1、第二篇第二篇 Windows Server 2008Windows Server 2008局域网组建局域网组建项目5 规划与安装Windows Server 2008网络操作系统项目6 管理局域网的用户和组项目7 管理局域网的文件系统与共享资源项目项目7 7 管理文件系统与共享资源管理文件系统与共享资源7.1 项目导入项目导入7.2 职业能力目标和要求职业能力目标和要求l 掌握掌握设置共享资源和访问共享资源的方法。设置共享资源和访问共享资源的方法。l 掌握卷影副本的使用方法。掌握卷影副本的使用方法。l 掌握使用掌握使用NTFS控制资源访问的方法。控制资源访问的方法。l 掌握使用文件系统加密文件
2、的方法。掌握使用文件系统加密文件的方法。l 掌握压缩文件的方法。掌握压缩文件的方法。 7.3 FAT与与NTFS文件系统文件系统 7.3.1 FAT文件系统文件系统 7.3.2 NTFS文件系统文件系统 7.4 项目设计及准备项目设计及准备项目项目7 7 管理文件系统与共享资源管理文件系统与共享资源 7.5 项目实施项目实施任务任务7-1 设置资源共享设置资源共享任务任务7-2 访问网络共享资源访问网络共享资源任务任务7-3 使用卷影副本使用卷影副本任务任务7-4 认识认识NTFS权限权限任务任务7-5 继承与阻止继承与阻止NTFS权限权限任务任务7-6 复制和移动文件和文件夹复制和移动文件和
3、文件夹任务任务7-7 利用利用NTFS权限管理数据权限管理数据任务任务7-8 使用加密文件系统使用加密文件系统项目项目7 7 管理文件系统与共享资源管理文件系统与共享资源 7.3 FAT与与NTFS文件系统文件系统 7.3.1 FAT文件系统文件系统 7.3.2 NTFS文件系统文件系统项目项目7 7 管理文件系统与共享资源管理文件系统与共享资源 FAT32文件系统采用文件系统采用32位的文件分配表位的文件分配表. 可以支持大到可以支持大到2TB(2048GB)的分区的分区 使用固定使用固定512字节作为扇区大小字节作为扇区大小 用用“簇簇” 作为数据单元。簇的最大值作为数据单元。簇的最大值3
4、2KB,默认簇的大,默认簇的大小为小为4KB7.3.1 FAT7.3.1 FAT文件系统文件系统7.3.2 NTFS7.3.2 NTFS文件系统文件系统NTFS(New Technology File System)是可扩)是可扩展和可恢复的文件系统;展和可恢复的文件系统;它有磁盘配额、文件加密;它有磁盘配额、文件加密;NTFS可以设置文件安全性;可以设置文件安全性;NTFS有压缩功能;有压缩功能;NTFS是以簇为单位来存储数据文件,在给定大小是以簇为单位来存储数据文件,在给定大小的卷上,的卷上, NTFS总是使用最小的默认簇。总是使用最小的默认簇。 7.3.2 NTFS7.3.2 NTFS文
5、件系统文件系统7.3.3 7.3.3 管理访问概述管理访问概述- -安全主体安全主体安全主体 - 可用于身份验证和分配资源访问权的用户、组或计算机对象。相对 ID (RID) -安全 ID (SID) 的一部分,在域中惟一标识的账户或组。安全 ID (SID) - 在创建用户、计算机或安全组时分配的惟一值。 Windows 中的内部过程引用账户的 SID,而不是账户的用户名或组名。安全主体安全主体S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID7.3.3 7.3.3 管理访问概述管理访问概述- -访问令牌访问令牌 用户的访问令牌主体主体其
6、他访问权信息其他访问权信息用户权利列表用户权利列表组组 SID用户用户 SID7.3.3 7.3.3 管理访问概述管理访问概述- -权限权限分配权限的方式分配权限的方式 “允许”或“拒绝”权限可分配到资源(文件夹、打印机、文件)权限: 是授予或拒绝对象访问权的规则 用于控制访问权限可分配到本地计算机中的账户或 AD DS 中的账户可以显式应用权限、继承权限或隐式应用权限随机访问控制列表 (DACL)DACL 包含用户和组的列表,这些用户和组可以访问资源或者被拒绝而无法访问资源NTFS 卷上的每一个文件和文件夹都有关联的 DACL系统访问控制列表 (SACL)SACL 控制审核对资源的访问 访问
