资源简介

(共44张PPT)
*
Windows Server 2022系统管理与服务器配置
项目4 配置与管理文件服务器
*
知识目标
1.理解NTFS权限的概念。
2.掌握NTFS的权限设置。
3.理解共享权限和NTFS权限的关系。
能力目标
1.能使用本地用户账户和本地组账户对NTFS进行管理。
2.能使用EFS对文件进行加密，并能备份和导入EFS证书。
3.能按照用户权限需求，配置和使用文件服务器。
4.能正确通过客户端访问共享文件夹。
素质目标
1.增强信息系统安全意识，通过设置文件系统权限来授权合法用户访问数据。
2.弘扬工匠精神，通过优化调整文件系统的访问控制规则，从而更好地保护数据。
3.增强服务意识，为用户在使用内部资源提供便捷方法。
项目4 配置与管理文件服务器
*
本项目单词
项目4 配置与管理文件服务器
*
项目描述
某公司是一家电子商务运营公司，现在公司的一台公共服务器上放置了各部 门的资料，为保障数据的安全，需要根据公司人员身份来创建不同的用户账户， 这些账户根据身份可使用的计算机资源不同，可访问的文件及文件夹的权限也不 同。Windows Server 2022 提供了不同于其他操作系统的 NTFS 管理类型，在文 件系统管理、安全等方面提供了强大的支持。
合理利用用户的不同权限，能够保障服务器操作系统的稳定与安全。通过对 Windows Server 2022 文件服务器的配置与管理，用户可以很方便地在计算机或 网络上使用、管理、共享和保护文件及文件资源。
项目4 配置与管理文件服务器
*
本项目主要介绍文件系统的基本概念、NTFS文件权限的配置、EFS的配置，以及文件服务器的配置和使用。项目拓扑结构如图4.0.1所示。
项目4 配置与管理文件服务器
*
任务4.1 配置NTFS文件权限
项目4 配置与管理文件服务器
任务描述
某公司有一台服务器安装了 Windows Server 2022 服务器操作系统，该服务器上有一个名称为“报表汇总”的文件夹，根据工作需要，管理员组的用户具有对“报表汇总”文件夹的完全控制权限；销售部组的用户需要读取“报表汇总”文件夹中的内容，但不能修改文件夹中的内容；财务部组的用户需要读取和修改“报表汇总”文件夹中的内容。
任务4.1 配置NTFS文件权限
任务要求
根据公司的使用需求，我们可以使用 NTFS 权限来控制用户对文件夹的访问，以便对 公司部门员工的权限进行设置。用户或组的 NTFS 权限配置如表 4.1.1 所示。
任务4.1 配置NTFS文件权限
任务实施
1．设置NTFS权限
2．查看用户账户的有效访问权限
3. 测试NTFS权限
教师演示实现过程
任务4.1 配置NTFS文件权限
知识链接
1.认识文件系统
文件系统是操作系统在存储设备上按照一定的原则组织、管理数据所用的总体结构,规定了计算机对文件和文件夹的操作标准和机制。具体地说，它负责为用户建立文件，存入、读出、修改、转储文件，控制文件的存取，当用户不再使用时撤销文件等。
Windows Server 2022 提供了强大的文件管理功能，其中 NTFS 具有高安全性，用户可 以十分方便地在计算机或网络上对文件和文件夹进行处理、使用、组织、共享、保护等操 作。Windows Server 2022 主要使用 FAT（File Allocation Table，文件分配表）、NTFS（New Technology File System，新技术文件系统）和 ReFS（Resilient File System，弹性文件系统） 3 种文件系统。。
任务4.1 配置NTFS文件权限
知识链接
1）FAT 文件系统
FAT 是一种由微软公司发明并拥有部分专利的文件系统，供 MS-DOS 使用，也是所有 非 NT 核心的微软窗口使用的文件系统。FAT 文件系统包括 FAT16 和 FAT32 两种。
FAT16使用16位空间来表示每个扇区配置文件的情形，在DOS和Windows系统中，磁盘文件的分配是以簇为单位的。所谓簇就是磁盘空间的配置单位，就像图书馆内一格格 的书架一样。每个要存到磁盘的文件都必须配置足够数量的簇，才能存放到磁盘中。FAT16最大可以管理2GB的分区，但每个分区最多只能有65525个簇。
