Day04_NTFS安全权限&文件共享服务器
NTFS安全权限
一、NTFS权限概述
1、通过设置NTFS权限,实现不同的用户访问同一个对象但是具有不同的访问权限
2、分配了正确的访问权限后,用户才能访问其资源
3、设置权限防止资源被篡改、删除
二、文件系统概述
文件系统即存储设备上组织文件的方法
常用的文件系统:
FAT windows
NTFS windows
EXT linux常见
FAT转换为NTFS:
convert 盘符: /fs:ntfs
#数据不丢失,但不可逆!
三、NTFS文件系统特点
- 提高磁盘读写性能
- 可靠性
- 加密文件系统
- 访问控制列表(设置权限)
- 磁盘利用率
- 压缩
- 磁盘配额
- 支持单个文件大于4个G 硬盘容量为8-16G建议格式化为FAT,NTFS是针对于大容量文件系统的
四、修改NTFS权限
4.1、取消权限继承
作用:取消后,可以任意修改权限列表了。
方法:文件夹右键属性---安全---高级---去掉第一个对号--选择复制即可
4.2、文件及文件夹权限
| 文件权限 | 权限内容 |
|---|---|
| 完全控制 | 拥有读取、写入、修改、删除文件、及特殊的权限 |
| 修改 | 拥有读取、写入、修改、删除文件的权限 |
| 读取和执行 | 拥有读取、及执行文件的权限 |
| 读取 | 拥有读取文件的权限 |
| 写入 | 拥有修改文件内容的权限 |
| 特殊权限 | 控制文件权限列表的权限 |
| 文件夹权限 | 权限内容 |
|---|---|
| 完全控制 | 拥有对文件及文件夹读取、写入、修改、删除文件、及特殊的权限 |
| 修改 | 拥有对文件及文件夹读取、写入、修改、删除文件的权限 |
| 读取和执行 | 拥有对文件夹中的文件下载、读取、及执行的权限 |
| 列出文件夹内容 | 可以列出文件夹的内容 |
| 读取 | 拥有对文件夹中的文件下载、读取的权限 |
| 写入 | 拥有在文件夹中创建新的文件的权限 |
| 特殊权限 | 控制文件夹权限列表的权限 |
案例:
建立jimi文件夹,并设置NTFS权限,要求a用户只能读取文件夹中的文件,不能在jimi文件夹中创建新的文件,b用户只能在jimi文件夹中创建新的文件,不能读取文件。
解答:
net user a a /add
net user b b /add
# 注意将users组删除
4.3、权限累加
当用户同时属于多个组时,权限是累加的!
案例:
用户a同时属于IT组与HR组,IT组对文件夹jimi可以读取,HR组可以对jimi文件夹写入,则a用户最终的权限为读取和写入。
4.4、拒绝最大
当用户权限累加时,如遇到拒绝权限,拒绝最大!
案例:
用户a属于财务部组,财务部组成员为10个用户,财务部组拥有对文件夹xxx访问权限,现要求a用户不能脱离财务部组, 同时要求a没有访问文件夹xxx的权限。
此时权限控制表包含users组,及a在users组内
4.5、取得所有权
默认只有administrator有这个权限!
作用:可以将任何文件夹的所有者改为administrator
案例:
用户b已离职,但xxx文件夹的属主是b,由于b用户对xxx文件夹做过权限修改,导致其他用户对xxx文件夹没有任何权限,现需要管理员administrator用户将xxx文件夹重新修改权限。
4.6、强制继承
作用:对下强制继承父子关系!
方法:文件夹右键属性--安全--高级--勾上第二个对号,即可!
案例:
xxx文件夹下有多个子文件夹及文件,由于长时间的权限管理,多个子文件夹的权限都做过不同的权限修改,现需要xxx 下的所有子文件及文件夹的权限全部统一。
4.7、文件复制对权限的影响
文件复制后,文件的权限会被目标文件夹的权限覆盖。
权限唯一不覆盖的情况是同分区移动过去的文件的权限不覆盖。
本章练习:
1.创建一个文件夹,实现tom用户只能创建新的文件,jack用户只能读取及下载文件
2.将用户a加入到ceo组,且不能从该组中剔除,为文件夹jimi赋权限,要求ceo组可以完全控制jimi文件夹,但a不能访问该文件夹。
3.普通用户创建文件,并设置权限,且未给管理员任何权限,管理员登录系统后,能够成功删除该文件
4.练习强制继承,并验证成功性。
第一问:
tom的权限为:
jack的权限为:
第二问:
给a赋予列出文件夹目录权限为拒绝。
第三问:
使用管理员取得所有权即可。
第四问:
强制继承。
文件共享服务器
一、共享服务器概述
通过网络提供文件共享服务,提供文件下载和上传服务(类似于FTP服务器)
二、创建共享
方法:文件夹右键属性--共享与安全--共享此文件夹--设置共享名--设置共享权限(完全控制就行,我们可以在NTFS权限中设置,因为他俩取交集)
注:
1)在本地登录时,只受NTFS权限的影响
2)在远程登录时,将受共享及NTFS权限的共同影响,且取交集!
3)所以建议设置共享权限为everyone完全控制,然后具体的权限需求在NTFS权限中设置即可
三、访问共享
在开始运行/或我的电脑地址栏中,输入UNC地址:
\\文件共享服务器IP
\\文件共享服务器IP\共享名
判断题:
服务器上有某文件夹:d:\feifei
服务器IP:10.1.1.1
共享名: f
以下哪种方式可以正常访问该共享?
\\10.1.1.1\d\feifei
\\10.1.1.1\feifei
\\10.1.1.1\d\f
\\10.1.1.1\f 正确
案例:
1.开2台虚拟机,并互相ping通
2.设置2003为共享服务器,并在客户机上可以访问共享,要求a账户只能下载,b账户只能上传,c账户可以上传下载及删除
四、创建隐藏的共享
方法:共享名$
五、访问隐藏共享的方法
\服务器IP\共享名$
六、共享相关命令
net share # 列出共享列表
net share C$=C:\ # 将c盘共享
net share 共享名 /del # 删除共享
七、屏蔽系统的隐藏共享文件自动产生
7.1、打开注册表
command+r - cmd 打开注册表编辑器:regedit
7.2、定位共享注册表位置
HKEY_Local_MACHINE\System\CurrentControlSet\Services\lanmanServer\Parameters\
右键新建DWORD类型的AutoShareServer 键,值为 0
之后需要重新启动shutdown -r -f -t 0
八、查看本地开放端口与本地网络连接状态与其他命令
netstat -an
# windows server可使用
whoami # 查询当前是哪个用户
whoami /user # 查询当前是哪个用户并且包括SID
九、关闭445服务
可以通过关闭445端口来屏蔽病毒传入(如勒索病毒等)
方法1:打开services.msc,并停止及禁用server服务
方法2:禁止被访问445,配置高级安全防火墙-入站规则(在win7及以上系统,win2008及以上系统)
注:虽然服务关闭了,但是端口依然监听,此时的这个服务已经不起作用了
人生便是艺术。
