NTFS文件系統(tǒng)

1、ntfs,本章主要內(nèi)容,文件權(quán)限及其應(yīng)用 ntfs權(quán)限應(yīng)用原則 磁盤限額概念與設(shè)置 文件壓縮特征 加密文件系統(tǒng)工作原理 數(shù)據(jù)恢復(fù)代理概念和設(shè)置,5.0 文件權(quán)限,一、什么是權(quán)限？ 權(quán)限是指用戶對于對象的訪問限制。如能夠新建或刪除文件、文件夾、打印機等對象。 二、文件和文件夾的權(quán)限分幾種？ 、ntfs權(quán)限：僅在ntfs磁盤上的文件或文件夾具有此權(quán)限。ntfs權(quán)限稱為文件與文件夾的訪問權(quán)限。 、共享權(quán)限：只要是共享出來的文件夾(稱為共享文件夾)就具有此權(quán)限。若該文件夾也存在ntfs磁盤上，便同時具有ntfs權(quán)限和共享權(quán)限,三、什么是文件系統(tǒng)？ 文件命名、存儲和組織的總體結(jié)構(gòu)。 四、windows

2、2003系統(tǒng)支持哪幾種文件系統(tǒng)？ fat、ntfs 五、fat文件系統(tǒng)文件分配表 dos、win9x、win me下的文件格式，2003下有這種文件格式主要是為了兼容。 六、ntfs文件系統(tǒng)nt file system win2000后的文件格式，安全性比較好,5.1 ntfs權(quán)限概述,2003通過ntfs權(quán)限控制用戶對文件和文件夾的訪問，從而確保文件和文件夾的安全。通過ntfs權(quán)限可控制用戶對某個ntfs文件或文件夾所有執(zhí)行的操作，并且可以跟蹤用戶對文件所執(zhí)行的所有操作,5.1.1 ntfs權(quán)限概述,一、訪問控制列表 兩種： dacl隨機訪問控制列表 sacl系統(tǒng)訪問控制列表 dacl:存儲

3、用戶或組對ntfs文件或文件夾擁有的相應(yīng)的ntfs權(quán)限，用來控制用戶對ntfs文件和文件夾的訪問,5.1.1 ntfs權(quán)限概述,sacl:存儲ntfs文件或文件夾的審計設(shè)置，用來跟蹤和記錄用戶或組對ntfs文件所執(zhí)行操作或訪問試圖。 二、訪問控制元素ace 每個ace存儲了一個對象（用戶、組、或計算機帳號）對文件所對應(yīng)的權(quán)限和審計策略,5.1.1 ntfs權(quán)限概述,三、ntfs文件和文件夾權(quán)限 ntfs文件權(quán)限: 讀?。╮ead） 寫入（write） 讀取與執(zhí)行（read & execute） 修改（modify） 完全控制（full control,5.1.1 ntfs權(quán)限概述,ntfs文件

4、夾權(quán)限類型 讀?。╮ead） 寫入（write） 列出文件夾內(nèi)容（list folder contents） 讀取與執(zhí)行（read & execute） 修改（modify） 完全控制（full control,5.1.2 ntfs權(quán)限應(yīng)用原則,一、三個原則 ntfs權(quán)限是累積的 文件權(quán)限超越文件夾權(quán)限 拒絕權(quán)限超越其他權(quán)限 二、ntfs權(quán)限是累積的 用戶對文件或文件夾的有效權(quán)限，是用戶對該文件或文件夾的ntfs權(quán)限和用戶所屬組對該用戶和文件夾的ntfs權(quán)限的組合,teacher組,onebit用戶,file1,讀取,修改,修改,5.1.2 ntfs權(quán)限應(yīng)用原則,三、文件權(quán)限超越文件夾權(quán)限 當(dāng)

5、一個用戶對某個文件及其父文件夾都擁有ntfs權(quán)限時，如果用戶對其父文件夾的權(quán)限小于文件的權(quán)限，那么用戶對該文件的有效權(quán)限是以文件權(quán)限為準,onebit用戶,file1,寫,瀏覽,寫,folder,5.1.2 ntfs權(quán)限應(yīng)用原則,四、拒絕權(quán)優(yōu)先于其他權(quán)限 管理員可以根據(jù)需要拒絕指定用戶訪問指定文件或文件夾，當(dāng)系統(tǒng)拒絕了用戶訪問某文件或文件夾時，不管用戶所屬組對該文件或文件夾擁有什么權(quán)限，用戶都無權(quán)訪問文件,teacher組,onebit用戶,file1,拒絕寫,完全控制,拒絕寫,5.1.3 ntfs權(quán)限繼承,一、繼承可以實現(xiàn)以下功能： 創(chuàng)建子文件或文件夾后，管理員不須為子文件或文件夾授權(quán)。 確

