《NTFS文件系统.ppt》由会员分享,可在线阅读,更多相关《NTFS文件系统.ppt(36页珍藏版)》请在三一文库上搜索。
1、NTFS,本章主要内容:,文件权限及其应用 NTFS权限应用原则 磁盘限额概念与设置 文件压缩特征 加密文件系统工作原理 数据恢复代理概念和设置,5.0 文件权限,一、什么是权限? 权限是指用户对于对象的访问限制。如能够新建或删除文件、文件夹、打印机等对象。 二、文件和文件夹的权限分几种? 、NTFS权限:仅在NTFS磁盘上的文件或文件夹具有此权限。NTFS权限称为文件与文件夹的访问权限。 、共享权限:只要是共享出来的文件夹(称为共享文件夹)就具有此权限。若该文件夹也存在NTFS磁盘上,便同时具有NTFS权限和共享权限。,三、什么是文件系统? 文件命名、存储和组织的总体结构。 四、window
2、s 2003系统支持哪几种文件系统? FAT、NTFS 五、FAT文件系统文件分配表 DOS、WIN9X、WIN ME下的文件格式,2003下有这种文件格式主要是为了兼容。 六、NTFS文件系统NT FILE SYSTEM WIN2000后的文件格式,安全性比较好。,5.1 NTFS权限概述,2003通过NTFS权限控制用户对文件和文件夹的访问,从而确保文件和文件夹的安全。通过NTFS权限可控制用户对某个NTFS文件或文件夹所有执行的操作,并且可以跟踪用户对文件所执行的所有操作。,5.1.1 NTFS权限概述,一、访问控制列表 两种: DACL随机访问控制列表 SACL系统访问控制列表 DAC
3、L:存储用户或组对NTFS文件或文件夹拥有的相应的NTFS权限,用来控制用户对NTFS文件和文件夹的访问。,5.1.1 NTFS权限概述,SACL:存储NTFS文件或文件夹的审计设置,用来跟踪和记录用户或组对NTFS文件所执行操作或访问试图。 二、访问控制元素ACE 每个ACE存储了一个对象(用户、组、或计算机帐号)对文件所对应的权限和审计策略。,5.1.1 NTFS权限概述,三、NTFS文件和文件夹权限 NTFS文件权限: 读取(Read) 写入(Write) 读取与执行(Read & Execute) 修改(Modify) 完全控制(Full Control),5.1.1 NTFS权限概述
4、,NTFS文件夹权限类型 读取(Read) 写入(Write) 列出文件夹内容(List Folder Contents) 读取与执行(Read & Execute) 修改(Modify) 完全控制(Full Control,5.1.2 NTFS权限应用原则,一、三个原则 NTFS权限是累积的 文件权限超越文件夹权限 拒绝权限超越其他权限 二、NTFS权限是累积的 用户对文件或文件夹的有效权限,是用户对该文件或文件夹的NTFS权限和用户所属组对该用户和文件夹的NTFS权限的组合。,Teacher组,Onebit用户,FILE1,读取,修改,修改,5.1.2 NTFS权限应用原则,三、文件权限超
5、越文件夹权限 当一个用户对某个文件及其父文件夹都拥有NTFS权限时,如果用户对其父文件夹的权限小于文件的权限,那么用户对该文件的有效权限是以文件权限为准,Onebit用户,FILE1,写,浏览,写,Folder,5.1.2 NTFS权限应用原则,四、拒绝权优先于其他权限 管理员可以根据需要拒绝指定用户访问指定文件或文件夹,当系统拒绝了用户访问某文件或文件夹时,不管用户所属组对该文件或文件夹拥有什么权限,用户都无权访问文件。,Teacher组,Onebit用户,FILE1,拒绝写,完全控制,拒绝写,5.1.3 NTFS权限继承,一、继承可以实现以下功能: 创建子文件或文件夹后,管理员不须为子文件
6、或文件夹授权。 确保应用与父文件夹的权限应用到所有子文件和文件夹上 确保需要修改所有子文件和文件夹的权限时,只需要修改父文件夹的权限而不用再为子文件和文件夹单独授权。,5.1.3 NTFS权限继承,二、2003发生下列事件时,继承自动发生: 创建子文件或文件夹时,子文件和文件夹自动继承父文件夹的权限 修改父文件夹的权限时,子文件和文件夹自动继承父文件夹权限的修改。,5.1.4 NTFS权限管理,系统自动赋给EVERYONE组分区根目录完全控制的NTFS权限。管理员可以根据需要修改文件和文件夹的NTFS权限,控制用户对NTFS文件和文件夹的访问。 一、修改文件或文件夹的NTFS权限 文件夹或文件
7、-右键-添加,5.1.4 NTFS权限管理,二、阻止或允许权限继承 文件夹或文件-属性-安全-高级-选择“允许父项继承权限传播到该对象和所有子对象”。 当阻止权限继承时,有两种方式: 复制-系统将把以前从父文件夹继承来的所有权限保留下来,不再继承以后为父文件夹赋予的任何NTFS权限。 删除-把以前继承的所有权限删除。并不再继承。,5.1.4 NTFS权限管理,三、复制和移动文件或文件夹时NTFS权限的变化。 不管是在分区内或分区间复制文件或文件夹,系统都将目标文件作为新文件对待,文件将继承目的地文件夹的权限。,5.1.5 特殊NTFS权限应用,5.1.5 特殊NTFS权限应用,一更改权限 在标
8、准NTFS权限中,只有“完全控制”权限才可以赋予用户更改文件或文件夹NTFS,但“完全控制”权限同时有删除文件夹或文件的权限。 如果要赋予其他用户更改文件或文件夹权限的权限,而不能删除或写文件以及文件夹,就要用到更改权限功能。,5.1.5 特殊NTFS权限应用,二获取所有权 对象的所有者拥有一项特殊的权限能够指派权限。 系统默认情况下,创建文件和文件夹的用户是该文件或文件夹的“所有者”,拥有“所有权”。 所有权可以用以下方式转换: 当前所有者可以将“取得所有权”权限授予另一用户,这将允许该用户在任何时候取得所有权。该用户必须实际取得所有权才能完成所有权的转移。 管理员可以取得所有权。,5.1.
