5.3　项目实施

按图5-1所示，配置好Win2012-1和Win2012-2的所有参数，保证Win2012-1和Win2012-2之间通信畅通。建议将Hyper-V中虚拟网络的模式设置为“专用”。

5.3.1　设置资源共享

为安全起见，默认状态下，服务器中所有的文件夹都不被共享。而创建文件服务器时，又只创建一个共享文件夹。因此，若要授予用户某种资源的访问权限，必须先将该文件夹设置为共享，然后赋予授权用户相应的访问权限。创建不同的用户组，并将拥有相同访问权限的用户加入同一用户组，会使用户权限的分配变得简单而快捷。

1. 在“计算机管理”对话框中设置共享资源

STEP 1 在Win2012-1上依次选择“开始”→“管理工具”→“计算机管理”命令，在打开的窗口中展开左窗格中的“共享文件夹”，如图5-2所示。该“共享文件夹”提供有关本地计算机上的所有共享、会话和打开的文件的相关信息，可以查看本地和远程计算机的连接和资源使用概况。

STEP 2 在右窗格中右击“共享”图标，在弹出的快捷菜单中选择“新建共享”命令，即可打开“创建共享文件夹向导”对话框。注意权限的设置，如图5-3所示。其他操作过程不再详述。

2. 特殊共享

前面提到的共享资源中有一些是系统自动创建的，如C$、IPC$等。这些系统自动创建的共享资源就是这里所指的“特殊共享”，它们是Windows Server 2012用于本地管理和系统使用的。一般情况下，用户不应该删除或修改这些特殊共享。

由于被管理计算机的配置情况不同，共享资源中所列出的这些特殊共享也会有所不同。

下面列出了一些常见的特殊共享。

driveletter$：为存储设备的根目录创建的一种共享资源。显示形式为C$、D$等。例如，D$号是一个共享名，管理员通过它可以从网络上访问驱动器。值得注意的是，只有Administrators组、PowerUsers组和Server Operators组的成员才能连接这些共享资源。

ADMIN$：在远程管理计算机的过程中系统使用的资源。该资源的路径通常指向Windows Server 2012系统目录的路径。同样，只有Administrators组、PowerUsers组和Server Operators组的成员才能连接这些共享资源。

IPC$：共享命名管道的资源，它对程序之间的通信非常重要。在远程管理计算机的过程及查看计算机的共享资源时使用。

PRINT$：在远程管理打印机的过程中使用的资源。

5.3.2　访问网络共享资源

企业网络中的客户端计算机，可以根据需要采用不同方式访问网络共享资源。

1. 利用网络发现

分别以student1和administrator的身份访问Win2012-1中所设的共享share1。步骤如下。

STEP 1 在Win2012-2上单击左下角的资源管理器图标 ，打开“资源管理器”窗口。单击窗口左下角的“网络”链接，打开Win2012-2的“网络”对话框，如图5-4所示。

STEP 2 双击“Win2012-1”计算机，弹出“Windows安全”对话框。输入student1用户及密码，连接到Win2012-1，如图5-5所示。（用户student1是Win2012-1下的用户。）

STEP 3 单击“确定”按钮，打开“Win2012-1”上的共享文件夹，如图5-6所示。

STEP 4 双击“share1”共享文件夹，尝试在下面新建文件，失败。

STEP 5 注销Win2012-2，重新执行STEP 1～STEP 4的操作。注意本次输入Win2012-1的administrator用户及密码，连接到Win2012-1，验证5.3.1小节设置的共享的权限情况。

2. 使用UNC路径

UNC（Universal Naming Conversion，通用命名标准）是用于命名文件和其他资源的一种约定，以两个反斜杠“\”开头，指明该资源位于网络计算机上。UNC路径的格式为：

      \\Servername\sharename

其中，Servername是服务器的名称，也可以用IP地址代替，而sharename是共享资源的名称。目录或文件的UNC名称也可以把目录路径包括在共享名称之后，其语法格式如下：