6、保應(yīng)用與父文件夾的權(quán)限應(yīng)用到所有子文件和文件夾上 確保需要修改所有子文件和文件夾的權(quán)限時，只需要修改父文件夾的權(quán)限而不用再為子文件和文件夾單獨授權(quán),5.1.3 ntfs權(quán)限繼承,二、2003發(fā)生下列事件時，繼承自動發(fā)生： 創(chuàng)建子文件或文件夾時，子文件和文件夾自動繼承父文件夾的權(quán)限 修改父文件夾的權(quán)限時，子文件和文件夾自動繼承父文件夾權(quán)限的修改,5.1.4 ntfs權(quán)限管理,系統(tǒng)自動賦給everyone組分區(qū)根目錄完全控制的ntfs權(quán)限。管理員可以根據(jù)需要修改文件和文件夾的ntfs權(quán)限，控制用戶對ntfs文件和文件夾的訪問。 一、修改文件或文件夾的ntfs權(quán)限 文件夾或文件-右鍵-添加,5.1.

7、4 ntfs權(quán)限管理,二、阻止或允許權(quán)限繼承 文件夾或文件-屬性-安全-高級-選擇“允許父項繼承權(quán)限傳播到該對象和所有子對象”。 當(dāng)阻止權(quán)限繼承時，有兩種方式： 復(fù)制-系統(tǒng)將把以前從父文件夾繼承來的所有權(quán)限保留下來，不再繼承以后為父文件夾賦予的任何ntfs權(quán)限。 刪除-把以前繼承的所有權(quán)限刪除。并不再繼承,5.1.4 ntfs權(quán)限管理,三、復(fù)制和移動文件或文件夾時ntfs權(quán)限的變化。 不管是在分區(qū)內(nèi)或分區(qū)間復(fù)制文件或文件夾，系統(tǒng)都將目標文件作為新文件對待，文件將繼承目的地文件夾的權(quán)限,5.1.5 特殊ntfs權(quán)限應(yīng)用,5.1.5 特殊ntfs權(quán)限應(yīng)用,一更改權(quán)限 在標準ntfs權(quán)限中，只有“完

8、全控制”權(quán)限才可以賦予用戶更改文件或文件夾ntfs，但“完全控制”權(quán)限同時有刪除文件夾或文件的權(quán)限。 如果要賦予其他用戶更改文件或文件夾權(quán)限的權(quán)限，而不能刪除或?qū)懳募约拔募A，就要用到更改權(quán)限功能,5.1.5 特殊ntfs權(quán)限應(yīng)用,二獲取所有權(quán) 對象的所有者擁有一項特殊的權(quán)限能夠指派權(quán)限。 系統(tǒng)默認情況下，創(chuàng)建文件和文件夾的用戶是該文件或文件夾的“所有者”，擁有“所有權(quán)”。 所有權(quán)可以用以下方式轉(zhuǎn)換： 當(dāng)前所有者可以將“取得所有權(quán)”權(quán)限授予另一用戶，這將允許該用戶在任何時候取得所有權(quán)。該用戶必須實際取得所有權(quán)才能完成所有權(quán)的轉(zhuǎn)移。 管理員可以取得所有權(quán),5.1.5 特殊ntfs權(quán)限應(yīng)用,5.

9、2 ntfs磁盤限額,此功能可以控制用戶對磁盤驅(qū)動空間的使用，在實際應(yīng)用中可能需要開放磁盤的寫權(quán)限給用戶。 管理員通過磁盤空間限額功能可有效為各用戶分配磁盤空間,5.2.1 磁盤限額概述,功能特點 磁盤限額基于ntfs分區(qū)實現(xiàn) （限制到某個驅(qū)動器） 磁盤空間使用是基于限額限制的（跟實際分區(qū)大小無關(guān)） 磁盤空間限額空間使用根據(jù)文件所有權(quán)計量（用戶） 磁盤限額空間的計算忽略ntfs文件壓縮 administrator不受磁盤限額限制,5.2.2 設(shè)置磁盤限額,管理員可以根據(jù)ntfs文件系統(tǒng)提供的磁盤限額功能限制用戶在磁盤驅(qū)動器上使用的最大磁盤空間。 一、啟用配置限額功能 我的電腦-資源管理器-右擊

