第二部分 配置與管理文件系統

項目5 管理文件系統與共享資源

5.1 FAT與NTFS文件系統

文件和文件夾是計算機系統組織數據的集合單位。Windows Server 2012提供了強大的文件管理功能，其NTFS文件系統具有高安全性能，用戶可以十分方便地在計算機或網絡上處理、使用、組織、共享和保護文件及文件夾。

文件系統是指文件命名、存儲和組織的總體結構，運行Windows Server 2012的計算機的磁盤分區可以使用3種類型的文件系統：FAT16、FAT32和NTFS。

5.1.1 FAT文件系統

FAT（File Allocation Table）是指文件分配表，包括FAT16和FAT32兩種。FAT是一種適合小卷集、對系統安全性要求不高、需要雙重引導的用戶應選擇使用的文件系統。

在推出FAT32文件系統之前，通常PC使用的文件系統是FAT16，如MS-DOS、Windows 95等系統。FAT16支持的最大分區是216（即65536）個簇，每簇64個扇區，每扇區512字節，所以最大支持分區為2.147GB。FAT16最大的缺點就是簇的大小是和分區有關的，這樣當外存中存放較多小文件時，會浪費大量的空間。FAT32是FAT16的派生文件系統，支持大到2TB（2048GB）的磁盤分區。它使用的簇比FAT16小，從而有效地節約了磁盤空間。

FAT文件系統是一種最初用于小型磁盤和簡單文件夾結構的簡單文件系統。它向后兼容，最大的優點是適用于所有的Windows操作系統。另外，FAT文件系統在容量較小的卷上使用比較好，因為FAT啟動只使用非常少的開銷。FAT在容量低于512 MB的卷上工作最好，當卷容量超過1.024GB時，效率就顯得很低。對于400~500MB的卷，FAT文件系統相對于NTFS文件系統來說是個比較好的選擇。不過對于使用Windows Server 2012的用戶來說，FAT文件系統則不能滿足系統的要求。

5.1.2 NTFS文件系統

NTFS（New Technology File System）是Windows Server 2012推薦使用的高性能文件系統。它支持許多新的文件安全、存儲和容錯功能，而這些功能也正是FAT文件系統所缺少的。

NTFS是從Windows NT開始使用的文件系統，它是一個特別為網絡和磁盤配額、文件加密等管理安全特性設計的磁盤格式。NTFS文件系統包括文件服務器和高端個人計算機所需的安全特性，它還支持對于關鍵數據以及十分重要的數據訪問控制和私有權限。除了可以賦予計算機中的共享文件夾特定權限外，NTFS文件和文件夾無論共享與否都可以賦予權限，NTFS是唯一允許為單個文件指定權限的文件系統。但是，當用戶從NTFS卷移動或復制文件到FAT卷時，NTFS文件系統權限和其他特有屬性將會丟失。

NTFS文件系統設計簡單但功能強大，從本質上講，卷中的一切都是文件，文件中的一切都是屬性。從數據屬性到安全屬性，再到文件名屬性，NTFS卷中的每個扇區都分配給了某個文件，甚至文件系統的超數據（描述文件系統自身的信息）也是文件的一部分。

如果安裝Windows Server 2012系統時采用了FAT文件系統，用戶也可以在安裝完畢之后使用命令convert.exe把FAT分區轉化為NTFS分區。

        Convert D:/FS:NTFS

上面的命令是將D盤轉換成NTFS格式。無論是在運行安裝程序中還是在運行安裝程序之后，相對于重新格式化磁盤來說，這種轉換不會使用戶的文件受到損害。但由于Windows 95/98系統不支持NTFS文件系統，所以在要配置雙重啟動系統時，即在同一臺計算機上同時安裝Windows Server 2012和其他操作系統（如Windows 98）時，則可能無法從計算機上的另一個操作系統訪問NTFS分區上的文件。

5.2 項目設計及分析

本項目所有實例都部署在圖5-1所示的環境下。其中Win2012-0是物理主機，也是Hyper-V服務器，Win2012-1和Win2012-2是Hyper-V服務器的2臺虛擬機。在Win2012-1與Win2012-2上可以測試資源共享情況，而資源訪問權限的控制、加密文件系統與壓縮、分布式文件系統等在Win2012-1上實施并測試。

