項目5 管理文件系統(tǒng)與共享資源

項目5管理文件系統(tǒng)與共享資源網(wǎng)絡(luò)中最重要的是安全，安全中最重要的是權(quán)限。權(quán)限決定著用戶可以訪問的數(shù)據(jù)、資源，也決定著用戶享受的服務(wù)。更甚者，權(quán)限決定著用戶擁有什么樣的桌面。理解NTFS和它的能力，對于高效地在WindowsServer2022中實現(xiàn)這種功能來說是非常重要的。2項目背景學(xué)習(xí)要點掌握設(shè)置共享資源和訪問共享資源的方法。掌握卷影副本的使用方法。掌握使用NTFS控制資源訪問的方法。 掌握使用文件系統(tǒng)加密文件的方法。掌握壓縮文件的方法。學(xué)習(xí)要點素質(zhì)要點了解圖靈獎，激發(fā)學(xué)生的求知欲，從而激發(fā)學(xué)生的潛能?！坝^眾器者為良匠，觀眾病者為良醫(yī)?！薄盀閷W(xué)日益，為道日損?！睂W(xué)生要多動腦、多動手，只有多實踐、多積累，才能提高技藝，也才能成為優(yōu)秀的“工匠”。素質(zhì)要點01.項目基礎(chǔ)知識contents目錄02.項目設(shè)計及準備03.項目實施04.習(xí)題與實訓(xùn)項目基礎(chǔ)知識為學(xué)日益，為道日損。5.1文件、文件夾和文件系統(tǒng)文件和文件夾是計算機系統(tǒng)組織數(shù)據(jù)的集合單位。WindowsServer提供了強大的文件管理功能，其NTFS具有高安全性能，用戶可以十分方便地在計算機或網(wǎng)絡(luò)中處理、使用、組織、共享和保護文件及文件夾。文件系統(tǒng)是指文件命名、存儲和組織的總體結(jié)構(gòu)，運行WindowsServer的計算機的磁盤分區(qū)可以使用3種類型的文件系統(tǒng)：FAT16、FAT32和NTFS。FAT文件系統(tǒng)01.FAT文件系統(tǒng)

contents目錄02.NTFS文件系統(tǒng)03.管理訪問概述04.拓展閱讀圖靈獎FAT文件系統(tǒng)功崇惟志，業(yè)廣惟勤。5.1.1FAT文件系統(tǒng)FAT文件系統(tǒng)，全稱FileAllocationTable（文件配置表），是一種由微軟發(fā)明并擁有部分專利的文件系統(tǒng)。FAT包括FAT16和FAT32兩種。FAT是一種適合小卷集、對系統(tǒng)安全性要求不高、需要雙重引導(dǎo)的用戶應(yīng)選擇使用的文件系統(tǒng)。這種文件系統(tǒng)最初是為了MS-DOS設(shè)計的，并且也是所有非NT核心的微軟窗口操作系統(tǒng)（如Windows95、98、ME等）所使用的文件系統(tǒng)。FAT文件系統(tǒng)因其簡單性而被廣泛支持。

