NTFS文件系統(tǒng)

1、ntfs,本章主要內(nèi)容,文件權(quán)限及其應(yīng)用 ntfs權(quán)限應(yīng)用原則 磁盤(pán)限額概念與設(shè)置 文件壓縮特征 加密文件系統(tǒng)工作原理 數(shù)據(jù)恢復(fù)代理概念和設(shè)置,5.0 文件權(quán)限,一、什么是權(quán)限？ 權(quán)限是指用戶(hù)對(duì)于對(duì)象的訪問(wèn)限制。如能夠新建或刪除文件、文件夾、打印機(jī)等對(duì)象。 二、文件和文件夾的權(quán)限分幾種？ 、ntfs權(quán)限：僅在ntfs磁盤(pán)上的文件或文件夾具有此權(quán)限。ntfs權(quán)限稱(chēng)為文件與文件夾的訪問(wèn)權(quán)限。 、共享權(quán)限：只要是共享出來(lái)的文件夾(稱(chēng)為共享文件夾)就具有此權(quán)限。若該文件夾也存在ntfs磁盤(pán)上，便同時(shí)具有ntfs權(quán)限和共享權(quán)限,三、什么是文件系統(tǒng)？ 文件命名、存儲(chǔ)和組織的總體結(jié)構(gòu)。 四、windows

2、2003系統(tǒng)支持哪幾種文件系統(tǒng)？ fat、ntfs 五、fat文件系統(tǒng)文件分配表 dos、win9x、win me下的文件格式，2003下有這種文件格式主要是為了兼容。 六、ntfs文件系統(tǒng)nt file system win2000后的文件格式，安全性比較好,5.1 ntfs權(quán)限概述,2003通過(guò)ntfs權(quán)限控制用戶(hù)對(duì)文件和文件夾的訪問(wèn)，從而確保文件和文件夾的安全。通過(guò)ntfs權(quán)限可控制用戶(hù)對(duì)某個(gè)ntfs文件或文件夾所有執(zhí)行的操作，并且可以跟蹤用戶(hù)對(duì)文件所執(zhí)行的所有操作,5.1.1 ntfs權(quán)限概述,一、訪問(wèn)控制列表 兩種： dacl隨機(jī)訪問(wèn)控制列表 sacl系統(tǒng)訪問(wèn)控制列表 dacl:存儲(chǔ)

3、用戶(hù)或組對(duì)ntfs文件或文件夾擁有的相應(yīng)的ntfs權(quán)限，用來(lái)控制用戶(hù)對(duì)ntfs文件和文件夾的訪問(wèn),5.1.1 ntfs權(quán)限概述,sacl:存儲(chǔ)ntfs文件或文件夾的審計(jì)設(shè)置，用來(lái)跟蹤和記錄用戶(hù)或組對(duì)ntfs文件所執(zhí)行操作或訪問(wèn)試圖。 二、訪問(wèn)控制元素ace 每個(gè)ace存儲(chǔ)了一個(gè)對(duì)象（用戶(hù)、組、或計(jì)算機(jī)帳號(hào)）對(duì)文件所對(duì)應(yīng)的權(quán)限和審計(jì)策略,5.1.1 ntfs權(quán)限概述,三、ntfs文件和文件夾權(quán)限 ntfs文件權(quán)限: 讀?。╮ead） 寫(xiě)入（write） 讀取與執(zhí)行（read & execute） 修改（modify） 完全控制（full control,5.1.1 ntfs權(quán)限概述,ntfs文件

4、夾權(quán)限類(lèi)型 讀?。╮ead） 寫(xiě)入（write） 列出文件夾內(nèi)容（list folder contents） 讀取與執(zhí)行（read & execute） 修改（modify） 完全控制（full control,5.1.2 ntfs權(quán)限應(yīng)用原則,一、三個(gè)原則 ntfs權(quán)限是累積的 文件權(quán)限超越文件夾權(quán)限 拒絕權(quán)限超越其他權(quán)限 二、ntfs權(quán)限是累積的 用戶(hù)對(duì)文件或文件夾的有效權(quán)限，是用戶(hù)對(duì)該文件或文件夾的ntfs權(quán)限和用戶(hù)所屬組對(duì)該用戶(hù)和文件夾的ntfs權(quán)限的組合,teacher組,onebit用戶(hù),file1,讀取,修改,修改,5.1.2 ntfs權(quán)限應(yīng)用原則,三、文件權(quán)限超越文件夾權(quán)限 當(dāng)

