第5章 文件服务器和打印服务器的配置与管理

NTFS 权限介绍
ACL
读取
User1 Group1 完全控制 User1 读取
NTFS分区
User2 完全控制 Group1
使用NTFS权限控制文件与文件夹的访问
文件夹属性——可以看到添加的用户
高级安全设置
权限项目对话框
高级安全设置——所有者选项卡
高级安全设置——有效权限
Windows 2003 怎样应用 NTFS权限
File2
NTFS权限的使用法则
权限最大法则（权限的累加性）
用户对每个资源的有效权限是其所有权限的总和 文件权限超越文件夹权限 拒绝权限超越其它所有权限 权限的两种状态：“允许”和“拒绝”。 不允许，也不拒绝 当管理员对NTFS权限和共享文件夹的权限进行组 合时，结果是组合的NTFS权限，或者是组合的共 享文件夹权限，哪个范围更窄取哪一个。
访问普通共享 UNC路径的使用： 运行对话框 浏览器
资源管理器、我的电脑
映射网络驱动器 隐藏共享访问时不要忘记“$”
访问Web共享文件夹

首先在“Internet信息服务管理器”中找到该虚拟目录（比 如share），右击属性，打开“虚拟目录”选项卡，选中 “目录浏览”复选框。
复制和移动文件夹是NTFS权限的变化
Copy NTFS Partition C:\ NTFS Partition D:\ Move NTFS Partition E:\
Copy Or Move
实验之前在目标和本地创建新的文件夹 和文件，首先确定目标和本地的权限，移 动或复制之后，得出结论，复制或移动的 文件是保留源文件夹的权限，还是继承目 的文件夹的权限
共享文件夹初步介绍
Apps Data
Sales
User
共享文件夹: 能够包含应用程序,数据,或用户个人数据 允许集中管理
Server Hosting Shared Folder
共享文件夹需求条件
需求条件由以下因素确定: 共享的文件夹驻留计算机是在域中，还是工作组中。 共享的文件夹驻留计算机上运行的操作系统。
删除共享
Net share sharename /del 如: net share office /del
小知识：fsmgmt.msc 共享文件夹管理器
共享文件夹权限
共享文件夹许可权限
Data
读取 更改 完全控制 User

共享文件夹的累积性

拒绝:

超越其它所有许可 尽量不要授权
授予权限和修改共享文件夹的设置值
名词理解：网络文件的仓库，方便网络用户的安
全访问
安装文件服务器：管理工具--配置您的服务器
配置文件服务器
可以在安装文件服务器的过程中进行配置，也可
以安装完成后进行配置
配置内容：
磁盘限额、共享文件夹、DFS分布式文件系统、 NTFS文件权限等
共享文件夹
共享文件夹需求条件 共享某个文件夹 授予权限和修改共享文件夹的设置值
将NTFS权限和共享文件夹权限进行结合
Public Users FC
应用下述规则: NTFS 权限需要在 NTFS卷上 用户必须拥有适当的 NTFS 和 共享文件夹权限 当对NTFS权限和共享文件夹 权限组合时，取最受限制的 权限范围
Read
File1
Full Control
File2
注意：如果不设置拥有“目录浏览”权限，则访问
Web共享时必须在别名后指明具体访问的文件或 文件夹。
卷影副本
卷影副本服务
功能：用户可以通过“共享文件夹的卷影副本” 功能，让系统自动在指定的时间将所有共享文件夹 内的文件复制到另外一个存储区内备用。 当用户通过网络访问共享文件夹内的文件时，若 用户将文件删除或者修改文件的内容后，却反悔想 要救回该文件或者想要还原文件的原来内容时，他 可以通过“卷影副本”存储区内的旧文件来达到目 的，因为系统之前已经将共享文件夹内的所有文件 ，都复制到“卷影副本”存储区域内。
文件夹２

