Серверная операционная система Microsoft Windows 2003

         

Стили разделов


Компьютеры на базе х86-совместимых процессоров для управления дисками всегда используют главную загрузочную запись (Master Boot Record, MBR). MBR содержит таблицу разделов (partition table), описывающую разбиение диска.
На компьютерах, работающих на базе процессоров Itanium под управлением Windows XP 64-Bit Edition и 64-разрядных версий систем Windows Server 2003, Enterprise Edition и Windows Server 2003, Datacenter Edition, используется новый механизм — GUID partition table (GРТ). Хотя между MBR и GРТ существуют различия, типы дисков и средства администрирования остаются одними и теми же. (Подробную информацию о GUID partition table можно найти в справочной системе, воспользовавшись контекстным поиском.)
В этой книге мы не будем касаться нюансов использования GРТ-разделов, поскольку с точки зрения эксплуатации между MBR- и GРТ-разделами принципиальных различий нет.


Общие сведения о файловых системах


Системы Windows Server 2003 поддерживают традиционные для Windows 2000 и Windows XP дисковые файловые системы: FAT12, FAT 16, FAT32 и NTFS. Кроме того, две файловые системы поддерживаются на устройствах CD-ROM и DVD: Compact Disc File System (CDFS) и Universal Disk Format (UDF). В данном разделе содержатся краткие обзорные сведения об этих файловых системах. На выбор файловой системы оказывают влияние следующие факторы:
 цель, для которой предполагается использовать компьютер;   аппаратная платформа;  количество жестких дисков и их объем;   требования к безопасности;  используемые в системе приложения.

Windows Server 2003 поддерживает также Распределенную файловую систему (Distributed File System, DFS) и Шифрующую файловую систему (Encrypting File System, EFS). Хотя DFS и EPS и названы "файловыми системами", они не являются таковыми в строгом понимании этого термина. Так, DFS (см. главу 8 "Работа с дисковыми ресурсами") представляет собой расширение сетевого сервиса, позволяющее объединить в единый логический том сетевые ресурсы, расположенные на разных компьютерах в разделах, которые могут иметь различные файловые системы. Большей частью в этой главе мы используем понятие "том" в широком смысле; том может представлять собой весь физический диск, основной (primary) или дополнительный (extended) раздел диска, логический диск, созданный в дополнительном разделе, и т. д. — т. е. логическое устройство, имеющее имя (букву). Для динамических дисков понятие "том" имеет особое, дополнительное значение, которое будет рассматриваться в разд. "Разделы и тома". Что касается EFS (см. главу 22 "Средства безопасности Windows Server 2003"), то это — надстройка над NTFS, которая дополняет систему NTFS возможностями шифрования данных.

В нашей книге мы будем рассматривать способы хранения информации только для систем Windows Server 2003 на х86-совместимых платформах.



Файловые системы FAT


FAT (чаще всего в главе подразумевается FAT 16) представляет собой простую файловую систему, разработанную для небольших дисков и простых структур каталогов. Ее название происходит от названия метода, применяемого для организации файлов — таблица размещения файлов (File Allocation Table, FAT). Эта таблица размещается в начале тома. В целях защиты тома на нем хранятся две копии FAT. В случае повреждения первой копии FAT дисковые утилиты (например, Scandisk) могут воспользоваться второй копией для восстановления тома. Таблица размещения файлов и корневой каталог должны располагаться по строго фиксированным адресам, чтобы файлы, необходимые для запуска системы, были размещены корректно.
По принципу построения FAT похожа на оглавление книги, т. к. операционная система использует ее для поиска файла и определения кластеров, которые этот файл занимает на жестком диске. Изначально компания Microsoft разработала FAT для управления файлами на дискетах, и только затем приняла ее в качестве стандарта для управления дисками в MS-DOS. Сначала для дискет и небольших жестких дисков (менее 16 Мбайт) использовалась 12-разрядная версия FAT (так называемая FAT 12). В MS-DOS 3.0 была введена 16-разрядная версия FAT для более крупных дисков. В Windows Server 2003 система FAT 12 применяется только на гибких дисках и томах размером менее 16 Мбайт. Например, все 3,5-дюймовые дискеты емкостью 1,44 Мбайт форматируются для FAT16, а все 5,25-дюймовые — для FAT12.
В Windows NT/2000 FAT16 работает точно так же, как и в MS-DOS, Windows 3.1x и Windows 9x/ME. Поддержка этой файловой системы включена и в Windows XP/Windows Server 2003, поскольку она совместима с большинством операционных систем других фирм — поставщиков программного обеспечения. Помимо этого, применение FAT16 обеспечивает возможность обновления более ранних версий операционных систем семейства Windows.

Системы Windows NT/2000/XP и Windows Server 2003 нельзя использовать совместно с программными средствами, осуществляющими разбиение диска на тома и сжатие дисков при помощи драйверов устройств, которые загружаются из MS-DOS. Например, если требуется иметь доступ к разделу или логическому диску FAT, работая под управлением этих систем, не следует применять для них такие средства сжатия, как DoubleSpace (MS-DOS 6.0) или DriveSpace (MS-DOS 6.22). Для сканирования и восстановления томов FAT, используемых перечисленными системами, рекомендуется ввести в командной строке команду Chkdsk. Эта программа объединяет функциональные возможности, присущие программам MS-DOS Chkdsk и Scandisk, включая сканирование поверхности жесткого диска. Если требуется выполнить сканирование поверхности диска, дайте из командной строки команду chkdsk /r.



разрядная файловая система FAT32 появилась


32- разрядная файловая система FAT32 появилась в Windows 95 OSR2 и поддерживается в Windows 98/ME и Windows 2000/XP/Server 2003. Она обеспечивает оптимальный доступ к жестким дискам, повышая скорость и производительность всех операций ввода/вывода. FAT32 представляет собой усовершенствованную версию FAT, предназначенную для использования на томах, объем которых превышает 2 Гбайт. В Windows XP и Windows Server 2003 система FAT32 применяется для форматирования дисков DVD-RAM.
Для обеспечения максимальной совместимости с существующими прикладными программами, сетями и драйверами устройств FAT32 была реализована с минимумом возможных изменений в архитектуре и внутренних структурах данных. Все утилиты Microsoft, предназначенные для работы с дисками (Format, Fdisk, Defrag и ScanDisk), были переработаны для обеспечения поддержки FAT32. Кроме того, Microsoft проводит большую работу по поддержке ведущих фирм-производителей драйверов устройств и утилит для работы с диском, чтобы помочь и в обеспечении поддержки FAT32 в их продуктах. В табл. 4.1 представлены сравнительные характеристики FAT16 и FAT32.
Таблица 4.1.Сравнение характеристик FAT16 и FAT32 в системах Windows Server 2003
FAT16
FAT32
Поддерживается большинством операционных систем, в числе которых MS-DOS, Windows 9х/МЕ, Windows NT, OS/2 и UNIX
Поддерживается всеми операционными системами Windows, начиная с Windows 95 OSR2; поддержка FAT32 имеется также и на других платформах
Эффективна только на логических дисках, размер которых не превышает 256 Мбайт
 Не поддерживаются диски, размер которых менее 32 Мбайт
Поддерживает сжатие диска только с помощью таких DOS-утилит, как DrvSpace
Не поддерживает сжатие диска
На практике ограничена по размеру до 65 524 кластеров. Каждый кластер имеет фиксированный размер в зависимости от размера логического диска. Ограничения по количеству кластеров и их размеру (64 Кбайт) приводят к общему ограничению по размеру диска (не более 4 Гбайт). Следует, однако, учитывать то, что кластеры размером 64 Кбайт могут распознаваться неправильно некоторыми приложениями и системами! Помимо этого, FAT12/16 обычно имеет ограничения по количеству файлов и папок, которые могут содержаться в корневом каталоге (в зависимости от диска максимальное значение колеблется от 200 до 400)
Использует кластеры меньшего размера, в результате чего дисковое пространство используется более эффективно. Максимальный размер кластера — 1 6 Кбайт, максимальный размер форматируемого диска — 32 Гбайт; чтение и запись поддерживается на томах до 2 Гбайт
Поскольку с увеличением размера диска размер кластера FAT16 увеличивается, хранение файлов на таких дисках становится неэффективным. Например, если файл размером 10 Кбайт хранится в кластере размером 32 Кбайт, то 22 Кбайт дискового пространства не используются
Для дисков размером от 257 Мбайт до 8 Гбайт размер кластера — 4 Кбайт
FAT32 обеспечивает следующие преимущества по сравнению с прежними реализациями FAT.
 Поддержка дисков размером до 2 Тбайт. Следует, правда, отметить, что команда Format, имеющаяся в Windows Server 2003, не позволяет форматировать для использования FAT32 тома, размер которых превышает 32 Гбайт (это касается и форматирования томов программой Setup). Поэтому при форматировании томов объемом более 32 Гбайт следует использовать файловую систему NTFS. Однако драйвер Fastaft, имеющийся в составе Windows Server 2003, позволяет монтировать и поддерживать любые тома FAT32, в том числе и такие, объем которых превышает 32 Гбайт. За исключением упомянутого выше ограничения FAT32 в Windows Server 2003 работает точно так же, как в Windows 95 OSR2, Windows 98 и Windows Millennium Edition.  Более эффективное расходование дискового пространства. FAT32 использует более мелкие кластеры (см. табл. 4.4), что позволяет повысить эффективность использования дискового пространства на 10—15% по сравнению с FAT.  Повышенная надежность и более быстрая загрузка программ. В отличие от FAT12 и FAT16, FAT32 обладает возможностью располагать корневой каталог в любой области тома. Кроме того, загрузочный сектор FAT32 был расширен по сравнению с FAT16 и содержит резервные копии жизненно важных структур данных. Повышенная устойчивость FAT32 обусловлена именно этими факторами.

