管理文件与文件夹权限(WINDOWS)PPT学习课件.ppt

管理文件与文件夹权限管理文件与文件夹权限计算机网络安全技术计算机网络安全技术教师:郑开涛TEL:18925184705QQ:33732587Email:讲课提纲讲课提纲v任任务描述描述v任任务目目标v任任务分析分析v任任务分解分解v任任务实施施v任任务总结v任任务拓展拓展任务描述任务描述XX公司因工作需要，公司因工作需要，经常使用文件服常使用文件服务来管理来管理员工之工之间的文件的文件传递，公司要求：，公司要求：经理理级人人员不但能完全管理不但能完全管理经理文件理文件夹，且能，且能对员工文件工文件夹的内容的内容进行修改，但不能行修改，但不能删除；除；员工工级人人员只能管理只能管理员工文件工文件夹，不能，不能读取取经理文理文件件夹；由于服由于服务器器空器器空间消耗量很大，消耗量很大，为了避免了避免员工随意工随意将一些不必要的文件放在服将一些不必要的文件放在服务器上，需要限制用器上，需要限制用户可以使用的磁可以使用的磁盘空空间（普通（普通员工限制工限制为100MB，部，部门经理限制理限制为300MB）.任务目标任务目标vNTFS权限和共享限和共享权限限实现用用户和和组访问文文件件夹和文件的安全性和文件的安全性 理解理解NTFS权限概念限概念 掌握掌握NTFS权限的限的组合合 理解移理解移动和复制和复制对权限的影响限的影响 创建共享文件建共享文件夹 掌握掌握访问共享文件共享文件夹的方法的方法 理解理解共享共享权限与限与NTFS权限限 掌握磁掌握磁盘配配额的配置的配置任务分析任务分析J分析：分析：通过设置文件夹访问权限来通过设置文件夹访问权限来保护文件的安全。保护文件的安全。通过设置磁盘配额来限制用通过设置磁盘配额来限制用户使用服务器空间。户使用服务器空间。通过通过查看事件日志查看事件日志来观察安来观察安全的情况全的情况任务分解任务分解J建立用建立用户与用与用户组（上（上节课已学已学习过）J设置安全共享置安全共享访问（上（上节课已学已学习过）J设置置NTFS权限与共享限与共享权限限J设置磁置磁盘配配额J查看看事件事件日志日志任务实施任务实施J建立用建立用户与用与用户组建立用建立用户组USER（普通（普通员工工组）和）和MASTER（经理理组）建立代表用建立代表用户User01（普通（普通员工）和工）和Master01（经理）理）加入加入组USERUser01User nMASTERMaster01Master n用户组用户组用户用户任务实施任务实施J设置安全共享置安全共享访问设置各用置各用户密密码（含超（含超级用用户）分配用分配用户权限限任务实施任务实施J设置安全共享置安全共享访问设置安全置安全选项任务实施任务实施J设置安全共享置安全共享访问更新策略（更新策略（gpupdate/force）设置共享文件置共享文件夹USER和和MASTER访问共享文件共享文件夹就就输入用入用户名与密名与密码任务实施任务实施J设置置NTFS权限与共享限与共享权限限NTFS概述概述NTFS权限含限含义获得得NTFS文件文件夹的的NTFS权限限文件的文件的NTFS权限限特特别的的权限限取得文件或文件取得文件或文件夹的所有的所有权NTFS权限的限的应用用规则复制和移复制和移动操作操作对权限限共享共享权限限NTFS概述概述vNTFS特点特点可以可以设置置权限限支持更大的磁支持更大的磁盘容量容量压缩功能功能文件加密文件加密AD需要使用需要使用 NTFS磁磁盘配配额NTFS权限含义权限含义vNTFS文件系统可以针对文件系统可以针对不同用户和组设置各种访不同用户和组设置各种访问权限问权限 v只有被授予权限的用户或只有被授予权限的用户或组才能访问组才能访问v文件或文件夹的属性中有文件或文件夹的属性中有【安全安全】选项卡选项卡v访问控制列表访问控制列表(ACL)v访问控制项访问控制项(ACE)安全选项卡安全选项卡获得获得NTFSv格式化格式化v命令命令:convert