一、NTFS基础知识
1.NTFS权限概述
*分配了正确的访问权限后,用户才能访问其资源
*设置权限防止资源被篡改、删除
各种系统下常见文件系统
windows:fat12 fat32 NTFS exfat
linux操作系统:ext2 ext3 ext4 xfs
苹果系统:HFS+IOS
谷歌:GFS
2.文件系统概述
- 在外部存储设备上组织文件的方法
NTFS文件系统
- ACL-访问控制列表:可以指定用户和组的访问权限。
- EFS-加密文件内容:为了保障数据的安全
- 压缩及磁盘配额:可以节省磁盘空间和针对系统中的每个用户分配磁盘资源。
ReFS文件系统
- 写入时复制技术
- 支持超大规模的卷、文件和目录
- 稳定及可用性更强
2.1在虚拟机中新建一个硬盘--新加卷(E:)
①打开虚拟机设置--添加选择硬盘--默认下一步即可
② 在虚拟机中打开服务器管理器--工具--计算机管理--磁盘管理
③ 在磁盘管理中能看到我们刚刚添加的硬盘(磁盘1:10G)--右击选择“联机”-“初始化磁盘”
④联机成功后--右击选择“新建简单卷”--默认下一步即可
我们在操作的时候,能看到文件系统默认选择NTFS,还有FAT32和ReFS文件系统的选择。
但现在使用的基本都是NTFS文件系统
⑤成功后可以在虚拟机的“此电脑”中查看到我们刚刚新建的磁盘
3.设置文件权限
操作权限 | 说明 | |
读取数据 | 允许 | 能够查看文件中的数据 |
拒绝 | 不能够查看文件中的数据 | |
写入数据 | 允许 | 能够对文件进行更改以及覆盖现有内容 |
拒绝 | 不能够对文件进行更改以及覆盖现有内容 | |
附加数据 | 允许 | 能够更改文件的末尾,而不是更改、删除或覆盖现有数据 |
拒绝 | 不能够更改文件的末尾,而不是更改、删除或覆盖现有数据 | |
删除 | 允许 | 能够删除文件 |
拒绝 | 不能够删除文件 | |
执行文件 | 允许 | 能够运行程序文件 |
拒绝 | 不能够运行程序文件 |
3.1为用户只设置读取文件的权限
以下操作在管理员账号下操作
①在虚拟机中选择一个文件--右击选择“属性”--安全--编辑
②选择“添加”--输入想要授权的用户(zhangsan)--检查名称
③选择刚刚添加授权的用户--勾选读取(其他权限不勾选 )
以下操作在想要授权的普通用户下(zhangsan)
④登录授权的用户账号(zhangsan)--打开文件--进行一些修改,然后保存
⑤我们发现该文件在保存的时候“拒绝访问”
因为我们只授权“zhangsan”用户对该文件进行读取的权限,并没有其他权限,所以不能对文件进行修改写入删除等任何操作
4.设置文件夹权限
操作权限 | 说明 | |
列出文件夹 | 允许 | 能够查看文件夹内的文件名和子文件夹名 |
拒绝 | 不能够查看文件夹内的文件名和子文件夹名 | |
创建文件 | 允许 | 能够在文件夹内创建文件 |
拒绝 | 不能够在文件夹内创建文件 | |
创建文件夹 | 允许 | 能够在文件夹内创建文件夹 |
拒绝 | 不能够在文件夹内创建文件夹 | |
删除 | 允许 | 能够删除文件夹 |
拒绝 | 不能够删除文件夹 | |
删除子文件夹和文件 | 允许 | 能够删除子文件夹和文件 |
拒绝 | 不能够删除子文件夹和文件 |
二、权限的分类--NTFS六类权限细致划分
权限分类 具体权限 完全控制 遍历文件夹/执行文件
列出文件夹/读取数据
读取属性
读取扩展属性
创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
删除子文件夹及文件
删除
读取权限
更改权限
取得所有权
修改 遍历文件夹/执行文件
列出文件夹/读取数据
读取属性
读取扩展属性
创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
删除
读取权限
读取和执行 遍历文件夹/执行文件
列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
读取 列出文件夹/读取数据
读取属性
读取扩展属性
读取权限
写入 创建文件/写入数据
创建文件夹/附加数据
写入属性
写入扩展属性
特殊权限 读取权限
更改权限
取得所有权
三、NTFS权限规则
1.权限累加
- 用户对文档的有效权限等于 用户的权限+用户所属各组的权限
- 累加权限示例(用户同时属于zhangsan和管理组)
1.1例子---将zhangsan加入管理组(Administrators)
以下操作在管理员用户下
①服务器管理器--计算机管理--本地用户和组
②选择“用户”--右击“属性”
③隶属于--添加--输入管理组名“Administrators”--检查名称
以下操作在zhangsan用户下
④登录zhangsan普通用户账号--右击授权的文件--属性(这个时候我们看见对zhangsan用户只授权了读取的权限)
⑤点击“高级”--有效访问--选择用户--添加zhangsan--检查名称
⑥我们发现zhangsan的有效访问权限是完全控制--因为我们把他加入了管理组,而管理组的权限是完全控制,所以在这个组的zhangsan同样拥有完全控制的权限。
2.拒绝权限
- 可以为文档配置拒绝权限
拒绝权限优先,能够实现“一票否决”- 拒绝权限示例(用户同时属于yunjisuan1组和yunjisuan2组):
①在管理员账号下操作:zhangsan同时隶属于yunjisuan1组和yunjisuan2组
--yunjisuan1组授权“修改”权限
--yunjisuan2组-拒绝“读取和执行”及“读取”
②登录zhangsan账号--访问文件--发现无法访问(因为拒绝具有优先级)
3.权限继承
新建文件和子目录自动继承上一级目录的权限(灰色部分表示继承的权限)
4.特殊权限
读取权限
- 允许该用户读取访问控制列表
更改权限
- 允许该用户更改访问控制列表
取得所有权
- 用户可以成为其所有者