1、文件系统与NTFS权限.企业需求o企业中的某个部门通过文件共享方式发布资企业中的某个部门通过文件共享方式发布资料。为了保障信息的安全性,企业对文件或料。为了保障信息的安全性,企业对文件或文件夹的安全性有不同的要求;不同用户或文件夹的安全性有不同的要求;不同用户或部门成员对同一文件或文件夹有不同的权限部门成员对同一文件或文件夹有不同的权限要求。要求。.FAT文件系统o文件系统:文件命名、存储和组织的总体结构。oWindows Server 2003 支持下列三种文件系统:FAT16、FAT32 和 NTFS。.1 NTFS文件系统特点o有效地提高Windows Server 2003文件系统的数
2、据安全性、存储有效性以及磁盘空间的利用率oWindows Server 2003文件系统在NTFS分区上可以利用NTFS权限和文件加密提高数据安全性和数据存储有效性,利用数据压缩和磁盘配额提高磁盘空间的利用率.2 NTFS文件系统o使用NTFS权限管理资源。o使用NTFS文件系统压缩数据。o使用NTFS文件系统实现磁盘配额。o使用NTFS文件系统中的EFS加密磁盘上的数据。.3 NTFS文件系统的安全性oNTFS文件系统的权限设置文件系统的权限设置 在在Windows Server 2003中中NTFS权限只适用于权限只适用于NTFS分分区。在区。在NTFS分区上的每一个文件和文件夹都有一个列
3、表,被分区上的每一个文件和文件夹都有一个列表,被称为称为ACL(Access Control List,访问控制列表),该列,访问控制列表),该列表记录了每一用户和组对该资源的访问权限。在表记录了每一用户和组对该资源的访问权限。在Windows Server 2003的的NTFS权限作用下,用户必须获得明确的授权限作用下,用户必须获得明确的授权才能访问相应的文件和文件夹。权才能访问相应的文件和文件夹。n特殊特殊NTFS权限权限n标准标准NTFS权限权限.3 NTFS权限的设置.3.1 NTFS文件权限类型oNTFS文件权限:是应用在文件上的NTFS权限,用来控制用户对文件的访问。n读取(Rea
4、d)n写入(Write)n读取与执行(Read&Execute)n修改(Modify)n完全控制(Full Control).3.1 设置文件的NTFS权限.3.1 设置文件的NTFS权限.3.2 NTFS文件夹权限类型oNTFS文件夹权限类型文件夹权限类型n读取(Read)n写入(Write)n列出文件夹内容(List Folder Contents)n读取与执行(Read&Execute)n修改(Modify)n完全控制(Full Control).3.2 设置文件夹的NTFS权限打开打开data文件文件夹夹“属性属性”的的“安全安全”选项选项卡卡.3.2 设置文件夹的NTFS权限选择要设
5、置权限的用户:选择要设置权限的用户:.NTFS权限规则oNTFS权限的累积权限的累积o文件权限优先于文件夹权限文件权限优先于文件夹权限o拒绝权限优先于其他权限拒绝权限优先于其他权限oNTFS权限的继承权限的继承.3.3 删除文件夹继承权限.3.3 删除继承权限.3.3 删除继承权限.3.4 设置NTFS特殊权限.3.4 设置NTFS特殊权限o更改更改NTFS权限权限o获取获取NTFS所有权所有权.3.4.1 更改NTFS权限o在标准在标准NTFS权限中,只有权限中,只有“完全控制完全控制”权限权限才可以赋予用户更改文件或文件夹,但才可以赋予用户更改文件或文件夹,但“完完全控制全控制”权限同时有
6、删除文件夹或文件的权权限同时有删除文件夹或文件的权限。限。o如果要赋予其他用户更改文件或文件夹权限如果要赋予其他用户更改文件或文件夹权限的权限,而不能删除或写文件以及文件夹,的权限,而不能删除或写文件以及文件夹,就要用到更改权限功能。就要用到更改权限功能。.3.4.1 更改NTFS权限.3.4.2 获取NTFS所有权o对象的所有者拥有一项特殊的权限能够指派权限。o系统默认情况下,创建文件和文件夹的用户是该文件或文件夹的“所有者”,拥有“所有权”。o所有权可以用以下方式转换:n当前所有者可以将“取得所有权”权限授予另一用户,这将允许该用户在任何时候取得所有权。该用户必须实际取得所有权才能完成所有