Файловая система NTFS


Файловая система Windows NT (NTFS) обеспечивает такое сочетание производительности, надежности и эффективности, которого невозможно добиться с помощью любой из реализаций FAT (как FAT16, так и FAT32). Основными целями разработки NTFS являлись обеспечение скоростного выполнения стандартных операций над файлами (включая чтение, запись, поиск) и предоставления дополнительных возможностей, включая сжатие и восстановление поврежденной файловой системы на больших дисках.
NTFS обладает характеристиками защищенности, поддерживая контроль доступа к данным и привилегии владельца, играющие исключительно важную роль в обеспечении целостности жизненно важных конфиденциальных данных. Папки и файлы NTFS могут иметь назначенные им права доступа вне зависимости от того, являются они общими или нет. NTFS — единственная файловая система в Windows NT/2000/XP и Windows Server 2003, которая позволяет назначать права доступа к отдельным файлам. Однако, если файл будет скопирован из раздела или тома NTFS в раздел или на том FAT, все права доступа и другие уникальные атрибуты, присущие NTFS, будут утрачены.
В Windows 2000 была введена новая версия NTFS — NTFS 5.0 (см. ниже). Новые структуры данных, появившиеся в составе этой реализации, позволяют использовать оригинальные возможности Windows 2000, например, квоты на использование диска для каждого пользователя, шифрование файлов, отслеживание ссылок, точки перехода (junction points), встроенные наборы свойств (native property sets). Кроме того, добавлять дополнительное дисковое пространство к томам NTFS 5.0 можно без перезагрузки. Windows Server 2003 не предлагает принципиальных новшеств для этой файловой системы, однако некоторые улучшения все же появились. (Подробно система NTFS 5.0 описывается ниже в разд. "Возможности NTFS 5.0".)
NTFS — наилучший выбор для работы с томами большого объема. При этом следует учесть, что если к системе предъявляются повышенные требования (к числу которых относятся обеспечение безопасности и применение эффективного алгоритма сжатия), то часть из них можно реализовать только с помощью NTFS. Поэтому в ряде случаев нужно использовать NTFS даже на небольших томах.
NTFS — единственная файловая система, на которую можно устанавливать систему, выполняющую функции контроллера домена (на базе Active Directory).



Ограничения файловых систем и вопросы совместимости


В приведенных ниже таблицах (табл. 4.2 и 4.3) собраны данные о совместимости файловых систем NTFS и FAT, а также ограничения, налагаемые на каждую из этих файловых систем. Таблицей совместимости обязательно нужно пользоваться при создании систем с множественной загрузкой.

Таблица 4.2. Поддержка файловых систем операционными системами

Операционная система
  Файловая система 
FAT
FAT32 NTFS
MS-DOS, Windows 3.1 х и Windows 95 (версии до OSR2)
+
- -
Windows 95 OSR2, Windows 98 и Windows ME
+
+ -
Windows NT 4.0
+
- +
Windows 2000/XP/Server 2003
+
+ +

Таблица 4.3. Ограничения файловых систем в Windows Server 2003

Ограничения
NTFS
FAT и FAT32
Размеры тома
Минимальный размер тома составляет (фактически) приблизительно 10 Мбайт.
На практике рекомендуется создавать тома, размер которых не превышает 256 Тбайт минус 64 Кбайт.
С помощью NTFS нельзя форматировать дискеты
FAT поддерживает различные размеры томов — от объема дискет до 4 Гбайт (тома объемом более 2 Гбайт могут не поддерживаться другими системами).
FAT32 поддерживает тома объемом от 2 Гбайт до 2 Тбайт. Работая под управлением Windows Server 2003, можно форматировать тома FAT32, объем которых не превышает 32 Гбайт
Размеры файлов
Практический максимум 1 6 Тбайт минус 64 Кбайт
FAT и FAT32 поддерживают файлы размером не более 4 Гбайт


Размеры кластеров


При форматировании дисковые тома размечаются на кластеры —- это минимальное пространство, выделяемое на диске для файлов. Для любой файловой системы размер кластера по умолчанию определяется размером тома. В табл. 4.4 приведены сравнительные размеры кластеров для FAT16, FAT32 и NTFS в зависимости от размера диска.

В Windows Server 2003 минимальный размер тома, который можно задать в оснастке Disk Management, — 8 Мбайт. Реальный объем тома получается чуть больше (около 10 Мбайт).
Напомним, что для дисков с NTFS максимальный размер кластера (по умолчанию) ограничен 4 килобайтами, поскольку предусматривается возможность сжатия файлов и папок. Если же размер кластера превышает 4 Кбайт, сжатие невозможно.

Таблица 4.4. Размеры кластеров по умолчанию для FAT16, FAT32 и NTFS в Windows Server 2003

Размер диска
Размер кластера FAT16
Размер кластера FAT32
Размер кластера NTFS
До 32 Мбайт включительно
51 2 байт
Не поддерживается
51 2 байт
33-64 Мбайт
1 Кбайт
51 2 байт
512 байт
65-1 28 Мбайт
2 Кбайт
1 Кбайт
51 2 байт
129-256 Мбайт
4 Кбайт
2 Кбайт
51 2 байт
257-5 12 Мбайт
8 Кбайт
4 Кбайт
51 2 байт
51 3-1 024 Мбайт
16 Кбайт
4 Кбайт
1 Кбайт
1025-2048 Мбайт (2 Гбайт)
32 Кбайт
4 Кбайт
2 Кбайт
2049-4096 Мбайт (4 Гбайт)
64 Кбайт
4 Кбайт
4 Кбайт
4097-8192 Мбайт (8 Гбайт)
Не поддерживается
4 Кбайт
4 Кбайт
8 193-1 6 384 Мбайт (16 Гбайт)
Не поддерживается
8 Кбайт
4 Кбайт
16 385-32 768 Мбайт (32 Гбайт)
Не поддерживается
16 Кбайт
4 Кбайт
От 32 Гбайт
Не поддерживается
Не поддерживается
4 Кбайт


В данном разделе рассматриваются особенности


В данном разделе рассматриваются особенности стандартной для Windows 2000/XP и Windows Server 2003 файловой системы — NTFS версии 5.0. Только эта система позволяет в полной мере использовать все средства Windows Server 2003, обеспечивающие безопасность и надежность хранения данных на дисковых накопителях. NTFS 5.0 позволяет реализовать перечисленные ниже возможности2.
 Механизм разрешений на доступ к файлам и папкам. Обеспечивает гибкую систему ограничений для пользователей и групп.  Сжатие файлов и папок. Встроенные средства сжатия данных позволяют экономить пространство на дисках, при этом все процедуры выполняются "прозрачно" для пользователя.  Шифрование данных. Encrypting File System (EPS, Шифрующая файловая система) обеспечивает конфиденциальность хранящейся информации, причем в Windows Server 2003 устранены некоторые издержки этого механизма, допускающие "утечку информации".  Дисковые квоты. Можно ограничить пространство, занимаемое на томе отдельными пользователями.  Механизм точек повторной обработки (reparse points). Позволяет, в частности, реализовать точки соединения (junction points), с помощью которых целевая папка (диск) отображается в пустую папку (эта процедура называется монтированием диска), находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows Server 2003.  Распределенное отслеживание ссылок на файлы. Этот механизм позволяет сохранять актуальной ссылку на файл, даже если он был переименован или перемещен на другой том, расположенный на том же компьютере или на другом компьютере в пределах домена.  Разреженные (sparse) файлы. NTFS эффективно хранит такие файлы, содержащие большое количество последовательных пустых байтов.  Журнал изменений (change journal), где регистрируются все операции доступа к файлам и томам. По сравнению с Windows 2000, системы Windows Server 2003 имеют следующие улучшения в работе с NTFS:
 как утверждает компания Microsoft, на 5-8 процентов увеличено быстродействие, и NTFS обеспечивает практически такую же производительность, как и FAT;  быстрее выполняется преобразование систем с использованием команды Convert.exe. При этом могут применяться различные, а не фиксированные размеры кластеров, до 4 Кбайт;  на преобразованные из FAT в NTFS тома устанавливаются разрешения, принятые на томах, форматируемых непосредственно в NTFS;  реализованы новые возможности для дефрагментации. Далее мы рассмотрим архитектурные особенности NTFS 5.0, а затем — использование некоторых из перечисленных выше возможностей этой системы.

В данном разделе использован материал


В данном разделе использован материал статьи "A file system for the 21-st Century: previewing the Windows NT5.0 file system" (Jeffrey Richter, Luis Felipe Cabrera), опубликованной в журнале "Microsoft Systems Jomal" в ноябре 1998 года.
Все рассматриваемые особенности NTFS распространяются на все версии систем семейств Windows 2000, Windows XP и Windows Server 2003.

