文件權(quán)限管理及共享文件壓縮及加密FSRMDFS

第02局部

文件權(quán)限管理及共享文件權(quán)限管理及共享、文件壓縮及加密、FSRM、DFS本章重點關(guān)于文件共享的根底知識共享公用文件夾共享任意文件夾根據(jù)賬戶名稱賦予不同的權(quán)限將共享文件夾發(fā)布到AD數(shù)據(jù)庫管理共享資源與高級共享標(biāo)準(zhǔn)NTFS文件權(quán)限的種類讀取(Read)寫入(Write)讀取及執(zhí)行(Read&Execute)修改(Modify)完全控制(FullControl)標(biāo)準(zhǔn)NTFS文件夾權(quán)限的種類讀取(Read)寫入(Write)清單文件夾內(nèi)容(ListFolderContents)讀取及執(zhí)行(Read&Execute)修改(Modify)完全控制(FullControl)使用者的有效權(quán)限NTFS權(quán)限有繼承性NTFS權(quán)限有累加性的(cumulative)「拒絕(deny)」權(quán)限會覆蓋所有其他的權(quán)限文件權(quán)限會覆蓋文件夾的權(quán)限文件與文件夾的擁有權(quán)建立文件或文件夾的使用者，就是該文件或文件夾的擁有者文件夾或文件的擁有者，具備有變更此文件夾或文件權(quán)限的能力使用者假設(shè)具備以下的條件之一，便可以取得擁有權(quán)對該文件或文件夾擁有“取得擁有權(quán)(takeownership)〞的特別權(quán)限。系統(tǒng)管理員，也就是隸屬于administrators群組的使用者。無論他對文件或文件夾擁有何種權(quán)限，他永遠具備有“取得擁有權(quán)〞的權(quán)限。具備“取得文件或其它對象的所有權(quán)〞權(quán)利的使用者。共享文件與文件夾建立網(wǎng)絡(luò)的一個主要目的就是共享文件,歷經(jīng)數(shù)十年的開展,如今各操作系統(tǒng)在這方面都有長足的進步。WindowsServer2021不但改進了操作界面,讓使用者能輕松完成設(shè)定；更有充分的權(quán)限控管機制,在便利與平安之間取得適當(dāng)?shù)钠胶?。關(guān)于文件共享的根底知識從WindowsServer2003到WindowsServer2021,在共享文件方面的改變大致如下：可以共享單一文件：每位本機賬戶使用者都有權(quán)在『用戶配置文件』所在的文件夾〔亦即%SystemDrive%\Users\%Username%〕,設(shè)定共享單一文件或文件夾。舉例來說,即使John只是一位標(biāo)準(zhǔn)使用者,仍可以將%SystemDrive%\Users\John文件夾的『年度旅游方案.doc』設(shè)為共享,但是在其它文件夾就無法設(shè)定任何共享。關(guān)于文件共享的根底知識這種新的文件共享方式稱為『In-profileSharing』〔在配置文件文件夾的共享〕。不過雖然設(shè)定了In-profileSharing,但是從其它計算機透過網(wǎng)絡(luò)(WindowsVista)或網(wǎng)絡(luò)上的鄰居(WindowsXP)來讀取時,不會直接看到文件。而是看到Users資料夾,雙按此文件夾之后看到John資料夾,再進入John文件夾之后,才會看到『年度旅游方案.doc』文件。關(guān)于文件共享的根底知識內(nèi)建公用文件夾公用文件夾是一個由系統(tǒng)自動建立、『專為共享而設(shè)計』的資料夾,雖然顯示的是中文名稱,但是實際所對應(yīng)的是%SystemDrive%\Users\Public文件夾。對于本機賬戶使用者而言,無論賬戶類型是標(biāo)準(zhǔn)使用者或系統(tǒng)管理員,都能讀取公用文件夾的內(nèi)容。關(guān)于文件共享的根底知識沒權(quán)限就看不到共享的文件在2003搭配XP的年代,只要是共享到網(wǎng)絡(luò)上的數(shù)據(jù)夾,所有的網(wǎng)絡(luò)用戶都看得到。雖然可能是『看得到名稱、讀不到內(nèi)容』,卻已經(jīng)被有心人士知道了共享文件夾的名稱,等于提供了一條破解的線索。因此從Vista和2021開始,必須對共享文件夾有至少『讀取』權(quán)限的使用者,瀏覽網(wǎng)絡(luò)時才能看到該數(shù)據(jù)夾,這種功能稱為ABE〔Access-BasedEnumeration〕。關(guān)于文件共享的根底知識啟動網(wǎng)絡(luò)探索才能看到網(wǎng)絡(luò)資源網(wǎng)絡(luò)探索〔NetworkDiscovery〕是從WindowsVista才出現(xiàn)的功能,系為了解決在XP時代設(shè)定了共享之后,其它計算機卻無法立即看得到該共享資源的問題。