第6章文件系統管理與資源共享學習要點第6章文件系統管理與資源共享WindowsServer2003文件系統資源共享文件訪問權限控制加密文件系統（EFS）分布式文件系統（DFS）6.1WindowsServer2003支持的文件系統

1．FAT文件系統簡介6.1.1FAT文件系統

FAT32是FAT16的派生文件系統，支持大到2TB（2048GB）的磁盤分區，它使用的簇比FAT16小，從而有效地節約了磁盤空間。FAT文件系統是一種最初用于小型磁盤和簡單文件夾結構的簡單文件系統，它向后兼容，最大的優點是適用于所有的Windows操作系統。第6章文件系統管理與資源共享6.1WindowsServer2003支持的文件系統2．FAT文件系統的優缺點6.1.1FAT文件系統容易受損害單用戶非最佳更新策略沒有防止碎片的最佳措施文件名長度受限6.1WindowsServer2003支持的文件系統1．NTFS簡介6.1.2NTFS文件系統NTFS是從WindowsNT開始使用的文件系統，它是一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統包括了文件服務器和高端個人計算機所需的安全特性，它還支持對于關鍵數據以及十分重要的數據訪問控制和私有權限。NTFS是唯一允許為單個文件指定權限的文件系統。NTFS文件系統設計簡單但功能強大.6.1WindowsServer2003支持的文件系統2．NTFS文件系統的優點6.1.2NTFS文件系統更安全的文件保障·更好的磁盤壓縮功能支持最大達2TB的大硬盤可以賦予單個文件和文件夾權限NTFS文件恢復能力NTFS文件夾B-Tree結構速度快可以壓縮單個文件和文件夾支持活動目錄和域支持磁盤配額·支持稀疏文件6.1WindowsServer2003支持的文件系統3．NTFS的安全性6.1.2NTFS的安全性（1）許可權。（2）審計。（3）擁有權。（4）可靠的文件清除。（5）上次訪問時間標記。（6）自動緩寫功能。（7）熱修復功能。（8）磁盤鏡像功能。（9）有校驗的磁盤條帶化。（10）文件加密。6.2資源共享1.手工設置共享文件夾6.2.1設置資源共享（1）打開資源管理器，選中需要設置為共享資源的文件夾，右擊鼠標，在彈出的快捷菜單中選擇“共享和安全”項（2）在對話框中選中“共享該文件夾”后，就可以為共享文件夾設置共享名稱和簡單的描述內容。若單擊“權限”按鈕，還可以設置共享權限。第6章文件系統管理與資源共享6.2資源共享2.在“計算機管理”中設置共享資源6.2.1設置資源共享（1）也可以在“開始”→“程序”→“管理工具”→“計算機管理”中找到“共享文件夾”管理項目，展開左側“共享文件夾”。（2）右擊“共享”選項，從彈出的快捷菜單中選擇“新建共享”選項，即可運行“共享文件夾向導”。3.特殊共享常見的特殊共享：

driveletter$ADMIN$IPC$

PRINT$共享文件夾共享文件夾需求條件共享某個文件夾授予權限和修改共享文件夾的設置值共享文件夾需求條件需求條件由以下因素確定:共享的文件夾駐留計算機是在域中，還是工作組中。共享的文件夾駐留計算機上運行的操作系統。為了共享文件夾你必須是組成員在Windows2003域管理員或服務器操作員組在Windows2003工作組管理員或超級用戶在運行Windowsxp

計算機的客戶端管理員或超級用戶共享某個文件夾Netshare

共享一個文件夾Netsharesharename=“路徑＝…”如：netshareoffice2003=c:\office刪除共享Netsharesharename/del如:netshareoffice/del小知識：fsmgmt.msc

