第7讲-NTFS的数据管理功能

第7章NTFS的数据管理功能清华大学出版社普通高等教育”十一五”国家规划教材WindowsServer2003网络操作系统第7章NTFS的数据管理功能WindowsServer2003支持FAT16、FAT32和NTFS文件系统。NTFS是NTFileSystem（NT文件系统）的缩写，它是NT架构操作系统专用的文件系统，提供了性能、安全、可靠性以及未在任何FAT版本中出现的诸如文件和文件夹权限、加密、磁盘配额和压缩之类的高级功能。可为安装分区选择以下三种文件系统之一：NTFS、FAT和FAT32。在大多数情况下强烈建议使用NTFS。由于NTFT与FAT结构上的差异，NTFS提供了更好的安全性和可恢复性。FAT16和FAT32都没有为文件提供本地安全性。FAT卷中所能够使用的安全性只局限于共享的网络访问。只有NTFS允许分配基于文件的权限。除此之外，NTFS还提供了内置的压缩功能(允许压缩文件)，NTFS驱动器在空闲时负责解压缩处理，从而使得压缩对用户来说是透明的。就速度而言，NTFS并不总是这三者中最快的。但是，NTFS优化了文件系统的结构、簇尺寸、磁盘碎片、文件数等，而且当今的硬盘使得文件系统的性能更好(而与文件系统类型无关)，所以在多数情况下，速度不是一个主要考虑因素，选择正确的底层磁盘子系统通常更为重要(SCSI接口与其他接口比较而言)。7.1NTFS权限7.1.1标准NTFS文件权限的类型表7-1列出能够使用的文件权限。表7-1文件权限权限目的完全控制(FullControl)获得所有权以及执行下列权限的所有动作读取(Read)允许用户查看所有权、权限和文件属性，读文件内容，但不能修改文件内容。所有写权限是灰色的读取和执行(Read＆Execute)拥有读取的所有权限，并且可以执行应用程序写(Write)允许授权这个用户此权限可以将文件覆盖，改变文件的属性，查看文件的所有权、权限和文件属性修改(Modify)除了“写入”与“读取与运行”权限外，还有更改文件数据、删除文件、改变文件名的权限。特殊权限(SpecialPermissions)只有启用了特殊权限或者高级权限，才可以选中该权限的复选框。只有通过单击“高级”按钮才可以访问高级(Advanced)权限从文件的“属性”（Properties）对话框的“安全”（Security）选项卡里可访问文件权限。为了访问文件的“属性”对话框(比如“WindowsServer2003三级目录.doc”文件的属性)，右击这个文件并从弹出的快捷菜单中选择“属性”选项。然后选择“安全”选项卡，如图7-1所示。7.1.2标准NTFS文件夹权限的类型权限目的完全控制(FullControl)获得所有权以及执行下列权限的所有动作读取(Read)允许用户查看文件夹内的文件名称与子文件夹名称、查看文件夹的属性、所有者和权限。所有写权限是灰色的列文件夹内容（ListFolderConten）允许这些用户查看这个文件夹管理下的文件和子文件夹读取和执行(Read＆Execute)允许授权用户移动从根文件夹向下的文件夹，也可让用户在这个文件夹和所有子文件夹下中读文件和执行应用程序写(Write)允许授权这个用户创建文件和这个文件夹管理下的文件夹。也能改变文件属性以及查看所有权和权限修改(Modify)让授权用户删除管理下的文件夹和所有前面的权限特殊权限(SpecialPermissions)只有启用了特殊权限或者高级权限，才可以选中该权限的复选框。只有通过单击Advanced按钮才可以访问Advanced(高级)权限7.1.3NTFS权限应用原则权限有下列属性：1．权限是累积的2．拒绝权限会覆盖所有其他的权限3．文件权限会覆盖文件夹权限4．文件权限的继承7.2NTFS权限的设置通过对NTFS权限的设置，可以实现文件和文件夹的本地安全性。WindowsServer2003利用NTFS文件系统格式化磁盘驱动器时，系统自动赋予Everyone组分区根目录完全控制的NTFS权限。