倘假設(shè)網(wǎng)絡(luò)上的計算機都支持并啟動網(wǎng)絡(luò)探索功能,當(dāng)其中一部新增了共享文件夾或共享印表機,便會主動播送相關(guān)訊息,讓其它的計算機知道這些新增的網(wǎng)絡(luò)資源。關(guān)于文件共享的根底知識在WindowsServer2021,預(yù)設(shè)關(guān)閉網(wǎng)絡(luò)探索功能,所以執(zhí)行『開始/網(wǎng)絡(luò)』命令時看不到其它計算機；其它計算機的用戶執(zhí)行同樣命令時,也看不到WindowsServer2021計算機。用戶對共享目錄的有效權(quán)限共享權(quán)限有累加性的(cumulative)「拒絕(deny)」權(quán)限會覆蓋所有其他的權(quán)限最后有效權(quán)限是Min(共享有效權(quán)限,NTFS有效權(quán)限)文件拷貝或移動后權(quán)限的變化Demo設(shè)置共享文件夾讀取公用文件夾將WindowsServer2021的公用文件夾設(shè)為了共享之后,使用者在WindowsVista計算機可用以下的任一種方式來讀取該文件夾：1.按開始鈕〔假設(shè)在WindowsXP那么執(zhí)行『開始/執(zhí)行』命令〕,輸入"\\效勞器的IP地址\Public"或"\\效勞器的計算機名稱\Public"。例如：『\\192.168.0.141\Public』或『\\2021SVR1\Public』,按Enter鍵。讀取公用文件夾2.假設(shè)是在命令提示字符視窗,輸入"Start\\效勞器的IP地址\Public"或"Start\\效勞器的計算機名稱\Public"。例如：『Start\\192.168.0.141\Public』或『Start\\2021SVR1\Public』,按Enter鍵。3.假設(shè)本機和效勞器都啟動了網(wǎng)絡(luò)探索,我們執(zhí)行『開始\網(wǎng)絡(luò)』命令后,便會看到網(wǎng)絡(luò)上所有已設(shè)定共享的電腦,雙按效勞器的計算機名稱,即可看到public文件夾。讀取公用文件夾以上的『\\計算機名稱或IP地址\文件夾的共享名』稱為UNC〔UniversalNamingConvention〕名稱,廣泛應(yīng)用于讀取網(wǎng)絡(luò)上的共享資源。對于尚未登入域的使用者,讀取上述的公用文件夾時,會遇到要求輸入用戶名稱和密碼的交談窗,如以下圖：讀取公用文件夾對于已經(jīng)登入域的使用者,因為在登入時已經(jīng)輸入域使用者名稱和密碼,所以會直接看到公用文件夾的內(nèi)容,無須再次輸入名稱與密碼。將指定的文件夾設(shè)為共享此時我們有讀取裝置、參與者和共同擁有者3種權(quán)限層級可供選擇,它們所代表的意義如下：將指定的文件夾設(shè)為共享簡單地說,讀取裝置只能讀、不能改；參與者能有限度地讀與改,但不能自己擴大權(quán)限；共同擁有者那么有最大權(quán)限,可執(zhí)行任何動作。通常我們共享給所有使用者時,只會賦予讀取裝置層級的權(quán)限。讀取共享出來的任意文件夾如同先前讀取公用文件夾一般,讀取共享出來的任意數(shù)據(jù)夾,也是利用開始/網(wǎng)路命令或UNC名稱。假設(shè)要從Tony-vista計算機讀取SVR2021-05計算機的『工具程序』資料夾,有以下方式：1.在Tony-vista計算機執(zhí)行『開始/網(wǎng)絡(luò)』命令假設(shè)雙方都啟動了『網(wǎng)絡(luò)探索』功能,那么執(zhí)行『開始/網(wǎng)絡(luò)』命令后,網(wǎng)路窗口就會出現(xiàn)SVR2021-05電腦,雙按該計算機即可見到共享文件夾。讀取共享出來的任意文件夾2.在Tony-vista計算機輸入共享文件夾的UNC名稱當(dāng)SVR2021-05或Tony-vista其中一方關(guān)閉了『網(wǎng)絡(luò)探索』功能,那么在Tonyvista的網(wǎng)路窗口就不會出現(xiàn)SVR2008-05計算機。此時請按開始鈕、輸入"\\SVR2021-05\工具程序"、按Enter鍵,即可檢視該文件夾的內(nèi)容：隱藏共享文件夾倘假設(shè)只是給自己或少數(shù)人使用的共享數(shù)據(jù)夾,為了防止閑雜人等也來亂抓文件,可以將這些共享文件夾設(shè)為隱藏。設(shè)為隱藏的方式很簡單,只要在新增共享名時,將結(jié)尾加上＄符號。例如：『密件$』、『死黨專用$』,然后移除非隱藏的共享名稱,只將隱藏的共享名告訴相關(guān)人員,便自然形成一種保護措施。脫機文件脫機時仍然可以存取網(wǎng)絡(luò)文件脫機文件(續(xù))