5.3 項目實施

按圖5-1所示，配置好Win2012-1和Win2012-2的所有參數，保證Win2012-1和Win2012-2之間通信暢通。建議將Hyper-V中虛擬網絡的模式設置為“專用”。

5.3.1 設置資源共享

為安全起見，默認狀態下，服務器中所有的文件夾都不被共享。而創建文件服務器時，又只創建一個共享文件夾。因此，若要授予用戶某種資源的訪問權限，必須先將該文件夾設置為共享，然后賦予授權用戶相應的訪問權限。創建不同的用戶組，并將擁有相同訪問權限的用戶加入同一用戶組，會使用戶權限的分配變得簡單而快捷。

1．在“計算機管理”對話框中設置共享資源

STEP 1 在Win2012-1上依次選擇“開始”→“管理工具”→“計算機管理”命令，在打開的窗口中展開左窗格中的“共享文件夾”，如圖5-2所示。該“共享文件夾”提供有關本地計算機上的所有共享、會話和打開的文件的相關信息，可以查看本地和遠程計算機的連接和資源使用概況。

STEP 2 在右窗格中右擊“共享”圖標，在彈出的快捷菜單中選擇“新建共享”命令，即可打開“創建共享文件夾向導”對話框。注意權限的設置，如圖5-3所示。其他操作過程不再詳述。

2．特殊共享

前面提到的共享資源中有一些是系統自動創建的，如C$、IPC$等。這些系統自動創建的共享資源就是這里所指的“特殊共享”，它們是Windows Server 2012用于本地管理和系統使用的。一般情況下，用戶不應該刪除或修改這些特殊共享。

由于被管理計算機的配置情況不同，共享資源中所列出的這些特殊共享也會有所不同。

下面列出了一些常見的特殊共享。

driveletter$：為存儲設備的根目錄創建的一種共享資源。顯示形式為C$、D$等。例如，D$號是一個共享名，管理員通過它可以從網絡上訪問驅動器。值得注意的是，只有Administrators組、PowerUsers組和Server Operators組的成員才能連接這些共享資源。

ADMIN$：在遠程管理計算機的過程中系統使用的資源。該資源的路徑通常指向Windows Server 2012系統目錄的路徑。同樣，只有Administrators組、PowerUsers組和Server Operators組的成員才能連接這些共享資源。

IPC$：共享命名管道的資源，它對程序之間的通信非常重要。在遠程管理計算機的過程及查看計算機的共享資源時使用。

PRINT$：在遠程管理打印機的過程中使用的資源。

5.3.2 訪問網絡共享資源

企業網絡中的客戶端計算機，可以根據需要采用不同方式訪問網絡共享資源。

1．利用網絡發現

分別以student1和administrator的身份訪問Win2012-1中所設的共享share1。步驟如下。

STEP 1 在Win2012-2上單擊左下角的資源管理器圖標，打開“資源管理器”窗口。單擊窗口左下角的“網絡”鏈接，打開Win2012-2的“網絡”對話框，如圖5-4所示。

STEP 2 雙擊“Win2012-1”計算機，彈出“Windows安全”對話框。輸入student1用戶及密碼，連接到Win2012-1，如圖5-5所示。（用戶student1是Win2012-1下的用戶。）

STEP 3 單擊“確定”按鈕，打開“Win2012-1”上的共享文件夾，如圖5-6所示。

STEP 4 雙擊“share1”共享文件夾，嘗試在下面新建文件，失敗。

STEP 5 注銷Win2012-2，重新執行STEP 1~STEP 4的操作。注意本次輸入Win2012-1的administrator用戶及密碼，連接到Win2012-1，驗證5.3.1小節設置的共享的權限情況。

2．使用UNC路徑

UNC（Universal Naming Conversion，通用命名標準）是用于命名文件和其他資源的一種約定，以兩個反斜杠“\”開頭，指明該資源位于網絡計算機上。UNC路徑的格式為：

        \\Servername\sharename

其中，Servername是服務器的名稱，也可以用IP地址代替，而sharename是共享資源的名稱。目錄或文件的UNC名稱也可以把目錄路徑包括在共享名稱之后，其語法格式如下：

