NTFS權(quán)限應(yīng)用第五章 內(nèi)容回顧活動(dòng)目錄概述實(shí)現(xiàn)活動(dòng)目錄安裝活動(dòng)目錄創(chuàng)建OU域模式域用戶帳戶管理組管理組的分類組的作用域本章目標(biāo)理解文件及文件夾權(quán)限的概念掌握NTFS分區(qū)下ACL（訪問控制列表）的配置方法掌握NTFS權(quán)限的應(yīng)用規(guī)則掌握NTFS分區(qū)下的磁盤配額功能掌握NTFS分區(qū)下的壓縮和加密NTFS概述可以設(shè)置權(quán)限更好的伸縮性使擴(kuò)展為大驅(qū)動(dòng)器成為可能。壓縮功能。文件加密，它極大地增強(qiáng)了安全性域控制器和ActiveDirectory需要使用NTFS磁盤配額，可用來監(jiān)視和控制單個(gè)用戶使用的磁盤空間量NTFS概述注釋：╳代表不支持∨代表支持∨╳代表有時(shí)需要安裝微軟提供的補(bǔ)丁才能夠更好的支持。獲得NTFS文件系統(tǒng)格式化磁盤，在格式化時(shí)選擇NTFS文件系統(tǒng)。

將FAT文件系統(tǒng)轉(zhuǎn)換為NTFS文件系統(tǒng):

convert[盤符]

/fs:ntfs使用第三方軟件轉(zhuǎn)換，如分區(qū)大師軟件等。文件夾的NTFS權(quán)限完全控制：對文件或文件夾可執(zhí)行所有操作。擁有所有NTFS權(quán)限，可以修改權(quán)限和取得文件夾的所有權(quán)。修改：可以修改、重命名、刪除文件或者文件夾。且具有“讀取和運(yùn)行”+“寫入”權(quán)限。讀取和運(yùn)行；可以讀取文件或文件夾的內(nèi)容，并且可以執(zhí)行應(yīng)用程序。且具有“讀取”權(quán)限。列出文件夾目錄：可以列出文件夾的內(nèi)容。此權(quán)限只針對文件夾存在。讀?。嚎勺x取文件或文件夾的內(nèi)容，顯示文件或文件夾的屬性、所有者和權(quán)限分配情況。寫入：可以修改該文件內(nèi)文件的數(shù)據(jù)、覆蓋文件和子文件夾、改變其屬性；在文件夾中建立文件和子文件夾；不可以刪除和重命名。特別的權(quán)限：其他不常用的權(quán)限，如刪除權(quán)限、更改權(quán)限的權(quán)限等等。文件夾權(quán)限列表文件的NTFS權(quán)限文件權(quán)限列表完全控制：對文件可執(zhí)行所有操作。擁有所有NTFS權(quán)限，可以修改權(quán)限和取得文件的所有權(quán)。修改：可以修改、重命名、刪除文件，同時(shí)擁有“寫入”+“讀取和運(yùn)行”的權(quán)限。讀取和運(yùn)行；可以讀取文件內(nèi)容，并且可以執(zhí)行應(yīng)用程序。讀?。鹤x取文件內(nèi)容；顯示文件的屬性、所有者和權(quán)限分配情況。寫入：可以修改文件數(shù)據(jù)、覆蓋文件,改變其屬性。不可以刪除和重命名。特別的權(quán)限：其他不常用的權(quán)限，如刪除權(quán)限、更改權(quán)限的權(quán)限等等。文件的NTFS權(quán)限Administrators：內(nèi)置管理員組，對所有子文件夾和文件都具有完全控制權(quán)限。SYSTEM：此賬戶是代表操作系統(tǒng)本身，默認(rèn)權(quán)限是完全控制。Users：此組代表Server2003計(jì)算機(jī)上所有的用戶，默認(rèn)權(quán)限是讀取和運(yùn)行/特殊權(quán)限。用戶列表特殊權(quán)限和文件或文件夾數(shù)據(jù)本身沒有關(guān)系的權(quán)限。讀取權(quán)限更改權(quán)限取得所有權(quán)特殊權(quán)限取得文件或文件夾的所有權(quán)對于其他用戶建立的文件夾，如果拒絕管理員管理，可以取得其所有權(quán)，然后再進(jìn)行管理。位置在安全選項(xiàng)卡中的高級里的所有者選項(xiàng)卡中。沒有修改權(quán)限的文件夾取得所有權(quán)后的文件夾WIN2000/WIN2003NTFS分區(qū)上的文件/文件夾都有其所有者。默認(rèn)為其創(chuàng)建者。所有者具有“更改權(quán)限”的權(quán)限。權(quán)限的組合文件權(quán)限可以大于文件夾權(quán)限用戶的有效權(quán)限是用戶所屬各個(gè)組權(quán)限的總和：最大權(quán)限原則（權(quán)限累加特點(diǎn)）如USER屬于A（讀權(quán)限）、B（寫權(quán)限）兩個(gè)組，那么USER具有讀寫權(quán)限。如果所屬的組有一個(gè)被拒絕，此用戶也會(huì)被拒絕：“拒絕”權(quán)限超越其他所有權(quán)限（一票否決）如USER屬于A（讀寫權(quán)限）、B（拒絕權(quán)限）兩個(gè)組，那么USER將被拒絕。NTFS授予權(quán)限的原則最大權(quán)限原則（權(quán)限累加特點(diǎn)）