維持文件的一致性:重新聯(lián)機時假設(shè)用戶變更過緩存文件的內(nèi)容，但是網(wǎng)絡(luò)文件的內(nèi)容并沒有被變更過，那么系統(tǒng)會將緩存文件復(fù)制到網(wǎng)絡(luò)計算機，并覆蓋掉網(wǎng)絡(luò)文件假設(shè)用戶并未變更緩存文件的內(nèi)容，但是網(wǎng)絡(luò)文件的內(nèi)容被變更過，那么系統(tǒng)會將網(wǎng)絡(luò)文件復(fù)制到本機計算機，并覆蓋掉緩存文件假設(shè)網(wǎng)絡(luò)文件與緩存文件都有被變更過，那么系統(tǒng)會讓用戶選擇要保存哪一個文件，或者將兩個文件都保存網(wǎng)絡(luò)計算機端的脫機文件設(shè)定開始

計算機

對著共享文件夾右鍵單擊

內(nèi)容

點擊共用標(biāo)簽下的進階共用鈕

按緩存鈕】客戶端的使用者

如何脫機使用文件客戶端的使用者如何脫機使用文件啟用脫機文件設(shè)定可脫機使用的文件同步處理啟用脫機文件WindowsVista客戶端計算機默認已經(jīng)啟用了脫機文件功能WindowsServer2021客戶端必須另外啟用開始控制面板脫機文件按啟用脫機文件鈕依照指示重新啟動計算機同步處理在網(wǎng)絡(luò)聯(lián)機正常時，您所存取的文件仍然是網(wǎng)絡(luò)計算機內(nèi)的文件。系統(tǒng)會自動同步您的脫機文件，當(dāng)網(wǎng)絡(luò)文件內(nèi)容有變更時，它會被復(fù)制到您的計算機的快取區(qū)內(nèi)，反之亦然假設(shè)您有需要立刻同步的話，可手動同步對著脫機文件右鍵單擊同步或是點擊前面圖上方菜單中的同步處理同步處理(續(xù))假設(shè)您計算機與網(wǎng)絡(luò)計算機正常聯(lián)機中，但是鏈接速度卻很慢，影響到您編輯網(wǎng)絡(luò)文件的話，此時只要點擊前面圖上方的脫機工作就可以編輯本機快取區(qū)內(nèi)的文件副本等文件編輯完成后，點擊在線工作來執(zhí)行同步工作，以便將較新版的本機文件副本復(fù)制到網(wǎng)絡(luò)計算機內(nèi)同步中心可以通過同步中心來進一步的管理同步工作開始

控制面板

同步中心還可以通過【開始

控制面板

脫機文件】來開啟同步中心。也可以通過它來瀏覽脫機文件測試脫機文件是否正常運作脫機時所看到的畫面假設(shè)您變更脫機文件的內(nèi)容，那么當(dāng)您將計算機重新聯(lián)機后，通過同步動作就可以將這個新文件復(fù)制到網(wǎng)絡(luò)計算機，并覆蓋掉網(wǎng)絡(luò)文件同步文件沖突如果網(wǎng)絡(luò)文件與緩存文件都有被變更過，那么系統(tǒng)會通過右下角的同步中心圖示來提醒您，此時請點擊此同步中心圖示來查看有沖突的文件然后可以【點選文件按解析鈕】來選擇要保存哪一個文件，或者將兩個都保存(其中一個會被更改檔名)巻影副本復(fù)原舊文件假設(shè)使用者將共享文件夾內(nèi)的文件誤刪或誤改文件內(nèi)容后，卻懊悔想要救回調(diào)案或復(fù)原文件內(nèi)容的話，他可以通過巻影副本儲存區(qū)內(nèi)的備份文件來到達目的共享文件夾的巻影副本(ShadowCopiesofSharedFolders)巻影副本(續(xù))

啟用網(wǎng)絡(luò)計算機「共享文件夾的巻影副本」功能開始

計算機

對著欲啟用巻影副本的磁盤右鍵單擊

內(nèi)容

巻影副本標(biāo)簽預(yù)設(shè)為星期一到星期五的上午7:00與下午12:00兩個時間點各自動新增一個巻影副本每一個磁盤最多只可有64個巻影副本客戶端如何存取「巻影副本」內(nèi)的文件