      \\Servername\sharename\directory\filename

本例在Win2012-2的“运行”对话框中输入以下命令，并分别以不同用户连接到Win2012-1上来测试5.3.1小节所设共享。

      \\192.168.10.2\share1

或者

      \\Win2012-1\share1

5.3.3　使用卷影副本

用户可以通过“共享文件夹的卷影副本”功能，让系统自动在指定的时间将所有共享文件夹内的文件复制到另外一个存储区内备用。当用户通过网络访问共享文件夹内的文件，将文件删除或者修改文件的内容后，却反悔想要恢复该文件或者想要还原文件原来的内容时，可以通过“卷影副本”存储区内的旧文件来达到目的，因为系统之前已经将共享文件夹内的所有文件都复制到“卷影副本”存储区内。

1. 启用“共享文件夹的卷影副本”功能

在Win2012-1上，在共享文件夹share1下建立test1和test2两个文件夹，并在该共享文件夹所在的计算机Win2012-1上启用“共享文件夹的卷影副本”功能。操作步骤如下。

STEP 1 选择“开始”→“管理工具”→“计算机管理”命令，打开“计算机管理”对话框。

STEP 2 右击“共享文件夹”，在弹出的快捷菜单中选择“所有任务”→“配置卷影副本”命令，如图5-7所示。

STEP 3 在打开的“卷影副本”对话框中，选择要启用“卷影复制”的驱动器（例如C：），单击“启用”按钮，如图5-8所示。再单击“是”按钮，此时，系统会自动为该磁盘创建第一个“卷影副本”，也就是将该磁盘内所有共享文件夹内的文件都复制到“卷影副本”存储区内，而且系统默认以后会在星期一至星期五的上午7：00与下午12：00两个时间点分别自动添加一个“卷影副本”，也就是在这两个时间到达时会将所有共享文件夹内的文件复制到“卷影副本”存储区内备用。

STEP 4 如图5-8所示，C盘已经有两个“卷影副本”，用户还可以随时单击图中的“立即创建”按钮，自行创建新的“卷影副本”。用户在还原文件时，可以选择在不同时间点所创建的“卷影副本”内的旧文件来还原文件。

STEP 5 系统会以共享文件夹所在磁盘的磁盘空间决定“卷影副本”存储区的容量大小，默认配置该磁盘空间的10%作为“卷影副本”的存储区，而且该存储区最小需要100MB。如果要更改其容量，单击图5-8中的“设置”按钮，打开如图5-9所示的“设置”对话框。然后在“最大值”处更改设置。可以单击“计划”按钮来更改自动创建“卷影副本”的时间点。用户还可以通过图中的“位于此卷”来更改存储“卷影副本”的磁盘，不过必须在启用“卷影副本”功能前更改，启用后就无法更改了。

2. 客户端访问“卷影副本”内的文件

本例任务：先将Win2012-1上的share1文件夹下面的test1文件夹删除，再用此前的卷影副本进行还原，测试是否恢复了test1文件夹。

STEP 1 在Win2012-2上，以Win2012-1计算机的administrator用户身份连接到Win2012-1上的共享文件夹。删除share1下面的test1文件夹。

STEP 2 右击share1文件夹，打开“share1（\\Win2012-2）属性”对话框。单击“以前的版本”选项卡，如图5-10所示。

STEP 3 选中“share1 2016/2/14/19：20”版本，通过单击“打开”按钮可查看该时间点内的文件夹内容，通过单击“复制”按钮可以将该时间点的share1文件夹复制到其他位置，通过单击“还原”按钮可以将文件夹还原到该时间点的状态。在此单击“还原”按钮，还原误删除的test1文件夹。

STEP 4 打开share1文件夹，检查test1文件夹是否被恢复。

5.3.4　认识NTFS权限

利用NTFS权限，可以控制用户账号和组对文件夹和个别文件的访问。

NTFS权限只适用于NTFS磁盘分区。NTFS权限不能用于由FAT或者FAT32文件系统格式化的磁盘分区。

Windows 2008只为用NTFS进行格式化的磁盘分区提供NTFS权限。为了保护NTFS磁盘分区上的文件和文件夹，要为需要访问该资源的每一个用户账号授予NTFS权限。用户必须获得明确的授权才能访问资源。用户账号如果没有被组授予权限，它就不能访问相应的文件或者文件夹。不管用户是访问文件还是访问文件夹，也不管这些文件或文件夹是在计算机上还是在网络上，NTFS的安全性功能都有效。

