现在很多公司都有专门的共享文件服务器,通常会将单位一些重要的文件放到服务器上共享给局域网用户访问使用,如何保护共享文件的安全至关重要。

本文以域环境为例说明一下共享文件权限设置的步骤。

   本公司使用的是域环境,利用Windows Server 2003 R2搭建文件服务器,其它信息如下所示:

SVR1DC1/DNS: IP地址192.168.1.22/24NIC 1网卡)

              IP地址192.168.0.44/24NIC 2网卡)

SVR4成员服务器:IP地址192.168.1.44/24 DNS192.168.0.22 /23(主/辅)备注:为DFS分布式文件服务器作准备

SVR5成员服务器:IP地址192.168.1.55/24 DNS192.168.0.22 /23(主/辅)备注:为DFS分布式文件服务器作准备

文件夹的结构层次简单拓扑图如下所示: 

ce3f0207d542ca1fdc871e397ef42d7c.jpg

一、在SVR1R2)上操作,创建OU以部门命名:

1)创建OU以部门命名:

Win + R →dsa.msc 回车,打开“Active Directory 用户和计算机,如下图:

533e3e53f21b017bf54a00bc708e8ce8.jpg 

弹出,如下图:

a90e3f0f8f3243fd0242e12c9bc4aa96.jpg

同理,创建质检部、财务部等OU

2)创建用户账号,在OU中,如下图:

4596e17eaa09f4639dd4b959baaaa4b2.jpg

 

 

da9a2d552c2ab3210d69d5d05ce3b0ff.jpg

 5886eb9f05b32f72cb70edc557607f75.jpg

下一步 → 完成

0c3666a7d959479ffb8bd1d96cad2467.jpg

同理,在各部门OU中创建用户账号,完成后如下图:c475c068c3e91c801ab685d626301d8b.jpg 90c14901a940a74984e6e3ed1d247313.jpg

 

3)创建组以部门命名,如下图:

3275f14b8a3ad7cade1993d8a98cbf25.jpg

弹出,如下图所示:

9a0ce16523cd5dff61bbd861918cd669.jpg

同理,质检组、财务组等,如下图:

 

035db26f62503885a3f8fd02d416873f.jpg

4)将各部门的用户账号加入到本部门的组中,以采购部为例,如下图:158e950efd69a89f49922004dc7cb26f.jpg

 

弹出,如下图:

a9d7270907f422796e42f342fe951e24.jpg

然后,点击确定 → 确定,弹出如下图:

81d839d0f1aeb79d32bde5eada976caf.jpg

同理,将小黄、小郑加入到质检组;小刘、小叶加入到财务组!

二、在SVR4成员服务器上操作,据上面的拓扑图创建文件夹,如下图:f9e18983006506c49b2d929f7281edf8.jpg

下面详细配置操作:

文件服务器文件夹的具体配置:6c23ef6a59fab6e801bcc7c157044c80.jpg

 

一路确定共享权限设置如下图所示:

1f9a5ccaea0fe6d4207b42245b55712e.jpg

 

刚才设的是共享权限,下面再来设置 NTFS权限(安全选项卡):

dd2e2bc0aab718aea3909c67bff41127.jpg

 

0c143db3fd1fda6b0ca51fe790542eea.jpg

 

思考:如何设置质检组、财务组对文件服务器文件夹的共享权限与NTFS权限?

打开文件服务器文件夹,我们来配置采购部的文件夹:

 8bb9e9852173ef51ba0e0b1a9dbff9c7.jpg

我们切换到安全选项卡,来配置NTFS权限:

 a5ac55d56b6a664aef16a524021e255b.jpg

 2448f0806b8ecc1bb2ca0ffc2ad2b438.jpg

思考:如何配置质检部、财务部文件夹的共享权限和NTFS权限?(参考采购部的配置)

 * 公司共享文件夹的配置有点特殊:

 77125043a0ffcde4a3fe4c9cadb5e8ea.jpg4b914c16fb2866fdd011a734b28f38da.jpg

 

思考:如何配置财务组、质检组的共享权限和NTFS权限?(参考采购组的设置)

 采购部的小孙的文件夹的安全选项卡的配置有点特殊:(参考公司共享文件夹的设置)

7a4866e9e9f0aac58b51e948c0370bd0.jpg 

三、检验上面权限的配置是否正确:

   将客户机PCXP)加入到域后且用小孙的用户账号登录,然后,

Win + R →\\svr4\文件服务器回车,试着创建文件夹:

 

9271f5e63ecbeb7fdb3959b4f7ec096b.jpg

思考:试着删除财务部、采购部、公司共享、质检部的文件夹,能删除吗?(都不能!)然后逐一将这4个文件夹打开,都能打开吗?(只能打开本部门和公司共享这2个文件夹)再在里面创建、删除和修改,能吗?(当然能!)

   如果公司老总要能查看所有部门的文件等,又如何操作呢?

结语:虽然域控制器可以设置共享文件访问权限,但是始终无法全面保护域服务器共享文件的安全。尤其是,无法通过域控制器实现共享文件只让读取而禁止复制、只让打开而禁止另存为本地磁盘、只让修改而禁止删除共享文件等,这种情况下就需要借助专门的共享文件权限设置软件来实现了。

例如有一款“大势至服务器共享文件管理系统”(下载地址:http://www.grabsun.com/gongxiangwenjianshenji.html),只需要在共享文件服务器上安装之后,就可以自动扫描到服务器共享文件夹列表,然后就可以设置共享文件访问权限,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件等,以及禁止拖动共享文件、禁止打印共享文件等。如下图所示:



此外,本系统还可以详细设置共享文件访问日志,便于事后备查和审计。如下图:



总之,服务器共享文件的安全管理,一方面需要借助Windows操作系统、域控制器共享文件权限设置的相关功能,另一方面也需要借助第三方的服务器共享文件夹监控软件,只有配合使用才能真正保护服务器共享文件的安全。