第二部分 配置與管理文件系統(tǒng)

項目5 管理文件系統(tǒng)與共享資源

5.1 FAT與NTFS文件系統(tǒng)

文件和文件夾是計算機系統(tǒng)組織數(shù)據(jù)的集合單位。Windows Server 2012提供了強大的文件管理功能，其NTFS文件系統(tǒng)具有高安全性能，用戶可以十分方便地在計算機或網(wǎng)絡上處理、使用、組織、共享和保護文件及文件夾。

文件系統(tǒng)是指文件命名、存儲和組織的總體結(jié)構(gòu)，運行Windows Server 2012的計算機的磁盤分區(qū)可以使用3種類型的文件系統(tǒng)：FAT16、FAT32和NTFS。

5.1.1 FAT文件系統(tǒng)

FAT（File Allocation Table）是指文件分配表，包括FAT16和FAT32兩種。FAT是一種適合小卷集、對系統(tǒng)安全性要求不高、需要雙重引導的用戶應選擇使用的文件系統(tǒng)。

在推出FAT32文件系統(tǒng)之前，通常PC使用的文件系統(tǒng)是FAT16，如MS-DOS、Windows 95等系統(tǒng)。FAT16支持的最大分區(qū)是216（即65536）個簇，每簇64個扇區(qū)，每扇區(qū)512字節(jié)，所以最大支持分區(qū)為2.147GB。FAT16最大的缺點就是簇的大小是和分區(qū)有關(guān)的，這樣當外存中存放較多小文件時，會浪費大量的空間。FAT32是FAT16的派生文件系統(tǒng)，支持大到2TB（2048GB）的磁盤分區(qū)。它使用的簇比FAT16小，從而有效地節(jié)約了磁盤空間。

FAT文件系統(tǒng)是一種最初用于小型磁盤和簡單文件夾結(jié)構(gòu)的簡單文件系統(tǒng)。它向后兼容，最大的優(yōu)點是適用于所有的Windows操作系統(tǒng)。另外，F(xiàn)AT文件系統(tǒng)在容量較小的卷上使用比較好，因為FAT啟動只使用非常少的開銷。FAT在容量低于512 MB的卷上工作最好，當卷容量超過1.024GB時，效率就顯得很低。對于400~500MB的卷，F(xiàn)AT文件系統(tǒng)相對于NTFS文件系統(tǒng)來說是個比較好的選擇。不過對于使用Windows Server 2012的用戶來說，F(xiàn)AT文件系統(tǒng)則不能滿足系統(tǒng)的要求。

5.1.2 NTFS文件系統(tǒng)

NTFS（New Technology File System）是Windows Server 2012推薦使用的高性能文件系統(tǒng)。它支持許多新的文件安全、存儲和容錯功能，而這些功能也正是FAT文件系統(tǒng)所缺少的。

NTFS是從Windows NT開始使用的文件系統(tǒng)，它是一個特別為網(wǎng)絡和磁盤配額、文件加密等管理安全特性設(shè)計的磁盤格式。NTFS文件系統(tǒng)包括文件服務器和高端個人計算機所需的安全特性，它還支持對于關(guān)鍵數(shù)據(jù)以及十分重要的數(shù)據(jù)訪問控制和私有權(quán)限。除了可以賦予計算機中的共享文件夾特定權(quán)限外，NTFS文件和文件夾無論共享與否都可以賦予權(quán)限，NTFS是唯一允許為單個文件指定權(quán)限的文件系統(tǒng)。但是，當用戶從NTFS卷移動或復制文件到FAT卷時，NTFS文件系統(tǒng)權(quán)限和其他特有屬性將會丟失。

NTFS文件系統(tǒng)設(shè)計簡單但功能強大，從本質(zhì)上講，卷中的一切都是文件，文件中的一切都是屬性。從數(shù)據(jù)屬性到安全屬性，再到文件名屬性，NTFS卷中的每個扇區(qū)都分配給了某個文件，甚至文件系統(tǒng)的超數(shù)據(jù)（描述文件系統(tǒng)自身的信息）也是文件的一部分。

如果安裝Windows Server 2012系統(tǒng)時采用了FAT文件系統(tǒng)，用戶也可以在安裝完畢之后使用命令convert.exe把FAT分區(qū)轉(zhuǎn)化為NTFS分區(qū)。