对于NTFS磁盘分区上的每一个文件和文件夹，NTFS都存储一个远程访问控制列表（ACL）。ACL中包含那些被授权访问该文件或者文件夹的所有用户账号、组和计算机，还包含它们被授予的访问类型。为了让一个用户访问某个文件或者文件夹，针对用户账号、组或者该用户所属的计算机，ACL中必须包含一个相对应的元素，这样的元素叫作访问控制元素（ACE）。为了让用户能够访问文件或者文件夹，访问控制元素必须具有用户所请求的访问类型。如果ACL中没有相应的ACE存在，Windows Server 2012就拒绝该用户访问相应的资源。

1. NTFS权限的类型

可以利用NTFS权限指定哪些用户、组和计算机能够访问文件和文件夹。NTFS权限也指明哪些用户、组和计算机能够操作文件中或者文件夹中的内容。

（1）NTFS文件夹权限

可以通过授予文件夹权限，控制对文件夹和包含在这些文件夹中的文件和子文件夹的访问。表5-1列出了可以授予的标准NTFS文件夹权限和各个权限提供的访问类型。

（2）NTFS文件权限

可以通过授予文件权限，控制对文件的访问。表5-2列出了可以授予的标准NTFS文件权限和各个权限提供给用户的访问类型。

2. 多重NTFS权限

如果将针对某个文件或者文件夹的权限授予个别用户账号，又授予某个组，而该用户是该组的一个成员，那么该用户就对同样的资源有了多个权限。关于NTFS如何组合多个权限，存在一些规则和优先权。除此之外，在复制或者移动文件和文件夹时，对权限也会产生影响。

（1）权限是累积的

一个用户对某个资源的有效权限是授予这一用户账号的NTFS权限与授予该用户所属组的NTFS权限的组合。例如，如果用户Long对文件夹Folder有“读取”权限，该用户又是某个组Sales的成员，而该组Sales对该文件夹Folder有“写入”权限，那么该用户对该文件夹Folder就有“读取”和“写入”两种权限。

（2）文件权限超越文件夹权限

NTFS的文件权限超越NTFS的文件夹权限。例如，某个用户对某个文件有“修改”权限，那么即使他对于包含该文件的文件夹只有“读取”权限，他仍然能够修改该文件。

（3）拒绝权限超越其他权限

可以拒绝某用户账号或者组对特定文件或者文件夹的访问，为此，将“拒绝”权限授予该用户账号或者组即可。这样，即使某个用户作为某个组的成员具有访问该文件或文件夹的权限，但是因为将“拒绝”权限授予该用户，所以该用户具有的任何其他权限也被阻止了。因此，对于权限的累积规则来说，“拒绝”权限是一个例外。应该避免使用“拒绝”权限，因为允许用户和组进行某种访问比明确拒绝他们进行某种访问更容易做到。应该巧妙地构造组和组织文件夹中的资源，使各种各样的“允许”权限就足以满足需要，从而可避免使用“拒绝”权限。

例如，用户Long同时属于Sales组和Manager组，文件File1和File2是文件夹Folder下面的两个文件。其中，Long拥有对Folder的读取权限，Sales拥有对Folder的读取和写入权限，Manager则被禁止对File2的写操作。那么Long的最终权限是什么？

由于使用了“拒绝”权限，用户Long拥有对Folder和File1的读取和写入权限，但对File2只有读取权限。

3. 共享文件夹权限与NTFS文件系统权限的组合

如何快速有效地控制对NTFS磁盘分区上网络资源的访问呢？答案就是利用默认的共享文件夹权限共享文件夹，然后，通过授予NTFS权限控制对这些文件夹的访问。当共享的文件夹位于NTFS格式的磁盘分区上时，该共享文件夹的权限与NTFS权限进行组合，用以保护文件资源。

要为共享文件夹设置NTFS权限，可在Win2012-1上的“share1属性”对话框中选择“共享权限”选项卡，如图5-11所示。

共享文件夹权限具有以下特点。

• 共享文件夹权限只适用于文件夹，而不适用于单独的文件，并且只能为整个共享文件夹设置共享权限，而不能对共享文件夹中的文件或子文件夹进行设置。所以，共享文件夹不如NTFS文件系统权限详细。
• 共享文件夹权限并不对直接登录到计算机上的用户起作用，只适用于通过网络连接该文件夹的用户，即共享权限对直接登录到服务器上的用户是无效的。
• 在FAT/FAT32系统卷上，共享文件夹权限是保证网络资源被安全访问的唯一方法。原因很简单，就是NTFS权限不适用于FAT/FAT32卷。
• 默认的共享文件夹权限是读取，并被指定给Everyone组。