e:/fs:ntfsv第三方软件第三方软件文件夹的文件夹的NTFS权限权限v完全控制完全控制v修改读取和运行修改读取和运行v列出文件夹目录列出文件夹目录v读取读取v写入写入v特别的权限特别的权限文件的文件的NTFS权限权限v完全控制完全控制v修改修改v读取和运行读取和运行v读取读取v写入写入v特别的权限特别的权限特别的权限特别的权限 v和和【安全安全】选项卡相关卡相关读取取权限限更改更改权限限取得所有取得所有权取得文件或文件夹的所有权取得文件或文件夹的所有权 v取得所有权取得所有权v管理员没有所有权管理员没有所有权不能修改权限不能修改权限v管理员取得所有权管理员取得所有权可以修改权限可以修改权限阶段练习阶段练习J背景背景网管网管员无无权访问某些文件某些文件夹如何如何获得得访问权限限J目目标设置置NTFS权限限 取得所有取得所有权 NTFS权限的应用规则权限的应用规则 v权限的限的组合合 v权限的限的继承承v权限的拒限的拒绝v移移动和复制操作和复制操作对权限的影响限的影响权限的组合权限的组合v用用户对资源的有效源的有效权限是分配限是分配给用用户帐户的的权限和用限和用户所属各个所属各个组的累加的累加权限限例如例如user属于属于组group1和和group2权限的拒绝权限的拒绝v拒绝权限可以覆盖所有其他权限拒绝权限可以覆盖所有其他权限v可以设置拒绝用户帐户也可以拒绝组可以设置拒绝用户帐户也可以拒绝组例如例如user属于组属于组group1和和group2权限的继承权限的继承2-1 v新建的的子文件夹和新建的的子文件夹和文件会继承上一级目文件会继承上一级目录的权限录的权限v根目录下的文件夹或根目录下的文件夹或文件继承磁盘分区的文件继承磁盘分区的权限权限FolderAFolderB继承权限继承权限Read/Write权限的继承权限的继承2-2v可以拒绝继可以拒绝继承上级权限承上级权限v可以强制下可以强制下级继承权限级继承权限从上继承从上继承向下继承向下继承阻止继承阻止继承FolderAFolderBFolderCRead/Write复制和移动操作对权限的影响复制和移动操作对权限的影响 NTFS分区分区移动移动复制复制相同相同保留原来的权限保留原来的权限继承目的地文件夹的继承目的地文件夹的权限权限不同不同继承目的地文件夹的继承目的地文件夹的权限权限继承目的地文件夹的继承目的地文件夹的权限权限NTFS PartitionC:NTFS PartitionE:NTFS PartitionD:MoveCopyCopyOrMove复制的影响复制的影响 移动的影响移动的影响移动的影响移动的影响阶段练习阶段练习J背景背景XX公司的行政部和人事部的公司的行政部和人事部的员工需要工需要对某文件某文件夹有有读取和写入取和写入权限限其他部其他部门的的员工有工有读取取权限限 J目目标设置置NTFS权限限 什么是共享文件夹什么是共享文件夹v什么是共享文件什么是共享文件夹v共享文件共享文件夹的的优点点v共享文件共享文件夹的特征的特征共享后的文件夹共享后的文件夹创建共享文件夹创建共享文件夹v创建共享文件夹创建共享文件夹启用共享启用共享共享名共享名注释信息注释信息连接用户数连接用户数权限权限删除共享文件夹删除共享文件夹v删除文件除文件夹共享共享v删除除时警告信息警告信息访问共享文件夹访问共享文件夹3-1v网上网上邻居居通通过浏览方式，速度方式，速度较慢慢访问共享文件夹访问共享文件夹3-2vUNC路径路径组成成服服务器名器名ip地址地址v输入入UNC路径路径【开始开始】|【运行运行】对话框框资源管理器的源管理器的【地址地址】栏IE的的【地址地址】栏vUNC路径可以快速路径可以快速访问共共享文件享文件夹UNC访问共享文件夹访问共享文件夹访问共享文件夹访问共享文件夹3-3v映射网映射网络驱动器器v如何映射网如何映射网络驱动器器映射网络驱动器映射网络驱动器共享权限共享权限2-1共享权限共享权限网络用户可以网络用户可以读取读取(Read)(默认权限默认权限,被被分配给分配给 