實驗7

文件系統(tǒng)

7.1優(yōu)化WindowsXP磁盤子系統(tǒng)

7.1.1選擇文件系統(tǒng)

文件系統(tǒng)決定了操作系統(tǒng)能夠?qū)Υ疟P進(jìn)行的處理。WindowsXP支持的文件系統(tǒng)

主要有：

1）文件分配表（FileAllocationTable,FAT）文件系統(tǒng)（FAT16）。

2）保護(hù)模式FAT文件系統(tǒng)（FAT32）.

3）WindowsNT文件系統(tǒng)（NTFS）。

FAT文件系統(tǒng)是早期文件系統(tǒng)之一，也是MS-DOS使用的原始文件系統(tǒng)。它將

文件信息儲存在位于卷標(biāo)開頭處的文件分配表中，并保存兩份文件分配表，以防其

中的一個遭到破壞，見圖7.1所示。

FAT文件系統(tǒng)最大的優(yōu)點是MS-DOS、Windows9x甚至OS/2都能訪問FAT卷

標(biāo)；而其最大的弱點是隨著FAT卷標(biāo)尺寸的增長，最小的簇尺寸也隨之增長。對于

大于512MB的硬盤而言，最小的簇尺寸為16KB：對于大于2GB的硬盤，最小的簇

尺寸為64KB。這就導(dǎo)致磁盤空間的極大浪費，因為一個文件必須占用整數(shù)個簇。因

此，1KB的文件在2GB的硬盤上將占用64KB的磁盤空間。FAT文件系統(tǒng)不支持尺

寸大于4GB的卷標(biāo)。

FAT32文件系統(tǒng)通過提供長文件名的支持來擴(kuò)展FAT文件系統(tǒng)，并與FAT16兼

容。FAT（16和32）文件系統(tǒng)是支持可移動媒體（例如軟盤）上的惟一的文件系統(tǒng)。

182操作系統(tǒng)原理實驗（第二版）

圖7.1FAT文件系統(tǒng)的結(jié)構(gòu)

WindowsNT文件系統(tǒng)（NTFS）包括了FAT文件系統(tǒng)的所有功能，同時又提供了

對高級文件系統(tǒng)特征（例如安全模式、壓縮和加密）的支持。它是為在大磁盤上有效

地完成文件操作而設(shè)計的。與FAT和保護(hù)模式FAT文件系統(tǒng)不同，它的最小簇尺寸

不超過4KB。但是，NTFS卷標(biāo)只能為WindowsNT及其以上版本的操作系統(tǒng)所訪問。

WindowsXP提供的新特征（NTFS5.0）使文件系統(tǒng)更安全、更可靠，比以往的

Windows版本更好地支持分布式計算。

此外，WindowsXP支持的文件系統(tǒng)還有：

CDFS：（CompactDiscFileSystem,光盤文件系統(tǒng)）用于光盤的文件存儲。

UDF：（UniversalDiskFormat,通用磁盤格式）用于DVD的文件存儲。

在文件系統(tǒng)中，F(xiàn)AT16、FAT32和NTFS這三個文件系統(tǒng)對磁盤子系統(tǒng)的性能影

響最大。而事實上，選擇NTFS之外的任何文件系統(tǒng)都只有兩個理由，即：

1）可雙引導(dǎo)系統(tǒng)。

2）小于400MB的卷。

如果系統(tǒng)不是這兩種情況，那么NTFS就應(yīng)該是所選擇的文件系統(tǒng)，NTFS將提

供更好的性能、可靠性和安全性。

7.1.2EFS加密文件系統(tǒng)

EFS（EncryptingFileSystem）實際上是NTFS的一個特性，它提供了核心文件加

密技術(shù)，主要用來在NTFS文件系統(tǒng)卷上存儲加密文件。在加密了文件或文件夾之后，

使用加密文件和文件夾的方法與使用其他任何文件和文件夾相同。即，加密對于加

密該文件的用戶來說是透明的，這意味著不必在使用加密文件之前將其解密，可以

像平常一樣打開和更改文件。但是，如果侵入者試圖打開、復(fù)制、移動或重命名加

密的文件或文件夾，那么他將接收到一條拒絕訪問的消息。

像設(shè)置其他任何屬性（如只讀、壓縮或隱藏）一樣，可以通過設(shè)置文件夾和文件

的加密屬性來對文件夾或文件加密或解密。如果加密文件夾，那么在加密文件夾中

創(chuàng)建的所有文件和子文件夾都將加密。因此，推薦在文件夾一級上加密。

使用EFS保護(hù)文檔的安全，可以防止侵入者獲得對存儲的敏感數(shù)據(jù)的未經(jīng)授權(quán)

的物理訪問。

實驗7文件系統(tǒng)183

EFS帶來的附加安全性是以性能為代價的。當(dāng)操作系統(tǒng)對所訪問的加密文件進(jìn)

行加密或解密時，文件傳輸將增加一點延遲。

影響系統(tǒng)性能的程度將具體取決于執(zhí)行加密或解密操作的系統(tǒng)的處理能力。對

于在本地驅(qū)動器上包含加密文件的現(xiàn)代工作站來說，因為這些系統(tǒng)通常不受處理器

限制，所以影響通?？梢院雎圆挥嫛＿@種影響對處理器上的額外負(fù)載可能不到1%。

對于使用低端處理器的早期工作站來說，這種額外負(fù)載可能大約有處理器時間的

10%。

對于服務(wù)器來說，負(fù)載可能會很重。在服務(wù)器上，可能同時發(fā)生許多不同的文

件訪問。如果其中許多文件都使用EFS來保護(hù)，那么處理器上的負(fù)載可能是處理器

總負(fù)載的10-25%。對于包含大量加密文件（或非常大的加密文件）的文件服務(wù)器而

言，如果額外的處理開銷會使服務(wù)器負(fù)擔(dān)過重，則應(yīng)該添加處理器或者升級現(xiàn)有的

處理器。

7.1.3壓縮

WindowsXP支持在NTFS卷上壓縮文件和目錄。因為任何應(yīng)用程序都可以讀寫

在NTFS卷上壓縮的文件而不需要首先由其他應(yīng)用程序解壓縮,所以壓縮對用戶和應(yīng)