5、一個(gè)用戶(hù)對(duì)某個(gè)文件及其父文件夾都擁有ntfs權(quán)限時(shí)，如果用戶(hù)對(duì)其父文件夾的權(quán)限小于文件的權(quán)限，那么用戶(hù)對(duì)該文件的有效權(quán)限是以文件權(quán)限為準(zhǔn),onebit用戶(hù),file1,寫(xiě),瀏覽,寫(xiě),folder,5.1.2 ntfs權(quán)限應(yīng)用原則,四、拒絕權(quán)優(yōu)先于其他權(quán)限 管理員可以根據(jù)需要拒絕指定用戶(hù)訪問(wèn)指定文件或文件夾，當(dāng)系統(tǒng)拒絕了用戶(hù)訪問(wèn)某文件或文件夾時(shí)，不管用戶(hù)所屬組對(duì)該文件或文件夾擁有什么權(quán)限，用戶(hù)都無(wú)權(quán)訪問(wèn)文件,teacher組,onebit用戶(hù),file1,拒絕寫(xiě),完全控制,拒絕寫(xiě),5.1.3 ntfs權(quán)限繼承,一、繼承可以實(shí)現(xiàn)以下功能： 創(chuàng)建子文件或文件夾后，管理員不須為子文件或文件夾授權(quán)。 確

6、保應(yīng)用與父文件夾的權(quán)限應(yīng)用到所有子文件和文件夾上 確保需要修改所有子文件和文件夾的權(quán)限時(shí)，只需要修改父文件夾的權(quán)限而不用再為子文件和文件夾單獨(dú)授權(quán),5.1.3 ntfs權(quán)限繼承,二、2003發(fā)生下列事件時(shí)，繼承自動(dòng)發(fā)生： 創(chuàng)建子文件或文件夾時(shí)，子文件和文件夾自動(dòng)繼承父文件夾的權(quán)限 修改父文件夾的權(quán)限時(shí)，子文件和文件夾自動(dòng)繼承父文件夾權(quán)限的修改,5.1.4 ntfs權(quán)限管理,系統(tǒng)自動(dòng)賦給everyone組分區(qū)根目錄完全控制的ntfs權(quán)限。管理員可以根據(jù)需要修改文件和文件夾的ntfs權(quán)限，控制用戶(hù)對(duì)ntfs文件和文件夾的訪問(wèn)。 一、修改文件或文件夾的ntfs權(quán)限 文件夾或文件-右鍵-添加,5.1.

7、4 ntfs權(quán)限管理,二、阻止或允許權(quán)限繼承 文件夾或文件-屬性-安全-高級(jí)-選擇“允許父項(xiàng)繼承權(quán)限傳播到該對(duì)象和所有子對(duì)象”。 當(dāng)阻止權(quán)限繼承時(shí)，有兩種方式： 復(fù)制-系統(tǒng)將把以前從父文件夾繼承來(lái)的所有權(quán)限保留下來(lái)，不再繼承以后為父文件夾賦予的任何ntfs權(quán)限。 刪除-把以前繼承的所有權(quán)限刪除。并不再繼承,5.1.4 ntfs權(quán)限管理,三、復(fù)制和移動(dòng)文件或文件夾時(shí)ntfs權(quán)限的變化。 不管是在分區(qū)內(nèi)或分區(qū)間復(fù)制文件或文件夾，系統(tǒng)都將目標(biāo)文件作為新文件對(duì)待，文件將繼承目的地文件夾的權(quán)限,5.1.5 特殊ntfs權(quán)限應(yīng)用,5.1.5 特殊ntfs權(quán)限應(yīng)用,一更改權(quán)限 在標(biāo)準(zhǔn)ntfs權(quán)限中，只有“完

