用户和组ntfs文件安全管理剖析.ppt

它是一个系统[内置组]，在管理窗口是看不见的！ Everyone组称之为任意组，系统里任何用户都是此组的成员。 步骤2：运行：gpedit.msc 进入组策略。 注意：千万不要把Everyone组和Administrators组加入到[拒绝本地登陆], 后果很严重！！！！ 然后注销，验证试验。 常见组的权限 权限的组合 取得文件或文件夹的所有权 对于其他用户建立的文件夹，如果拒绝管理员管理，可以取得其所有权，然后再进行管理。 位置在安全选项卡中的高级里的所有者选项卡中。 没有修改权限的文件夹 取得所有权后的文件夹 将文件移动或复制到目的地的用户，会成为该文件的所有者。 如果将文件从ntfs磁盘移动或复制到FAT磁盘内，则其原有的权限设置都将被删除。 要对文件或文件夹移动时，必须对来源文件或文件夹具有“修改”的权限，同时还必须对目的文件夹具有“写入”的权限。 4、设置文件压缩： 文件、文件夹的压缩可以减少它们占用磁盘的空间。 系统默认会将被压缩的磁盘、文件夹、文件以不同的颜色进行显示。可通过“文件夹选项”中查看来修改。 如果将文件从不同的NTFS驱动器移动到已压缩的文件夹中，文件也将被压缩。 如果将文件从同一个NTFS驱动器移动到已压缩的文件夹中，则文件将保留原始状态。 5、设置磁盘配额： 用户可以利用磁盘配额的功能控制和跟踪每个用户可用的磁盘空间。 磁盘配额时以文件与文件夹的所有权进行计算的。 磁盘配额的计算不考虑文件压缩的因素。 每个NTFS 磁盘分区的磁盘配额是独立计算的，不论几个NTFS磁盘分区是否在同一个硬盘内。 系统管理员不会受到磁盘配额的限制。 通过磁盘配额的限制，可以避免用户不小心将大量的文件复制到服务器的硬盘内，造成服务器运行效率降低的后果。 （1）设置 右击要启用磁盘配额的磁盘，选择属性中的配额。 注意如果驱动器不是用NTFS文件系统格式化的，或者你不是Administrators组的成员，则驱动器的属性对话框中不显示配额选项卡。 用户和组和NTFS 主要内容： 用户的建立、删除、NTFS与F32区别 设置文件的权限、加密、用户磁盘配合 使用命令:net user ;convert 证书的导入和导出。 用户的建立 net user命令 可以查看并管理与帐户有关的事务，包括新建帐户、删除帐户、查看特定帐户、激活帐户及禁用帐户等。 （1）查看帐户信息。键入不带参数的net user命令，可以查看所有帐户（包括已经禁用的帐户）。如果需要查看某个帐户的详细，可以在net user命令后面接帐户名。 （2）新建帐户 使用net user命令的“/add”参数可以为计算机新建一个帐户，同时可以为该帐户设置用户密码，新建帐户默认为user组的成员。使用net user命令新建帐户的命令格式为：net user 用户名 密码/add （3）删除帐户 Net user 用户名/del （4）激活/禁用帐户 Net user 用户名/active:yes/no 介绍用户账户 使用者完成管理任务或使用网络资源 位于 SAM (本地用户) 位于活动目录(域用户) 域用户帐户 使用者通过登陆域有权使用网络资源 位于活动目录 本地用户帐户 使用者通过登陆和访问本计算机资源 位于SAM 使用者 Administrator and Guest 管理员，普通用户，组 管理员：administrator 普通用户：user 管理员具有最高权限，普通用户只拥有操作权限。 普通用户无安装权限，删除程序权限，无注册表，组策略，设备管理器，网络等操作权限。 注：合理分配管理员权限可以很方便的管理控制单机。 组：具有某种共同操作特征的一组用户。 建立组 Everyone组 net localgroup命令： 添加、显示或更改本地组，常用来提升用户的管理权限。 注意: 把组删除，组里的成员并没有删除，只把组的许可和权限删除了。 试验任务： 建立两个用户A，B（默认加入Users组） 任务：让A具有具有关闭系统的权限；拒绝B在本机登陆。 步骤1：新建关闭系统组和拒绝本机登陆组。 把A加入关闭系统组。 把B加入拒绝本机登陆组。 选择关闭系统，将关闭系统组加入其中。 选择拒绝本地登陆，将拒绝本机登陆组加入其中。 文件安全管理： 1、文件系统简介 NTFS文件系统相对于FAT和FAT32文件系统来说，可以更好的保护文件资源。提高文件资源的安全性。 具体表现在： （1）可以对单个文件设置权限，而不仅仅是对文件夹设置权限。 这使的在管理文件时，可以针对不同用户设置不同的访问权限， 从而可以更好的保护文件资源。 （2）提供了文件加密功能，用户可以将自己的秘密文件加密，使 其他用户不能访问自己的秘密文件。 （3）提供了文件压