Служба файлов и печати

Файловая система NTFS

NTFS была разработана специально для систем, базирующихся на технологиях Windows NT. Она имеет ряд серьезных преимуществ по сравнению с файловыми системами типа FAT:

• отказоустойчивость (способность к восстановлению; все операции с файлами обрабатываются как транзакции — любое действие с файлом либо завершается до конца, либо, в случае сбоя, файл возвращается в исходное состояние);
• управление доступом к папкам (каталогам) и файлам;
• аудит доступа к файловым ресурсам;
• сжатие и разреженные файлы;
• квоты на дисковое пространство;
• шифрование.

В отличие от FAT, в NTFS нет специальных разделов на томе, в которых отражается файловая структура данного тома. В NTFS все данные хранятся в файлах, в том числе и информация о файлах и папках.

На томе NTFS есть несколько файлов, они скрыты от администратора, в которых описана файловая структура тома. Основной файл, в котором отражена файловая структура, — Главная файловая таблица ( master file table, MFT ). Имена файлов, описывающих том NTFS, начинаются с символа $. Перечислим некоторые из них:

• $Mft — таблица MFT;
• $MftMirr — зеркальная копия MFT;
• $LogFile — журнал транзакций;
• $Bitmap —карта распределения кластеров тома;
• $Quota — файл пользовательских квот тома.

В NTFS нет разделения на атрибуты (свойства) файла и данные. Вся информация, связанная с файлом, хранится в тех или иных атрибутах. Содержимое файла является одним из атрибутов этого файла. Например, имя файла хранится в атрибуте $FILE_NAME, данные — в атрибуте $DATA.

Таблица MFT состоит из записей о файлах, размер записи — 1 КБ, каждый файл в MFT — набор атрибутов. Маленькие файлы (до 1 КБ) целиком помещаются в одной записи MFT. Для больших файлов в записи MFT содержатся ссылки на кластеры, находящиеся за пределами MFT. Первые 16 записей являются служебными, а с семнадцатой записи и далее идет описание прочих файлов тома. Для большей отказоустойчивости спецификацией предусмотрены копии MFT и сектора начальной загрузки.

Структура MFT показана в табл. 8.2:

Первые две записи MFT содержат ссылки на саму MFT и ее зеркальную копию. Начиная с 17-й записи, идет информация о файлах. Атрибуты файла, хранящиеся в MFT, называются резидентными. Если файл имеет размер более 1КБ, то в соответствующей данному файлу записи в таблице MFT содержатся ссылки на кластеры тома, в которых размещены остальные атрибуты файла.

Каталог (папка с файлами) содержит не просто линейный список файлов, а индекс, в котором имена файлов упорядочены и организованы в виде B-дерева. Таким образом, поиск файла на больших томах (разделах) в NTFS осуществляется намного быстрее, чем на томах с FAT.

Размер кластера в NTFS вместе с размером тома растет гораздо медленнее, чем в системах FAT, что приводит к меньшим потерям дискового пространства. В табл. 8.3 приводятся данные о размере кластера на томе NTFS в зависимости от размера тома (для сравнения приведены аналогичные данные для системы FAT32):

Из таблицы видно, что, начиная с томов размером более 2 ГБ, размер кластера равен 4 КБ. Отметим особо, что на томах с размером кластера более 4 КБ не поддерживается технология сжатия данных и дефрагментация тома (дефрагментация не поддерживается в Windows 2000). Поэтому при форматировании больших разделов размер кластера всегда по умолчанию равен 4 КБ. Если для более эффективной работы с файлами для каких-то задач необходимо, чтобы размер кластера был более 4 КБ, то при форматировании раздела надо специально указать требуемый размер кластера.

8.2 Права доступа, наследование прав доступа, взятие во владение, аудит доступа к ресурсам

Права доступа, наследование прав доступа, взятие во владение

Определение прав доступа к файловым ресурсам осуществляется на основе разрешений ( permissions ). При определении разрешений к ресурсам, предоставленным в совместный доступ в сети, используются два типа разрешений: сетевые разрешения ( shared folder permissions ) и разрешения, заданные в файловой системе NTFS ( NTFS-permissions ).

Рассмотрим сначала сетевые разрешения. Данный вид разрешений не зависит от типа файловой системы. Сетевые разрешения применяются только при доступе к ресурсам через сеть. Если пользователь локально вошел в систему (локально зарегистрировался в системе), то, какие бы ни были назначены сетевые разрешения для определенной папки, эти разрешения не будут применяться ни к самой папке, ни к размещенным в ней файлам. В случае локальной регистрации пользователя, если данные размещены на томе с системой FAT, пользователь имеет полный доступ к этим данным, если данные размещены на томе NTFS, права доступа будут определяться разрешениями NTFS.

