3.3.3 文件管理
1.Windows Server 2008文件系统特点
在安装Windows Server 2008系统时,默认安装的磁盘分区为NTFS分区。当然Windows Server 2008也支持FAT 32分区,利用NTFS分区可以有效地提高Windows Server 2008文件系统的数据安全性、存储有效性以及磁盘空间的利用率。Windows Server 2008文件系统在NTFS分区上可以利用NTFS权限和文件加密提高数据安全性和数据存储有效性,利用数据压缩和磁盘配额提高磁盘空间的利用率。
2.NTFS文件系统的安全性
在NTFS分区上的每一个文件和文件夹都有一个列表,称为ACL(access control list,访问控制列表),该列表记录了每一用户和组对该资源的访问权限。在Windows Server 2008的NTFS权限作用下,用户必须获得明确的授权才能访问相应的文件和文件夹。
(1)NTFS权限类型:NTFS权限分为标准NTFS权限和特殊NTFS权限两大类。标准NTFS权限可以说是特殊NTFS权限的特定组合。Windows Server 2008为了简化管理,将一些常用的特殊NTFS权限组合起来并内置到操作系统中形成标准NTFS权限,当需要分配权限时可以通过分配一个标准NTFS权限而达到一次分配多个特殊NTFS权限的目的。这样做大大简化了权限的分配和管理。当标准NTFS权限没有提供一些特殊需要的NTFS权限的组合时,仍然可以通过设定一个特殊NTFS权限来满足要求。
1)标准NTFS权限:对于文件,标准NTFS权限包括完全控制、修改、读取和执行、读取、写入等5种。如图3-28所示,右击某个文件,在弹出的快捷菜单中选择“属性”选项,然后在弹出的对话框中选择“安全”选项卡可以查看某个用户对此文件的权限。
a.完全控制:它拥有所有NTFS权限,可以修改权限,取得所有权等。
b.修改:除了“读取”和“读取和运行”的所有权限外,还具有写入的权限,可以更改文件的数据、删除文件、改变文件名等。
c.读取和执行:除了“读取”的所有权限外,还可以运行应用程序。
d.读取:此权限可以读取文件内的数据,查看文件的属性、所有者、文件的权限等。
e.写入:此权限可以将文件覆盖、改变文件属性、查看文件的所有者、查看文件的权限等,但是,不可以直接更改文件内的数据。例如,不能利用Word直接编辑修改Word文档,只能将该文档整个覆盖掉。一般跟“读取”权限一起赋予。
如果希望修改权限,如图3-28所示,可以单击“编辑”按钮,出现图3-29所示的对话框,可以修改相应权限。
对于文件夹,标准NTFS权限包括读取、写入、列出文件夹目录、读取和运行、修改、完全控制等6种。
2)特殊NTFS权限:特殊NTFS权限包含了在各种情况下对资源的访问权限,其规定约束了用户访问资源的所有行为,如图3-30所示。对于特殊的NTFS权限,只需了解其中的两个使用比较频繁的权限:“更改权限”和“取得所有权”。其他权限大多是组合成标准NTFS权限在使用。
图3-28 NTFS文件基本权限
图3-29 修改权限
图3-30 特殊NTFS文件权限
(2)NTFS权限的继承性:NTFS权限具有继承性,默认情况下,授予父文件夹的权限将被包含在该父文件夹下的子文件夹或文件所继承。也可以说文件或文件夹默认继承分区或父文件夹的权限,并且继承来的权限不能直接设置和修改。
在NTFS分区中找到需要删除权限继承的文件夹,右击该文件夹,在弹出的快捷菜单中选择“属性”选项,在弹出的文件夹的“属性”对话框中选择“安全”选项卡,如图3-32所示。现在需要删除Users组从父文件夹继承来的权限。首先单击“高级”按钮,弹出“高级安全设置”对话框,单击“编辑”按钮,如图3-31所示,取消选中“包括可从该对象的父项继承的权限”复选框,单击“确定”按钮。如图3-32所示,单击“编辑”按钮,弹出图3-33所示的“权限”对话框,选中Users,单击“删除”按钮,即可删除Users用户的权限。
图3-31 文件夹的高级安全设置
图3-32 修改Users用户的权限
图3-33 删除Users用户的继承权限
3.NTFS文件系统的文件加密
对要保护文件的访问可以通过使用用户权利及权限来限制。然而,如果入侵者能够得到用户的磁盘驱动器,则入侵者可以在其他计算机上安装该驱动器,然后在该机的操作系统平台上用管理级特权访问存储在驱动器上的数据。为了防止这种情况发生,Windows Server 2008提供了一种解决方案——数据加密。数据加密使用一种叫作“文件加密系统(EFS)”的功能。在Windows Server 2008的NTFS文件系统中内置了EFS加密系统,利用EFS加密系统可以对保存在硬盘上的文件进行加密。EFS加密系统作为NTFS文件系统的一个内置的功能,其加密和解密过程对应用程序和用户而言是完全透明的。另外,Windows Server 2008内置了数据恢复功能,可以由管理员恢复被另一个用户加密的数据,保证了数据在需要使用的情况下始终可用。
EFS加密系统只能在Windows Server 2008的NTFS分区上实现,其加密是利用文件加密密钥来实现的。文件加密过程将把文件加密密钥存储在文件头标的DDF(data decryption field,数据解密域)和DRF(data recovery field,数据恢复域)中,与被加密的文件形成一个整体。因此,当被加密的文件被移动到同一个磁盘分区的其他未加密文件夹中的时候,文件依然保持加密。通过将要加密的文件置于一个文件夹中,再对该文件夹加密,可以实现一次加密大量的数据。在这种情况下也仍然是对文件的加密。并且在其下创建的所有文件和子文件夹都会被加密。此功能在Windows Server 2008中是透明的,EFS用户如果是加密者本人,系统会在用户访问这些文件和文件夹时将其自动解密,用户完全不用参与。
数据加密和数据压缩功能不能同时进行,二者只能选其一。
在选择的文件或文件夹上单击鼠标右键,在弹出的快捷菜单中选择“属性”选项,弹出文件或文件夹的属性对话框,如图3-34所示。单击“高级”按钮,弹出“高级属性”对话框,如图3-35所示,选中“加密内容以便保护数据”复选框,单击“确定”按钮即可。
图3-34 文件或文件夹的属性对话框
图3-35 “高级属性”对话框