day04、1 - NTFS安全权限

一、NTFS权限的概述

• 操作的对象为：文件和文件夹
• 作用：通过对文件或文件夹设置NTFS权限，实现不同用户访问相同文件或文件夹时有不同的权限
• 分配了正确的访问权限后，用户才能访问其资源，且设置权限防止资源被篡改、删除

二、文件系统概述

1.文件系统概念

• 在外部存储设备上（磁盘，u盘等）存储文件的方式（格式）称为这个分区的文件系统
• 创建了一个磁盘分区，必须要先设置文件系统，才能存储文件

2.常见的文件系统类型

​ 1）FAT #windows

​ 2）NTFS #windows

​ 3）EXT #linux

3.理解文件系统

• 对磁盘进行分区，要对磁盘进行格式化，格式化专业术语叫做—制作文件系统。即对此分区’打格子’，把这个大的存储空间分成一格一格的，一个格叫簇，簇就是存储的单元，簇可以设置大小，文件最终就存放在很多簇中。可以通过不同的方式来’打格子’，最终簇存储文件的方式也不同，所以存储文件的方式就是文件系统。

4.文件具体的存储原理

• 在创建好的D盘分区中新建文件，D盘簇的大小为4KB，新建的文件为空时，不占分区的空间，而是在分区外有一个很小的独立空间中创建inote，inote就记录着文件名。现在打开文件往里写内容，假设写了6KB的内容。那么第一块簇中存放4KB文件内容，第二块簇中存放2KB内容，且会建立两个指针，从inote指向这两块簇。当打开文件时，文件的inote就知道需要去调哪些簇中的内容。

• 当又新建了一个文件，不会挨着存，因为一个簇只能一个文件用，所以要从第三块簇开始存储。

  

5.簇的大小该如何选择

• 簇太小则指针越多，打开文件速度会变慢，但是空间的利用率会提高

• 簇太大则空间利用率会降低，但是访问速度会变快

  

如果这个分区中存放的都是大文件，则分配单元大点好

如果这个分区中存放的是小文件，分配单元小点好

三、NTFS文件系统特点

1. 提高磁盘读写性能

2. 可靠性

   加密文件系统 （可对文件加密）

   访问控制列表ACL（设置权限。只有NTFS格式的分区下的文件和文件夹才能设置权限，FAT格式没有这个功能）

   

3. 磁盘利用率

   压缩

   磁盘配额 （可以对不同的用户设置使用这块磁盘的容量大小）

   

4. 支持单个文件大于4个G

注意：如果u盘不大于16个g，FAT更合适一些，不是所有情况下都是NTFS更好

四、用NTFS解决生活中的问题

• 如果插入u盘在下载文件时，出现这个提示

  

可能的原因是因为下载的路径这个u盘是FAT文件系统格式，无法下载4GB以上的文件，所以对u盘进行格式化，格式化成NTFS格式就可以了，NTFS支持单个文件大于4G

五、修改NTFS权限

1.文件和文件夹的权限

文件夹权限	权限内容
完全控制	包含以下所有权限
修改	包含对此文件夹的读取和运行、列出内容、写入的所有权限；多了一个删除此文件夹中内容的权限
读取和运行	可以读取此文件夹中的文件；且可以执行可执行文件
列出文件夹内容	可以打开此文件夹且可以看到文件夹中的内容
读取	可以读取此文件夹中的文件；下载此文件夹和当中的内容；但无法运行可执行文件
写入	可以在此文件夹中创建或传入新的文件；不能覆盖（覆盖涉及删除功能）
特殊权限	可以对此文件夹的访问权限列表（ACL）做查看和修改

文件权限	权限内容
完全控制	包含以下所有权限
修改	包含读取、执行、写入、修改文件名等信息、删除文件的权限
读取和执行	可以对该文件进行读取，如果可执行也可执行
读取	可以读取、下载此文件；但文件如果为可执行文件却无法执行
写入	可以对该文件内容进行修改
特殊权限	可以对此文件的访问权限列表（ACL）做查看和修改

2.修改NTFS权限

• 对文件或者文件夹右键–>属性–>安全（显示的页面即为访问控制列表ACL）

  

• 可以对不同的组设置不同的权限，也可以直接对用户设置权限

• 注意：文件和文件夹的的权限严格遵守ACL，添加到ACL的组和用户才有权限，从ACL删除后就对此文件夹或文件没有权限。甚至如果从ACL中删除Administrators组，那么管理员也没有权限访问了，但是管理员可以通过取得所有权来获取所有权

3.权限继承

1）取消强制继承

• 子文件和文件夹会继承父级文件和文件夹的权限，如果想要修改子类文件和文件夹，则需要先取消权限的继承。

  

2）强制继承

• 作用：对下强制继承父子关系！

• 方法：文件夹右键属性–安全–高级–勾上第二个对号，即可！

  举例：

  xxx文件夹下有多个子文件夹及文件，由于长时间的权限管理，多个子文件夹的权限都做过不同的权限修改，现需要xxx下的所有子文件及文件夹的权限全部统一

4.权限累加

• 当用户同时属于多个组时，权限是累加的!

  举例：用户a同时属于IT组与HR组，IT组对文件夹jimi可以读取，HR组可以对jimi文件夹写入，则a用户最终的权限为读取和写入。

5.拒绝最大

• 当用户权限累加时，如遇到拒绝权限，拒绝最大！

  

  举例：

  用户a属于财务部组，财务部组成员为10个用户，财务部组拥有对文件夹xxx访问权限，现要求a用户不能脱离财务部组，同时要求a没有访问文件夹xxx的权限。

6.取得所有权

• 默认只有administrator有这个权限！

• 作用：可以将任何文件夹的所有者改为administrator

  

注意：一定要钩选"替换子容器和对象的所有者"

7.复制和移动对权限的影响

• 复制和移动文件到指定文件夹下，该文件的权限会被目标文件夹的权限覆盖，但是保留了文件主人中的一些信息（CREATOR OWNER）

• 只有一种情况下不会被覆盖：

  同分区（都是D盘下）移动文件或文件夹，权限还是保持自己原来的权限

  D盘下不是同级文件也叫同分区，只是针对在D盘下、在C盘下等