Windows 2000 Server实用手册(三) 闵军 2000年 第53期 #1 第四部分 更为强大的文件系统 Windows 2000 Server支持远程存储、可移动存储、分布式文件系统和本地存储等多种存储方式,支持的文件系统包括FAT16、FAT32、NTFS 4.0、NTFS 5.0。NTFS 5.0文件系统具有以下一些新特性。 #1 一、Windows 2000中的加密文件系统(EFS) 1.什么是加密文件系统 加密文件系统EFS(Encrypting File System)是Windows 2000提供的一项新功能。EFS其实并不是一种新的文件系统,而只是Windows 2000的NTFS分区的一个新特性,它的使用可以提高文件系统的安全性。EFS用一个随机产生的密钥来加密文件,只有文件的所有者和管理员才掌握解密的密钥,其它人即使能够登录到系统中,也没有办法读取它。 2.怎样加密文件和文件夹 与设置文件或文件夹的其它属性一样,可以打开其“属性”对话框来进行设置加密属性。当然,也可以使用命令行工具Cipher.exe来进行相应的设置,该命令的详细信息可以在DOS方式下使用Cipher /?来查获,也可以在Windows 2000的帮助中查找。在这里,我们主要介绍怎样通过“属性”对话框来设置加密属性,具体方法如下。 (1)打开“资源管理器”,选中要加密文件或文件夹(如G:\TOOL),可以使用Ctrl或者Shift来选择多个项目; (2)用鼠标右键单击选择区并选择,在出现“属性”-“常规”对话框中单击“高级”按钮,便会弹出“高级属性”对话框,见^53100028m^13; (3)图13中,选中“加密内容以便保护数据”复选框,再单击“确定”; (4)当返回“属性”-“常规”对话框后,再单击“确定”或“应用”,便会出现“确认属性更改”对话框,系统默认选择上面一个选项:只更改该文件夹的属性。如果您想同时更改该文件夹以及其下面的所有子文件夹和文件,便可选中下面一个选项。选择好之后,再单击“确定”; (5)系统开始加密所选的文件和文件夹。 (6)若要取消已加密文件和文件夹的加密属性,其操作过程也与上面类似。注意,增加和取消文件和文件夹加密属性的操作,并不会改变文件和文件夹的所有者。当已非文件的所有者或者管理员的身份访问已加密的文件和文件夹时,虽然可以列出文件清单,但无法进行显示文件内容、运行可执行文件和拷贝文件等操作,比如在强行拷贝时便会报错。 3.EFS的优点 (1)EFS使用方便,管理容易。EFS只需要对文件进行一次加解密,不要求用户(文件所有者)每次使用时都进行加解密,加解密过程一旦完成,您就可以象使用普通文件和文件夹一样使用它们。并且,这种加解密过程对用户来说是透明的; (2)EFS攻击困难。EFS使用了公共密钥(Public Key)这种强大的加密技术,密钥的列表文件又被“恢复代理”的公共密钥再次加密,并且,可以有多个恢复代理,每一个恢复代理都有不同的公共密钥。这种层层加密方法破解困难,不易受到攻击; (3)EFS运行稳定可靠。EFS作为集成的系统服务运行,文件加密的密钥驻留在操作系统的内核之中,并且保存在非分页RAM中,这样便保证了密钥绝不会被拷贝到页面文件Pagefile.sys中,因而不可能通过页面文件来找到文件加密的密钥; (4)EFS比NT 4.0更为安全。在NT 4.0的NTFS分区上,文件本身并没有加密,我们可以在硬盘上安装另一套NT或者将硬盘移到另一台装有NT的计算机上,就可以读取NT 4.0的NTFS分区上的所有文件。但是在使用EFS的NTFS分区上,由于文件本身是加密存储的,用户即使安装另外一套Windows 2000或者将硬盘移到另一台装有Windows 2000的计算机上,他也没有办法读取任何加密存储的文件。 4.使用EFS时的注意事项 (1)只有在Windows 2000的NTFS分区上的文件和文件夹才能被加密,当文件夹被加密后,则在该文件夹下新建的所有文件和子文件夹都将被自动加密; (2)不能加密压缩文件或文件夹。