Средства NTFS 5.0 позволяют более эффективно решать многие программистские задачи. С помощью этой системы можно преодолеть ряд проблем, возникающих и в настоящее время при работе с другими файловыми системами. Описываемые в данном разделе возможности были реализованы уже в Windows 2000 и, естественно, присутствуют в Windows Server 2003.
Центром файловой системы NTFS является файл, называемый главной таблицей файлов (Master File Table, MFT). Он создается при форматировании тома для NTFS. MFT состоит из массива записей размером 1 Кбайт. Каждая запись идентифицирует один файл, расположенный на диске. При создании файла система NTFS находит пустую запись в MFT, затем заполняет ее информацией о создаваемом файле. Состав информации, записываемой в MFT, приведен в табл. 4.5.
Таблица 4.5.Состав информации, записываемой в МП
Тип информации Описание
Стандартная информация
Атрибуты файла, например, "только чтение", "скрытый" и "системный"; время создания, последнего доступа, последнего изменения; счетчик жестких связей файла
Имя
Имя файла или папки в кодировке Unicode. Если имя файла соответствует схеме 8.3 или файл имеет жесткие связи, атрибутов имени файла может быть несколько
Дескриптор безопасности
Структура, хранящая данные безопасности, ассоциированные с файлом, управляющим доступом пользователя к файлу
Данные
Содержимое файла; папки не имеют этого типа информации
NTFS оценивает размер записываемой в MFT информации. Если он не больше 1 Кбайт, информация запоминается в записи MFT. Эти данные хранятся в ОЗУ и являются резидентными атрибутами файла. В противном случае информация помещается на диск, образуя нерезидентные атрибуты файла, а в запись MFT помещается указатель на соответствующую область диска.
Поскольку операционная система Windows Server 2003 широко использует механизм доступа к ресурсам с помощью ярлыков, на жестком диске хранится большое количество файлов с расширением Ink. Кроме того, на жестком диске находится множество файлов Desktop.ini. Описанная выше схема хранения информации файлов в MFT позволяет держать данные небольших файлов в ОЗУ, что резко повышает производительность файловой системы.

Потоки


С самой первой версии NTFS позволяла одному файлу иметь несколько потоков. К сожалению, этот весьма удобный механизм использовался очень слабо, хотя применение потоков позволяет изящно решать многие проблемы.
Например, вы создаете файл. Для него необходимо сформировать и сохранить эскиз (уменьшенное изображение содержимого файла, предназначенное для предварительного просмотра) (thumbnail), который, как правило, записывается в конец файла. Для вывода эскиза надо открыть файл, считать информацию заголовка, найти начало нужной вам информации и только после этого считать данные. Можно хранить эскиз в отдельном файле, но в этом случае велика вероятность того, что сам файл будет перенесен в другое место без соответствующего ему эскиза.
Подобную проблему можно решить с использованием нескольких потоков. При создании файла основные данные следует записать в неименованный поток. Затем необходимо создать внутри того же файла именованный поток, предназначенный для данных образа. Теперь один файл будет содержать два потока.
Проведем следующий эксперимент. На машине Windows Server 2003 откроем окно командной строки. Перейдем в раздел NTFS (например, в папку, содержащую системные шрифты) и введем следующую команду (не делайте лишних пробелов!): С:\WINDOWS\Fonts>dir > New_Stream.TXT:New_Stream
В результате выполнения этой команды система создаст файл New_Stream.TXT. Он будет содержать два потока: неименованный, в котором находится 0 байт, и именованный (с именем New_Stream), где будет находиться результат выполнения команды dir. Доступ к именованному потоку можно получить, обратившись к нему по имени через двоеточие после имени файла. В именах потоков, как и в именах файлов, имеет значение регистр символов.
К сожалению, многие утилиты, входящие в состав Windows Server 2003, не могут работать с именованными потоками. Рассмотрим, к примеру, следующую команду:

C:\WINDOWS\Fonts>dir New_Stream.TXT Volume in drive C is WinSrv2003

Volume Serial Number is 10D5-4C68 Directory of C:\WINDOWS\Fonts 16.04.2003 18:56 0 New_Stream.TXT 0 New_Stream.TXT 1 File(s) 0 bytes 0 bytes 0 Dir(s) 555 720 704 bytes free

Очевидно, что команда dir не видит именованный поток, поэтому она показывает, что размер файла New_Stream.TXT равен 0. Однако это не так: dir показывает только неименованный поток, размер именованного потока пользователю не показывается.
Проведем еще один эксперимент, выполним команду:

C:\WINDOWS\Fonts>dir< New_Stream.TXT:New_Stream Volume in drive С is WinSrv2003 Volume Serial Number is 10D5-4C68 Directory of C:\WINDOWS\Fonts File Not Found

Никакой информации не выводится. Из этого эксперимента видно, что команда dir не обладает средствами обращения к именованным потокам. Для просмотра содержимого именованного потока выполните следующую команду:

C:\WINDOWS\Fonts>more < New_Stream.TXT:New_Stream Volume in drive С is WinSrv2003 Volume Serial Number is 10D5-4C68 Directory of C:\WINDOWS\Fonts 25.03.2003 16:00 311 636 arial.ttf 25.03.2003 16:00 288 496 arialbd.ttf 25.03.2003 16:00 226 748 arialbi.ttf 25.03.2003 16:00 207 808 ariali.ttf 25.03.2003 16:00 117 028 ariblk.ttf 25.03.2003 16:00 127 596 comic.ttf

Теперь мы видим содержимое (оглавление) выбранной папки, которое было сохранено в именованном потоке с помощью команды dir > New_Stream.TXT:New_Stream.
Существует еще одно применение потоков. Предположим, что вы разрабатываете текстовый процессор. Корректируя файл, вы наверняка создадите временный файл, запишете туда все изменения, затем, когда наступит момент сохранить их, уничтожите оригинальный файл, его имя присвоите временному файлу и перенесете этот файл туда, где был расположен оригинальный файл. Весь процесс выглядит довольно просто. Однако следует помнить о том, что новый файл должен иметь то же время создания (time stamp creation), что и оригинальный файл. Кроме того, новый файл должен обладать теми же атрибутами, что и оригинальный файл. При сохранении изменений очень легко изменить один из атрибутов.
При использовании потоков все эти проблемы легко разрешаются. Все потоки в пределах одного файла имеют одни и те же атрибуты (время создания, безопасность и т. д.). Можно записывать изменения не во временный файл, а в именованный поток. Затем, при записи изменений достаточно переименовать именованный поток в неименованный, после чего с помощью средств NTFS удалить старый неименованный поток. Переименование потока должно быть выполнено в соответствии с принципом "все или ничего" (в виде транзакции — либо выполняются все операции, либо все остается в исходном состоянии).
Следует отметить, что при копировании файла, содержащего потоки, в файловую систему, не поддерживающую их (например, FAT на гибком диске), скопированы будут только данные неименованного потока.



Точки повторной обработки


Точки повторной обработки (reparse points) — еще одна новая возможность, появившаяся в NTFS 5.0. Они позволяют выполнять при открытии папки или файла заранее созданный программный код. Точка повторной обработки представляет собой контролируемый системой атрибут, который может быть ассоциирован с папкой или файлом. Значение атрибута точки повторной обработки — это задаваемые пользователем данные, максимальный размер которых может достигать 16 Кбайт. Они представляют собой 32-разрядный ярлык (определяемый Microsoft), указывающий, какой фильтр файловой системы должен быть извещен о попытке получения доступа к данной папке или файлу. Фильтр выполняет заранее определенный код, предназначенный для управления процессом доступа. Поскольку размер данных атрибута точки повторной обработки может достигать 16 Кбайт, помимо ярлыка в атрибуте можно сохранить информацию, имеющую значение для соответствующего фильтра. Фильтр файловой системы может полностью изменить способ отображения данных файла. Поэтому фильтры устанавливаются только администраторами системы. Если по каким-либо причинам система не может найти фильтр, соответствующий определенному ярлыку повторной обработки, доступ к папке или файлу не будет предоставлен, однако они все же могут быть удалены.
Точки повторной обработки используются при создании жестких связей и точек соединений NTFS (т. е. при монтировании томов и папок), позволяющих перенаправлять запрос к папке или файлу в другое место файловой системы.



Жесткие связи NTFS


Предположим, что у вас есть файл, который должен находиться одновременно во многих папках одного дерева. Каждая из копий этого файла занимает определенное место, что приводит к непроизводительному использованию дискового пространства. Кроме того, следует учитывать, что в одной из копий может быть сделано изменение. В этом случае необходимо обновить все копии файла, что может вылиться в долгую и утомительную операцию, в течение которой легко сделать ошибку.
Эту проблему можно решить с помощью жесткой связи (hard link) NTFS. Она позволяет в пределах одного тома создать для одного файла множество имен. Сам файл может находиться в одном месте. Жесткие связи могут быть распространены по всему дереву папки. В Windows XP и Windows Server 2003 имеется новая утилита — Fsutil.exe, позволяющая пользователям создавать произвольные жесткие связи между файлами. Утилита Linkd (см. ниже) позволяет создавать связи между папками. (Связи можно также создавать программно, воспользовавшись функцией CreateHardLink из kernel32.dll.) Рассмотрим пример. Следующая команда создает новый файл fiieNew.txt, который связан с существующим файлом fiiel.txt:

C:\>fsutil hardlink create C:\fileNew.txt C:\Texts\filel.txt Hardlink created for C:\fileNew.txt «===» C:\Texts\filel.txt

При обращении к любому из файлов вы увидите одно и то же содержимое.
Все жесткие связи находятся в одной записи MFT. Поэтому они имеют одинаковые атрибуты (время создания, безопасность и размер файла). При создании новой жесткой связи система добавляет информацию в поле имени записи MFT и увеличивает счетчик жестких связей. При каждом уничтожении жесткой связи удаляется соответствующий атрибут в поле имени, а счетчик жестких связей уменьшается на 1. После уничтожения последней жесткой связи счетчик жестких связей становится равен 0.



