用戶和組ntfs文件安全管理培訓課件

1、用戶和組和用戶和組和NTFSNTFS主要內容：主要內容：用戶的建立、刪除、用戶的建立、刪除、NTFS與與F32區(qū)別區(qū)別設置文件的權限、加密、用戶磁盤配合設置文件的權限、加密、用戶磁盤配合使用命令使用命令:net user ;convert證書的導入和導出。證書的導入和導出。用戶的建立用戶的建立net user命令命令可以查看并管理與帳戶有關的事務，包括新建帳戶、可以查看并管理與帳戶有關的事務，包括新建帳戶、刪除帳戶、查看特定帳戶、激活帳戶及禁用帳戶等。刪除帳戶、查看特定帳戶、激活帳戶及禁用帳戶等。1查看帳戶信息。鍵入不帶參數(shù)的查看帳戶信息。鍵入不帶參數(shù)的net user命命令，可以查看所有帳戶

2、包括已經禁用的帳戶。令，可以查看所有帳戶包括已經禁用的帳戶。如果需要查看某個帳戶的詳細，可以在如果需要查看某個帳戶的詳細，可以在net user命命令后面接帳戶名。令后面接帳戶名。2新建帳戶新建帳戶使用使用net user命令的命令的“/add參數(shù)可以為計算機新參數(shù)可以為計算機新建一個帳戶，同時可以為該帳戶設置用戶密碼，新建一個帳戶，同時可以為該帳戶設置用戶密碼，新建帳戶默認為建帳戶默認為user組的成員。使用組的成員。使用net user命令新命令新建帳戶的命令格式為：建帳戶的命令格式為：net user /add3刪除帳戶刪除帳戶Net user /del4激活激活/禁用帳戶禁用帳戶Net

3、 user /active:介紹用戶賬戶介紹用戶賬戶n使用者完成管理任務或使用網絡資源n位于 SAM (本地用戶)n位于活動目錄(域用戶)n使用者通過登陸域有權使用網絡資源n位于活動目錄n使用者通過登陸和訪問本計算機資源n位于SAMAdministrator and Guest管理員，普通用戶，組管理員，普通用戶，組管理員：administrator普通用戶：user管理員具有最高權限，普通用戶只擁有操作權限。管理員具有最高權限，普通用戶只擁有操作權限。普通用戶無安裝權限，刪除程序權限，無注冊表，組策略，設備管理普通用戶無安裝權限，刪除程序權限，無注冊表，組策略，設備管理器，網絡等操作權限。器

4、，網絡等操作權限。注：合理分配管理員權限可以很方便的管理控制單機。組：具有某種共同操作特征的一組用戶。建立組建立組 它是一個系統(tǒng)內置組，在管理窗口是看不見的！ Everyone組稱之為任意組，系統(tǒng)里任何用戶都是此組的成員。Everyone組組net localgroup命令：命令：添加、顯示或更改本地組，常用來提升用戶的管理權限。添加、顯示或更改本地組，常用來提升用戶的管理權限。注意注意: 把組刪除，組里的成員并沒有刪除，把組刪除，組里的成員并沒有刪除，只把組的許可和權限刪除了。只把組的許可和權限刪除了。步驟步驟2：運行：運行：gpedit.msc 進入組策略。進入組策略。 選擇關閉系統(tǒng)，將選

5、擇關閉系統(tǒng)，將關閉系統(tǒng)組參加其關閉系統(tǒng)組參加其中。中。 選擇拒絕本地登陸，選擇拒絕本地登陸，將拒絕本機登陸組將拒絕本機登陸組參加其中。參加其中。 注意：千萬不要把注意：千萬不要把Everyone組和組和Administrators組參加到組參加到拒絕本地登陸拒絕本地登陸, 后果很嚴重！后果很嚴重！ 然后注銷，驗證試驗。然后注銷，驗證試驗。文件平安管理：文件平安管理：1、文件系統(tǒng)簡介、文件系統(tǒng)簡介NTFS文件系統(tǒng)相對于文件系統(tǒng)相對于FAT和和FAT32文件系統(tǒng)來文件系統(tǒng)來說，可以更好的保護文件資源。提高文件資源說，可以更好的保護文件資源。提高文件資源的平安性。的平安性。具體表現(xiàn)在：具體表現(xiàn)在：1