7、控制条目 (ACE)定义 DACL 或 SACL 中的每一个条目指定一组要允许、拒绝或审核的 SID如果在 DACL 中未指定任何 ACE,那么将拒绝访问资源7.3.3 7.3.3 管理访问概述管理访问概述- -权限权限7.4 项目设计与准备项目设计与准备 7.5 项目实施项目实施任务任务7-1 设置资源共享设置资源共享任务任务7-2 访问网络共享资源访问网络共享资源任务任务7-3 使用卷影副本使用卷影副本任务任务7-4 认识认识NTFS权限权限任务任务7-5 继承与阻止继承与阻止NTFS权限权限任务任务7-6 复制和移动文件和文件夹复制和移动文件和文件夹任务任务7-7 利用利用NTFS权限管
8、理数据权限管理数据任务任务7-8 使用加密文件系统使用加密文件系统项目项目7 7 管理文件系统与共享资源管理文件系统与共享资源 文件夹可以共享,但是各个文件不可共享共享文件夹是允许通过网络访问其内容的文件夹。默认情况下,共享文件夹权限为“Everyone,读取”可通过以下方式找到共享文件夹:在 Windows 资源管理器中寻找有两个用户图标的文件夹在命令行下通过 Net Share 命令在“计算机管理”的“共享文件夹”下任务任务7-1 设置资源共享设置资源共享-共享文件夹共享文件夹管理共享: 是隐藏共享 在使用 Net View 时或者在“网络”视图中都不会显示管理员有完全权限共享权限不可更改
9、任务任务7-1 设置资源共享设置资源共享-管理共享管理共享权限级别权限级别访问权访问权读取读取允许查看文件中的数据允许查看文件中的数据 允许浏览子文件夹允许浏览子文件夹可执行共享文件夹中的程序可执行共享文件夹中的程序默认情况下应用于默认情况下应用于 Everyone 组组更改更改“读取读取”类别的所有权限类别的所有权限 可创建新文件和子文件可创建新文件和子文件可修改或删除现有文件中的数据可修改或删除现有文件中的数据可删除文件和子文件可删除文件和子文件完全控制完全控制 “读取读取”和和“更改更改”类别中包括的所有权限,外加更类别中包括的所有权限,外加更改安全性设置的权限改安全性设置的权限任务任务
10、7-1 设置资源共享设置资源共享-管理共享管理共享任务任务7-1 设置资源共享设置资源共享任务任务7-1 设置资源共享设置资源共享Net shareNet share 共享一个文件夹共享一个文件夹Net share sharename=Net share sharename=“路径路径”如:如:net share office2003=c:officenet share office2003=c:office 删除共享删除共享Net share sharename /delNet share sharename /del如如: net share office /del: net share
11、office /del小知识:fsmgmt.msc 打开共享文件夹管理器 任务任务7-1 设置资源共享设置资源共享-使用命令使用命令使用管理型共享文件夹使用管理型共享文件夹管理员可利用管理共享文件夹执行日常管理任务管理员可利用管理共享文件夹执行日常管理任务管理对普通用户隐藏的共享文件夹管理对普通用户隐藏的共享文件夹 管理员拥有管理员拥有 “完全控制完全控制” 权限权限IPC$IPC$:文件服务器无法停用:文件服务器无法停用C$, D$, E$每个分区根默认共享Admin$C:Winnt 共享成为Admin$(远程管理)Print$包含打印机驱动程序文件的文件夹共享为 Print$ (创建于安装