鏈接到共享文件夾后對著文件右鍵單擊復(fù)原舊版鏈接到共享文件夾后對著文件列表畫面中的空白區(qū)域右鍵單擊內(nèi)容第02局部

文件壓縮及加密文件權(quán)限管理及共享、文件壓縮及加密、FSRM、DFS本章重點數(shù)據(jù)加密允許他人解密數(shù)據(jù)加密恢復(fù)代理數(shù)據(jù)壓縮數(shù)據(jù)加密與壓縮WindowsServer2021對于NTFS的文件夾與文件,提供了加密和壓縮功能,前者能保護機密數(shù)據(jù)；后者那么可節(jié)省硬盤的儲存空間,都是相當(dāng)實用的功能。本章將介紹它們的使用時機、工作原理和本卷須知。數(shù)據(jù)加密WindowsServer2021對文件夾與文件的加密功能稱為EFS〔EncryptingFileSystem,加密文件系統(tǒng)〕。啟用此功能后,EFS在存檔時會先將數(shù)據(jù)加密后再寫入；而讀取加密過的文件時,也會自動先解密。換言之,加密與解密動作都是由系統(tǒng)在幕后自動執(zhí)行,使用者在操作上無須做任何改變。EFS的使用時機一般而言,加密大多是應(yīng)用在透過公開媒體傳遞訊息的情況,例如：透過因特網(wǎng)傳遞重要的信件、進行電子商務(wù)交易等等。既然如此,為何需要對儲存在硬盤的文件夾與文件加密呢？只要設(shè)定適當(dāng)?shù)拇嫒?quán)限,限制未獲授權(quán)的使用者不得存取文件,不就可以保障個人資料的隱私嗎？EFS的使用時機透過訪問權(quán)限來保護文件夾與文件,雖然在大多數(shù)的情況下都很平安,但仍有其無法防止的漏洞。舉例而言,假設(shè)有人偷走整部主機或整部硬盤,然后將硬盤安裝到其它的WindowsServer2021系統(tǒng),此時原先所設(shè)定的訪問權(quán)限保護就會失去作用,對方就能存取該硬盤里的數(shù)據(jù)。然而假設(shè)事先將文件加密,那么他便無法看到真正的內(nèi)容。EFS的使用時機雖然在理論上,對方仍可用破解的方式將加密的數(shù)據(jù)復(fù)原,但實際上此種作法需擁有運算能力強大的電腦,再加上足夠長的運算時間,這樣高的門坎已經(jīng)不是一般黑客族所能跨越。所以EFS已經(jīng)可以為多數(shù)人的資料提供足夠的保護能力。加密技術(shù)示意

明文密文

密文明文加密密鑰解密密鑰加密解密對稱密鑰加密標(biāo)準(zhǔn)對稱密鑰加密是指在對信息的加密和解密過程中使用相同的密鑰?；蛘?，加密和解密的密鑰雖然不同，但可以由其中一個推導(dǎo)出另一個。也稱為私鑰加密法。常用標(biāo)準(zhǔn)：數(shù)據(jù)加密標(biāo)準(zhǔn)DES〔DataEncryptionStandard〕，此標(biāo)準(zhǔn)由IBM公司開發(fā)，現(xiàn)在已成為國際標(biāo)準(zhǔn)。國際數(shù)據(jù)加密算法〔IDEA〕，它比DES的加密性好，而且需要的計算機功能也不那么強。對稱密鑰加密過程特點優(yōu)點：加密算法比較簡便高效，密鑰簡短，破譯極其困難，加密速度快，適合大數(shù)據(jù)量加密。缺點：密鑰難于平安傳遞密鑰量太大，難以進行管理無法滿足互不相識的人進行私人談話時的保密性要求。難以解決數(shù)字簽名驗證的問題。公開密鑰加密標(biāo)準(zhǔn)公開密鑰加密是指在加密和解密過程中，分別由兩個密鑰來實現(xiàn)，并使得由加密密鑰推導(dǎo)出解密密鑰〔或由解密密鑰推導(dǎo)出加密密鑰〕在計算上是不可行的。采用公開密鑰加密的每一個用戶都有一對選定的密鑰，其中加密密鑰不同于解密密鑰，加密密鑰公之于眾，誰都可以用，稱為“公開密鑰〞〔public-key〕；解密密鑰只有解密人自己知道，稱為“私密密鑰〞〔private-key〕，公開密鑰加密也稱為不對稱密鑰加密。RSA算法公開密鑰加密方法的典型代表是RSA算法。RSA算法是1978年由RonRivest，AdiShamir和LeonardAdleman三人創(chuàng)造的，所以該算法以三個創(chuàng)造者名字的首字母命名為RSA。RSA是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。但RSA的平安性一直未能得到理論上的證明。簡言之，找兩個很大的質(zhì)數(shù)，一個作為“公鑰〞公開，一個作為“私鑰〞不告訴任何人。這兩個密鑰是互補的，即用公鑰加密的密文可以用私鑰解密，反過來也可以。RSA加解密過程

特點優(yōu)點密鑰分配簡單?？梢酝ㄟ^各種公開渠道傳遞“公開密鑰〞。密鑰的保存量少。發(fā)信人只需保存自己的解密密鑰，N個人只需產(chǎn)生N對密鑰，便于密鑰管理。可以滿足互不相識的人之間進行私人談話時的保密性要求。