7、权的转移。n管理员可以取得所有权。.3.4.2 获取NTFS所有权.3.4.2 获取NTFS所有权.3.4.2 获取NTFS所有权.3.4.2 获取NTFS所有权.3.5 在同一NTFS分区间复制或移动文件o在同一NTFS分区上将文件复制到不同文件夹,它将继承新文件夹的用户访问权限,操作者必须有目的文件的写入权限,才能复制文件或文件夹o在同一NTFS分区上将文件或文件夹移动到新文件夹,该文件或文件夹保留原来的权限。.3.6 在不同NTFS分区间复制或移动文件o在不同NTFS分区上将文件复制到不同文件夹,它的访问权限和原文件夹的访问权限不同,它将继承新文件夹的访问权限。o在不同NTFS分区上将文
8、件移动到新文件夹,该文件的访问权限发生改变,它将继承新文件夹的访问权限.3.7 从NTFS分区间复制或移动文件到FAT分区o因为FAT文件系统没有NTFS权限设置,当将文件从NTFS分区间复制或移动文件到FAT分区时,原文件的所有NTFS权限设置都将消失。.4 文件压缩与加密.4.1 文件压缩oWindows Server 2003有两种压缩方式:nNTFS压缩n压缩文件夹压缩.4.1.1 NTFS压缩oNTFS文件系统的压缩和解压缩对于用户而言是透明的。.4.1.1 NTFS压缩.4.1.1 NTFS压缩.4.1.1 NTFS压缩o数据的压缩和解压缩过程是要消耗CPU运算资源的,是以牺牲CP
9、U运算性能为代价而换取空间的(这也是任何一种压缩软件的共性)。oNTFS的压缩功能对于一些已经是压缩过的文件(如zip文件、Jpg文件、MP3文件等)来说不会进一步缩小该类文件所占用的硬盘空间.4.1.2 复制和移动由NTFS文件系统压缩的文件o同NTFS权限一样,在复制或移动文件或文件夹,其压缩属性会有不同的变化。o当在同一个NTFS分区中复制文件或文件夹时文件或文件夹会继承目标位置的文件夹的压缩状态。o当在同一个NTFS分区内移动文件或文件夹时文件或文件夹会保留原有的压缩状态。o当在不同的NTFS分区间复制文件或文件夹时文件或文件夹会继承目标位置的文件夹的压缩状态。o当在不同的NTFS分区
10、间移动文件或文件夹时文件或文件夹会继承目标位置的文件夹的压缩状态。o当把压缩过的文件或文件夹复制或移动到非NTFS分区上时,文件或文件夹会自动解除压缩状态。.4.2 文件加密o文件加密系统(EFS),其加密和解密过程对应用程序和用户而言是完全透明的 n应用程序读取加密文件时,系统会将文件从磁盘内读出、自动解密,而存储在磁盘内的文件仍然处于加密状态n当用户或应用程序将文件写入磁盘时,文件会自动加密后再写入磁盘。.4.2 文件加密oWindows Server 2003内置了数据恢复功能,可以由管理员恢复被另一个用户加密的数据,保证了数据在需要使用的情况下始终可用.4.2 文件加密.4.2 文件加
11、密.4.2 文件加密o如果将加密的文件复制或移动到非 NTFS 格式的卷上,该文件将会被解密。o数据加密和数据压缩功能不能同时进行,二者只能选其一.5 NTFS文件系统的磁盘配额.5 NTFS文件系统的磁盘配额 o磁盘配额只能针对驱动器(或称分区)来设置,不能针对物理硬盘的空间而设置,即若一个硬盘上有多个分区,则一个分区上的磁盘配额不会影响到用户使用其他分区的磁盘空间。o对于用户所能使用的磁盘空间的计算将按照该分区上用户拥有所有权的文件的实际大小来计算,NTFS的压缩被忽略,即以文件和文件夹未压缩时所占用的空间来计算。.5.4.1在NTFS文件系统上设置磁盘配额.5.4.1在NTFS文件系统上设置磁盘配额.5.4.1在NTFS文件系统上设置磁盘配额.企业疑难问题解析企业疑难问题解析.问题问题o用户拥有什么权限才可以修改文件内容或覆盖文件?n除了“写入”权限外,用户至少还必须拥有“读取”的权限。o哪些用户可以对文件/文件夹指派NTFS权限?n只有Administrator组内的成员、文件/文件夹的所有者、具备完全控制权限的用户才能对该文件/文件夹指派NTFS权限。因此可用Administrator账户登录,设置NTFS权限。.小结o文件权限的重要性文件权限的重要性o文件权限的累加的规则文件权限的累加的规则.