        \\Servername\sharename\directory\filename

本例在Win2012-2的“運行”對話框中輸入以下命令，并分別以不同用戶連接到Win2012-1上來測試5.3.1小節所設共享。

        \\192.168.10.2\share1

或者

        \\Win2012-1\share1

5.3.3 使用卷影副本

用戶可以通過“共享文件夾的卷影副本”功能，讓系統自動在指定的時間將所有共享文件夾內的文件復制到另外一個存儲區內備用。當用戶通過網絡訪問共享文件夾內的文件，將文件刪除或者修改文件的內容后，卻反悔想要恢復該文件或者想要還原文件原來的內容時，可以通過“卷影副本”存儲區內的舊文件來達到目的，因為系統之前已經將共享文件夾內的所有文件都復制到“卷影副本”存儲區內。

1．啟用“共享文件夾的卷影副本”功能

在Win2012-1上，在共享文件夾share1下建立test1和test2兩個文件夾，并在該共享文件夾所在的計算機Win2012-1上啟用“共享文件夾的卷影副本”功能。操作步驟如下。

STEP 1 選擇“開始”→“管理工具”→“計算機管理”命令，打開“計算機管理”對話框。

STEP 2 右擊“共享文件夾”，在彈出的快捷菜單中選擇“所有任務”→“配置卷影副本”命令，如圖5-7所示。

STEP 3 在打開的“卷影副本”對話框中，選擇要啟用“卷影復制”的驅動器（例如C:），單擊“啟用”按鈕，如圖5-8所示。再單擊“是”按鈕，此時，系統會自動為該磁盤創建第一個“卷影副本”，也就是將該磁盤內所有共享文件夾內的文件都復制到“卷影副本”存儲區內，而且系統默認以后會在星期一至星期五的上午7:00與下午12:00兩個時間點分別自動添加一個“卷影副本”，也就是在這兩個時間到達時會將所有共享文件夾內的文件復制到“卷影副本”存儲區內備用。

STEP 4 如圖5-8所示，C盤已經有兩個“卷影副本”，用戶還可以隨時單擊圖中的“立即創建”按鈕，自行創建新的“卷影副本”。用戶在還原文件時，可以選擇在不同時間點所創建的“卷影副本”內的舊文件來還原文件。

STEP 5 系統會以共享文件夾所在磁盤的磁盤空間決定“卷影副本”存儲區的容量大小，默認配置該磁盤空間的10%作為“卷影副本”的存儲區，而且該存儲區最小需要100MB。如果要更改其容量，單擊圖5-8中的“設置”按鈕，打開如圖5-9所示的“設置”對話框。然后在“最大值”處更改設置。可以單擊“計劃”按鈕來更改自動創建“卷影副本”的時間點。用戶還可以通過圖中的“位于此卷”來更改存儲“卷影副本”的磁盤，不過必須在啟用“卷影副本”功能前更改，啟用后就無法更改了。

2．客戶端訪問“卷影副本”內的文件

本例任務：先將Win2012-1上的share1文件夾下面的test1文件夾刪除，再用此前的卷影副本進行還原，測試是否恢復了test1文件夾。

STEP 1 在Win2012-2上，以Win2012-1計算機的administrator用戶身份連接到Win2012-1上的共享文件夾。刪除share1下面的test1文件夾。

STEP 2 右擊share1文件夾，打開“share1（\\Win2012-2）屬性”對話框。單擊“以前的版本”選項卡，如圖5-10所示。

STEP 3 選中“share12016/2/14/19:20”版本，通過單擊“打開”按鈕可查看該時間點內的文件夾內容，通過單擊“復制”按鈕可以將該時間點的share1文件夾復制到其他位置，通過單擊“還原”按鈕可以將文件夾還原到該時間點的狀態。在此單擊“還原”按鈕，還原誤刪除的test1文件夾。

STEP 4 打開share1文件夾，檢查test1文件夾是否被恢復。

5.3.4 認識NTFS權限

利用NTFS權限，可以控制用戶賬號和組對文件夾和個別文件的訪問。

NTFS權限只適用于NTFS磁盤分區。NTFS權限不能用于由FAT或者FAT32文件系統格式化的磁盤分區。

Windows 2008只為用NTFS進行格式化的磁盤分區提供NTFS權限。為了保護NTFS磁盤分區上的文件和文件夾，要為需要訪問該資源的每一個用戶賬號授予NTFS權限。用戶必須獲得明確的授權才能訪問資源。用戶賬號如果沒有被組授予權限，它就不能訪問相應的文件或者文件夾。不管用戶是訪問文件還是訪問文件夾，也不管這些文件或文件夾是在計算機上還是在網絡上，NTFS的安全性功能都有效。