Everyone 组组)查看文件内容和属性查看文件内容和属性查看文件名称和子文件夹名称查看文件名称和子文件夹名称运行程序运行程序更改更改(Change)(包括包括 Read 权限权限)创建文件和子文件夹创建文件和子文件夹修改文件内容修改文件内容删除文件和文件夹删除文件和文件夹完全控制完全控制(Full Control)包括包括 Read 和和 Change 权限权限允许修改文件和文件夹的允许修改文件和文件夹的NTFS权限权限共享权限共享权限2-2v配置共享配置共享权限限默默认为Everyone读取取可以添加其他用可以添加其他用户和和组共享共享权限通限通过网网络访问时有效有效共享权限与共享权限与NTFS权限权限2-1v共享共享权限只限只对通通过网网络访问的用的用户有效有效vNTFS权限限对本地用本地用户和网和网络用用户都有效都有效v如果共享文件如果共享文件夹存存储在在NTFS文件系文件系统上，上，还要考要考虑NTFS权限限v网网络访问取两种取两种权限中限中最最严格的格的权限有效限有效UsersReadChangeFCFile1File2PublicNTFS Volume共享权限与共享权限与NTFS权限权限2-2文件夹的共享权限是完全控制文件夹的共享权限是完全控制file1和和file2的的NTFS权限分别权限分别是读取和修改是读取和修改那么用户通过网络对那么用户通过网络对file1和和file2的权限是读取和修改的权限是读取和修改读取读取修改修改完全控完全控制制File1File2文件夹文件夹NTFS 卷卷注：红色的权限是共享权限，黑色的权限是注：红色的权限是共享权限，黑色的权限是NTFS权限权限共享权限与共享权限与NTFS权限权限2-3共享权限共享权限NTFS权限权限网络访问有效权限网络访问有效权限完全控制完全控制完全控制完全控制完全控制完全控制修改修改更改更改读取读取读取读取拒绝访问拒绝访问拒绝访问拒绝访问更改更改完全控制完全控制更改更改修改修改更改更改读取读取读取读取拒绝访问拒绝访问拒绝访问拒绝访问读取读取完全控制完全控制读取读取修改修改读取读取读取读取读取读取拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问完全控制完全控制拒绝访问拒绝访问修改修改拒绝访问拒绝访问读取读取拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问拒绝访问阶段练习阶段练习:确定有效的确定有效的NTFS和共享权限和共享权限在本练习中在本练习中:确定有效的确定有效的NTFS权限权限确定共享权限确定共享权限NTFS VolumeUsersUsers GroupFCUser3User3FCUser2User2FCUser1User1FC1NTFS VolumeDataSales GroupRPubsHRSales GroupSalesFC2任务实施任务实施J设置置NTFS权限与共享限与共享权限限通通过上面的学上面的学习，大家先考，大家先考虑如何如何设置置NTFS权限和共享才能限和共享才能满足企足企业的要求？的要求？