        Convert D:/FS:NTFS

上面的命令是將D盤轉(zhuǎn)換成NTFS格式。無論是在運行安裝程序中還是在運行安裝程序之后，相對于重新格式化磁盤來說，這種轉(zhuǎn)換不會使用戶的文件受到損害。但由于Windows 95/98系統(tǒng)不支持NTFS文件系統(tǒng)，所以在要配置雙重啟動系統(tǒng)時，即在同一臺計算機上同時安裝Windows Server 2012和其他操作系統(tǒng)（如Windows 98）時，則可能無法從計算機上的另一個操作系統(tǒng)訪問NTFS分區(qū)上的文件。

5.2 項目設(shè)計及分析

本項目所有實例都部署在圖5-1所示的環(huán)境下。其中Win2012-0是物理主機，也是Hyper-V服務器，Win2012-1和Win2012-2是Hyper-V服務器的2臺虛擬機。在Win2012-1與Win2012-2上可以測試資源共享情況，而資源訪問權(quán)限的控制、加密文件系統(tǒng)與壓縮、分布式文件系統(tǒng)等在Win2012-1上實施并測試。

5.3 項目實施

按圖5-1所示，配置好Win2012-1和Win2012-2的所有參數(shù)，保證Win2012-1和Win2012-2之間通信暢通。建議將Hyper-V中虛擬網(wǎng)絡的模式設(shè)置為“專用”。

5.3.1 設(shè)置資源共享

為安全起見，默認狀態(tài)下，服務器中所有的文件夾都不被共享。而創(chuàng)建文件服務器時，又只創(chuàng)建一個共享文件夾。因此，若要授予用戶某種資源的訪問權(quán)限，必須先將該文件夾設(shè)置為共享，然后賦予授權(quán)用戶相應的訪問權(quán)限。創(chuàng)建不同的用戶組，并將擁有相同訪問權(quán)限的用戶加入同一用戶組，會使用戶權(quán)限的分配變得簡單而快捷。

1．在“計算機管理”對話框中設(shè)置共享資源

STEP 1 在Win2012-1上依次選擇“開始”→“管理工具”→“計算機管理”命令，在打開的窗口中展開左窗格中的“共享文件夾”，如圖5-2所示。該“共享文件夾”提供有關(guān)本地計算機上的所有共享、會話和打開的文件的相關(guān)信息，可以查看本地和遠程計算機的連接和資源使用概況。

STEP 2 在右窗格中右擊“共享”圖標，在彈出的快捷菜單中選擇“新建共享”命令，即可打開“創(chuàng)建共享文件夾向?qū)А睂υ捒颉Ｗ⒁鈾?quán)限的設(shè)置，如圖5-3所示。其他操作過程不再詳述。

2．特殊共享

前面提到的共享資源中有一些是系統(tǒng)自動創(chuàng)建的，如C$、IPC$等。這些系統(tǒng)自動創(chuàng)建的共享資源就是這里所指的“特殊共享”，它們是Windows Server 2012用于本地管理和系統(tǒng)使用的。一般情況下，用戶不應該刪除或修改這些特殊共享。

由于被管理計算機的配置情況不同，共享資源中所列出的這些特殊共享也會有所不同。

下面列出了一些常見的特殊共享。

driveletter$：為存儲設(shè)備的根目錄創(chuàng)建的一種共享資源。顯示形式為C$、D$等。例如，D$號是一個共享名，管理員通過它可以從網(wǎng)絡上訪問驅(qū)動器。值得注意的是，只有Administrators組、PowerUsers組和Server Operators組的成員才能連接這些共享資源。

ADMIN$：在遠程管理計算機的過程中系統(tǒng)使用的資源。該資源的路徑通常指向Windows Server 2012系統(tǒng)目錄的路徑。同樣，只有Administrators組、PowerUsers組和Server Operators組的成員才能連接這些共享資源。

IPC$：共享命名管道的資源，它對程序之間的通信非常重要。在遠程管理計算機的過程及查看計算機的共享資源時使用。

PRINT$：在遠程管理打印機的過程中使用的資源。

5.3.2 訪問網(wǎng)絡共享資源

企業(yè)網(wǎng)絡中的客戶端計算機，可以根據(jù)需要采用不同方式訪問網(wǎng)絡共享資源。

1．利用網(wǎng)絡發(fā)現(xiàn)

分別以student1和administrator的身份訪問Win2012-1中所設(shè)的共享share1。步驟如下。

STEP 1 在Win2012-2上單擊左下角的資源管理器圖標，打開“資源管理器”窗口。單擊窗口左下角的“網(wǎng)絡”鏈接，打開Win2012-2的“網(wǎng)絡”對話框，如圖5-4所示。

