NTFS文件系統特性概述

摘要：

在Windows 2000系統中，開始使用了NTFS5文件系統，NTFS5文件系統有諸多的優秀特性，使得管理計算機和用戶權限、管理磁盤空間、管理敏感數據的效率都得到了巨大的提升。而NTFS同時支持較FAT等文件系統更大的磁盤分區以及提高了系統的穩定性等。NTFS可謂是目前在微軟正式發布的操作系統中所支持的最強大的文件系統了，本文介紹了NTFS的一些特性，以便讀者更加了解這個文件系統，更有效地使用、管理Windows 2000計算機。
（注：本文中筆者將用Windows 2000代表所有運行在NTFS5文件系統的操作系統，如Windows2000、Windows XP、Windows Server 2003等。而文章中出現的NTFS，如沒特別說明，均表示NTFS5.0或以上版本。）

目錄：

•  NTFS5文件權限特性
•  NTFS5數據壓縮特性
•  NTFS5數據加密特性
•  NTFS5磁盤配額特性 權限特性：

1．NTFS文件權限特性：

NTFS可以選擇的文件權限：

NTFS分區中，每一個文件以及文件夾NTFS都存儲一個訪問控制列表，訪問控制列表包含所有被許可的用戶帳戶、組和計算機。ACL一定包含一個叫做"訪問控制項"的項（訪問控制項，ACE）。如果在文件或文件夾的訪問控制列表中經過驗證沒有相應的訪問控制項，則對文件的訪問會被拒絕。
我們用NTFS權限來指定哪個用戶、組合計算機可以在哪個程度上對特定的文件和文件夾進行訪問、作出修改，對于文件，我們可以賦予用戶、組和計算機以下權限：
讀：可以讀取文件，查看文件的屬性、所有者以及權限。
寫：可以寫入數據、覆蓋文件、修改文件屬性，以及查看文件權限和所有權。
讀和運行：可以讀取文件，查看文件的屬性、所有者、權限，還可以運行應用程序。
修改：可以讀取并寫入/修改文件，查看并更改文件的屬性、所有者、權限，還可以運行應用程序以及刪除文件。
完全控制：對文件的最高權力，在擁有上述其他權限所有的權限以外，還可以修改文件權限以及替換文件所有者。
對于文件夾，我們可以賦予用戶、組和計算機以下權限：
讀：讀取文件和查看子文件夾，查看文件夾屬性、所有者和權限。
寫：創建文件夾、修改文件夾屬性、查看文件夾權限和所有者。
List Folder Contents(列出文件夾內容):查看此文件夾中的文件和子文件夾。
讀和運行：遍歷文件夾，查看并讀取文件和查看子文件夾，查看文件夾屬性、所有者和權限。
修改：除了查看并讀取文件和查看子文件夾、創建文件和子文件夾、查看和修改文件夾屬性、所有者和權限以外，還可以刪除文件夾。
完全控制：文件夾的最高權限，在擁有上述所有文件夾權限以外，還可以修改文件夾權限、替換所有者以及刪除子文件夾。
除此之外，NTFS還有一些特殊權限，圖1顯示了這些特殊權限的名稱。

圖1
其中比較重要的是Change Permission和Take Ownership，通常情況下，這兩個特殊權限要慎重使用，一旦賦予了某個用戶Change Permission權限，他便可以改變相應文件或者文件夾的權限設置，同樣，一旦賦予了某個用戶Take Ownership權限，他便可以做為文件的所有者，對文件作出查閱并更改。
默認情況下，Windows 2000賦予每個用戶對于NTFS文件和文件夾的完全控制權限。

NTFS文件權限的繼承：

在NTFS分區中，權限是可以繼承的，通常情況下，文件夾中的文件和子文件夾是要繼承父文件夾的權限的。如果文件夾中的文件和子文件夾繼承了父文件夾的權限，在查詢子文件夾權限的時候，繼承下來的項的權限設置以灰色顯示，并不能更改（如圖2）。
圖2
我們可以通過文件（夾）屬性中的安全選項卡，不選擇“Allow Inheritable permissions from parent to propagate to this object.”即可取消繼承，但是，當我們取消選擇一項時，會彈出一個對話框，如圖3。單擊COPY保留父文件夾繼承下來的權限，并在以后不再繼承；單擊Remove刪除從父文件夾繼承的權限，并不再繼承。