共享权限分为读取、修改和完全控制。不同权限以及对用户访问能力的控制如表5-3所示。

当管理员对NTFS权限和共享文件夹的权限进行组合时，结果是组合的NTFS权限，或者是组合的共享文件夹权限，哪个范围更窄则选择哪一个。

当在NTFS卷上为共享文件夹授予权限时，应遵循以下规则。

• 可以对共享文件夹中的文件和子文件夹应用NTFS权限。可以对共享文件夹中包含的每个文件和子文件夹应用不同的NTFS权限。
• 除共享文件夹权限外，用户必须有该共享文件夹包含的文件和子文件夹的NTFS权限，才能访问那些文件和子文件夹。
• 在NTFS卷上必须要求NTFS权限。默认Everyone组具有“完全控制”权限。

5.3.5　继承与阻止NTFS权限

1. 使用权限的继承性

默认情况下，授予父文件夹的任何权限也将应用于包含在该文件夹中的子文件夹和文件。当授予访问某个文件夹的NTFS权限时，就将授予该文件夹的NTFS权限授予了该文件夹中任何现有的文件和子文件夹，以及在该文件夹中创建的任何新文件和新的子文件夹。

如果想让文件夹或者文件具有不同于它们父文件夹的权限，必须阻止权限的继承性。

2. 阻止权限的继承性

阻止权限的继承，也就是阻止子文件夹和文件从父文件夹继承权限。为了阻止权限的继承，要删除继承来的权限，只保留被明确授予的权限。

被阻止从父文件夹继承权限的子文件夹现在就成为新的父文件夹。包含在这一新的父文件夹中的子文件夹和文件将继承授予它们的父文件夹的权限。

若要禁止权限继承，以test2文件夹为例，打开该文件夹的“属性”对话框，单击“安全”选项卡，依次单击“高级”→“权限”按钮，出现如图5-12所示的“test2的高级安全设置”对话框。选中某个要阻止继承的权限，单击“禁止继承”按钮，在弹出的“阻止继承”菜单中选择“将已继承的权限转换为此对象的显示权限”或“从此对象中删除所有已继承的权限”命令。

5.3.6　复制和移动文件和文件夹

1. 复制文件和文件夹

当从一个文件夹向另一个文件夹复制文件或者文件夹时，或者从一个磁盘分区向另一个磁盘分区复制文件或者文件夹时，这些文件或者文件夹具有的权限可能发生变化。复制文件或者文件夹对NTFS权限产生下述效果。

当在单个NTFS磁盘分区内或在不同的NTFS磁盘分区之间复制文件夹或者文件时，文件夹或者文件的复件将继承目的地文件夹的权限。

当将文件或者文件夹复制到非NTFS磁盘分区（如文件分配表FAT格式的磁盘分区）时，因为非NTFS磁盘分区不支持NTFS权限，所以这些文件夹或文件就丢失了它们的NTFS权限。

2. 移动文件和文件夹

当移动某个文件或者文件夹的位置时，针对这些文件或者文件夹的权限可能发生变化，这主要依赖于目的地文件夹的权限情况。移动文件或者文件夹对NTFS权限产生下述效果。

当在单个NTFS磁盘分区内移动文件夹或者文件时，该文件夹或者文件保留它原来的权限。

当在NTFS磁盘分区之间移动文件夹或者文件时，该文件夹或者文件将继承目的地文件夹的权限。当在NTFS磁盘分区之间移动文件夹或者文件时，实际是将文件夹或者文件复制到新的位置，然后从原来的位置删除它。

当将文件或者文件夹移动到非NTFS磁盘分区时，因为非NTFS磁盘分区不支持NTFS权限，所以这些文件夹和文件就丢失了它们的NTFS权限。

5.3.7　利用NTFS权限管理数据

在NTFS磁盘中，系统会自动设置默认的权限值，并且这些权限会被其子文件夹和文件所继承。为了控制用户对某个文件夹以及该文件夹中的文件和子文件夹的访问，就需指定文件夹权限。不过，要设置文件或文件夹的权限，必须是Administrators组的成员、文件或者文件夹的拥有者，并且是具有完全控制权限的用户。

