第3章 使用NTFS管理数据WV10Word格式文档下载.docx
《第3章 使用NTFS管理数据WV10Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《第3章 使用NTFS管理数据WV10Word格式文档下载.docx(25页珍藏版)》请在冰豆网上搜索。
5.在出现的分配驱动器号和路径对话框,指定驱动器号,单击“下一步”按钮。
6.如图3-2所示,在出现的格式化分区对话框,选中“按下列设置格式化这个卷”,文件系统选择FAT32,选中“执行快速格式化”复选框。
图3-1新建简单卷图3-2选择文件系统
7.完成新建简单卷向导。
可以通过磁盘管理和磁盘属性查看磁盘的文件系统。
8.在命令行输入以下命令将其转化成NTFS分区。
converte:
/fs:
ntfs
输入卷标“新加卷”,按回车键,完成转换。
这种方法转换FAT32分区上的数据不丢失,该命令不能从NTFS转化为FAT32,除非把数据拷贝到其他分区,重新格式化该分区为FAT32。
3.2NTFS权限
存储在NTFS分区上的文件和文件夹对用户的访问有安全控制,可以控制用户访问的级别。
比如,只允许读取不能更改,或者只允许列出文件夹内容,不允许打开其中的文件等。
3.2.1NTFS权限介绍
当一个用户试图访问一个文件或者文件夹的时候,NTFS文件系统会检查用户使用的帐户或者账户所属的组是否在此文件或文件夹的访问控制列表(ACL)中。
如果存在,则进一步检查访问控制项ACE,然后根据控制项中的权限来判断用户最终的权限。
如果访问控制列表中不存在用户使用的帐户或者帐户所属的组,则拒绝用户访问。
如图3-3所示,是文件夹HomeWork的NTFS权限
图3-3查看文件夹的NTFS属性
↘完全控制:
对文件或者文件夹可执行所有操作。
↘修改:
可以修改、删除文件或文件夹。
↘读取和运行:
可以读取内容,并且可以执行应用程序。
↘列出文件夹目录:
可以列出文件夹内容,此权限只针对文件夹存在。
↘读取:
可以读取文件或者文件夹的内容。
↘写入:
可以创建文件或者文件夹。
↘特别的权限:
其他不常用的权限,比如删除权限的权限。
如图3-4所示,记事本文件zhang.txt的NTFS安全权限。
图3-4记事本的NTFS属性
文件或者文件夹的默认权限是继承上一级文件夹的权限,文件的权限有:
↘读取和执行:
可以读取文件的内容。
可以修改文件的内容。
↘特殊权限:
3.2.2NTFS权限的应用规则
如果用户同时属于多个组,它们分别对某个资源拥有不同的使用权限,则该用户对该资源拥有的有效权限,取决于下面几个应用规则。
↘NTFS权限具有累加性
当一个用户属于多个组的时候,用户对某个资源的有效权限是其所有权限来源的总和。
例如,若用户A同时属于Sales与Managers组,用户A对某文件有写入权限,Sales组对该文件有读取权限,Managers组对该文件有读取及运行权限,那么用户A对此文件的最终权限为读取+写入+运行。
↘“拒绝”权限会覆盖所有其他的权限
虽然用户对某个资源的有效权限是其所有权限来源的总和,但是只要其中有一个权限被设为拒绝访问,则用户将无法访问该资源。
例如,若用户A同时属于Sales与Managers组,用户A对某文件有读取权限,Sales组对该文件拒绝访问,Managers组对该文件有修改权限,则用户A最后的有效权限为“拒绝访问”,也就是无权访问该资源。
↘NTFS权限的继承
当用户设置文件夹的权限后,位于该文件夹下添加的子文件夹与文件,默认会自动继承该文件夹的权限。
用户可以设置让子文件夹或文件不要继承父文件夹的权限,这样该子文件夹或文件的权限将改为用户直接设置的权限。
3.3NTFS的应用
下面将会展示NTFS在实际中的一些应用,涉及到NTFS的高级权限的使用,
3.3.1只允许用户读自己提交的文件
在软件学院学生平时作业都是提交电子版文档到文件服务器的HomeWork文件夹中,为了防止其他学生相互抄袭作业,需要设置HomeWork文件夹的NTFS权限,达到以下目的:
↘学生能够打开HomeWork文件夹。
↘学生能够在HomeWork文件夹中提交文件。
↘不允许用户在HomeWork中创建文件夹。
↘学生对自己提交的文件有完全控制权,即能够删除、修改、读取。
↘学生能够看到其他学生提交的文件,但不能打开,不能删除和修改。
以下步骤将会在文件服务器上为两个学生zhang和wang创建用户账号,将这两个用户添加到students组,HomeWork文件夹授予Students组相应的权限,并验证设置的权限。
9.以管理员的身份登录FileServer,在命令提示符下输入命令创建两个用户zhang和wang,创建students组,将这两个用户添加到这个组。
netuserzhanga1!