10、磁盤屬性-配額標簽-啟用配額管理。 二、利用磁盤配額項 限制大小、警告事件,5.3 ntfs壓縮,ntfs文件系統(tǒng)支持文件壓縮功能以節(jié)省磁盤空間的使用。ntfs文件系統(tǒng)的文件壓縮作為文件的一種屬性，工作在系統(tǒng)后臺，對用戶完全透明。 當(dāng)用戶打開文件時，系統(tǒng)自動解壓文件；當(dāng)用戶保存文件時，系統(tǒng)自動壓縮文件，不需要用戶額外操作。 為便于壓縮文件的管理，2003支持用不同的顏色顯示壓縮文件的功能,5.3.1 ntfs文件壓縮概述,特點： 后臺工作對用戶完全透明 磁盤空間分配按照未壓縮格式空間分配 利用不用顏色顯示壓縮文件,5.3.1 ntfs文件壓縮概述,后臺工作對用戶完全透明 - 用戶通過應(yīng)用程序訪

11、問2003中的ntfs壓縮文件時，系統(tǒng)會自動壓縮文件，其訪問方式跟訪問其他未壓縮的文件完全相同；當(dāng)用戶保存某個壓縮文件時，系統(tǒng)會自動壓縮該文件，而不需要用戶做任何手工交互操作,5.3.2 壓縮ntfs文件,復(fù)制和移動ntfs文件時其壓縮屬性的變化： -作為新文件對待，繼承目的地文件夾的壓縮屬性,5.4 加密文件系統(tǒng),efs-加密文件系統(tǒng)，提供一種核心文件加密技術(shù)，efs僅能用戶ntfs分區(qū)上的文件和文件夾加密。 ets加密類似于ntfs權(quán)限可以控制用戶對文件數(shù)據(jù)的訪問，但ets只允許授權(quán)用戶讀取文件內(nèi)容，未經(jīng)授權(quán)的用戶無法訪問文件，即使用戶有完全控制的ntfs權(quán)限也不能打開文件，讀取文件內(nèi)容,

12、5.4.1 加密文件系統(tǒng)概述,2003操作系統(tǒng)的加密文件系統(tǒng)提供了一種針對ntfs文件和文件夾的核心加密技術(shù)，用以保護文件內(nèi)容的安全。加密文件系統(tǒng)在系統(tǒng)后臺工作對用戶完全透明，用戶通過應(yīng)用程序訪問文件時，系統(tǒng)自動解密文件；用戶保存文件時，系統(tǒng)自動加密文件，不需用戶手工交互操作。 加密文件系統(tǒng)將文件加密作為文件屬性保存，通過修改文件屬性對文件和文件夾進行加密和解密。加密一個文件夾時，文件夾內(nèi)所有子文件和子文件夾都自動加密。 管理員也可采用cipher命令加密和解密文件,5.4.1 加密文件系統(tǒng)概述,只能加密ntfs分區(qū)上的文件和文件夾。 不能加密fat、fat32分區(qū)上的文件。 加密和壓縮互斥不

13、能加密壓縮文件 加密和壓縮互斥，不能加密壓縮文件 僅授權(quán)用戶可訪問加密文件 內(nèi)置數(shù)據(jù)恢復(fù)代理功能 默認情況下，本地管理員帳號是數(shù)據(jù)恢復(fù)代理，他可以解密系統(tǒng)中的加密文件，以防數(shù)據(jù)丟失。 不能加密系統(tǒng)文件 復(fù)制和移動加密文件時其加密屬性的變化,5.4.2 加密和解密文件,加密文件系統(tǒng)和ntfs文件系統(tǒng)集成在一起，完全作為文件屬性保存，易于管理，難以被攻擊，對用戶完全透明。 文件加密和解密過程,file,user,1)request:encrypt,system,2) create cipher,3) encrypt and put the result to the ddf,file,user,1)request:access,system,2) get the key,3) decode,5.4.3 設(shè)置數(shù)據(jù)恢復(fù)代理,對于本地機：指定用戶帳號為數(shù)據(jù)恢復(fù)代理 對于網(wǎng)絡(luò)：在域中、組織單元、或單獨計算機級別上配置故障恢復(fù)策略，并將其應(yīng)用到所有操作系統(tǒng)上。 如何添加： -開始-