任务实施任务实施J设置磁置磁盘配配额磁磁盘配配额概念概念启用磁启用磁盘配配额C:D:E:F:磁盘配额概念磁盘配额概念v磁磁盘配配额与用与用户 磁磁盘配配额限制用限制用户帐户使用卷（或分区）的磁使用卷（或分区）的磁盘空空间磁磁盘配配额是以文件所有是以文件所有权为基基础的的 当启用磁当启用磁盘配配额后，后，Administrators组成成员不不受限制受限制v磁磁盘配配额与卷与卷 磁磁盘配配额只适用于卷（或分区），且不受卷的只适用于卷（或分区），且不受卷的文件文件夹结构及物理磁构及物理磁盘上的布局的影响上的布局的影响必必须在在NTFS文件系文件系统上上实现启用磁盘配额启用磁盘配额2-1 v启用磁启用磁盘配配额启用磁启用磁盘配配额拒拒绝将磁将磁盘空空间给超超过配配额的用的用户磁磁盘空空间限制限制警告等警告等级记录事件事件启用磁盘配额启用磁盘配额2-2 v设置配置配额项启用磁盘配额和设启用磁盘配额和设置配额项置配额项任务实施任务实施J查看看事件事件日志日志任务总结 v共享文件夹权限仅适用于通过网络访问共享共享文件夹权限仅适用于通过网络访问共享目录的用户，对计算机上工作的用户无效目录的用户，对计算机上工作的用户无效v而而NTFS权限既适用于通过网络访问共享目录权限既适用于通过网络访问共享目录的用户，也适用于在计算机上工作的用户。的用户，也适用于在计算机上工作的用户。v在共享文件夹权限中兼用用户权限和组权限在共享文件夹权限中兼用用户权限和组权限时，有效权限是累积的，但有时，有效权限是累积的，但有“拒绝访问拒绝访问”权限除外权限除外v兼用共享文件夹权限和兼用共享文件夹权限和NTFS权限时，有效权权限时，有效权限是是限制最大的权限限是是限制最大的权限 任务总结vNTFS权限中兼用用户权限和组权限时，有效权限中兼用用户权限和组权限时，有效权限是累积的，但有权限是累积的，但有“拒绝访问拒绝访问”权限除外权限除外v对于对于NTFS权限，文件权限优于文件夹权限权限，文件权限优于文件夹权限v使用使用NTFS权限是提供本地安全性的唯一的途权限是提供本地安全性的唯一的途径径v共享文件夹权限是共享文件夹权限是FAT分区上提供本地安全性分区上提供本地安全性的唯一的途径，并且仅当从网络访问资源时才的唯一的途径，并且仅当从网络访问资源时才有效有效任务拓展任务拓展 v某公司在服务器上设置一个共享文件夹某公司在服务器上设置一个共享文件夹Shared。v公司要三个部门共用这个文件夹，现公司要求作如下数公司要三个部门共用这个文件夹，现公司要求作如下数据安全访问：据安全访问：Marketing：在在Shared文件夹中设置一个文件夹中设置一个Marketing文件夹，文件夹，确保公司中的每个职员都能够读取这个文件夹的内容，但不能确保公司中的每个职员都能够读取这个文件夹的内容，但不能在这个文件夹中进行任何的修改。在这个文件夹中进行任何的修改。Marketing Group中成员应中成员应该能够完全管理这个文件夹。该能够完全管理这个文件夹。Finance：在在Shared文件夹中设置一个文件夹中设置一个Finance文件夹，确保文件夹，确保公司中的每个职员都能够读取这个文件夹的内容，但不能在这公司中的每个职员都能够读取这个文件夹的内容，但不能在这个文件夹上进行任何的修改。个文件夹上进行任何的修改。Marketing Group中成员应该写中成员应该写入该文件夹的内容以更新预算和项目计划。入该文件夹的内容以更新预算和项目计划。Finance Group中中成员应该能够完全管理这个文件夹。成员应该能够完全管理这个文件夹。Development：在在Shared文件夹中设置一个文件夹中设置一个Development文文件夹，确保只有件夹，确保只有Development Group中的成员能够访问这个中的成员能够访问这个文件夹。文件夹。Development Group中的成员应该能够完全管理这中的成员应该能够完全管理这个文件夹。个文件夹。v您是公司的网络管理员，如何完成上述任务？您是公司的网络管理员，如何完成上述任务？Any Questions?谢谢大家！谢谢大家！谢谢大家！谢谢大家！