FAT文件系統(tǒng)FAT16文件系統(tǒng)FAT16支持的最大分區(qū)是216（即65536）個簇，每個簇有64個扇區(qū)，每個扇區(qū)為512字節(jié)，所以支持的最大分區(qū)為2GB。FAT16最大的缺點就是簇的大小和分區(qū)有關(guān)，這樣當(dāng)外存中存放較多小文件時，會浪費大量的空間。FAT文件系統(tǒng)FAT16文件系統(tǒng)FAT32是FAT16的派生文件系統(tǒng)，支持最大2TB（2048GB）的磁盤分區(qū)。它使用的簇比FAT16的要小，從而有效地節(jié)約了磁盤空間。FAT文件系統(tǒng)FAT文件系統(tǒng)FAT是一種最初用于小型磁盤和簡單文件夾結(jié)構(gòu)的簡單文件系統(tǒng)。它向后兼容，最大的優(yōu)點是適用于所有的Windows操作系統(tǒng)。另外，F(xiàn)AT在容量較小的卷上使用效果比較好，因為FAT啟動只使用非常小的開銷。FAT在容量低于512MB的卷上工作效果最好，當(dāng)卷的容量超過1.024GB時，F(xiàn)AT的工作效率就很低。對于400～500MB的卷，F(xiàn)AT相對于NTFS來說是一個比較好的選擇；但對于使用WindowsServer2022的用戶來說，F(xiàn)AT無法滿足系統(tǒng)的要求。FAT文件系統(tǒng)NTFS文件系統(tǒng)古之立大事者，不惟有超世之才，亦必有堅忍不拔之志。5.1.2NTFS文件系統(tǒng)NTFS（NewTechnologyFileSystem）是Windows操作系統(tǒng)中使用的一種文件系統(tǒng)，其設(shè)計目標是提供更高的性能、可靠性和安全性，以適應(yīng)大型存儲設(shè)備和復(fù)雜的操作環(huán)境。NTFS是WindowsNT以及后續(xù)Windows版本（如Windows2000、WindowsXP、WindowsServer2003、WindowsServer2008、WindowsVista、Windows7及更高版本）的標準文件系統(tǒng)。NTFS取代了早期的文件分配表（FAT）文件系統(tǒng)，為Microsoft的Windows系列操作系統(tǒng)提供文件系統(tǒng)支持。NTFS文件系統(tǒng)NTFS主要特點--安全性高NTFS對用戶權(quán)限做出了非常嚴格的限制，具有更高的安全性。支持隨機訪問控制和擁有權(quán)，對共享文件夾無論采用FAT還是NTFS文件系統(tǒng)都可以指定權(quán)限，以免受到本地訪問或遠程訪問的影響。每個文件和文件夾都有一個安全描述符，包含了訪問控制列表（ACL）和訪問策略等信息，可以設(shè)置哪些用戶或組對文件有何種操作權(quán)限。NTFS文件系統(tǒng)NTFS主要特點--性能與可靠性好使用高級數(shù)據(jù)結(jié)構(gòu)，如MasterFileTable（MFT），來存儲文件和文件夾的元數(shù)據(jù)信息，改善了性能。支持文件壓縮，可以減少磁盤空間的使用，同時保持文件的訪問速度。使用事務(wù)日志自動記錄所有文件夾和文件更新，系統(tǒng)能重做或恢復(fù)未成功的操作，從而保護了系統(tǒng)的安全性。NTFS文件系統(tǒng)NTFS主要特點--磁盤空間利用率高對于超過4GB以上的硬盤，使用NTFS分區(qū)可以減少磁盤碎片的數(shù)量，大大提高硬盤的利用率。支持的文件大小可以達到64GB，遠遠大于FAT32下的4GB。NTFS文件系統(tǒng)NTFS主要特點--支持長文件名與UnicodeNTFS文件系統(tǒng)支持長文件名，文件名可以包含空格和特殊字符。支持Unicode字符集，可以存儲使用多種語言的文件名。FAT與NTFS文件系統(tǒng)轉(zhuǎn)換如果安裝WindowsServer時采用了FAT，則用戶可以在安裝完畢使用convert命令將FAT分區(qū)轉(zhuǎn)換為NTFS分區(qū)。命令如下：convertD:/FS:NTFSNTFS文件系統(tǒng)管理訪問概述盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。5.1.3安全主體管理訪問概述--安全主體安全主體-可用于身份驗證和分配資源訪問權(quán)的用戶、組或計算機對象。相對ID(RID)-安全ID(SID)的一部分，在域中惟一標識的賬戶或組。安全ID(SID)-在創(chuàng)建用戶、計算機或安全組時分配的惟一值。Windows中的內(nèi)部過程引用賬戶的SID，而不是賬戶的用戶名或組名。安全主體S-1-5-21-1454471165-1004336348-1606980848-5555SIDRID安全主體管理訪問概述--安全主體用戶的訪問令牌主體其他訪問權(quán)信息用戶權(quán)利列表組SID用戶SID權(quán)限管理訪問概述--權(quán)限分配權(quán)限的方式