對于NTFS磁盤分區上的每一個文件和文件夾，NTFS都存儲一個遠程訪問控制列表（ACL）。ACL中包含那些被授權訪問該文件或者文件夾的所有用戶賬號、組和計算機，還包含它們被授予的訪問類型。為了讓一個用戶訪問某個文件或者文件夾，針對用戶賬號、組或者該用戶所屬的計算機，ACL中必須包含一個相對應的元素，這樣的元素叫作訪問控制元素（ACE）。為了讓用戶能夠訪問文件或者文件夾，訪問控制元素必須具有用戶所請求的訪問類型。如果ACL中沒有相應的ACE存在，Windows Server 2012就拒絕該用戶訪問相應的資源。

1．NTFS權限的類型

可以利用NTFS權限指定哪些用戶、組和計算機能夠訪問文件和文件夾。NTFS權限也指明哪些用戶、組和計算機能夠操作文件中或者文件夾中的內容。

（1）NTFS文件夾權限

可以通過授予文件夾權限，控制對文件夾和包含在這些文件夾中的文件和子文件夾的訪問。表5-1列出了可以授予的標準NTFS文件夾權限和各個權限提供的訪問類型。

（2）NTFS文件權限

可以通過授予文件權限，控制對文件的訪問。表5-2列出了可以授予的標準NTFS文件權限和各個權限提供給用戶的訪問類型。

2．多重NTFS權限

如果將針對某個文件或者文件夾的權限授予個別用戶賬號，又授予某個組，而該用戶是該組的一個成員，那么該用戶就對同樣的資源有了多個權限。關于NTFS如何組合多個權限，存在一些規則和優先權。除此之外，在復制或者移動文件和文件夾時，對權限也會產生影響。

（1）權限是累積的

一個用戶對某個資源的有效權限是授予這一用戶賬號的NTFS權限與授予該用戶所屬組的NTFS權限的組合。例如，如果用戶Long對文件夾Folder有“讀取”權限，該用戶又是某個組Sales的成員，而該組Sales對該文件夾Folder有“寫入”權限，那么該用戶對該文件夾Folder就有“讀取”和“寫入”兩種權限。

（2）文件權限超越文件夾權限

NTFS的文件權限超越NTFS的文件夾權限。例如，某個用戶對某個文件有“修改”權限，那么即使他對于包含該文件的文件夾只有“讀取”權限，他仍然能夠修改該文件。

（3）拒絕權限超越其他權限

可以拒絕某用戶賬號或者組對特定文件或者文件夾的訪問，為此，將“拒絕”權限授予該用戶賬號或者組即可。這樣，即使某個用戶作為某個組的成員具有訪問該文件或文件夾的權限，但是因為將“拒絕”權限授予該用戶，所以該用戶具有的任何其他權限也被阻止了。因此，對于權限的累積規則來說，“拒絕”權限是一個例外。應該避免使用“拒絕”權限，因為允許用戶和組進行某種訪問比明確拒絕他們進行某種訪問更容易做到。應該巧妙地構造組和組織文件夾中的資源，使各種各樣的“允許”權限就足以滿足需要，從而可避免使用“拒絕”權限。

例如，用戶Long同時屬于Sales組和Manager組，文件File1和File2是文件夾Folder下面的兩個文件。其中，Long擁有對Folder的讀取權限，Sales擁有對Folder的讀取和寫入權限，Manager則被禁止對File2的寫操作。那么Long的最終權限是什么？

由于使用了“拒絕”權限，用戶Long擁有對Folder和File1的讀取和寫入權限，但對File2只有讀取權限。

3．共享文件夾權限與NTFS文件系統權限的組合

如何快速有效地控制對NTFS磁盤分區上網絡資源的訪問呢？答案就是利用默認的共享文件夾權限共享文件夾，然后，通過授予NTFS權限控制對這些文件夾的訪問。當共享的文件夾位于NTFS格式的磁盤分區上時，該共享文件夾的權限與NTFS權限進行組合，用以保護文件資源。

