在WINDOWS环境下我们可以使用的文件系统是FAT和NTFS两种,那么有些用户就会提出疑问,这两种文件系统哪个更适合我呢?这就需要我们对这两种的特性有所了解.
首先了解利用NTFS权限实现用户和组访问文件夹和文件的安全性
因为我们讲解是关于WINS2003的系列课程,所以我们今天主要来讲述在适用于服务器上的NTFS文件系统
当然我们首先要知道如果我们的系统盘原来是FAT分区,现在需要改变成NTFS分区,那该如果去做?在此要记住一个命令convert e:/fs:ntfs 这个命令可以安全的把原来的FAT分区转化成NTFS分区,原来分区中的数据都不会丢失(包括系统盘),使用命令时要输入一个卷标即可.但要记住这个命令虽然挺好,不过它是单向转化,换句话说就是只能从FAT转到NTFS,而不支持从NTFS转换到FAT,这个切记!!!
这次讲解我们主要是以实验的形式来完成,首先大家考虑以下几个问题,在工作中创建文件服务器时的常见问题:
环境:系统有两个用户UserA和UserB,以及相对应的文件夹A和B
如何让文件夹A只能被UserA读取,而UserB不能读取?
如何在UserB对文件夹A有完全控制权限的情况下,文件夹A里的文件不会被UserB读取?
如何让UserA使用的磁盘空间不超过100Mb?
如何在一定的磁盘空间下,容纳尽可能多的文件?
大家可以发现以上几个问题,如果分区是FAT是不能完成的,而使用NTFS的特性即可完成!
NTFS特点:
1)可以设置权限
2)更好的伸缩性使扩展为大驱动器成为可能
3)压缩功能
4)文件加密
5)AD需要使用 NTFS
6)磁盘配额,可用来监视和控制单个用户使用的磁盘空间量
7)卷影副本的应用
3种文件系统的兼容性:
不过在此要指出其实FAT有3种:FAT12,FAT16,FAT32
NTFS权限可以限制本地用户的权限,如果是网络共享也可以结合共享权限一同设置共享权限
NTFS文件系统可以针对不同用户和组设置各种访问权限
只有被授予权限的用户或组才能访问
文件或文件夹的属性中有【安全】选项卡
访问控制列表(ACL)
访问控制项(ACE)
文件夹的NTFS权限
完全控制:可执行所有操作
修改:可以修改、删除
读取和运行:可以读取内容,并且可以执行应用程序
列出文件夹目录:可以列出文件夹的内容
读取:可以读取内容
写入:可以创建文件夹或者文件
特别的权限:与文件和文件夹的数据无关,与【安全】选项卡读取、更改相关
文件和文件夹的精细安全权限
可设置文件与文件夹的使用权限来指定哪个工作组和用户可以访问它们,且允许访问的级别如何?
Demo:
环境:系统有两个用户UserA和UserB,以及相对应的文件夹A和B。上层文件夹是Demo.
如何让文件夹A只能被UserA读取,但不能被UserB读取?
很简单,只需要把文件夹A的NTFS权限设置给USERA即可:
特别的权限
和文件或文件夹数据本身没有关系
和【安全】选项卡相关
读取权限
更改权限
取得所有权
取得文件或文件夹的所有权
管理员可以取得其所有权
如何取得所有权
【安全】|【高级】|【所有者】
管理员没有所有权
不能修改权限
管理员取得所有权
可以修改权限
DEMO:使用UserA登陆系统后创建一个文件夹,并把NTFS权限设置为只有自己能完全访问,然后使用管理员登陆后发现无法访问该文件夹。
因为管理员有权利把自己的权限添加到该文件夹,可以使用特殊权限中的取得所有权来完成。
1)使用USERA登录系统后创建一个文件夹,并把权限只给自己拥有:
2)使用管理员登录系统发现无法访问该文件夹,因为相应的权限:
3)查看该文件夹的NTFS权限被告之无权限:
4)打开"高级"选项查看所有者:
5)取得所有权(注意选上"替换子容器"可以把该文件夹下的所有子对象全部夺取):
6)取得所有权后可以发现现在的所有者是管理员了:
7)而且可以发现现在该文件夹的NTFS权限只有管理员是完全控制,原来的用户被删除!
权限的组合:
用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的累加权限
例如user属于组group1和group2
权限的拒绝:
拒绝权限可以覆盖所有其他权限
可以设置拒绝用户帐户也可以拒绝组
例如user属于组group1和group2
总之一句话就是权限有多个且无冲突,那么全部都累加,如果有权限冲突,那么拒绝优先!