/add
netuserwanga1!
netlocalgroupstudents/add
netlocalgroupstudentszhang/add
netlocalgroupstudentswang/add
10.在C盘根目录下创建文件夹HomeWork,右击该文件夹,点击属性。
11.如图3-5所示,在出现的HomeWork属性对话框,在安全标签下,点击“高级”。
12.如图3-6所示,在出现的HomeWork高级安全设置对话框,可以看到这些权限,都是继承于C盘根目录,点击“编辑”。
图3-5查看HomeWork的NTFS属性图3-6配置文件夹的高级属性
13.如图3-7所示,在出现的HomeWork高级安全设置对话框,取消“包括可从该对象的父项继承的权限”选项。
取消该文件夹继承的权限,因为继承的权限不能更改。
14.在出现的Windows安全对话框,点击“复制”。
这样就将继承的权限复制为HomeWork的权限,就可以修改了。
图3-7删除继承的权限
15.如图3-8所示,可以看到现在的这些权限,显示“不是继承的”,点中“Users”的权限,点击“删除”。
16.如图3-9所示,点中CREATOROWNER,点击“编辑”。
大家还可以看到CREATOROWNER组的权限只应用到“子文件夹和文件”,且是完全控制。
这就意味着用户zhang在HomeWork中创建一个文件,zhang就是这个文件创建者,就有完全控制权。
图3-8删除非继承的权限图3-9编辑CREATOROWNER的权限
17.如图3-10所示,在HomeWork高级安全对话,点击“添加”,在出现的选择用户和组对话框,输入students,点击“确定”。
18.在出现的HomeWork的权限项目对话框,应用于“只有该文件夹”,这就意味着students组只能够读取HomeWork文件夹,对其中的文件没有授予读的权利。
权限如图所示,只允许创建文件、写入数据,没有选中“创建文件夹/附加数据”,这就意味着,students组只能在该文件夹中添加文件,不能创建文件夹。
图3-10添加新的NTFS权限
19.点击确定,完成授权。
如图3-11所示,验证NTFS权限是否设置成功,使用wang登录服务器,在桌面上创建记事本文件wangs.txt,将其复制到HomeWork文件中,查看该文件的权限,注意:
CREATOROWNER已经被wang替换,用户对自己的文件有完全控制权。
拖动一个文件夹到HomeWork,验证创建文件夹是否成功。
图3-11验证权限设置
使用zhang登录服务器,在HomeWork中创建文件zhang.txt,打开wang.txt,看看是否能够打开别人创建的文件。
3.3.2只允许用户访问自己的文件夹
某单位的文件服务器,在C盘创建了文件夹“ShareSpace”,该文件夹存放用户私有数据,要求实现以下功能:
↘用户在ShareSpace文件夹中只能创建文件夹
↘用户对自己创建的文件夹有完全控制权
↘用户不能打开其他用户创建的文件夹
配置步骤如下:
20.以管理员的身份登录FileServer,创建ShareSpace文件夹。
21.右击ShareSpace,点击“属性”。
22.在出现的ShareSpace属性对话框,在安全标签下,点击“高级”。
23.在出现的ShareSpace的高级安全设置对话框,点击“编辑”。
24.如图3-12所示,在出现的ShareSpace的高级安全设置对话框,取消“包括可从该对象的父项继承的权限”选线。
25.在出现的Windows安全对话框,点击“复制”,将继承的权限复制为自己的权限。
26.在ShareSpace的高级安全设置对话框,点中Users,读取和执行,点击“编辑”。
27.在出现的ShareSpace的权限项目对话框,应用于“只有该文件夹”,点击“确定”。
这样用户默认就不能访问其他用户的文件夹了。
图3-12设置用户访问权限