12、第一台打印机时) 任务任务7-1 设置资源共享设置资源共享-特殊共享特殊共享通过通过 UNC 访问:访问: 命名约定为servernameshare 或servernamesharefile可通过 Windows 资源管理器、命令行或编程方式访问通过网络访问:通过网络访问: 使用图形化工具浏览网络以获得共享可在域模式或工作组模式下进行不显示隐藏共享或管理共享通过映射驱动器访问: 使用 Windows 资源管理器或命令行将驱动器映射到servernameshare任务任务7-2 访问网络共享资源访问网络共享资源使用网络发现功能使用网络发现功能任务任务7-2 访问网络共享资源访问网络共享资源使用网
13、络发现功能使用网络发现功能任务任务7-2 访问网络共享资源访问网络共享资源使用网络发现功能使用网络发现功能任务任务7-2 访问网络共享资源访问网络共享资源访问共享文件夹访问共享文件夹网上邻居任务任务7-2 访问网络共享资源访问网络共享资源-总结一下总结一下使用共享文件夹的注意事项使用共享文件夹的注意事项 创建共享文件夹时:尽可能使用最严格的权限避免将权限分配给单个用户,尽可能使用组 牢记“完全控制”允许用户修改 NTFS 权限。将组添加到“完全控制”权限组时应谨慎将 Authenticated Users 组添加到共享的权限,而将 Everyone 组删除卷影副本服务卷影副本服务功能:用户可以
14、通过功能:用户可以通过“共享文件夹的卷影副本共享文件夹的卷影副本”功能,让系统自动在指定的时间将所有共享文件夹功能,让系统自动在指定的时间将所有共享文件夹内的文件复制到另外一个存储区内备用。内的文件复制到另外一个存储区内备用。当用户通过网络访问共享文件夹内的文件时,若当用户通过网络访问共享文件夹内的文件时,若用户将文件删除或者修改文件的内容后,却反悔想用户将文件删除或者修改文件的内容后,却反悔想要救回该文件或者想要还原文件的原来内容时,他要救回该文件或者想要还原文件的原来内容时,他可以通过可以通过“卷影副本卷影副本”存储区内的旧文件来达到目存储区内的旧文件来达到目的,因为系统之前已经将共享文件
15、夹内的所有文件的,因为系统之前已经将共享文件夹内的所有文件,都复制到,都复制到“卷影副本卷影副本”存储区域内。存储区域内。任务任务7-3 使用卷影副本使用卷影副本任务任务7-3 使用卷影副本使用卷影副本任务任务7-3 使用卷影副本使用卷影副本客户端访问客户端访问“卷影副本卷影副本”内的文件内的文件任务任务7-3 使用卷影副本使用卷影副本客户端访问客户端访问“卷影副本卷影副本”内的文件内的文件任务任务7-3 使用卷影副本使用卷影副本客户端访问客户端访问“卷影副本卷影副本”内的文件内的文件权限和数量权限和数量 “卷影副本卷影副本”内的文件只可以读取,不可以修内的文件只可以读取,不可以修改,而且每个
16、磁盘最多只可以有改,而且每个磁盘最多只可以有64个个“卷影副本卷影副本”,如果达到限制时则最旧的,如果达到限制时则最旧的“卷影副本卷影副本”会被会被删除。删除。任务任务7-3 使用卷影副本使用卷影副本文件权限文件权限文件夹权限文件夹权限读取读取读取读取写入写入写入写入读取和执行读取和执行列出文件夹内容列出文件夹内容修改修改读取和执行读取和执行完全控制完全控制修改修改完全控制完全控制“拒绝”权限优先于“允许”权限 任务任务7-4 认识认识NTFS权限权限特殊权限特殊权限 遍历文件夹遍历文件夹/执行文件执行文件 创建文件夹创建文件夹/附加数据附加数据 读取权限读取权限 列出文件夹列出文件夹/读取数
17、据读取数据 写入属性写入属性 更改权限更改权限 读取属性读取属性 写入扩展属性写入扩展属性 取得所有权取得所有权 读取扩展属性读取扩展属性 删除子文件夹和文件删除子文件夹和文件 同步同步 创建文件创建文件/写入数据写入数据 删除删除 标准权限标准权限读取读取列出文件夹内容列出文件夹内容 修改修改 写入写入读取和执行读取和执行 完全控制完全控制 任务任务7-4 认识认识NTFS权限权限-标准权限和特殊权限标准权限和特殊权限NTFS 权限是累积的修改修改执行执行写入写入读取读取“拒绝”优先权限可应用于用户或组文件权限覆盖文件夹权限文件和文件夹的创建者是所有者任务任务7-4 7-4 认识认识NTFS
