ET星人

点击下载：中级计算机系统操作工复习资料

请大家自行下载，认真完成上面的操作题。

1.什么是静态IP地址和动态IP地址？

2.什么是DHCP？它有什么作用？

3.什么是DNS？它的作用又是什么？

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

以上三个作业是预习作业，请做在作业本上。

NTFS权限是做什么的呢？

当一个用户试图访问一个文件或者文件夹的时候，NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。

完全控制：对文件或者文件夹可执行所有操作。
修改：可以修改、删除文件或者文件夹。
读取和运行：可以读取内容，并且可以执行应用程序。
列出文件夹目录：可以列出文件夹内容，此权限只针对文件夹存在。
读取：可以读取文件或者文件夹的内容。
写入：可以创建文件或者文件夹。
特别的权限：其他不常用权限，比如删除权限的权限。
所有权限都有相应的“允许”和“拒绝”两种选择。

新建的文件或者文件夹都有默认的NTFS权限，如果没有特别需要，一般不用改。
文件或者文件夹的默认权限是继承上一级文件夹的权限，如果是根目录（比如c:\）下的文件夹，则权限是继承磁盘分区的权限。

NTFS权限的应用规则

下面尽量简单明了的讲一下NTFS权限的应用规则，这可是比较麻烦的地方。

1．  权限的组合。

如果一个用户同时在两个组或者多个组内，而各个组对同一个文件有不同的权限，那么这个用户对这个文件有什么权限呢？

简单的说，当一个用户属于多个组的时候，这个用户会得到各个组的累加权限，但是一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。

举例来说：
假设有一个用户WZ，如果WZ属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，WZ自己对此文件有修改权限，那么WZ对此文件的最终权限为读取+写入+修改权限。

假设WZ对文件有写入权限，A组对此文件有读取权限，但是B组对此文件为拒绝读取权限，那么WZ对此文件只有写入权限。这里就还有一个小问题了，WZ对此文件只有写入权限，但是没有读取权限，那么，写入权限有效么？答案很明显，WZ对此文件的写入权限无效，因为不能读取怎么写入？连门都进不去，怎么把家具搬进去？

2、权限的继承。

这里我不想做过多说明，因为我认为这是初学者不用过多了解的东西。只要知道新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，但是从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。也就是不能把权限上的勾去掉（因为你去不掉），只能添加新的勾。

当然这并不是绝对的，只要你的权限够，比如你是管理员，你也可以把这个继承下来的权限修改了，或者让文件不再继承上一级目录或者驱动器的NTFS权限。

3、权限的拒绝

这个很简单，只要记住，拒绝的权利是最大的就行了。无论给账户或者组了什么权限，只要在拒绝的这一栏里有勾，那么被拒绝的权限就绝对有效。这里如果不明白，看上面权限的组合里的例子。

4、移动和复制操作对权限的影响

这里一共有四种情况，移动和复制文件（夹）到同一或者不同分区内。只需要记住，只有移动到同一分区内才保留原来设置的权限，否则为继承目的地文件夹或者驱动器的NTFS权限。

共享权限： 

共享权限只有三种：读取、更改和完全控制。Windows Server 2003默认的共享文件设置权限是Everyone用户只具有读取权限。Windows 2000 默认的共享文件设置权限是Everyone用户具有完全控制权限。

下面解释一下三种权限：

1、  读取。读取权限是指派给Everyone组的默认权限。
a、  查看文件名和子文件夹名。
b、  查看文件中的数据。
c、  运行程序文件。

2、  更改。更改权限不是任何组的默认权限。更改权限除允许所有的读取权限外，还增加以下权限。
a、  添加文件和子文件夹。
b、  更改文件中的数据。
c、  删除子文件夹和文件。

3、  完全控制。 完全控制权限是指派给本机上的Administrators组的默认权限。完全控制权限除允许全部读取及更改权限外，还具有更改权限的权限。

和NTFS权限一样，如果赋予某用户或者用户组拒绝的权限，该用户或者该用户组的成员将不能执行被拒绝的操作。

最后在说一下共享权限和NTFS权限的组合权限。

共享权限只对通过网络访问的用户有效，所以有时需要和NTFS权限配合（如果分区是FAT/FAT32文件系统，则不需要考虑），才能严格的控制用户的访问。当一个共享文件夹设置了共享权限和NTFS权限后，就要受到两种权限的控制。

