用户和组ntfs文件安全管理

《用户和组ntfs文件安全管理》由会员分享，可在线阅读，更多相关《用户和组ntfs文件安全管理（40页珍藏版）》请在装配图网上搜索。

1、用户和组和用户和组和NTFSNTFS主要内容：主要内容：用户的建立、删除、用户的建立、删除、NTFS与与F32区别区别设置文件的权限、加密、用户磁盘配合设置文件的权限、加密、用户磁盘配合使用命令使用命令:net user;convert证书的导入和导出。证书的导入和导出。用户的建立用户的建立net user命令命令可以查看并管理与帐户有关的事务，包括新建帐户、删除帐户、查看特定帐户、激活帐户及禁用帐户等。（1）查看帐户信息。键入不带参数的net user命令，可以查看所有帐户（包括已经禁用的帐户）。如果需要查看某个帐户的详细，可以在net user命令后面接帐户名。（2）新建帐户使用net u

2、ser命令的“/add”参数可以为计算机新建一个帐户，同时可以为该帐户设置用户密码，新建帐户默认为user组的成员。使用net user命令新建帐户的命令格式为：net user /add（3）删除帐户Net user/del（4）激活/禁用帐户Net user/active:介绍用户账户介绍用户账户n使用者完成管理任务或使用网络资源n位于 SAM(本地用户)n位于活动目录(域用户)域用户帐户域用户帐户域用户帐户域用户帐户n使用者通过登陆域有权使用网络资源n位于活动目录本地用户帐户本地用户帐户本地用户帐户本地用户帐户n使用者通过登陆和访问本计算机资源n位于SAM使用者使用者使用者使用者Admi

3、nistrator and Guest管理员，普通用户，组管理员，普通用户，组管理员：administrator普通用户：user管理员具有最高权限，普通用户只拥有操作权限。管理员具有最高权限，普通用户只拥有操作权限。普通用户无安装权限，删除程序权限，无注册表，组策略，设备管理器，普通用户无安装权限，删除程序权限，无注册表，组策略，设备管理器，网络等操作权限。网络等操作权限。注：合理分配管理员权限可以很方便的管理控制单机。组：具有某种共同操作特征的一组用户。建立组建立组它是一个系统内置组，在管理窗口是看不见的！Everyone组称之为任意组，系统里任何用户都是此组的成员。Everyone组组n

4、et localgroup命令：命令：添加、显示或更改本地组，常用来提升用户的管理权限。添加、显示或更改本地组，常用来提升用户的管理权限。注意注意:把组删除，组里的成员并没有删除，把组删除，组里的成员并没有删除，只把组的许可和权限删除了。只把组的许可和权限删除了。试验任务：试验任务：建立两个用户建立两个用户建立两个用户建立两个用户A A，B B（默认加入（默认加入（默认加入（默认加入UsersUsers组）组）组）组）任务：让任务：让任务：让任务：让A A具有具有关闭系统的权限；拒绝具有具有关闭系统的权限；拒绝具有具有关闭系统的权限；拒绝具有具有关闭系统的权限；拒绝B B在本在本在本在本机登陆

5、。机登陆。机登陆。机登陆。步骤步骤步骤步骤1 1：新建关闭系统组和拒绝本机登陆组。：新建关闭系统组和拒绝本机登陆组。：新建关闭系统组和拒绝本机登陆组。：新建关闭系统组和拒绝本机登陆组。把把把把A A加入关闭系统组。加入关闭系统组。加入关闭系统组。加入关闭系统组。把把把把B B加入拒绝本机登陆组。加入拒绝本机登陆组。加入拒绝本机登陆组。加入拒绝本机登陆组。步骤步骤2：运行：运行：gpedit.msc 进入组策略。进入组策略。选择关闭系统，将选择关闭系统，将关闭系统组加入其关闭系统组加入其中。中。选择拒绝本地登陆，选择拒绝本地登陆，将拒绝本机登陆组将拒绝本机登陆组加入其中。加入其中。注意：注意：千