共享文件夾管理器

共享文件夾權限Data共享文件夾許可權限讀取更改完全控制User共享文件夾的累積性拒絕:超越其它所有許可盡量不要授權授予權限和修改共享文件夾的設置值當你為共享文件夾授予權限:共享文件夾可以駐留在格式化為NTFS、FAT或者FAT32文件系統的硬盤上在NTFS卷上，用戶還需要適宜的NTFS權限可以修改共享文件夾的設置:停止共享文件夾、修改共享文件名、修改許可、對一個文件夾創建多次共享、移除共享、復制和移動一個共享文件夾使用管理型共享文件夾管理員可利用管理共享文件夾執行日常管理任務管理對普通用戶隱藏的共享文件夾管理員擁有“完全控制”權限IPC$：文件服務器無法停用SharePurposeC$,D$,E$每個分區根默認共享Admin$C:\Winnt

共享成為Admin$（遠程管理）Print$包含打印機驅動程序文件的文件夾共享為

Print$(創建于安裝第一臺打印機時)查看、創建共享文件夾的方法查看、創建共享文件夾的方法：文件服務器管理計算機管理fsmgmt.mscNetshare其他創建共享文件夾的方法：創建資源管理器、Web共享查看共享訪問共享文件夾23網上鄰居1訪問共享文件夾Web瀏覽器訪問Web共享訪問普通共享UNC路徑的使用：運行對話框瀏覽器資源管理器、我的電腦映射網絡驅動器隱藏共享訪問時不要忘記“$”6.2資源共享6.2.2訪問網絡共享資源企業網絡中的客戶端計算機，可以根據需要采用不同方式訪問網絡共享資源。1.使用網上鄰居2.使用UNC路徑UNC，即UniversalNamimgConversion是用于命名文件和其他資源的一種約定，以兩個反斜杠“\”開頭，指明該資源位于網絡計算機上。3.映射網絡驅動器使用命令行工具：

netusedrive\\Servername\sharename卷影副本卷影副本服務功能：用戶可以通過“共享文件夾的卷影副本”功能，讓系統自動在指定的時間將所有共享文件夾內的文件復制到另外一個存儲區內備用。當用戶通過網絡訪問共享文件夾內的文件時，若用戶將文件刪除或者修改文件的內容后，卻反悔想要救回該文件或者想要還原文件的原來內容時，他可以通過“卷影副本”存儲區內的舊文件來達到目的，因為系統之前已經將共享文件夾內的所有文件，都復制到“卷影副本”存儲區域內。啟用“共享文件夾的卷影副本”功能隱藏的SystemVolumeInfomation系統會以共享文件夾所在的磁盤空間決定“卷影副本”儲存區的容量大小，默認是會配置該磁盤空間的10％作為“卷影副本”的存儲區域，而且該區域的大小最下需要100MB。用戶可以改變隱藏的SystemVolumeInformation的位置，不過必須在啟用“卷影副本”功能前更改，啟用后就無法更改了。更改隱藏的SystemVolumeInfomation安裝客戶端和客戶端訪問

％Windir％\system32\clients\twclient\x86客戶端訪問

權限和數量“卷影副本”內的文件只可以讀取，不可以修改，而且每個磁盤最多只可以有64個“卷影副本”，如果達到限制時則最舊的“卷影副本”會被刪除。6.3資源訪問權限的控制

6.3.1NTFS權限的概述

NTFS權限只適用于NTFS磁盤分區。NTFS權限不能用于由FAT或者FAT32文件系統格式化的磁盤分區。Windows2000/2003只為用NTFS進行格式化的磁盤分區提供NTFS權限。1.NTFS權限的類型（1）NTFS文件夾權限讀取（Read）寫入（Write）列出文件夾內容（ListFolderContents）讀取和運行（Read&Execute）修改（Modify）完全控制（FullControl）第6章文件系統管理與資源共享6.3資源訪問權限的控制

6.3.1NTFS權限的概述

（2）NTFS文件權限

讀取（Read）

寫入（Write）

讀取和運行（Read&Execute）

修改（Modify）

完全控制（FullControl）2.多重NTFS權限（1）權限是累積的（2）文件權限超越文件夾權限（3）拒絕權限超越其他權限6.3.2共享文件夾權限與NTFS文件系統權限的組合