18、NTFS权限权限- -多重多重NTFS NTFS 权限权限共享文件权限和共享文件权限和 NTFS NTFS 权限合并的效果权限合并的效果在合并共享文件夹权限和 NTFS 权限时,将应用最严格的权限文件和文件夹共享权限和 NTFS 权限必须有正确的权限,否则系统将隐式拒绝用户或组访问资源示例:如果用户或组获得了共享权限示例:如果用户或组获得了共享权限“读取读取”和和 NTFS 权限权限“写写入入”,那么用户或组将只能读取文件,因为这是最严格的权限。,那么用户或组将只能读取文件,因为这是最严格的权限。实施实施 NTFS NTFS 权限和共享文件夹权限的注意事项权限和共享文件夹权限的注意事项 将权限
19、授予组而不是用户只在必要时使用“拒绝”权限不要拒绝 Everyone 组对对象的访问权尽可能在文件夹结构中的高位授予权限使用 NTFS 权限而不是共享权限来实现细粒度的访问NTFS NTFS 权限继承权限继承Access to FolderBFolderAFolderB权限继承Read / Write阻止权限继承No access to FolderBFolderAFolderBFolderCRead / Write任务任务7-5 继承与阻止继承与阻止NTFS权限权限阻止阻止 权限继承可阻止继承无需对每个对象分配显式权限即可管理对资源的访问默认情况下,NTFS 权限是按照父/子关系继承的可在文
20、件或文件夹级别执行阻止在文件夹上设置阻止可阻止新权限传播到子对象任务任务7-5 7-5 继承与阻止继承与阻止NTFSNTFS权限权限任务任务7-5 7-5 继承与阻止继承与阻止NTFSNTFS权限权限任务任务7-5 7-5 继承与阻止继承与阻止NTFSNTFS权限权限任务任务7-6 7-6 复制和移动文件和文件夹复制和移动文件和文件夹在复制文件和文件夹时,它们继承目标文件夹的权限当在同一个分区中移动文件和文件夹时,它们保留其权限在将文件和文件夹移到其他分区时,它们将继承目标文件夹的权限NTFS 分区分区C:NTFS 分区分区E:NTFS 分区分区D:移动移动复制复制或或移动移动复制复制设置文件
21、夹的设置文件夹的NTFSNTFS权限权限任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据设置文件夹的设置文件夹的NTFSNTFS权限权限任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据设置文件的设置文件的NTFSNTFS权限权限 对于指定的文件,只对于指定的文件,只有它的拥有者、管理有它的拥有者、管理员(员(Administrator)和有完全控制权限的和有完全控制权限的用户才可以设置它用户才可以设置它NTFS权限。权限。任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据设置设置NTFSNTFS特殊权限特殊权限 特殊特殊NT
22、FS权限权限:包含了各种情况下对资源的访包含了各种情况下对资源的访问权限,它规定了用户访问资源的所有行为问权限,它规定了用户访问资源的所有行为 标准权限标准权限 :提供了必要的保证资源被安全访问提供了必要的保证资源被安全访问的权限的权限 ,是特殊是特殊NTFS权限的特定组合权限的特定组合 。任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据授予授予 Special NTFS Special NTFS 权限权限任务任务7-7 利用利用NTFS权限管理数据权限管理数据任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据特殊权限特殊权限-更改权限更改权限 特
