,文件及文件夹的压缩,注意：当用户或应用程序要读取压缩文件时，系统会将文件从磁盘内读出，自动解压缩后供用户或应用程序使用，然而存储在磁盘内的文件仍然处于压缩状态；当用户或应用程序要将文件写入磁盘时，系统会自动压缩后再写入磁盘内。这些都时系统自动，不需要用户介入。,将压缩的文件或文件夹移动至另一文件夹，同

9、分区移动后文件仍保持压缩状态,否则遵从目标文件夹的压缩状态。 拷贝文件到另一文件夹时，文件将遵从目标文件夹的压缩属性。 如果将压缩文件复制到FAT文件系统上时，都会自动解压。,复制、移动操作对压缩的影响,、EFS 介绍（encrypting file system，文件加密系统 ） 基于公共密钥的文件级或文件夹级的保护功能 为NTFS分区提供加密 由指定的EFS恢复代理启用文件恢复功能 、特性 在后台运行，仅允许授权用户访问，自动解密，保存时在加密 管理员可作为恢复代理，访问数据 提供内置的数据恢复支持功能 至少有一个恢复代理，可以指定多个代理，代理需要EFS恢复代理证书 、加密和解密文件夹或

10、文件 用公钥加密后的文件只有授权的用户才能访问，恢复代理（Recovery Agent）可以解密。 其他用户即便改变了所属关系也不能解密,文件及文件夹的加密,只有 NTFS 卷上的文件或文件夹才能被加密 如果将加密的文件复制或移动到非 NTFS 格式的文件系统上，该文件将会被解密。 加密文件夹或文件不能防止删除或列出文件和目录。 颜色区分:绿色,文件及文件夹的加密,注意:压缩和加密时不能同时进行的,利用磁盘配额可以限制用户使用磁盘空间 必须在NTFS文件系统上实现 Administrators组成员不受限制,磁盘配额,启用磁盘配额，设置配额限制500MB和450MB 配额项 为单个用户设置配额

11、,磁盘配额(cont.),NTFS文件系统的优点：权限控制、压缩、加密。 NTFS权限的工作原理，通过访问控制列表和访问控制项工作。 NTFS权限中的常用权限，完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别权限。 文件夹比文件多一个“列出文件夹目录”权限。,本章总结,文件的NTFS权限优先级高于文件夹的权限。 NTFS的权限具有继承性，即使没有做任何设置，子文件夹和文件也会继承父级别的权限。 NTFS权限具有累加性，当用户属于多个组时，它的有效权限是所有组权限的总和，但拒绝权限会高于其他所有权限。,本章总结,移动和复制对NTFS权限的影响，只有本地磁盘移动时才保留NTFS权限。 NTFS中的文件可以进行加密，以保护数据的安全。 NTFS中的文件可以使用压缩功能，可以节约一部分磁盘空间。 利用磁盘配额可以限制用户使用磁盘空间,必须在NTFS文件系统上现,Administrators组成员不受