答案:摘要:
在Windows 2000系统中,开始使用了NTFS5文件系统,NTFS5文件系统有诸多的优秀特性,使得管理计算机和用户权限、管理磁盘空间、管理敏感数据的效率都得到了巨大的提升。而NTFS同时支持较FAT等文件系统更大的磁盘分区以及提高了系统的稳定性等。NTFS可谓是目前在微软正式发布的操作系统中所支持的最强大的文件系统了,本文介绍了NTFS的一些特性,以便读者更加了解这个文件系统,更有效地使用、管理Windows 2000计算机。
(注:本文中笔者将用Windows 2000代表所有运行在NTFS5文件系统的操作系统,如Windows2000、Windows XP、Windows Server 2003等。而文章中出现的NTFS,如没特别说明,均表示NTFS5.0或以上版本。)目录:
• NTFS5文件权限特性
• NTFS5数据压缩特性
• NTFS5数据加密特性
• NTFS5磁盘配额特性 权限特性:1.NTFS文件权限特性:
NTFS可以选择的文件权限:
NTFS分区中,每一个文件以及文件夹NTFS都存储一个访问控制列表,访问控制列表包含所有被许可的用户帐户、组和计算机。ACL一定包含一个叫做"访问控制项"的项(访问控制项,ACE)。如果在文件或文件夹的访问控制列表中经过验证没有相应的访问控制项,则对文件的访问会被拒绝。
我们用NTFS权限来指定哪个用户、组合计算机可以在哪个程度上对特定的文件和文件夹进行访问、作出修改,对于文件,我们可以赋予用户、组和计算机以下权限:
读:可以读取文件,查看文件的属性、所有者以及权限。
写:可以写入数据、覆盖文件、修改文件属性,以及查看文件权限和所有权。
读和运行:可以读取文件,查看文件的属性、所有者、权限,还可以运行应用程序。
修改:可以读取并写入/修改文件,查看并更改文件的属性、所有者、权限,还可以运行应用程序以及删除文件。
完全控制:对文件的最高权力,在拥有上述其他权限所有的权限以外,还可以修改文件权限以及替换文件所有者。
对于文件夹,我们可以赋予用户、组和计算机以下权限:
读:读取文件和查看子文件夹,查看文件夹属性、所有者和权限。
写:创建文件夹、修改文件夹属性、查看文件夹权限和所有者。
List Folder Contents(列出文件夹内容):查看此文件夹中的文件和子文件夹。
读和运行:遍历文件夹,查看并读取文件和查看子文件夹,查看文件夹属性、所有者和权限。
修改:除了查看并读取文件和查看子文件夹、创建文件和子文件夹、查看和修改文件夹属性、所有者和权限以外,还可以删除文件夹。
完全控制:文件夹的最高权限,在拥有上述所有文件夹权限以外,还可以修改文件夹权限、替换所有者以及删除子文件夹。
除此之外,NTFS还有一些特殊权限,图1显示了这些特殊权限的名称。图1
其中比较重要的是Change Permission和Take Ownership,通常情况下,这两个特殊权限要慎重使用,一旦赋予了某个用户Change Permission权限,他便可以改变相应文件或者文件夹的权限设置,同样,一旦赋予了某个用户Take Ownership权限,他便可以做为文件的所有者,对文件作出查阅并更改。
默认情况下,Windows 2000赋予每个用户对于NTFS文件和文件夹的完全控制权限。
NTFS文件权限的继承:
在NTFS分区中,权限是可以继承的,通常情况下,文件夹中的文件和子文件夹是要继承父文件夹的权限的。如果文件夹中的文件和子文件夹继承了父文件夹的权限,在查询子文件夹权限的时候,继承下来的项的权限设置以灰色显示,并不能更改(如图2)。图2
我们可以通过文件(夹)属性中的安全选项卡,不选择“Allow Inheritable permissions from parent to propagate to this object.”即可取消继承,但是,当我们取消选择一项时,会弹出一个对话框,如图3。单击COPY保留父文件夹继承下来的权限,并在以后不再继承;单击Remove删除从父文件夹继承的权限,并不再继承。