STEP 2 雙擊“Win2012-1”計算機，彈出“Windows安全”對話框。輸入student1用戶及密碼，連接到Win2012-1，如圖5-5所示。（用戶student1是Win2012-1下的用戶。）

STEP 3 單擊“確定”按鈕，打開“Win2012-1”上的共享文件夾，如圖5-6所示。

STEP 4 雙擊“share1”共享文件夾，嘗試在下面新建文件，失敗。

STEP 5 注銷Win2012-2，重新執(zhí)行STEP 1~STEP 4的操作。注意本次輸入Win2012-1的administrator用戶及密碼，連接到Win2012-1，驗證5.3.1小節(jié)設(shè)置的共享的權(quán)限情況。

2．使用UNC路徑

UNC（Universal Naming Conversion，通用命名標準）是用于命名文件和其他資源的一種約定，以兩個反斜杠“\”開頭，指明該資源位于網(wǎng)絡計算機上。UNC路徑的格式為：

        \\Servername\sharename

其中，Servername是服務器的名稱，也可以用IP地址代替，而sharename是共享資源的名稱。目錄或文件的UNC名稱也可以把目錄路徑包括在共享名稱之后，其語法格式如下：

        \\Servername\sharename\directory\filename

本例在Win2012-2的“運行”對話框中輸入以下命令，并分別以不同用戶連接到Win2012-1上來測試5.3.1小節(jié)所設(shè)共享。

        \\192.168.10.2\share1

或者

        \\Win2012-1\share1

5.3.3 使用卷影副本

用戶可以通過“共享文件夾的卷影副本”功能，讓系統(tǒng)自動在指定的時間將所有共享文件夾內(nèi)的文件復制到另外一個存儲區(qū)內(nèi)備用。當用戶通過網(wǎng)絡訪問共享文件夾內(nèi)的文件，將文件刪除或者修改文件的內(nèi)容后，卻反悔想要恢復該文件或者想要還原文件原來的內(nèi)容時，可以通過“卷影副本”存儲區(qū)內(nèi)的舊文件來達到目的，因為系統(tǒng)之前已經(jīng)將共享文件夾內(nèi)的所有文件都復制到“卷影副本”存儲區(qū)內(nèi)。

1．啟用“共享文件夾的卷影副本”功能

在Win2012-1上，在共享文件夾share1下建立test1和test2兩個文件夾，并在該共享文件夾所在的計算機Win2012-1上啟用“共享文件夾的卷影副本”功能。操作步驟如下。

STEP 1 選擇“開始”→“管理工具”→“計算機管理”命令，打開“計算機管理”對話框。

STEP 2 右擊“共享文件夾”，在彈出的快捷菜單中選擇“所有任務”→“配置卷影副本”命令，如圖5-7所示。

STEP 3 在打開的“卷影副本”對話框中，選擇要啟用“卷影復制”的驅(qū)動器（例如C:），單擊“啟用”按鈕，如圖5-8所示。再單擊“是”按鈕，此時，系統(tǒng)會自動為該磁盤創(chuàng)建第一個“卷影副本”，也就是將該磁盤內(nèi)所有共享文件夾內(nèi)的文件都復制到“卷影副本”存儲區(qū)內(nèi)，而且系統(tǒng)默認以后會在星期一至星期五的上午7:00與下午12:00兩個時間點分別自動添加一個“卷影副本”，也就是在這兩個時間到達時會將所有共享文件夾內(nèi)的文件復制到“卷影副本”存儲區(qū)內(nèi)備用。

STEP 4 如圖5-8所示，C盤已經(jīng)有兩個“卷影副本”，用戶還可以隨時單擊圖中的“立即創(chuàng)建”按鈕，自行創(chuàng)建新的“卷影副本”。用戶在還原文件時，可以選擇在不同時間點所創(chuàng)建的“卷影副本”內(nèi)的舊文件來還原文件。

STEP 5 系統(tǒng)會以共享文件夾所在磁盤的磁盤空間決定“卷影副本”存儲區(qū)的容量大小，默認配置該磁盤空間的10%作為“卷影副本”的存儲區(qū)，而且該存儲區(qū)最小需要100MB。如果要更改其容量，單擊圖5-8中的“設(shè)置”按鈕，打開如圖5-9所示的“設(shè)置”對話框。然后在“最大值”處更改設(shè)置。可以單擊“計劃”按鈕來更改自動創(chuàng)建“卷影副本”的時間點。用戶還可以通過圖中的“位于此卷”來更改存儲“卷影副本”的磁盤，不過必須在啟用“卷影副本”功能前更改，啟用后就無法更改了。