23、殊权限特殊权限-更改权限更改权限 任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据特殊权限特殊权限-取得所有权取得所有权任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据特殊权限特殊权限-取得所有权取得所有权任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据任务任务7-7 7-7 利用利用NTFSNTFS权限管理数据权限管理数据加密文件系统(加密文件系统(EFSEFS)与压缩)与压缩EFSEFS内置于内置于 Windows 2008Windows 2008
24、中的中的 NTFSNTFS文件系统中。文件系统中。利用利用 EFSEFS可以启用基于公共密钥的文件级或者文可以启用基于公共密钥的文件级或者文件夹级的保护功能。件夹级的保护功能。任务任务7-8 使用加密文件系统使用加密文件系统什么是什么是EFS EFS 加密加密? ?EFS加密数据 用户通过设置加密属性来加密文件或文件夹 当在一个加密文件夹下创建文件或文件夹时,它们自动被加密,当移动一个文件或文件夹到加密文件夹下会自动被加密使用EFS访问已加密的数据 当访问一个加密文件时,用户用平常的方法去访问 当用户关闭文件时,EFS自动加密 使用EFS解密数据 文件保持解密状态至到被再次加密任务任务7-8
25、使用加密文件系统使用加密文件系统当移动加密文件或文件夹时它的加密状态如何变化当移动加密文件或文件夹时它的加密状态如何变化加密文件夹到非加密文件夹C非加密文件夹到加密文件夹B非加密文件夹到加密文件夹AMove=Copy=Copy=任务任务7-8 使用加密文件系统使用加密文件系统特征特征 (1 1)它在后台运行,对用户和应用程序来说是透明的。)它在后台运行,对用户和应用程序来说是透明的。(2 2)只有被授权的用户才能访问加密的文件。)只有被授权的用户才能访问加密的文件。(3 3)它提供内置的数据恢复支持功能。)它提供内置的数据恢复支持功能。(4 4)它要求至少有一个恢复代理,用以恢复加密的文)它要
26、求至少有一个恢复代理,用以恢复加密的文件。件。注意:注意:加密操作和压缩操作是互斥的。因此,建议或者加密操作和压缩操作是互斥的。因此,建议或者采用加密技术,或者对文件进行压缩,二者不能同采用加密技术,或者对文件进行压缩,二者不能同时采用。时采用。任务任务7-8 使用加密文件系统使用加密文件系统加密文件或文件夹加密文件或文件夹任务任务7-8 使用加密文件系统使用加密文件系统实验:实验:EFSEFS加密恢复加密恢复1 1、授权访问:、授权访问:2 2、证书恢复:(请同学完成)、证书恢复:(请同学完成)jwjw登录,加密自己的文件,然后将自己的私登录,加密自己的文件,然后将自己的私钥导出钥导出jyj
27、y登录,将登录,将jwjw的私钥导入,然后即可打开的私钥导入,然后即可打开jwjw加密的文件加密的文件任务任务7-8 使用加密文件系统使用加密文件系统 恢复代理可以理解为默认被共享了本机所有EFS加密文件的用户(类似于EFS的共享,但不等同),在设置了恢复代理后,本机上所有文件在使用EFS加密的同时,恢复代理的相应信息也会被保存到文件中。这样日后就算加密该文件的帐户已经不存在,或者证书丢失了,我们依然可以使用恢复代理的帐户登录系统,解密文件。 什么是恢复代理什么是恢复代理任务任务7-8 使用加密文件系统使用加密文件系统备份密钥备份密钥任务任务7-8 使用加密文件系统使用加密文件系统备份密钥备份密钥任务任务7-8 使用加密文件系统使用加密文件系统备份密钥备份密钥任务任务7-8 使用加密文件系统使用加密文件系统备份密钥备份密钥任务任务7-8 使用加密文件系统使用加密文件系统利用备份密钥解密利用备份密钥解密任务任务7-8 使用加密文件系统使用加密文件系统利用备份密钥解密利用备份密钥解密任务任务7-8 使用加密文件系统使用加密文件系统