管理员可以根据需要修改文件和文件夹的NTFS权限，控制用户对NTFS文件和文件夹的访问。7.2.1修改文件或文件夹的NTFS权限只有Administrators组内的成员、文件和文件夹的所有者、具备完全控制权限的用户，才有权更改这个文件或文件夹的NTFS权限。可以遵循以下步骤进行设置：（1）打开资源管理器或我的电脑，找到要修改NTFS权限的文件或文件夹。（2）右击文件或文件夹，选择“属性”选项。然后选择“安全”选项卡。将出现如图7-1所示的画面，图中的文件已经有一些灰色对勾选中的权限，这些是默认的权限设置，是从父对象继承的。（3）选中权限右方的“允许”或“拒绝”复选框，可以更改文件或文件夹的权限。但是不能将灰色对勾删除。若要更改则必须清除“允许将来自父系的可继承权限传播给该对象”。（4）若要增加权限用户：单击图7-1中的“添加”按钮，弹出如图7-2所示的对话框，选择所需用户，可以在编辑框中输入对象名称，也可以单击“高级”按钮，然后单击“立即查找”按钮，结果如图7-3所示，在搜索结果列表中选择用户或组，单击“确定”按钮，回到文件属性对话框，如图7-4所示。为添加的用户设置相应的权限。（5）若要清除赋予某个用户的权限，在图7-4的组或用户名称列表中选择一个用户，单击“删除”按钮。图7-2选择用户或组对话框图7-3选择用户或组对话框高级选项图7-4添加用户后的文件属性对话框7.2.2阻止或允许权限继承如果某个文件夹中只有一个文件与其他文件的权限不同，我们可以对文件夹设置所需要的权限，而使这个文件不继承父文件夹的权限，单独设置不同的权限。阻止或允许权限继承，可以执行以下步骤：（1）打开资源管理器或我的电脑，找到要修改NTFS权限的文件或文件夹。（2）右击文件或文件夹，选择“属性”选项。然后选择“安全”选项卡。（3）单击“高级”按钮，如图7-5所示，在对话框下方有一个复选框为：“允许父项的继承权限传播到该对象和所有子对象。包括那些在此明确定义的项目”。选中该复选框使文件、文件夹，或对象从父对象继承权限项。默认情况下为选中。清除该复选框以防止对象从父对象继承权限项。虽然选择从父对象复制当前权限项目集选项，但对象不再受父对象的安全性设置影响。图7-5文件属性高级安全设置对话框（4）单击该复选框后，会出现如图7-6所示的提示框，可以使用“复制”和“删除”两个按钮，它们的意思分别是：复制：系统将把以前从父文件夹继承来的所有权限保留下来，不再继承以后为父文件夹赋予的任何NTFS权限。删除：系统将把以前从父文件夹继承来的所有权限清除掉，不再继承以后为父文件夹赋予的任何NTFS权限。图7-6安全信息提示框7.2.3文件与文件夹的所有权在WindowsServer2003的NTFS磁盘内，每个文件与文件夹都有其“所有者”，系统默认创建文件或文件夹的用户就是该文件或文件夹的所有者。管理员、所有者或有对象的完全控制权限的用户能设置用户或组获得对象的所有权。一旦管理员从管理员组继承权利就能够获得对象的所有权，而不管这个对象的访问控制列表里的权限是什么。要获得对象的所有权，步骤如下：（1）打开资源管理器或我的电脑，找到要修改NTFS权限的文件或文件夹。（2）右击文件或文件夹，选择“属性”选项。然后选择“安全”选项卡。（3）单击“高级”按钮，然后从高级安全设置对话框中选择“所有者”选项卡。如图7-7所示。（4）在“将所有者更改为”列表框里，选择将获得所有权的用户或组的账户名称，如果要将所有权转移给其他用户或组，单击“其他用户或组”按钮，然后单击“应用”按钮。图7-7高级安全设置对话框中选择“所有者”选项卡7.2.4复制和移动文件或文件夹时权限的变化对于NTFS磁盘内的文件，复制和移动文件或文件夹时，文件或文件夹的权限可能会发生变化。在实际复制或移动文件夹或文件以前，应该检查和确保移动或者复制的所有权和权利。假如没有移动或者复制文件夹的所有权或者权限，即使作为一名管理员也不能这么做。