NTFS文件系統(tǒng)

1、ntfs,本章主要內(nèi)容,文件權限及其應用 ntfs權限應用原則 磁盤限額概念與設置 文件壓縮特征 加密文件系統(tǒng)工作原理 數(shù)據(jù)恢復代理概念和設置,5.0 文件權限,一、什么是權限？ 權限是指用戶對于對象的訪問限制。如能夠新建或刪除文件、文件夾、打印機等對象。 二、文件和文件夾的權限分幾種？ 、ntfs權限：僅在ntfs磁盤上的文件或文件夾具有此權限。ntfs權限稱為文件與文件夾的訪問權限。 、共享權限：只要是共享出來的文件夾(稱為共享文件夾)就具有此權限。若該文件夾也存在ntfs磁盤上，便同時具有ntfs權限和共享權限,三、什么是文件系統(tǒng)？ 文件命名、存儲和組織的總體結構。 四、windows

2、2003系統(tǒng)支持哪幾種文件系統(tǒng)？ fat、ntfs 五、fat文件系統(tǒng)文件分配表 dos、win9x、win me下的文件格式，2003下有這種文件格式主要是為了兼容。 六、ntfs文件系統(tǒng)nt file system win2000后的文件格式，安全性比較好,5.1 ntfs權限概述,2003通過ntfs權限控制用戶對文件和文件夾的訪問，從而確保文件和文件夾的安全。通過ntfs權限可控制用戶對某個ntfs文件或文件夾所有執(zhí)行的操作，并且可以跟蹤用戶對文件所執(zhí)行的所有操作,5.1.1 ntfs權限概述,一、訪問控制列表 兩種： dacl隨機訪問控制列表 sacl系統(tǒng)訪問控制列表 dacl:存儲

3、用戶或組對ntfs文件或文件夾擁有的相應的ntfs權限，用來控制用戶對ntfs文件和文件夾的訪問,5.1.1 ntfs權限概述,sacl:存儲ntfs文件或文件夾的審計設置，用來跟蹤和記錄用戶或組對ntfs文件所執(zhí)行操作或訪問試圖。 二、訪問控制元素ace 每個ace存儲了一個對象（用戶、組、或計算機帳號）對文件所對應的權限和審計策略,5.1.1 ntfs權限概述,三、ntfs文件和文件夾權限 ntfs文件權限: 讀取（read） 寫入（write） 讀取與執(zhí)行（read & execute） 修改（modify） 完全控制（full control,5.1.1 ntfs權限概述,ntfs文件

4、夾權限類型 讀?。╮ead） 寫入（write） 列出文件夾內(nèi)容（list folder contents） 讀取與執(zhí)行（read & execute） 修改（modify） 完全控制（full control,5.1.2 ntfs權限應用原則,一、三個原則 ntfs權限是累積的 文件權限超越文件夾權限 拒絕權限超越其他權限 二、ntfs權限是累積的 用戶對文件或文件夾的有效權限，是用戶對該文件或文件夾的ntfs權限和用戶所屬組對該用戶和文件夾的ntfs權限的組合,teacher組,onebit用戶,file1,讀取,修改,修改,5.1.2 ntfs權限應用原則,三、文件權限超越文件夾權限 當

5、一個用戶對某個文件及其父文件夾都擁有ntfs權限時，如果用戶對其父文件夾的權限小于文件的權限，那么用戶對該文件的有效權限是以文件權限為準,onebit用戶,file1,寫,瀏覽,寫,folder,5.1.2 ntfs權限應用原則,四、拒絕權優(yōu)先于其他權限 管理員可以根據(jù)需要拒絕指定用戶訪問指定文件或文件夾，當系統(tǒng)拒絕了用戶訪問某文件或文件夾時，不管用戶所屬組對該文件或文件夾擁有什么權限，用戶都無權訪問文件,teacher組,onebit用戶,file1,拒絕寫,完全控制,拒絕寫,5.1.3 ntfs權限繼承,一、繼承可以實現(xiàn)以下功能： 創(chuàng)建子文件或文件夾后，管理員不須為子文件或文件夾授權。 確