6、可以對單個文件設置權限，而不僅僅是對文件夾可以對單個文件設置權限，而不僅僅是對文件夾設置權限。設置權限。這使的在管理文件時，可以針對不同用戶設置不同的訪這使的在管理文件時，可以針對不同用戶設置不同的訪問權限，問權限，從而可以更好的保護文件資源。從而可以更好的保護文件資源。2提供了文件加密功能，用戶可以將自己的秘密文提供了文件加密功能，用戶可以將自己的秘密文件加密，使件加密，使其他用戶不能訪問自己的秘密文件。其他用戶不能訪問自己的秘密文件。3提供了文件壓縮功能，從而極大的節(jié)省了磁盤空提供了文件壓縮功能，從而極大的節(jié)省了磁盤空間。間。4提供了磁盤配額功能，可以監(jiān)視和控制單個用戶提供了磁盤配額功能，

7、可以監(jiān)視和控制單個用戶使用的磁盤使用的磁盤空間量。通過磁盤配額功能，使管理員可以對不同用戶空間量。通過磁盤配額功能，使管理員可以對不同用戶使用磁盤使用磁盤的量進行控制，來提高磁盤利用率。的量進行控制，來提高磁盤利用率。2、磁盤文件轉化：、磁盤文件轉化：要把要把fat分區(qū)轉換成分區(qū)轉換成NTFS格式有兩種途徑：格式有兩種途徑：1選擇選擇NTFS文件格式重新格式化分區(qū)；文件格式重新格式化分區(qū)；2使用使用convert.exe命令轉化；命令轉化；注意：要把注意：要把ntfs格式轉化成格式轉化成fat格式那么只能通格式那么只能通過磁盤格式化操作進行，不能通過過磁盤格式化操作進行，不能通過convert

8、.exe命令進行。命令進行。最大優(yōu)點：可保持磁盤或分區(qū)中現(xiàn)有的文件和最大優(yōu)點：可保持磁盤或分區(qū)中現(xiàn)有的文件和文件夾完好無損。文件夾完好無損。 文件或文件夾的屬文件或文件夾的屬性中都增加了一個性中都增加了一個平安選項卡平安選項卡,在選項在選項卡中有一個訪問控卡中有一個訪問控制列表和訪問控制制列表和訪問控制項項 . 只有被授予權限的只有被授予權限的用戶或組才能訪問用戶或組才能訪問安全選項卡安全選項卡3、什么是、什么是NTFS權限權限完全控制：對文件或者文完全控制：對文件或者文件夾可執(zhí)行所有操作。它件夾可執(zhí)行所有操作。它還擁有還擁有“更改權限與更改權限與“取得所有權的權限取得所有權的權限修改：可以修

9、改、刪除文修改：可以修改、刪除文件或者文件夾。件或者文件夾。讀取和運行：可以讀取內讀取和運行：可以讀取內容，并且可以執(zhí)行應用程容，并且可以執(zhí)行應用程序。序。文件夾的文件夾的NTFS權限權限列出文件夾目錄：可以列出文件夾列出文件夾目錄：可以列出文件夾的內容。此權限只針對文件夾存在。的內容。此權限只針對文件夾存在。讀?。嚎梢宰x取文件或者文件夾的讀?。嚎梢宰x取文件或者文件夾的內容。內容。寫入：可以創(chuàng)立文件夾或者文件。寫入：可以創(chuàng)立文件夾或者文件。特別的權限：其他不常用的權限，特別的權限：其他不常用的權限，如刪除權限、更改權限的權限等等。如刪除權限、更改權限的權限等等。常見組的權限 Administr

10、ators：內置：內置管理員組，對所有子文管理員組，對所有子文件夾和文件都具有完全件夾和文件都具有完全控制權限。控制權限。 SYSTEM：此賬戶是代：此賬戶是代表操作系統(tǒng)本身，默認表操作系統(tǒng)本身，默認權限是完全控制。權限是完全控制。 Users：此組代表：此組代表Server2003計算機上計算機上所有的用戶，默認權限所有的用戶，默認權限是讀取和運行是讀取和運行/特殊權特殊權限。限。用戶列表用戶列表權限的組合權限的組合NTFS權限具有累加性權限具有累加性用戶的有效權限是用戶所屬各個組權限的總和用戶的有效權限是用戶所屬各個組權限的總和如如USER屬于屬于A讀權限、讀權限、B 寫權限兩個組，那么寫