可以完成數(shù)字簽名和數(shù)字鑒別。發(fā)信人使用只有自己知道的密鑰進行簽名，收信人利用公開密鑰進行檢查，既方便又平安。缺點加密速度慢，不適合大數(shù)據(jù)量加密。兩種加密方式的比較比較項目代表標(biāo)準(zhǔn)密鑰關(guān)系密鑰傳遞數(shù)字簽名加密速度主要用途對稱密鑰加密DES加密密鑰與解密密鑰相同必要困難快數(shù)據(jù)加密公開密鑰加密RSA加密密鑰與解密密鑰不同不必要容易慢數(shù)字簽名、密鑰分配加密1EFS概述－工作原理當(dāng)用戶初次加密文件時，EFS會在本地證書存儲區(qū)內(nèi)尋找供EFS使用的證書

然后EFS取出用戶證書中指定與EFS一起使用的公鑰，并使用基于公鑰的RSA加密算法加密FEK

EFS取出用戶證書中指定與EFS一起使用的公鑰

EFS將FEK存儲在正被加密的文件的頭中的數(shù)據(jù)解密字段〔DDF，DataDecryptionField〕中12341EFS概述－EFS加密原理使用EFS時的本卷須知使用加密功能時要注意以下3點：1.不能對于具有『系統(tǒng)』屬性的文件加密,也不能對%systemroot%〔預(yù)設(shè)是C:\Windows〕文件夾加密。2.對于同一文件或數(shù)據(jù)夾,不能既加密又壓縮,只能擇一使用。3.不能對整部磁盤驅(qū)動器加密。啟用文件夾加密如果要加密的數(shù)據(jù)量很大,加密的時間會久一點。完成后,在右下角的通知區(qū)域會出現(xiàn)以下的訊息：啟用文件加密倘假設(shè)復(fù)選多個文件一次加密,而且在上圖未曾勾選永遠只加密文件多項選擇鈕,那么上述的加密警告交談窗會針對每個文件逐一詢問。利用上述方式,便可以在未加密的文件夾中,將特定的文件加密。不過還是建議系統(tǒng)管理員防止對個別的文件加密,以方便管理。備份加密密鑰當(dāng)我們初次啟用加密功能時,系統(tǒng)會提醒要備份加密密鑰。其主要的目的是考慮到自己的賬戶被誤刪或帳戶數(shù)據(jù)庫損毀,都會導(dǎo)致再也無法將加密檔予以解密,這些加密文件便成為『孤兒文件』－－因為無人能解讀其內(nèi)容！即使系統(tǒng)管理員重建一個相同名稱的帳戶,由于會重新產(chǎn)生公鑰與私鑰,必定與先前加密時所用的不同,因此仍無法對原先的加密檔解密。備份加密密鑰要解決這個問題,有以下三種方案：1.加密者自行備份加密密鑰。2.由加密者設(shè)定讓其它人也能解密。3.由系統(tǒng)管理員設(shè)定『數(shù)據(jù)加密恢復(fù)代理人』。其中以第一個方案最單純,因為不涉及他人,完全由自己掌控,所以先介紹,后兩個方案那么留在后文。搬移或復(fù)制對加密數(shù)據(jù)的影響由于『加密』是存在于NTFS文件系統(tǒng)的一種屬性,所以假設(shè)將加密的文件搬移到非NTFS文件系統(tǒng)的儲存媒體,該文件就會自動被解密。例如：磁盤片、光盤、磁帶和USB隨身碟等等。同理,復(fù)制到FAT/FAT32文件系統(tǒng)的硬磁時,復(fù)制過去的文件也是未加密。當(dāng)文件要以非加密狀態(tài)儲存時,系統(tǒng)會顯示以下的交談窗提醒使用者。允許他人解密如果文件需要加密,卻又得提供給非加密者讀取,該怎么辦呢？以企業(yè)來說,兩位副總經(jīng)理互為職務(wù)代理人,因此必須能互相讀取對方加密過的文件。此時加密者本人即可指定讓誰也能解開特定的文件,換言之,等于是設(shè)定誰能與自己『共享加密文件』。數(shù)據(jù)加密恢復(fù)代理雖然EFS提高了文件的保密性,但是卻可能衍生出問題,例如：刪除了某個離職員工的賬戶后,才發(fā)現(xiàn)還有重要的文件是以該賬戶加密?；蛘咭驗橛脖P損壞,導(dǎo)致遺失某些賬戶的私鑰,這些情形都會產(chǎn)生無人能解開的『孤兒文件』。所幸EFS還有留一扇『后門』,這扇后門便是恢復(fù)代理(RecoveryAgent)機制。數(shù)據(jù)加密恢復(fù)代理利用此機制,系統(tǒng)管理員可指定以特定賬戶為修復(fù)代理人,而恢復(fù)代理人可將任何使用者加密的文件解密,如此就能防止因刪除帳戶,而無法解密的情形了。以恢復(fù)代理人身份解密按照上述方式使大雄成為恢復(fù)代理人之后,理論上他可以解開任何使用者加密的文件?？墒?實際上卻不然。因為EFS需要大雄的私鑰才能解開被加密的FEK,而大雄的私鑰在哪里？答案是：在.Pfx文件里！因此,還必須導(dǎo)入大雄的私鑰〔.Pfx文件〕,才能使大雄真正有解密的能力。以恢復(fù)代理人身份解密最后別忘了將大雄自Administrators群組移除,恢復(fù)他原有的權(quán)限。此后大雄登入域后,便能解讀他人加密的文件了。然而文件假設(shè)是在大雄成為恢復(fù)代理人之前便加密,那么大雄仍舊無法解密。保障機密資料的具體作法為了防止恢復(fù)代理人濫權(quán),隨意讀取他人的加密文件,所以平常不要導(dǎo)入恢復(fù)代理人的.Pfx文件,只在必要時才導(dǎo)入。而且最好將存放.Pfx文件的儲存媒體集中管理,例如：鎖在文件柜或保險箱,由信息部門主管或高階主管掌管鑰匙,以防止不肖的系統(tǒng)管理員私自導(dǎo)入。數(shù)據(jù)壓縮WindowsServer2021可以針對NTFS文件系統(tǒng)的磁盤驅(qū)動器、文件夾或文件啟用壓縮功能,一旦啟用后,存盤時系統(tǒng)會先將數(shù)據(jù)壓縮后再寫入；而讀取壓縮過的文件時,系統(tǒng)也會自動先解壓縮。由于壓縮和解壓縮的動作都是由系統(tǒng)在幕后處理,因此使用者在操作上會覺得和一般文件無異。搬移或復(fù)制對壓縮數(shù)據(jù)的影響根本上,『壓縮』是存在于NTFS文件系統(tǒng)的一種屬性,所以假設(shè)將壓縮的文件搬移到非NTFS文件系統(tǒng)的儲存媒體。例如：磁盤片、光盤、磁帶和USB隨身碟等等,該文件就會自動被解壓縮。同理,復(fù)制到FAT/FAT32文件系統(tǒng)的硬磁時,復(fù)制過去的文件也是未壓縮。搬移或復(fù)制對壓縮數(shù)據(jù)的影響此外,『復(fù)制』或『搬移』到NTFS文件夾也會影響該文件能否保有壓縮屬性,下表列出不同動作與目的地的所造成的結(jié)果：第02局部