Отслеживание связей


Ярлыки играют важную роль организации доступа пользователя к программам и файлам данных операционных систем Windows. Однако наряду с бесспорными преимуществами они имеют и недостатки, одним из которых является нарушение связи между ярлыком и соответствующим ему ресурсом, если ресурс переносится в другое место или переименовывается. Вплоть до появления Windows 2000 с этим недостатком приходилось мириться, поскольку средства NTFS 4.0 не позволяли от него избавиться.
В Windows 2000/XP и Windows Server 2003 имеется Служба отслеживания изменившихся связей (Distributed Link Tracking), позволившая приложениям находить файл, соответствующий данному ярлыку, и связи OLE даже в случае, если этот файл был переименован или перенесен в другое место дерева папок. Теперь, щелкнув на ярлыке рабочего стола, вы всегда сможете получить доступ к нужному ресурсу.
Каждая связь состоит из двух частей — клиента и источника. Например, если документ Word содержит связь OLE с электронной таблицей Excel, сам документ является клиентом связи, а электронная таблица — это источник связи.
Служба отслеживания восстанавливает разрушенную связь в случаях, если: 
 источник связи был переименован;  источник связи был перемещен с одного тома NTFS 5.0 на другой в пределах одного компьютера;  источник связи был перемещен с тома NTFS 5.0 одного компьютера Windows 2000/XP/Server 2003 на том NTFS 5.0 другого компьютера Windows 2000/XP/Server 2003 в пределах одного домена;  том NTFS 5.0 с источником связи был физически перемещен с одного компьютера Windows 2000/XP/Server 2003 на другой компьютер Windows 2000/XP/Server 2003 в пределах одного домена;  компьютер, на котором находится том NTFS 5.0 с источником связи, был переименован, но остался в том же домене;  изменилось имя общего ресурса, где находится файл-источник связи;   образовалась любая комбинация описанных выше случаев.

Служба отслеживания связей имеет некоторые ограничения, перечисленные ниже.
 Отслеживаются только источники связей, находящиеся на томах NTFS 5.0. Если источник перемещен в другую файловую систему, попытки отследить изменившуюся связь будут предприняты, но вероятность успешного результата мала. Если источник опять будет перенесен в NTFS 5.0, связь будет восстановлена. Но это касается только клиентов связи, созданных до переноса источника на другую файловую систему.  На данный момент не поддерживаются перемещение томов, расположенных на компьютерах Windows 2000/XP/Server 2003, не входящих в состав домена.  В текущей версии NTFS 5.0 во время работы службы отслеживания связей тома NTFS 5.0 не могут быть блокированы. Поэтому для них нельзя выполнить такие операции, как форматирование или запуск утилиты chkdsk It. Выполнять подобные операции можно только после остановки работы службы отслеживания связей.



Точки соединения NTFS


Точки соединения NTFS (junction point) представляют собой новое средство, позволяющее отображать целевую папку в пустую папку, находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Эта процедура также называется монтированием тома или папки. Целевой папкой может служить любой допустимый путь в системе. Точки соединения NTFS поддерживаются только в NTFS 5.0.
Точки соединения NTFS отличаются от точек соединения распределенной файловой системы DFS. Последние отображают общий ресурс сети, управляемый DFS. Таким ресурсом может служить любой допустимый общий ресурс сети. Однако оба средства служат для создания общего пространства имен хранения информации.
Точки соединения NTFS прозрачны для приложений. Исключение составляет случай, когда информация об определенной точке соединения необходима программе для работы. Прозрачность в данном случае означает, что приложение или пользователь, осуществляющие доступ к локальной папке NTFS, автоматически перенаправляются к другой папке.
Доступ к локальным томам файловой системы, подключенным с помощью точки соединения, может быть получен даже в случае, если томам не присвоены имена. При этом исчезает ограничение на количество имен, равное 26 (по числу букв английского алфавита).



Сравнение точек соединения DFS и NTFS


По своему назначению точки соединения распределенной файловой системы DFS (links) и точки соединения NTFS похожи. Они представляют собой инструмент, предназначенный для отображения одного пространства имен хранения данных на другое. Ниже описаны отличия точек соединения DFS и NTFS. В DFS точки соединения имеют более широкий набор возможностей, чем в NTFS.
Точки соединения DFS:
 позволяют сбалансировать нагрузку при передаче информации по сетевым соединениям путем перенаправления запросов целевым репликам;  позволяют избежать отрицательных последствий отказа сетевого соединения, заново выбрав копию общего ресурса из набора целевых реплик;  запрашивают у службы Active Directory информацию о топологии соединения;  располагают полным набором функций, позволяющих осуществлять импорт и экспорт для пространства имен DFS.

В табл. 4.6 перечислены различия точек перехода DFS и NTFS.

Таблица 4.6. Различия точек соединения DFS и NTFS

Свойство
Точки соединения DPS
Точки соединения NTFS
Исходный объект точки соединения
Общий локальный ресурс сети
Локальная папка NTFS 5.0
Представление точки соединения
Том DFS, общий сетевой ресурс
Любой допустимый путь Windows 2000/XP/Server 2003
Возможность восстановления
Да
Да (Chkdsk)
Состояние неизменности/переноса
Да (хранится в виде файла)
Да (прямая операция копирования, переноса или архивирования)
Возможность работы с набором целей
Да
Нет
Поддержка кластеров
Да
Нет
API
Да
Да
Наличие инструментов с графическим интерфейсом
Да (оснастка Distributed File System
(Распределенная файловая система DFS))
Да (оснастка Disk Management (Управление дисками))
Доступность
В NT 4.0 и выше
Только в Windows 2000/XP и Windows Server 2003 на NTFS 5.0


Работа с точками соединения NTFS


Как говорилось выше, точки соединения NTFS позволяют монтировать тома и папки. Для работы с томами можно использовать стандартные средства системы — утилиту Mountvol.exe и оснастку Disk Management (Управление дисками). Для монтирования папок нужна специальная утилита Linkd.
Монтируя тома, можно избежать использования большого количества имен устройств, поскольку обращение к необходимому тому происходит через корневую папку. При монтировании создаются неизменные связи с корневыми папками локального тома файловой системы. Для этого применяется технология, гарантирующая, что при изменениях в параметрах оборудования целевая папка не изменяется.
Утилита Mountvol. С помощью утилиты Mountvol.exe можно:
 отобразить корневую папку локального тома в некоторую целевую папку NTFS 5.0 (другими словами — подключить, или смонтировать том);  вывести на экран информацию о целевой папке точки соединения NTFS, использованной при подключении тома;  просмотреть список доступных для использования томов файловой системы;  уничтожить точки подключения томов, созданных с помощью Mountvol.

При монтировании тома целевая папка должна обязательно находиться на NTFS-томе-. Однако монтируемый том может быть отформатирован с использованием любой из поддерживаемых систем: NTFS, FATI6, FAT32, CDFS или UDF.

Параметры утилиты Mountvol можно получить, введя в командной строке mountvol. Мы рассмотрим только два параметра:
/D — уничтожение существующей точки подключения из указанной папки;
 /L — отображение списка томов, подключенных к данной папке.
Подключение тома к точке соединения. Предположим, что на жестком диске компьютера создано два тома (С: и D:). На этом же компьютере установлено устройство CD-ROM (E:). Том С: отформатирован под NTFS, поэтому на нем можно расположить несколько точек соединения NTFS. В приведенных здесь примерах предполагается, что все необходимые для работы с точками соединения NTFS инструменты находятся в папке %SystemRoot98\system32, поэтому их можно запустить, находясь в любом месте дерева папок файловой системы. Все описанные ниже команды выполняются из командной строки.
Для того чтобы смонтировать некоторый том:
1. Введите в окне консоли команду mountvoi и просмотрите список имен внутренних устройств, назначенных томам данной машины. Предположим, что получен следующий результат (возможные значения имени тома вместе с текущими точками подключения):

\\?\Volume{13061678-af7e-lld5-9b6b-806d6172696f}\ D:\ \\7\VolumeU3061679-af7e-lld5-9b6b-806d6172696f}\ С:\ \\?\Volume{13061671-af7e-lld5-9b6b-806d6172696f}\ Е:\ \\7\VolumeU3061670-af7e-lld5-9b6b-806d6172696f}\ А:\

2. Создайте пустые папки на текущем диске и с помощью утилиты Mountvol подключите тома CD-ROM (диск Е:) и D: к точкам соединения (папки CD И MoreDiskSpace):

mkdir CD mountvol CD \\?\Volume{13061671-af7e-lld5-9b6b-806d6172696f}\ mkdir MoreDiskSpace mountvol MoreDiskSpace \\?\Volume {13061678-af7e-lld5-9b6b-%>806d6172696f}\

3. Для проверки работоспособности созданных точек соединения выполните команду dir в двух новых папках. Вы должны увидеть содержимое целевых томов. Теперь полученные соединения могут быть использованы для доступа к целевым томам.
4. Для того чтобы узнать, какие целевые тома соответствуют точкам соединения, с клавиатуры введите следующие команды:

mountvol CD /L mountvol MoreDiskSpace /L

Для получения более подробной информации можно воспользоваться утилитой Fsutil, например: fsutil reparsepoint query \CD
Теперь можно провести еще одно, весьма "суровое", испытание работоспособности точки соединения NTFS, поскольку после подключения тома к точке соединения вы больше не нуждаетесь в имени тома. Поэтому, запустив оснастку Disk Management (Управление дисками), можно удалить имя устройства D: и CD-ROM. Несмотря на исчезновение имен устройств, вы все же можете получить доступ к ним, используя созданные точки соединения. Конечно, вам следует внимательно следить за тем, чтобы не нарушить работу пользователей и программ, напрямую обращающихся к тому с помощью его имени.
Удаление точки соединения. Для удаления созданных выше точек соединения введите в окне консоли следующие команды:

mountvol CD /D mountvol MoreDiskSpace /D

Утилита Linkd. С помощью утилиты Linkd.exe из пакета Windows 2000 Resource Kit можно "связать" любую пустую папку на томе NTFS с другой папкой, расположенной на любом томе (даже FAT). Покажем это на примере. Пусть у нас имеется пустая папка F:\Folderl\Source и папка с некоторым содержимым — C:\Folder2\Dest. Следующая команда создает новую точку соединения (и удаляет старую точку соединения, если таковая уже была создана для исходной папки) между исходной папкой (Source) и целевой папкой (Dest):

F:\XLinkd Folderl\Source C:\Folder2\best Link created at: Folderl\Source

Следующая команда позволяет проверить выполненную операцию; с ее помощью можно просматривать текущую целевую папку для выбранной точки соединения:

F:\>linkd Folderl\Source Source Folderl\Source is linked to C:\Folder2\Dest

Более подробную информацию можно получить, запустив утилиту Fsutil:

fsutil reparsepoint query FolderlXSource

Для удаления исходной папки вместе с точкой соединения используется команда:

F:\>linkd FolderlXSource /D The delete operation succeeded.



