Windows server 2003 NTFS权限应用

1/19Version1.0NTFS权限应用第五章2内容回顾活动目录概述实现活动目录安装活动目录创建OU域模式域用户帐户管理组管理组的分类组的作用域3本章目标理解文件及文件夹权限的概念掌握NTFS分区下ACL（访问控制列表）的配置方法掌握NTFS权限的应用规则掌握NTFS分区下的磁盘配额功能掌握NTFS分区下的压缩和加密4NTFS概述可以设置权限更好的伸缩性使扩展为大驱动器成为可能。压缩功能。文件加密，它极大地增强了安全性域控制器和ActiveDirectory需要使用NTFS磁盘配额，可用来监视和控制单个用户使用的磁盘空间量5NTFS概述FAT16FAT32NTFSDOS∨╳╳WINDOWS95∨╳╳WINDOWS97/98/ME∨∨╳WINDOWSNT∨╳∨╳WINDOWS2000∨∨∨WINDOWSXP∨∨∨WINDOWSSERVER2003∨∨∨注释：╳代表不支持∨代表支持∨╳代表有时需要安装微软提供的补丁才能够更好的支持。6获得NTFS文件系统1.格式化磁盘，在格式化时选择NTFS文件系统。2.将FAT文件系统转换为NTFS文件系统:convert[盘符]/fs:ntfs3.使用第三方软件转换，如分区大师软件等。7什么是权限权限是对资源而言，是用来控制谁可以访问资源及访问资源的方式,权限是由资源的所有者授予或拒绝。为什么要设置权限权限设置:就是为组和用户指定资源的访问级别.例如:同一个文件可以让不同的用户具有不同的访问权限什么是NTFS权限8什么是NTFS权限文件或文件夹的属性中都增加了一个安全选项卡,在选项卡中有一个访问控制列表（ACL）和访问控制项.只有被授予权限的用户或组才能访问安全选项卡9文件夹的NTFS权限1.完全控制：对文件或文件夹可执行所有操作。拥有所有NTFS权限，可以修改权限和取得文件夹的所有权。2.修改：可以修改、重命名、删除文件或者文件夹。且具有“读取和运行”+“写入”权限。3.读取和运行；可以读取文件或文件夹的内容，并且可以执行应用程序。且具有“读取”权限。4.列出文件夹目录：可以列出文件夹的内容。此权限只针对文件夹存在。5.读取：可读取文件或文件夹的内容，显示文件或文件夹的属性、所有者和权限分配情况。6.写入：可以修改该文件内文件的数据、覆盖文件和子文件夹、改变其属性；在文件夹中建立文件和子文件夹；不可以删除和重命名。特别的权限：其他不常用的权限，如删除权限、更改权限的权限等等。文件夹权限列表10文件的NTFS权限文件权限列表1.完全控制：对文件可执行所有操作。拥有所有NTFS权限，可以修改权限和取得文件的所有权。2.修改：可以修改、重命名、删除文件，同时拥有“写入”+“读取和运行”的权限。3.读取和运行；可以读取文件内容，并且可以执行应用程序。4.读取：读取文件内容；显示文件的属性、所有者和权限分配情况。5.写入：可以修改文件数据、覆盖文件,改变其属性。不可以删除和重命名。特别的权限：其他不常用的权限，如删除权限、更改权限的权限等等。11文件的NTFS权限Administrators：内置管理员组，对所有子文件夹和文件都具有完全控制权限。SYSTEM：此账户是代表操作系统本身，默认权限是完全控制。Users：此组代表Server2003计算机上所有的用户，默认权限是读取和运行/特殊权限。用户列表12特殊权限和文件或文件夹数据本身没有关系的权限。读取权限更改权限取得所有权特殊权限13取得文件或文件夹的所有权对于其他用户建立的文件夹，如果拒绝管理员管理，可以取得其所有权，然后再进行管理。位置在安全选项卡中的高级里的所有者选项卡中。没有修改权限的文件夹取得所有权后的文件夹WIN2000/WIN2003NTFS分区上的文件/文件夹都有其所有者。默认为其创建者。所有者具有“更改权限”的权限。14权限的组合文件权限可以大于文件夹权限用户的有效权限是用户所属各个组权限的总和：最大权限原则（权限累加特点）如USER属于A（读权限）、B（写权限）两个组，那么USER具有读写权限。如果所属的组有一个被拒绝，此用户也会被拒绝：“拒绝”权限超越其他所有权限（一票否决）如USER属于A（读写权限）、B（拒绝权限）两个组，那么USER将被拒绝。15NTFS授予权限的原则最大权限原则（权限累加特点）用户对某个资源的有效权限是其所有权限来源的总和。