Windows NTFS文件系统详解

海豚

（一）Windows文件系统简介
一：簇
    我们知道一个新硬盘在使用之前，首先要创建分区或卷，然后再格式化才可以使用。格式化就好象是在一张纸上打格子，这些打好的格子，就是簇。簇的特点是：每一个文件存储时，都必须要以一个新簇开头。

二：FAT16
    这是较老的一种文件格式，是用于16位的操作系统之上，它的特点是：分区越大，簇也随之增大。
假如一个簇（格子）的大小为4KB，我们要存放一个6KB大小的文件，那么这个文件实际要占用8KB的空间，即占用2个簇。第一个簇被占满，而第二个簇只使用了2KB，另外2KB的空间实际上是被闲置了。这时假如再存放一个6KB的文件，它不能接着上面闲置的2KB空间继续存放，每一个文件都要以一个新簇开始。于是这个文件又占去了8KB的空间。这样，两个6KB的文件的实际占用空间是16KB
可见簇越大，越浪费空间。在FAT16文件系统中，如果一个分区的大小超过2GB的话，那么一个簇的大小是64KB，也就是说，既使你只存放一个1KB的文件，它实际也要占用64KB的硬盘空间。FAT16文件系统是非常浪费空间的。
如果使用FAT16文件系统，一个分区最好不要超过2GB，推荐小于256MB，这样一个簇的大小小于4KB。

三：FAT32
FAT32是32位文件系统，推荐FAT32每个分区小于32GB，这样每个簇的大小小于4KB，节约空间。

四：NTFS
每个簇最大4KB，并且在格式化的时候，可选择簇的大小。非常节约空间。

五：NTFS文件系统的特点
    （a） 安全性好
（b） 簇小，节约空间
（c） 支持活动目录（AD）
（d） 支持文件加密系统（EFS）
（e） 不支持软盘
（f） 支持文件许可（Permission）

六：文件格式的转化
FAT转到NTFS的命令格式如下：
Convert c:/fs:ntfs
Convert为格式转换命令，c:代表要转换格式的分区（盘符）。如果是系统盘，需要重新启动计算机，非系统盘不用重启。NTFS转到FAT或FAT32是不支持动态转换的，只能重新格式化，这样数据会全部丢失。

                    
                       （二）NTFS文件系统

    WindowsNT4.0是使用NTFS4.0的文件系统，Windows2000使用的是NTFS5.0的文件系统。其实这也是Windows2000也叫做WindowsNT5.0的原因。本文主要讲的是NTFS5.0

一：文件许可（Permission）
许可又称权限，是基于资源（Resource）的。它和用户的权力(Right)是不同的。
权力（Right）,是为用户设置的，它存储在系统中，对用户权利所做的修改，需用户重新登录才可生效。可通过组策略编辑器（gpedit.msc）---计算机配置---Windows设置---安全设置---本地策略---用户权利分配，来查看和修改本地用户和组的权利。
许可（Permission），是基于资源的（如：文件，打印机等），它记录在资源的访问控制列表（ACL）中，对资源许可的修改，是即时生效的，它不需要用户重新登录系统。（注：对资源的许可，记录的是用户的安全标识符SID，而不是单纯的用户名）。

二：许可的继承
许可是可以继承的，默认状态，子目录或文件都会继承父目录的许可。许可实际上是被复制到底层的所有对象上的。
当然，也可以修改文件或目录对许可的继承。假如在D盘上（必需是NTFS文件系统）有这么一个目录：
D:abc1.txt 那么许可的继承关系是：1.txt文件继承c目录上所做的许可，c继承b,b继承a。现在在c目录上做一些许可的修改，并让它不再从b目录继承许可。只要将c目录属性---安全性上将“从上级目录继承许可”这个选项前的对勾去掉就可以了。经过这样修改以后，许可的继承关系就变成了：1.txt仍然继承c目录上的许可，c不再继承b，b仍然继承a。

三：NTFS文件系统许可的种类

（a） 读（Read）
（b） 读和运行（Read&Execute）
（c） 写（Write）
（d） 修改（Modify）
（e） 完全控制（Full Control）
（f） 特殊的许可
它们对应的许可操作如下：
读---可以读取文件，查看文件属性，查看文件所有者及许可内容。
读和运行---除了具有读的许可外，还可以运行程序。
写---改写文件，改变文件属性，查看文件所有者和许可内容。如果是文件夹，还可创建文件及子文件夹，但不可以删除文件。
修改---除了具有Read&Execute和Write的许可外，还可以修改和删除文件。
完全控制---除具有以上全部许可外，还可以修改许可的内容及获取文件所有权。