Монтирование томов с помощью оснастки Disk Management


Для работы с точками соединения можно использовать оснастку Disk Management (Управление дисками), имеющую графический интерфейс.
Для монтирования тома (создания точки соединения):
1. Запустите оснастку Disk Management (Управление дисками). (Для этого проще всего ввести в командной строке diskmgmt.msc— расширение файла обязательно!)
2. Укажите нужный целевой том (отформатированный с использованием любой файловой системы) и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Change Drive Letter and Path (Изменить букву диска или путь к диску). Откроется диалоговое окно Change Drive Letter and Paths (Изменение буквы диска или путей) (рис. 4.1).
3. Нажмите кнопку Add (Добавить) и в открывшемся окне (рис. 4.2), нажав кнопку Browse (Обзор), выберите путь к тому. Можно использовать пустую папку на любом томе NTFS или создать новую папку непосредственно в окне просмотра (рис. 4.3).
4. Нажмите кнопку ОК, закройте все открытые ранее окна. Теперь доступ к тому можно получить с помощью указанного нового пути.



Рис. 4.1. В данном окне можно менять букву диска или пути доступа к этому диску



Рис. 4.2. Укажите имя пустой папки, которая будет использоваться для доступа к выбранному тому



Рис. 4.3. Это окно позволяет выбрать существующую пустую папку в файловой системе или создать новую папку

Для удаления точки соединения (размонтирования тома):
1. Запустите оснастку Disk Management (Управление дисками).
2. Укажите нужный целевой том файловой системы и нажмите правую кнопку мыши. В открывшемся контекстном меню выберите команду Change Drive Letter and Path (Изменить букву диска или путь к диску).
3. В открывшемся окне (рис. 4.4) выберите путь и нажмите кнопку Remove (Удалить).
4. В открывшемся окне подтвердите правильность выполняемого действия.



Рис. 4.4. Это окно показывает, что доступ к тому L: может осуществляться с помощью указанных путей. Можно удалить некоторый путь или добавить новый

Теперь доступ к выбранному тому с помощью точки соединения становится невозможен. Все описанные выше операции никак не влияют на содержимое указанного тома.



Назначение прав доступа (разрешений) для файлов и папок


Устанавливая пользователям определенные разрешения (permissions) на доступ к файлам и каталогам (папкам), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь имеет определенный набор разрешений на доступ к каждому объекту файловой системы.
Кроме того, пользователь может быть владельцем файла или папки, если сам их создает. Вопросы передачи права владения рассматриваются ниже в разд. "Передача права владения ".
Разрешения пользователя на Доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, т. е. те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные.
Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении (Deny) имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение No Access, применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к какому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Full Control (Полный доступ) для данного объекта файловой системы.



Назначение разрешений для файлов


В Windows XP и Windows Server 2003 процедура редактирования разрешений несколько изменилась по сравнению с Windows 2000, поскольку появились дополнительные возможности поиска и выбора групп и пользователей. В отличие от Windows XP, на системах Windows Server 2003 вкладка Security (Безопасность) в окне свойств файлов и папок отображается всегда, даже на компьютерах, не входящих в домен.

Напомним, что разрешения поддерживаются только на файловой системе NTFS, поэтому не удивляйтесь, если вы не увидите вкладку Security (Безопасность) в свойствах дисковых томов, отформатированных для FAT или FAT 32.

Все операции по работе с разрешениями выполняются из окна программы Windows Explorer. Для назначения пользователю или группе разрешения на доступ к определенному файлу:
1. Выберите файл и нажмите правую кнопку мыши. Выполните команду Properties (Свойства) контекстного меню. В появившемся окне свойств файла перейдите на вкладку Security (Безопасность) (рис. 4.5).
2. На панели Group or user names (Имена групп или пользователей) показан список пользователей и групп, которым уже предоставлены разрешения для данного файла. Для того чтобы добавить или удалить пользователей
или группы, нажмите кнопку Add (Добавить) или Remove (Удалить) соответственно. При добавлении пользователей появится диалоговое окно Select Users, Computers, or Groups (Выбор: Пользователи, компьютеры или группы) (рис. 4.6).



Рис. 4.5. Вкладка Security окна свойств файла



Рис. 4.6. Диалоговое окно для выбора пользователя или группы

3. Здесь у вас две возможности: вы можете сразу ввести имя в поле Enter the object names to select и нажать кнопку Check Names для проверки введенного имя; если имя правильное, нажмите кнопку ОК. Для поиска нужных имен можно нажать кнопку Advanced. При этом откроется модифицированное окно Select Users, Computers, or Groups, в котором нужно нажать кнопку Find Now (Найти). (На компьютерах — членах домена в этом окне можно также задавать критерии поиска.) В нижней половине окна появится список всех групп и пользователей, имеющихся на компьютере или в домене (рис. 4.7). Выберите необходимое имя и нажмите кнопку ОК. Выбрав нужные имена в окне Select Users, Computers, or Groups, закройте его, нажав кнопку ОК.



Рис. 4.7. Список пользователей и групп на данном компьютере или в домене

4. Теперь на панели Permissions (Разрешения) вкладки Security можно назначить или запретить стандартные разрешения для файлов — Full Control (Полный доступ), Modify (Изменить), Read & Execute (Чтение и выполнение), Read (Чтение) и Write (Запись). Для установки разрешения или отказа в разрешении служат флажки Allow (Разрешить) и Deny (Запретить). На вкладке также присутствует кнопка Advanced (Дополнительно), нажав которую можно перейти в окно для задания особых разрешений и опций управления наследованием разрешений.

Отказ в одном из разрешений на панели Permissions может вызвать отказ во множестве разрешений. Например, если отказать в разрешении Full Control, это приведет к отказу во всех остальных разрешениях. Отказ в определенном разрешении (флажок Deny установлен) не эквивалентен отсутствию этого разрешения (флажок Allow снят). Если, например, пользователю разрешен доступ к дереву каталогов (а это разрешение по умолчанию наследуется всеми дочерними объектами), где есть файл, для которого данный пользователь не должен иметь унаследованного разрешения (т. е. установлен запрет), применяется функция запрета доступа, как более приоритетная. По умолчанию разрешение пользователя для папки, в которой находится данный файл, наследуется самим файлом. Чтобы запретить наследование разрешений, следует снять флажок Allow inheritable permissions from the parent to propagate to this object and all child objects (Переносить наследуемые от родительского объекта разрешения на этот объект) (см. рис. 4.8).

Каждое из перечисленных выше стандартных разрешений состоит из набора специальных (особых) разрешений, задающих возможность выполнения того или иного конкретного действия с файлами или каталогами. В табл. 4.7 показано соответствие стандартных и специальных разрешений. Более детально установка специальных разрешений рассмотрена ниже.

Таблица 4.7.Соответствие стандартных и специальных разрешений для файлов

Специальные разрешения
  Стандартные разрешения
 
Full Control
Modify
Read& Execute
Read
Write
Traverse Folder/Execute File
(Обзор папок/ Выполнение файлов)
+
+
+
 
List Folder/Read Data
(Содержание папок/ Чтение данных)
+
+
+
+
Read Attributes (Чтение атрибутов)
+
+
+
+
Read Extended Attributes (Чтение дополнительных атрибутов)
+
+
+
+
Creat Files/Write Data (Создание файлов/Запись данных) + + +
Create Folders/Append Data (Создание папок/ Дозапись данных)
+ + +
Write Attributes (Запись атрибутов) + + +
Write Extended Attributes (Запись дополнительных атрибутов) + + +
Delete (Удаление) + +
Read Permissions (Чтение разрешений) + + + +
Change Permissions (Смена разрешений) +
Take Ownership (Смена владельца)
+

Для более тонкой настройки доступа к файлу:
1. На вкладке Security нажмите кнопку Advanced. Появится окно Advanced Security Settings (Дополнительные параметры безопасности), в Windows ХР и Windows Server 2003 оно несколько отличается от аналогичного окна в Windows 2000. На вкладке Permissions отображен список элементов управления доступом для данного файла (рис. 4.8) с именами пользователей или групп, которым предоставлены разрешения для данного объекта, и сами эти разрешения. Обратите внимание на столбец Inherited From (Наследовано от). Вы можете видеть, от какого объекта данный файл унаследовал установленное разрешение для конкретного пользователя или группы. В данном примере видно, что разрешение Deny не унаследовано, т. е. задано конкретно для этого файла. Большинство разрешений наследуются от родительской папки Е:\, а разрешение для пользователя alex@net.dom хоть и унаследовано, но задано на более низком уровне — на уровне вложенной папки E:\Web. Таким образом, можно получить достаточно полную картину "происхождения" всех разрешений.
2. Флажок Allow inheritable permissions from the parent to propagate to this object and all child objects (Переносить наследуемые от родительского объекта разрешения на этот объект) позволяет управлять наследованием разрешений от родительского объекта. Если он сброшен, то все разрешения определяются только явно для выбранного файла, а наследование разрешений будет отменено. Если флажок сбрасывается, система предлагает либо скопировать унаследованные разрешения и применить их явно к файлу, либо удалить и оставить только явно заданные разрешения.



