NTFS(New Technology File System)文件系统大家应该都已经非常熟悉了。比如以前我们使用xp的时候,如果硬盘分区使用的是FAT32文件系统,对于高清电影(大于4G)或者是游戏的安装文件(大于4G)的存放都会是有点问题的,一般会提示你该分区无法存储这个文件。这样的情况下,需要把硬盘的文件系统从原来的FAT32改为NTFS就可以解决了,使用convert 命令 下面是个命令的详细使用规则。

CONVERT volume /FS:NTFS [/V] [/CvtArea:filename] [/NoSecurity] [/X]

 volume         Specifies the drive letter (followed by a colon),mount point, or volume name.
 /FS:NTFS    Specifies that the volume is to be converted to NTFS.
 /V                Specifies that Convert should be run in verbose mode.
 /CvtArea:filename   Specifies a contiguous file in the root directory to be the place holder for NTFS system files.
 /NoSecurity            Specifies the converted files and directories security settings to be accessible by everyone.
 /X          Forces the volume to dismount first if necessary. All opened handles to the volume would then be invalid.

NTFS文件系统具有很多的优点,比如安全性,它可以对文件夹和文件实现权限的管理,还具有审核策略,可用进行审核策略记录,另外一个就是文件的加密(EFS);利用率高,NTFS文件下文件簇最小可以为512B,而FAT32文件系统下为4096字节,如下图所示:

111306947.png111314135.png

可用性上,NTFS支持大硬盘和在多个硬盘上存储文件,也就是我们常说的逻辑卷。其他的优点就不在多说了,在这里主要分析NTFS文件系统的权限。

NTFS文件系统的权限分为标准的文件权限和文件夹权限

标准的文件权限如下:

读取:该权限可以读取文件内的数据,查看文件的属性、所有者、权限;

写入:该权限可以修改和覆盖文件的内容,改变文件的属性,查看文件的所有者和权限;

读取和运行:它除了拥有"读取""写入", 权限外,还具有运行应用程序的权限,但是不具有删除和重名的权限;

修改:除了上面的三个权限外,还可以删除和重命名文件

完全控制:他拥有所有NTFS文件级别的权限。

如图

134752343.png

标准的文件夹权限如下

读取:查看文件夹内的文件名和子文件夹名,查看文件夹属性、所有者、权限

写入:可以在文件夹内添加文件与文件夹,改变文件夹属性,查看文件夹所有者与权限

列出文件夹目录:除了读取的所有权限,还可以遍历文件夹的权限,也就具有了进入子文件的功能

读取和运行:与列出文件夹目录的权限机会相同,只有在权限继承方面不同;列出文件夹目录的权限仅仅文件夹继承,而读取和运行是文件夹和文件同时继承;

修改:除了以上的权限,拥有删除的权限;

完全控制:它拥有所有NTFS文件夹的权限

134806504.png

除了以上的标准权限,文件文件夹还有些特殊的权限如图,这个是在标准的权限上更加细化的一个分类,包含了:遍历文件/文件夹、创建文件夹/附加数据、读取权限、列出文件夹/读取数据、写入属性、更改权限、读取属性、写入扩展属性、取得所有权、读取扩展属性、删除子文件和文件夹 、同步、创建文件/写入数据、删除。

一般我们常用的就是标准权限的设定,特殊权限只是更加的细化,却很少用到。

132658834.png

总结:NTFS权限中,文件夹权限比文件权限多了一个列出文件夹内容的权限。对于NTFS文件系统下文件的使用者来说,用户的有效权限具有以下几个特征:

NTFS权限的继承 NTFS的累加性 拒绝权限优先级最高 子文件夹权限高于父文件夹权限

继承性 也就是文件或者文件夹的权限一般在创建的时候都会向上一级的继承父辈的权限如图:

134602601.png

其中椭圆框中的两个选项一个是控制向上继承一个是向下继承,在实例中开始配置权限时候最好先把继承清空,然后按照策略重新手动配置权限。

 权限的累加性:当一个用户属于多个组,并且目标文件对于这两个组的权限是不同的,一个组允许写,一个组允许读,那么对于这个用户他就用这个两个组权限的累加,拥有读和写的权限。

当一个计算机用户通过本地登录或者通过网络来访问计算机时候,都会得到一个访问令牌(Access Token),这个令牌中包含了这个用户所在组的SID(安全标示符,security identifier )号和用户本身的SID号,这个令牌限定了该用户在这个计算机上的所有操作权限。对于用户的SID号是系统内唯一的,就算用户名一样,系统内的用户SID号也是不会一样的,就像我们的×××和名字,名字可以一样,但是×××号码绝对不会相同。所以在服务器中,一般情况对不常用的账号的操作是禁用,而不是删除。如下图分别是对于某一个文件的访问控制列表和访问控制权限,安全选项卡中包含了访问控制列表(ACL ,Access Control List )和访问控制项(ACE,Access Control Entry)

155130580.png

当你选择某一个用户时候就可以从访问控制项的表格中查看该用户对这个文件夹所拥有的权限。

复制和剪切文件夹和文件时候NTFS权限也会发生变化

同一个NTFS分区内复制(从分区内的一个文件夹复制到另外一个文件夹),保留原来的权限;在不同的NTFS分区内复制,则继承目标分区文件夹的权限;复制到非NTFS分区,权限全部丢失。

同一个NTFS分区内剪切(从分区的一个文件夹剪切到另外一个文件夹),保留原来的权限;在不同的NFTS分区剪切 ,继承目的文件夹的权限;剪切到非NTFS分区,丢失权限。

共享权限,共享的权限是我们在网络上共享服务器上的资源时候,用户通过网络访问资源时候所用于的权限,而通过本地登录的用户,共享权限没有任何作用。然而NTFS权限却是对网络访问和本地访问都有权限的影响。共享权限有三种,如图:

160747985.png

读取:查看文件内容和属性,查看文件名称和子文件夹名称,并运行程序;

更改:创建文件夹和文件,修改文件内容,删除文件夹文件,重命名文件和文件夹

完全控制:完全控制除了上面的两个权限,还包含更改权限的权限;

从网络访问共享资源时候首先要考虑一下服务器的本地策略设置,然后在考虑共享权限和NTFS权限

本地策略设置

开始->运行gpedit.msc进入到本地组策略,选择计算机配置->windows设置->安全设置里面几项设置要求注意,如图:

163308588.png

Jacky

NTFS权限和共享的联系

1共享的权限是针对于文件夹或者分区的,对于文件是没有办法设置共享权限的;NTFS,在分区,文件夹,文件级别上都可以设置权限;

2共享权限与文件系统属于哪个类型无关,只要设置共享权限即可;如果共享的文件或者文件夹在NTFS文件系统上的分区上,对于用户的实际权限,必须考虑NTFS权限。

3共享权限只用通过网络范围共享文件资源时候才会起作用,如果是本地登录则无视;而NTFS文件系统的权限,无论是网络访问还是本地登录使用资源时候都会起到限制作用

4 对于网络访问的权限,是共享权限和NTFS权限的综合限制,用户的实际权限一定是两个权限的交集,也就是取最小权限。

以后有空了,写个具体的实例,增加自己的记忆,呵呵!

备注:显示没有权限的人不能看到没有权限的文件夹,请开启2008文件服务器的基于文件权限的枚举功能,也就是2003下面的ABE控件。

在公司内部共享文件的是,记得添加文件的审核功能,这样就可以知道谁对共享文件进行了修改。