6、万不要把千万不要把Everyone组和组和Administrators组加入到组加入到拒绝本地登陆拒绝本地登陆,后果很严重！后果很严重！然后注销，验证试验。然后注销，验证试验。文件安全管理：文件安全管理：1、文件系统简介文件系统简介NTFS文件系统相对于FAT和FAT32文件系统来说，可以更好的保护文件资源。提高文件资源的安全性。具体表现在：具体表现在：（1）可以对单个文件设置权限，而不仅仅是对文件夹设置权限。）可以对单个文件设置权限，而不仅仅是对文件夹设置权限。这使的在管理文件时，可以针对不同用户设置不同的访问权限，这使的在管理文件时，可以针对不同用户设置不同的访问权限，从而可以更好的保护文

7、件资源。从而可以更好的保护文件资源。（2）提供了文件加密功能，用户可以将自己的秘密文件加密，使）提供了文件加密功能，用户可以将自己的秘密文件加密，使其他用户不能访问自己的秘密文件。其他用户不能访问自己的秘密文件。（3）提供了文件压缩功能，从而极大的节省了磁盘空间。）提供了文件压缩功能，从而极大的节省了磁盘空间。（4）提供了磁盘配额功能，可以监视和控制单个用户使用的磁盘）提供了磁盘配额功能，可以监视和控制单个用户使用的磁盘空间量。通过磁盘配额功能，使管理员可以对不同用户使用磁盘空间量。通过磁盘配额功能，使管理员可以对不同用户使用磁盘的量进行控制，来提高磁盘利用率。的量进行控制，来提高磁盘利用率。

8、2、磁盘文件转化、磁盘文件转化：要把fat分区转换成NTFS格式有两种途径：（1）选择NTFS文件格式重新格式化分区；（2）使用convert.exe命令转化；注意：要把ntfs格式转化成fat格式则只能通过磁盘格式化操作进行，不能通过convert.exe命令进行。最大优点：可保持磁盘或分区中现有的文件和文件夹完好无损最大优点：可保持磁盘或分区中现有的文件和文件夹完好无损。文件或文件夹的属文件或文件夹的属性中都增加了一个性中都增加了一个安全选项卡安全选项卡,在选项在选项卡中有一个访问控卡中有一个访问控制列表和访问控制制列表和访问控制项项.只有被授予权限的只有被授予权限的用户或组才能访问用户或

9、组才能访问安全选项卡安全选项卡3、什么是、什么是NTFS权限权限完全控制：完全控制：对文件或者文对文件或者文件夹可执行所有操作。它件夹可执行所有操作。它还拥有还拥有“更改权限更改权限”与与“取得所有权取得所有权”的权限的权限修改：修改：可以修改、可以修改、删除文删除文件或者文件夹。件或者文件夹。读取和运行：读取和运行：可以读取内可以读取内容，并且可以执行应用程容，并且可以执行应用程序。序。文件夹的文件夹的NTFS权限权限列出文件夹目录：列出文件夹目录：可以列出文件夹可以列出文件夹的内容。此权限只针对文件夹存在。的内容。此权限只针对文件夹存在。读取：读取：可以读取文件或者文件夹的可以读取文件或者

10、文件夹的内容。内容。写入：写入：可以创建文件夹或者文件。可以创建文件夹或者文件。特别的权限：特别的权限：其他不常用的权限，其他不常用的权限，如删除权限、更改权限的权限等等。如删除权限、更改权限的权限等等。常见组的权限常见组的权限Administrators：内置：内置管理员组，对所有子文管理员组，对所有子文件夹和文件都具有完全件夹和文件都具有完全控制权限。控制权限。SYSTEM：此账户是代：此账户是代表操作系统本身，默认表操作系统本身，默认权限是完全控制。权限是完全控制。Users：此组代表：此组代表Server2003计算机上计算机上所有的用户，默认权限所有的用户，默认权限是读取和运行是读取