必须对文件和文件夹进行解压缩,在已压缩的卷上,则需解压缩需要加密的文件夹,然后才能进行加密; (3)无法加密Windows 2000的系统文件; (4)只有文件的所有者和管理员才能打开已加密的文件; (5)不能共享加密文件,不能使用EFS来发布私人数据; (6)如果将加密的文件复制或移动到非NTFS格式的卷上,该文件将会被解密; (7)使用剪切和粘贴将文件移动到已加密的文件夹,文件将被自动加密。但是,如果使用拖放方式来移动文件,文件则不会被自动加密; (8)在编辑加密文档时某些程序创建的临时文件,只要这些临时文件是在NTFS卷上而且放在已加密文件夹中,则它们也会被加密。为此建议加密硬盘上的Temp文件夹,这样可以确保在编辑过程中的文档也处于保密状态。如果在Outlook中创建一个新文档或打开附件,该文件将在Temp文件夹中被创建为加密文档。如果选择将加密的文档保存到NTFS卷的其他位置,则它在新位置仍被加密; (9)在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹,但必须与域管理员联系后才能完成这种操作。然而,如果通过网络打开已加密文件,通过此过程在网络上传输的数据则并未加密。必须通过使用额外的SSL/PCT、IPSEC等协议,才能在网络传输过程中加密数据; (10)已经加密的文件夹或文件仍然可以被删除,任何拥有删除权限的用户均可以删除已加密的文件或文件夹,即使该用户并不能查看这些已加密的文件或者文件夹。也就是说,某个用户虽然并不能查看已加密的文件或文件夹,但却能够将它不能查看的加密文件或文件夹删除,只要它拥有删除权限。 5.EFS的数据故障恢复 作为一种完整的安全策略,EFS也可以恢复出故障的数据。例如,如果由于磁盘错误或是其他原因,您丢失了文件加密证书和相关的私钥,您可以通过指定的故障恢复代理来恢复数据;或者,在商业环境中,单位能够在雇员离开后恢复雇员加密的数据;等等。 EFS的数据故障恢复的具体操作比较复杂,涉及到证书的颁发、证书和相关私钥的导出和导入、公钥策略、故障恢复策略、故障恢复代理、MMC控制台的定制等诸多内容。 #1 二、Windows 2000 Server中的磁盘配额功能 1.增加磁盘配额功能的意义 在各种网络操作系统之中,Novell、Unix、Linux等一直都支持对每一个用户在每一个卷(这里可以简单地理解为一个分区)上能够使用的最大磁盘空间进行限制,Windows 2000 Server提供了磁盘配额(Disk Quotas)这一新功能,这无疑将提高其安全性、增加人们对Windows 2000 Server的信心。注意,只有在Windows 2000 Server系统中才能启用和管理磁盘配额功能。 2.磁盘配额功能的具体作用 所谓磁盘配额就是指,管理员可以对本域中的每个用户所能使用的磁盘空间进行配额限制。具体地说,Windows 2000 Server的磁盘配额包含以下两项内容: 第一项内容是磁盘配额限度,它可以在用户超过所指定的磁盘空间限额时,可选地阻止用户进一步使用磁盘空间和记录事件。设置了磁盘配额后,Windows 2000 Server显示的分区剩余空间便是当前用户的磁盘配额的剩余空间; 第二项内容是磁盘配额警告级别,它可以在用户超过指定的磁盘空间警告级别时记录事件(可选),但用户仍然可以继续使用更多的磁盘空间。 例如,可以把用户的磁盘配额限度设为10MB,并把磁盘配额警告级别设为8MB。在这种情况下,用户可在卷上存储不超过10MB的文件。如果用户在卷上存储的文件超过8MB,则把磁盘配额系统记录为系统事件,但这时用户还可以继续使用更多的磁盘空间,一直到使用了10MB时,便不能再继续使用更多的磁盘空间了,这也将记录为系统事件。以上记录的各种系统事件都可以使用“事件查看器”的“系统日志”来查看。 3.使用Windows 2000 Server磁盘配额功能的条件限制 当然,使用Windows 2000 Server的磁盘配额功能也有一些条件限制: (1)只有在Windows 2000 Server系统中才能启用和管理磁盘配额功能; (2)设置磁盘配额的对象只能是在Windows 2000(包括专业版)中格式化的NTFS分区,而不能是FAT16、FAT32的分区以及在NT 4.0中格式化的NTFS分区; (3)磁盘配额功能虽然可以运用于本地卷和网络卷,但用于网络卷时,该网络卷必须是以根目录来建立的共享目录映射而来的,并且还必须位于Windows 2000的NTFS分区上; (4)磁盘配额功能是以分区为单位进行设置的,它对每个分区都进行独立的跟踪和控制,不论这些分区是否是位于同一个物理磁盘中; (5)磁盘配额不支持文件压缩,磁盘配额统一地按照未压缩文件的大小来统计配额; (6)启用某个卷的磁盘配额时,只对可以使用该卷的新用户起作用,但并不应用到原有的卷用户上。