例如：某个用户同时属于组1、组2、组3，则用户的权限=组1+组2+组3文件权限超越文件夹权限文件的权限可以大于文件夹的权限“拒绝”权限超越其他所有权限（一票否决）某个用户同时属于组1、组2、组3，如果其中某个组的权限是拒绝，则用户的权限=“拒绝”权限的继承性如果没有对文件夹下的文件赋予权限，则文件具备自动继承上级文件夹的权限的特点16权限的继承如果没有对文件夹下的文件赋予权限，新建的的子文件夹和文件会继承上一级目录的权限根目录下的文件夹或文件继承驱动器的权限灰色为继承权限继承于17权限的继承可以拒绝继承上级权限可以强制向下继承权限从上继承向下继承18权限的拒绝拒绝用户用户将不能访问拒绝组组里的所有成员都不能访问19移动和复制操作对权限的影响复制文件和文件夹时，继承目的地文件夹的权限设置在同一分区移动文件或文件夹时，权限不变在不同分区移动文件或文件夹时，继承目的文件夹的权限设置NTFS分区C:\NTFS分区E:\NTFS分区D:\移动复制复制或移动2021222324文件及文件夹的加密利用“加密文件系统（EFS）”提供文件加密功能经过加密的文件或文件夹只有加密用户或经过授权的用户才能读取。只有NTFS卷上的文件或文件夹才能被加密如果将加密的文件复制或移动到非NTFS格式的文件系统上，该文件将会被解密。新文件移入加密文件夹自动加密加密文件夹或文件不能防止删除或列出文件和目录。颜色区分:绿色加密属性25用户读取加密的数据时，是将该数据提交到内存中解密，原始数据仍处于加密状态；用户将文件写入磁盘时，也自动加密再写入；利用EFS加密的文件，只有存储在在硬盘内才会被加密，通过网络发送时是不加密的；加密、压缩不能够同时使用；加密后自己可任意复制移动（对用户透明）其它人无法复制/移动加密文件夹内的文件和子文件夹但可删除、重命名更无法解密，出“忽略、全部忽略、重试、取消”错误提示26授权读加密文件经过加密的文件只有加密者可以读取或者是被授权者授权方法：由击已加密文件---“属性”----“高级”---“详细信息”---“添加”如下图：2728磁盘配额Win2003利用磁盘配额功能跟踪和控制用户使用磁盘空间的情况。NTFS5.0才支持该功能，NTFS4.0不支持；只能针对单一用户,而不能针对组；只能针对单一分区,而不能针对一块磁(硬)盘或一台计算机设置用户磁盘配额；磁盘配额根据所有权计算用户使用空间；计算用户使用空间时,不考虑数据加密因素每个NTFS分区的磁盘配额独立计算，不论多个NTFS分区是否在同一硬盘内；管理员不受其限制。29设置警告阀值，默认1KB用户超过限额时，可设为：强制应用限额，拒绝继续访问或不选：允许继续使用设置磁盘限额针对个别用户配额—配额项配额—新建配额项可设为“无限制”只能针对逐个用户来设，不能针对组为上面“针对所有用户”配额的特例若要删除某一配额项，之前必须必须将用户拥有的所有文件移走或其它人取得所有权3031文件及文件夹的压缩NTFS文件系统中的文件和文件夹都具有压缩属性，也可对整个磁盘进行压缩；压缩文件可以节约磁盘空间；压缩和加密只能选择一项；用颜色来区分压缩的文件（夹），蓝色；磁盘配额的使用空间结算时不考虑压缩因素。压缩属性32压缩文件和文件夹文件（夹）—属性—高级—压缩压缩后在属性中显示的仍是原大小改变显示颜色资源管理器——工具—文件选项—查看—用彩色显示加密或压缩的NTFS文件33复制、移动操作对压缩的影响将压缩的文件或文件夹移动至另一文件夹，同分区移动后文件仍保持压缩状态,否则遵从目标文件夹的压缩状态。拷贝文件到另一文件夹时，文件将遵从目标文件夹的压缩属性。如果将压缩文件复制到FAT文件系统上时，都会自动解压。34本章总结NTFS文件系统的优点：权限控制、压缩、加密。NTFS权限的工作原理，通过访问控制列表和访问控制项工作。NTFS权限中的常用权限，完全控制、修改、读取和运行、列出文件夹目录、读取、写入、特别权限。文件夹比文件多一个列出文件夹目录权限。35本章总结文件的NTFS权限优先级高于文件夹的权限。NTFS的权限具有继承性，即使没有做任何设置，子文件夹和文件也会继承父级别的权限。NTFS权限具有累加性，当用户属于多个组时，它的有效权限是所有组权限的总和，但拒绝权限会高于其他所有权限。36本章总结移动和复制对NTFS权限的影响，只有本地磁盘移动时才保留NTFS权限。NTFS中的文件可以进行加密，以保护数据的安全。NTFS中的可进行磁盘配额，限制用户使用磁盘的容量。NTFS中的文件可以使用压缩功能，可以节约一部分磁盘空间。37实验目标查看和修改NTFS权限设置权限的继承文件的压缩和解压缩了解移动和复制对权限和压缩状态的影响38目标图示客户机1客户机2域控制器39实验完成标准能够查看文件或文件夹的NTFS权限学员正确更改了文件或文件夹的NTFS权限成功取消子文件夹的继承权限从父文件夹能够强制向下继承权限可以将文件夹压缩和解压缩知道移动和复制对权限的影响