11、和运行/特殊权特殊权限。限。用户列表用户列表权限的组合权限的组合权限的组合权限的组合NTFS权限具有累加性权限具有累加性用户的有效权限是用户所属各个组权限的总和用户的有效权限是用户所属各个组权限的总和如如USER属于属于A（读权限）、（读权限）、B（写权限）两个组，那么（写权限）两个组，那么USER具有读写权限。具有读写权限。拒绝权限会覆盖其他所有权限拒绝权限会覆盖其他所有权限如果所属的组有一个被拒绝，此用户也会被拒绝如果所属的组有一个被拒绝，此用户也会被拒绝如如USER属于属于A（读写权限）、（读写权限）、B（拒绝权限）两个组，那么（拒绝权限）两个组，那么USER将被拒绝。将被拒绝。文件权限

12、会覆盖文件夹的权限文件权限会覆盖文件夹的权限NTFS权限的继承权限的继承当用户设置文件夹的权限后，位于该文件夹下添加的子文件夹与文件，默认会当用户设置文件夹的权限后，位于该文件夹下添加的子文件夹与文件，默认会自动继承文件夹的权限。自动继承文件夹的权限。新建的子文件夹和文件会继承上一级目录的权限，根目录下的文件夹或文件继新建的子文件夹和文件会继承上一级目录的权限，根目录下的文件夹或文件继承驱动器的权限。承驱动器的权限。用户可以设置让子文件夹或文件不要继承父文件夹的权限。用户可以设置让子文件夹或文件不要继承父文件夹的权限。灰色为继灰色为继承权限承权限NTFS权限的设置权限的设置1、指派文件夹的权限

13、、指派文件夹的权限只有administrators组的成员、文件/文件夹的所有者、具备完全控制权限的用户，才有权指派这个文件文件夹的ntfs权限。可以更改从父项对象所继承的权限，不能直接将灰色的对勾删除。从上继承从上继承向下继承向下继承2、不继承父文件夹的权限，撤选下面复选框、不继承父文件夹的权限，撤选下面复选框继承于继承于可以拒绝继承上级权限可以拒绝继承上级权限可以强制向下继承权限可以强制向下继承权限用户可以用特殊权限更精确的指派权限，满如各种不同权限的需求。用户可以用特殊权限更精确的指派权限，满如各种不同权限的需求。遍历文件夹遍历文件夹/运行文件运行文件：“遍历文件夹”可以让用户即使在无权

14、访问某个文件夹的情况下，仍然可以切换到该文件夹内。运行文件：让用户可以运行程序，该权限设置只适用于文件不适用于文件夹。列出文件夹列出文件夹/读取数据读取数据：列出文件夹让用户可以查看该文件夹内的文件名称、子文件夹名称（该权限只适用与文件夹）读取属性读取属性：可以查看文件夹或文件的属性，例如只读、隐藏等属性。创建文件创建文件/写入数据写入数据：创建文件让用户可以在文件夹内创建文件，写入数据让用户能够修改文件内的数据或者覆盖文件内容。创建文件夹创建文件夹/附加数据附加数据：创建文件夹让用户可以在文件夹中创建子文件夹，附加数据：让用户可以在文件的后面添加数据，但是无法修改、删除、覆盖原有的数据。写入

15、属性写入属性：让用户可以修改文件夹或文件的属性，例如只读、隐藏等属性。特殊权限的意义：特殊权限的意义：删除子文件夹及文件删除子文件夹及文件：该权限让用户可以删除该文件夹内的子文件夹与文件。即使用户对这个子文件夹或文件没有删除权限，也可以将其删除。删除删除：该权限让用户可以删除此文件夹或文件。（即使用户对该文件夹或文件没有删除的权限，但是只要他对父文件夹具有删除子文件夹及文件的权限，就可以删除此文件夹或文件。）读取权限读取权限：该权限让用户可以查看文件夹或文件的权限设置。更改权限更改权限：该权限让用户可以更改文件夹或文件的权限设置。取得所有权取得所有权：该权限让用户可以夺取文件夹或文件的所有权。