可以通过在“配额项目”窗口中添加新的配额项目,来将配额应用到原有的卷用户上。 4.磁盘配额依赖于文件的所有权 当我们已经设置了某个分区的磁盘配额功能后,系统怎样判断某个用户使用的磁盘空间是否达到了配额限制或者警告级别呢?系统便是以文件所有权为依据来进行统计的。当用户复制、新建文件或者获得文件所有权时,磁盘配额便会进行记录。但是,当用户修改其他用户所有的文件时,磁盘配额则不会发生作用。 要查看和获取文件的所有权,具体方法如下: (1)打开“资源管理器”,在右面选择要进行设置的文件和目录,一次可以选择安全性相同的多个文件或者目录; (2)在选中的区域上单击鼠标右键,打开“属性”、“安全”、“高级”,弹出“访问控制设置”对话框,在此选择“所有者”选项卡,便可以查看文件或者目录的所有者,见^53100028n^14。 (3)要获取所选文件或目录的所有权,可以在“将所有者更改为”下面的窗格中选中列出的某个用户或者用户组,再单击“确定”按钮即可。注意,在这里只会列出有权获取所选文件或目录所有权的用户和用户组的清单,adada是已更名的Administrator用户,只有他们才能获取所选文件或目录的所有权。 5.为新用户设置默认磁盘配额 (1)以驱动器所在计算机上的Administrators组的成员登录Windows 2000 Server; (2)打开“资源管理器”,在左面用鼠标右键单击要设置磁盘配额的NTFS分区(如G:); (3)打开“属性”、“配额”对话框,在此选中“启动磁盘配额管理”后,便启用了该分区上的磁盘配额功能,见^53100028o^15; (4)在图15的中,可以进行各项磁盘配额的设置:可选中“拒绝将磁盘空间给超过配额限制的用户”复选框,以拒绝超过配额限制的用户继续使用更多的磁盘空间;可以为该卷上的新用户设置默认的配额限制(可以使用小数);还可以选择或取消“选择该卷的配额记录选项”下的相应项目,以决定是否记录超过配额限制的各种事件;设置好后以上各项后,再单击“确定”或“应用”即可。 注意,在此设置的磁盘配额只对使用这个分区的新用户起作用。 6.为所有用户设置磁盘配额 要想为所有新老用户设置磁盘配额,应按以下方法进行设置: (1)在图15中单击“配额项”按钮,会弹出的“配额项目”窗口,见^53100028p^16。我们便可以在这里为所有用户设置磁盘配额; (2)在图16中,打开菜单“配额”、“新建配额项”,便会弹出“选择用户”对话框,见^53100028q^17; (3)在图17上面的窗格中,用鼠标选择要设置配额的用户(可以使用Ctrl或者Shift来选择多个用户)再单击“添加”,选择的用户便会添加到下面的窗格中,然后单击“确定”,便会弹出“添加新配额项”对话框(见^53100028r^18); (4)在图18里选中“将磁盘空间限制为”复选框,便可在其后面输入空间限制和警告等级的数目和单位,输好后单击“确定”即可。 (5)在图16中,要删除已有配额,只需在“配额项目”对话框中选中要删除的配额项目,再打开“配额”、“删除配额项”菜单,并选择“确定”即可。 (6)要在图16中修改已有配置项目,只需在“配额项目”对话框中双击已有的配额项目,便可以在弹出的“配额设置”对话框中进行各种修改。 7.删除已有的配额项目 如果我们新建的配额项目所指向的用户还未使用磁盘空间,要删除该配额项目就很容易。只需在“配额项目”窗口(参见图16)中用鼠标右键单击该项目,再单击“删除”,在确认对话框中选择“是”即可。不过,当用户已经使用了配额卷上的磁盘空间,要删除该配额项目就要麻烦一些,具体方法如下: (1)按上述方法打开配额卷上的“配额项目”窗口,在此用鼠标右键单击要删除的项目(如Guest),再单击“删除”,在确认对话框中选择“是”; (2)出现“磁盘配额”对话框,见^53100028s^19。