公司辦公都會(huì)應(yīng)用到共享文件�,也會(huì)把重要的共享文件放到服務(wù)器進(jìn)行共享�����,這一方面方便大家工作����,便于協(xié)同辦公����;另一方面也為大家存儲(chǔ)工作中形成的重要文件提供了方便�����。
但是�����,這也使得員工可以隨時(shí)訪問服務(wù)器重要的共享文件�����,一旦將這些文件復(fù)制到自己的電腦�����,尤其是外來電腦�;或者外部人士隨意訪問公司共享文件����,都會(huì)使得共享文件面臨著各種風(fēng)險(xiǎn)。
為此���,設(shè)置共享文件訪問權(quán)限�、監(jiān)控共享文件夾訪問,就成為企業(yè)共享文件管理的重要工作�。
權(quán)限要了解如何對(duì)文件服務(wù)器進(jìn)行授權(quán),也就是說如何設(shè)置文件夾的權(quán)限�����,必須首先明白什么是權(quán)限��。
權(quán)限其實(shí)是一張表����,這張表中記錄了什么用戶可以使用什么方式訪問什么對(duì)象。
例如在圖一中�,我們新建了一個(gè)secret文件夾,這里面是機(jī)密文件���,只允許DG_IT這個(gè)群組訪問�����。
但是這個(gè)群組中有一位即將離職的員工劉海波Louis_liu��,自然不能允許這個(gè)賬戶再訪問secret文件夾��。
那么我們可以這樣設(shè)置���,將DG_IT群組加入這張“安全表”,并授予相應(yīng)的權(quán)限�����,同時(shí)也添加Louis_liu賬戶�����,設(shè)置這個(gè)賬戶拒絕訪問該文件夾的權(quán)限����。
通常我們把這張“安全表”;叫做自主訪問控制列表discretionary access control list (DACL)在設(shè)置DACL的時(shí)候,一般不要將用戶賬戶一個(gè)個(gè)添加進(jìn)來�����,而是添加一個(gè)群組�����,這樣有利于提高系統(tǒng)訪問的效率和方便管理����。
我們授權(quán)DG_IT這個(gè)群組可以訪問secret文件夾���,且只有DG_IT組可以及讀取、瀏覽和執(zhí)行IT_Public下面的文件���,則此時(shí)任何不屬于DG_IT組用戶讀取該文件夾下的文件時(shí)��,就會(huì)遭到系統(tǒng)的拒絕�����。
共享與安全出于安全性的考慮��,當(dāng)您在服務(wù)器上共享文件夾的時(shí)候����,需要設(shè)置兩個(gè)權(quán)限:共享權(quán)限和安全權(quán)限��。
這兩個(gè)權(quán)限的關(guān)系�����,可以通過一個(gè)網(wǎng)絡(luò)用戶的訪問過程來說清楚�。
當(dāng)用戶從網(wǎng)絡(luò)訪問一個(gè)目錄時(shí),系統(tǒng)先校驗(yàn)共享權(quán)限,看看這個(gè)用戶是否在共享權(quán)限允許的范圍內(nèi)��。
如果允許訪問再校驗(yàn)安全權(quán)限����。
所以這個(gè)目錄較終允許什么用戶訪問�����,將取決于共享權(quán)限和安全權(quán)限的交集�����。
當(dāng)前安全權(quán)限和共享權(quán)限在同一對(duì)象上發(fā)生沖突或者疊加時(shí)�����,取較嚴(yán)格的設(shè)置�。
文件夾在安全權(quán)限中還有一個(gè)隱含拒絕的權(quán)限,這個(gè)權(quán)限是不需要賦予的���。
例如IT_Public共享文件夾的共享權(quán)限是完全控制���,而安全權(quán)限下面什么用戶都沒有,較終IT_Public網(wǎng)絡(luò)訪問權(quán)限是拒絕所有,這個(gè)權(quán)限就是隱含拒絕權(quán)限���。
隱含拒絕權(quán)限對(duì)于實(shí)現(xiàn)文件服務(wù)器來說是非常重要的���,因?yàn)閷?duì)于整個(gè)局域網(wǎng)中的所有用戶來說,訪問某個(gè)文件服務(wù)器的某個(gè)文件夾只是極少數(shù)的用戶�,而且這些用戶往往又具有某種相同的特點(diǎn),通過這個(gè)隱含拒絕所有的權(quán)限有利于簡(jiǎn)化我們的權(quán)限設(shè)定與管理�����。
是不是有了隱含的拒絕權(quán)限�,我們就不需要明確的拒絕權(quán)限?其實(shí)也不是�,必要時(shí)我們還是需要利用明確拒絕權(quán)限。