16、无论文件夹或文件的所有者对该文件夹或文件拥有说明权限，他永远具有更改该文件夹或文件权限的能力。文件与文件夹的所有权：文件与文件夹的所有权：在NTFS磁盘内，每个文件与文件夹都有其“所有者”。系统默认是创建文件或文件夹的用户，就是该文件或文件夹的所有者。系统允许用户夺取文件或文件夹的所有权，以便更改其所有者。用户必须具备以下条件之一，才可以取得所有权。（1）对该文件或文件夹拥有“取得所有权”的特殊权限（2）系统管理员（administrators的用户）。无论他对文件或文件夹拥有何种权限，他永远具有“取得所有权”的权限。（3）具备“取得文件或其他对象的所有权”权利的用户。取得文件或文件夹的所有权

17、取得文件或文件夹的所有权对于其他用户建立的对于其他用户建立的文件夹，如果拒绝管文件夹，如果拒绝管理员管理，可以取得理员管理，可以取得其所有权，然后再进其所有权，然后再进行管理。行管理。位置在安全选项卡中位置在安全选项卡中的高级里的所有者选的高级里的所有者选项卡中。项卡中。没有修改权限的文件没有修改权限的文件夹夹取得所有权后的文件取得所有权后的文件夹夹文件复制或移动后权限的变化文件复制或移动后权限的变化（1）文件从某个文件夹复制到另一个文件夹时，无论文件被复制到同一）文件从某个文件夹复制到另一个文件夹时，无论文件被复制到同一个磁盘或不同的个磁盘或不同的ntfs磁盘内，等于产生了另一个新的文件，因

18、此新文件的磁盘内，等于产生了另一个新的文件，因此新文件的权限时继承目的地的权限。权限时继承目的地的权限。（2）文件从某文件夹移动到另一个文件夹时，分两种情况：）文件从某文件夹移动到另一个文件夹时，分两种情况：A、如果移动到同一磁盘的另一个文件夹内，则仍然保持原来的权限。、如果移动到同一磁盘的另一个文件夹内，则仍然保持原来的权限。B、如果移动到另一个、如果移动到另一个NTFS磁盘内，则该文件将继承目的地的权限磁盘内，则该文件将继承目的地的权限NTFS 分区分区C:NTFS 分区分区E:NTFS 分区分区D:移动移动复制复制复制复制或或移动移动将文件移动或复制到目的地的用户，会成为该文件的所有者。

19、将文件移动或复制到目的地的用户，会成为该文件的所有者。如果将文件从如果将文件从ntfs磁盘移动或复制到磁盘移动或复制到FAT磁盘内，则其原有的权限磁盘内，则其原有的权限设置都将被删除。设置都将被删除。要对文件或文件夹移动时，必须对来源文件或文件夹具有要对文件或文件夹移动时，必须对来源文件或文件夹具有“修改修改”的权限，同时还必须对目的文件夹具有的权限，同时还必须对目的文件夹具有“写入写入”的权限。的权限。4、设置文件压缩：、设置文件压缩：文件、文件夹的压缩可以减少它们占用磁盘的空间文件、文件夹的压缩可以减少它们占用磁盘的空间。系统默认会将被压缩的磁盘、文件夹、文件以不同的颜色系统默认会将被压缩