系统要求您先要处理用户已经存放的文件和文件夹; (3)首先,要在上面的窗格中选中要处理的文件和目录,可以使用Shift或Ctrl键来选中多个项目。在图19中,我们已用鼠标和Shift键选中了全部项目; (4)选好文件后,有三种处理方式:删除、取得所有权和移动到其它地方(Guest用户有权存放)。要删除或取得所有权可以直接单击“删除”或“取得所有权”按钮;要将所选文件移动到其它地方(Guest用户有权存放),还需要在下面的“将文件移到”栏里输入目标路径或者单击“浏览”按钮来确定目标路径,然后再单击“移动”; (5)在图19中,处理完用户已经存放的文件和文件夹后,再单击“关闭”便完成了删除配额项目的操作。 8.查看超过磁盘配额限制的信息 在前面,我们已经看到,在Windows 2000 Server中可以通过打开相应的“配额项目”窗口来查看各种配额信息,在“配额项目”窗口中使用了不同颜色和形状的图标标识出正常的用户、超过报警阈值或配额限制的用户。另外,在Windows 2000 Server中还可以使用“事件查看器”来查看超过磁盘配额限制的各项信息。具体方法如下: (1)打开“管理工具”、“事件查看器”(eventvwr.msc),在右面选中“系统日志”,见^53100028t^20。在使用之前最好打开“操作”、“清除所有事件”,将旧日志全部清除光,当询问是否要保存旧日志时选“否”即可,若有必要保存可选“是”; (2)在图20中,事件ID为36的是超过警告级别(这里称为“配额阀值”)的事件记录,事件ID为37的是超过配额限制(这里称为“配额限量”)的事件记录。要查看某个事件的详细信息,可双击该事件,便会弹出^53100028u^21所示的“事件 属性”对话框; (3)在图21中,可以点击右面的“向上”或者“向下”的箭头来查看上一个或者下一个事件,还可以点击“复制”按钮将事件的详细信息拷贝到剪辑板上; (4)要了解图21中某个部分的作用,可用鼠标右键单击该部分,出现“这是什么?”按钮,单击该按钮便会弹出该部分的帮助信息。 #1 三、管理Windows 2000中的共享目录 1.使用老办法设置共享目录 在Windows 2000中设置共享目录,可以使用早期Windows提供的老办法: (1)打开“资源管理器”,选中要设置为共享目录的一个文件夹(如G:\CAI)。注意,只能共享文件夹而不能共享文件; (2)用鼠标右键单击选中的目录并选择“共享”,便会出现“属性”-“共享”对话框,我们可以选中“共享该文件夹”,这时系统默认将文件夹的名称作为共享目录的名称,你可以根据需要修改该共享名(为使DOS工作站也能正常访问该共享资源,最好遵循DOS命名规范),还可以在“备注”栏中输入一些说明性的文字; (3)如果您想限制同时使用该共享目录的用户数目,便可以在“用户数限制”下面选中“允许”,并输入同时使用该共享目录的最大用户数目; (4)您还可以单击“权限”按钮来设置该共享目录的共享权限,见^53100028v^22。图中是默认的设置情况,您可以根据需要进行修改。设置好后单击“确定”即可; (5)您还可以单击“缓存”按钮来设置该共享目录缓存的使用情况,见^53100028w^23。图中是默认的设置情况,您也可以根据需要进行修改。设置好后单击“确定”即可; 2.使用Windows 2000的“计算机管理器”设置共享目录 在Windows 2000中还可以使用“计算机管理器”来设置共享目录。具体步骤如下: (1)打开“管理工具”、“计算机管理器”窗口,再打开“系统工具”、“共享文件夹”、“共享”(fsmgmt.msc),在右面窗格中设置Windows 2000的所有共享目录; (2)要新建共享目录,可以用鼠标右键单击左面的“共享”、“新文件共享”,便会出现的“创建共享文件夹”对话框,见^53100028x^24; (3)在图24中输入“要共享的文件夹”及“共享名”等信息,再单击“下一步”按钮,在下一个对话框中设置好共享权限后再单击“完成”即可新建一个共享目录。 (4)要删除已有的共享目录,可以在右面窗格中用鼠标右键单击该共享目录,选择“停止共享”、“确定”,即可删除该共享目录; (5)另外,还可以在右面窗格中用鼠标右键单击某共享目录并选择“属性”,便可以在弹出的“属性”对话框中设置该共享目录的其它的项目,见^53100028y^25。 