共享文件夾權限具有以下特點：共享文件夾權限只適用于文件夾，而不適用于單獨的文件。共享文件夾權限并不對直接登錄到計算機上的用戶起作用，它們只適用于通過網絡連接該文件夾的用戶。在FAT/FAT32系統卷上，共享文件夾權限是保證網絡資源被安全訪問的唯一方法。默認的共享文件夾權限是讀取，并被指定給Everyone組。6.3資源訪問權限的控制

6.3.2共享文件夾權限與NTFS文件系統權限的組合

當在NTFS卷上為共享文件夾授予權限時，應遵循如下規則：可以對共享文件夾中的文件和子文件夾應用NTFS權限。可以對共享文件夾中包含的每個文件和子文件夾應用不同的NTFS權限。除共享文件夾權限外，用戶必須要有該共享文件夾包含的文件和子文件夾的NTFS權限，才能訪問那些文件和子文件夾。在NTFS卷上必須要求NTFS權限。默認Everyone組具有“完全控制”權限。6.3資源訪問權限的控制

6.3.3NTFS權限的繼承性1.權限的繼承性默認情況下，授予父文件夾的任何權限也將應用于包含在該文件夾中的子文件夾和文件。當授予訪問某個文件夾的NTFS權限時，就將授予該文件夾的NTFS權限授予了該文件夾中任何現有的文件和子文件夾，以及在該文件夾中創建的任何新文件和新的子文件夾。2.阻止權限的繼承性阻止權限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權限。為了阻止權限的繼承，要刪除繼承來的權限，只保留被明確授予的權限。6.3資源訪問權限的控制

6.3

資源訪問權限的控制NTFS權限可以實現高度的本地安全性，通過對用戶賦予NTFS權限可以有效地控制用戶對文件和文件夾的訪問。NTFS分區上的每一個文件和文件夾都有一個列表，被稱為ACL（AccessControlList，訪問控制列表），該列表記錄了每一用戶和組對該資源的訪問權限。在默認情況下NTFS權限具有繼承性，即文件和文件夾繼承來自其上層文件夾的權限。NTFS權限介紹文件權限文件夾權限完全控制修改讀取和執行 寫入讀取列出文件夾目錄完全控制修改讀取和運行寫入讀取標準NTFS文件權限的類型NTFS權限介紹NTFS分區ACLUser1User2讀取Group1User1讀取Group1完全控制完全控制使用NTFS權限控制文件與文件夾的訪問

文件夾屬性——可以看到添加的用戶高級安全設置權限項目對話框高級安全設置——所有者選項卡高級安全設置——有效權限多個NTFS權限NTFS權限的累積文件權限超越文件夾權限拒絕權限超越其它權限File1File2GroupBGroupADenyWritetoFile2WriteUser1ReadRead/WriteFolderANTFSPartition

NTFS權限的使用法則權限最大法則（權限的累加性）

用戶對每個資源的有效權限是其所有權限的總和文件權限超越文件夾權限拒絕權限超越其它所有權限

權限的兩種狀態：“允許”和“拒絕”。不允許，也不拒絕NTFS權限繼承AccesstoFolderBFolderAFolderB權限繼承Read/Write阻止權限繼承NoaccesstoFolderBFolderAFolderBFolderCRead/WriteNTFS權限繼承權限繼承授予父文件夾的任何權限也將應用于包含在該文件夾中的子文件夾和文件．包括新建的文件和文件夾。阻止權限繼承刪除繼承來的權限，只保留被明確授予的權限.這時，被阻止從父文件夾繼承權限的子文件夾就成新的父文件夾。6.3.5利用NTFS權限管理數據1.授予標準NTFS權限（1）NTFS文件夾權限（2）NTFS文件權限2.授予特殊訪問權限有13項Special訪問權限，把他們組合在一起就構成了標準的NTFS權限。其中兩個Special訪問權限，對于管理文件和文件夾的訪問來說特別有用。（1）更改權限。（2）獲得所有權。6.3資源訪問權限的控制

復制和移動文件夾是NTFS權限的變化實驗之前在目標和本地創建新的文件夾和文件，首先確定目標和本地的權限，移動或復制之后，得出結論，復制或移動的文件是保留源文件夾的權限，還是繼承目的文件夾的權限NTFSPartitionC:\NTFSPartitionE:\NTFSPartitionD:\MoveCopyCopyOrMove移動和拷貝對NTFS權限的影響同一NTFS分區同一NTFS分區Inherits繼承目標不同NTFS分區不同NTFS分區D繼承目標C復制移動A復制保留原有B移動6.3.4復制和移動文件和文件夾1.復制文件和文件夾