图3
当我们在NTFS分区内、分区间拷贝文件或者在NTFS分区间移动文件或文件夹时,文件或文件夹将继承目标文件夹的权限。而当我们在同一NTFS分区内移动文件或文件夹时,权限将被保留。
无论是将文件或文件夹复制还是移动到FAT分区,所有权限信息将丢失。
文件权限比文件夹权限更加高
NTFS文件是具有最高权限的,例如用户A对一个文件有读、写的权限,而A对于这个文件所在的文件夹只有读权限,但是最终,A对这个文件,还是拥有读、写的权限。允许和拒绝:
在NTFS文件(夹)权限中,拒绝永远优先于允许,由于NTFS权限是累积的,即如果一个用户同时在两个组中,并对于同一文件(夹),管理员同时对这两个组都赋予了不同的权限,那么这个用户将拥有这两个组的权限的并集,所以,如果这个用户属于的一个组有Read权限,而他属于的另一个组的READ权限处于“拒绝”状态,他是没有读取权利的。2.NTFS数据压缩特性
NTFS文件系统提供了数据压缩的功能,我们可以压缩不常使用的数据从而节省磁盘空间。这种压缩对于用户是透明的,当我们访问一个使用NTFS压缩的文件夹时,并看不到解压缩的过程,然而,每当我们对压缩文件或文件夹进行访问时,系统在后台自动解压缩数据,当我们访问结束后,系统再自动压缩数据。NTFS数据压缩的使用方法:
1. 右键单击文件或文件夹,单击“属性”,出现图4所示属性对话框。2. 单击“高级”按钮,出现图5所示高级属性对话框。图5
3. 选择“压缩内容以便节省磁盘空间”,然后单击确定回到“属性”对话框。
4. 单击“确定”关闭属性对话框并使设置生效。
5. 如果正在将文件夹设定压缩属性,系统会出现“确认属性更改”对话框,如图6,选择“仅将更改应用于该文件夹”,系统将只将文件夹设置为压缩文件夹,里面的内容并没经过压缩,但是以后在其中创建的文件或文件夹将被压缩。选择“将更改应用于该文件夹,子文件夹和文件”,文件夹内部的所有内容被压缩。
图6
6. 在Windows XP中,系统将自动将压缩的文件夹用蓝色显示,以便区分,如图7。在Windows 2000中,需要在“文件夹选项”中进行配置才能实现这种效果。图7
NTFS数据压缩的继承:
无论是将压缩了的文件夹复制到同一个还是不同的NTFS分区,或者移动到不同的分区,都将继承目的地文件夹的压缩情况,只有在同一NTFS分区内进行移动,压缩文件夹保留压缩属性。
无论将压缩文件夹复制还是移动到FAT分区,压缩属性必定丢失。
3.NTFS数据加密特性:
NTFS的数据加密特性称作加密文件系统EFS,我们可以用EFS加密在NTFS分区中的数据,Windows 2000、XP专业版以及Windows Server 2003都支持EFS,但是,Windows XP家庭版是不支持它的。EFS是一个透明的文件加密服务,它是以公共密钥加密为基础,使用CryptoAPI架构。EFS提供可选的数据恢复能力,系统管理员可以恢复另一用户加密的数据。EFS也可以实现多用户(当然是被许可的用户)共享存取一个已经加密的文件夹EFS的使用:
利用EFS进行文件(文件夹)加密:
1. 右键单击文件或文件夹,点击属性。
2. 在弹出的属性对话框中单击高级。
3. 在弹出的高级属性对话框中,选择“加密内容以保护数据”,然后单击确定。
4. 单击确定关闭属性对话框并保存设置。
5. 如果是对文件夹进行加密,会出现“确认属性更改”对话框。选择“仅将更改应用于该文件夹”,系统将只将文件夹加密,里面的内容并没经过加密,但是以后在其中创建的文件或文件夹将被加密。选择“将更改应用于该文件夹,子文件夹和文件”,文件夹内部的所有内容被加密。
6. 确定即可。
利用EFS进行文件(文件夹)解密:
1. 右键单击文件或文件夹,点击属性。
2. 在弹出的属性对话框中单击高级。
3. 在弹出的高级属性对话框中,去掉对“加密内容以保护数据”的选择,然后单击确定。
4. 单击确定关闭属性对话框并保存设置。