权限的继承
新建的的子文件夹和文件会继承上一级目录的权限
根目录下的文件夹或文件继承磁盘分区的权限
可以拒绝继承上级权限
可以强制下级继承权限
在强制下级文件夹或者文件继承权限的过程中,那么当前用户没有权限处理的文件夹或者文件将不会继承权限
Demo:让UserA创建一个文件夹,里面包含一个子文件夹和一个管理员创建的文件,而管理员创建的文件UserA是没有权限的,然后让UserA把上一层的文件夹做强制,会发现由UserA创建的文件和文件夹会继承下来。而管理员创建的内容不会继承!如下图所示:
DEMO:环境是系统有两个用户UserA和UserB,以及相对应的文件夹A和B。上层文件夹是Demo.如何让第三个用户UserC读取文件夹Demo, 但不能读取文件夹A?
当我们在DEMO上设置了给USERC权限后发现权限会继承给下级子文件夹或文件,那么能不能不把上层的权限继承下去呢?可以,如下图所示:
复制和移动操作对权限的影响
复制的影响 :
移动的影响:
文件及文件夹的压缩
NTFS文件系统中的文件和文件夹都具有压缩属性
压缩文件可以节约磁盘空间
压缩和加密只能选择一项
用颜色来区分压缩的文件(夹),蓝色
降低性能
能够在读取文件时只能解压,文件保存时自动压缩,不需第三方工具。
Demo:
环境:系统的硬盘比较小,几乎已装满
如何在磁盘空间容量有限的情况下,容纳尽可能多的文件。
把1个文件压缩后可以看到压缩前后的占用空间的改变(注意:压缩只改变的是占用空间):
压缩前:
压缩后:
复制、移动操作对压缩的影响
将压缩的文件或文件夹移动至另一文件夹,同分区移动后文件仍保持压缩状态,否则遵从目标文件夹的压缩状态。
拷贝文件到另一文件夹时,文件将遵从目标文件夹的压缩属性。
如果将压缩文件复制到FAT文件系统上时,都会自动解压。
注意:在同一个分区目录下,如果把压缩的文件移动到加密的文件夹时,该文件会变为加密文件,而把加密的移动到压缩文件夹时,还会保持加密的属性,所以这是一个特殊例子,可见,加密的属性比压缩优先级高!而且加密和压缩属性只能有一种!
文件及文件夹的加密
只有 NTFS 卷上的文件或文件夹才能被加密
如果将加密的文件复制或移动到非 NTFS 格式的文件系统上,该文件将会被解密。
加密文件夹或文件不能防止删除或列出文件和目录。
颜色区分:绿色
使用公用密钥安全机制以预防对文件内容的未授权的访问。
Demo:
环境:系统有两个UserA和UserB,以及相对应的文件夹A和B
如何在用户B对文件夹A有完全权限的情况下,文件夹A里的文件不会被UserB读取?
管理员要打开USERA加密后的文件时如下图所示,注意加密属性和权限无观,是和证书相关,所以即使管理员取得了所有权也没有用的!
设置磁盘限额
限制用户可使用的磁盘空间大小。
只能在一个分区中应用,使用压缩前占用的空间大小。
Demo:
环境:系统有两个分区:C和D(NTFS);以及两个用户:A和B
如何让用户A在使用的磁盘D上的空间不会超过1000KB?
使用管理员来对NTFS的分区进行磁盘配额的设置,方法如下:
如果有需要对某个人单独设置配额,可以进入配额项单独设置:
当用户进入系统存放的文件超出限制时就会弹出以下对话框:
卷影副本的概念
卷影副本类似于一个备份程序,将共享文件夹中的所有文件定时备份下来,每一次备份就是一次恢复点,如果文件被删除或被覆盖,就能恢复到指定的时间点。
共享文件夹的卷影副本提供共享资源(如文件服务器)中文件的即时点副本。
通过共享文件夹的卷影副本,可以查看在过去的时间点中存在的共享文件和文件夹。
卷影副本只是保存某一个时间点的文件,在该时间点后做的修改将不会被保存,所以仍然需要及时备份文件。
应用卷影副本:
当达到存储区域限制时,最早的卷影副本将被删除且无法检索。
每一卷最多存储 64 个卷影副本。当达到该限制时,最早的卷影副本将被删除且无法恢复。
卷影副本是只读的。不能编辑卷影副本的内容。
每次只能在一个卷上启用共享文件夹的卷影副本。
设置共享文件夹的卷影副本:
在NTFS分区上启用卷影副本
设置卷影副本存储地点和占用的存储空间
设置日程安排
最后使用网络访问该文件夹时就会出现以下选项,当网络共享文件被删除或被修改了,可以使用卷影副本来恢复到指定的备份点,使数据恢复,但只对共享文件夹生效!
posted on 2008-04-30 19:40
第十九根烟 阅读(442)
评论(0) 编辑 收藏 引用 所属分类:
mcse2003微软(转载)