1. 授予标准NTFS权限

授予标准NTFS权限包括授予NTFS文件夹权限和NTFS文件权限。

（1）NTFS文件夹权限

STEP 1 打开Windows资源管理器对话框，右击要设置权限的文件夹，如Network，在弹出的快捷菜单中选择“属性”命令，打开“network属性”对话框，选择“安全”选项卡，如图5-13所示。

STEP 2 默认已经有一些权限设置，这些设置是从父文件夹（或磁盘）继承来的。例如，在Administrator用户的权限中，灰色阴影部分的权限就是继承的权限。

STEP 3 如果要给其他用户指派权限，可单击“编辑”按钮，出现如图5-14所示的“network的权限”对话框。

STEP 4 依次单击“添加”→“高级”→“立即查找”按钮，从本地计算机上添加拥有对该文件夹访问和控制权限的用户或用户组，如图5-15所示。

STEP 5 选择后单击“确定”按钮，拥有对该文件夹访问和控制权限的用户或用户组就被添加到“组或用户名”列表框中。由于新添加用户sales的权限不是从父项继承的，因此他们所有的权限都可以被修改。

STEP 6 如果不想继承上一层的权限，可参照5.3.5小节的内容进行修改，这里不再赘述。

（2）NTFS文件权限

文件权限的设置与文件夹权限的设置类似。要想对NTFS文件指派权限，直接在文件上右击，在弹出的快捷菜单上选择“属性”命令，再在打开的对话框中选择“安全”选项卡，可为该文件设置相应的权限。

2. 授予特殊访问权限

标准的NTFS权限通常能提供足够的能力，用以控制对用户的资源的访问，以保护用户的资源。但是，如果需要更为特殊的访问级别，就可以使用NTFS的特殊访问权限。

在文件或文件夹属性对话框的“安全”选项卡中，依次单击“高级”→“权限”按钮，打开“network的高级安全设置”对话框，选中sales用户项，如图5-16所示。

单击“编辑”按钮，打开如图5-17所示的“network的权限项目”对话框，可以更精确地设置sales用户的权限。单击“显示基本权限”或“显示高级权限”后，两者会交替出现。

有14项特殊访问权限，把它们组合在一起就构成了标准的NTFS权限。例如，标准的“读取”权限包含“列出文件夹／读取数据”“读取属性”“读取权限”及“读取扩展属性”等特殊访问权限。

其中两个特殊访问权限对于管理文件和文件夹的访问来说特别有用。

（1）更改权限

如果为某用户授予这一权限，该用户就具有了针对文件或者文件夹修改权限的能力。

可以将针对某个文件或者文件夹修改权限的能力授予其他管理员和用户，但是不授予他们对该文件或者文件夹的“完全控制”权限。通过这种方式，这些管理员或者用户不能删除或者写入该文件或者文件夹，但是可以为该文件或者文件夹授权。

为了将修改权限的能力授予管理员，将针对该文件或者文件夹的“更改权限”的权限授予Administrators组即可。

（2）取得所有权

如果为某用户授予这一权限，该用户就具有了取得文件和文件夹的所有权的能力。

可以将文件和文件夹的拥有权从一个用户账号或者组转移到另一个用户账号或者组，也可以将“所有者”权限给予某个人。而作为管理员，也可以取得某个文件或者文件夹的所有权。

对于取得某个文件或者文件夹的所有权来说，需要应用下述规则。

• 当前的拥有者或者具有“完全控制”权限的任何用户，可以将“完全控制”这一标准权限或者“取得所有权”这一Special访问权限授予另一个用户账号或者组。这样，该用户账号或者该组的成员就能取得所有权。
• Administrators组的成员可以取得某个文件或者文件夹的所有权，而不管为该文件夹或者文件授予了怎样的权限。如果某个管理员取得了所有权，则Administrators组也取得了所有权。因而该管理员组的任何成员都可以修改针对该文件或者文件夹的权限，并且可以将“取得所有权”这一权限授予另一个用户账号或者组。例如，如果某个雇员离开了原来的公司，某个管理员即可取得该雇员的文件的所有权，将“取得所有权”这一权限授予另一个雇员，然后这一雇员就取得了前一雇员的文件的所有权。