任务4.1 配置NTFS文件权限
知识链接
一个簇只能分配给一个文件使用，不管这个文件占用整个簇容量的多少。而每个簇的大小由磁盘分区的大小来决定，分区越大簇就越大。例如，1GB的磁盘若只分一个区，则簇的大小是32KB，即使一个文件只有1个字节的空间，存储时也要占32KB的磁盘空间，剩余的空间便全部闲置，这就导致磁盘空间的极大浪费。因此FAT16支持的分区越大，磁盘上每个簇的容量也越大，造成的浪费也越大。
任务4.1 配置NTFS文件权限
知识链接
为了解决FAT16文件系统对于卷大小的限制，同时让DOS系统的真实模式在非必要不减少可用常规内存状况下处理这种格式，微软公司决定实施新一代的FAT，即FAT32。随着大磁盘容量的出现，从Windows 98系统开始，FAT32开始流行。FAT32使用32位空间 来表示每个扇区配置文件的情形，是FAT16的增强版本，可以支持磁盘大小达到2TBO而 且FAT32还具有一个明显的优点，即在一个不超过8GB的分区中，FAT32分区格式的每个簇容量都固定为4KB，与FAT16的32KB相比，可以大大减少磁盘空间的浪费，提高磁盘空间的利用率。但是，这种分区也有它的缺点，即采用FAT32格式分区的磁盘，由于文件分配表的扩大，运行速度比采用FAT16格式分区的磁盘要慢。
任务4.1 配置NTFS文件权限
知识链接
2）NTFS
NTFS是Windows NT内核的系列操作系统支持的一种特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式，提供了长文件名、数据保护和恢复功能，能通过目录和文件许可实现安全性，并支持跨越分区。
NTFS文件系统功能强大，以卷为基础，将卷建立在磁盘分区之上。分区是磁盘的基本组成部分，是一个能够被格式化的逻辑单元。一块磁盘可以分成多个卷，一个卷也可以由 多块磁盘组成。卷中的一切都是文件，而文件中的一切都是属性（从数据属性到安全属性, 再到文件名属性）。NTFS卷中的每个扇区都分配给了某个文件，甚至系统的超数据也是文件的一部分。
NTFS是Windows Server 2022推荐使用的高性能文件系统，支持许多新的文件安全、 存储和容错功能，而这些功能正是FAT文件系统所缺乏的。NTFS文件系统具有如下特点。
任务4.1 配置NTFS文件权限
知识链接
（1）支持的分区容量可以达到2TB。如果是FAT32文件系统，则支持分区的容量最大为 32GB。
（2）是一个可恢复的文件系统。NTFS通过使用标准的事物处理日志和恢复技术来保证分区的一致性。
（3）支持对分区、文件夹和文件的压缩。
（4）采用了更小的簇，可以更有效地管理磁盘空间。
（5）在 NTFS 分区上，可以为共享资源、文件夹及文件设置访问权限。
（6）在 Windows Server 2022 的 NTFS 下可以进行磁盘配额管理。
（7）使用一个“变更”日志来跟踪记录文件所发生的变更。
FAT32 文件系统只能设置共享方式的访问权限，而没有文件和文件夹的访问权限。 NTFS 拥有更高的安全性，不仅可以设置共享方式的访问权限，还可以设置文件和文件夹的 访问权限，因此一般优先选用 NTFS。
任务4.1 配置NTFS文件权限
知识链接
3）ReFS
ReFs 是在 Windows Server 2012 中新引入的一个文件系统，只能用于存储数据，但无法引导系统，并且在移动媒介上也无法使用。
任务4.1 配置NTFS文件权限
知识链接
2.认识NTFS权限
Windows Server 2022在NTFS格式的卷上提供了NTFS权限，允许管理员为每个用户或组指定NTFS权限，以保护文件和文件夹资源的安全。NTFS权限只适用于NTFS格式的磁盘分区，不能用于FAT或FAT32格式的磁盘分区。