Рис. 4.8. Окно дополнительных параметров безопасности для файла

3. Чтобы отредактировать строку в окне Advanced Security Settings, сделайте на ней двойной щелчок, либо нажмите кнопку Edit (Изменить). Появится окно Permissions Entry (Элемент разрешения) (рис. 4.9), где можно предоставить одно или несколько специальных разрешений (special permissions) для файла (или отказать в разрешении), не объединенных в стандартное разрешение (табл. 4.8). Обратите внимание на то, что разрешения, унаследованные от родительских объектов, изменять нельзя, и они отмечены серым цветом.



Рис. 4.9. Окно для редактирования специальных разрешений доступа к файлу

Таблица 4.8. Специальные разрешения для файлов и каталогов

Специальное разрешение
Описание
Traverse Folder / Execute File
Определяет возможность перемещения по каталогам файловой системы вне зависимости от того, имеет или не имеет пользователь разрешения для просмотра пересекаемых в процессе перемещения каталогов. На работу этого разрешения влияет политика безопасности Bypass Traverse Checking (Обход перекрестной проверки) (см. узел Local Policies | User Rights Assignment в параметрах безопасности). Разрешение Execute File (Выполнение файлов) определяет возможность исполнения программ
List Folder / Read Data
Определяет возможность просмотра имен файлов или подкаталогов данного каталога (относится только к каталогу). Разрешение Read Data (Чтение данных) определяет возможность просмотра данных файла
Read Attributes
Определяет возможность просмотра атрибутов файла или каталога. Сами атрибуты определяются операционной системой
Read Extended Attributes
Определяет возможность просмотра дополнительных атрибутов файла или каталога. Сами дополнительные атрибуты определяются операционной системой
Create Files /Write Data
Определяет возможность создания файлов внутри каталога (относится только к каталогам). Разрешение Write Data (Запись данных) определяет возможность изменения содержимого файлов или перезаписи существующих данных файла новой информацией (относится только к файлам)
Create Folders / Append Data
Определяет возможность создавать подкаталоги внутри данного каталога (относится только к каталогам). Разрешение Append Data (Дозапись данных) определяет возможность присоединения новых данных к существующему файлу без изменения, уничтожения или перезаписи существующей информации (относится только к файлам)
Write Attributes
Определяет возможность изменения атрибутов файла или каталога. Атрибуты определяются операционной системой
Write Extended Attributes
Определяет возможность изменения дополнительных атрибутов файла или каталога. Дополнительные атрибуты определяются программой и могут быть ею изменены
Delete Subfolders and Files
Определяет возможность удаления подкаталогов и файлов, находящихся в данном каталоге, даже если для этих подкаталогов и файлов нет разрешения Delete (Удаление). Это разрешение имеется только у каталогов
Delete
Определяет возможность удаления файла или каталога. Если вам отказано в разрешении Delete (Удаление) для данного каталога или файла, вы все же можете удалить их, получив разрешение Delete Subfolders and Files (Удаление подпапок и файлов) на родительский каталог
Read Permissions
Определяет возможность чтения таких разрешений для файлов и каталогов, как Full Access, Read и т. д.
Change Permissions
Определяет возможность изменения таких разрешений для файлов и каталогов, как Full Access, Read и т. д.
Take Ownership
Определяет возможность вступления во владение данным файлом или каталогом. Владелец файла или каталога может всегда изменить разрешения к этому объекту, независимо от других разрешений


Назначение разрешений для папок


Процедура установки разрешений для папок практически не отличается от описанной выше процедуры назначения разрешений для файлов.
Для назначения разрешения на доступ к каталогу (папке) пользователю или группе:
1. Укажите каталог и нажмите правую кнопку мыши. Выберите команду Properties контекстного меню. В появившемся окне свойств каталога перейдите на вкладку Security (рис. 4.10).



Рис. 4.10. Вкладка Security окна свойств папки

2. Как и в случае установки разрешений для файлов, предоставление и удаление разрешений пользователям и группам выполняется с помощью кнопок Add и Remove. Список стандартных разрешений на панели Permissions для каталога несколько отличается от набора разрешений для файла (табл. 4.9). Кроме того, нужно помнить, что разрешения для каталогов по умолчанию распространяются на находящиеся в них файлы и каталоги.

Таблица 4.9. Соответствие стандартных и специальных разрешений для папок

Специальные разрешения
  Стандартные разрешения 
Full Control
Modify
Read& Execute
List Folder Contents
Read
Write
Traverse Folder/Execute File
(Обзор папок/ Выполнение файлов)
+
+
+
+
 
List Folder/Read Data
(Содержание папок/ Чтение данных)
+
+
+
+
+
Read Attributes (Чтение атрибутов)
+
+
+
+
+
Read Extended Attributes
(Чтение дополнительных атрибутов)
+
+
+
+
+
Create Files/Write Data
(Создание файлов/ Запись данных)
+
+
      +
Create Folders/Append Data
(Создание папок/ Дозапись данных)
+
+
      +
Write Attributes (Запись атрибутов)
+
+
      +
Write Extended Attributes
(Запись дополнительных атрибутов)
+
+
      +
Delete Subfolders and Files
(Удаление подпапок и файлов)
+
       
Delete (Удаление)
+
+
     
Read Permissions (Чтение разрешений)
+
+
+
+
+
Change Permissions (Смена разрешений)
+
       
Take Ownership (Смена владельца)
+
       

3. На панели Permissions можно назначить или запретить стандартные разрешения для каталогов, аналогичные разрешениям для файлов (см. предыдущий раздел), а также разрешение List Folder Contents (Список содержимого папки). По умолчанию подкаталоги наследуют разрешения пользователя к родительскому каталогу. Если наследование разрешений необходимо запретить, снимите флажок Allow inheritable permissions from the parent to propagate to this object and all child objects (Переносить наследуемые от родительского объекта разрешения на этот объект) в окне дополнительных параметров (см. ниже).
Чтобы выполнить более тонкую настройку доступа к папке, на вкладке Security нажмите кнопку Advanced. Появится диалоговое окно Advanced Security Settings (рис. 4.11), в котором будет отображен список элементов управления доступом к данной папке. Как и для файлов, в этом окне в столбце Inherited From можно видеть "происхождение" каждого разрешения, действующего на выбранную папку.



Рис. 4.11. Окно дополнительных параметров безопасности для папки

Флажок Allow inheritable permissions from the parent to propagate to this object and all child objects (Переносить наследуемые от родительского объекта разрешения на этот объект) позволяет управлять наследованием разрешений от родительской папки. Если он сброшен, то все разрешения определяются только явно для выбранной папки, а наследование разрешений будет отменено. Если флажок сбрасывается, система предлагает либо скопировать унаследованные разрешения и применить их явно к папке, либо удалить и оставить только явно заданные разрешения.
Установленный флажок Replace permission entries on all child objects with entries shown here that apply to child objects (Заменить разрешения для дочерних объектов разрешениями, перечисленными для этой папки) позволяет принудительно переопределить разрешения для дочерних объектов, если даже последние имели явно определенные разрешения или сброшенный флажок наследования разрешений. При этом все дочерние папки и файлы будут иметь те же разрешения, что и у выбранной папки, и наследование от родительских объектов будет восстановлено.



Рис. 4.12. Специальные разрешения для папки

Чтобы отредактировать строку в окне Advanced Security Settings, сделайте на ней двойной щелчок, либо нажмите кнопку Edit. Появится окно Permission Entry (рис. 4.12), где можно установить специальные разрешения и указать область их действия (список Apply onto (Применять)):
 This folder only (Только для этой папки);  This folder, subfolders and files (Для этой папки, ее подпапок и файлов);  This folder and subfolders (Для этой папки и ее подпапок);  This folder and files (Для этой папки и ее файлов);  Subfolders and files only (Только для подпапок и файлов);  Subfolders only (Только для подпапок);  Files only (Только для файлов).

Если не установлен флажок Apply these permissions to object and/or containers within this container only (Применять эти разрешения к объектам и контейнерам только внутри этого контейнера), установленные вами разрешения будут распространяться не только на объекты, определенные в списке Apply onto, но и на все объекты, находящиеся ниже по дереву.

Определение действующих разрешений для срайлов и папок


Как уже говорилось, пользователь или группа получают разрешения на доступ к файлам или папкам непосредственно и через членство в группах (учтите, что в доменах Windows 2000 и Windows Server 2003 группы могут быть членами других групп). Поэтому, когда возникает вопрос "а какие же в конце концов права имеет данный пользователь?", ответ получить не так просто и быстро. Системы Windows XP Professional и Windows Server 2003 предлагают новую возможность — определение действующих разрешений (effective permissions).

Упомянутое средство особенно хорошо работает в домене, а для компьютеров — членов рабочей группы данная возможность, похоже, реализована "не до конца": вы можете определить разрешения только для пользователей или групп, непосредственно указанных в окне Security (Безопасность). Если же пользователь получает разрешения через членство в группе, то никакие разрешения не отображаются.