要為共享文件夾設置NTFS權限，可在Win2012-1上的“share1屬性”對話框中選擇“共享權限”選項卡，如圖5-11所示。

共享文件夾權限具有以下特點。

? 共享文件夾權限只適用于文件夾，而不適用于單獨的文件，并且只能為整個共享文件夾設置共享權限，而不能對共享文件夾中的文件或子文件夾進行設置。所以，共享文件夾不如NTFS文件系統權限詳細。

? 共享文件夾權限并不對直接登錄到計算機上的用戶起作用，只適用于通過網絡連接該文件夾的用戶，即共享權限對直接登錄到服務器上的用戶是無效的。

? 在FAT/FAT32系統卷上，共享文件夾權限是保證網絡資源被安全訪問的唯一方法。原因很簡單，就是NTFS權限不適用于FAT/FAT32卷。

? 默認的共享文件夾權限是讀取，并被指定給Everyone組。

共享權限分為讀取、修改和完全控制。不同權限以及對用戶訪問能力的控制如表5-3所示。

當管理員對NTFS權限和共享文件夾的權限進行組合時，結果是組合的NTFS權限，或者是組合的共享文件夾權限，哪個范圍更窄則選擇哪一個。

當在NTFS卷上為共享文件夾授予權限時，應遵循以下規則。

? 可以對共享文件夾中的文件和子文件夾應用NTFS權限。可以對共享文件夾中包含的每個文件和子文件夾應用不同的NTFS權限。

? 除共享文件夾權限外，用戶必須有該共享文件夾包含的文件和子文件夾的NTFS權限，才能訪問那些文件和子文件夾。

? 在NTFS卷上必須要求NTFS權限。默認Everyone組具有“完全控制”權限。

5.3.5 繼承與阻止NTFS權限

1．使用權限的繼承性

默認情況下，授予父文件夾的任何權限也將應用于包含在該文件夾中的子文件夾和文件。當授予訪問某個文件夾的NTFS權限時，就將授予該文件夾的NTFS權限授予了該文件夾中任何現有的文件和子文件夾，以及在該文件夾中創建的任何新文件和新的子文件夾。

如果想讓文件夾或者文件具有不同于它們父文件夾的權限，必須阻止權限的繼承性。

2．阻止權限的繼承性

阻止權限的繼承，也就是阻止子文件夾和文件從父文件夾繼承權限。為了阻止權限的繼承，要刪除繼承來的權限，只保留被明確授予的權限。

被阻止從父文件夾繼承權限的子文件夾現在就成為新的父文件夾。包含在這一新的父文件夾中的子文件夾和文件將繼承授予它們的父文件夾的權限。

若要禁止權限繼承，以test2文件夾為例，打開該文件夾的“屬性”對話框，單擊“安全”選項卡，依次單擊“高級”→“權限”按鈕，出現如圖5-12所示的“test2的高級安全設置”對話框。選中某個要阻止繼承的權限，單擊“禁止繼承”按鈕，在彈出的“阻止繼承”菜單中選擇“將已繼承的權限轉換為此對象的顯示權限”或“從此對象中刪除所有已繼承的權限”命令。

5.3.6 復制和移動文件和文件夾

1．復制文件和文件夾

當從一個文件夾向另一個文件夾復制文件或者文件夾時，或者從一個磁盤分區向另一個磁盤分區復制文件或者文件夾時，這些文件或者文件夾具有的權限可能發生變化。復制文件或者文件夾對NTFS權限產生下述效果。

當在單個NTFS磁盤分區內或在不同的NTFS磁盤分區之間復制文件夾或者文件時，文件夾或者文件的復件將繼承目的地文件夾的權限。

當將文件或者文件夾復制到非NTFS磁盤分區（如文件分配表FAT格式的磁盤分區）時，因為非NTFS磁盤分區不支持NTFS權限，所以這些文件夾或文件就丟失了它們的NTFS權限。