“允許”或“拒絕”權(quán)限可分配到資源（文件夾、打印機、文件）權(quán)限：是授予或拒絕對象訪問權(quán)的規(guī)則用于控制訪問權(quán)限可分配到本地計算機中的賬戶或ADDS中的賬戶可以顯式應(yīng)用權(quán)限、繼承權(quán)限或隱式應(yīng)用權(quán)限訪問控制的工作方式管理訪問概述--訪問控制的工作方式隨機訪問控制列表(DACL)DACL包含用戶和組的列表，這些用戶和組可以訪問資源或者被拒絕而無法訪問資源NTFS卷上的每一個文件和文件夾都有關(guān)聯(lián)的DACL系統(tǒng)訪問控制列表(SACL)SACL控制審核對資源的訪問訪問控制條目(ACE)定義DACL或SACL中的每一個條目指定一組要允許、拒絕或?qū)徍说腟ID如果在DACL中未指定任何ACE，那么將拒絕訪問資源項目設(shè)計及準備盛年不重來，一日難再晨。及時當(dāng)勉勵，歲月不待人。5.2項目設(shè)計功能與特性本項目所有實例部署在同一個網(wǎng)絡(luò)環(huán)境下，Server1、Server2是2臺不同角色的域控制器，操作系統(tǒng)是WindowsServer2022。MS1是成員服務(wù)器，操作系統(tǒng)是WindowsServer2022。項目準備Server1、Server2和MS1是3臺虛擬機。在Server1與MS1上可以測試資源共享情況，而資源訪問權(quán)限的控制、加密文件系統(tǒng)與壓縮、分布式文件系統(tǒng)等需在MS1上實施并測試。項目實施觀眾器者為良匠，觀眾病者為良醫(yī)。5.3項目實施任務(wù)1第一臺C任務(wù)6復(fù)制移動任務(wù)4NTFS基礎(chǔ)任務(wù)5繼承&阻止任務(wù)2訪問共享任務(wù)7標準與特殊NTFS任務(wù)8壓縮任務(wù)1設(shè)置共享任務(wù)3卷影副本任務(wù)9加密任務(wù)1設(shè)置資源共享C:\share1

文件夾共享設(shè)置共享資源系統(tǒng)自動創(chuàng)建的共享特殊共享010201-設(shè)置共享資源01-設(shè)置共享資源02-特殊共享driveletter$：為存儲設(shè)備的根目錄創(chuàng)建的一種共享資源。例如：D$ADMIN$：在遠程管理計算機的過程中系統(tǒng)使用的資源。IPC$：共享命名管道的資源，它對程序之間的通信非常重要。PRINT$：在遠程管理打印機的過程中使用的資源任務(wù)2訪問網(wǎng)絡(luò)共享資源利用系統(tǒng)網(wǎng)絡(luò)發(fā)現(xiàn)功能網(wǎng)絡(luò)發(fā)現(xiàn)通用命名規(guī)則UNC010201-網(wǎng)絡(luò)發(fā)現(xiàn)必須確保Server1、Server2和MS1開啟了網(wǎng)絡(luò)發(fā)現(xiàn)功能，并且運行了FunctionDiscoveryResourcePublication服務(wù)（自動、啟動）。“網(wǎng)絡(luò)”窗口

“Windows安全”對話框01-網(wǎng)絡(luò)發(fā)現(xiàn)02-UNC通用命名標準（UniversalNamimgConversion，UNC）是用于命名文件和其他資源的一種約定，以兩個反斜杠“\”開頭，指明該資源位于網(wǎng)絡(luò)計算機上。例如：\\\share1或者\\Server1\share1任務(wù)3使用卷影副本“卷影副本”客戶端訪問“卷影副本”啟用“共享文件夾的卷影副本”03010201-“卷影副本”02-啟用“共享文件夾的卷影副本”02-啟用“共享文件夾的卷影副本”任務(wù)4認識NTFS權(quán)限NTFS文件夾權(quán)限允許訪問類型讀?。≧ead）查看文件夾中的文件和子文件夾，查看文件夾屬性、擁有人和權(quán)限寫入（Write）在文件夾內(nèi)創(chuàng)建新的文件和子文件夾，修改文件夾屬性，查看文件夾的擁有人和權(quán)限列出文件夾內(nèi)容（ListFolderContents）查看文件夾中的文件和子文件夾的名稱讀取和運行（Read&Execute）遍歷文件夾，執(zhí)行允許“讀取”權(quán)限和“列出文件夾內(nèi)容”權(quán)限的動作修改（Modify）刪除文件夾，執(zhí)行“寫入”權(quán)限和“讀取和運行”權(quán)限的動作完全控制（FullControl）改變權(quán)限，成為擁有人，刪除子文件夾和文件，以及執(zhí)行允許所有其他NTFS文件夾權(quán)限進行的動作標準NTFS文件夾權(quán)限列表任務(wù)4認識NTFS權(quán)限多重NTFS權(quán)限（1）權(quán)限是累積的（2）文件權(quán)限超越文件夾權(quán)限（3）拒絕權(quán)限超越其他權(quán)限任務(wù)4認識NTFS權(quán)限共享文件夾權(quán)限與NTFS文件系統(tǒng)權(quán)限的組合“share1屬性”對話框權(quán)