3.共享文件夹的“脱机访问” 所谓“脱机访问”是指当计算机连网时便将某个共享文件夹的全部或部分内容拷贝到本地计算机上,这样,不论是在连网或者脱机时,计算机都可以访问该缓存。设置共享文件夹的“脱机访问”,包括以下两项工作: 第一项工作:在提供共享目录的一方设置共享文件夹的“缓存方式”或“脱机访问方式”。在计算机上建立共享文件夹时,除了可以设置共享权限之外,还可以指定其他人是否能够从网络上以“脱机方式”使用该共享文件夹。见^53100028z^26。 如果希望用户能够从网络上“脱机使用”该共享文件夹,便可以单击下面的“缓存”按钮。在弹出的“缓存设置”对话框中,选中“允许在这个共享文件夹中缓存文件”,该缓存选项,便是用于指定从网络上访问该共享文件夹的用户,是否能够以脱机方式来访问该共享文件夹,以及能够以什么方式来缓存该共享文件夹。只有在这里授权之后,从网络上访问该共享文件的用户才能够以相应的“脱机方式”来访问、来缓存该共享文件夹,这有点类似于共享权限的设置。共享文件夹时有三种可以选择的缓存选项: (1)“手动缓存文档”,只允许访问使用共享文件夹的用户专门(或手动)标识的文件。该缓存选项非常适合包含要由多人访问和修改的文件的共享网络文件夹。这是在建立脱机使用的共享文件夹时的默认选项。 (2)“自动缓存文档”,使从共享文件夹中打开的每个文件均可以脱机使用。不过,该设置并不允许共享文件夹中每个文件均可以脱机使用,而只限于打开的文件。没有打开的文件不能脱机使用。 (3)“自动缓存程序”,提供对包含了那些不会更改的文件的共享文件夹的脱机访问。该缓存选项非常适合于使文件可以脱机读取、引用或运行,但在此期间不进行更改。因为“自动缓存程序”直接打开(缓冲区中的)脱机文件,而不必以任何方式访问其网络版本,这就减少了网络通讯,而且通常比启动和运行网络版本的速度要快。在使用“自动缓存程序”时,请确保将共享文件夹中包含文件的权限限制为“只读”。 对已经建立的共享文件夹,可以在“我的电脑”或“网上邻居”中,单击要指定为可以脱机使用的共享网络文件或文件夹。在“文件”菜单上,单击“允许脱机使用”。 第二项工作:在访问该共享文件夹的一方设置“脱机文件夹”的大小和位置。 只有在上面设置共享目录时允许脱机使用,从网络上访问该共享文件夹的用户才能够以“脱机方式”来使用该共享文件夹。当用户的计算机连接到提供共享目录的计算机上时,用户的计算机便会自动地将该共享文件夹中的文件以相应的方式(这由上面设置的不同的“脱机方式”或“缓存方式”来确定)拷贝到自己的磁盘空间中(称为缓存),以实现无论是否连接到网络,计算机均可以访问该缓存,也即所谓的“脱机访问”。 要设置用户缓存,可打开“我的电脑”、“工具”、“文件夹选项”菜单,在用户计算机上,默认的缓存大小设置为可用驱动器空间的10%。也可以打开“脱机文件夹”的“属性”对话框来查看使用的缓存空间的大小。在默认情况下,“脱机文件夹”将共享网络文件存储在硬盘的根目录中。可以使用Windows 2000 Professional Resource Kit中“脱机文件缓冲区移动程序 (cachemov.exe)”更改缓冲区的位置。 4.Windows 2000中为管理而设置的共享 在Windows 2000中有许多为管理而设置的共享,如Windows 2000系统中的所有磁盘等,这种共享目录不能设置共享权限,设置时便会报错。在工作站的“网上邻居”窗口中虽然看不到这种共享目录,但是可以在工作站的命令行使用类似net use j: \\Windows 2000s\F$ 的命令,再输入管理员的口令,便可以访问这些为管理而设置的共享目录,并且拥有“完全控制”的权限。这为管理服务器提供不少的方便。 不过,一旦管理员口令泄露,带来的后果便很可怕。所以建议安装好服务器后,应该将所有为管理而设置的共享全部删除掉。在有的网站上提供了以下方法来安删除为管理而设置的共享,运行Regedit并找到主键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters,在其下面新建一个双字节键值AutoShareServer并取值为0,然后重新启动您的服务器即可。当然,也可以使用前面的方法一个一个地删除为管理而设置的共享。