2．客戶端訪問“卷影副本”內(nèi)的文件

本例任務：先將Win2012-1上的share1文件夾下面的test1文件夾刪除，再用此前的卷影副本進行還原，測試是否恢復了test1文件夾。

STEP 1 在Win2012-2上，以Win2012-1計算機的administrator用戶身份連接到Win2012-1上的共享文件夾。刪除share1下面的test1文件夾。

STEP 2 右擊share1文件夾，打開“share1（\\Win2012-2）屬性”對話框。單擊“以前的版本”選項卡，如圖5-10所示。

STEP 3 選中“share12016/2/14/19:20”版本，通過單擊“打開”按鈕可查看該時間點內(nèi)的文件夾內(nèi)容，通過單擊“復制”按鈕可以將該時間點的share1文件夾復制到其他位置，通過單擊“還原”按鈕可以將文件夾還原到該時間點的狀態(tài)。在此單擊“還原”按鈕，還原誤刪除的test1文件夾。

STEP 4 打開share1文件夾，檢查test1文件夾是否被恢復。

5.3.4 認識NTFS權(quán)限

利用NTFS權(quán)限，可以控制用戶賬號和組對文件夾和個別文件的訪問。

NTFS權(quán)限只適用于NTFS磁盤分區(qū)。NTFS權(quán)限不能用于由FAT或者FAT32文件系統(tǒng)格式化的磁盤分區(qū)。

Windows 2008只為用NTFS進行格式化的磁盤分區(qū)提供NTFS權(quán)限。為了保護NTFS磁盤分區(qū)上的文件和文件夾，要為需要訪問該資源的每一個用戶賬號授予NTFS權(quán)限。用戶必須獲得明確的授權(quán)才能訪問資源。用戶賬號如果沒有被組授予權(quán)限，它就不能訪問相應的文件或者文件夾。不管用戶是訪問文件還是訪問文件夾，也不管這些文件或文件夾是在計算機上還是在網(wǎng)絡上，NTFS的安全性功能都有效。

對于NTFS磁盤分區(qū)上的每一個文件和文件夾，NTFS都存儲一個遠程訪問控制列表（ACL）。ACL中包含那些被授權(quán)訪問該文件或者文件夾的所有用戶賬號、組和計算機，還包含它們被授予的訪問類型。為了讓一個用戶訪問某個文件或者文件夾，針對用戶賬號、組或者該用戶所屬的計算機，ACL中必須包含一個相對應的元素，這樣的元素叫作訪問控制元素（ACE）。為了讓用戶能夠訪問文件或者文件夾，訪問控制元素必須具有用戶所請求的訪問類型。如果ACL中沒有相應的ACE存在，Windows Server 2012就拒絕該用戶訪問相應的資源。

1．NTFS權(quán)限的類型

可以利用NTFS權(quán)限指定哪些用戶、組和計算機能夠訪問文件和文件夾。NTFS權(quán)限也指明哪些用戶、組和計算機能夠操作文件中或者文件夾中的內(nèi)容。

（1）NTFS文件夾權(quán)限

可以通過授予文件夾權(quán)限，控制對文件夾和包含在這些文件夾中的文件和子文件夾的訪問。表5-1列出了可以授予的標準NTFS文件夾權(quán)限和各個權(quán)限提供的訪問類型。

（2）NTFS文件權(quán)限

可以通過授予文件權(quán)限，控制對文件的訪問。表5-2列出了可以授予的標準NTFS文件權(quán)限和各個權(quán)限提供給用戶的訪問類型。

2．多重NTFS權(quán)限

如果將針對某個文件或者文件夾的權(quán)限授予個別用戶賬號，又授予某個組，而該用戶是該組的一個成員，那么該用戶就對同樣的資源有了多個權(quán)限。關(guān)于NTFS如何組合多個權(quán)限，存在一些規(guī)則和優(yōu)先權(quán)。除此之外，在復制或者移動文件和文件夾時，對權(quán)限也會產(chǎn)生影響。