限允許用戶完成的操作讀取顯示文件夾名稱、文件名稱、文件數(shù)據(jù)和屬性，運行應(yīng)用程序文件，改變共享文件夾內(nèi)的文件夾修改創(chuàng)建文件夾，向文件夾中添加文件，修改文件中的數(shù)據(jù)，向文件中追加數(shù)據(jù)，修改文件屬性，刪除文件夾和文件，執(zhí)行“讀取”權(quán)限所允許的操作完全控制修改文件權(quán)限，獲得文件的所有權(quán)執(zhí)行“修改”和“讀取”權(quán)限所允許的所有任務(wù)默認情況下，Everyone組具有該權(quán)限任務(wù)5繼承與阻止NTFS權(quán)限使用權(quán)限的繼承性默認情況下，授予父文件夾的任何權(quán)限也將應(yīng)用于包含在該文件夾中的子文件夾和文件。當(dāng)授予訪問某個文件夾的NTFS權(quán)限時，就將授予該文件夾的NTFS權(quán)限授予了該文件夾中任何現(xiàn)有的文件和子文件夾，以及在該文件夾中創(chuàng)建的任何新文件和新的子文件夾。如果想讓文件夾或者文件具有不同于它們父文件夾的權(quán)限，必須阻止權(quán)限的繼承性。任務(wù)5繼承與阻止NTFS權(quán)限阻止權(quán)限的繼承性

阻止權(quán)限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權(quán)限。(為了阻止權(quán)限的繼承，要刪除繼承來的權(quán)限，只保留被明確授予的權(quán)限。)被阻止從父文件夾繼承權(quán)限的子文件夾現(xiàn)在就成為新的父文件夾。包含在這一新的父文件夾中的子文件夾和文件將繼承授予它們父文件夾的權(quán)限。任務(wù)5繼承與阻止NTFS權(quán)限阻止權(quán)限的繼承性test2的高級安全設(shè)置任務(wù)6復(fù)制和移動文件及文件夾復(fù)制文件和文件夾移動文件和文件夾任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予標準NTFS權(quán)限（1）NTFS文件夾權(quán)限授予標準NTFS權(quán)限包括授予NTFS文件夾權(quán)限和NTFS文件權(quán)限?！皀etwork屬性”對話框“network的權(quán)限”對話框任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予標準NTFS權(quán)限（1）NTFS文件夾權(quán)限授予標準NTFS權(quán)限包括授予NTFS文件夾權(quán)限和NTFS文件權(quán)限。“選擇用戶、計算機、服務(wù)賬戶或組”對話框任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予特殊訪問權(quán)限“network的高級安全設(shè)置”對話框“network的權(quán)限項目”對話框任務(wù)7利用NTFS權(quán)限管理數(shù)據(jù)授予特殊訪問權(quán)限（1）更改權(quán)限：針對文件或者文件夾修改權(quán)限的能力（2）取得所有權(quán)：取得文件和文件夾的所有權(quán)的能力任務(wù)8壓縮文件NTFS壓縮壓縮文件壓縮文件夾文件夾選項任務(wù)8壓縮文件文件復(fù)制或剪切時壓縮屬性的變化文件復(fù)制或剪切時壓縮屬性的變化任務(wù)8壓縮文件壓縮的（zipped)文件夾新建壓縮zipped文件夾將多個文件發(fā)送到壓縮zipped文件夾任務(wù)9加密文件系統(tǒng)對文件與文件夾加密文件加密任務(wù)9加密文件系統(tǒng)對文件與文件夾加密確認屬性更改任務(wù)9加密文件系統(tǒng)授權(quán)其他用戶可以