28.如图3-13所示,点中Users特殊,点击“编辑”,在出现的ShareSpace的权限项目对话框,应用于“只有该文件夹”,权限只选中“创建文件夹/附加数据”。
这样用户只能在ShareSpace文件夹中创建文件夹,而不能创建文件。
29.点击“确定”完成授权。
图3-13授权只能创建文件夹
验证设置的NTFS权限是否能够达到预定目标。
可以使用zhang和wang登录,分别在ShareSpace文件夹中创建两个文件夹zhangSpace和wangSpace,测试zhang是否能够打开wang创建的文件夹,测试是否能在ShareSpace文件夹根目录中能够创建文件,在自己的文件夹中是否能够创建文件和文件夹,能否删除自己创建的文件夹。
3.3.3NTFS权限总结
继承下来的NTFS权默认不能更改,你可以打开高级安全设置,将继承下来的权限复制后再修改。
CreatorOwner组的权限会自动使用创建者的替换,默认创建者对自己的文件和文件夹是完全控制权。
如果你打算更改创建者的权限,您就修改CreatorOwner的权限即可。
在高级NTFS权限设置中,你可以看到权限有“应用于”,这个设置控制权限应用的层次。
尽可能不要使用拒绝权限,容易造成权限设置的混乱。
NTFS权限设置要严格,如果用户只需要读取,绝不要授予修改权限。
3.4文件的压缩
文件、文件夹的压缩可以减少它们占用磁盘的空间。
压缩可以对文件、文件夹或整个卷进行。
NTFS文件系统的压缩过程和解压过程对用户是完全透明的,压缩前和压缩后的文件在使用上没有不同。
几点说明:
↘当把一个未压缩的文件或文件夹复制到一个压缩的文件夹或卷中时,会自动压缩。
↘在同一个NTFS卷中,当把一个压缩的文件或文件夹复制到一个未压缩的文件夹或卷中时,其状态仍为压缩。
↘在不同的NTFS卷之间,当把一个压缩的文件或文件夹复制到一个未压缩的文件夹或卷中时,会自动解压。
↘当一个压缩的文件从NTFS卷移动或复制到FAT分区时将自动解压。
3.4.1压缩文件夹
我们可以将不常用的文件放置到设置成压缩状态的文件夹中。
示例:
启用对文件夹的压缩。
1.在FileServer计算机上的C盘创建一个“安装文件”文件夹,在该文件夹中创建一个图片文件“photo.bmp”,点击“编辑”,随便画一些内容,保存。
右击该文,查看其属性。
可以看到该文件的大小和占用的磁盘空间。
2.如图3-14所示,右击“安装文件”文件夹,点击“属性”,在常规标签下,点击“高级”。
3.选择“将更改应用于此文件夹,子文件夹和文件”。
点击“确定”。
∙注意:
压缩后的文件夹变成了蓝色。
图3-14设置文件高级属性
30.如图3-15所示,在高级属性对话框中,选中“压缩内容以便节省磁盘空间”,点击“确定”。
31.再次打开photo文件的属性对话框,在常规标签下,看看大小和占用的空间,你就知道NTFS压缩的效果。
有些文件压缩比大,有的压缩比小。
图3-15压缩文件内容
3.4.2压缩整个磁盘
我们可以将整个NTFS分区的磁盘设置成压缩状态。
不要将系统分区或有虚拟内存的分区设置为压缩状态,会影响性能。
将磁盘分区设置成压缩状态
32.右击磁盘分区E,点击“属性”。
33.在磁盘属性对话框中的常规标签下,点击“压缩此驱动器以节约磁盘空间”。
34.点击“确定”,选择“将更改应用于驱动器E:
\、子文件夹和文件”。
3.4.3移动或复制对压缩状态的影响
只有在文件夹中创建新文件或文件夹时才继承目标文件夹的压缩状态,同分区移动,文件或文件夹没有改变在磁盘上的位置,只是改变了文件的访问路径,因此不继承目标文件夹的状态。
不同分区移动,实际上是复制文件或文件夹到新位置后删除源文件的过程,因此继承目标文件夹的压缩状态。
具体情况如下表。
同一NTFS分区
不同NTFS分区
FAT分区
复制
继承目标文件夹压缩状态
压缩状态丢失
移动
保留原文件(夹)压缩状态
3.5加密文件系统(EFS)
WindowsServer2008利用“加密文件系统EFS(EncryptingFileSystem)”提供文件加密功能。