9、5 特殊NTFS权限应用,5.2 NTFS磁盘限额,此功能可以控制用户对磁盘驱动空间的使用,在实际应用中可能需要开放磁盘的写权限给用户。 管理员通过磁盘空间限额功能可有效为各用户分配磁盘空间。,5.2.1 磁盘限额概述,功能特点 磁盘限额基于NTFS分区实现 (限制到某个驱动器) 磁盘空间使用是基于限额限制的(跟实际分区大小无关) 磁盘空间限额空间使用根据文件所有权计量(用户) 磁盘限额空间的计算忽略NTFS文件压缩 ADMINISTRATOR不受磁盘限额限制,5.2.2 设置磁盘限额,管理员可以根据NTFS文件系统提供的磁盘限额功能限制用户在磁盘驱动器上使用的最大磁盘空间。 一、启用配置限额
10、功能 我的电脑-资源管理器-右击磁盘属性-配额标签-启用配额管理。 二、利用磁盘配额项 限制大小、警告事件,5.3 NTFS压缩,NTFS文件系统支持文件压缩功能以节省磁盘空间的使用。NTFS文件系统的文件压缩作为文件的一种属性,工作在系统后台,对用户完全透明。 当用户打开文件时,系统自动解压文件;当用户保存文件时,系统自动压缩文件,不需要用户额外操作。 为便于压缩文件的管理,2003支持用不同的颜色显示压缩文件的功能。,5.3.1 NTFS文件压缩概述,特点: 后台工作对用户完全透明 磁盘空间分配按照未压缩格式空间分配 利用不用颜色显示压缩文件,5.3.1 NTFS文件压缩概述,后台工作对用
11、户完全透明 - 用户通过应用程序访问2003中的NTFS压缩文件时,系统会自动压缩文件,其访问方式跟访问其他未压缩的文件完全相同;当用户保存某个压缩文件时,系统会自动压缩该文件,而不需要用户做任何手工交互操作。,5.3.2 压缩NTFS文件,复制和移动NTFS文件时其压缩属性的变化: -作为新文件对待,继承目的地文件夹的压缩属性。,5.4 加密文件系统,EFS-加密文件系统,提供一种核心文件加密技术,EFS仅能用户NTFS分区上的文件和文件夹加密。 ETS加密类似于NTFS权限可以控制用户对文件数据的访问,但ETS只允许授权用户读取文件内容,未经授权的用户无法访问文件,即使用户有完全控制的NT
12、FS权限也不能打开文件,读取文件内容。,5.4.1 加密文件系统概述,2003操作系统的加密文件系统提供了一种针对NTFS文件和文件夹的核心加密技术,用以保护文件内容的安全。加密文件系统在系统后台工作对用户完全透明,用户通过应用程序访问文件时,系统自动解密文件;用户保存文件时,系统自动加密文件,不需用户手工交互操作。 加密文件系统将文件加密作为文件属性保存,通过修改文件属性对文件和文件夹进行加密和解密。加密一个文件夹时,文件夹内所有子文件和子文件夹都自动加密。 管理员也可采用Cipher命令加密和解密文件。,5.4.1 加密文件系统概述,只能加密NTFS分区上的文件和文件夹。 不能加密FAT、
13、FAT32分区上的文件。 加密和压缩互斥不能加密压缩文件 加密和压缩互斥,不能加密压缩文件 仅授权用户可访问加密文件 内置数据恢复代理功能 默认情况下,本地管理员帐号是数据恢复代理,他可以解密系统中的加密文件,以防数据丢失。 不能加密系统文件 复制和移动加密文件时其加密属性的变化,5.4.2 加密和解密文件,加密文件系统和NTFS文件系统集成在一起,完全作为文件属性保存,易于管理,难以被攻击,对用户完全透明。 文件加密和解密过程:,file,User,(1)request:encrypt,system,(2) Create cipher,(3) Encrypt and put the resu
14、lt to the DDF,file,User,(1)request:access,system,(2) Get the key,(3) decode,5.4.3 设置数据恢复代理,对于本地机:指定用户帐号为数据恢复代理 对于网络:在域中、组织单元、或单独计算机级别上配置故障恢复策略,并将其应用到所有操作系统上。 如何添加: -开始-管理工具-本地安全策略-公钥策略-右击“加密文件系统”-添加数据恢复代理程序-浏览目录,作业1:-上机任务 (交实验报告),环境:系统两个用户A、B 问题一:如何让文件夹USERA只能让用户A读取,而不让用户B读取? 问题二:如何在用户B对文件USERA有完全权限的情况下,文件夹USERA里的文件无法被B读取? 问题三:如何让用户USERA使用的磁盘空间不超过1000K? 问题四:如何在一定的磁盘空间下,容纳尽可能多的文件?,