Предоставление общего доступа к папке

Предоставить папку на жестком диске в общее пользование можно двумя основными способами.

1. Открыть Свойства папки, закладку " Доступ ", выбрать пункт " Открыть общий доступ к этой папке " (рис. 8.29):
   

   
   Рис. 8.29.
2. Открыть оснастку " Общие папки " в консоли " Управление компьютером ", выбрать раздел " Общие ресурсы ", щелкнуть правой кнопкой мыши и выбрать пункт " Новый общий ресурс " (рис. 8.30):

Рис. 8.30.

Будет запущен " Мастер создания общих ресурсов " (рис. 8.31):

Рис. 8.31.

Нужно указать путь к папке (ввести с клавиатуры или найти с помощью кнопки " Обзор "), дать название общему ресурсу (по умолчанию это название совпадает с именем папки, хотя надо иметь в виду, что не все приложения могут воспринимать длинные сетевые имена с символами не из английской раскладки; рис. 8.32):

Рис. 8.32.

Далее нужно задать сетевые разрешения на доступ к информации, хранящейся в данной папке. По умолчанию назначаются разрешения " Чтение " группе " Все ".

Могут быть назначены сетевые разрешения трех видов:

• Чтение ( Read ) — чтение списка файлов и папок, чтение данных и запуск программ;
• Изменение ( Change ) — кроме чтения данных позволяет также создавать новые файлы и папки, удалять файлы и папки, изменять данные;
• Полный доступ ( Full control ) — в добавление к перечисленным выше разрешениям можно также изменять NTFS-разрешения (если общая папка хранится на томе NTFS) и получать статус владельца папки или файла (тоже для томов NTFS).

Определение суммарных сетевых разрешений

Напомним, что при регистрации пользователя домена на каком-либо компьютере контроллер домена выдает пользователю т.н. маркер доступа (см. Раздел 4), который состоит из набора идентификаторов безопасности (SID) пользователя и групп, членом которых он является. Именно этот маркер доступа и определяет, какой именно доступ получит пользователь к сетевому ресурсу. В том случае, если некий пользователь имеет разрешение на доступ к папке по сети, а также доступ определен для каких-либо групп, членом которых он является, то определение суммарных разрешений производится по следующей схеме:

• сначала проверяется, нет ли запретов на тот или иной вид доступа для пользователя и групп, в которые он входит, если в сетевых разрешениях имеются запреты для пользователя или хотя бы одной из групп, в которые он входит, то данные виды доступа пользователю не будут предоставлены;
• если на какие-либо виды доступа запретов нет, то действующим разрешением будет наибольшее разрешение, выданное пользователю или какой-либо группе, членом которой он является.

Например, в ситуации, изображенной на рис. 8.33 имеются следующие разрешения:

• группа " Все " — "Чтение";
• пользователь User1 — "Чтение";
• группа Group-1 (в которую входит пользователь User1) — "Изменение".

В данной ситуации пользователь User1 получит разрешение на "Изменение" данных в папке и файлах.

Рис. 8.33.

Оснастка " Общие папки " позволяет также просматривать, кто из пользователей и какие именно файлы и папки использует в настоящий момент. На рис. 8.34 показан пример использования оснастки " Общие папки " для просмотра открытых сетевых ресурсов:

Рис. 8.34.

Подключение к сетевым ресурсам

Есть несколько способов подключения пользователей к сетевым файловым ресурсам:

• самый любимый пользователями, но не самый эффективный с точки зрения системы, — найти сначала сервер, а затем ресурс с помощью просмотра " Сетевого окружения ";
• то же самое можно сделать, если в командной строке ввести т.н. UNC-имя сетевого ресурса ( UNC — Universal Naming Convention, способ именования сетевых ресурсов), для этого нужно нажать кнопку " Пуск " — выбрать пункт меню " Выполнить " — ввести UNC-имя в виде \\<имя сервера>\<имя сетевого ресурса> (например, \\DC1\Folder1 );
• назначить букву диска к сетевому ресурсу; это можно сделать в командной строке командой вида " net use <буква диска> <UNC-имя > " (например, " net use X: \\DC1\Folder1 ") либо же, открыв окно " Мой компьютер " можно назначить букву диска для сетевого ресурса с помощью мастера подключения сетевого диска (меню " Сервис " — выбрать пункт меню " Подключение сетевого диска ").