文件或文件夹经过加密后,只有当初将其加密的用户或者经过授权的用户能够读取,因此可以增强文件的安全性。
只有NTFS磁盘内的文件和文件夹才可以被加密。
FAT32磁盘并没有该功能。
如果将文件复制或移动到非NTFS磁盘内,则该文件会解密。
文件压缩与加密无法共存。
如果要对已经压缩的文件进行加密,则该文件会自动解压缩。
如果要对已经加密的文件进行压缩,则该文件会自动解密。
EFS加密的特点:
↘EFS加密是基于公钥策略的。
在使用EFS加密一个文件或文件夹时,系统首先会生成一个由伪随机数组成的FEK(FileEncryptionKey,文件加密钥匙),然后将利用FEK和数据扩展标准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。
随后系统利用你的公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。
而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。
在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥),则会首先生成密钥,然后加密数据。
如果你登录到了域环境中,密钥的生成依赖于域控制器,否则依赖于本地机器。
↘EFS加密系统对用户是透明的。
这也就是说,如果你加密了一些数据,那么你对这些数据的访问将是完全允许的,并不会受到任何限制。
而其他非授权用户试图访问加密过的数据时,就会收到“访问拒绝“的错误提示。
EFS加密的用户验证过程是在登录Windows时进行的,只要登录Windows,就可以打开任何一个被授权的加密文件。
3.5.1EFS加密
用户的公钥和私钥是以数字证书的形式存在的。
当用户首次加密文件或文件夹时,操作系统会为其产生一个数字证书。
该数字证书的私钥使用用户的登录密码加密。
加密文件时使用数字证书的公钥加密,解密密钥时使用私钥。
如果用户的密码被管理员重设了,使用EFS加密的文件就不能解密,除非将密码设置为以前的密码,登录后才能解密。
配置EFS加密。
35.以用户wang登录到服务器FileServer.
36.如图3-16所示,右击桌面上的IE图标,点击“属性”,在IE属性对话框中,点击“内容”标签,点击“证书”按钮。
37.如图3-17所示,可以看到没有任何个人证书。
图3-16单击“证书”按钮图3-17没有任何个人证书
4.在E盘上创建一个文件夹“wangEFS”,右击该文件夹,点击“属性”。
5.如图3-18所示,在常规标签下,点击“高级”按钮,在高级属性对话框中,选中“加密内容以便保护数据”,点击“确定”。
加密后的文件夹变成了绿色。
图3-18加密文件夹
38.再次打开IE属性,在“内容”标签下,点击“证书”按钮,可以看到当前用户用于EFS的数据证书。
如图3-19所示,选中该证书,点击“查看”按钮。
图3-19当前存在证书wang图3-20证书的目的是加密磁盘上的数据
39.如图3-20所示,在出现的对话框里可以看到证书的目的,有效期,显示“您有一个与该证书对应的私钥”。
40.在wangEFS文件夹里创建一个记事本文件wangFES.txt,会发现是自动加密的。
41.使用管理员登录系统,访问wangEFS.txt,会出现“拒绝访问”。
3.5.2备份EFS证书
导入其他用户帐户的证书就能打开其他用户使用EFS加密的文件。
需要先将用户的EFS证书导出(备份证书),别人才能导入。
由于重装系统后,为了打开以前原来由EFS加密的文件,也需要导出证书(备份证书)。
通过IE属性备份EFS证书。
42.使用wang登录FileServer,打开IE属性,点击“内容”标签,点击“证书”按钮。
43.如图3-21所示,选中wang证书,点击“导出”,在出现的向导对话框,单击“下一步”。
44.如图3-22所示,在出现的导出私钥对话框,选择“是,导出私钥”,点击“下一步”。
图3-21查看证书图3-22导出私钥