用戶對某個(gè)資源的有效權(quán)限是其所有權(quán)限來源的總和。例如：某個(gè)用戶同時(shí)屬于組1、組2、組3，則用戶的權(quán)限=組1+組2+組3文件權(quán)限超越文件夾權(quán)限

文件的權(quán)限可以大于文件夾的權(quán)限“拒絕”權(quán)限超越其他所有權(quán)限（一票否決）某個(gè)用戶同時(shí)屬于組1、組2、組3，如果其中某個(gè)組的權(quán)限是拒絕，則用戶的權(quán)限=“拒絕”權(quán)限的繼承性如果沒有對文件夾下的文件賦予權(quán)限，則文件具備自動(dòng)繼承上級文件夾的權(quán)限的特點(diǎn)權(quán)限的繼承如果沒有對文件夾下的文件賦予權(quán)限，新建的的子文件夾和文件會(huì)繼承上一級目錄的權(quán)限根目錄下的文件夾或文件繼承驅(qū)動(dòng)器的權(quán)限灰色為繼承權(quán)限繼承于權(quán)限的繼承可以拒絕繼承上級權(quán)限可以強(qiáng)制向下繼承權(quán)限從上繼承向下繼承權(quán)限的拒絕拒絕用戶用戶將不能訪問拒絕組組里的所有成員都不能訪問移動(dòng)和復(fù)制操作對權(quán)限的影響復(fù)制文件和文件夾時(shí)，繼承目的地文件夾的權(quán)限設(shè)置在同一分區(qū)移動(dòng)文件或文件夾時(shí)，權(quán)限不變在不同分區(qū)移動(dòng)文件或文件夾時(shí)，繼承目的文件夾的權(quán)限設(shè)置NTFS分區(qū)C:\NTFS分區(qū)E:\NTFS分區(qū)D:\移動(dòng)復(fù)制復(fù)制或移動(dòng)文件及文件夾的加密利用“加密文件系統(tǒng)（EFS）”提供文件加密功能經(jīng)過加密的文件或文件夾只有加密用戶或經(jīng)過授權(quán)的用戶才能讀取。只有NTFS卷上的文件或文件夾才能被加密如果將加密的文件復(fù)制或移動(dòng)到非NTFS格式的文件系統(tǒng)上，該文件將會(huì)被解密。新文件移入加密文件夾自動(dòng)加密加密文件夾或文件不能防止刪除或列出文件和目錄。顏色區(qū)分:綠色加密屬性用戶讀取加密的數(shù)據(jù)時(shí)，是將該數(shù)據(jù)提交到內(nèi)存中解密，原始數(shù)據(jù)仍處于加密狀態(tài)；用戶將文件寫入磁盤時(shí)，也自動(dòng)加密再寫入；利用EFS加密的文件，只有存儲(chǔ)在在硬盤內(nèi)才會(huì)被加密，通過網(wǎng)絡(luò)發(fā)送時(shí)是不加密的；加密、壓縮不能夠同時(shí)使用；加密后自己可任意復(fù)制移動(dòng)（對用戶透明）其它人無法復(fù)制/移動(dòng)加密文件夾內(nèi)的文件和子文件夾但可刪除、重命名更無法解密，出“忽略、全部忽略、重試、取消”錯(cuò)誤提示授權(quán)讀加密文件經(jīng)過加密的文件只有加密者可以讀取或者是被授權(quán)者授權(quán)方法：由擊已加密文件---“屬性”----“高級”---“詳細(xì)信息”---“添加”如下圖：磁盤配額Win2003利用磁盤配額功能跟蹤和控制用戶使用磁盤空間的情況。NTFS5.0才支持該功能，NTFS4.0不支持；只能針對單一用戶,而不能針對組；只能針對單一分區(qū),而不能針對一塊磁(硬)盤或一臺(tái)計(jì)算機(jī)設(shè)置用戶磁盤配額；磁盤配額根據(jù)所有權(quán)計(jì)算用戶使用空間；計(jì)算用戶使用空間時(shí),不考慮數(shù)據(jù)加密因素每個(gè)NTFS分區(qū)的磁盤配額獨(dú)立計(jì)算，不論多個(gè)NTFS分區(qū)是否在同一硬盤內(nèi)；管理員不受其限制。