文件效勞器資源管理器〔FSRM〕文件權(quán)限管理及共享、文件壓縮及加密、FSRM、DFS本章重點鏈接磁盤利用FSRM管理磁盤配額利用FSRM建立文件檢測鏈接磁盤與FSRM本章將介紹鏈接磁盤與FSRM,前者可解決一大堆磁盤驅(qū)動器代號,讓人眼花撩亂的問題；后者那么可有效管制磁盤空間的使用,都是系統(tǒng)管理員應(yīng)妥善利用的好工具。至于常見的『檢查磁盤』和『碎片整理』等功能,因為與WindowsServer2003R2、WindowsVista版本的操作方式相同,因此不再贅述。鏈接磁盤在Unix和Linux系統(tǒng)中,每個磁盤分區(qū)都是掛載〔Mount〕在目錄下,因此使用者只會看到一堆目錄,沒有所謂的『磁盤驅(qū)動器』存在,是一種『目錄\文件』的兩層式架構(gòu)。而Windows系統(tǒng)那么是采用『磁盤驅(qū)動器\目錄\文件』的3層式架構(gòu),用戶必須先選磁盤驅(qū)動器、再選目錄〔文件夾〕,以存取所要的文件。這兩種架構(gòu)的優(yōu)劣可說是見仁見智,其實只要習(xí)慣了就好。鏈接磁盤WindowsServer2021提供了類似Unix/Linux的掛載功能,稱為鏈接磁盤或鏈接點〔JunctionPoint〕,可將一個磁盤區(qū)或磁盤分區(qū)直接鏈接到一個文件夾。用戶存取該文件夾便是存取磁盤區(qū)或磁盤分割,再也無須驅(qū)動器號。鏈接磁盤這個磁盤區(qū)或磁盤分區(qū)可以采用FAT、FAT32或NTFS等三種文件系統(tǒng)。但是用來鏈接的文件夾必須是空的NTFS資料夾,亦即,不但采用NTFS文件統(tǒng),而且不能存在任何子文件夾或文件。建立鏈接磁盤建立鏈接磁盤的時機可區(qū)分為以下兩種：將新增的磁盤區(qū)鏈接到NTFS文件夾。將現(xiàn)有的磁盤驅(qū)動器鏈接到NTFS文件夾。將新增的磁盤區(qū)鏈接到NTFS文件夾假設(shè)要使X磁盤驅(qū)動器的儲存空間增加30GB,可是該磁盤的剩余空間卻已缺乏,而且并非動態(tài)磁盤,因此不能擴充到另一部磁盤的儲存空間。此時可在另一部硬盤新增一個30GB的磁盤區(qū),并鏈接到X磁盤驅(qū)動器的某個空的NTFS文件夾〔假設(shè)為X:\Extra〕。利用FSRM管理磁盤配額FSRM〔FileServerResourceManager,文件效勞器資源管理員〕是從WindowsServer2003R2新增的功能,它具有以下兩項主要特色：管理磁盤配額其實從WiondowsXP時代就已經(jīng)具備磁盤配額(DiskQuota)功能〔以下姑且稱為『一般磁盤配額』〕,只是它的管制能力不夠強大。利用FSRM管理磁盤配額而FSRM提供了『加強火力』的磁盤配額功能,不但能針對磁盤驅(qū)動器設(shè)定配額,更能針對文件夾設(shè)定配額。而且還有『配額范本』、『電子郵件通知』和『產(chǎn)生使用報告檔』等等實用的設(shè)計,關(guān)于這方面的詳細步驟都會在本節(jié)介紹。建立文件檢測所謂的文件檢測〔FlieScreening〕,其實譯為『文件篩選』或許比較貼切。利用FSRM管理磁盤配額它的主要功能是限制用戶不能或只能儲存指定類型的文件,例如：不能存放AVI文件和MP3文件、只能存放DOC文件等等,這局部那么會留待下一節(jié)說明。由于這兩項功能已經(jīng)超越了『一般磁盤配額』所能做的工作,所以我們強烈建議放棄『一般磁盤配額』、改用FSRM,以擁有更具威力的管理能力！Demo實驗2-1WindowsServer2021文件效勞器資源管理器〔FSRM〕第02局部