圖3
當我們在NTFS分區內、分區間拷貝文件或者在NTFS分區間移動文件或文件夾時，文件或文件夾將繼承目標文件夾的權限。而當我們在同一NTFS分區內移動文件或文件夾時，權限將被保留。
無論是將文件或文件夾復制還是移動到FAT分區，所有權限信息將丟失。

文件權限比文件夾權限更加高

NTFS文件是具有最高權限的，例如用戶A對一個文件有讀、寫的權限，而A對于這個文件所在的文件夾只有讀權限，但是最終，A對這個文件，還是擁有讀、寫的權限。

允許和拒絕：

在NTFS文件（夾）權限中，拒絕永遠優先于允許，由于NTFS權限是累積的，即如果一個用戶同時在兩個組中，并對于同一文件（夾），管理員同時對這兩個組都賦予了不同的權限，那么這個用戶將擁有這兩個組的權限的并集，所以，如果這個用戶屬于的一個組有Read權限，而他屬于的另一個組的READ權限處于“拒絕”狀態，他是沒有讀取權利的。

2．NTFS數據壓縮特性

NTFS文件系統提供了數據壓縮的功能，我們可以壓縮不常使用的數據從而節省磁盤空間。這種壓縮對于用戶是透明的，當我們訪問一個使用NTFS壓縮的文件夾時，并看不到解壓縮的過程，然而，每當我們對壓縮文件或文件夾進行訪問時，系統在后臺自動解壓縮數據，當我們訪問結束后，系統再自動壓縮數據。

NTFS數據壓縮的使用方法：

1． 右鍵單擊文件或文件夾，單擊“屬性”，出現圖4所示屬性對話框。
2． 單擊“高級”按鈕，出現圖5所示高級屬性對話框。
圖5
3． 選擇“壓縮內容以便節省磁盤空間”，然后單擊確定回到“屬性”對話框。
4． 單擊“確定”關閉屬性對話框并使設置生效。
5． 如果正在將文件夾設定壓縮屬性，系統會出現“確認屬性更改”對話框，如圖6，選擇“僅將更改應用于該文件夾”，系統將只將文件夾設置為壓縮文件夾，里面的內容并沒經過壓縮，但是以后在其中創建的文件或文件夾將被壓縮。選擇“將更改應用于該文件夾，子文件夾和文件”，文件夾內部的所有內容被壓縮。

圖6
6． 在Windows XP中，系統將自動將壓縮的文件夾用藍色顯示，以便區分，如圖7。在Windows 2000中，需要在“文件夾選項”中進行配置才能實現這種效果。
圖7
NTFS數據壓縮的繼承：
無論是將壓縮了的文件夾復制到同一個還是不同的NTFS分區，或者移動到不同的分區，都將繼承目的地文件夾的壓縮情況，只有在同一NTFS分區內進行移動，壓縮文件夾保留壓縮屬性。
無論將壓縮文件夾復制還是移動到FAT分區，壓縮屬性必定丟失。

3．NTFS數據加密特性：

NTFS的數據加密特性稱作加密文件系統EFS，我們可以用EFS加密在NTFS分區中的數據，Windows 2000、XP專業版以及Windows Server 2003都支持EFS，但是，Windows XP家庭版是不支持它的。EFS是一個透明的文件加密服務，它是以公共密鑰加密為基礎，使用CryptoAPI架構。EFS提供可選的數據恢復能力，系統管理員可以恢復另一用戶加密的數據。EFS也可以實現多用戶（當然是被許可的用戶）共享存取一個已經加密的文件夾

EFS的使用：

利用EFS進行文件（文件夾）加密：

1. 右鍵單擊文件或文件夾，點擊屬性。
2. 在彈出的屬性對話框中單擊高級。
3. 在彈出的高級屬性對話框中，選擇“加密內容以保護數據”，然后單擊確定。
4. 單擊確定關閉屬性對話框并保存設置。
5. 如果是對文件夾進行加密，會出現“確認屬性更改”對話框。選擇“僅將更改應用于該文件夾”，系統將只將文件夾加密，里面的內容并沒經過加密，但是以后在其中創建的文件或文件夾將被加密。選擇“將更改應用于該文件夾，子文件夾和文件”，文件夾內部的所有內容被加密。
6. 確定即可。