用程序來說是完全透明的。在讀取文件時會自動解壓縮，在關(guān)閉或保存文件時再次

壓縮。

只有WindowsXPNTFS驅(qū)動程序才能讀取數(shù)據(jù)的壓縮形式。當(dāng)應(yīng)用程序或操作

系統(tǒng)命令請求訪問文件時，NTFS在使文件可用之前首先對文件解壓縮。當(dāng)文件被解

壓縮、復(fù)制，然后重新壓縮為一個新文件時，壓縮可能導(dǎo)致性能降低，即使在同一

臺計算機(jī)中復(fù)制文件也是如此。對于網(wǎng)絡(luò)傳輸，文件將被解壓縮并以完整的大小傳

輸，這會影響帶寬和速度。

7.1.4磁盤配額

WindowsXP包括了一些用于存儲管理的新技術(shù)，這些技術(shù)使管理員及最終用戶

可以獲得更好的整體數(shù)據(jù)存儲體驗。通過使用一些預(yù)防性磁盤管理原則，可以合理

安排網(wǎng)絡(luò)卷上存儲的數(shù)據(jù)量。

磁盤配額追蹤和控制卷的磁盤空間使用情況。當(dāng)網(wǎng)絡(luò)磁盤達(dá)到其容量后，磁盤

和服務(wù)器的性能將出現(xiàn)嚴(yán)重的問題。除非對最終用戶施加了磁盤限制，否則當(dāng)用戶

決定將他們的所有硬盤驅(qū)動器數(shù)據(jù)都轉(zhuǎn)儲到一個目錄中，或者他們認(rèn)為網(wǎng)絡(luò)是存儲

他們下載的mp3文件的最佳位置時，服務(wù)器磁盤可能很快就會耗盡。使用Windows

184操作系統(tǒng)原理實驗（第二版）

XP磁盤配額系統(tǒng)，管理員可以配置Windows的以下特性：

1）防止進(jìn)一步使用磁盤空間，并在用戶超出指定的磁盤空間限制時記錄一個事

件。

2）在用戶超出指定的磁盤空間警告級別時記錄事件。

在啟用磁盤配額時，可以設(shè)置兩個值：磁盤配額限制和磁盤配額警告級別。配

額限制指定允許用戶使用的磁盤空間，而警告級別指定用戶正接近其配額限制的時

刻。例如，可以將用戶的磁盤配額限制設(shè)置為50MB,將磁盤配額警告級別設(shè)置為

45MB。在這種情況下，用戶可以在卷上存儲不多于50MB的文件。如果用戶在卷上

存儲的文件超過了45MB,則可以讓磁盤配額系統(tǒng)記錄一個系統(tǒng)事件。

7.1.5練習(xí)與實驗

在本節(jié)“練習(xí)與實驗”中，通過對WindowsXP提供的文件與文件夾加密、磁盤

配額管理、創(chuàng)建緊急修復(fù)磁盤、進(jìn)行磁盤清理、執(zhí)行備份操作、使用CHKDSK維護(hù)

文件完整性和整理磁盤碎片等功能進(jìn)行操作：

1）熟悉WindowsXP的文件系統(tǒng)。

2）明確應(yīng)用NTFS文件系統(tǒng)的積極意義。

3）掌握優(yōu)化WindowsXP磁盤子系統(tǒng)的基本方法。

4）進(jìn)一步理解現(xiàn)代操作系統(tǒng)文件管理知識。

1.工具/準(zhǔn)備工作

在開始本實驗之前，請回顧教科書的相關(guān)內(nèi)容。

需要準(zhǔn)備一臺運(yùn)行WindowsXPProfessional操作系統(tǒng)的計算機(jī)。

2.實驗內(nèi)容與步驟

步驟1：閱讀課程知識，請回答：

1）WindowsXP支持哪3種主要的文件系統(tǒng)：

a._____________________________________________________________________

b._____________________________________________________________________

c._____________________________________________________________________

2）NEFS文件系統(tǒng)只能用于哪些操作系統(tǒng)環(huán)境:

實驗7文件系統(tǒng)185

步驟2:登錄進(jìn)入WindowssXPProfessional。

步驟3：加密文件或文件夾?為加密文件或文件夾，可按照以下步驟進(jìn)行：

I）在“Windows資源管理器”中，右鍵單擊想要加密的文件或文件夾，然后單

擊“屬性”命令。

2）在“常規(guī)”選項卡上，單擊“高級”按鈕。

在“高級屬性”對話框中，可以設(shè)置的文件屬性有：

3）選定“加密內(nèi)容以便保護(hù)數(shù)據(jù)”復(fù)選框。

4）單擊“確定”完成操作。

步驟4：訪問RSM服務(wù)。WindowssXP還通過一些輔助組件提供了用于額外存

儲的選項?？梢苿哟鎯芾恚≧emovableStorageManagement,RSM）就是一項用于

管理可移動媒體（例如磁帶和光盤）以及存儲設(shè)備（庫）的服務(wù)。RSM允許應(yīng)用程序

訪問和共享相同的媒體資源。RSM使用戶可以很容易地追蹤可移動存儲媒體（例如

磁帶和光盤），并管理包含它們的庫（例如轉(zhuǎn)換器和光盤機(jī)）。

為訪問RSM服務(wù)，可按以下步驟操作：

I）在“控制面板”中雙擊“管理工具”圖標(biāo)，再雙擊其中的“計算機(jī)管理”圖

標(biāo)，打開本地“計算機(jī)管理”窗口。

2）在左窗格右鍵單擊控制樹中的“可移動存儲”。

“可移動存儲”可以管理和設(shè)置的項目有：

a.______________________________________________________

b.______________________________________________________

c.______________________________________________________

d.______________________________________________________

步驟5：分配磁盤配額。磁盤配額可追蹤和控制卷的磁盤空間使用情況。為分配

磁盤配額，可按照以下步驟進(jìn)行：

1）打開“我的電腦”。

2）右鍵單擊想要指定默認(rèn)配額位的卷（例如某個硬盤），然后單擊“屬性”命

令。

3）在“屬性”對話框中，選定”配額“選項卡。

186操作系統(tǒng)原理實驗（第二版）

4）在“屬性“對話框的”配額“選項卡上，選定“啟用配額管理”。

5）選定“將磁盤空間限制為"選項，這將激活磁盤空間限制和警告級別區(qū)域。

6）在文本框中鍵入數(shù)值，從下拉列表中選定一個磁盤空間限制單位，然后單擊

“確定”?？梢允褂眯?shù)值（例如20.5MB）。

步驟6：添加新的磁盤配額項。在啟用卷的磁盤配額時，將從這一時刻開始自動

追蹤新用戶的卷使用情況。為了對現(xiàn)有的卷用戶應(yīng)用磁盤配額，可以在“配額項”

對話框中添加新的配額項。操作步驟如下：

1）在“我的電腦”窗口中，右鍵單擊想要添加新的磁盤配額項的卷，然后單擊

“屬性”命令。

2）在“屬性”對話框中，選定“配額”選項卡。

3）在“配額”選項卡上，單擊“配額項”按鈕。

4）在“配額項目”窗口的“配額”菜單中單擊“新建配額項”命令。

5）在“選擇用戶”對話框中，單擊“查找范圍”列表框，選定想要從中選擇用

戶名的域名或工作組名稱。單擊“添加”，然后單擊''確定”。

6）在“添加新配額項”對話框中，可以對所選用戶設(shè)置的配額限制項目有：

a._____________________________________________________________________

b._____________________________________________________________________

c._____________________________________________________________________

7）單擊“確定”完成操作。

只能在WindowsXP中使用NTFS格式化的磁盤卷上分配磁盤配額。如果想要

管理配額，則必須是驅(qū)動器所在計算機(jī)上的Administrators組的成員。

步驟7：創(chuàng)建緊急修復(fù)磁盤（ERD）。ERD包含系統(tǒng)的注冊表文件的備份，這就

可以恢復(fù)被破壞的WindowsXP系統(tǒng)文件。雖然只使用ERD不能重新引導(dǎo)系統(tǒng)，但

ERD可以通過更正被破壞的系統(tǒng)文件來幫助WindowsXP自行引導(dǎo)。創(chuàng)建ERD只需

要幾分鐘時間，而潛在的回報卻是巨大的。因為，如果出現(xiàn)引導(dǎo)失敗的情況，ERD

可以大大減少停機(jī)時間.

