在这个极客学校的安装中，我们来看看文件夹虚拟化、SID和权限，以及加密文件系统。

请务必阅读Windows7上这个极客学校系列之前的文章：

介绍How-to Geek学校。 升级和迁移。 配置设备。 管理磁盘。 管理应用程序。 管理Internet Explorer。 IP寻址基础知识。 联网。 无线联网。 Windows防火墙。 远程管理。 远程访问。 监控、性能并使Windows保持最新

本周我们将继续关注这一系列剩下的节目。

文件夹虚拟化

Windows7引入了库的概念，它允许您有一个集中的位置，您可以从该位置查看位于计算机上其他位置的资源。更具体地说，库功能允许您从计算机上的任何位置将文件夹添加到四个默认库(文档、音乐、视频和图片)之一，这四个库可以从Windows资源管理器的导航窗格轻松访问。

关于库功能，有两点需要注意：

将文件夹添加到库中时，文件夹本身不会移动，而是会创建指向该文件夹位置的链接。 为了将网络共享添加到库中，它必须脱机可用，不过您也可以使用使用符号链接的变通办法。

要将文件夹添加到库中，只需进入库并单击位置链接。

然后单击添加按钮。

现在找到要包含在库中的文件夹，然后单击“包括文件夹”按钮。

非那样做不行。

安全标识符

Windows操作系统使用SID来表示所有安全原则。SID只是表示机器、用户和组的字母数字字符的可变长度字符串。每次您授予用户或组对文件或文件夹的权限时，都会将SID添加到ACL(访问控制列表)。在幕后，SID的存储方式与所有其他数据对象的存储方式相同：以二进制存储。但是，当您在Windows中看到SID时，它将使用更具可读性的语法显示。在Windows中，您不会经常看到任何形式的SID；最常见的情况是您授予某人对资源的权限，然后删除他们的用户帐户。然后，该SID将显示在ACL中。因此，让我们来看看您在Windows中看到SID的典型格式。

您将看到的符号采用特定的语法。下面是SID的不同部分。

“S”前缀。 结构修订号。 48位标识符权限值。 可变数量的32位子授权或相对标识符(RID)值

使用下图中的我的SID，我们将拆分不同的部分以更好地理解。

安全原则

安全原则是任何附加了SID的东西。这些用户可以是用户、计算机，甚至可以是组。安全原则可以是本地的，也可以在域上下文中。您可以通过计算机管理下的“本地用户和组”管理单元来管理本地安全原则。要达到此目的，请右键单击“开始”菜单中的计算机快捷方式，然后选择“管理”。

要添加新的用户安全原则，您可以转到Users文件夹，右键单击并选择New User。

如果双击某个用户，则可以将其添加到“成员”选项卡上的“安全组”中。

要创建新的安全组，请导航到右侧的Groups文件夹。右键单击空白区域，然后选择New Group(新建组)。

共享权限和NTFS权限

在Windows中，有两种类型的文件和文件夹权限。首先是共享权限。其次，还有NTFS权限，也称为安全权限。通常通过共享和NTFS权限的组合来保护共享文件夹。由于情况如此，请务必记住，最严格的权限始终适用。例如，如果共享权限授予Everyone安全原则读取权限，但NTFS权限允许用户更改文件，则共享权限将优先，不允许用户进行更改。设置权限时，LSASS(本地安全机构)控制对资源的访问。当您登录时，系统会向您提供一个上面有您的SID的访问令牌。当您访问资源时，LSASS会比较您添加到ACL(访问控制列表)的SID。如果SID在ACL上，它将确定是允许还是拒绝访问。不管您使用什么权限，都是有差异的，所以让我们来看一看，以便更好地了解我们应该在什么时候使用什么。

共享权限：

仅适用于通过网络访问资源的用户。如果您在本地登录，例如通过终端服务登录，则它们不适用。 它适用于共享资源中的所有文件和文件夹。如果要提供更精细的限制方案，则除了共享权限外，还应使用NTFS权限。 如果您有任何FAT或FAT32格式的卷，这将是您可用的唯一形式的限制，因为NTFS权限在这些文件系统上不可用。

NTFS权限：

对NTFS权限的唯一限制是只能在格式化为NTFS文件系统的卷上设置这些权限。 请记住，NTFS权限是累积性的。这意味着用户的有效权限是将用户分配的权限和用户所属的任何组的权限组合在一起的结果。

新建共享权限

Windows7购买了一种新的“轻松”共享技术。选项从读取、更改和完全控制更改为读取和读/写。这个想法是整个Homegroup思维的一部分，让不懂计算机的人很容易共享一个文件夹。这可以通过上下文菜单完成，并且可以轻松地与您的家庭组共享。