不管是本地用户还是网络用户，最终都要通过NTFS权限的“检查”才能访问NTFS分区上的文件或文件夹。不同于读取、更改和完全控制这3种共享权限，NTFS的权限要稍微复杂和精细一些。NTFS权限类型包括完全控制（Full Control）、修改（Modify）、显示文件夹内容（List Folder Contents ）、读取和运行（Read & Execute ）、写入（Write）、读取（Read）和特别的权限（Special）。这几种权限对文件和文件夹的作用有所不同，具体的说明如表 4.1.2 所示。
任务4.1 配置NTFS文件权限
知识链接
任务4.1 配置NTFS文件权限
知识链接
3.权限设置规则
1）累加
用户对某个文件或文件夹的有效权限，是该用户和其隶属的所有组的权限总和。例如，Zhangsan用户隶属于Users和NM组，其有效权限如表4.1.3所示。
任务4.1 配置NTFS文件权限
知识链接
2）拒绝优先
虽然NTFS权限遵循累加规则，但是若其中一个权限的来源被设置为拒绝，则用户不会被授予该权限。例如，Zhangsan用户隶属于Users和NM组，其有效权限如表4.1.4所示。
任务4.1 配置NTFS文件权限
知识链接
（3）指定优先继承
即某用户或组指定的权限设置优先于继承的权限设置。例如，对当前文件或文件夹而言，从父项继承而来的权限中显示Zhangsan用户的读取权限为拒绝状态, 但又进行了指定，则以指定的权限优先，其有效权限如表4.1.5所示。
任务4.1 配置NTFS文件权限
知识链接
4）其他原则
其他原则包括文件的权限高于文件夹；自动从父项继承；继承而来的NTFS权限不能修改（可以取消继承后，使用管理员账户或所有者账户删除）；具有读取权限的文件夹可以被复制到FAT32中；网络服务和NTFS权限同时使用时，执行较为严格的权限。
任务4.1 配置NTFS文件权限
知识链接
4．移动或复制的权限变化
无论文件被复制到哪个分区，都会作为目的文件夹下新创建的文件，权限以目的文件夹权限作为继承依据。
通俗来说，分区内的移动，相当于维持原有文件权限，只是更换了位置。因为不同分区之间的移动，相当于在目的文件夹中新建了一个文件，并把原文件删除，所以会继承目的文件夹的权限。移动或复制权限变化如表4.1.6所示。
任务4.1 配置NTFS文件权限
任务拓展
在Windows Server 2022服务器操作系统中创建文件夹并设置相应权限，具体要求如下。
（1）创建group1组，组内有test1、test2两个用户账户。
（2）使用test1用户账户登录系统，在D盘创建一个名为“文件汇总”的文件夹，使用此用户账户为其他用户账户分配访问文件夹的NTFS权限。
（3）创建“反馈意见”文件夹，允许用户写入，但都不能进行删除操作。
（4）允许Admin用户获得“反馈意见”文件夹的所有权，并成为所有者。
任务4.1 配置NTFS文件权限
*
任务4.2 使用EFS加密文件
项目4 配置与管理文件服务器
任务描述
某公司的网络管理员小王，根据需求在安装了 Windows Server 2022 服务器操作系统的 计算机上存储相关部门数据。为了保证文件安全、防止被未授权的用户打开，小王尝试使 用压缩软件将文件打包并设置压缩包的密码，也可以使用一些文件加密软件，但是在使用 时都需要花费时间解密文件，而且安装的应用软件也不能直接读取这些加密的文件，因此 急需一种便捷、可靠的文件加密方法来解决这个问题。
任务4.2 使用EFS加密文件
任务要求
Windows Server 2022 服务器操作系统提供了EFS（Encrypting File System，加密文件系统）的功能，管理员可以使用该功能解决上述问题。借助EFS能以透明方式加/解密文件， 并且能在登录系统的同时进行EFS用户验证，因此使用者几乎感受不到后续的加密、解密过程，而非授权用户则无法访问数据。具体要求如下。
（1）对 dc 服务器 E 盘中的“报表汇总”文件夹及其内的文件进行加密。
（2）备份“报表汇总”文件夹及其内文件的加密证书和密钥。
（3）使用其他用户查看加密文件。
（4）导入备份的 EFS 证书和再次查看加密文件。
任务4.2 使用EFS加密文件
任务实施
1. 使用EFS对文件或文件夹进行加密