2．移動文件和文件夾

當移動某個文件或者文件夾的位置時，針對這些文件或者文件夾的權限可能發生變化，這主要依賴于目的地文件夾的權限情況。移動文件或者文件夾對NTFS權限產生下述效果。

當在單個NTFS磁盤分區內移動文件夾或者文件時，該文件夾或者文件保留它原來的權限。

當在NTFS磁盤分區之間移動文件夾或者文件時，該文件夾或者文件將繼承目的地文件夾的權限。當在NTFS磁盤分區之間移動文件夾或者文件時，實際是將文件夾或者文件復制到新的位置，然后從原來的位置刪除它。

當將文件或者文件夾移動到非NTFS磁盤分區時，因為非NTFS磁盤分區不支持NTFS權限，所以這些文件夾和文件就丟失了它們的NTFS權限。

5.3.7 利用NTFS權限管理數據

在NTFS磁盤中，系統會自動設置默認的權限值，并且這些權限會被其子文件夾和文件所繼承。為了控制用戶對某個文件夾以及該文件夾中的文件和子文件夾的訪問，就需指定文件夾權限。不過，要設置文件或文件夾的權限，必須是Administrators組的成員、文件或者文件夾的擁有者，并且是具有完全控制權限的用戶。

1．授予標準NTFS權限

授予標準NTFS權限包括授予NTFS文件夾權限和NTFS文件權限。

（1）NTFS文件夾權限

STEP 1 打開Windows資源管理器對話框，右擊要設置權限的文件夾，如Network，在彈出的快捷菜單中選擇“屬性”命令，打開“network屬性”對話框，選擇“安全”選項卡，如圖5-13所示。

STEP 2 默認已經有一些權限設置，這些設置是從父文件夾（或磁盤）繼承來的。例如，在Administrator用戶的權限中，灰色陰影部分的權限就是繼承的權限。

STEP 3 如果要給其他用戶指派權限，可單擊“編輯”按鈕，出現如圖5-14所示的“network的權限”對話框。

STEP 4 依次單擊“添加”→“高級”→“立即查找”按鈕，從本地計算機上添加擁有對該文件夾訪問和控制權限的用戶或用戶組，如圖5-15所示。

STEP 5 選擇后單擊“確定”按鈕，擁有對該文件夾訪問和控制權限的用戶或用戶組就被添加到“組或用戶名”列表框中。由于新添加用戶sales的權限不是從父項繼承的，因此他們所有的權限都可以被修改。

STEP 6 如果不想繼承上一層的權限，可參照5.3.5小節的內容進行修改，這里不再贅述。

（2）NTFS文件權限

文件權限的設置與文件夾權限的設置類似。要想對NTFS文件指派權限，直接在文件上右擊，在彈出的快捷菜單上選擇“屬性”命令，再在打開的對話框中選擇“安全”選項卡，可為該文件設置相應的權限。

2．授予特殊訪問權限

標準的NTFS權限通常能提供足夠的能力，用以控制對用戶的資源的訪問，以保護用戶的資源。但是，如果需要更為特殊的訪問級別，就可以使用NTFS的特殊訪問權限。

在文件或文件夾屬性對話框的“安全”選項卡中，依次單擊“高級”→“權限”按鈕，打開“network的高級安全設置”對話框，選中sales用戶項，如圖5-16所示。

單擊“編輯”按鈕，打開如圖5-17所示的“network的權限項目”對話框，可以更精確地設置sales用戶的權限。單擊“顯示基本權限”或“顯示高級權限”后，兩者會交替出現。

有14項特殊訪問權限，把它們組合在一起就構成了標準的NTFS權限。例如，標準的“讀取”權限包含“列出文件夾/讀取數據”“讀取屬性”“讀取權限”及“讀取擴展屬性”等特殊訪問權限。

其中兩個特殊訪問權限對于管理文件和文件夾的訪問來說特別有用。

（1）更改權限

如果為某用戶授予這一權限，該用戶就具有了針對文件或者文件夾修改權限的能力。

可以將針對某個文件或者文件夾修改權限的能力授予其他管理員和用戶，但是不授予他們對該文件或者文件夾的“完全控制”權限。通過這種方式，這些管理員或者用戶不能刪除或者寫入該文件或者文件夾，但是可以為該文件或者文件夾授權。