當從一個文件夾向另一個文件夾復制文件或者文件夾時，或者從一個磁盤分區向另一個磁盤分區復制文件或者文件夾時，這些文件或者文件夾具有的權限可能發生變化。2.移動文件和文件夾

當移動某個文件或者文件夾的位置時，依賴于目的地文件夾的權限情況，針對這些文件或者文件夾的權限可能發生變化。6.3資源訪問權限的控制

課堂討論:應用NTFS權限UsersGroup

對文件夾１有讀的權限SalesGroup

對文件夾２有寫的權限UsersGroup

對文件夾１有修改的權限文件２只能被salesgroup組訪問，并且是讀的權限File2文件夾1文件夾２File1UsersGroupSalesGroupUser11？2？NTFSPartitionUsersGroup

對文件夾1有寫的權限SalesGroup

對文件夾1有讀的權限關于授予NTFS權限的最佳實踐盡量用為組授權代替為用戶授權將資源分類分組管理只授予用戶要求級別的訪問權限針對應用程序文件夾授權時,授予“讀和執行”權限按照組的成員所要求的對資源的訪問方式創建組6.4加密文件系統（EFS）與壓縮

6.4.1加密文件系統概述

EFS具有下面幾個關鍵的功能特征：（1）它在后臺運行，對用戶和應用程序來說是透明的。（2）只有被授權的用戶才能訪問加密的文件。（3）它提供內置的數據恢復支持功能。（4）它要求至少有一個恢復代理，用以恢復加密的文件。第6章文件系統管理與資源共享6.4加密文件系統（EFS）與壓縮

6.4.2加密文件或文件夾

使用加密文件系統需要注意以下事項：為確保最高安全性，在創建敏感文件以前將其所在的文件夾加密。因為這樣所創建的文件將是加密文件，文件的數據就不會以純文本的格式寫到磁盤上。加密文件夾而不是加密單獨的文件，以便如果程序在編輯期間創建了臨時文件，這些臨時文件也會被加密。指定的故障恢復代理應該將數據恢復證書和私鑰導出到磁盤中，并確保它們處于安全的位置，同時將數據恢復私鑰從系統中刪除。這樣，唯一可以為系統恢復數據的人就是可以物理訪問數據恢復私鑰的人。6.4

加密文件系統（EFS）與壓縮EFS內置于Windows2003中的NTFS文件系統中。利用EFS可以啟用基于公共密鑰的文件級或者文件夾級的保護功能。特征

（1）它在后臺運行，對用戶和應用程序來說是透明的。（2）只有被授權的用戶才能訪問加密的文件。（3）它提供內置的數據恢復支持功能。（4）它要求至少有一個恢復代理，用以恢復加密的文件。注意：加密操作和壓縮操作是互斥的。因此，建議或者采用加密技術，或者對文件進行壓縮，二者不能同時采用。加密文件或文件夾6.4加密文件系統（EFS）與壓縮

6.4.3備份密鑰

操作過程：（1）運行certmgr.MSC

（2）依次打開“當前用戶”→“個人”→“證書”目錄樹，打開“證書導出向導”對話框。（3）進入“導出私鑰”對話框，選“是，導出私鑰”按鈕。（4）進入“導出文件格式”對話框。選“個人信息交換-PKCS#12（.PFX）”。（5）指定在導入證書時要用到的密碼。（6）指定要導出證書和私鑰的文件名和位置。（7）繼續安裝，完成證書導出向導。（8）回到“證書控制臺”窗口，可以看到后綴名為“pfx”的證書文件。實驗：EFS加密恢復1、授權訪問：2、證書恢復：jw登錄，加密自己的文件，然后將自己的私鑰導出jy登錄，將jw的私鑰導入，然后即可打開jw加密的文件