利用EFS進行文件（文件夾）解密：

1. 右鍵單擊文件或文件夾，點擊屬性。
2. 在彈出的屬性對話框中單擊高級。
3. 在彈出的高級屬性對話框中，去掉對“加密內容以保護數據”的選擇，然后單擊確定。
4. 單擊確定關閉屬性對話框并保存設置。
5. 如果是對文件夾進行解密，會出現“確認屬性更改”對話框。選擇“僅將更改應用于該文件夾”，系統將只將文件夾解密，里面的內容并沒經過解密，但是以后在其中創建的文件或文件夾將不被加密。選擇“將更改應用于該文件夾，子文件夾和文件”，文件夾內部的所有內容被解密。
6. 確定即可。

4．NTFS的磁盤配額特性：

在Windows 2000/xp中，系統的NTFS5支持磁盤配額，來控制用戶在服務器中的磁盤用量，當用戶使用了一定的服務器磁盤空間以后，系統可以：1.發出警告; 2.禁止用戶對服務器磁盤的使用; 3.將事件記錄到系統日志中。這樣，域中的用戶便不可隨意使用服務器磁盤空間、在服務器磁盤中存放過期的、雜亂的個人文件了。當然，磁盤配額在個人計算機中也可使用，并可使磁盤管理更加方便。

要啟用磁盤配額：

1. 打開資源管理器，右鍵單擊磁盤盤符，點擊“屬性”。
2. 單擊“配額”選項卡，并選擇“啟用磁盤配額”，如圖8。

限制卷中所有用戶的磁盤使用：

選擇“拒絕將磁盤空間給超過配額限制的用戶”，并在下面的默認磁盤限制中選擇“限制磁盤空間到…”，在后面的框中輸入此卷的每個用戶可用的空間量，可以在下面的警告級別中設定當用戶使用到多少空間時進行警報。

事件記錄：

可以設定系統當用戶對磁盤的用量達到（超過）限制量（警告值）的時候進行事件記錄，雖然可以同時讓系統記錄事件以及禁止超額的磁盤使用，但是這是無意義的，通常，設定了拒絕用戶使用超額磁盤空間就不必設定記錄事件日志。
選擇“Log event when a user exceeds their quota limit”，來在用戶超過用量時記錄事件日志。
選擇“Log event when a user exceeds their warning level”，來在用戶超過警告閥值時記錄事件日志。
針對特定用戶的磁盤配額：
大多數時候，我們分配對于企業中每個用戶分配的磁盤空間是不等的，這樣，假如像上述一樣簡單選擇磁盤空間限制便無法達到我們的要求，所以，我們要通過編輯“Quota Entries…”來進行對特定用戶磁盤用量限制進行編輯：
1. 打開磁盤屬性à配額à啟用磁盤配額à單擊Quota Entries…按鈕，如圖9。

圖9
2. 系統出現Quota Entries For …（X:）對話框(省略號處為您的磁盤卷標)。
3. 單擊“Quota”à “New Quota Entry…”。
4. 出現選擇用戶對話框，輸入一個想配置磁盤配額的用戶，然后單擊確定。
5. 系統彈出“Add New Quota Entry”對話框，如圖10。

6. 選擇并設置“Limit disk space to”和“Set warning level to”，來設定特定用戶的磁盤用量以及警告閥值，然后單擊“確定”。
7. 如果想設定其他用戶，使用同樣的方法即可。
Windows 2000磁盤配額是我們更加容易地管理服務器的磁盤，使一個很好的工具。需要注意的是，磁盤管理計算的是非壓縮的使用量，即使您在相應的磁盤中存儲了一個壓縮文件，在計算您的使用量時仍然以解壓縮后文件的大小計算；第二點，Windows 2000磁盤配額按照所有者計算文件，只有在相應卷內所有者是您的文件才會被記入您的磁盤空間用量中。第三點，對于不同的磁盤分區，Windows2000分別記錄磁盤用量，而不是計算磁盤總用量。

結論

本文簡單概述了NTFS5的幾個主要特性，旨在讓用戶了解NTFS5的種種優越性，在使用Windows 2000/xp/server 2003的時候優先考慮使用NTFS格式化磁盤，并理解這些設置的實際意義。NTFS5的這些特性不但提高了系統的安全性以及便利性、有效性，還降低了總投入，了解這些特性，對日常的服務器或者計算機管理十分有益。

參考信息：

1. 磁盤配額，Kathy Ivents，Windows & .net Magazine 國際中文版，2003年第3期。
2. Encrypting File System概述，閆諾，微軟中文社區，2002-12-20。,

原文轉自：http://www.kjueaiud.com