（1）權(quán)限是累積的

一個用戶對某個資源的有效權(quán)限是授予這一用戶賬號的NTFS權(quán)限與授予該用戶所屬組的NTFS權(quán)限的組合。例如，如果用戶Long對文件夾Folder有“讀取”權(quán)限，該用戶又是某個組Sales的成員，而該組Sales對該文件夾Folder有“寫入”權(quán)限，那么該用戶對該文件夾Folder就有“讀取”和“寫入”兩種權(quán)限。

（2）文件權(quán)限超越文件夾權(quán)限

NTFS的文件權(quán)限超越NTFS的文件夾權(quán)限。例如，某個用戶對某個文件有“修改”權(quán)限，那么即使他對于包含該文件的文件夾只有“讀取”權(quán)限，他仍然能夠修改該文件。

（3）拒絕權(quán)限超越其他權(quán)限

可以拒絕某用戶賬號或者組對特定文件或者文件夾的訪問，為此，將“拒絕”權(quán)限授予該用戶賬號或者組即可。這樣，即使某個用戶作為某個組的成員具有訪問該文件或文件夾的權(quán)限，但是因為將“拒絕”權(quán)限授予該用戶，所以該用戶具有的任何其他權(quán)限也被阻止了。因此，對于權(quán)限的累積規(guī)則來說，“拒絕”權(quán)限是一個例外。應該避免使用“拒絕”權(quán)限，因為允許用戶和組進行某種訪問比明確拒絕他們進行某種訪問更容易做到。應該巧妙地構(gòu)造組和組織文件夾中的資源，使各種各樣的“允許”權(quán)限就足以滿足需要，從而可避免使用“拒絕”權(quán)限。

例如，用戶Long同時屬于Sales組和Manager組，文件File1和File2是文件夾Folder下面的兩個文件。其中，Long擁有對Folder的讀取權(quán)限，Sales擁有對Folder的讀取和寫入權(quán)限，Manager則被禁止對File2的寫操作。那么Long的最終權(quán)限是什么？

由于使用了“拒絕”權(quán)限，用戶Long擁有對Folder和File1的讀取和寫入權(quán)限，但對File2只有讀取權(quán)限。

3．共享文件夾權(quán)限與NTFS文件系統(tǒng)權(quán)限的組合

如何快速有效地控制對NTFS磁盤分區(qū)上網(wǎng)絡資源的訪問呢？答案就是利用默認的共享文件夾權(quán)限共享文件夾，然后，通過授予NTFS權(quán)限控制對這些文件夾的訪問。當共享的文件夾位于NTFS格式的磁盤分區(qū)上時，該共享文件夾的權(quán)限與NTFS權(quán)限進行組合，用以保護文件資源。

要為共享文件夾設(shè)置NTFS權(quán)限，可在Win2012-1上的“share1屬性”對話框中選擇“共享權(quán)限”選項卡，如圖5-11所示。

共享文件夾權(quán)限具有以下特點。

? 共享文件夾權(quán)限只適用于文件夾，而不適用于單獨的文件，并且只能為整個共享文件夾設(shè)置共享權(quán)限，而不能對共享文件夾中的文件或子文件夾進行設(shè)置。所以，共享文件夾不如NTFS文件系統(tǒng)權(quán)限詳細。

? 共享文件夾權(quán)限并不對直接登錄到計算機上的用戶起作用，只適用于通過網(wǎng)絡連接該文件夾的用戶，即共享權(quán)限對直接登錄到服務器上的用戶是無效的。

? 在FAT/FAT32系統(tǒng)卷上，共享文件夾權(quán)限是保證網(wǎng)絡資源被安全訪問的唯一方法。原因很簡單，就是NTFS權(quán)限不適用于FAT/FAT32卷。

? 默認的共享文件夾權(quán)限是讀取，并被指定給Everyone組。

共享權(quán)限分為讀取、修改和完全控制。不同權(quán)限以及對用戶訪問能力的控制如表5-3所示。

當管理員對NTFS權(quán)限和共享文件夾的權(quán)限進行組合時，結(jié)果是組合的NTFS權(quán)限，或者是組合的共享文件夾權(quán)限，哪個范圍更窄則選擇哪一個。