分布式文件系統(tǒng)〔DFS〕文件權(quán)限管理及共享、文件壓縮及加密、FSRM、DFS本章重點DFS簡介安裝DFS組件DFS實例應(yīng)用DFS復(fù)制85分布式文件系統(tǒng)『分布式文件系統(tǒng)』〔DistributedFileSystem,以下簡稱為DFS〕在Windows2000Server、WindowsServer2003與2003SP1算是第一代的產(chǎn)品。而WindowsServer2003R2和WindowsServer2021的DFS那么屬于第二代的產(chǎn)品。第二代的DFS有新的接口與設(shè)定方式,甚至連所用的名詞都不同了。本章將說明WindowsServer2021DFS的架構(gòu)與應(yīng)用。86DFS簡介DFS的用途DFS的專有名詞DFS命名空間的類型三種命名空間的特性87DFS的用途DFS是用來集中管理網(wǎng)絡(luò)上分散各處的共享數(shù)據(jù)夾,讓用戶不必記一大堆的計算機名稱與文件夾名稱。舉例來說,假設(shè)公司內(nèi)各部門提供以下的共享數(shù)據(jù)夾,供同仁存取文件：88DFS的用途由于大家對于計算機名稱和共享文件夾的命名方式都不相同,因此要利用WindowsVista的網(wǎng)路或WindowsXP的網(wǎng)絡(luò)上的芳鄰存取這些文件夾時,必須先選對計算機、再選對共享文件夾。萬一不知道所需的文件在哪一部電腦,可就得一部、一部地尋找,相當(dāng)沒效率。由此可知,光是提供共享文件夾還不夠方便,因為使用者還是要記住一大堆的計算機名稱。89DFS的用途有鑒于此,DFS便將這些共享文件夾重新組織,組成一個新的、邏輯的樹狀架構(gòu)〔『邏輯的』意味著沒改變實體的儲存位置〕。在此架構(gòu)里,我們可以為共享文件夾另外取一個更易記易懂的名稱。例如將『\\RD01\Driver4Test』命名為『研發(fā)部的驅(qū)動程序』,使用者點選『研發(fā)部的驅(qū)動程序』就可以存取\\RD01\Driver4Test文件夾的內(nèi)容。90DFS的用途利用這種方式,我們便能將原本分散、多層次的公用數(shù)據(jù)夾,重新描繪出一張淺顯易記的架構(gòu)圖：91DFS的用途所以簡單地說,DFS是為網(wǎng)絡(luò)的共享數(shù)據(jù)夾,畫一張以樹狀目錄呈現(xiàn)的『導(dǎo)覽圖』。當(dāng)使用者要存取共享文件夾時,無須記得效勞器名稱和文件夾的共享名稱,只要記得這張導(dǎo)覽圖的起始點,從起始點開始找,就能找到所要的數(shù)據(jù)。此外,DFS機制并不支持Windows98/SE/Me等系統(tǒng),所以假設(shè)客戶端假設(shè)使用前述系統(tǒng),就看不到DFS所畫的『導(dǎo)覽圖』。92DFS的專有名詞DFS使用了一套專有名詞來說明它的架構(gòu),雖然有些是一般常用的名詞,卻有不同的定義。因此必須先弄懂這些名詞的意義,才能學(xué)好DFS。假設(shè)旗旗公司的DFS架構(gòu)如以下圖。93DFS的專有名詞94DFS的專有名詞DFS命名空間〔DFSNamespace〕先前提過,DFS的功用是為整個網(wǎng)絡(luò)共享文件夾畫出一張方便好用的導(dǎo)覽圖,而這份以樹狀目錄所呈現(xiàn)的導(dǎo)覽圖稱為『DFS命名空間』〔經(jīng)常簡稱為『命名空間』〕。命名空間根目錄〔NamespaceRoot〕所謂的『命名空間根目錄』就是導(dǎo)覽圖的起始點,或稱為進入點〔EntryPoint〕,如同Windows文件系統(tǒng)里的根目錄。