11、權限兩個組，那么USER具有讀寫權限。具有讀寫權限。拒絕權限會覆蓋其他所有權限拒絕權限會覆蓋其他所有權限如果所屬的組有一個被拒絕，此用戶也會被拒絕如果所屬的組有一個被拒絕，此用戶也會被拒絕如如USER屬于屬于A讀寫權限、讀寫權限、B 拒絕權限兩個組，那么拒絕權限兩個組，那么USER將被拒絕。將被拒絕。文件權限會覆蓋文件夾的權限文件權限會覆蓋文件夾的權限NTFS權限的繼承權限的繼承當用戶設置文件夾的權限后，位于該文件夾下添加的子文件夾與文件，默認會當用戶設置文件夾的權限后，位于該文件夾下添加的子文件夾與文件，默認會自動繼承文件夾的權限。自動繼承文件夾的權限。新建的子文件夾和文件會繼承上一級目錄的

12、權限，根目錄下的文件夾或文件繼新建的子文件夾和文件會繼承上一級目錄的權限，根目錄下的文件夾或文件繼承驅動器的權限。承驅動器的權限。用戶可以設置讓子文件夾或文件不要繼承父文件夾的權限。用戶可以設置讓子文件夾或文件不要繼承父文件夾的權限?；疑珵槔^灰色為繼承權限承權限NTFS權限的設置權限的設置1、指派文件夾的權限、指派文件夾的權限只有administrators組的成員、文件/文件夾的所有者、具備完全控制權限的用戶，才有權指派這個文件文件夾的ntfs權限?？梢愿膹母疙棇ο笏^承的權限，不能直接將灰色的對勾刪除。從上繼承從上繼承向下繼承向下繼承2、不繼承父文件夾的權限，撤選下面復選框、不繼承父文件

13、夾的權限，撤選下面復選框繼承于繼承于可以拒絕繼承上級權限可以拒絕繼承上級權限可以強制向下繼承權限可以強制向下繼承權限用戶可以用特殊權限更精確的指派權限，滿如各種不同權限的需求。用戶可以用特殊權限更精確的指派權限，滿如各種不同權限的需求。遍歷文件夾遍歷文件夾/運行文件：運行文件：“遍歷文件夾可以讓用戶即使在無權訪問某個遍歷文件夾可以讓用戶即使在無權訪問某個文件夾的情況下，仍然可以切換到該文件夾內。運行文件：讓用戶可以運文件夾的情況下，仍然可以切換到該文件夾內。運行文件：讓用戶可以運行程序，該權限設置只適用于文件不適用于文件夾。行程序，該權限設置只適用于文件不適用于文件夾。列出文件夾列出文件夾/讀

14、取數(shù)據(jù)：列出文件夾讓用戶可以查看該文件夾內的文件名讀取數(shù)據(jù)：列出文件夾讓用戶可以查看該文件夾內的文件名稱、子文件夾名稱該權限只適用與文件夾稱、子文件夾名稱該權限只適用與文件夾讀取屬性：可以查看文件夾或文件的屬性，例如只讀、隱藏等屬性。讀取屬性：可以查看文件夾或文件的屬性，例如只讀、隱藏等屬性。創(chuàng)立文件創(chuàng)立文件/寫入數(shù)據(jù)：創(chuàng)立文件讓用戶可以在文件夾內創(chuàng)立文件，寫入數(shù)寫入數(shù)據(jù)：創(chuàng)立文件讓用戶可以在文件夾內創(chuàng)立文件，寫入數(shù)據(jù)讓用戶能夠修改文件內的數(shù)據(jù)或者覆蓋文件內容。據(jù)讓用戶能夠修改文件內的數(shù)據(jù)或者覆蓋文件內容。創(chuàng)立文件夾創(chuàng)立文件夾/附加數(shù)據(jù)：創(chuàng)立文件夾讓用戶可以在文件夾中創(chuàng)立子文件夾，附加數(shù)據(jù)：創(chuàng)

15、立文件夾讓用戶可以在文件夾中創(chuàng)立子文件夾，附加數(shù)據(jù)：讓用戶可以在文件的后面添加數(shù)據(jù)，但是無法修改、刪除、覆附加數(shù)據(jù)：讓用戶可以在文件的后面添加數(shù)據(jù)，但是無法修改、刪除、覆蓋原有的數(shù)據(jù)。蓋原有的數(shù)據(jù)。寫入屬性：讓用戶可以修改文件夾或文件的屬性，例如只讀、隱藏等屬性。寫入屬性：讓用戶可以修改文件夾或文件的屬性，例如只讀、隱藏等屬性。特殊權限的意義：特殊權限的意義：刪除子文件夾及文件：該權限讓用戶可以刪除該文件夾內的子文件夾與文件。刪除子文件夾及文件：該權限讓用戶可以刪除該文件夾內的子文件夾與文件。即使用戶對這個子文件夾或文件沒有刪除權限，也可以將其刪除。即使用戶對這個子文件夾或文件沒有刪除權限，也