當在NTFS卷上為共享文件夾授予權(quán)限時，應遵循以下規(guī)則。

? 可以對共享文件夾中的文件和子文件夾應用NTFS權(quán)限。可以對共享文件夾中包含的每個文件和子文件夾應用不同的NTFS權(quán)限。

? 除共享文件夾權(quán)限外，用戶必須有該共享文件夾包含的文件和子文件夾的NTFS權(quán)限，才能訪問那些文件和子文件夾。

? 在NTFS卷上必須要求NTFS權(quán)限。默認Everyone組具有“完全控制”權(quán)限。

5.3.5 繼承與阻止NTFS權(quán)限

1．使用權(quán)限的繼承性

默認情況下，授予父文件夾的任何權(quán)限也將應用于包含在該文件夾中的子文件夾和文件。當授予訪問某個文件夾的NTFS權(quán)限時，就將授予該文件夾的NTFS權(quán)限授予了該文件夾中任何現(xiàn)有的文件和子文件夾，以及在該文件夾中創(chuàng)建的任何新文件和新的子文件夾。

如果想讓文件夾或者文件具有不同于它們父文件夾的權(quán)限，必須阻止權(quán)限的繼承性。

2．阻止權(quán)限的繼承性

阻止權(quán)限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權(quán)限。為了阻止權(quán)限的繼承，要刪除繼承來的權(quán)限，只保留被明確授予的權(quán)限。

被阻止從父文件夾繼承權(quán)限的子文件夾現(xiàn)在就成為新的父文件夾。包含在這一新的父文件夾中的子文件夾和文件將繼承授予它們的父文件夾的權(quán)限。

若要禁止權(quán)限繼承，以test2文件夾為例，打開該文件夾的“屬性”對話框，單擊“安全”選項卡，依次單擊“高級”→“權(quán)限”按鈕，出現(xiàn)如圖5-12所示的“test2的高級安全設(shè)置”對話框。選中某個要阻止繼承的權(quán)限，單擊“禁止繼承”按鈕，在彈出的“阻止繼承”菜單中選擇“將已繼承的權(quán)限轉(zhuǎn)換為此對象的顯示權(quán)限”或“從此對象中刪除所有已繼承的權(quán)限”命令。

5.3.6 復制和移動文件和文件夾

1．復制文件和文件夾

當從一個文件夾向另一個文件夾復制文件或者文件夾時，或者從一個磁盤分區(qū)向另一個磁盤分區(qū)復制文件或者文件夾時，這些文件或者文件夾具有的權(quán)限可能發(fā)生變化。復制文件或者文件夾對NTFS權(quán)限產(chǎn)生下述效果。

當在單個NTFS磁盤分區(qū)內(nèi)或在不同的NTFS磁盤分區(qū)之間復制文件夾或者文件時，文件夾或者文件的復件將繼承目的地文件夾的權(quán)限。

當將文件或者文件夾復制到非NTFS磁盤分區(qū)（如文件分配表FAT格式的磁盤分區(qū)）時，因為非NTFS磁盤分區(qū)不支持NTFS權(quán)限，所以這些文件夾或文件就丟失了它們的NTFS權(quán)限。

2．移動文件和文件夾

當移動某個文件或者文件夾的位置時，針對這些文件或者文件夾的權(quán)限可能發(fā)生變化，這主要依賴于目的地文件夾的權(quán)限情況。移動文件或者文件夾對NTFS權(quán)限產(chǎn)生下述效果。

當在單個NTFS磁盤分區(qū)內(nèi)移動文件夾或者文件時，該文件夾或者文件保留它原來的權(quán)限。

當在NTFS磁盤分區(qū)之間移動文件夾或者文件時，該文件夾或者文件將繼承目的地文件夾的權(quán)限。當在NTFS磁盤分區(qū)之間移動文件夾或者文件時，實際是將文件夾或者文件復制到新的位置，然后從原來的位置刪除它。

當將文件或者文件夾移動到非NTFS磁盤分區(qū)時，因為非NTFS磁盤分區(qū)不支持NTFS權(quán)限，所以這些文件夾和文件就丟失了它們的NTFS權(quán)限。

5.3.7 利用NTFS權(quán)限管理數(shù)據(jù)

在NTFS磁盤中，系統(tǒng)會自動設(shè)置默認的權(quán)限值，并且這些權(quán)限會被其子文件夾和文件所繼承。為了控制用戶對某個文件夾以及該文件夾中的文件和子文件夾的訪問，就需指定文件夾權(quán)限。不過，要設(shè)置文件或文件夾的權(quán)限，必須是Administrators組的成員、文件或者文件夾的擁有者，并且是具有完全控制權(quán)限的用戶。