要想創(chuàng)建緊急修復(fù)磁盤，可執(zhí)行以下操作：

1）在“開始”>”所有程序”>“附件”>“系統(tǒng)工具”菜單中單擊“備份”命

令，以運(yùn)行“備份”實用程序。

“備份”窗口中有四個選項卡，分別是：

a._____________________________________________

b._____________________________________________

c._____________________________________________

d.

實驗7文件系統(tǒng)187

在“備份”窗口的“歡迎”選項卡中，有一3個操作選項按鈕，請分別描述之：

備份向?qū)В篲___________________________________________________________

還原向?qū)В篲___________________________________________________________

緊急修復(fù)磁盤：________________________________________________________

2）在“歡迎”選項卡中單擊“緊急修復(fù)磁盤”按鈕，或者單擊“工具”菜單中

的“創(chuàng)建一張緊急修復(fù)軟盤”命令。

3）插入一張格式化好的1.44MB軟盤。

4）選定“也將注冊表備份到修復(fù)目錄中”復(fù)選框。

5）單擊“確定”按鈕完成操作。

為使用緊急修復(fù)磁盤恢復(fù)WindowsXP設(shè)置，使用ERD的步驟如下：

1）使用WindowsXP安裝磁盤或者WindowsXPProfessional光盤啟動計一算機(jī)。

2）在安裝程序從安裝磁盤上復(fù)制完文件后，系統(tǒng)將重新啟動，然后系統(tǒng)進(jìn)入基

于文本的安裝模式。

3）在“歡迎使用安裝程序”屏幕上，按R鍵以選定修復(fù)或恢復(fù)WindowsXP安

裝的選項。

4）當(dāng)系統(tǒng)提示輸入需要的修復(fù)或恢復(fù)選項的類型時，按R鍵以修復(fù)損壞的

WindowsXP安裝。

5）單擊“快速修復(fù)”或者“手動修復(fù)”按鈕。

按表示手動修復(fù)的M鍵將導(dǎo)致安裝程序有選擇地修復(fù)系統(tǒng)文件、分區(qū)引導(dǎo)扇區(qū)

或者啟動環(huán)境。手動修復(fù)不會修復(fù)注冊表。

如果按表示快速修復(fù)的F鍵，那么安裝程序?qū)⒆詣訃L試修復(fù)系統(tǒng)文件、分區(qū)引

導(dǎo)扇區(qū)和啟動環(huán)境。安裝程序所恢復(fù)的注冊表副本是在第一次安裝WindowsXP時創(chuàng)

建的注冊表?？焖傩迯?fù)可以自動運(yùn)行，并且在按下F鍵后就不需要任何額外的交互。

6）按照出現(xiàn)的提示進(jìn)行，在得到提示時插入ERD。如果擁有初始的Windows光

盤，則可以讓安裝程序驗證磁盤上是否存在損壞情況。

7）當(dāng)修復(fù)過程完成時，計算機(jī)將重新啟動，然后運(yùn)行WindowsXP。

步驟8：磁盤清理?！按疟P清理”有助于釋放硬盤驅(qū)動器空間?！按疟P清理”程序

將搜索驅(qū)動器，然后顯示可以安全刪除的臨時文件、Internet緩存文件以及不需要的

程序文件?？梢灾甘緞h除其中一些或所有的文件。

為打開“磁盤清理”功能，可在“開始”>“所有程序”〉“附件”>“系統(tǒng)工具”

菜單中單擊“磁盤清理”命令。

188操作系統(tǒng)原理實驗（第二版）

“磁盤清理”搜索指定的驅(qū)動器。在打開和關(guān)閉文件或者使用Interne連接時，

系統(tǒng)會創(chuàng)建臨時文件，這些臨時性質(zhì)的文件有時會繼續(xù)保存在硬盤上?！按疟P清理”

程序可以了解這些文件采用的形式及其在磁盤上的位置，以便安全地刪除這些文件,

釋放寶貴的磁盤空間。

步驟9：備份。為應(yīng)對故障事件，WindowsXP包括了一個功能齊全的“備份”

程序，該程序使用了一些標(biāo)準(zhǔn)的備份設(shè)備。

在“開始”〉”所有程序”>“附件”>“系統(tǒng)工具”菜單中單擊“備份”命令，

可運(yùn)行“備份”實用程序。

在“備份”程序中包括了“備份向?qū)А焙汀斑€原向?qū)А?，這些向?qū)Ш喕藗浞莺?/p>

恢復(fù)WindowsXP服務(wù)器上存儲的重要數(shù)據(jù)的任務(wù)。用戶也可以在“備份”選項卡和

“還原”選項卡中使用“備份”和“還原”程序的手工版本。

?備份數(shù)據(jù)

要想選定要備份的數(shù)據(jù)，只需要在“備份”窗口的左窗格中單擊要備份的文件

或目錄旁邊的復(fù)選框即可。然后在窗口下方選擇備份目的地，命名備份媒體，最后

單擊“開始備份”按鈕。

?恢復(fù)數(shù)據(jù)

為“還原”恢復(fù)數(shù)據(jù)，先選定想要恢復(fù)的文件和文件夾，選定恢復(fù)備份文件和

文件夾的位置，設(shè)置恢復(fù)選項，然后單擊“開始還原”進(jìn)行恢復(fù)操作。

?計劃作業(yè)

除備份和恢復(fù)數(shù)據(jù)之外，WindowsXP“備份”程序還允許計劃備份作業(yè)，以便

在無人干預(yù)的情況下運(yùn)行。

計劃備份操作可按照以下步驟進(jìn)行：

1）打開“備份”實用程序。

2）單擊“備份”選項卡，從“作業(yè)”菜單中選擇“新建”命令。

3）單擊以選定想要備份的任何驅(qū)動器、文件夾或文件的復(fù)選框。

4）選定將作為備份目的地的文件或磁帶設(shè)備，然后單擊“作業(yè)”菜單中的“保

存選項”命令，以保存文件和文件夾選擇。

5）在“備份媒體或文件名”文本框中，鍵入備份文件的路徑和文件名或者選定

磁帶。

6）單擊“工具”菜單中的“選項”命令，選定想要使用的任何備份選項，例如

備份類型和日志文件類型，然后單擊“確定”。

7）單擊“開始備份”，在“備份作業(yè)信息”對話框中進(jìn)行所需要的任何更改。

8）如果想要設(shè)置高級備份選項，例如數(shù)據(jù)驗證或硬件壓縮，則單擊“高級”。選

擇完高級備份選項后，單擊“確定”。

實驗7文件系統(tǒng)189

9）單擊“備份作業(yè)信息”對話框中的“計劃”。

10）在“設(shè)置賬號信息”對話框中，輸入一個用戶名和密碼（指定在這個賬號下

運(yùn)行計劃的備份操作）。

11）在“計劃的作業(yè)選項”對話框中，在“作業(yè)名”文本框中鍵入計劃的備份作

業(yè)的名稱。然后單擊“屬性”，以設(shè)置計劃備份的日期、時間和頻率參數(shù)。在完成后

單擊“確定”退出操作。

步驟10：使用CHKDSK維護(hù)文件完整性。WindowsXP的CHKDSK可以掃描

FAT,FAT32和NTFS分區(qū)上的文件系統(tǒng)完整性，它檢查丟失的簇、交叉鏈接文件等,

還可以嘗試更正它找到的任何錯誤。它還提供了其他許多文件系統(tǒng)信息。

如果WindowsXP感覺到文件系統(tǒng)損壞，它將在啟動時自動運(yùn)行CHKDSK。用

戶也可以手工啟動這個實用程序。CHKDSK可以在5種模式中運(yùn)行。第一種模式?jīng)]