Как выполняется процедура определение действующих разрешений — рассмотрим на примере. Допустим, пользователь Mike, входящий в группу Managers, имеет для файла Picture.jpg разрешения Write, в то время как для группы определено разрешение Read. Чтобы определить все права, которые пользователь имеет в отношении данного файла, нужно выполнить следующие операции:
1. Выберите файл и перейдите на вкладку Security (Безопасность).
2. Нажмите кнопку Advanced (Дополнительно) и в окне Advanced Security Settings (Дополнительные параметры безопасности) перейдите на вкладку Effective Permissions (Действующие разрешения).
3. Нажмите кнопку Select (Выбрать). Откроется окно Select Users, Computers, or Groups (Выбор: Пользователи, компьютеры или группы), аналогичное тому, какое появляется при добавлении разрешений (см. рис. 4.6).
4. Выберите пользователя и нажмите кнопку ОК.
Теперь на вкладке Effective Permissions (Действующие разрешения) будут отображены все разрешения, которые выбранный пользователь имеет по отношению к данному объекту (рис. 4.13). Как можно видеть, пользователь Mike имеет и прямое разрешение Write, и косвенное разрешение Read через членство в группе Managers.



Рис. 4.13. Вкладка Effective Permissions позволяет увидеть все разрешения для выбранного пользователя или группы

При определении действующих разрешений нужно помнить о том, что пользователь может иметь права на операции с объектом, назначенные не с помощью механизма разрешений, а через политики безопасности. Например, пользователь может изменять владельца объекта, даже если у него нет разрешения Take Ownership, однако если такое право ему дано в политиках безопасности.



Сжатие файлов и папок


Системные средства сжатия удобны тем, что их работа практически не сказывается на скорости обращения к данным. Можно шифровать как всю папку целиком (вместе с содержимым), так и отдельные файлы. Нужно лишь помнить о том, что операции сжатия данных и их шифрования (с помощью EFS) являются несовместимыми, т. е. исключающими друг друга (см. подробности в главе 22 "Средства безопасности Windows Server 2003")!
Чтобы разрешить/запретить сжатие файла или папки, нужно в программе Windows Explorer выбрать объект, открыть окно свойств и нажать кнопку Advanced (Дополнительно). В окне дополнительных атрибутов (рис. 4.14) следует установить/сбросить флажок Compress contents to save disk space (Сжимать содержимое для экономии пространства), нажать кнопку OK, a затем закрыть окно свойств. По умолчанию папки сжимаются вместе со всем содержимым.



Рис. 4.14. Окно дополнительных атрибутов



Квоты дискового пространства


Администрирование больших компьютерных сетей, где серверы поддерживают работу сотен пользователей, сопряжено с рядом сложностей. Одна из них — учет дискового пространства сервера, занятого файлами сотрудников компании. Как правило, пользователи, хранящие свои файлы на сервере, мало заботятся об актуальности информации и об уничтожении устаревших или ненужных данных. Множество временных файлов и копий одного и того же файла, находящихся в различных папках, лишь усугубляют ситуацию. В результате в считанные месяцы даже на больших жестких дисках сервера может не оказаться необходимого для работы свободного пространства.
Как правило, в больших организациях дерево папок весьма разветвлено, поэтому визуальный контроль расходования дискового пространства пользователями отнимает у администраторов много времени и усилий.
Подобная проблема просто решается с помощью введения квот на дисковое пространство, доступное для работы каждому пользователю. В предыдущих версиях операционной системы Windows NT не было штатных возможностей ввести квоту на доступное дисковое пространство, поэтому любой пользователь мог распоряжаться всем пространством жестких дисков компьютера. В Windows 2000/XP и Windows Server 2003 администратор может квотировать дисковое пространство по каждому тому и для каждого пользователя. (Из этого следует, что невозможно задать квоту для отдельных папок или групп.)
Система учитывает общее пространство, занимаемое файлами, владельцем которых является контролируемый пользователь: если пользователь владеет файлом, размер последнего добавляется к общей сумме занимаемого пользователем дискового пространства. Важно отметить, что, поскольку квотирование выполняется на уровне тома, не имеет значения, находится ли том на одном физическом жестком диске или на различных устройствах. И наоборот, если на одном физическом диске хранится несколько томов, то квотирование может осуществляться индивидуально по каждому тому.
После установки квот дискового пространства пользователь сможет хранить на томе ограниченный объем данных, в то время как на этом томе может оставаться свободное пространство. Если пользователь превышает выданную ему квоту, в журнал событий вносится соответствующая запись. Затем, в зависимости от конфигурации системы, пользователь либо сможет записать информацию на том (более "мягкий" режим ограничений), либо ему будет отказано в записи из-за отсутствия свободного пространства ("жесткий" режим).
Квоты можно использовать на локальных и общих дисках (в этом случае общий доступ должен быть разрешен на уровне корневого каталога тома). Сжатие файлов не имеет значения при вычислении занятого пространства — всегда учитывается размер исходного несжатого файла.
Устанавливать и просматривать квоты на диске можно только в разделе с NTFS 5.0 и при наличии необходимых полномочий (задаваемых с помощью локальных или доменных групповых политик) у пользователя, устанавливающего квоты. По умолчанию для работы с квотами нужно быть членом группы Administrators.
Для установки квоты:
1. Укажите мышью конфигурируемый том и нажмите правую кнопку мыши. В появившемся контекстном меню выберите команду Properties. Появится окно свойств тома. Перейдите в нем на вкладку Quota (Квота) (рис. 4.15).



Рис. 4.15. Вкладка Quota окна свойств тома

2. Установив флажок Enable quota management (Включить управление квотами), вы включите квотирование конфигурируемого тома. В этом случае будет установлен мягкий режим контроля используемого дискового пространства. Если вы хотите задать более жесткий режим, при котором пользователю в случае превышения квоты будет отказано в доступе к тому, установите флажок Deny disk space to users exceeding quota limit (He выделять место на диске при превышении квоты). Тогда на этой же вкладке нужно установить размер выделяемой квоты (переключатель Limit disk space to (Выделять на диске не более)) и порог, превышение которого вызывает запись предупреждения в журнал событий (поле Set warning level to (Порог выдачи предупреждений)). Эти параметры устанавливаются по умолчанию одинаковыми для всех пользователей.
Чтобы узнать, какие пользователи превысили выделенную им квоту (в мягком режиме), нажмите кнопку Quota Entries (Записи квот). Появится окно Quota Entries (рис. 4.16), где будет отображен список пользователей с параметрами их квот и объемом используемого ими дискового пространства.



Рис. 4.16. Диалоговое окно Quota Entries со списком пользователей и их дисковыми квотами

Учетные записи пользователей, которые превысили установленную для них квоту, отмечены специальным значком в столбце Status (Состояние).
В окне Quota Entries можно изменить параметры квоты, задаваемые по умолчанию для конкретного пользователя. Для этого выберите конфигурируемую строку и дважды щелкните на ней — появится диалоговое окно Quota Settings (Параметры квоты) (рис. 4.17). В этом окне можно, например, увеличить общее для всех значение квоты.
Если некоторый пользователь превысил свою квоту и установлен флажок Log event when a user exceeds their quota limit (Регистрировать превышение пользователем квоты), то в системном журнале регистрируется событие, аналогичное приведенному на рис. 4.18. Если при этом задан "жесткий" режим ограничений на расходуемое дисковое пространство (отказ в записи) (флажок Deny disk space to users exceeding quota limit установлен), то при выполнении любой операции записи в квотируемый том, требующей дополнительного пространства, пользователь получит предупреждение, аналогичное изображенному на рис. 4.19.



Рис. 4.17. Диалоговое окно Quota Settings



Рис. 4.18. Превышение пользователем установленной квоты может регистрироваться в журнале системы

Имеется одна особенность, связанная с операцией удаления имени пользователя из списка записей квот (см. рис. 4.16). Если пользователь записал хоть один файл на указанном томе, то его имя просто так удалить нельзя: необходимо сначала удалить всю "принадлежащую" ему информацию. (Для этого администратор может стать владельцем файла и выполнить нужные операции.) Это требование дает "побочный эффект", очень удобный для администратора: при попытке удаления имени пользователя, имеющего личные файлы на томе, легко увидеть, какие именно файлы принадлежат этому пользователю. Дело в том, что при попытке удаления строки из списка за-
писей квот выводится окно с перечнем файлов, принадлежащих выбранному пользователю (рис. 4.20). В этом же окне администратор может (при необходимости) выполнить операции с отображаемыми файлами: стать их владельцем, удалить или переместить в другое место.



Рис. 4.19. Это сообщение указывает пользователю, что при копировании указанного файла он превышает квоту, установленную для него на целевом томе



Рис. 4.20. В этом окне перечисляются все файлы (вместе с их точным местоположением), принадлежащие выбранному пользователю на указанном томе с включенным квотированием

В Windows XP и Windows Server 2003 для выполнения любых операций с квотами можно также использовать утилиту командной строки Fsutil.exe.



Передача права владения


В предыдущих версиях Windows NT право владения файлом или папкой являлось характеристикой, жестко привязанной к создателю данного объекта. Пользователь, создавший файл или папку, становился владельцем этого объекта. Право владения не могло быть передано другому пользователю. Единственное исключение составлял администратор, который мог стать владельцем файла или папки. Сам пользователь не мог передать право владения папкой или файлом другому пользователю.
Операционные системы Windows 2000/XP и Windows Server 2003 обеспечивают более гибкое пользование таким средством обеспечения безопасности информации, как право владения объектом файловой системы. Теперь администратор или уполномоченный пользователь может назначить любого пользователя владельцем какого-либо объекта файловой системы (эта возможность имеется только в Windows Server 2003) или пользователь сам может стать владельцем объекта, не созданного им самим. Естественно, что для этого он должен иметь необходимые разрешения (право Take Ownership). Кроме того, с помощью локальных или доменных политик безопасности можно указывать, какие пользователи всегда могут становиться владельцами файлов или других объектов (по умолчанию такое право имеют только администраторы), при этом они могут даже не иметь никаких разрешений для этого объекта.

Из вышесказанного следует принцип восстановления разрешений для любого объекта (в том числе для объектов, у которых ошибочно удалены все разрешения): нужно стать его владельцем, а затем установить нужные разрешения для других пользователей и групп.