設(shè)置警告閥值，默認(rèn)1KB用戶超過限額時(shí)，可設(shè)為：強(qiáng)制應(yīng)用限額，拒絕繼續(xù)訪問或不選：允許繼續(xù)使用設(shè)置磁盤限額針對個(gè)別用戶配額—配額項(xiàng)配額—新建配額項(xiàng)可設(shè)為“無限制”只能針對逐個(gè)用戶來設(shè)，不能針對組為上面“針對所有用戶”配額的特例若要?jiǎng)h除某一配額項(xiàng)，之前必須必須將用戶擁有的所有文件移走或其它人取得所有權(quán)文件及文件夾的壓縮NTFS文件系統(tǒng)中的文件和文件夾都具有壓縮屬性，也可對整個(gè)磁盤進(jìn)行壓縮；壓縮文件可以節(jié)約磁盤空間；壓縮和加密只能選擇一項(xiàng)；用顏色來區(qū)分壓縮的文件（夾），藍(lán)色；磁盤配額的使用空間結(jié)算時(shí)不考慮壓縮因素。壓縮屬性壓縮文件和文件夾文件（夾）—屬性—高級—壓縮壓縮后在屬性中顯示的仍是原大小改變顯示顏色資源管理器——工具—文件選項(xiàng)—查看—用彩色顯示加密或壓縮的NTFS文件復(fù)制、移動(dòng)操作對壓縮的影響將壓縮的文件或文件夾移動(dòng)至另一文件夾，同分區(qū)移動(dòng)后文件仍保持壓縮狀態(tài),否則遵從目標(biāo)文件夾的壓縮狀態(tài)?？截愇募搅硪晃募A時(shí)，文件將遵從目標(biāo)文件夾的壓縮屬性。如果將壓縮文件復(fù)制到FAT文件系統(tǒng)上時(shí)，都會(huì)自動(dòng)解壓。本章總結(jié)NTFS文件系統(tǒng)的優(yōu)點(diǎn)：權(quán)限控制、壓縮、加密。NTFS權(quán)限的工作原理，通過訪問控制列表和訪問控制項(xiàng)工作。NTFS權(quán)限中的常用權(quán)限，完全控制、修改、讀取和運(yùn)行、列出文件夾目錄、讀取、寫入、特別權(quán)限。文件夾比文件多一個(gè)列出文件夾目錄權(quán)限。本章總結(jié)文件的NTFS權(quán)限優(yōu)先級高于文件夾的權(quán)限。NTFS的權(quán)限具有繼承性，即使沒有做任何設(shè)置，子文件夾和文件也會(huì)繼承父級別的權(quán)限。NTFS權(quán)限具有累加性，當(dāng)用戶屬于多個(gè)組時(shí)，它的有效權(quán)限是所有組權(quán)限的總和，但拒絕權(quán)限會(huì)高于其他所有權(quán)限。本章總結(jié)移動(dòng)和復(fù)制對NTFS權(quán)限的影響，只有本地磁盤移動(dòng)時(shí)才保留NTFS權(quán)限。NTFS中的文件可以進(jìn)行加密，以保護(hù)數(shù)據(jù)的安全。NTFS中的可進(jìn)行磁盤配額，限制用戶使用磁盤的容量。NTFS中的文件可以使用壓縮功能