如果你想与不在家庭组中的人分享，你总是可以选择“Specific People…”。选择。这将显示一个更“精细”的对话框，您可以在其中指定用户或组。

如前所述，只有两个权限。它们共同为您的文件夹和文件提供全有或全无保护方案。

老派的许可

旧的共享对话框有更多选项，例如以不同别名共享文件夹的选项。它允许我们限制同时连接的数量以及配置缓存。所有这些功能在Windows7中都不会丢失，而是隐藏在一个名为“高级共享”的选项下。如果您右键单击某个文件夹并转到其属性，您可以在“共享”选项卡下找到这些“高级共享”设置。

如果您单击需要本地管理员凭据的“高级共享”按钮，则可以配置您在以前版本的Windows中熟悉的所有设置。

如果您单击权限按钮，您将看到我们都熟悉的3个设置。

读取权限允许您查看和打开文件和子目录，以及执行应用程序。但是，它不允许进行任何更改。 修改权限允许您执行读取权限允许的任何操作，它还添加了添加文件和子目录、删除子文件夹以及更改文件中数据的功能。 “完全控制”是经典权限的“执行任何操作”，因为它允许您执行任何和所有以前的权限。此外，它还为您提供了高级更改NTFS权限，但这仅适用于NTFS文件夹

NTFS权限

NTFS权限允许对您的文件和文件夹进行非常精细的控制。尽管如此，粒度的数量对新手来说可能是令人望而生畏的。您还可以按文件和文件夹设置NTFS权限。要设置文件的NTFS权限，您应该右键单击并转到该文件的属性，然后转到“安全”选项卡。

要编辑用户或组的NTFS权限，请单击编辑按钮。

正如您可能看到的，有相当多的NTFS权限，因此让我们将其细分。首先，我们将查看您可以在文件上设置的NTFS权限。

文件夹的NTFS权限选项略有不同，因此让我们来看看它们。

简略的 / 概括的 / 简易判罪的 / 简易的

总之，用户名和组是称为SID(安全标识符)的字母数字字符串的表示形式。共享和NTFS权限与这些SID绑定。只有在通过网络访问时，LSSA才会检查共享权限，而NTFS权限与共享权限相结合，以便为通过网络和本地访问的资源提供更精细的安全级别。

访问共享资源

既然我们已经了解了可以用来在PC上共享内容的两种方法，那么您实际上是如何开始通过网络访问它的呢？这很简单。只需在导航栏中键入以下内容即可。

注意：显然，您需要用computer name代替托管共享的PC的名称，用Sharename代替共享的名称。

这对于一次性连接是很好的，但在更大的企业环境中又如何呢？当然，您不必教用户如何使用此方法连接到网络资源。要解决此问题，您需要为每个用户映射一个网络驱动器，这样您就可以建议他们将文档存储在“H”驱动器上，而不是试图解释如何连接到共享。要映射驱动器，请打开计算机，然后单击“映射网络驱动器”按钮。

然后只需键入共享的UNC路径即可。

您可能想知道是否必须在每台PC上都这样做，幸运的是答案是否定的。相反，您可以编写批处理脚本，以便在登录时自动映射用户的驱动器，并通过组策略进行部署。

如果我们仔细分析该命令：

我们正在使用net use命令映射驱动器。 我们使用*表示要使用下一个可用的驱动器号。 最后，我们指定要将驱动器映射到的共享。请注意，我们使用了引号，因为UNC路径包含空格。

使用加密文件系统加密文件

Windows包括加密NTFS卷上的文件的功能。这意味着只有您才能解密文件并查看它们。要加密文件，只需右键单击该文件并从上下文菜单中选择属性即可。

然后单击高级。

现在选中Encrypt Content to Secure Data(加密内容以保护数据)复选框，然后单击OK(确定)。

现在继续应用设置。

我们只需要加密文件，但您也可以选择加密父文件夹。

请注意，一旦文件被加密，它就会变成绿色。

您现在会注意到，只有您可以打开该文件，而同一台PC上的其他用户将无法打开该文件。加密过程使用公钥加密，因此请确保加密密钥的安全。如果您丢失了它们，您的文件就会消失，并且无法恢复。

家庭作业 / 准备工作 / 预先所做的研究 / 在家里做的工作

了解权限继承和有效权限。 阅读此Microsoft文档。 了解为什么要使用BranchCache。 了解如何共享打印机以及您希望共享打印机的原因。