XP/2003的EFS恢復代理6.4加密文件系統（EFS）與壓縮

6.4.4文件壓縮

1.NTFS壓縮NTFS壓縮是NTFS文件系統內置的功能，壓縮和解壓縮對于用戶而言是透明的。用戶對文件或文件夾應用壓縮時，系統會在后臺自動對文件或文件夾進行壓縮和解壓，用戶無需干涉。2.壓縮（zipped）文件夾壓縮NTFS壓縮只能應用在NTFS卷上，用壓縮文件夾進行文件壓縮可以應用在FAT16、FAT32和NTFS卷上。利用資源管理器創建壓縮文件夾，復制到該文件夾下的文件被自動壓縮。兩種壓縮類型NTFS壓縮壓縮文件夾NTFS壓縮的特點系統必須有NTFS驅動器，否則不能實現NTFS壓縮可以利用NTFS壓縮文件，文件夾和NTFS驅動器可以壓縮一個文件夾而不壓縮其中的內容可以直接使用NTFS壓縮文件，而不必將它們解壓縮使用NTFS壓縮文件時會降低性能可以使用不同的顏色來顯示壓縮文件和文件夾名稱NTFS壓縮文件和文件夾僅當它們存儲在NTFS驅動器時才會保持壓縮狀態壓縮文件夾的特點可以在FAT、FAT32、NTFS分區上壓縮文件可以直接運行壓縮文件夾中的某些程序，而無需將其解壓，還可以直接從壓縮文件夾打開文件可以將壓縮文件和文件夾移動到計算機上的任意驅動器或文件夾，它們與其他文件壓縮程序兼容可以通過拉鏈圖標來識別這種壓縮文件夾不會降低計算機性能要壓縮文件夾壓縮單個文件，必須先創建一個壓縮文件夾，然后將這些文件移動或復制到這個文件夾NTFS和壓縮文件夾壓縮屬性NTFS壓縮壓縮文件夾文件系統NTFSFAT、FAT32、NTFS壓縮對象文件、文件夾、驅動器文件、文件夾對系統性能影響降低系統性能無影響口令保護無可實現文件加密無文件加密可實現文件加密顏色標識有無

圖標標識無可用拉鏈標識移動和拷貝對NTFS壓縮屬性的影響同一NTFS分區保留原有同一NTFS分區Inherits繼承目標A復制不同NTFS分區不同NTFS分區DB移動繼承目標C復制移動關于壓縮屬性的最佳實踐確定壓縮文件類型

不要重復壓縮為壓縮文件和壓縮文件夾使用不同顏色加以區別壓縮不經常使用的數據6.5分布式文件系統

6.5.1分布式文件系統的概述

分布式文件系統有兩種類型：域分布式文件系統和獨立的根目錄分布式文件系統。l.DFS名稱空間2.DFS根目錄類型：獨立根目錄和基于域的根目錄。3.目錄目標4.DFS鏈接：DFS名稱空間內的一個邏輯文件夾5.目標DFS根目錄或DFS鏈接的映射目標，對應于在網絡上共享的物理目錄。（1）域根目錄（2）獨立的根目錄第6章文件系統管理與資源共享DFS根的類型

DFS根——由DFS形成的共享文件夾樹狀結構的根目錄，也稱為DFS根目錄。DFS根是整個DFS樹狀拓撲結構的起點，在“網上鄰居”中以共享文件夾形式顯示。其中包含指向其他服務器上的共享文件夾的DFS鏈接。DFS根包括兩種類型：獨立DFS根和域DFS根DFS根的類型獨立DFS根域DFS根位置創建該根的計算機的注冊表中，不發布到AD中。獨立DFS根可以放置在任何一臺計算機上。域中的DC或成員服務器上，并發布到AD中。

特點沒有根級別的DFS共享文件夾；不提供容錯和負載均衡的功能（不存在副本）；只支持單一級別的DFS鏈接。有根級別的DFS共享文件夾；支持多個級別的DFS鏈接。提供容錯和負載均衡的功能（存在副本）。

創建DFS根

創建DFS根需要考慮的因素：DFS根類型DFS根所存在的域在眾多服務器中選擇一個