Users Group 对文件夹１有修改的权 限 文件２只能被sales group组访问，并且是 读的权限
File2
Sales Group

2？
初步介绍特殊 NTFS 权限
拥有： 更改权限 和 取得所有权
Owner, Administrator
~~~~~ ~~~~~ ~~~~~ ~~~~~
启用“共享文件夹的卷影副本”功能
隐藏的System Volume Infomation
系统会以共享文件夹所在的磁盘空间决定“卷影
副本”储存区的容量大小，默认是会配置该磁盘 空间的10％作为“卷影副本”的存储区域，而且 该区域的大小最下需要100MB。 用户可以改变隐藏的System Volume Information 的位置，不过必须在启用“卷影副本”功能前更 改，启用后就无法更改了。
复制和移动文件夹是NTFS权限的变化
在NTFS分区内和在NTFS分区之间复制文件夹和
文件时，继承目的文件夹权限。 复制到非NTFS分区，丢失权限。 在NTFS分区内移动文件夹和文件时，保留原来的 权限。 在NTFS分区之间移动文件夹和文件时，继承目的 文件夹的权限。 移动到非NTFS分区，丢失权限。
多个NTFS权限
权限继承 复制和移动文件夹 课堂讨论: 应用 NTFS 权限
NTFS
多个NTFS权限
NTFS 权限的累积 文件权限超越文件夹权限 拒绝权限超越其它权限
NTFS Partition
Group B Write
Read/Write User1
Read
Folder A
File1
Group A
针对应用程序文件夹授权时,授予“读和执行”权限
5.3
EFS内置于
加密文件系统（EFS）与压缩
Windows 2003中的 NTFS文件系统中。 利用 EFS可以启用基于公共密钥的文件级或者文 件夹级的保护功能。
什么是EFS 加密?
EFS加密数据
用户通过设置加密属性来加密文件或文件夹 当在一个加密文件夹下创建文件或文件夹时，它们自动 被加密，当移动一个文件或文件夹到加密文件夹下会自 动被加密
更改隐藏的System Volume Infomation
权限和数量

“卷影副本”内的文件只可以读取，不可以修 改，而且每个磁盘最多只可以有64个“卷影副本 ”，如果达到限制时则最旧的“卷影副本”会被 删除。
5.2 资源访问权限的控制
文件权限
完全控制 修改 读取和运行 写入 读取
文件夹权限
完全控制 修改 读取和执行 写入
读取
列出文件夹目录
标准NTFS文件权限的类型
NTFS 文件夹权限 读取（Read） 写入（Write） 列出文件夹内容（ List Folder Contents ） 读取和运行（Read & Execute） 修改（M odify ） 完全控制（Full Control） 允许访问类型 查看文件夹中的文件和子文件夹， 查看文件夹属性、 拥有人和权限。 在文件夹内创建新的文件和子文件夹，修改文件夹属性，和查看文 件夹的拥有人和权限。 查看文件夹中的文件和子文件夹的名。 遍历文件夹，和执行允许“读取”权限和“列出文件夹内容”权限 的动作。 删除文件夹、执行 “写入”权限和“读取和运行”权限的动作。 改变权限，成为拥有人，删除子文件夹和文件，以及执行允许所有 其他 NTFS 文件夹权限进行的动作。
访问Web共享文件夹
然后打开IE浏览器，在“地址栏”中输入http://IP
地址/别名即可打开共享文件夹。别名就是在设置 Web共享时，为共享文件夹设置的Web共享名称， 例如，文件服务器的IP地址是“192.168.22.100”， Web共享文件夹的别名为“share”，那么在地址 栏就应该键入http://192.168.22.100/share。
查看、创建共享文件夹的方法
查看、创建共享文件夹的方法： 文件服务器管理
计算机管理
fsmgmt.msc
share 其他创建共享文件夹的方法： 创建资源管理器、Web共享
Net
查看共享
设置Web共享
访问共享文件夹
2 1
网上邻居
3
访问共享文件夹
Web浏览器
访问Web共享