但是，可以先获得所有权，然后分配给自己必要的权限。在WindowsServer2003操作系统中，复制文件或文件夹时，不论文件或文件夹被复制到同一个磁盘还是不同的磁盘，系统都将目标文件作为新文件对待，因此新文件将继承目的地文件夹的权限。在WindowsServer2003操作系统中，移动文件或文件夹时，分两种情况：（1）如果移动到同一磁盘的另一个文件夹内，仍然保持原来的NTFS权限。（2）如果移动到另一磁盘内，系统将目标文件作为新文件对待，因此新文件将继承目的地文件夹的权限。如果将文件或文件夹复制和移动到FAT或FAT32磁盘内，因为FAT或FAT32磁盘不支持NTFS权限设置，其原有的权限设置都将被删除。7.2.5特殊NTFS权限应用权限描述遍历文件夹/运行文件对于文件夹：“遍历文件夹”允许或拒绝通过文件夹来移动，以到达其他文件或文件夹，即使用户没有禁止的文件夹的权限。（仅适用于文件夹。）只有当“组策略”管理单元中没有授予组或用户“忽略通过检查”用户权限时，禁止文件夹才起作用。（默认情况下，授予Everyone组“忽略通过检查”用户权限。）对于文件：“运行文件”允许或拒绝运行程序文件。（仅适用于文件。）设置文件夹的“遍历文件夹”权限不会自动设置该文件夹中所有文件的“运行文件”权限。列出文件夹/读取数据“列出文件夹”允许或者拒绝查看文件夹内的文件名和子文件夹名。“列出文件夹”只影响该文件夹的内容，不影响是否列出正在设置其权限的文件夹。（仅适用于文件夹。）读取数据允许或拒绝查看文件中的数据。（仅适用于文件。）读取属性允许或拒绝查看文件或文件夹的属性，例如只读和隐藏。属性由NTFS定义。表7-3特殊NTFS权限续前表权限描述读取扩展属性允许或拒绝查看文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。创建文件/写入数据“创建文件”允许或拒绝在文件夹内创建文件。（仅适用于文件夹。）“写入数据”允许或拒绝对文件进行更改与覆盖现有内容。（仅适用于文件。）创建文件夹/附加数据“创建文件夹”允许或拒绝在文件夹内创建文件夹。（仅适用于文件夹。）“附加数据”允许或拒绝更改文件的末尾，而不是更改、删除或覆盖已有的数据。（仅适用于文件。）写入属性允许或拒绝更改文件或文件夹的属性，例如只读或隐藏。属性由NTFS定义。“写入属性”权限不表示可以创建或删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒绝）创建或删除操作，请参阅“创建文件/写入数据”、“创建文件夹/附加数据”，“删除子文件夹及文件”和“删除”。权限描述写入扩展属性允许或拒绝更改文件或文件夹的扩展属性。扩展属性由程序定义，可能因程序而变化。“写入扩展属性”权限不表示可以创建或者删除文件或文件夹，它只包括更改文件或文件夹属性的权限。要允许（或者拒绝）创建或删除操作，请参阅“创建文件/写入数据”、“创建文件夹/附加数据”、“删除子文件夹及文件”和“删除”。删除子文件夹及文件允许或拒绝删除子文件夹和文件，即使尚未授予对子文件夹或文件的“删除”权限。（适用于文件夹。）删除允许或拒绝删除文件或文件夹。如果您没有对文件或文件夹的“删除”权限，但是在父文件夹中已被授予“删除子文件夹及文件”权限，则您仍然可以删除它。读取权限允许或拒绝读取文件或文件夹的权限，例如完全控制、读取、写入。更改权限允许或拒绝更改文件或文件夹的权限，例如完全控制、读取和写入。取得所有权允许或拒绝取得文件或文件夹的所有权。文件或文件夹的所有者始终可以更改其权限，无论存在任何保护该文件或文件夹的权限。同步允许或拒绝不同的线程等待文件或文件夹的句柄，并与另一个可能向它发信号的线程同步。该权限只应用于多线程、多进程程序。续前表要查看和修改文件或文件夹的特殊NTFS权限，执行下列步骤：（1）打开资源管理器或我的电脑，找到要修改NTFS权限的文件或文件夹。（2）右击文件或文件夹，选择“属性”选项