[day04] NTFS权限 文件共享服务器

[day04] NTFS权限 文件共享服务器

一、NTFS 权限

1、通过设置NTFS权限，实现不同的用户访问不同的权限

2、分配了正确的访问权限后，用户才能访问其资源

3、设置权限防止资源被篡改、删除

二、文件系统

文件系统 即在外部存储设备上组织文件的方法

1. 常见的文件系统：

FAT -----windows

NTFS---- windows

EXT------ linux常见

FAT转换为NTFS： convert 盘符: /fs:ntfs #数据不丢失，但不可逆！

文件系统：打格子（格式化）格子的大小可选择

2. NTFS文件系统特点

1. 提高磁盘读写性能

2. 可靠性
   加密文件系统
   访问控制列表ACL Access Control List（设置权限）

3. 磁盘利用率
   压缩 磁盘配额

4. 支持单个文件大于4个G

三、修改NTFS权限

1. 取消权限继承

取消后，可以任意修改权限列表了。

文件夹右键属性->安全->高级->去掉第一个对号->选择复制即可

2. 文件及文件夹权限

案例：

建立公共文件夹，并设置NTFS权限，要求a用户只能在公共文件夹中创建新的文件，不能读取文件,b用户只能读取文件夹中的文件，不能在公共文件夹中创建新的文件。

1、先创建a、b账户。

2、建立公共文档文件夹，在公共文档文件夹内创建share.txt文档->规章制度文件夹->在规章制度文件夹中创建制度1.txt文件

3、选中公共文档文件夹->属性->安全->编辑->添加->a;b->

4、选中a->勾选列出文件夹内容、写入权限
5、选中b->勾选列出文件夹内容、读取权限

5、注销账户，登录a、b账户进行验证权限。

（注意删除users，因为a、b、在users组中，会使a、b账户权限累加）

6、net user a /del net user b /del删除创建的账户。

3. 权限累加

当用户同时属于多个组时，权限是累加的!

案例：

用户a同时属于IT组与HR组，IT组对文件夹jimi可以读取，HR组可以对jimi文件夹写入，则a用户最终的权限为读取和写入。

4.拒绝最大

当用户权限累加时，如遇到拒绝权限，拒绝最大！

案例：

用户a属于财务部组，财务部组成员为10个用户，财务部组拥有对文件夹xxx访问权限，现要求a用户不能脱离财务部组， 同时要求a没有访问文件夹xxx的权限。

5. 取得所有权

默认只有administrator有这个权限

可以将任何文件夹的所有者改为administrator或administrators组。

儿子 对 父亲

案例：

用户a已离职，但xxx文件夹的属主是a，由于a用户对xxx文件夹做过权限修改，导致其他用户对xxx文件夹没有任何权限，现需要管理员administrator用户将xxx文件夹重新修改权限。

6. 强制继承

对下强制继承父子关系！

文件夹右键属性–安全–高级–勾上第二个对号

父亲 对 儿子

案例：

xxx文件夹下有多个子文件夹及文件，由于长时间的权限管理，多个子文件夹的权限都做过不同的权限修改，现需要xxx下的所有子文件及文件夹的权限全部统一。

7.文件复制对权限的影响

文件复制后，文件的权限会被目标文件夹的权限覆盖。（同分区或不同分区都会被覆盖）
同分区移动：则权限没有被覆盖
跨分区移动：权限会被覆盖

1.创建一个文件夹，实现tom用户只能创建新的文件，jack用户只能读取及下载文件

2.将用户a加入到ceo组，且不能从该组中剔除,为文件夹jimi赋权限，要求ceo组可以完全控制jimi文件夹，但a不能访 问该文件夹。

3.普通用户创建文件，并设置权限，且未给管理员任何权限，管理员登录系统后，能够成功删除该文件

4.练习强制继承，并验证成功性。

四、文件共享服务器

共享服务器（CIFS）概述
通过网络提供文件共享服务，提供文件下载和上传服务（类似于FTP服务器）

1.创建共享

1. 先打开两台虚拟机，客户机：win7、服务器：win2008。

2. 配置IP地址 win7：192.168.1.71、win2008：192.168.1.81，并验证能否互相ping通。

3. win2008服务器上创建一个共享文件夹“文件共享”，再往文件夹里放要共享的文件。

4. 选中"文件共享"文件夹->右键属性->共享->高级共享->开启共享->设置共享名->设置共享权限。

1）在本地登录时，只受NTFS权限的影响

2）在远程登录时，将受NTFS安全权限 及 共享权限的共同影响，且取交集！

3）所以建议设置共享权限为everyone完全控制，然后具体的权限需求在NTFS权限中设置即可。

2.访问共享

在开始运行/或我的电脑地址栏中，输入UNC地址

：\文件共享服务器IP
：\文件共享服务器IP\共享名 （注意区分文件名和共享名）

判断题：
服务器上有某文件夹：d:\作者好帅

服务器IP：10.1.1.1

共享名： 作者真的帅

以下哪种方式可以正常访问该共享？

\\10.1.1.1\d\作者好帅   （不关心哪个盘）
\\10.1.1.1\作者好帅\       （不关心本来叫啥）
\\10.1.1.1\d\作者真的帅  （不关心哪个盘）
\\10.1.1.1\作者真的帅 			正确


1.开2台虚拟机，并互相ping通

2.设置2003为共享服务器，并在客户机上可以访问共享，要求aa账户只能下载，bb账户只能上传，cc账户可以上传下载 及删除

3.创建隐藏的共享

方法：共享名$

服务器win2008设置文件共享名

4.访问隐藏共享的方法

客户机win7输入：\服务器IP\共享名$

5. 共享相关命令

1. net share 					#列出共享列表 

2. net share 共享名 /del 		 #删除共享

3. net share 共享名$=c:\ 			#创建共享

6.屏蔽系统隐藏共享自动产生

运行->打开注册表编辑器： regedit
HKEY_Local_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
右键新建REG_DWORD类型的AutoShareServer 键，值为 0

7.关闭445(共享)服务

可以通过关闭445端口来屏蔽病毒传入（如勒索病毒等）

方法1：打开services.msc，并停止及禁用server服务

方法2： 控制面板->配置高级安全防火墙->入站规则->禁止被访问445（在win7及以上系统，win2008及以上系统）