其實(shí)上面的例子當(dāng)中已經(jīng)提到了明確拒絕權(quán)限的作用����,例如實(shí)例中拒絕即將離職的Louis_liu訪問secret文件夾。
共享權(quán)限利用windows server 2003 R2來實(shí)現(xiàn)文件服務(wù)器���,共享權(quán)限是必不可少����。
共享權(quán)限是用以控制文件夾及其子文件夾和文件來進(jìn)行共享的。
文件夾共享的特性不管是基于fat16/32還是NTFS分驅(qū)�,本身就具有。
同樣子文件夾會(huì)繼承這種屬性����。
共享文件夾只針對(duì)從網(wǎng)絡(luò)上訪問才有限,對(duì)于本機(jī)訪問是屬于無效的��,不同于文件夾的安全性設(shè)定�。
共享權(quán)限優(yōu)大于NTFS安全權(quán)限���,例如IT_Public設(shè)置了允許Jimmy完全控制的安全權(quán)限�,但共享權(quán)限當(dāng)中卻只有只讀的權(quán)限�,結(jié)果Jimmy對(duì)IT_Public的較大權(quán)限是只讀權(quán)限,而不是完全控制�。
在設(shè)置文件夾共享建議把該權(quán)限設(shè)置為完全控制,否則后面的安全權(quán)限設(shè)置完全失去了意義�����,除非是Fat32/16沒有安全權(quán)限����,但該分區(qū)是不大可能用來作文件服務(wù)器分區(qū)�����。
安全權(quán)限因?yàn)榇蠹彝ǔ6荚赪indows NTFS類型的分區(qū)上設(shè)置文件夾的安全權(quán)限(在FAT 16/32 的分驅(qū)上是沒有的)����,所以有人也喜歡把安全全權(quán)限叫做NTFS權(quán)限����。
這是基于NTFS文件系統(tǒng)的磁盤分驅(qū)特有的權(quán)限。
NTFS分驅(qū)下面的每個(gè)文件夾�、子文件夾及其文件均允許設(shè)置與上一級(jí)不同的權(quán),權(quán)限一經(jīng)設(shè)定���,不但對(duì)本機(jī)存取的安全主體有效�����,而且對(duì)整個(gè)網(wǎng)絡(luò)的安全主體都有效���。
默認(rèn)情況下其子文件夾及文件會(huì)自動(dòng)繼承上級(jí)權(quán)限,但若有必要���,也可針對(duì)的每一個(gè)子文件夾及文件予以設(shè)定個(gè)別權(quán)限���。
但在實(shí)際只是縮小上級(jí)權(quán)限的范圍�����,我們不需要一個(gè)個(gè)添加�,只需要對(duì)某個(gè)文件進(jìn)行阻斷繼承設(shè)置�����,去掉限制訪問的用戶�,也可以是添加拒絕訪問的用戶��,設(shè)置拒絕訪問權(quán)限�����。
至于用哪一種方法好����,起決個(gè)人習(xí)慣,大多數(shù)人使用較早種方法��。
修改子文件夾的權(quán)限的時(shí)候要避免犯低級(jí)錯(cuò)誤���,如添加了一個(gè)用戶�,該用戶根本就沒有權(quán)限訪問上級(jí)文件夾;設(shè)置文件夾權(quán)限的時(shí)候一定至少要留一個(gè)“修改”的權(quán)限給管理員作備份用���,當(dāng)然用“完全控制”;亦可以�,如果嚴(yán)格考慮到網(wǎng)絡(luò)的安全因素����,建議用前者。
NTFS權(quán)限有多少��,可以細(xì)化到一個(gè)什么樣的程度呢���?下面將對(duì)NTFS權(quán)限作一個(gè)全面剖析和比較����。
標(biāo)準(zhǔn)的NTFS權(quán)型有五種分別是:寫入����,讀取,讀取及執(zhí)行�����,修改,完全控制�����。
這幾種權(quán)限是屬于NTFS的標(biāo)準(zhǔn)權(quán)限����,雖然從上面的權(quán)限上我們可以大致看出它們都具備什么樣的功能。
但是實(shí)際上這幾種功能遠(yuǎn)遠(yuǎn)不能滿足于實(shí)際的需求���,例如Jimmy想要授權(quán)給Tom能刪除文件��,但很現(xiàn)有的五種權(quán)限似乎都不滿足�,都不精確����,那么列底該給他一個(gè)什么樣的權(quán)限呢才合適�。
