目錄
權限設定
檔案夾的NTFS權限
檔案的NTFS權限
NTFS權限的應用規則
檔案壓縮
檔案加密
磁盤配額
卷影副本
權限設定的應用
遇到的一個權限問題的小bug
權限問題的實際應用
權限設定
NTFS文章:FAT32和NTFS
在Windows中,NTFS檔案系統可以設定檔案和目錄的權限。存儲在 NTFS 分區上的檔案和檔案夾對使用者的通路有安全控制,可以控制使用者通路的級别。 當一個使用者試圖通路一個檔案或者檔案夾的時候,NTFS 檔案系統會檢查使用者使用的帳戶或者賬戶所屬的組是否在此檔案或檔案夾的通路控制清單(ACL)中。如果存在,則進一步檢查通路控制項 ACE,然後根據控制項中的權限來判斷使用者最終的權限。
檔案夾的NTFS權限
檔案夾内的檔案或檔案夾會預設繼承上一級目錄的權限
- 完全控制:對檔案或者檔案夾可執行所有操作
- 修改:可以修改、删除檔案或檔案夾
- 讀取和執行:可以讀取内容,并且可以執行應用程式
- 列出檔案夾目錄:可以列出檔案夾内容,此權限隻針對檔案夾存在,檔案無此權限
- 讀取:可以讀取檔案或者檔案夾的内容
- 寫入:可以建立檔案或者檔案夾
- 特别的權限:其他不常用的權限,比如删除權限的權限
檔案的NTFS權限
- 完全控制:對檔案或者檔案夾可執行所有操作
- 修改:可以修改、删除檔案或檔案夾
- 讀取和執行:可以讀取内容,并且可以執行應用程式
- 讀取:可以讀取檔案的内容
- 寫入:可以修改檔案的内容
- 特殊權限:其他不常用的權限,比如删除權限的權限
NTFS權限的應用規則
- NTFS 權限具有累加性: 當一個使用者屬于多個組的時候,使用者對某個資源的有效權限是其所有權限來源的總和
- “拒絕”權限會覆寫所有其他的權限: 雖然使用者對某個資源的有效權限是其所有權限來源的總和,但是隻要其中有一個權限被設為拒絕通路,則使用者将無法通路該資源
- NTFS 權限的繼承: 當使用者設定檔案夾的權限後,位于該檔案夾下添加的子檔案夾與檔案,預設會自動繼承該檔案夾的權限
檔案壓縮
檔案、檔案夾的壓縮可以減少它們占用磁盤的空間,但是檔案的大小是不變化的。壓縮可以對檔案、檔案夾或整個卷進行。
NTFS 檔案系統的壓縮過程和解壓過程對使用者是完全透明的,壓縮前和壓縮後的檔案在使用上沒有不同。
複制或移動檔案對壓縮狀态的影響
| 操作 | 同一NTFS檔案系統 | 不同NTFS檔案系統 | FAT32分區 |
| 複制 | 繼承目标檔案壓縮狀态 | 繼承目标檔案壓縮狀态 | 壓縮狀态丢失 |
| 移動 | 保留原檔案(夾)壓縮狀态 | 繼承目标檔案壓縮狀态 | 壓縮狀态丢失 |
檔案壓縮的啟用:右鍵檔案,屬性,進階,然後會顯示檔案壓縮了,加密後的檔案顯示是藍色的
檔案原來的大小是1.18MB,占用空間也是1.18MB。壓縮後檔案大小還是1.18MB,隻不過占用空間變成了1.01MB。
檔案加密
- 利用“加密檔案系統 EFS(Encrypting File System)”提供檔案加密功能。檔案或檔案夾經過加密後,隻有當初将其加密的使用者或者經過授權的使用者能夠讀取,是以可以增強檔案的安全性。
- 隻有 NTFS 磁盤内的檔案和檔案夾才可以被加密,FAT32 磁盤并沒有該功能。
- 如果将檔案複制或移動到非 NTFS 磁盤内,則該檔案會解密。 檔案壓縮與加密無法共存。
- 如果要對已經壓縮的檔案進行加密,則該檔案會自動解壓縮;如果要對已經加密的檔案進行壓縮,則該檔案會自動解密
檔案加密的啟用:右鍵檔案,屬性,進階,然後會顯示檔案加密了,加密後的檔案顯示是綠色的
一般情況下其他使用者是看不了你的加密檔案的,如果想要讓其他的使用者可以看你的加密檔案,你需要把你的證書導出來,然後其他使用者再将你的證書導入進去,就可以看你的加密檔案了。
證書的導出:打開IE浏覽器-->工具-->Internet選項-->内容-->證書-->導出
證書的導入:打開IE浏覽器-->工具-->Internet選項-->内容-->證書-->導入
磁盤配額
在 Windows 中,使用者可利用磁盤配額功能來控制和跟蹤每個使用者可用的磁盤空間。下面列出磁盤配額的特性:
- 磁盤配額是針對單一使用者來控制與跟蹤的。
- 隻有 NTFS 磁盤才支援磁盤配額功能。
- 磁盤配額是以檔案和檔案夾的所有權進行計算的。
- 磁盤配額的計算不考慮檔案壓縮的因素。
- 每個 NTFS 磁盤分區的磁盤配額是獨立計算的,不論這幾個 NTFS 分區是否在同一個硬碟内。
- 系統管理者預設不會受到磁盤配額的限制。