6、保應用與父文件夾的權限應用到所有子文件和文件夾上 確保需要修改所有子文件和文件夾的權限時，只需要修改父文件夾的權限而不用再為子文件和文件夾單獨授權,5.1.3 ntfs權限繼承,二、2003發(fā)生下列事件時，繼承自動發(fā)生： 創(chuàng)建子文件或文件夾時，子文件和文件夾自動繼承父文件夾的權限 修改父文件夾的權限時，子文件和文件夾自動繼承父文件夾權限的修改,5.1.4 ntfs權限管理,系統(tǒng)自動賦給everyone組分區(qū)根目錄完全控制的ntfs權限。管理員可以根據(jù)需要修改文件和文件夾的ntfs權限，控制用戶對ntfs文件和文件夾的訪問。 一、修改文件或文件夾的ntfs權限 文件夾或文件-右鍵-添加,5.1.

7、4 ntfs權限管理,二、阻止或允許權限繼承 文件夾或文件-屬性-安全-高級-選擇“允許父項繼承權限傳播到該對象和所有子對象”。 當阻止權限繼承時，有兩種方式： 復制-系統(tǒng)將把以前從父文件夾繼承來的所有權限保留下來，不再繼承以后為父文件夾賦予的任何ntfs權限。 刪除-把以前繼承的所有權限刪除。并不再繼承,5.1.4 ntfs權限管理,三、復制和移動文件或文件夾時ntfs權限的變化。 不管是在分區(qū)內(nèi)或分區(qū)間復制文件或文件夾，系統(tǒng)都將目標文件作為新文件對待，文件將繼承目的地文件夾的權限,5.1.5 特殊ntfs權限應用,5.1.5 特殊ntfs權限應用,一更改權限 在標準ntfs權限中，只有“完

8、全控制”權限才可以賦予用戶更改文件或文件夾ntfs，但“完全控制”權限同時有刪除文件夾或文件的權限。 如果要賦予其他用戶更改文件或文件夾權限的權限，而不能刪除或寫文件以及文件夾，就要用到更改權限功能,5.1.5 特殊ntfs權限應用,二獲取所有權 對象的所有者擁有一項特殊的權限能夠指派權限。 系統(tǒng)默認情況下，創(chuàng)建文件和文件夾的用戶是該文件或文件夾的“所有者”，擁有“所有權”。 所有權可以用以下方式轉換： 當前所有者可以將“取得所有權”權限授予另一用戶，這將允許該用戶在任何時候取得所有權。該用戶必須實際取得所有權才能完成所有權的轉移。 管理員可以取得所有權,5.1.5 特殊ntfs權限應用,5.

9、2 ntfs磁盤限額,此功能可以控制用戶對磁盤驅動空間的使用，在實際應用中可能需要開放磁盤的寫權限給用戶。 管理員通過磁盤空間限額功能可有效為各用戶分配磁盤空間,5.2.1 磁盤限額概述,功能特點 磁盤限額基于ntfs分區(qū)實現(xiàn) （限制到某個驅動器） 磁盤空間使用是基于限額限制的（跟實際分區(qū)大小無關） 磁盤空間限額空間使用根據(jù)文件所有權計量（用戶） 磁盤限額空間的計算忽略ntfs文件壓縮 administrator不受磁盤限額限制,5.2.2 設置磁盤限額,管理員可以根據(jù)ntfs文件系統(tǒng)提供的磁盤限額功能限制用戶在磁盤驅動器上使用的最大磁盤空間。 一、啟用配置限額功能 我的電腦-資源管理器-右擊