8、全控制”權(quán)限才可以賦予用戶(hù)更改文件或文件夾ntfs，但“完全控制”權(quán)限同時(shí)有刪除文件夾或文件的權(quán)限。 如果要賦予其他用戶(hù)更改文件或文件夾權(quán)限的權(quán)限，而不能刪除或?qū)懳募约拔募A，就要用到更改權(quán)限功能,5.1.5 特殊ntfs權(quán)限應(yīng)用,二獲取所有權(quán) 對(duì)象的所有者擁有一項(xiàng)特殊的權(quán)限能夠指派權(quán)限。 系統(tǒng)默認(rèn)情況下，創(chuàng)建文件和文件夾的用戶(hù)是該文件或文件夾的“所有者”，擁有“所有權(quán)”。 所有權(quán)可以用以下方式轉(zhuǎn)換： 當(dāng)前所有者可以將“取得所有權(quán)”權(quán)限授予另一用戶(hù)，這將允許該用戶(hù)在任何時(shí)候取得所有權(quán)。該用戶(hù)必須實(shí)際取得所有權(quán)才能完成所有權(quán)的轉(zhuǎn)移。 管理員可以取得所有權(quán),5.1.5 特殊ntfs權(quán)限應(yīng)用,5.

9、2 ntfs磁盤(pán)限額,此功能可以控制用戶(hù)對(duì)磁盤(pán)驅(qū)動(dòng)空間的使用，在實(shí)際應(yīng)用中可能需要開(kāi)放磁盤(pán)的寫(xiě)權(quán)限給用戶(hù)。 管理員通過(guò)磁盤(pán)空間限額功能可有效為各用戶(hù)分配磁盤(pán)空間,5.2.1 磁盤(pán)限額概述,功能特點(diǎn) 磁盤(pán)限額基于ntfs分區(qū)實(shí)現(xiàn) （限制到某個(gè)驅(qū)動(dòng)器） 磁盤(pán)空間使用是基于限額限制的（跟實(shí)際分區(qū)大小無(wú)關(guān)） 磁盤(pán)空間限額空間使用根據(jù)文件所有權(quán)計(jì)量（用戶(hù)） 磁盤(pán)限額空間的計(jì)算忽略ntfs文件壓縮 administrator不受磁盤(pán)限額限制,5.2.2 設(shè)置磁盤(pán)限額,管理員可以根據(jù)ntfs文件系統(tǒng)提供的磁盤(pán)限額功能限制用戶(hù)在磁盤(pán)驅(qū)動(dòng)器上使用的最大磁盤(pán)空間。 一、啟用配置限額功能 我的電腦-資源管理器-右擊

10、磁盤(pán)屬性-配額標(biāo)簽-啟用配額管理。 二、利用磁盤(pán)配額項(xiàng) 限制大小、警告事件,5.3 ntfs壓縮,ntfs文件系統(tǒng)支持文件壓縮功能以節(jié)省磁盤(pán)空間的使用。ntfs文件系統(tǒng)的文件壓縮作為文件的一種屬性，工作在系統(tǒng)后臺(tái)，對(duì)用戶(hù)完全透明。 當(dāng)用戶(hù)打開(kāi)文件時(shí)，系統(tǒng)自動(dòng)解壓文件；當(dāng)用戶(hù)保存文件時(shí)，系統(tǒng)自動(dòng)壓縮文件，不需要用戶(hù)額外操作。 為便于壓縮文件的管理，2003支持用不同的顏色顯示壓縮文件的功能,5.3.1 ntfs文件壓縮概述,特點(diǎn)： 后臺(tái)工作對(duì)用戶(hù)完全透明 磁盤(pán)空間分配按照未壓縮格式空間分配 利用不用顏色顯示壓縮文件,5.3.1 ntfs文件壓縮概述,后臺(tái)工作對(duì)用戶(hù)完全透明 - 用戶(hù)通過(guò)應(yīng)用程序訪