如果希望用户能够完全控制共享文件夹，首先要在共享权限中添加此用户（组），并设置完全控制的权限。然后在NTFS权限设置中添加此用户（组），也设置完全控制权限。只有两个地方都设置了完全控制权限，才最终有完全控制权限。

当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束，而有效权限是最严格的权限（也就是两种权限的交集）。而当用户从本地计算机直接访问文件夹的时候，不受共享权限的约束，只受NTFS权限的约束。

同样的，这里也要考虑到两个权限的冲突问题，比如，共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。这是因为这两个权限的组合权限是两个权限的交集。

了解NTFS和共享权限
作者： 编译自：techrepublic.com.com

NTFS和共享级别权限都将影响用户获取网上资源的能力，所以应对两者的特点及其需要解决的问题有个清晰的了解。

管理权限问题和排除权限方面故障的工作非常具有挑战性，尤其是当所有的事情看来似乎都很正常的时候，上述两个工作就显得尤其重要。

NTFS与共享权限
关于Windows系统共享问题最大的困扰是，NTFS和共享级别权限都会影响用户访问网络资源的能力。需要强调的是在Windows XP、Windows server 2003以及后续的Windows版本中，系统所默认的共享权限都是只读。这样通过网络访问NTFS所能获得的权限受到了限制。

区分NTFS和共享许可最好是把共享许可看作是一个资源登录点。只有在共享权限提供了修改或允许全部控制之后，这类NTFS权限才能够使用。

我们可以将共享级别和NTFS权限类比为管理，可以这样理解：共享权限是NTFS权限的网络登录点。当通过共享使用某一网络资源的时候，共享权限规定了用户从总体上可以通过共享实现哪些功能。NTFS权限则针对的是具体的文件和文件夹。在排查问题的时候，应该确定共享级别是否是造成问题的原因。

避免嵌套共享
同时要解决NTFS和共享权限两个问题会让人绞尽脑汁。应该在你的文件结构中避免使用嵌套共享，因为如果通过不同的共享来访问同样的网络资源，就可能会产生冲突，尤其是当共享权限不同的情况下，会带来很多麻烦。嵌套共享是指一个共享文件夹在另一个独立共享文件夹中。当然，对默认隐藏共享（C盘、D盘等），其他所有的共享都嵌套在它们之下，他们都是默认共享的。可是，如果用户使用两个独立非隐藏共享，而且都是嵌套的，就会引起共享冲突。

使用CACLS和XCACLS
可以用CACLS和XCACLS来收集文件信息，这些信息反映了所配置的NTFS权限。这些工具可以提供关于特定文件和文件夹权限的数据。NTFS授权和ACL（访问控制列表）之间有什么区别呢？NTFS是通过Windows Explorer管理器或自动机制为文件和文件夹授权，而ACL（通过这些工具）是显示或者管理是否允许对同样的资源进行文件操作。

当然，也可以在一个脚本风格的模板中，通过CACLS及XCALS增加或移除NTFS授权。所以，如果需要进行大量的授权调整，就可以考虑使用这些工具。

对需要使用独特NTFS权限的重要共享文件或文件夹，最好对文挡使用CACLS.EXE工具，对独立的文件或文件夹使用ACL工具，或者人工进行操作。但是要小心：你很容易在提示符后面输入“CACLS * /T”这样的命令。它非常耗占系统资源，甚至在一些情况下可让CPU使用达到100%。一个大的递归ACL编辑能够大大减少操作时间。在为大文件夹建立新的NTFS授权时，情况也类似。

区别基本和特定NTFS授权
特定授权为特定的访问请求提供了更多的灵活性。但是我们必须知道，特定授权会增加NTFS授权的复杂程度和管理难度。因此，最好只在需要的时候使用特定授权。不过在一些场合确实需要使用特定授权。

提示：在解决问题的时候应当考虑到特定授权。每个管理员都会面临着拥有不同权限应用——共享授权、NTFS授权、组成员、多用户帐户等等。快速查看一下特定授权能够让管理员快速确认它们是否是造成问题的原因。