有任何參數(shù)，這是一種只讀模式，僅用于檢查文件系統(tǒng)中的任何錯誤。在這種模式

中，CHKDSK會報告任何錯誤，但是不會嘗試修復(fù)錯誤，因此這個過程完成得非常

快。其他4個選項使用以下參數(shù)：

?/FILENAME：檢查指定文件的碎片化情況。

*/F：嘗試修復(fù)文件系統(tǒng)中的任何錯誤。

?/V：提供分區(qū)上的每一個文件的名稱和完整路徑。

?/R：查找分區(qū)上的壞扇區(qū)并嘗試恢復(fù)可讀信息。

要運(yùn)行CHKDSK,可執(zhí)行以下操作：

1）在“開始”>“所有程序”>“附件”菜單中單擊“命令提示符"命令，打開

“命令提示符”窗口。

2）在命令提示符上進(jìn)入要檢查的分區(qū)。例如，鍵入C:\。

3）鍵入不帶任何參數(shù)的CHKDSK,以便只檢查文件系統(tǒng)錯誤。如果找到了任何

錯誤，則繼續(xù)進(jìn)行第4）步。

請記錄：系統(tǒng)執(zhí)行CHKDSK命令過程中顯示的提示信息是：

CHKDSK系統(tǒng)檢查之后，報告的磁盤信息是:

190操作系統(tǒng)原理實驗（第二版）

4）運(yùn)行帶/F參數(shù)的CHKDSK,以嘗試修復(fù)在文件系統(tǒng)中找到的錯誤。

一般情況下，用戶只有在擔(dān)心系統(tǒng)存在著WindowsXP沒有意識到的磁盤問題時

才會使用這個實用程序。

5）關(guān)閉窗口退出操作。

步驟11：整理磁盤碎片。Microsoft聲稱使用像NTFS這樣有效的文件系統(tǒng)可以

減少整理碎片的需要，但NTFS文件系統(tǒng)也仍然會受碎片化的影響。WindowsXP中

包括了一個“磁盤碎片整理程序”實用程序。

通過整理使用FAT、FAT32或NTFS文件系統(tǒng)的卷的碎片，WindowsXP包括了

一些用來維護(hù)磁盤性能的能力。

這個版本具有以下限制：

?只能整理本地卷的碎片。

?一次只能整理一個卷的碎片。

?在掃描一個卷時不能整理另一個卷的碎片。

?不能使用腳本。

?不能計劃碎片的整理工作。

?一次只能運(yùn)行一個Microsoft管理控制臺（MMC）管理單元。

所有測試過的系統(tǒng)配置都表明，NTFS碎片整理可以改進(jìn)性能，并且較快的系統(tǒng)

配置從磁盤碎片整理上獲得的收益比功能較弱的系統(tǒng)更多。

3.實驗總結(jié)

實驗7文件系統(tǒng)191

4.實驗評價（教師）

7.1.6閱讀與思考

7.2Linux文件信息命令和基本文件管理

7.2.1Linux文件管理

在本實驗中，我們將使用不同的信息命令，來調(diào)查和發(fā)現(xiàn)文件的信息；使用命

令來幫助確定文件類型和創(chuàng)建文件的應(yīng)用；也可以使用幾個命令來查看文本文件的

內(nèi)容和對它們進(jìn)行比較。

作為基礎(chǔ),使用命令來分析和管理文件及目錄的能力對于進(jìn)一步學(xué)習(xí)Linux操作

系統(tǒng)是非常重要的。Linux特權(quán)用戶和系統(tǒng)管理員必須有使用命令行的工作背景，例

如創(chuàng)建可執(zhí)行的腳本文件等（Linux腳本文件包含著一系列的Linux命令）。許多操

作系統(tǒng)管理和設(shè)備配置作業(yè)需要理解Linux命令，并且在某些情況下，命令行是僅有

的操作方式。

在本實驗中，我們將在命令行下使用文件管理命令工作，介紹文件和目錄命名

規(guī)則。我們將創(chuàng)建一個簡單的目錄結(jié)構(gòu)，然后在那些目錄中創(chuàng)建一個文件，并練習(xí)

創(chuàng)建和刪除文件和目錄。

7.2.2練習(xí)與實驗

本節(jié)“練習(xí)與實驗”的目的是：

1）使用控制字符執(zhí)行特殊功能:

192操作系統(tǒng)原理實驗（第二版）

2）使用file和strings命令確定文件類型；

3）使用cat利more命令顯示文本文件的內(nèi)容；

4）使用head和tail命令顯示文本文件的部分內(nèi)容；

5）使用wc命令確定單詞、行和字符數(shù)；

6）使用diff命令比較2個文件。

7）回顧文件和目錄命名約定；

8）使用touch命令創(chuàng)建新文件；

9）使用mkdir命令創(chuàng)建新目錄；

10）使用rm命令刪除文件；

11）使用rm-r命令刪除目錄。

1.工具/準(zhǔn)備工作

在開始本實驗之前，請回顧教科書的相關(guān)內(nèi)容。

1）由指導(dǎo)老師分配的登錄用戶帳號（如user2）和口令。

2）需要準(zhǔn)備一臺運(yùn)行Linux操作系統(tǒng)的計算機(jī)。

2.實驗內(nèi)容與步驟

（1）文件信息命令

步驟1：開機(jī)，登錄進(jìn)入GNOME。在GNOME登錄框中填寫指導(dǎo)老師分配的用

戶名和口令并登錄。

步驟2：訪問命令行。單擊紅帽子，在“GNOME幫助”>“系統(tǒng)工具”菜單中

單擊“終端”命令，打開終端窗口。

步驟3：使用控制字符執(zhí)行特殊功能?？刂谱址脕韴?zhí)行特殊的作業(yè)，如中止和

啟動屏幕輸出。

大多數(shù)PC鍵盤有兩個控制鍵。它們通常標(biāo)記為Ctrl,可以在鍵盤的左右下角找

到。為了輸入一個控制字符序列，可按住Ctrl鍵不放，然后按下鍵盤上相應(yīng)的字符。

Ctrl+C：中斷當(dāng)前活動。當(dāng)你在csh中鍵入一個不可識別的命令行（例如,$ls”），

收到第2個提示符的時候，Ctrl+C也可以用于恢復(fù)shell提示符。

Ctrl+Z：終止當(dāng)前活動。顯示1s命令的手冊頁面（man1s）,然后使用Ctrl-z中

止輸出。

當(dāng)你接下Ctrl+Z的時候，發(fā)生了什么事情？

實驗7文件系統(tǒng)193

Ctrl+D：表示文件的末尾或者退出。Ctrl+D用于退出一些Linux工具程序（be、

write等），退出一個終端窗口，注銷一個終端會話或者命令行登錄會話。作為一個

一般的規(guī)則，當(dāng)您出現(xiàn)“死機(jī)”時;或者如果Ctrl+C不起作用，可試試Ctrl+D。

例如：

I）在shell提示符下鍵入be,啟動基本的計算器工具程序。

2）把兩個數(shù)字相乘（鍵入：458*594,然后按回車鍵）。

3）按Ctrl+D退出計算器。

當(dāng)使用計算器的時候，你的提示符是什么？

Ctrl+U：擦除整個命令行。Ctrl+U最常用在：

?一個擦除決定不執(zhí)行的命令行的快捷方式。

?如果登錄到一個遠(yuǎn)程系統(tǒng)，退格鍵不起作用。

?它可以確保在登錄的時候，從一個“空”的用戶帳號和口令輸入開始。

?因為在口令輸入的時候看不見它們，當(dāng)知道自己鍵入了錯誤字符的時候，使

用Ctrl+U擦除密碼，重新開始輸入。

如果輸入一個命令，如Is-RA有時候，會在按下回車鍵之前想擦除命令行。輸

入一個命令，在接下回車鍵執(zhí)行命令之前按下Ctrl+U。結(jié)果是什么？

步驟4：使用file命令確定文件類型。在Linux系統(tǒng)中可以找到許多類型的文件。

文件類型可以通過使用file命令來確定。當(dāng)一個用戶試圖打開或閱讀一個文件的時

候，這個信息很重要。確定文件類型可以幫助一個用戶決定使用哪個程序或命令來

打開這個文件。這個命令的輸出最常見的是如下幾種：文本文件、可執(zhí)行文件或數(shù)

據(jù)文件。

I）文本文件：包括ASCH或英語文本、命令文本和可執(zhí)行的shell腳本。這種類

型的文件可以使用cat或more命令讀取，可以使用vi或其他文本編輯器編輯。

單擊紅帽子，在“GNOME幫助”>“附件”菜單中單擊“文本編輯器”命令，

在文本編輯中鍵入適當(dāng)內(nèi)容并保存為test文件。

使用file命令來確定test文件的文件類型。它是哪種類型的文件？

2）可執(zhí)行（或二進(jìn)制）文件：包括32位的可執(zhí)行文件和可擴(kuò)展鏈接格式（ELF）

編碼文件，和其他動態(tài)鏈接的可執(zhí)行文件。這種文件類型表示這個文件是一個命令

或程序。

鍵入命令：cd/bin,用file命令查看Is、vi文件的文件類型：

194操作系統(tǒng)原理實驗（第二版）

3）數(shù)據(jù)文件：數(shù)據(jù)文件是由系統(tǒng)中運(yùn)行的應(yīng)用創(chuàng)建的.在某些情況下，文件的

類型是會說明的。例如，F(xiàn)rameMaker（桌面印刷軟件）文檔。

單擊紅帽子，在“GNOME幫助”菜單中單擊“辦公”>"OpenOWriter”

命令，建立一個文檔如WW.SXWo

回到主目錄，使用Ele命令確定你所建立的文件類型。它是哪種類型的文件？（注

意文件名部分必須包括擴(kuò)展名，如fileww.sxw。）

步驟5：使用strings命令。strings命令可以用于打印可執(zhí)行文件或者二進(jìn)制文件

中的可讀字符。

一些有編程背景的人，可以解釋strings產(chǎn)生的輸出。這個命令在這里只是作為

一個展示可執(zhí)行文件中可打印字符的方法來介紹。strings命令必須用于讀取可執(zhí)行文

件，如/bin/cato在大多數(shù)情況下，strings命令也可以給出命令的使用語法。

使用strings命令查看/usr/bin/cal文件的可讀字符。列出strings命令中的一些輸

出。

步驟6：使用cat命令顯示文件的內(nèi)容。cat命令在屏幕上顯示一個文本文件的內(nèi)