16、可以將其刪除。刪除：該權限讓用戶可以刪除此文件夾或文件。即使用戶對該文件夾或文件刪除：該權限讓用戶可以刪除此文件夾或文件。即使用戶對該文件夾或文件沒有刪除的權限，但是只要他對父文件夾具有刪除子文件夾及文件的權限，就沒有刪除的權限，但是只要他對父文件夾具有刪除子文件夾及文件的權限，就可以刪除此文件夾或文件?？梢詣h除此文件夾或文件。讀取權限：該權限讓用戶可以查看文件夾或文件的權限設置。讀取權限：該權限讓用戶可以查看文件夾或文件的權限設置。更改權限：該權限讓用戶可以更改文件夾或文件的權限設置。更改權限：該權限讓用戶可以更改文件夾或文件的權限設置。取得所有權：該權限讓用戶可以奪取文件夾或文件的所有權。

17、無論文件夾或文取得所有權：該權限讓用戶可以奪取文件夾或文件的所有權。無論文件夾或文件的所有者對該文件夾或文件擁有說明權限，他永遠具有更改該文件夾或文件件的所有者對該文件夾或文件擁有說明權限，他永遠具有更改該文件夾或文件權限的能力。權限的能力。文件與文件夾的所有權：文件與文件夾的所有權：在在NTFS磁盤內，每個文件與文件夾都有其磁盤內，每個文件與文件夾都有其“所有者。所有者。系統(tǒng)默認是創(chuàng)立文件或文件夾的用戶，就是該文件或系統(tǒng)默認是創(chuàng)立文件或文件夾的用戶，就是該文件或文件夾的所有者。文件夾的所有者。系統(tǒng)允許用戶奪取文件或文件夾的所有權，以便更改系統(tǒng)允許用戶奪取文件或文件夾的所有權，以便更改其所有者

18、。用戶必須具備以下條件之一，才可以取得其所有者。用戶必須具備以下條件之一，才可以取得所有權。所有權。1對該文件或文件夾擁有對該文件或文件夾擁有“取得所有權的特殊權取得所有權的特殊權限限2系統(tǒng)管理員系統(tǒng)管理員administrators的用戶。無論他的用戶。無論他對文件或文件夾擁有何種權限，他永遠具有對文件或文件夾擁有何種權限，他永遠具有“取得所取得所有權的權限。有權的權限。3具備具備“取得文件或其他對象的所有權權利的用取得文件或其他對象的所有權權利的用戶。戶。取得文件或文件夾的所有權 對于其他用戶建立的對于其他用戶建立的文件夾，如果拒絕管文件夾，如果拒絕管理員管理，可以取得理員管理，可以取得其

19、所有權，然后再進其所有權，然后再進行管理。行管理。 位置在平安選項卡中位置在平安選項卡中的高級里的所有者選的高級里的所有者選項卡中。項卡中。 沒有修改權限的文件沒有修改權限的文件夾夾 取得所有權后的文件取得所有權后的文件夾夾文件復制或移動后權限的變化文件復制或移動后權限的變化1文件從某個文件夾復制到另一個文件夾時，無論文件從某個文件夾復制到另一個文件夾時，無論文件被復制到同一個磁盤或不同的文件被復制到同一個磁盤或不同的ntfs磁盤內，等于產磁盤內，等于產生了另一個新的文件，因此新文件的權限時繼承目的地生了另一個新的文件，因此新文件的權限時繼承目的地的權限。的權限。2文件從某文件夾移動到另一個文

20、件夾時，分兩種文件從某文件夾移動到另一個文件夾時，分兩種情況：情況：A、如果移動到同一磁盤的另一個文件夾內，那么仍然、如果移動到同一磁盤的另一個文件夾內，那么仍然保持原來的權限。保持原來的權限。B、如果移動到另一個、如果移動到另一個NTFS磁盤內，那么該文件將繼承磁盤內，那么該文件將繼承目的地的權限目的地的權限NTFS 分區(qū)分區(qū)C:NTFS 分區(qū)分區(qū)E:NTFS 分區(qū)分區(qū)D:移動移動復制復制復制復制或或移動移動將文件移動或復制到目的地的用戶，會成為該文件的所有者。將文件移動或復制到目的地的用戶，會成為該文件的所有者。如果將文件從如果將文件從ntfs磁盤移動或復制到磁盤移動或復制到FAT磁盤內，