将授权不同的资源分开放置
如果情况允许，最好能够将需要特定授权的资源同其他需要特定授权的资源区分开，或者放在不同的文件夹中。在同一个位置混合使用不同的授权会增加管理的难度。

理解授权继承
在Windows Server 2003和2000系统中，权限继承是NTFS权限的默认属性。这种功能在NTFS中，一个文件夹的权限可以被应用于整个文件夹中所包含的内容，无论这些内容是文件还是另一个文件夹。

如果使用的是默认状态，继承很容易被理解。但是如果继承被阻止了，解决问题的时候就会困难得多。难点在于要弄清楚子文件夹是否继承了母文件夹的权限。在解决这类问题的时候，最好是从根目录开始，按照文件夹结构进行查找。

慎重清除权限继承
如果要清除某个文件夹的NTFS权限继承，将面临着两个选择：复制和移除。复制将影响到子对象，并根据母文件夹的NTFS权限进行权限分配。移除则会清除掉所有默认的NTFS权限，包括管理员、用户、创建者、所有者、系统等等，从组或者用户名列表中被清除掉。在使用移除方式的时候需要特别谨慎。

不要逃避问题
在解决权限问题的时候，最大一个错误就是让某人成为管理员或者授予太多的权限，希望以此解决授权问题。简单地将更多的权力赋予一个用户并不能够解决问题，应该找到问题的真正原因，并找出最佳解决方案。

永远不要过度授权
一个常见的错误是授予组成员太多的权力。特别是在使用动态目录的时候，一个清晰的组织结构和访问请求定义将会实现良好的用户或组管理。防火墙是非常必要的。很多授权并不会造成故障，但是难免会发现一个组或者成员会这样做。

组成员是最常见的过度授权或授权不足的用户。特别是在使用了域的情况下。使用Effective Permissions工具可以看到访问的结果，这取决于使用动态目录的组成员。尽管它并不直接地显示NTFS授权，还是可以检查每个组成员的情况，帮助解决NTFS的权限问题。

知道如何使用复制和移动
标准的复制和移动操作会按照默认的方式处理你配置的权限，或保持或破坏。记住这点的一个好办法是了解复制操作将为目标文件创建的权限，而移动操作将会维持原文件的权限。具体操作是：CC/MM——CopiesCreate/MovesMaintain or CopiesCreate/MovesMake。

当然，有些时候我们需要复制一些资源，但希望保持NTFS权限。这个时候SCOPY就要让位于XCOPY，你可以使用/O和/X参数来实现这一功能。使用带有这些参数的XCOPY，允许复制操作将文件或文件夹复制到一个新位置，并保持原来的NTFS权限。

权限是具有继承性、累加性 、优先性、交叉性的。
   
　　继承性是说下级的目录在没有经过重新设置之前，是拥有上一级目录权限设置的。这里还有一种情况要说明一下，在分区内复制目录或文件的时候，复制过去的目录和文件将拥有它现在所处位置的上一级目录权限设置。但在分区内移动目录或文件的时候，移动过去的目录和文件将拥有它原先的权限设置。
   
　　累加是说如一个组GROUP1中有两个用户USER1、USER2，他们同时对某文件或目录的访问权限分别为“读取”和“写入”，那么组GROUP1对该文件或目录的访问权限就为USER1和USER2的访问权限之和，实际上是取其最大的那个，即“读取”+“写入”=“写入”。 又如一个用户USER1同属于组GROUP1和GROUP2，而GROUP1对某一文件或目录的访问权限为“只读”型的，而GROUP2对这一文件或文件夹的访问权限为“完全控制”型的，则用户USER1对该文件或文件夹的访问权限为两个组权限累加所得，即：“只读”+“完全控制”=“完全控制”。
   
　　优先性，权限的这一特性又包含两种子特性，其一是文件的访问权限优先目录的权限，也就是说文件权限可以越过目录的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其它权限，也就是说“拒绝”权限可以越过其它所有其它权限，一旦选择了“拒绝”权限，则其它权限也就不能取任何作用，相当于没有设置。
   
　　交叉性是指当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是取两个权限的交集，也即最严格、最小的那种权限。如目录A为用户USER1设置的共享权限为“只读”，同时目录A为用户USER1设置的访问权限为“完全控制”，那用户USER1的最终访问权限为“只读”。