Для передачи владения объектом файловой системы или для просмотра текущего владельца файла или папки откройте соответствующее окно свойств, перейдите на вкладку Security, затем нажмите кнопку Advanced. Появится окно Advanced Security Settings. Перейдите на вкладку Owner (Владелец) этого окна (рис. 4.21).
Текущий владелец объекта виден в поле Current owner of this item (Текущий владелец этого элемента). В поле Change owner to (Изменить владельца на) перечислены учетные записи, обладающие правом изменения владельца данного объекта файловой системы (т. е. для которых установлен флажок Take Ownership в разрешениях на доступ к объекту или право изменения владельца получено через политики безопасности; если у пользователя это разрешение отсутствует, то просмотр данной информации ему запрещен). Выделите учетную запись пользователя, которому вы хотите передать право владения, и нажмите кнопки Apply (Применить) и ОК.



Рис. 4.21. Вкладка Owner диалогового окна Advanced Security Settings

В Windows Server 2003 администратор или другой пользователь, получивший (через соответствующую политику безопасности) право изменения владельцев объектов, может нажать кнопку Other Users or Groups (Другие пользователи или группы) и выбрать пользователя (или группу), которого он хочет назначить владельцем объекта. Пример нового владельца папки показан на рис. 4.21. Теперь, если нажать кнопку Apply или ОК, выбранный пользователь станет владельцем папки.
На вкладке Owner для папок имеется флажок Replace owner on subcontainers and objects, установив который можно поменять владельца для всех вложенных папок и файлов.



Разделы и тома


В отличие от ранних операционных систем производства компании Microsoft, позволяющих использовать физические диски только в базовом режиме хранения информации (basic storage), в системах Windows 2000/XP существует новый тип хранения информации — диски с динамическим режимом хранения данных (dynamic storage). Диск, инициализированный для динамического режима хранения, называется динамическим диском (dynamic disk).
Используя динамические диски, можно без перезагрузки операционной системы управлять дисками и томами, а также динамически расширять тома. Для клиентских систем — это, пожалуй, единственное преимущество динамических дисков, да и то не слишком ценное, поскольку на рабочих станциях диск обычно один и размечается "раз и навсегда". Поэтому эффект от использования Динамических дисков можно в первую очередь получить на серверных платформах, имеющих сложную дисковую конфигурацию. Дисковая система этих систем может состоять из любой комбинации базовых и динамических дисков. Однако том, состоящий из нескольких дисков, должен иметь один режим хранения данных.
Для начала определимся с терминологией. В табл. 4.10 перечислены основные понятия для базовых и динамических дисков: понятию, указанному в одной колонке таблицы, соответствует логический эквивалент из соседней колонки той же строки.

Таблица 4.10. Организация базовых и динамических дисков

Базовый диск
Динамический диск
Системный (system partition) и загрузочный разделы (boot partition)
Системный (system volume) и загрузочный тома (boot volume)
Основной раздел (primary partition)
Простой том (simple volume)
Дополнительный раздел (extended partiotion)
Простые тома и свободное пространство диска
Логический диск (logical drive)
Простой том
Набор томов (volume set)
Составной том (spanned volume)
Чередующийся набор (stripe set without parity)
Чередующийся том (stripped volume)
Зеркальный набор (mirror set)
Зеркальный том (mirrored volume)
Чередующийся набор с четностью (stripe set with parity)
Том RAID-5 (RAID-5 volume)


Базовый режим хранения информации


Разделом является часть базового диска, функционирующая как логическая автономная единица.
Основной раздел (primary partition) зарезервирован для использования операционной системой. Каждый физический диск может иметь до четырех основных разделов (или до трех, если создан дополнительный раздел).
Дополнительный раздел (extended partition) создается с использованием оставшегося свободного пространства диска и может быть разделен на логические диски. На каждом физическом диске может быть только один дополнительный раздел.
Базовые диски поддерживаются MS-DOS и любыми системами Windows, следовательно только их можно использовать в конфигурациях с множественной загрузкой.
Системы Windows XP и Windows Server 2003 не поддерживают созданные в Windows NT 4.0 многодисковые базовые конфигурации: наборы томов, зеркальные и чередующиеся наборы, а также чередующиеся наборы с четностью. В этих системах (на дисках с MBR) с базовыми дисками возможны следующие операции:
 создание основных разделов и дополнительного раздела (4 основных или 3 основных и одного дополнительного на каждом диске);  создание логических дисков (в дополнительном разделе);  расширение базового тома с помощью команды DiskPart.exe (см. подробности этой операции в справочной системе).

Базовый диск в любой момент можно превратить в динамический без потери информации. Обратная процедура требует предварительной архивации данных на всех дисках, т. к. вся информация на диске при этом теряется.



Динамический режим хранения информации


Динамический диск подразделяется не на разделы, а на тома. Том состоит из одного или нескольких физических дисков в одной из следующих конфигураций:
 простой том;   чередующийся том;   составной том;   том RAID-5.  зеркальный том; 

Базовый диск в любой момент может быть превращен в динамический диск без потери информации; обратное преобразование приводит к потере данных.

Отказоустойчивые тома — зеркальные и тома RAID-5 — поддерживаются только на серверных платформах (Windows 2000 Server и Windows Server 2003)! Однако системы Windows 2000 Professional и Windows XP можно использовать для удаленного администрирования таких томов.
Динамические диски недоступны для компьютеров под управлением MS-DOS, Windows 95, Windows 98, Windows ME, Windows NT 4.0 и Windows Server 2003 Home Edition.
Динамические диски не поддерживаются на портативных компьютерах, съемных (removable) и переносимых (detachable) дисках (подключенных по шинам USB или IEEE 1394 (FireWire).
Не преобразовывайте базовые диски в динамические, если на этих дисках имеются другие инсталляции Windows 2000, Windows XP или Windows Server 2003 — после преобразования эти системы не смогут загружаться. На одном динамическом диске может быть установлена только одна операционная система (из перечисленных).
Выполнить новую инсталляцию Windows Server 2003 можно только на динамический том, который был преобразован из базового загрузочного или системного (содержащего файлы операционной системы) тома. Если динамический том был создан из свободного пространства, то устанавливать систему на него нельзя.

Свободное пространство — это неиспользованная и неформатированная часть жесткого диска, которая может быть задействована при создании томов.
Системный том содержит файлы, жестко привязанные к оборудованию (Ntldr, Boot.ini, Ntdetect.com), необходимые для загрузки системы.
Загрузочный том содержит файлы операционной системы Windows Server 2003, расположенные в папках %SystemRoot% и %SystemRoot9S\system32.
Том — это логическая единица хранения, образованная из свободного (unallocated) пространства на одном или нескольких дисках. Том может быть отформатирован средствами файловой системы с присвоением ему имени (литеры) или смонтирован как папка имеющегося тома. На динамических дисках обычно используется NTFS (а есть ли смысл использовать другую систему с учетом имеющихся ограничений?!), однако с помощью команды Format том можно отформатировать под FAT 16 или FAT32. Тома на динамических дисках могут иметь одну из нескольких структур: простой, составной, зеркальный, чередующийся том и том RAID-5.
Простой том использует пространство одного физического диска. Это может быть один участок на диске или несколько участков, соединенных друг с другом. Простой том может быть расширен в пределах одного диска или на дополнительный диск. Если простой том распространяется на несколько дисков, он становится составным томом. Простой том не обеспечивает отказоустойчивости.
Составной том состоит из связанного вместе пространства нескольких дисков (до 32 дисков). Он может быть распространен на дополнительные диски и не может принимать участие в зеркальных системах. Составные тома создаются, когда ни на одном жестком диске нет достаточного свободного пространства. Кроме того, создавая составные тома, можно распределять нагрузку на дисковые системы. Составные тома не обеспечивают отказоустойчивости. Поскольку тома такого типа расположены на нескольких жестких дисках, возрастает вероятность их отказа, связанного с выходом из строя одного из дисков.
Зеркальный том — это средство обеспечения отказоустойчивости, для чего данные дублируются на двух физических дисках. Все данные одного диска копируются на дополнительный диск, что обеспечивает возможность получения избыточности данных. Если один из дисков отказывает, данные могут быть доступны на уцелевшем диске зеркала. Зеркальный том не может быть расширен. Зеркало также известно как RAID-1. Зеркальными можно делать практически любые тома, включая системный и загрузочный.
Данные на чередующемся томе разбиваются при записи и помещаются на несколько физических дисков, причем информация равномерно распределяется среди всех дисков, входящих в состав такого тома. Такой подход удобен при необходимости быстрой записи или считывания с физических дисков большого объема информации. Скорость работы с дисковой системой увеличивается за счет распараллеливания потоков данных и одновременной записи или считывания информации с дисков тома. "Расщепление" информации также полезно при балансировке нагрузки ввода/вывода в многопользовательских приложениях. Тома с чередованием записываемой информации не обеспечивают отказоустойчивость. Том такого типа не может входить в зеркальный набор и его нельзя расширить. Чередование данных известно как RAID-0.
Том RAID-5 является средством обеспечения отказоустойчивости дисковой системы, поскольку данные тома расщепляются при записи на три или большее количество дисков. Том RAID-5 обеспечивает избыточность информации, благодаря подсчету контрольной суммы данных, расположенных на каждом диске. Контрольная сумма (вычисляемая величина, которая может быть использована для восстановления данных в случае их разрушения) также расщепляется и записывается на все диски массива. Если отказывает один из дисков массива, то информация, которая на нем находилась, может быть восстановлена с использованием данных работоспособных дисков и контрольной суммы. Том RAID-5 не может входить в зеркальный набор и его нельзя расширить.