為了將修改權限的能力授予管理員，將針對該文件或者文件夾的“更改權限”的權限授予Administrators組即可。

（2）取得所有權

如果為某用戶授予這一權限，該用戶就具有了取得文件和文件夾的所有權的能力。

可以將文件和文件夾的擁有權從一個用戶賬號或者組轉移到另一個用戶賬號或者組，也可以將“所有者”權限給予某個人。而作為管理員，也可以取得某個文件或者文件夾的所有權。

對于取得某個文件或者文件夾的所有權來說，需要應用下述規則。

? 當前的擁有者或者具有“完全控制”權限的任何用戶，可以將“完全控制”這一標準權限或者“取得所有權”這一Special訪問權限授予另一個用戶賬號或者組。這樣，該用戶賬號或者該組的成員就能取得所有權。

? Administrators組的成員可以取得某個文件或者文件夾的所有權，而不管為該文件夾或者文件授予了怎樣的權限。如果某個管理員取得了所有權，則Administrators組也取得了所有權。因而該管理員組的任何成員都可以修改針對該文件或者文件夾的權限，并且可以將“取得所有權”這一權限授予另一個用戶賬號或者組。例如，如果某個雇員離開了原來的公司，某個管理員即可取得該雇員的文件的所有權，將“取得所有權”這一權限授予另一個雇員，然后這一雇員就取得了前一雇員的文件的所有權。

5.4 習題

一、填空題

1．可供設置的標準NTFS文件權限有___、___、___、___、___、___。

2. Windows Server 2012系統通過在NTFS文件系統下設置___，限制不同用戶對文件的訪問級別。

3．相對于以前的FAT、FAT32文件系統來說，NTFS文件系統的優點包括可以對文件設置___、___、___、___。

4．創建共享文件夾的用戶必須屬于___、___、___等用戶組的成員。

5．在網絡中可共享的資源有___和___。

6．要設置隱藏共享，需要在共享名的后面加___符號。

7．共享權限分為___、___和___3種。

二、判斷題

1．在NTFS文件系統下，可以對文件設置權限，而FAT和FAT32文件系統只能對文件夾設置共享權限，不能對文件設置權限。（　）

2．通常在管理系統中的文件時，要由管理員給不同用戶設置訪問權限，普通用戶不能設置或更改權限。（　）

3.NTFS文件壓縮必須在NTFS文件系統下進行，離開NTFS文件系統時，文件將不再壓縮。（　）

4．磁盤配額的設置不能限制管理員賬號。（　）

5．將已加密的文件復制到其他計算機后，以管理員賬號登錄就可以打開了。（　）

6．文件加密后，除加密者本人和管理員賬號外，其他用戶無法打開此文件。（　）

7．對于加密的文件不可執行壓縮操作。（　）

三、簡答題

1．簡述FAT、FAT32和NTFS文件系統的區別。

2．重裝Windows Server 2012后，原來加密的文件為什么無法打開？

3．特殊權限與標準權限的區別是什么？

4．如果一位用戶擁有某文件夾的Write權限，而且還是該文件夾Read權限的成員，那么該用戶對該文件夾的最終權限是什么？

5．如果某員工離開公司，怎樣將他或她的文件所有權轉給其他員工？

6．如果一位用戶擁有某文件夾的Write權限和Read權限，但被拒絕對該文件夾內某文件的Write權限，該用戶對該文件的最終權限是什么？

5.5 實訓項目 管理文件系統與共享資源

一、實訓目的

? 掌握設置共享資源和訪問共享資源的方法。

? 掌握卷影副本的使用方法。

? 掌握使用NTFS控制資源訪問的方法。

? 掌握使用文件系統加密文件的方法。

? 掌握壓縮文件的方法。

二、項目背景

項目網絡拓撲圖如圖5-1所示。

三、項目要求

完成以下各項任務。

（1）在Win2012-1上設置共享資源\test。

（2）在Win2012-2上使用多種方式訪問網絡共享資源。

（3）在Win2012-1上設置卷影副本，在Win2012-2上使用卷影副本。

（4）觀察共享權限與NTFS文件系統權限組合后的最終權限。

（5）設置NTFS權限的繼承性。

（6）觀察復制和移動文件夾后NTFS權限的變化情況。

（7）利用NTFS權限管理數據。

（8）加密特定文件或文件夾。

（9）壓縮特定文件或文件夾。

四、做一做

根據實訓項目錄像進行項目的實訓，檢查學習效果。