11、問(wèn)2003中的ntfs壓縮文件時(shí)，系統(tǒng)會(huì)自動(dòng)壓縮文件，其訪問(wèn)方式跟訪問(wèn)其他未壓縮的文件完全相同；當(dāng)用戶(hù)保存某個(gè)壓縮文件時(shí)，系統(tǒng)會(huì)自動(dòng)壓縮該文件，而不需要用戶(hù)做任何手工交互操作,5.3.2 壓縮ntfs文件,復(fù)制和移動(dòng)ntfs文件時(shí)其壓縮屬性的變化： -作為新文件對(duì)待，繼承目的地文件夾的壓縮屬性,5.4 加密文件系統(tǒng),efs-加密文件系統(tǒng)，提供一種核心文件加密技術(shù)，efs僅能用戶(hù)ntfs分區(qū)上的文件和文件夾加密。 ets加密類(lèi)似于ntfs權(quán)限可以控制用戶(hù)對(duì)文件數(shù)據(jù)的訪問(wèn)，但ets只允許授權(quán)用戶(hù)讀取文件內(nèi)容，未經(jīng)授權(quán)的用戶(hù)無(wú)法訪問(wèn)文件，即使用戶(hù)有完全控制的ntfs權(quán)限也不能打開(kāi)文件，讀取文件內(nèi)容,

12、5.4.1 加密文件系統(tǒng)概述,2003操作系統(tǒng)的加密文件系統(tǒng)提供了一種針對(duì)ntfs文件和文件夾的核心加密技術(shù)，用以保護(hù)文件內(nèi)容的安全。加密文件系統(tǒng)在系統(tǒng)后臺(tái)工作對(duì)用戶(hù)完全透明，用戶(hù)通過(guò)應(yīng)用程序訪問(wèn)文件時(shí)，系統(tǒng)自動(dòng)解密文件；用戶(hù)保存文件時(shí)，系統(tǒng)自動(dòng)加密文件，不需用戶(hù)手工交互操作。 加密文件系統(tǒng)將文件加密作為文件屬性保存，通過(guò)修改文件屬性對(duì)文件和文件夾進(jìn)行加密和解密。加密一個(gè)文件夾時(shí)，文件夾內(nèi)所有子文件和子文件夾都自動(dòng)加密。 管理員也可采用cipher命令加密和解密文件,5.4.1 加密文件系統(tǒng)概述,只能加密ntfs分區(qū)上的文件和文件夾。 不能加密fat、fat32分區(qū)上的文件。 加密和壓縮互斥不

13、能加密壓縮文件 加密和壓縮互斥，不能加密壓縮文件 僅授權(quán)用戶(hù)可訪問(wèn)加密文件 內(nèi)置數(shù)據(jù)恢復(fù)代理功能 默認(rèn)情況下，本地管理員帳號(hào)是數(shù)據(jù)恢復(fù)代理，他可以解密系統(tǒng)中的加密文件，以防數(shù)據(jù)丟失。 不能加密系統(tǒng)文件 復(fù)制和移動(dòng)加密文件時(shí)其加密屬性的變化,5.4.2 加密和解密文件,加密文件系統(tǒng)和ntfs文件系統(tǒng)集成在一起，完全作為文件屬性保存，易于管理，難以被攻擊，對(duì)用戶(hù)完全透明。 文件加密和解密過(guò)程,file,user,1)request:encrypt,system,2) create cipher,3) encrypt and put the result to the ddf,file,user,1)request:access,system,2) get the key,3) decode,5.4.3 設(shè)置數(shù)據(jù)恢復(fù)代理,對(duì)于本地機(jī)：指定用戶(hù)帳號(hào)為數(shù)據(jù)恢復(fù)代理 對(duì)于網(wǎng)絡(luò)：在域中、組織單元、或單獨(dú)計(jì)算機(jī)級(jí)別上配置故障恢復(fù)策略，并將其應(yīng)用到所有操作系統(tǒng)上。 如何添加： -開(kāi)始-