磁盤配額的啟用:右鍵-->屬性-->然後找到配額
當啟用了磁盤配額後,其他使用者顯示的磁盤的容量就是配額的大小
卷影副本
卷影副本,也稱快照,是存儲在 Data Protection Manager (DPM) 伺服器上的副本的時間點副本。副本是檔案伺服器上單個卷的受保護共享、檔案夾和檔案的完整時間點副本。共享檔案夾的卷影副本提供位于共享資源上的實時檔案副本。通過使用共享檔案夾的卷影副本,使用者可以檢視在過去某個時刻存在的共享檔案和檔案夾。在Windows Server版本上的系統都有卷影副本的功能,在普通家用版本上不提供該功能。
卷影副本隻能對于整個盤符進行,而不能對于檔案或目錄做卷影副本。
通路檔案的以前版本或卷影副本非常有用,原因是使用者可以:
- 恢複被意外删除的檔案。如果使用者意外删除了某個檔案,則可以打開前一版本,然後将其複制到安全的位置
- 恢複意外覆寫的檔案。如果使用者意外覆寫了某個檔案,則可以恢複該檔案的前一版本
- 在處理檔案的同時對檔案版本進行比較。當使用者希望檢查一個檔案的兩個版本之間發生的更改時,可以檢視到以前的版本
卷影副本的啟用:右鍵盤符-->找到卷影副本-->點選是,然後就進入了下面的界面,然後就可以對相應的盤符做卷影副本了
權限設定的應用
遇到的一個權限問題的小bug
不知道這個小bug是不是windows權限問題的bug,反正這個bug違反了權限累加性。
例:我現在是以Administrators組登入的一個使用者,我建立了一個檔案test。目前我對這檔案擁有所有的權限,包括讀寫修改等等所有權。然後我現在就是想讓其他使用者隻能看這個檔案,但是修改不了這個檔案。是以我就需要對檔案的權限進行修改。
我把 Authenticated Users 和Users 使用者組的權限改成了隻有讀取和執行的權限,而沒有其他任何的權限。
注:這裡修改 Authenticated Users組的權限的時候,要先把這個組的預設繼承權限給取消勾選了,然後再修改其權限
效果是達到了,其他的使用者隻能看這個檔案,但是修改不了這個檔案。但是,有一個很大的bug,那就是檔案的建立者也不能修改這個檔案,而且這個建立者是屬于Administrators使用者組的,按理說Administartors使用者組對該檔案完全控制。但是事實就是隻要你把Authenticated Users組的權限改成隻有讀取和執行的話,所有人都隻能讀取而不能修改了。
這個bug對于目錄同樣存在,目錄的話你隻要修改了Authenticated Users組的權限為讀取和列出檔案夾内容,那麼所有的其他使用者隻能列出該目錄的内容,Administrators組内的使用者除了可以列出内容外還可以建立檔案夾和移動檔案或檔案夾到該目錄,但是建立不了檔案!!!
以上 bug 發生的前提是取消了 Authenticated Users 組的預設繼承權限,然後修改其權限為隻能讀取和執行。或者就是删除Authenticated Users權限都會發生這個bug。
權限問題的實際應用
隻允許使用者讀自己送出的檔案
某軟體學院學生平時作業都是送出電子版文檔到檔案伺服器的 HomeWork 檔案夾中,為了防止其他學生互相抄襲作業,需要設定 HomeWork 檔案夾的 NTFS 權限,達到以下目的:
- 學生能夠打開 HomeWork 檔案夾
- 學生能夠在 HomeWork 檔案夾中送出檔案
- 不允許使用者在 HomeWork 中建立檔案夾
- 學生對自己送出的檔案有完全控制權,即能夠删除、修改、讀取
- 學生能夠看到其他學生送出的檔案,但不能打開,不能删除和修改
首先,因為要讓其他學生可以送出檔案到文檔伺服器,是以學生要有可以登入到系統的賬号。又因為Authenticated Users組和Users組包含了可以登入的使用者,是以先把這兩個組的權限給删掉。但是又不能直接把這兩個組給删除,必須先取消其繼承權限,然後删除。
然後給所有的學生建立一個stu組,用來管理學生使用者的。編輯stu組的權限,讓其擁有列出檔案夾和建立檔案的權限,隻應用于該檔案夾
然後因為學生要可以對自己的檔案進行删除修改等操作,是以就是學生要對自己的檔案擁有完全控制操作。是以我們就可以編輯CREATOR_OWNER的權限,讓其擁有完全控制權,應有于該檔案夾内的檔案
還有就是要讓管理者可以檢視學生送出的作業,是以針對管理者使用者 xie 給予權限,使其對該檔案夾以及檔案夾内的檔案擁有完全控制權
這是該檔案夾的權限截圖