Windows 管理文件系统（NTFS权限、共享文件夹的访问和隐藏、PowerShell管理访问权限）

NTFS权限

windows常见的文件系统

FAT、FAT32、NTFS

 

NTFS的特点

可以对单个文件或者文件夹设置权限

支持更大的磁盘容量

支持加密与压缩功能

活动目录需要使用NTFS

磁盘配额

 

获得NTFS文件系统的方式

格式化磁盘

将FAT文件系统转换为NTFS文件系统  convert f: /fs:ntfs

使用第三方软件进行转换  PQmagic

 

NTFS权限的含义

NTFS文件系统可以针对不同用户和组设置各种访问权限

只有被授予权限的用户或组才能访问

“安全”选项卡

访问控制列表(ACL)

访问控制项(ACE)

 

文件夹NTFS权限

完全控制

修改

读取和运行

列出文件夹目录

读取

写入

 

文件夹NTFS权限

完全控制

修改

读取和运行

读取

写入

 

为用户设置权限

文件/文件夹属性---> ”安全”---> “编辑”---> “添加”

 

权限的组合

用户对资源的有效权限：分配给用户账户的权限和用户所属各个组的累加权限

 

案例：user属于group1和group2，user对文件有读取权限，group1对文件有写入权限，则user对文件具有什么权限？group1对文件有读取权限，group2对文件有写入权限，则user对文件具有什么权限？

 

权限的继承

新建子文件夹和文件会继承上一级目录的权限

根目录下的文件夹或文件继承磁盘分区的权限

 

权限的拒绝

拒绝权限可以覆盖所有其他权限

可以设置拒绝用户账户，也可以拒绝组

案例：user属于group1和group2，user对文件有拒绝写入权限，group1对文件有读取权限，group2对文件有写入权限，则user对文件具有什么权限？user对文件有读取和写入权限，group1对文件有拒绝读取和写入的权限，则user对文件具有什么权限？

 

取得所有权

应用场景：

管理员没有查看权限

如何取得所有权：”安全”---> “继承”---> “所有者”

 

添加一个用户

 

登录admin用户

 

在C盘建一个admin文件夹

 

在文件夹里面创建一个test.txt 随便输入内容

 

对文件进行修改权限

 

对文件夹进行修改权限

 

用admin用户仍然可以打开文件

 

用Administrator用户打开文件夹

 

再次打开文件夹成功进入

 

文件夹里的txt文件也可以访问

 

查看文件的权限

 

NTFS权限的注意事项

NTFS权限是可以被继承

NTFS权限是有累加性的

拒绝权限优先级较高

即使用户对此文件夹或文件没有删除的权限，但是只要对父文件夹具有删除子文件夹及文件的权限，还是可以将此文件删除

 

文件与文件夹的所有权

NTFS磁盘内的每一个文件与文件夹都有所有者(owner) ，默认是创建文件或文件夹的用户，就是该文件或文件夹的所有者。

所有者可以更改其所拥有的文件或文件夹的权限，无论其当前是否有权限访问此文件或文件夹。

用户可以获取文件或文件夹的所有权，使其成为新所有者。

任何用户只要具有取得文件或其他对象的所有权的权限，就可以通过其他用户或组来将所有权移交给其他用户和组。

 

文件权限的变化

复制到同盘其他文件夹，则继承其他文件夹权限

复制到其他盘其他文件夹，则继承其他文件夹权限

移动到同盘其他文件夹，则权限不变

移动到其他盘其他文件夹，则继承其他文件夹权限

复制或移动到U盘，由U盘文件系统决定

 

创建共享文件夹

什么是共享文件夹

将文件夹共享给网络中的其他用户访问

优点：方便、快捷

与使用光盘、移动硬盘等传输数据相比，不受文件大小限制

可以实现权限控制

 

创建共享文件夹

通过公用文件夹共享文件

通过计算机上的文件夹设置共享

 

访问共享文件夹

通过网络浏览

使用UNC路径          \\服务器名\共享名     \\服务器IP\共享名

映射网络驱动器       右击共享的文件夹 ---> 映射网络驱动器

                                右击”网络” ---> 映射网络驱动器

                                右击”计算机” ---> 映射网络驱动器

                                net use X:\\计算机名或IP\共享名

 

隐藏共享文件夹

管理型共享文件夹

系统创建的特殊共享资源

Drive lette$

ADMIN$

IPC$

用户创建的隐藏共享文件夹

共享名后加一个$符号

访问方式

UNC路径

映射网络驱动器

 

共享权限

 

默认共享权限

通过”高级共享”创建共享文件夹：Everyone读取

通过”文件共享”创建共享文件夹：创建者完全控制

可以添加其他用户和组的权限

共享权限在通过网络访问时有效

 

共享权限只对通过网络访问的用户有效

NTFS权限对本地访问和网络访问的用户都有效

如果共享文件夹位于NTFS文件系统上，要考虑NTFS权限

通过网络访问时两种权限中最严格的权限有效(交集)

 

创建share文件夹 文件夹里面创建一个public文本

 

设置文件夹共享

 

在同一网段其他机子上访问 使用UNC路径  IP为windows server 2008的IP

 

跳出一个框需要输入凭据 用户名admin 密码123.com 并没有开启匿名访问 需要输用户名

 

映射网络驱动器 用命令做一个映射 第一次登录时需要用户名密码

 

删除映射 IPC$是匿名访问的管道共享

 

设置隐藏共享 之前操作与之前一样

 

删除原有的共享名 新建一个共享名

 

在其他机子上看不到share1的共享

 

在命令行中也访问不了share1

 

访问share1 或者映射时用 net use z: \\192.168.20.135\share1 /user:admin 123.com

 

PowerShell管理访问权限

对于NTFS驱动器来说，访问权限决定着哪个用户可以访问文件和目录。对于每一个文件和文件夹，所谓的安全描述符(SD) 规定了安全数据。安全描述符决定安全设置是否只对当前目录有效，或者它可以被传递给其它文件和目录。真正的访问权限是在访问控制列表(ACL) 中。每一个访问权限的访问控制项(ACE) 也在ACL中。

PowerShell使用Get-Acl命令Set-Acl来管理权限。此外，类似icacls这样的传统命令也可以在PowerShell的控制台上面使用。通常他们更改起来访问权限会比PowerShell命令更快。

 

列出访问权限

 

PowerShell管理访问权限

创建新的权限

克隆权限

手动创建