21、那么其原有的磁盤內，那么其原有的權限設置都將被刪除。權限設置都將被刪除。要對文件或文件夾移動時，必須對來源文件或文件夾具有要對文件或文件夾移動時，必須對來源文件或文件夾具有“修改修改的權限，同時還必須對目的文件夾具有的權限，同時還必須對目的文件夾具有“寫入的權限。寫入的權限。4、設置文件壓縮：、設置文件壓縮：文件、文件夾的壓縮可以減少它們占用磁盤的空間。文件、文件夾的壓縮可以減少它們占用磁盤的空間。系統(tǒng)默認會將被壓縮的磁盤、文件夾、文件以不同系統(tǒng)默認會將被壓縮的磁盤、文件夾、文件以不同的顏色進行顯示。可通過的顏色進行顯示?？赏ㄟ^“文件夾選項中查看來文件夾選項中查看來修改。修改。如果將文件從不同

22、的如果將文件從不同的NTFS驅動器移動到已壓縮的文件驅動器移動到已壓縮的文件夾中，文件也將被壓縮。夾中，文件也將被壓縮。如果將文件從同一個如果將文件從同一個NTFS驅動器移動到已壓縮的文件驅動器移動到已壓縮的文件夾中，那么文件將保存原始狀態(tài)。夾中，那么文件將保存原始狀態(tài)。5、設置磁盤配額：、設置磁盤配額：用戶可以利用磁盤配額的功能控制和跟蹤每個用戶可用的磁盤空間。用戶可以利用磁盤配額的功能控制和跟蹤每個用戶可用的磁盤空間。磁盤配額時以文件與文件夾的所有權進行計算的。磁盤配額時以文件與文件夾的所有權進行計算的。磁盤配額的計算不考慮文件壓縮的因素。磁盤配額的計算不考慮文件壓縮的因素。每個每個NTF

23、S 磁盤分區(qū)的磁盤配額是獨立計算的，不管幾個磁盤分區(qū)的磁盤配額是獨立計算的，不管幾個NTFS磁磁盤分區(qū)是否在同一個硬盤內。盤分區(qū)是否在同一個硬盤內。系統(tǒng)管理員不會受到磁盤配額的限制。系統(tǒng)管理員不會受到磁盤配額的限制。通過磁盤配額的限制，可以防止用戶不小心將大量的文件復制到效通過磁盤配額的限制，可以防止用戶不小心將大量的文件復制到效勞器的硬盤內，造成效勞器運行效率降低的后果。勞器的硬盤內，造成效勞器運行效率降低的后果。1設置設置右擊要啟用磁盤配額的磁盤，選擇屬性中的配額。右擊要啟用磁盤配額的磁盤，選擇屬性中的配額。注意如果驅動器不是用注意如果驅動器不是用NTFS文件系統(tǒng)格式化的，或文件系統(tǒng)格式化

24、的，或者你不是者你不是Administrators組的成員，那么驅動器的屬組的成員，那么驅動器的屬性對話框中不顯示配額選項卡。性對話框中不顯示配額選項卡?！熬芙^將磁盤空間給超過配額限制的用戶：選種此復選拒絕將磁盤空間給超過配額限制的用戶：選種此復選框后，超過起配額限制的用戶將收到來自框后，超過起配額限制的用戶將收到來自windows的的“磁盤空間缺乏信息。并且在沒有從中刪除和移動一些磁盤空間缺乏信息。并且在沒有從中刪除和移動一些現(xiàn)存文件的情況下，無法將額外的數(shù)據(jù)寫入卷中?，F(xiàn)存文件的情況下，無法將額外的數(shù)據(jù)寫入卷中?？蛇x擇該卷的配額記錄選項，用來設置將以下事件記錄到可選擇該卷的配額記錄選項，用來設置將以下事件記錄到系統(tǒng)日志內：系統(tǒng)日志內：用戶超出配額限制時記錄事件。用戶超出配額限制時記錄事件。用戶超過警告等級時記錄事件。用戶超過警告等級時記錄事件?？赏ㄟ^，開始可通過，開始-管理工具管理工具-事件查看器事件查看器-系統(tǒng)系統(tǒng)-雙擊來源為雙擊來源為“nt