容。它常用于顯示如腳本文件（類似批處理文件）這樣的短文本文件。如果文件超過

一屏的話，必須使用一個屏幕可以滾動的窗口，如GNOME環(huán)境中的終端窗口。

鍵入Is/dev>dev1

使用cat命令顯示主目錄中devl文件的內(nèi)容。文本的顯示出現(xiàn)了什么情況？

步驟7：使用more命令顯示文件的內(nèi)容。more命令是一個用于顯示文本文件首

選的方法，因為它會自動的一次顯示一屏文件內(nèi)容。如果文件的信息比一屏更長，

屏幕的底部顯示如下的信息：-More-（n%）（文件的n%已經(jīng)顯示）。按下回車鍵，

繼續(xù)一次顯示一行信息?？崭矜I將繼續(xù)一次顯示一屏內(nèi)容。

使用more命令顯示主目錄中devl文件的內(nèi)容。文本的顯示出現(xiàn)了什么情況？

步驟8：使用head命令顯示文件的一部分。head命令用于顯示一個或多個文本

文件的前n行。在默認(rèn)情況下，如果沒有給出-n選項，將顯示前10行。當(dāng)您只想

查看文件的開始的幾行，而不管文件的大小的時候，head命令是很有用的。

I）單獨使用head命令，顯示主目錄中devl文件的開始部分。顯示了多少行？

實驗7文件系統(tǒng)195

2）使用帶-n選項的head命令，顯示主目錄中dante文件的前20行。您輸入什

么命令？

步驟9：使用tail命令顯示文件的一部分。使用tail命令，顯示文件的最后幾行。

在默認(rèn)情況下，如果沒有指定-n選項，將顯示最后10行。當(dāng)檢查大型日志文件最

近輸入內(nèi)容的時候，tail命令是很有用的。備份工具程序常把備份哪個文件和什么時

候做的備份，寫到日志文件中去。一個備份日志文件中最后的輸入通常是備份文件

的總數(shù)和備份是否成功完成的信息。-n選項顯示了文件的最后n行。

單獨使用tail命令，顯示主目錄中dante文件的末端。顯示了多少行？

步驟10：通過使用wc命令，確定行數(shù)、單詞數(shù)和字符數(shù)。wc（單詞計數(shù)）命令

可以用于顯示文本文件的行數(shù)、單詞數(shù)、字節(jié)數(shù)或者字符數(shù)。當(dāng)確定文件特征或者

當(dāng)比較兩個文件的時候，這個命令是很有用的。使用不帶選項的wc將給出文件的行

數(shù)、字節(jié)數(shù)。使用帶一個選項的wc,可以確定想查看的哪一項內(nèi)容。

使用wc命令確定主目錄中devl文件的行數(shù)、單詞數(shù)和字符數(shù)。有多少行、多

少個單詞和多少個字符？

步驟11：使用wc計算目錄條目的數(shù)目。使用wc和1s命令確定主目錄中條目（文

件和目錄）的數(shù)目。為此，必須把1s命令的輸出導(dǎo)入到wc命令中。

更多符號是豎線，和后斜線（\）在同一個鍵上。在命令行提示行下，輸入命令

IsIWC-Wo有多少個文件和目錄名（單詞）？

步驟12：使用diff命令確定文件之間的不同之處。diff（不同）命令用于比較2

個文本文件，找出在它們之間的不同之處。wc命令可以比較文件，因為它計算行數(shù)、

單詞數(shù)和字符數(shù)。有可能2個文件有相同的行數(shù)、單詞數(shù)和字符數(shù)，但是字符和單

詞不同。diff命令可以從實際上找出文件之間的不同。

這個命令的輸出把2個文本文件之間的不同一行一行的顯示出來。diff命令有2

個選項：-i和-c。-i選項忽略字母的大小寫，例如A和a相等。-c選項執(zhí)行細(xì)致的

比較。

單擊紅帽子，在“GNOME幫助”>“附件”菜單中單擊“文本編輯器”命令，

創(chuàng)建兩個文件fruitl和fruit2,并鍵入適當(dāng)內(nèi)容。

使用diff命令執(zhí)行細(xì)節(jié)比較，確定fruitl文件和fruit2文件之間的區(qū)別。

在fruitl文件和在fruit2文件中，哪幾行是不同的？

196操作系統(tǒng)原理實驗（第二版）

cat命令：

,用cat命令查看fruitl文件，命令是：

,用cat命令查看fruit2文件，命令是：

,鍵入命令行catfruitlfruit2＞filex.,

?用cat命令查看filex文件。根據(jù)結(jié)果，請分析上面的命令行做了什么？

（2）基本的命令行文件管理

步驟1：回顧Linux的文件和目錄命名規(guī)則。

在本實驗中，我們將創(chuàng)建文件和目錄，因此，在開始之前，先來回顧一下Linux

文件和目錄的命名規(guī)則和指導(dǎo)方針。

1）最大長度：組成文件和目錄名最大長度為255個數(shù)字字母字符。一般來說，

應(yīng)該盡可能的保持文件名短但是仍然有意義。

2）非數(shù)字字母字符：一些非數(shù)字字母字符或者元字符是可用的：下劃線（_）、

連字符號（-）和句點（.）。這些元字符可以在文件或目錄名中使用多次

（Feb.Reports.Sales是一個有效的文件或目錄名）。盡管shell允許把星號（*）、問號

（?）和發(fā)音符號（~）、方話號（口）、&、管道、引號（“”）和美元符號（$）在

文件名中使用，但這不是推薦的，因為這些字符對于shell有特殊的意義。分號（;）、

小于號（＜）和大于號（＞）是不允許作為文件名的。

3）文件名擴(kuò)展：文件名可以包含一個或多個擴(kuò)展名。擴(kuò)展名常被一個應(yīng)用追加

到文件的末端。擴(kuò)展名通常是1個到3個字符，追加到文件名的末端，之前有一個

句點（.）。當(dāng)命名文件的時候，您可以選擇使用這個規(guī)則。

4）目錄名的擴(kuò)展名：目錄名一般不包含擴(kuò)展名，但是也沒有規(guī)則反對這一點。

5）大小寫敏感：Linux文件和目錄名是大小寫敏感的。Project）和projectl不是

同一個文件。在一個目錄中，不能夠有兩個文件有著同樣的名字。一般規(guī)則都是使

用小寫字母。

檢查表7.1中的文件名，指出它們是否是有效或者推薦的Linux文件或目錄名，

為什么是或為什么不是。

表7.1實驗記錄

文件名是否為Linux文件或目錄名為什么

12345abcde678

Hobbies:2

Adcd-123

實驗7文件系統(tǒng)197

Sales*repts*2001

D.projects.bj.200I

Projects>l.bj-2001

步驟2：使用touch命令創(chuàng)建文件。每次創(chuàng)建一個新的字處理文檔或者電子數(shù)據(jù)

表，就是正在創(chuàng)建一個新文件，應(yīng)該符合之前提到的文件命名規(guī)則。也必須擁有創(chuàng)

建文件的目錄的足夠權(quán)限。

使用touch命令，可以同時創(chuàng)建一個或多個文件。一些應(yīng)用要求在寫文件之前，

文件必須存在。touch命令對于快速創(chuàng)建需要處理的文件很有用。也可以使用touch

命令更新文件被訪問的時間和日期，使文件可以再次被備份。當(dāng)創(chuàng)建文件或目錄的

時候，可以指定絕對和相對的路徑名。

命令格式：

touchfilename（s）

1）在主目錄中使用touch命令創(chuàng)建一個名為newfile的文件，應(yīng)該使用什么命

令？

2）使用touch命令在這個目錄中創(chuàng)建另一個叫做filenew的新文件，應(yīng)該使用什

么命令？

3）輸入命令顯示主目錄中的文件的長列表。你使用什么命令？創(chuàng)建的文件列出

來了嗎？

4）誰是文件的所有者？

5）和文件關(guān)連的組是什么？

6）創(chuàng)建的日期和時間是什么？

7）文件的大小是多少？

8）使用file命令確定newfile的文件類型。它是哪一類的文件？

9）使用touch命令同時創(chuàng)建3個文件：newl>new2和new3,應(yīng)該使用什么命

令？

198操作系統(tǒng)原理實驗（第二版）

10）輸入命令顯示主目錄中文件的長列表。創(chuàng)建的3個新文件列出來了嗎？

步驟3：使用mkdir命令創(chuàng)建新目錄。mkdir（創(chuàng)建目錄）命令用于創(chuàng)建目錄或文

件夾。目錄可以包含其他目錄，稱為子目錄，它們可以包含文件。

目錄可以使用或者絕對路徑名或者相對路徑名創(chuàng)建?？梢栽谕恍兄兄付ǘ鄠€

目錄名，創(chuàng)建多個新目錄。必須有創(chuàng)建目錄的足夠權(quán)限。

mkdirdirectory_name（s）

1）在主目錄中，創(chuàng)建一個新目錄practice,并使用相對路徑名改變到practice目

錄中。分別使用什么命令？

2）使用mkdir命令，在這個目錄中創(chuàng)建一個叫做newdir的子目錄。使用什么命

令？

3）輸入命令，顯示practice目錄中文件和目錄的長列表。你使用什么命令？創(chuàng)

建的目錄列出來了嗎？

4）目錄的所有者是？

5）文件的大小是多少？

6）使用file命令確定newdir文件的類型。它是哪一類的文件？

7）如果名字中沒有字符dir,采取別的什么方法來識別出它是一個目錄?

8）mkdir命令在practice目錄中創(chuàng)建3個子目錄，目錄名分別為high>medium和

low,應(yīng)該使用什么命令？

9）用1s命令檢查創(chuàng)建是否成功？

步驟4：使用rm命令刪除文件。rm目錄可以刪除單個文件或多個文件?？梢酝?/p>

過在rm命令之后指定文件的名字，或者使用星號（*）和問號（?）元字符，同時刪除

幾個文件。在Linux系統(tǒng)中刪除的文件是永遠(yuǎn)被刪除了，除非使用圖形界面刪除文件,

它們才能夠被恢復(fù)。rm命令可以帶-i（交互）選項使用，它在刪除文件之前會提示

用戶。使用rm-i命令作為防范，避免誤刪文件：

rm[-i]filename（s）

實驗7文件系統(tǒng)199

I）使用rm命令刪除早先在主目錄中創(chuàng)建的newfile文件，應(yīng)該使用什么命令?

