如何能够加强这些资源的安全性?通过设置NTFS权限 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1、  NTFS概述

三种文件系统的区别以及支持的系统

FAT16:所有微软的OS(操作系统)都支持,最大支持的磁盘容量是2G,簇(文件最小存储单位)大小16K

FAT32:DOS和NT系统不支持,其他OS都支持,簇大小是4K

NTFS:NT、2000、XP、2003都支持,默认簇大小4K,可以调整大小,最大支持硬盘空间:受硬件限制(簇越小,磁盘存储效率越高)

NTFS文件系统特点:

A  设置权限,提高安全性

B  支持更大容量硬盘

C  压缩功能

D  加密功能(EFS),提高安全性

E  AD需要至少一个分区是NTFS

F  支持磁盘配额

如何获得NTFS文件系统:

A  格式化磁盘,选择使用NTFS文件系统,也可选择簇的大小

B  使用命令:convert d: /fs:ntfs  这种方法不会损坏数据且是单向转换,即只能是FAT转换为NTFS,不能转换回来

C  第三方工具,如PQmagic等,但是对于服务器版本的OS,需要使用server PQmagic

NTFS系统可以设置权限,在文件夹或文件的属性中多了一个“安全”选项卡,这个选项卡包括两部分:ACL(访问控制列表),是对此对象用户拥有权限的用户和组;ACE(访问控制项),列出了与ACL中相关的权限

文件夹和文件的NTFS权限:

文件夹的ACE有7项内容,文件的ACE有6项内容,少了一项“列出文件夹目录”。权限分为允许和拒绝两种,如果看到灰化的选择项,说明这项权限是从上级目录或者分区继承下来的,无法更改。特别的权限与文件或者文件夹的数据无关,而是和这个“安全”选项卡有关,可以点击“高级”-“有效权限”查看。三项是“读取的权限”,“更改的权限”,“取得所有权”,分别是只能够看到“安全”选项卡,可以在“安全”选项卡中设置权限,取得文件或文件夹的所有权。

取得所有权:成为文件或文件夹的所有者,取得所有权后,可以对文件或文件夹做任何的操作。“安全”选项卡-高级-所有者,选择用户或者组后,再选择“替换子容器及对象的所有者”,点击确定即可

2、  NTFS权限的应用规则

A  权限的组合

用户对资源的有效权限是分配给用户帐户的权限和用户所属各个组的权限的累加权限

B 权限的拒绝

拒绝权限可以覆盖其他所有 相同 的权限(拒绝权限优先)

C 权限的继承

默认新建立的文件或文件夹自动集成上一级目录或磁盘分区的权限,只能在此基础上添加权限而不能取消或者修改

取消继承的操作:“安全”选项卡-高级-权限,取消“运行父项的继承权限传播到该对象和所有子对象。。。。。。。”,弹出的对话框中,如果要保留原来的权限,就选择“复制”,如要重新分配权限则选择“删除”,这样就可以修改或者设置权限了

可以强制下级子容器继承父容器的权限:在“安全”选项卡-高级-权限中,勾选“用在此显示的。。。。。。。”

复制和移动对权限的影响:

一个判断标准:看是否生成新对象,生成新对象是继承目的地的权限,不生成新对象是权限不变。

4中情况

同分区移动:不生成新对象,所以权限不变

同分区复制:生成新对象,继承目的地权限

不同分区移动:生成新对象(过程是先复制再删除源对象),继承目的地权限

不同分区复制:生成新对象,集成目的地权限

3、AGDLP规则

A是帐户,G是全局组,DL是本地域组,P是权限

规则的含义就是:

A  把用户帐户加入到全局组

B  把全局组加入到本地域组

C  为本地域组分配权限

AGDLP规则提供较强的逻辑性和灵活性,同时又降低了分配权限的复杂性

注:
需要在DC上提升域功能级别到2003,然后再等待几分种时间就能够在成员计算机上看到本地域组

对于NTFS权限中的只有“写入”权限而没有“读取”权限的情况,可以使用命令写入内容,用的是重定向操作,如下命令

C :\>echo hello > lch.txt

C :\>echo  “ I am a  Chinese  people! ”  > abc.txt

C:\> dir /p /w > 123.txt