2．备份文件加密证书和密钥
3. 切换用户账户查看加密文件
4. 导入备份的EFS证书
5. 再次查看加密文件
教师演示实现过程
任务4.2 使用EFS加密文件
知识链接
1.EFS简介
NTFS的加密属性是通过EFS（Encrypting File System，加密文件系统）技术实现的，EFS提供的是一种核心文件加密技术。EFS仅能对NTFS卷上的文件和文件夹进行加密。EFS加密对用户是完全透明的。当用户访问加密文件时，系统会自动解密该文件；当用户保存加密文件时，系统会自动加密该文件，不需要用户任何手工交互动作。EFS是Windows 2000、Windows XP Professional（Windows XP Home不支持EFS)、Windows Server 2003/2008/2012/2016/2019/2022 NTFS的一个组件。EFS采用高级的标准加密算法实现透明的文件加密和解密操作，任何没有合适密钥的个人或程序都不能读取加密数据。即便是在拥有驻留加密文件的计算机中，加密文件仍然受到保护，甚至有权访问该计算机及其文件系统的用户，也无法读取这些数据。
任务4.2 使用EFS加密文件
知识链接
2.操作EFS加密文件情形与目标文件状态
EFS将文件加密作为文件属性进行保存，通过修改文件属性对文件和文件夹进行加密 和解密。正如设置其他属性（如只读、压缩或隐藏）一样，通过对文件夹和文件设置加密 属性，可以对文件夹或文件进行加密和解密。如果加密一个文件夹，那么在加密文件夹中 创建的所有文件和子文件夹都自动加密，推荐在文件夹级别上加密。
EFS必须存储在NTFS磁盘内才能处于加密状态，在允许进行远程加密的远程计算机 上可以加密或解密文件及文件夹。然而，如果通过网络打开已加密文件，则通过此过程在 网络上传输的数据并未加密，必须使用诸如SSL/TLS （安全套接字层/传输层安全性）等协 议通过有线加密数据，具体情形与目标文件状态如表4.2.1所示。
任务4.2 使用EFS加密文件
知识链接
任务4.2 使用EFS加密文件
任务拓展
在dc文件服务器上，对E盘中的“报表汇总”文件夹及其中的文件进行压缩。
任务4.2 使用EFS加密文件
*
任务4.3 配置文件服务器
项目4 配置与管理文件服务器
任务描述
某公司网络管理员小王申请新购置了一台服务器，并安装了 Windows Server 2022 服务器操作系统。由于公司具有文件共享需求，因此总经理要求小王部署一台文件服务器。
任务4.3 配置文件服务器
Windows Server 2022 服务器操作系统中提供了文件服务器的功能，管理员可以使用该 功能解决上述问题。小王通过创建部门用户和共享文件夹，并设置共享权限来完成文件服 务器的配置，具体要求如下。
（1）服务器的 IP 地址为 192.168.1.101/24。
（2）创建销售部、财务部和总经理及其用户，基本用户分配表如表 4.3.1 所示。
（3）创建两个共享文件夹，并通过设置共享权限来完成文件服务器的配置，如表 4.3.2 所示。
任务要求
任务4.3 配置文件服务器
任务要求
任务4.3 配置文件服务器
任务实施
设置资源共享
访问网络共享资源
教师演示实现过程
任务4.3 配置文件服务器
知识链接
1.认识文件服务器
文件服务器在企业内部被频繁使用，如用户可以通过文件服务器与其他同事共享文件， 而不是通过 U 盘等方式。
文件服务器一般是指通过SMB（Server Message Block，服务器信息块）或CIFS（Common Internet File System，通用 Internet 文件系统）协议实现文件共享的服务器。SMB 是 IBM 等 公司基于 NetBIOS（Network Basic Input/Output System，网络基本输入输出系统）整理并推出的一种用于文件和打印共享的通信协议，微软等公司基于该协议推出 CIFS，而在 Linux 系统中实现 SMB 的软件包是Samba。文件服务器采用C/S（Client/Server，客户端/服务器）架构，由文件服务器提供文件共享，客户端用来访问共享文件，二者之间的访问连接被称 为共享会话。SMB在传输层使用445 端口（TCP），但由于 SMB 也会调用 NetBIOS 会话， 因此也会用到 139 端口（TCP）和 137、138 端口（UDP）。