2）輸入命令顯示主目錄中文件的長列表。創(chuàng)建的文件還在嗎？

3）使用帶-i選項的rm命令，刪除早先在practice目錄中創(chuàng)建的filenew文件。

交互式選項起到什么作用？

4）刪除早先創(chuàng)建的3個名為newl、new2和new3的文件。使用問號（?）通配符

使用一個命令刪除所有3個文件。使用什么命令？

5）輸入命令，顯示主目錄中文件的長列表。3個文件還在嗎？

6）還有其他的什么方法來刪除newl、new2和new3文件？

步驟5：使用rm-r命令刪除目錄。rm-r目錄用于刪除目錄。它將刪除從目標(biāo)目

錄開始的目錄，包括所有的子目錄和文件。當(dāng)rm命令帶-r信息使用的時候，它可

以刪除單個目錄（空或不空）或目錄樹的整節(jié)。rm命令可以帶-i選項使用，它在刪

除目錄之前會提醒用戶：

rm-r[i]directory_name（s）

1）冊!1除早先在practice目錄中創(chuàng)建的newdir子目錄，使用什么命令？

2）輸入命令顯示practice目錄中文件的長列表，創(chuàng)建的子目錄還在嗎？

3）使用一個命令刪除high,low和medium子目錄，應(yīng)使用什么命令?

步驟6：練習(xí)所學(xué)習(xí)到的內(nèi)容。通過在practice目錄中創(chuàng)建一個三級的目錄樹，

練習(xí)使用touch、mkdir和rm命令。試著使用有意義的目錄名。記住可以使用一個命

令創(chuàng)建整個目錄結(jié)構(gòu)。在每個目錄中創(chuàng)建多個文件。記住可以使用一個命令創(chuàng)建多

個文件。

結(jié)束的時候，請刪除實驗時創(chuàng)建的文件和目錄。

步驟7：關(guān)閉終端窗口，注銷。

200操作系統(tǒng)原理實驗（第二版）

3.實驗總結(jié)

4.單元學(xué)習(xí)評價

I）你認(rèn)為本單元最有價值的內(nèi)容是：

2）下列問題我需要進(jìn)一步地了解或得到幫助：

3）為使學(xué)習(xí)更有效，你對本單元的教學(xué)有何建議？

5.實驗評價（教師）

7.2.3閱讀與思考

實驗7文件系統(tǒng)201

7.1優(yōu)化WINDOWSXP磁盤子系統(tǒng)181

7.1.1選擇文件系統(tǒng)181

7.1.2EFS加密文件系統(tǒng)182

7.1.3壓縮183

7.1.4磁盤配額183

7.1.5練習(xí)與實驗184

7.2LINUX文件信息命令和基本文件管理191

7.2.1Linux文件管理191

7.2.2練習(xí)與實驗191

202操作系統(tǒng)原理實驗（第二版）

實驗8

操作系統(tǒng)的安全

8.1WindowsXP的安全機(jī)制

本實驗通過使用和設(shè)置WindowsXP的安全機(jī)制，幫助讀者回顧和加深了解現(xiàn)代

操作系統(tǒng)的安全機(jī)制和特性。

8.1.1安全特性

Windows為用戶提供了一套廣泛的安全性防衛(wèi)措施，以確保系統(tǒng)能夠阻止非法

訪問、故意破壞和錯誤操作等的侵害。

1.安全區(qū)域

在計算機(jī)領(lǐng)域，網(wǎng)絡(luò)操作系統(tǒng)的安全性定義為用來阻止未授權(quán)用戶的使用、訪

問、修改或毀壞，也就是對客戶的信息進(jìn)行保密，以防止他人的窺視和破壞。通常

所說的數(shù)據(jù)安全大部分是指數(shù)據(jù)在網(wǎng)絡(luò)上的安全。

如果將網(wǎng)絡(luò)按區(qū)域劃分，可分為4大區(qū)域。

I）本地企業(yè)網(wǎng)區(qū)域：該區(qū)域包括不需要代理服務(wù)器的地址，其中包含的地址由

系統(tǒng)管理員用InternetExplorer管理工具包定義。本地企業(yè)網(wǎng)區(qū)域的默認(rèn)安全級為中

級。

2）可信站點區(qū)域：該區(qū)域包含可信的站點，即可以直接從該站點下載或運(yùn)行文

件而不用擔(dān)心會危害到用戶的計算機(jī)或數(shù)據(jù)的安全，因此用戶可以將某些站點分配

實驗7文件系統(tǒng)203

到該區(qū)域。可信站點區(qū)域的默認(rèn)安全級為低級。

3）受限站點區(qū)域：該區(qū)域包括不可信站點，即不能確認(rèn)下載或運(yùn)行程序是否會

危害到用戶的計算機(jī)或數(shù)據(jù)，用戶也可以將某些站點分配到該區(qū)域。受限站點區(qū)域

的默認(rèn)安全級別為高級。

4）Internet區(qū)域：在默認(rèn)情況下，該區(qū)域包括用戶的計算機(jī)或Internet上的全部

站點，Internet區(qū)域的默認(rèn)安全級別為中級。

另外，本地計算機(jī)上所有文件都認(rèn)為是安全的，不需進(jìn)行安全設(shè)置。這樣，打

開和運(yùn)行本機(jī)上的文件和程序時不會出現(xiàn)任何提示，而且用戶也無法將本機(jī)上的文

件夾或驅(qū)動器分配到所謂安全區(qū)域。

2.安全模型

Windows安全模型的主要特性是用戶驗證和訪問控制。

1）用戶驗證：它檢查嘗試登錄到域或訪問網(wǎng)絡(luò)資源的所有用戶的身份。

2）基于對象的訪問控制：允許管理員控制對網(wǎng)絡(luò)中資源或?qū)ο蟮脑L問。管理員

通過對存儲在活動目錄中的對象指定安全描述符的方式來執(zhí)行訪問控制。安全描述

符將列出獲得訪問許可權(quán)限的用戶和組以及指定給這些用戶和組的特殊權(quán)限。安全

描述符還指定了針對對象審核的各類訪問事件，對象實例包括文件、打印機(jī)和服務(wù)