由于它也代表這張導(dǎo)覽圖的名稱,所以又稱為『命名空間名稱』。95DFS的專有名詞命名空間效勞器〔NamespaceServer〕『導(dǎo)覽圖』〔亦即DFS命名空間〕所在的效勞器便稱為『命名空間效勞器』。命名空間效勞器必須包含至少一個NTFS磁盤區(qū),才能儲存DFS命名空間的相關(guān)信息。安裝WindowsServer2003R2或WindowsServer2021的成員效勞器或域控制站,都可以擔(dān)任命名空間效勞器。96DFS的專有名詞資料夾與文件夾目標(biāo)在DFS里所謂的文件夾〔Folder〕其實只是一個『指標(biāo)』〔Pointer〕,指向某個實體的公用數(shù)據(jù)夾,而被指到的這個公用文件夾稱為文件夾目標(biāo)〔FolderTarget〕。所以在DFS架構(gòu)中,文件其實不是儲存在資料夾,而是在文件夾目標(biāo)。一個文件夾可以指向多個文件夾目標(biāo)；或不指向任何文件夾目標(biāo)。97DFS的專有名詞假設(shè)指向多個文件夾目標(biāo),目的是在于容錯〔FaultTolerance〕,萬一無法存取其中一個文件夾目標(biāo),系統(tǒng)會自動轉(zhuǎn)向另一個文件夾目標(biāo)存取文件；假設(shè)不指向文件夾目標(biāo)的目的,表示該文件夾只是用在分類。請參考以下圖：98DFS的專有名詞『研發(fā)部』文件夾下層有『研發(fā)一部』和『研發(fā)二部』兩個資料夾,這兩個文件夾分別指到各自的文件夾目標(biāo)。但是研發(fā)部自己并未指向任何文件夾目標(biāo),只是用來將研發(fā)一部和研發(fā)二部歸類而已。99DFS命名空間的類型DFS命名空間分為以下兩種：域命名空間〔Domain-basedNamespace〕獨立命名空間〔Stand-aloneNamespace〕100域命名空間顧名思義,必須在有AD域的環(huán)境,才能建立域命名空間。它又區(qū)分為『WindowsServer2021』和『Windows2000Server』兩種模式,雖然采用前者可以得到比較好的效能與穩(wěn)定度,也是微軟的優(yōu)先建議,但是必須符合以下兩個條件：所有的命名空間效勞器必須都執(zhí)行WindowsServer2021。101域命名空間該域必須采用『WindowsServer2021』域功能等級。Windows2000Server模式的域命名空間最多只能包括5,000個文件夾〔沒對應(yīng)到文件夾目標(biāo)者不列入計算〕,但是WindowsServer2021模式的域命名空間那么無此限制。102域命名空間采用域命名空間的一大優(yōu)點為：可以利用同域的多部『命名空間效勞器』來記錄一個命名空間。這樣即使其中一部效勞器當(dāng)機,其它效勞器仍可以繼續(xù)提供DFS效勞,等于有容錯功能。103獨立命名空間無論是否有AD域,都可以建立獨立DFS命名空間,每個獨立命名空間最多可包括50,000個文件夾〔沒對應(yīng)到文件夾目標(biāo)者不列入計算〕。由于獨立DFS命名空間只允許由一部命名空間效勞器來管理,所以一旦該效勞器當(dāng)機,就無DFS效勞可用。假設(shè)要有容錯功能,必須另行建立『效勞器群集』〔ServerCluster〕,這局部不在本書介紹,請讀者自行參考相關(guān)信息。104DFS復(fù)制將一個文件夾對應(yīng)到多個文件夾目標(biāo)后,就會面臨一個重要