四：关于许可的几个举例
（a） 假如我们对一个文件的许可设置为Everyone Full Control Deny(拒绝任何人访问)，那么包括管理员对它也不能读写，访问，谁也无法打开这个文件。
（b） 假如设User1对文件具有读的许可，而其它的许可都没有设定，会出现什么情况呢？管理员能不能访问此文件呢？答案也是不可以的，因为没有对管理员的许可做任何设置，默认为空， 所以管理员也不可以访问。
由此可见，在许可面前，管理员是没有任何特权的，他象其它用户一样，会受到许可的限制。（但管理员在系统中具有最高的权利，它还是可以通过“改变文件所有者”来访问这个文件的。）

五：特殊的NTFS许可
在许可的高级属性页面中，可以看到Full Control许可在详细许可中多了两个小的许可：
Change Permission---修改许可
Take Ownership---获得所有权
（a）Change Permisson（修改许可的许可）：只有具有此许可的权限，才可以修改文件许可的内容。一般来说你得到文件的完全控制权，就具有此许可。
（b）Take Ownership（获得所有权的许可）：所有者（Owner）是指对象是属于谁的。对象的所有者具有对象的完全的操作权限，文件的所有者可以对文件无条件进行许可的操作。在文件的属性---安全性---所有者，可以查看该文件的所有者是谁。
“获得文件所有权”操作的目的，是把当前登录者变为文件的所有者，只有具有此许可的用户才可以进行此操作，比如说Administrators组的成员。
但管理员也只能把文件的所有者改变成自己的，而不能Ownership成某一个用户的。如果要将文件的所有者改变成其它用户的，只能由管理员赋于相应用户Full Control许可（其实主要是Take Ownership许可），然后用户自己登录系统，将文件的所有者改变成自己的。
管理员本地组（Administrators）的成品都可以进行Take Ownership的操作，那么得到这个文件所有权的，不是管理员自己，而是管理员组的所有成员。

                       
                         （三）ACL和ACE

ACL---Access Control List(访问控制列表)
ACE---Access Control Entry(访问控制记录)

一：我们修改文件许可的时候，其中有许多的细节，如文件属性安全页中的高级扭，点击就可以看到许多详细内容，这就是访问控制列表。文件的许可就是体现在ACL和ACE上的。我们对许可进行修改的时候，其实就是在修改ACL和ACE。

二：如果许可发生冲突怎么办？
这就是ACL原则，它的内容是：
（a） NTFS Permission are Cumulative 即：多个用户组被赋于不同的许可是累加的。
（b） File Override Folder Permission 即：文件的许可优先于目录的许可，也就是说，底层设的许可优先。
（c） Deny Override Other Permission 即：拒绝访问许可优先。

三：举例
假如一个用户，同时属于Users组和Administrators组，在两个组中的许可分别是这样设置的：
（1） 在User组中，对a文件具有“读”许可。
（2） 在Administrators组，对a文件具有“完全控制”许可。
（3） 在User组中，对b文件具有“拒绝访问”许可。
（4） 在Administrators组，对b文件具有“完全控制”许可。
     那么这个用户对a和b文件的最终得到的许可是什么呢？答案是对a文件具有“完全控制”的许可，即许可累加原则；对b文件的不可访问的，即拒绝优先原则。
以上1-4条，每一条就是一个访问控制记录（ACE），它们共同构成了一个访问控制列表（ACL）

            
                （四）文件拷贝和移动对许可的影响

一：拷贝
文件拷贝后，新文件会继承目标文件夹的许可。

二：移动
（1） 不同分区之间的移动，许可会跟着目标文件夹的许可变化。
（2） 同分区之间的文件移动，许可不变。
原因是文件拷贝和不同分区间的移动会存在一个创建新文件的过程，而同分区的文件移动，不存在创建新文件的过程。