45.在出现的导出文件格式对话框,选择“下一步”。
46.输入密码保护私钥,点击“下一步”。
注意:
该密码要牢记,在导入该证书的时候需要用到此密码。
47.输入证书的存储位置和文件名,完成证书导出向导。
3.5.3打开其他用户加密的文件
导入其他用户的证书,就可以打开其他用户加密的文件。
管理员导入wang的证书,打开wang加密的文件。
48.使用管理员登录到FileServer,打开wangEFS文件夹下的wangEFS.txt,提示“拒绝访问”,因为不能解密造成的拒绝访问。
49.打开IE属性,点击“内容”标签,点击“证书”按钮,在出现的对话框中,点击“导入”按钮。
50.在出现的对话框里,单击“下一步”。
51.在出现的对话框里,单击“浏览”,找到刚才wang保存自己的证书的地址。
52.将文件格式选为“个人信息交换(*.pfx;
*.p12)”,然后选择wang的证书,点击“打开”。
53.在出现的对话框里单击“下一步”。
54.在出现的对话框里输入导出时候的密码,勾选“标志密钥为可导出密钥。
这将允许您在稍后备份或传输密钥”。
单击“下一步”。
55.在证书存储对话框,默认为“个人”,点击“下一步”完成证书导入。
56.再次打开wang加密的记事本文件,发现能够打开,说明解密成功。
3.5.4重设用户密码对EFS的影响
由管理员重置用户密码或使用其他工具重设计算机本地用户密码后,EFS、凭据和证书私钥将不可用。
将失去由该用户使用EFS加密的数据。
若要恢复数据访问权限,必须提供原始密码或用户在具有访问文件权限时创建的密码恢复磁盘。
密码重设后EFS不可解密。
57.使用管理员登录FileServer,打开服务器管理器,打开“本地用户和组”,右击用户wang,选择“设置密码”。
58.在出现的提示框里单击“继续”。
输入新密码a2!
,单击“确定”。
59.注销管理员,以wang登录系统。
60.双击加密的文件wangEFS.txt,提示“拒绝访问”。
61.按ctrl+alt+delete,点击“更改密码”,将密码更改为加密时的密码。
62.再次打开加密的文件,成功。
3.6磁盘配额
在WindowsServer2008中,用户可利用磁盘配额功能来控制和跟踪每个用户可用的磁盘空间。
下面列出磁盘配额的特性:
↘磁盘配额是针对单一用户来控制与跟踪的。
↘只有NTFS磁盘才支持磁盘配额功能,FAT及FAT32不支持。
↘磁盘配额是以文件和文件夹的所有权进行计算的。
也就是说,在一个NTFS卷内,所有权属于用户的文件和文件夹,其所占用的磁盘空间会被计算在内。
↘磁盘配额的计算不考虑文件压缩的因素。
虽然在NTFS卷内的文件和文件夹可以被压缩,以减少占用磁盘的空间,但是磁盘配额的功能在计算用户的磁盘空间总使用量时,是以文件的原始大小进行计算的。
↘每个NTFS磁盘分区的磁盘配额是独立计算的,不论这几个NTFS分区是否在同一个硬盘内。
例如,如果第一个硬盘被划分为C和D两个NTFS分区,则用户在磁盘分区C和D分别可以拥有不同的磁盘配额。
↘系统管理员默认不会受到磁盘配额的限制。
3.6.1给所有用户设置统一的磁盘配额
为了防止个别用户在文件服务器存放大量电影,占用完磁盘空间,影响其他用户存放数据,你可以使用磁盘配额功能,限制每个用户只能使用5G空间,4G给用户发警告。
在FileServer实现磁盘配额
63.以管理员身份登录WINServer。
64.如图3-23所示,打开“计算机”,右击E盘,点击“属性”,在常规标签下,能够看到磁盘大小为20G,点击“配额”标签。
65.如图3-24所示,选中“启用配额管理”,选中“拒绝将磁盘空间给超过配额限制的用户”将磁盘空间限制为5G,警告等级设置为4G,点击“确定”。
图3-23查看磁盘信息图3-24设置磁盘配额
66.如图3-25所示,注销管理员,使用wang登录FileServer,打开计算机,看到E盘就是5G大小。
。
图3-25验证磁盘配额
3.6.2给个别用户
升级会员 