NTFS 权限继承
权限继承
FolderA Read / Write FolderB
Access to FolderB
阻止权限继承 FolderA
Read / Write
FolderB FolderC
No access to FolderB
NTFS 权限继承
权限继承
授予父文件夹的任何权限也将应用于包含 在该文件夹中的子文件夹和文件．包括新建 的文件和文件夹。 阻止权限继承 删除继承来的权限，只保留被明确授予 的权限.这时，被阻止从父文件夹继承权限 的子文件夹就成新的父文件夹。
更改权限 取得所有权
标准NTFS权限
特殊访问权限
Read
Read Data Read Attributes Read Permissions Read Extended Attributes
Users, Groups
授予 Special NTFS 权限
关于授予NTFS权限的最佳实践
尽量用为组授权代替为用户授权 将资源分类分组管理 只授予用户要求级别的访问权限 按照组的成员所要求的对资源的访问方式创建组
文件服务与资源共享 资源访问权限的控制 加密文件系统（EFS）与压缩 数据的备份和还原 分布式文件系统 打印概述 安装打印服务器 共享网络打印机
5.1
文件服务与资源共享
文件服务器用来提供网络文件共享、网络文件的
权限保护及大容量的磁盘存储空间等服务。借助 于文件服务器，不仅可以最大限度地保障重要数 据的存储安全，保证数据不会由于计算机的硬件 故障而丢失，而且还可以通过严格的权限设置， 有效地保证数据的访问安全。
本章要点
掌握文件服务与共享资源的配置与管理 掌握NTFS权限的管理 掌握EFS的加密与压缩 掌握数据的备份与还原
理解分布式文件系统概念及应用
掌握打印服务器的安装 掌握网络打印机共享的设置及使用
第5章文件服务器和 打印服务器的配置与管理
5.1
5.2
5.3 5.4 5.5 5.6 5.7 5.8
为了共享文件夹
在 Windows 2003 域 在 Windows 2003 工作组
你必须是组成员
管理员或服务器 操作员组 管理员或超级用户
Байду номын сангаас
在运行 Windows xp 计算机的客户端
管理员或超级用户
共享某个文件夹
Net share
共享一个文件夹
Net share sharename=“路径＝…” 如：net share office2003=c:\office
NTFS Volume
使用管理型共享文件夹
管理员可利用管理共享文件夹执行日常管理任务 管理对普通用户隐藏的共享文件夹 管理员拥有
“完全控制” 权限 IPC$：文件服务器无法停用
Share C$, D$, E$ Admin$ Print$ Purpose 每个分区根默认共享 C:\Winnt 共享成为Admin$（远程管理） 包含打印机驱动程序文件的文件夹共享为 Print$ (创建于安装第一台打印机时)
使用EFS访问已加密的数据
当访问一个加密文件时，用户用平常的方法去访问
当用户关闭文件时，EFS自动加密
使用EFS解密数据
文件保持解密状态至到被再次加密
当移动加密文件或文件夹时它的加密状态如何变化
A
非加密文件夹到 加密文件夹
B
非加密文件夹到 加密文件夹
Move
=
C
加密文件夹到 非加密文件夹
Copy
=
Copy
课堂讨论: 应用 NTFS 权限

Users Group 对文件夹1有写的权限
Sales Group 对文件夹1有读的权限
NTFS Partition

Users Group

文件夹1
1？
File1
Users Group 对文件夹１有读的权限
User1

Sales Group 对文件夹２有写的权限
当你为共享文件夹授予权限: 共享文件夹可以驻留在格式化为NTFS、
FAT
或者 FAT32 文件系统的硬盘上
在
NTFS 卷上，用户还需要适宜的NTFS权限
可以修改共享文件夹的设置: 停止共享文件夹、修改共享文件名、修改许
可、对一个文件夹创建多次共享、移除共享、 复制和移动一个共享文件夹