任务4.3 配置文件服务器
知识链接
2．认识共享文件夹
简单来说，共享文件夹就是在一台计算机上要共享给其他计算机访问的文件夹。在一台计算机上把某个文件夹设为共享文件夹，使用户可以通过网络远程访问这个文件夹，从 而实现文件资源的共享。
如果将文件夹作为共享资源供网络上的其他计算机访问，就必须考虑访问权限，否则很可能会给共享文件夹，甚至整个操作系统带来严重的安全隐患。共享文件夹支持灵活的访问权限控制功能，该功能可以允许和拒绝某个用户或用户组访问共享文件夹，或者对共 享文件夹进行读/写等操作。
在 Windows Server 2022服务器操作系统环境中，创建文件夹的用户必须是Administrator、Server Operators 或 Powers Users 等内置组的成员。如果该文件夹位于 NTFS 分区，则该用户必须对被设置的文件夹具备“读取”的 NTFS 权限。
任务4.3 配置文件服务器
知识链接
3.共享权限
与共享文件夹有关的两种权限是共享权限和NTFS权限。共享权限就是用户通过网络访问共享文件夹时使用的权限，而NTFS权限是指本地用户登录计算机后访问文件或文件夹时使用的权限。当本地用户访问文件或文件夹时，只会对用户应用NTFS权限。当用户通过网络远程访问共享文件夹时，先对其应用共享权限，再对其应用NTFS权限。
共享权限分为读取、更改和完全控制3种，每种权限的作用如表4.3.3所示。
任务4.3 配置文件服务器
知识链接
如果网络用户同时隶属于多个组，他们分别对某个共享文件夹拥有不同的共享权限，则该网络用户对此共享文件夹的有效共享权限是所有权限的总和，但只要其中有一个权限被设置为拒绝，则用户将不会拥有访问权限，这是因为拒绝权限的优先级最高。
4.文件共享的访问账户类型
文件服务器针对访问用户设置了两种账户类型：匿名账户和实名账户。
（1）匿名账户：在Windows系统中匿名账户一般指Guest账户，但是当在匿名共享目录中授权时通常用Everyone账户进行授权。客户端要访问共享目录，需要在文件服务器中启 动Guest账户。
（2）实名账户：用户在访问共享目录时需要输入特定的账户名和密码，在默认情况下这些账户都是由文件服务器创建的，并用于共享目录的授权。如果有大量的账户需要授权，则一般会新建组账户，并通过在共享中对组账户的授权来间接完成用户账户的授权（用户账户继承组的权限）。
任务4.3 配置文件服务器
知识链接
5.特殊的共享资源
读者后面会看到一些比较“奇怪”的共享资源，名称一般为“ADMIN$”“IPC$”等。 其实这是操作系统为了自身管理的需要而创建的一些特殊的共享资源。不同的操作系统创 建的特殊共享资源有所不同，不过这些共享资源有一个共同的特点，即字符为“$”。为了 不影响操作系统的正常使用，本书建议读者不要修改或删除这些特殊的共享资源。表 4.3.4 所示为几个常用的特殊共享资源。
任务4.3 配置文件服务器
知识链接
如果想要共享某个文件夹，但出于安全方面的考虑，又不希望让网络中的所有人都看到，这时，通过在共享名的结尾添加“$”，就可以隐藏这些共享文件夹。
6.共享权限与NTFS权限
如果共享文件夹处于NTFS分区，那么用户可以通过网络访问共享文件的最终有效权限来获取两者之中最严格的设置。例如，用户A对共享文件夹“E:\tools”的共享权限为“读 取”，NTFS权限为“完全控制”，则用户A对共享文件夹“E:\tools”的最后有效权限为两 者中最严格的“读取”。
任务4.3 配置文件服务器
任务拓展
（1）利用网络发现功能连接dc计算机中所共享的文件夹。
（2）在装有Windows Server 2022服务器操作系统的计算机上设置隐藏共享文件夹，并在客户端上使用UNC的方式进行访问。
任务4.3 配置文件服务器

展开更多......

收起↑