Day04_NTFS安全权限&文件共享服务器

NTFS安全权限

一、NTFS权限概述

1、通过设置NTFS权限，实现不同的用户访问同一个对象但是具有不同的访问权限

2、分配了正确的访问权限后，用户才能访问其资源

3、设置权限防止资源被篡改、删除

二、文件系统概述

文件系统即存储设备上组织文件的方法

常用的文件系统：

FAT			windows

NTFS		windows

EXT			linux常见

FAT转换为NTFS：

 convert 盘符: /fs:ntfs
 #数据不丢失，但不可逆！

三、NTFS文件系统特点

1. 提高磁盘读写性能
2. 可靠性
3. 加密文件系统
4. 访问控制列表（设置权限）
5. 磁盘利用率
6. 压缩
7. 磁盘配额
8. 支持单个文件大于4个G 硬盘容量为8-16G建议格式化为FAT，NTFS是针对于大容量文件系统的

四、修改NTFS权限

4.1、取消权限继承

作用：取消后，可以任意修改权限列表了。
方法：文件夹右键属性---安全---高级---去掉第一个对号--选择复制即可

4.2、文件及文件夹权限

文件权限	权限内容
完全控制	拥有读取、写入、修改、删除文件、及特殊的权限
修改	拥有读取、写入、修改、删除文件的权限
读取和执行	拥有读取、及执行文件的权限
读取	拥有读取文件的权限
写入	拥有修改文件内容的权限
特殊权限	控制文件权限列表的权限

文件夹权限	权限内容
完全控制	拥有对文件及文件夹读取、写入、修改、删除文件、及特殊的权限
修改	拥有对文件及文件夹读取、写入、修改、删除文件的权限
读取和执行	拥有对文件夹中的文件下载、读取、及执行的权限
列出文件夹内容	可以列出文件夹的内容
读取	拥有对文件夹中的文件下载、读取的权限
写入	拥有在文件夹中创建新的文件的权限
特殊权限	控制文件夹权限列表的权限

案例：
建立jimi文件夹，并设置NTFS权限，要求a用户只能读取文件夹中的文件，不能在jimi文件夹中创建新的文件，b用户只能在jimi文件夹中创建新的文件，不能读取文件。

解答：
net user a a /add
net user b b /add
# 注意将users组删除

4.3、权限累加

当用户同时属于多个组时，权限是累加的!

案例：
用户a同时属于IT组与HR组，IT组对文件夹jimi可以读取，HR组可以对jimi文件夹写入，则a用户最终的权限为读取和写入。

4.4、拒绝最大

当用户权限累加时，如遇到拒绝权限，拒绝最大！

案例：
用户a属于财务部组，财务部组成员为10个用户，财务部组拥有对文件夹xxx访问权限，现要求a用户不能脱离财务部组， 同时要求a没有访问文件夹xxx的权限。

此时权限控制表包含users组，及a在users组内

4.5、取得所有权

默认只有administrator有这个权限！

作用：可以将任何文件夹的所有者改为administrator

案例：
用户b已离职，但xxx文件夹的属主是b，由于b用户对xxx文件夹做过权限修改，导致其他用户对xxx文件夹没有任何权限，现需要管理员administrator用户将xxx文件夹重新修改权限。

4.6、强制继承

作用：对下强制继承父子关系！

方法：文件夹右键属性--安全--高级--勾上第二个对号，即可！

案例：
xxx文件夹下有多个子文件夹及文件，由于长时间的权限管理，多个子文件夹的权限都做过不同的权限修改，现需要xxx 下的所有子文件及文件夹的权限全部统一。

4.7、文件复制对权限的影响

文件复制后，文件的权限会被目标文件夹的权限覆盖。

权限唯一不覆盖的情况是同分区移动过去的文件的权限不覆盖。

本章练习：
1.创建一个文件夹，实现tom用户只能创建新的文件，jack用户只能读取及下载文件
2.将用户a加入到ceo组，且不能从该组中剔除,为文件夹jimi赋权限，要求ceo组可以完全控制jimi文件夹，但a不能访问该文件夹。
3.普通用户创建文件，并设置权限，且未给管理员任何权限，管理员登录系统后，能够成功删除该文件
4.练习强制继承，并验证成功性。

第一问：

tom的权限为：

jack的权限为：

第二问：

给a赋予列出文件夹目录权限为拒绝。

第三问：

使用管理员取得所有权即可。

第四问：

强制继承。

文件共享服务器

一、共享服务器概述

通过网络提供文件共享服务，提供文件下载和上传服务（类似于FTP服务器）

二、创建共享

方法：文件夹右键属性--共享与安全--共享此文件夹--设置共享名--设置共享权限(完全控制就行，我们可以在NTFS权限中设置，因为他俩取交集)

注：

1）在本地登录时，只受NTFS权限的影响

2）在远程登录时，将受共享及NTFS权限的共同影响，且取交集！

3）所以建议设置共享权限为everyone完全控制，然后具体的权限需求在NTFS权限中设置即可

三、访问共享

在开始运行/或我的电脑地址栏中，输入UNC地址：
\\文件共享服务器IP
\\文件共享服务器IP\共享名

判断题：
服务器上有某文件夹：d:\feifei
服务器IP：10.1.1.1
共享名： f
以下哪种方式可以正常访问该共享？
\\10.1.1.1\d\feifei
\\10.1.1.1\feifei
\\10.1.1.1\d\f
\\10.1.1.1\f 正确

案例：
1.开2台虚拟机，并互相ping通
2.设置2003为共享服务器，并在客户机上可以访问共享，要求a账户只能下载，b账户只能上传，c账户可以上传下载及删除

四、创建隐藏的共享

方法：共享名$

五、访问隐藏共享的方法

\服务器IP\共享名$

六、共享相关命令

net share # 列出共享列表
net share C$=C:\ # 将c盘共享
net share 共享名 /del # 删除共享

七、屏蔽系统的隐藏共享文件自动产生

7.1、打开注册表

command+r - cmd 打开注册表编辑器：regedit

7.2、定位共享注册表位置

HKEY_Local_MACHINE\System\CurrentControlSet\Services\lanmanServer\Parameters\
右键新建DWORD类型的AutoShareServer 键，值为 0
之后需要重新启动shutdown -r -f -t 0

八、查看本地开放端口与本地网络连接状态与其他命令

netstat -an

# windows server可使用
whoami # 查询当前是哪个用户
whoami /user # 查询当前是哪个用户并且包括SID

九、关闭445服务

可以通过关闭445端口来屏蔽病毒传入（如勒索病毒等）

方法1：打开services.msc，并停止及禁用server服务
方法2：禁止被访问445，配置高级安全防火墙-入站规则（在win7及以上系统，win2008及以上系统）

注：虽然服务关闭了，但是端口依然监听，此时的这个服务已经不起作用了