为了保护服务器共享文件的安全，需要设置共享文件访问权限，防止随意访问共享文件的行为。那么，如何快速有效地控制对NTFS磁盘分区上网络资源的访问呢？

答案就是利用默认的共享文件夹权限先设置共享文件夹，然后，通过授予NTFS权限控制对这些文件夹的访问。当共享的文件夹位于NTFS格式的磁盘分区上时，该共享文件夹的权限与NTFS权限进行组合，就可用以保护文件资源。

要为共享文件夹设置NTFS权限，可在Windows Server 2012 R2上的"共享文件夹 属性"对话框中选择"共享权限"选项卡，如图 1所示。

图 1

共享文件夹的权限具有以下特点：共享文件夹权限只适用于文件夹，而不适用于单独的文件，并且只能为整个共享文件夹设置共享权限，而不能对共享文件夹中的文件或子文件夹进行设置。所以，共享文件夹不如NTFS文件系统权限详细。共享文件夹权限并不对直接登录到计算机上的用户起作用，只适用于通过网络连接该文件夹的用户，即共享权限对直接登录到服务器上的用户是无效的。在FAT/FAT32系统卷上，共享文件夹权限是保证网络资源被安全访问的方法。原因很简单，就是NTFS权限不适用于FAT/FAT32卷。默认的共享文件夹权限是读取，并被指定给Everyone组，如图 2所示。

图 2

共享权限分为读取、修改和完全控制，不同权限以及对用户访问能力的控制如下所述：读取权限，允许用户完成的操作是显示文件夹名称、文件名称、文件数据和属性，运行应用程序文件，改变共享文件夹内的文件夹。修改权限，允许用户完成的操作是创建文件夹，向文件夹中添加文件，修改文件中的数据，向文件中追加数据，修改文件属性，删除文件夹和文件，执行"读取"权限所允许的操作。完全控制权限，允许用户完成的操作是修改文件权限，获得文件的所有权。执行"修改"和"读取"权限所允许的所有任务。默认情况下，Everyone组具有该权限。

当管理员对NTFS权限和共享文件夹的权限进行组合时，结果是组合的NTFS权限，或者是组合的共享文件夹权限，哪个范围更窄则选择哪一个。

当在NTFS卷上为共享文件夹授予权限时，应遵循以下规则：可以对共享文件夹中文件和子文件夹应用NTFS权限，可以对共享文件夹中包含的每个文件和子文件夹应用不同的NTFS权限。除共享文件夹权限外，用户必须有该共享文件夹包含的文件和子文件夹的NTFS权限，才能访问那些文件和子文件夹。在NTFS卷上必须要求NTFS权限，默认Everyone组具有"完全控制"权限，如图 3所示。

图 3

同时，单纯依靠操作系统设置共享文件夹访问权限，不能完全防止共享文件越权访问的行为。这种情况下，可以借助第三方的共享文件夹访问控制软件来实现。

大势至局域网共享文件管理系统（下载地址：http://www.dashizhi.com/products_technology/products/12.html）是一套专门设置服务器共享文件访问权限，防止随意访问共享文件的软件。通过本系统可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存到本地磁盘、只让修改共享文件而禁止删除共享文件，以及禁止拖动共享文件、禁止打印共享文件、禁止剪切共享文件等，防止泄露服务器共享文件的行为。如下图所示：

总之，有效保护服务器共享文件的安全，一方面可以借助于操作系统提供的共享文件访问权限设置功能，另一方面也可以借助于大势至服务器共享文件管理系统来实现。