三：当从一个NTFS分区向一个FAT分区拷贝或移动文件时，文件的许可将会全部丢失，因为FAT文件系统不支持文件的许可。

                     
                       （五）NTFS文件的压缩

在NTFS文件系统下，可对文件进行压缩，以节省磁盘空间。具体操作如下：
文件属性（Property）---常规（General）---高级（Advanced）---压缩文件的内容以节省空间（Compress Contents to Save Disk Space）
NTFS文件压缩只需指定文件以压缩方式存储即可，而不用管其压缩的原理，在访问该文件时，依然以政党的方式去访问，访问时速度可能会慢一些，这是因为系统要先进行解压操作。
在压缩时，可以指定压缩一个子目录，则该子目录下的所有文件都会被压缩，在压缩时，可以指定不同的颜色来显示压缩文件。
当压缩文件拷贝时，是按照文件没有压缩时的大小申请磁盘空间的，拷贝的过程是系统先将文件解压，然后把解压后的文件拷贝到目的磁盘，拷贝完成后再进行压缩。如果目的磁盘没有足够的空间存放非压缩的文件，系统会显示一个出错信息，指示没有足够的磁盘空间。
加密的文件或文件夹是不能压缩的，同样，压缩的文件也不能进行NTFS加密。
与NTFS文件许可一样，同分区内移动文件，压缩属性不变；不同分区移动或拷贝，压缩文件将继承目标文件夹的压缩属性。
也就是说，将一个经NTFS压缩的的文件，移动到不同分区的一个无压缩的目录中，此文件将会自动被解压。
在压缩文件时，应尽量压缩一些容易被压缩的文件类型，如.bmp ；.doc ；.txt等。不要压缩那些压缩过的文件类型，如mp3等。



                   （六）NTFS文件加密（EFS）

EFS---Encrypting File System（加密文件系统）

一：NTFS文件许可有其自身缺陷，那就是它只在本机上生效，如果把硬盘换到另一计算机上，即换一个操作系统，则所有的许可就会无效。而EFS对文件内容进行加密，，即使换一个操作系统，也不能对其访问。EFS为NTFS文件提供文件级别加密。EFS加密技术是基于公共密钥的系统，它作为一种集成式服务系统运行，并由指定的EFS恢复代理启用文件恢复功能。

二：具体操作
在需要加密的文件上点击右键---属性（Property）---常规（General）---高级（Advanced）---加密文件以保护数据（Encrypt Contents to Secure Data）

三：EFS的功能特点
（1） 它是在后台运行的，对用户和应用程序来说是透明的，即加密，解密的过程是由系统来完成的。
（2） 只有被授权的用户才能访问加密文件。
（3） 管理员可以指定个恢复代理，用以恢复加密的文件，恢复代理在默认情况下就是管理员。

四：关于加密文件的几个注意事项
（1） 多个用户之间是不能共享加密文件的。
（2） 加密文件在拷贝到FAT分区后，加密属性丢失。但并不是任何人都可以对加密文件进行拷贝操作的，只有能够读取加密文件的用户才可以进行拷贝。
（3） 加密文件在拷贝或在网络上传输时，是先解密，再传输，再加密的。也就是说加密文件在拷贝和传输时，是以解密状态进行的。
（4） NTFS文件加密和压缩是互斥的，二者不能同时采用。
（5） EFS加密是基于用户SID的，而不是基于用户名。假如User1用户对一个文件进行了加密操作，后来这个用户被删除了，重建一个User1用户是不能访问这个加密文件的。
（6） 采用EFS文件加密后，一定要记得导出用户的加密密钥，以防不测。

               
                  （七）关于共享文件夹的几个小问题

（小提示：在计算机的运行中键入需要查找的目标计算机名，即可快速查看该计算机的共享目录。如输入：\\Computer1）

一：只能共享文件夹和磁盘，不能共享文件。

二：必须是Administrators ，Server Operators和Power User组的成员才可以进行共享操作。

三：共享文件夹的许可
    共享许可和NTFS文件许可稍有差别。
（1） Read（读）---可读取其中内容执行程序。它相当于NTFS文件系统中的Read&Execute许可。
（2） Change（修改）---可在共享文件夹内创建新的文件夹和文件，修改文件夹中的数据，向文件中追加数据，修改文件属性，删除文件夹和文件，以及Read的所有权限。它相当于NTFS文件系统中的Modify许可。
（3） Full Control（完全控制）----修改文件许可，获得文件所有权，以及Read和Change的所有权限。这个NTFS文件系统中的Full Control许可是一样的。

四：共享文件夹被拷贝后，共享不会被拷贝；共享文件夹被移动后，共享丢失。

五：共享许可冲突的解决：
（1） 多个不同的共享许可是累加的，这时应取大。
（2） 拒绝访问许可优先。
以上两条与NTFS文件许可是一样的。
（3） 当共享许可与NTFS文件许可冲突时，这时应取小。

六：举例
（1）共享许可：Everyone---Full Control Allow
     共享许可：User1---Change Allow
根据共享许可是可以累加的，这时User1用户的实际许可是Full Control，因为User1也是属于Everyone(任何人)组的。
（2）共享许可：Everyone---Full control Allow Deny
     共享许可：User1---Change Allow
根据拒绝访问优先的原则，这时User1用户无法访问此文件夹。
（3）共享许可：Everyone---Full Control Allow
     NTFS许可：Everyone---Read Allow
这时网络上的用户访问此共享文件夹时是一个取小的关系，即只可读取此共享文件夹的内容。