20、的磁盘、文件夹、文件以不同的颜色进行显示。可通过进行显示。可通过“文件夹选项文件夹选项”中查看来修改。中查看来修改。如果将文件从不同的如果将文件从不同的NTFS驱动器移动到已压缩的文件驱动器移动到已压缩的文件夹中，文件也将被压缩。夹中，文件也将被压缩。如果将文件从同一个如果将文件从同一个NTFS驱动器移动到已压缩的文件驱动器移动到已压缩的文件夹中，则文件将保留原始状态。夹中，则文件将保留原始状态。5、设置磁盘配额：、设置磁盘配额：用户可以利用磁盘配额的功能控制和跟踪每个用户可用的磁盘空间。用户可以利用磁盘配额的功能控制和跟踪每个用户可用的磁盘空间。磁盘配额时以文件与文件夹的所有权进行计算的。磁

21、盘配额时以文件与文件夹的所有权进行计算的。磁盘配额的计算不考虑文件压缩的因素。磁盘配额的计算不考虑文件压缩的因素。每个每个NTFS 磁盘分区的磁盘配额是独立计算的，不论几个磁盘分区的磁盘配额是独立计算的，不论几个NTFS磁磁盘分区是否在同一个硬盘内。盘分区是否在同一个硬盘内。系统管理员不会受到磁盘配额的限制。系统管理员不会受到磁盘配额的限制。通过磁盘配额的限制，可以避免用户不小心将大量的文件复制到服通过磁盘配额的限制，可以避免用户不小心将大量的文件复制到服务器的硬盘内，造成服务器运行效率降低的后果。务器的硬盘内，造成服务器运行效率降低的后果。（1）设置）设置右击要启用磁盘配额的磁盘，选择属性中

22、的右击要启用磁盘配额的磁盘，选择属性中的配额配额。注意如果驱动器不是用注意如果驱动器不是用NTFS文件系统格式化的，或文件系统格式化的，或者你不是者你不是Administrators组的成员，则驱动器的属性组的成员，则驱动器的属性对话框中不显示配额选项卡。对话框中不显示配额选项卡。“拒绝将磁盘空间给超过配额限制的用户拒绝将磁盘空间给超过配额限制的用户”：选种此复选框后，超过起配额限制的用户将收到来自windows的“磁盘空间不足”信息。并且在没有从中删除和移动一些现存文件的情况下，无法将额外的数据写入卷中。可选择该卷的配额记录选项，用来设置将下列事件记录到可选择该卷的配额记录选项，用来设置将下

23、列事件记录到系统日志内系统日志内：用户超出配额限制时记录事件。用户超出配额限制时记录事件。用户超过警告等级时记录事件。用户超过警告等级时记录事件。可通过，开始可通过，开始-管理工具管理工具-事件查看器事件查看器-系统系统-双击来源为双击来源为“ntfs”的事件。的事件。（2）磁盘配额管理：）磁盘配额管理：1、查看用户的磁盘配额信息。2、调整配额设置：在配额项上右击选择属性。3、创建配额报告：在配额项中选择数据拖到相应的页面中，如word、excl等。4、将配额设置导出到其他盘符上。选种数据选择导出。5、删除磁盘配额。6、设置数据加密：、设置数据加密：右击要加密的文件或文件夹，选择属性，选择高级

24、选种“加密内容以便保护数据”注意注意：不能加密已压缩的文件或文件夹，无法加密系统文件，在加密重要文件后，一定要将加密用的密钥导出，已防止密钥匙损坏时无法打开加密文件。当用户将一个未加密的文件移动或复制到加密文件夹时，该文件会自动加密。当用户将一个未加密的文件移动或复制到加密文件夹时，该文件会自动加密。将一个加密的文件移动到或复制到非加密文件夹时，该文件仍然会保持其加将一个加密的文件移动到或复制到非加密文件夹时，该文件仍然会保持其加密的状态。密的状态。禁止对文件加密：禁止对文件加密：新建一个记事本文件，内容为：encryptionDisable=1另存为desktop.ini文件禁止操作系统使用禁止操作系统使用efs加密加密打开注册表HKEY-LOCAL-MACHINESOFTWAREMICROSOFTWINDOWS NTCURRENTRERSIONEFS新建一个双字节值，efsconfiguration 将值设为1重启生效。演讲完毕，谢谢观看！