1．授予標準NTFS權(quán)限

授予標準NTFS權(quán)限包括授予NTFS文件夾權(quán)限和NTFS文件權(quán)限。

（1）NTFS文件夾權(quán)限

STEP 1 打開Windows資源管理器對話框，右擊要設(shè)置權(quán)限的文件夾，如Network，在彈出的快捷菜單中選擇“屬性”命令，打開“network屬性”對話框，選擇“安全”選項卡，如圖5-13所示。

STEP 2 默認已經(jīng)有一些權(quán)限設(shè)置，這些設(shè)置是從父文件夾（或磁盤）繼承來的。例如，在Administrator用戶的權(quán)限中，灰色陰影部分的權(quán)限就是繼承的權(quán)限。

STEP 3 如果要給其他用戶指派權(quán)限，可單擊“編輯”按鈕，出現(xiàn)如圖5-14所示的“network的權(quán)限”對話框。

STEP 4 依次單擊“添加”→“高級”→“立即查找”按鈕，從本地計算機上添加擁有對該文件夾訪問和控制權(quán)限的用戶或用戶組，如圖5-15所示。

STEP 5 選擇后單擊“確定”按鈕，擁有對該文件夾訪問和控制權(quán)限的用戶或用戶組就被添加到“組或用戶名”列表框中。由于新添加用戶sales的權(quán)限不是從父項繼承的，因此他們所有的權(quán)限都可以被修改。

STEP 6 如果不想繼承上一層的權(quán)限，可參照5.3.5小節(jié)的內(nèi)容進行修改，這里不再贅述。

（2）NTFS文件權(quán)限

文件權(quán)限的設(shè)置與文件夾權(quán)限的設(shè)置類似。要想對NTFS文件指派權(quán)限，直接在文件上右擊，在彈出的快捷菜單上選擇“屬性”命令，再在打開的對話框中選擇“安全”選項卡，可為該文件設(shè)置相應的權(quán)限。

2．授予特殊訪問權(quán)限

標準的NTFS權(quán)限通常能提供足夠的能力，用以控制對用戶的資源的訪問，以保護用戶的資源。但是，如果需要更為特殊的訪問級別，就可以使用NTFS的特殊訪問權(quán)限。

在文件或文件夾屬性對話框的“安全”選項卡中，依次單擊“高級”→“權(quán)限”按鈕，打開“network的高級安全設(shè)置”對話框，選中sales用戶項，如圖5-16所示。

單擊“編輯”按鈕，打開如圖5-17所示的“network的權(quán)限項目”對話框，可以更精確地設(shè)置sales用戶的權(quán)限。單擊“顯示基本權(quán)限”或“顯示高級權(quán)限”后，兩者會交替出現(xiàn)。

有14項特殊訪問權(quán)限，把它們組合在一起就構(gòu)成了標準的NTFS權(quán)限。例如，標準的“讀取”權(quán)限包含“列出文件夾/讀取數(shù)據(jù)”“讀取屬性”“讀取權(quán)限”及“讀取擴展屬性”等特殊訪問權(quán)限。

其中兩個特殊訪問權(quán)限對于管理文件和文件夾的訪問來說特別有用。

（1）更改權(quán)限

如果為某用戶授予這一權(quán)限，該用戶就具有了針對文件或者文件夾修改權(quán)限的能力。

可以將針對某個文件或者文件夾修改權(quán)限的能力授予其他管理員和用戶，但是不授予他們對該文件或者文件夾的“完全控制”權(quán)限。通過這種方式，這些管理員或者用戶不能刪除或者寫入該文件或者文件夾，但是可以為該文件或者文件夾授權(quán)。

為了將修改權(quán)限的能力授予管理員，將針對該文件或者文件夾的“更改權(quán)限”的權(quán)限授予Administrators組即可。

（2）取得所有權(quán)

如果為某用戶授予這一權(quán)限，該用戶就具有了取得文件和文件夾的所有權(quán)的能力。

可以將文件和文件夾的擁有權(quán)從一個用戶賬號或者組轉(zhuǎn)移到另一個用戶賬號或者組，也可以將“所有者”權(quán)限給予某個人。而作為管理員，也可以取得某個文件或者文件夾的所有權(quán)。

對于取得某個文件或者文件夾的所有權(quán)來說，需要應用下述規(guī)則。

? 當前的擁有者或者具有“完全控制”權(quán)限的任何用戶，可以將“完全控制”這一標準權(quán)限或者“取得所有權(quán)”這一Special訪問權(quán)限授予另一個用戶賬號或者組。這樣，該用戶賬號或者該組的成員就能取得所有權(quán)。

