[计算机软件及应用]第07章 NTFS磁盘的安全与管理.ppt

第七章 NTFS磁盘的安全与管理 王亚刚 wangyg@ 故事背景 刚刚上班麦兜打开了Outlook，收到了一封领导的加急邮件，邮件内容如下： 标题：搭建一台文件服务器 正文：公司当前的情况是有销售，财务，信息三个部门。每个部门有十名员工，其中一名是其部门经理。 要求： 1.在文件服务器上创建三个文件夹分别存放各部门的文件，并要求只有本部门的用户能访问其部门的文件夹（完全控制的权限），每个部门的经理和公司总经理可以访问所有文件夹（读取）,另创建一个公共文件夹，使得所有用户都能在里面查看和存放公共的文件 2.每个部门的用户可以在服务器上存放最多100M的文件 3.公司服务器的硬盘空间有限，要求做好文件压缩工作以便节省磁盘空间 马上去做！ 晕~~叫上麦麦又得开工啦~ 本章要点 NTFS权限概述 NTFS权限的种类 用户的有效权限 NTFS权限的设置 文件与文件夹的所有权 文件复制或移动后权限的变化 文件的压缩 什么是文件权限 一、什么是权限？ 权限是指用户对于对象的访问限制。如能够新建或删除文件、文件夹、打印机等对象。 二、文件和文件夹的权限分几种？ 1、NTFS权限：仅在NTFS磁盘上的文件或文件夹具有此权限。NTFS权限称为文件与文件夹的访问权限。 2、共享权限：只要是共享出来的文件夹(称为共享文件夹)就具有此权限。若该文件夹也存在NTFS磁盘上，便同时具有NTFS权限和共享权限。 NTFS权限概述 2008通过NTFS权限控制用户对文件和文件夹的访问，从而确保文件和文件夹的安全。通过NTFS权限可控制用户对某个NTFS文件或文件夹所有执行的操作，并且可以跟踪用户对文件所执行的所有操作。 NTFS权限概述 一、访问控制列表 两种： DACL—随机访问控制列表 SACL—系统访问控制列表 DACL:存储用户或组对NTFS文件或文件夹拥有的相应的NTFS权限，用来控制用户对NTFS文件和文件夹的访问。 NTFS权限概述 SACL:存储NTFS文件或文件夹的审计设置，用来跟踪和记录用户或组对NTFS文件所执行操作或访问试图。 二、访问控制元素ACE 每个ACE存储了一个对象（用户、组、或计算机帐号）对文件所对应的权限和审计策略。 标准NTFS文件权限的类型 读取：该权限可以读取文件内的数据，查看文件的属性，查看文件的所有者，查看文件的权限等 写入：该权限可以更改或覆盖文件的内容，改变文件的属性，查看文件的所有者，查看文件的权限等 读取和运行：它除了拥有“读取”的所有权限外，还具有运行应用程序的权限。 修改 ：它除了拥有“读取”、“写入”、与“读取和运行”的所有权限外，还可以删除文件。 完全控制：它拥有所有NTFS文件的权限 标准NTFS文件夹权限的类型 读取：该权限可以查看文件夹内的文件名称与子文件夹名称，查看文件夹的属性，查看文件夹的所有者，查看文件夹的权限等 写入：该权限可以在文件夹内添加文件与文件夹、改变文件夹的属性、查看文件夹的所有者、查看文件夹的权限 列出文件夹目录：该权限除了拥有“读取”的所有权限之外，它还有“遍历子文件夹”的权限，也就是具备进入到子文件夹的功能 读取和运行：它拥有与“列出文件夹目录”几乎完全相同的权限，只有在权限的继承方面有所不同：“列出文件夹目录”的权限仅由文件夹继承，而“读取和运行”是由文件夹和文件同时继承 修改：它除了拥有前面的所有权限外，还可以删除子文件夹 完全控制：它拥有所有NTFS文件的权限 NTFS 权限继承 NTFS权限继承 一、继承可以实现以下功能： 创建子文件夹或文件后，管理员不须为子文件夹或文件授权。 确保应用与父文件夹的权限应用到所有子文件夹和文件上 确保需要修改所有子文件夹和文件的权限时，只需要修改父文件夹的权限而不用再为子文件夹和文件单独授权。 阻止权限继承 删除继承来的权限，只保留被明确授予的权限.这 时，被阻止从父文件夹继承权限的子文件夹就成 了新的父文件夹。 当阻止权限继承时，有两种方式： 复制----系统将把以前从父文件夹继承来的所有权限保留下来，不再继承以后为父文件夹赋予的任何NTFS权限。 删除----把以前继承的所有权限删除。并不再继承。 NTFS 权限继承 NTFS权限应用原则 三个原则 NTFS权限是累积的文件权限超越文件夹权限 拒绝权限超越其他权限 一、NTFS权限是累积的 用户对文件或文件夹的有效权限，是用户对该文件或文件夹的NTFS权限和用户所属组对该用户和文件夹的NTFS权限的组合。 用户或组 权限 user1 写入 group1 读取 group2 读取和执行 用户A最后的有效权限为：读取+写入+执行 NTFS权限应用原则 二、文件权限超越文件夹权限/子文件夹权限超越父文件夹权限 当