10、磁盤屬性-配額標簽-啟用配額管理。 二、利用磁盤配額項 限制大小、警告事件,5.3 ntfs壓縮,ntfs文件系統(tǒng)支持文件壓縮功能以節(jié)省磁盤空間的使用。ntfs文件系統(tǒng)的文件壓縮作為文件的一種屬性，工作在系統(tǒng)后臺，對用戶完全透明。 當用戶打開文件時，系統(tǒng)自動解壓文件；當用戶保存文件時，系統(tǒng)自動壓縮文件，不需要用戶額外操作。 為便于壓縮文件的管理，2003支持用不同的顏色顯示壓縮文件的功能,5.3.1 ntfs文件壓縮概述,特點： 后臺工作對用戶完全透明 磁盤空間分配按照未壓縮格式空間分配 利用不用顏色顯示壓縮文件,5.3.1 ntfs文件壓縮概述,后臺工作對用戶完全透明 - 用戶通過應用程序訪

11、問2003中的ntfs壓縮文件時，系統(tǒng)會自動壓縮文件，其訪問方式跟訪問其他未壓縮的文件完全相同；當用戶保存某個壓縮文件時，系統(tǒng)會自動壓縮該文件，而不需要用戶做任何手工交互操作,5.3.2 壓縮ntfs文件,復制和移動ntfs文件時其壓縮屬性的變化： -作為新文件對待，繼承目的地文件夾的壓縮屬性,5.4 加密文件系統(tǒng),efs-加密文件系統(tǒng)，提供一種核心文件加密技術，efs僅能用戶ntfs分區(qū)上的文件和文件夾加密。 ets加密類似于ntfs權限可以控制用戶對文件數(shù)據(jù)的訪問，但ets只允許授權用戶讀取文件內(nèi)容，未經(jīng)授權的用戶無法訪問文件，即使用戶有完全控制的ntfs權限也不能打開文件，讀取文件內(nèi)容,

12、5.4.1 加密文件系統(tǒng)概述,2003操作系統(tǒng)的加密文件系統(tǒng)提供了一種針對ntfs文件和文件夾的核心加密技術，用以保護文件內(nèi)容的安全。加密文件系統(tǒng)在系統(tǒng)后臺工作對用戶完全透明，用戶通過應用程序訪問文件時，系統(tǒng)自動解密文件；用戶保存文件時，系統(tǒng)自動加密文件，不需用戶手工交互操作。 加密文件系統(tǒng)將文件加密作為文件屬性保存，通過修改文件屬性對文件和文件夾進行加密和解密。加密一個文件夾時，文件夾內(nèi)所有子文件和子文件夾都自動加密。 管理員也可采用cipher命令加密和解密文件,5.4.1 加密文件系統(tǒng)概述,只能加密ntfs分區(qū)上的文件和文件夾。 不能加密fat、fat32分區(qū)上的文件。 加密和壓縮互斥不

13、能加密壓縮文件 加密和壓縮互斥，不能加密壓縮文件 僅授權用戶可訪問加密文件 內(nèi)置數(shù)據(jù)恢復代理功能 默認情況下，本地管理員帳號是數(shù)據(jù)恢復代理，他可以解密系統(tǒng)中的加密文件，以防數(shù)據(jù)丟失。 不能加密系統(tǒng)文件 復制和移動加密文件時其加密屬性的變化,5.4.2 加密和解密文件,加密文件系統(tǒng)和ntfs文件系統(tǒng)集成在一起，完全作為文件屬性保存，易于管理，難以被攻擊，對用戶完全透明。 文件加密和解密過程,file,user,1)request:encrypt,system,2) create cipher,3) encrypt and put the result to the ddf,file,user,1)request:access,system,2) get the key,3) decode,5.4.3 設置數(shù)據(jù)恢復代理,對于本地機：指定用戶帳號為數(shù)據(jù)恢復代理 對于網(wǎng)絡：在域中、組織單元、或單獨計算機級別上配置故障恢復策略，并將其應用到所有操作系統(tǒng)上。 如何添加： -開始-