5. 如果是对文件夹进行解密,会出现“确认属性更改”对话框。选择“仅将更改应用于该文件夹”,系统将只将文件夹解密,里面的内容并没经过解密,但是以后在其中创建的文件或文件夹将不被加密。选择“将更改应用于该文件夹,子文件夹和文件”,文件夹内部的所有内容被解密。
6. 确定即可。
4.NTFS的磁盘配额特性:
在Windows 2000/xp中,系统的NTFS5支持磁盘配额,来控制用户在服务器中的磁盘用量,当用户使用了一定的服务器磁盘空间以后,系统可以:1.发出警告; 2.禁止用户对服务器磁盘的使用; 3.将事件记录到系统日志中。这样,域中的用户便不可随意使用服务器磁盘空间、在服务器磁盘中存放过期的、杂乱的个人文件了。当然,磁盘配额在个人计算机中也可使用,并可使磁盘管理更加方便。要启用磁盘配额:
1. 打开资源管理器,右键单击磁盘盘符,点击“属性”。
2. 单击“配额”选项卡,并选择“启用磁盘配额”,如图8。
限制卷中所有用户的磁盘使用:
选择“拒绝将磁盘空间给超过配额限制的用户”,并在下面的默认磁盘限制中选择“限制磁盘空间到…”,在后面的框中输入此卷的每个用户可用的空间量,可以在下面的警告级别中设定当用户使用到多少空间时进行警报。事件记录:
可以设定系统当用户对磁盘的用量达到(超过)限制量(警告值)的时候进行事件记录,虽然可以同时让系统记录事件以及禁止超额的磁盘使用,但是这是无意义的,通常,设定了拒绝用户使用超额磁盘空间就不必设定记录事件日志。
选择“Log event when a user exceeds their quota limit”,来在用户超过用量时记录事件日志。
选择“Log event when a user exceeds their warning level”,来在用户超过警告阀值时记录事件日志。
针对特定用户的磁盘配额:
大多数时候,我们分配对于企业中每个用户分配的磁盘空间是不等的,这样,假如像上述一样简单选择磁盘空间限制便无法达到我们的要求,所以,我们要通过编辑“Quota Entries…”来进行对特定用户磁盘用量限制进行编辑:
1. 打开磁盘属性à配额à启用磁盘配额à单击Quota Entries…按钮,如图9。
图9
2. 系统出现Quota Entries For …(X:)对话框(省略号处为您的磁盘卷标)。
3. 单击“Quota”à “New Quota Entry…”。
4. 出现选择用户对话框,输入一个想配置磁盘配额的用户,然后单击确定。
5. 系统弹出“Add New Quota Entry”对话框,如图10。
6. 选择并设置“Limit disk space to”和“Set warning level to”,来设定特定用户的磁盘用量以及警告阀值,然后单击“确定”。
7. 如果想设定其他用户,使用同样的方法即可。
Windows 2000磁盘配额是我们更加容易地管理服务器的磁盘,使一个很好的工具。需要注意的是,磁盘管理计算的是非压缩的使用量,即使您在相应的磁盘中存储了一个压缩文件,在计算您的使用量时仍然以解压缩后文件的大小计算;第二点,Windows 2000磁盘配额按照所有者计算文件,只有在相应卷内所有者是您的文件才会被记入您的磁盘空间用量中。第三点,对于不同的磁盘分区,Windows2000分别记录磁盘用量,而不是计算磁盘总用量。
结论
本文简单概述了NTFS5的几个主要特性,旨在让用户了解NTFS5的种种优越性,在使用Windows 2000/xp/server 2003的时候优先考虑使用NTFS格式化磁盘,并理解这些设置的实际意义。NTFS5的这些特性不但提高了系统的安全性以及便利性、有效性,还降低了总投入,了解这些特性,对日常的服务器或者计算机管理十分有益。参考信息:
1. 磁盘配额,Kathy Ivents,Windows & .net Magazine 国际中文版,2003年第3期。
2. Encrypting File System概述,闫诺,微软中文社区,2002-12-20。,
上一个:新手配置 PHP 调试环境
下一个:限制Windows用户的并发登录