等。通過管理對象屬性，管理員可以設(shè)置權(quán)限、指定所有權(quán)和監(jiān)視用戶訪問。

3）活動目錄和安全性：活動目錄通過使用對象的訪問控制和用戶憑據(jù)提供用戶

賬戶和組信息的保護(hù)存儲。由于活動目錄不僅存儲用戶憑據(jù)，還包括訪問控制信息,

所以登錄到網(wǎng)絡(luò)的用戶可同時獲得訪問系統(tǒng)資源的驗證和授權(quán)。

3.公用密鑰

公用密鑰加密技術(shù)是保證認(rèn)證和完整性的安全質(zhì)量最高的加密方法，是用來確

定某一特定電子文檔，確認(rèn)其是否來自于某一特定客戶機(jī)的最佳系統(tǒng)。公用密鑰基

本系統(tǒng)簡稱DKI,是一個進(jìn)行數(shù)字認(rèn)證、證書授權(quán)和其他注冊授權(quán)的系統(tǒng)。

通過公用系統(tǒng)密鑰基本體系，管理員驗證訪問信息人員的身份，并在驗證身份

的前提下控制其訪問信息的范圍，在組織中方便安全地分配和管理識別憑據(jù)等安全

問題。

Windows公用密鑰基本體系的組件包括：

1）證書：一個由權(quán)威部門頒布的電子聲明，其作用在于擔(dān)保證書持有者的身份,

證書將公用密碼與持有相應(yīng)私有密鑰的個人、機(jī)器或服務(wù)的身份綁定在一起，供各

204操作系統(tǒng)原理實驗（第二版）

種公用密鑰安全服務(wù)和應(yīng)用程序使用，并在諸如因特網(wǎng)等非安全網(wǎng)上提供驗證數(shù)據(jù)

完整性和安全通信的程序。

2）智能卡支持：Windows支持智能卡上的證書登錄，同時還支持使用智能卡存

儲用戶上網(wǎng)證書、安全E-Mail和其他與公用密鑰密碼活動相關(guān)的證書。智能卡是一

種為一系列任務(wù)提供安全解決方案的方法，其中包括了客戶機(jī)驗證、登錄到Windows

域、代碼簽名和保護(hù)E-Mail等安全機(jī)制。

3）公用密鑰策略：公用密鑰策略可使用Windows的組策略向計算機(jī)自動頒發(fā)證

書，建立證書信任列表和公用委托證書頒發(fā)機(jī)構(gòu)，此外還可以管理加密文件系統(tǒng)的

恢復(fù)策略。

4.數(shù)據(jù)保護(hù)

數(shù)據(jù)的保密性和完整性從網(wǎng)絡(luò)驗證開始，用戶可以使用正確的憑據(jù)登錄到網(wǎng)絡(luò),

并在該過程中獲得訪問存儲數(shù)據(jù)的權(quán)限。

Windows支持兩種數(shù)據(jù)保護(hù)類型一一存儲數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)：

1）存儲數(shù)據(jù)保護(hù)：用戶可以使用加密文件系統(tǒng)（EFS）和數(shù)字簽名方法存儲數(shù)

據(jù)。

2）網(wǎng)絡(luò)數(shù)據(jù)保護(hù)：站點內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)由驗證協(xié)議保護(hù)。用戶可以用來保護(hù)傳入

和傳出站點網(wǎng)絡(luò)數(shù)據(jù)的實用工具包括：「Security、路由和遠(yuǎn)程訪問、代理服務(wù)器。

8.1.2賬戶和組的安全性

在Windows計算機(jī)上建立安全體系需要一個管理員。管理員為訪問Windows計

算機(jī)的用戶建立賬戶，否則此用戶將無法對網(wǎng)絡(luò)進(jìn)行訪問。建立了賬戶的用戶其使

用權(quán)限和特權(quán)都由他所在的組決定。

在域內(nèi)建立安全體系需要域管理員。域管理員首先需要為用戶和計算機(jī)建立賬

戶，然后把用戶和計算機(jī)進(jìn)行分組并放入賬戶數(shù)據(jù)庫中。域管理員還可以選擇哪一

個組被包括進(jìn)哪一個安全策略之中，并將這些操作的結(jié)果放進(jìn)安全策略數(shù)據(jù)庫。

在WindowsXP中，組內(nèi)可以包含任何用戶、計算機(jī)和組賬戶，而不用顧及這些

用戶和賬戶在域目錄中的什么位置。另外，動態(tài)目錄服務(wù)把域詳細(xì)地劃分成組織單

元（OU）,分別管理域中的一些用戶、計算機(jī)、組、文件和打印機(jī)等資源對象。

實驗7文件系統(tǒng)205

8.1.3域的安全性

域在活動目錄中是用來定義安全邊界的?；顒幽夸浻梢粋€或多個域組成。每個

域均擁有與其他域相關(guān)的安全策略和安全關(guān)系。域提供以下便利：

1）兩個不同域的安全策略和設(shè)置（諸如管理權(quán)限和訪問控制列表）不能相互交

叉。

2）分派管理權(quán)限消除了需要大量具有廣泛管理權(quán)限的管理員的必要。

3）將對象分成不同的組放入域中有助于在網(wǎng)絡(luò)中反映公司的組織結(jié)構(gòu)。

4）每個域只存儲有關(guān)該域中對象的信息。活動目錄可通過拆分目錄信息的存儲

組織擴(kuò)展成數(shù)量龐大的對象。

域通常分為兩種類型：主域（存儲用戶和組賬戶）和資源域（存儲文件、打印機(jī)、

應(yīng)用服務(wù)等等）。在這種多域計算環(huán)境中，資源域需要具有所有主域的多委托關(guān)系。

這些委托關(guān)系允許主域中的用戶訪問資源域中的資源。

8.1.4文件系統(tǒng)的安全性

Windows推薦使用的NTFS文件系統(tǒng)提供了FAT和FAT32文件系統(tǒng)所沒有的全

面的性能、可靠性和兼容性。NTFS文件系統(tǒng)的設(shè)計目標(biāo)就是能夠在很大的硬盤上很

快地執(zhí)行諸如讀、寫和搜索這樣的標(biāo)準(zhǔn)文件操作，甚至包括像文件系統(tǒng)恢復(fù)這樣的

高級操作。NTFS文件系統(tǒng)包括了公司環(huán)境中文件服務(wù)器和高端個人計算機(jī)所需的安

全特性，它還支持對于關(guān)鍵數(shù)據(jù)完整性的數(shù)據(jù)訪問控制和私有權(quán)限。除了可以賦予

Windows計算機(jī)中的共享文件夾特定權(quán)限外，NTFS文件和文件夾無論共享與否都可

以賦予權(quán)限。

在NTFS卷中設(shè)置權(quán)限就是指定一個組或用戶對該目錄的訪問許可。設(shè)置目錄權(quán)

限時，對已有的子目錄和文件除非特別指定，否則是不會更改其權(quán)限的。生成新的

子目錄和文件時，它們就從目錄中繼承了新設(shè)置的權(quán)限。

與目錄權(quán)限類似，在NTFS卷中設(shè)置文件權(quán)限就是指定組或用戶對該文件的訪問

許可。在目錄中創(chuàng)建一個文件時，該文件也從目錄中繼承了這種權(quán)限。需要注意的

是，賦予了對一個目錄的“完全控制”權(quán)限的組或用戶可以刪除該目錄中的文件，

而無論該文件有何保護(hù)權(quán)限。

通過設(shè)置目錄和文件權(quán)限，用戶就可以保護(hù)自己的文件和目錄，也可以通過設(shè)

置NTFS卷中的文件和目錄的特殊訪問權(quán)限來加強(qiáng)對自己的文件和目錄的保護(hù)。特殊

訪問權(quán)限可以對目錄、所選目錄的所有文件或選定文件有效。

206操作系統(tǒng)原理實驗（第二版）

8.1.5IP安全性管理

在Windows中使用了Internet安全協(xié)議，即通常所說的IP安全性，簡稱為IP

SEC,它能夠定義與