? Administrators組的成員可以取得某個文件或者文件夾的所有權(quán)，而不管為該文件夾或者文件授予了怎樣的權(quán)限。如果某個管理員取得了所有權(quán)，則Administrators組也取得了所有權(quán)。因而該管理員組的任何成員都可以修改針對該文件或者文件夾的權(quán)限，并且可以將“取得所有權(quán)”這一權(quán)限授予另一個用戶賬號或者組。例如，如果某個雇員離開了原來的公司，某個管理員即可取得該雇員的文件的所有權(quán)，將“取得所有權(quán)”這一權(quán)限授予另一個雇員，然后這一雇員就取得了前一雇員的文件的所有權(quán)。

5.4 習題

一、填空題

1．可供設(shè)置的標準NTFS文件權(quán)限有___、___、___、___、___、___。

2. Windows Server 2012系統(tǒng)通過在NTFS文件系統(tǒng)下設(shè)置___，限制不同用戶對文件的訪問級別。

3．相對于以前的FAT、FAT32文件系統(tǒng)來說，NTFS文件系統(tǒng)的優(yōu)點包括可以對文件設(shè)置___、___、___、___。

4．創(chuàng)建共享文件夾的用戶必須屬于___、___、___等用戶組的成員。

5．在網(wǎng)絡中可共享的資源有___和___。

6．要設(shè)置隱藏共享，需要在共享名的后面加___符號。

7．共享權(quán)限分為___、___和___3種。

二、判斷題

1．在NTFS文件系統(tǒng)下，可以對文件設(shè)置權(quán)限，而FAT和FAT32文件系統(tǒng)只能對文件夾設(shè)置共享權(quán)限，不能對文件設(shè)置權(quán)限。（　）

2．通常在管理系統(tǒng)中的文件時，要由管理員給不同用戶設(shè)置訪問權(quán)限，普通用戶不能設(shè)置或更改權(quán)限。（　）

3.NTFS文件壓縮必須在NTFS文件系統(tǒng)下進行，離開NTFS文件系統(tǒng)時，文件將不再壓縮。（　）

4．磁盤配額的設(shè)置不能限制管理員賬號。（　）

5．將已加密的文件復制到其他計算機后，以管理員賬號登錄就可以打開了。（　）

6．文件加密后，除加密者本人和管理員賬號外，其他用戶無法打開此文件。（　）

7．對于加密的文件不可執(zhí)行壓縮操作。（　）

三、簡答題

1．簡述FAT、FAT32和NTFS文件系統(tǒng)的區(qū)別。

2．重裝Windows Server 2012后，原來加密的文件為什么無法打開？

3．特殊權(quán)限與標準權(quán)限的區(qū)別是什么？

4．如果一位用戶擁有某文件夾的Write權(quán)限，而且還是該文件夾Read權(quán)限的成員，那么該用戶對該文件夾的最終權(quán)限是什么？

5．如果某員工離開公司，怎樣將他或她的文件所有權(quán)轉(zhuǎn)給其他員工？

6．如果一位用戶擁有某文件夾的Write權(quán)限和Read權(quán)限，但被拒絕對該文件夾內(nèi)某文件的Write權(quán)限，該用戶對該文件的最終權(quán)限是什么？

5.5 實訓項目 管理文件系統(tǒng)與共享資源

一、實訓目的

? 掌握設(shè)置共享資源和訪問共享資源的方法。

? 掌握卷影副本的使用方法。

? 掌握使用NTFS控制資源訪問的方法。

? 掌握使用文件系統(tǒng)加密文件的方法。

? 掌握壓縮文件的方法。

二、項目背景

項目網(wǎng)絡拓撲圖如圖5-1所示。

三、項目要求

完成以下各項任務。

（1）在Win2012-1上設(shè)置共享資源\test。

（2）在Win2012-2上使用多種方式訪問網(wǎng)絡共享資源。

（3）在Win2012-1上設(shè)置卷影副本，在Win2012-2上使用卷影副本。

（4）觀察共享權(quán)限與NTFS文件系統(tǒng)權(quán)限組合后的最終權(quán)限。

（5）設(shè)置NTFS權(quán)限的繼承性。

（6）觀察復制和移動文件夾后NTFS權(quán)限的變化情況。

（7）利用NTFS權(quán)限管理數(shù)據(jù)。

（8）加密特定文件或文件夾。

（9）壓縮特定文件或文件夾。

四、做一做

根據(jù)實訓項目錄像進行項目的實訓，檢查學習效果。