實(shí)際上windows2003在這6種標(biāo)準(zhǔn)的權(quán)限的背后,還分別對(duì)應(yīng)一組共計(jì)13項(xiàng)的“有效權(quán)限”(如圖二)����,為了方便權(quán)限的管理,windows才將權(quán)限簡(jiǎn)化成6大標(biāo)準(zhǔn)權(quán)限��。
我們可以得知五個(gè)標(biāo)準(zhǔn)權(quán)限的對(duì)應(yīng)的有效權(quán)限。
比如修改權(quán)限���,除了不具備“刪除子文件夾及文件”����、“更改權(quán)限”和“取得所有權(quán)”這三個(gè)功能外��,它具備有效權(quán)限的其它所有功能�����。
需要強(qiáng)調(diào)一點(diǎn)�,“寫入”權(quán)限與“讀取”權(quán)限并沒有關(guān)聯(lián)。
讀取權(quán)限比較好理解�����,但是寫入權(quán)限不具備讀取的能力理解起來如何有點(diǎn)困難���,其實(shí)具有寫入權(quán)限的用戶雖然不能直接對(duì)文件進(jìn)行讀取��,但可以通過修改文件的屬性��,或者是以另外一個(gè)文件的內(nèi)容來覆蓋原始文件�。
“讀取”及“運(yùn)行”權(quán)限比較好理解,它涵蓋了讀取所能做的所有事�,外加允許運(yùn)行可運(yùn)行文件。
“修改”權(quán)限涵蓋了讀取���、讀取及執(zhí)行及寫入所能做的所有事���,外加允許刪除。
“完全控制”權(quán)限涵蓋了修改所能做的所有事(含讀取�����、讀取及執(zhí)行及寫入)���,外加允許改變用戶權(quán)限及取得擁有權(quán)��。
在設(shè)計(jì)共享文件夾時(shí)建議至少留給一個(gè)完全控制權(quán)限給管理員����,方便權(quán)限權(quán)限丟失時(shí)來取得所有權(quán)���,其它用戶端就沒有必要給完全控制權(quán)限。
文件夾權(quán)限設(shè)置Windows 之所以設(shè)計(jì)成基本權(quán)限及特別的權(quán)限架構(gòu)���,將13項(xiàng)有效權(quán)限組合成六項(xiàng)較常用的標(biāo)準(zhǔn)權(quán)限����,這樣可以有效避免用戶或網(wǎng)絡(luò)管理人員直接面對(duì)眾多復(fù)雜多樣的權(quán)限,通過簡(jiǎn)化文件權(quán)限有效提升了管理效率�����。
當(dāng)然���,這也不等于說windows特別權(quán)限可以取消了��,不需要了�����。
實(shí)際在許多場(chǎng)合下面還是需要利用到特別權(quán)限���。
當(dāng)您在Windows 上有特殊的權(quán)限需要,可以自行將有效權(quán)限予以組合�。
例如以標(biāo)準(zhǔn)權(quán)限而言,讓用戶或群組有能力刪除檔案����,至少需要賦予修改的權(quán)限�,但事實(shí)上從前面的列表中你會(huì)發(fā)現(xiàn)“修改”的權(quán)限不但能刪除����,還能新增、讀取���、寫入等等����,權(quán)限相當(dāng)?shù)拇蟆?/p>
如果您只希望用戶能讀取和刪除��,卻不能寫入�,此時(shí)就可以自行在13項(xiàng)有效權(quán)限中加以組合。
這種組合而成非標(biāo)準(zhǔn)的權(quán)限�����,我們稱之為特別的殊權(quán)��。
在Windows NT下�����,每一個(gè)文件夾及文件的權(quán)限都可以自行設(shè)定�����,并會(huì)各自隨該對(duì)象存取在文件系統(tǒng)中�。
當(dāng)建立一個(gè)新的子文件夾或新文件時(shí),會(huì)參照上層文件夾的設(shè)定成為新對(duì)象的預(yù)設(shè)權(quán)限�。
新物件一經(jīng)建立完成,在上下層之間的權(quán)限從此各自獨(dú)立���,沒有繼承關(guān)系���。
但在每一次重新設(shè)定或修改文件夾的權(quán)限時(shí),可選擇是否需要以新權(quán)限取代該文件夾下的原有使用權(quán)限�����。
但在windows 2003以及R2版本下���,對(duì)于上層文件夾所設(shè)定的NTFS權(quán)限默認(rèn)值會(huì)自動(dòng)繼承到其子文件夾及文件���。
繼承過來的權(quán)限屬性以灰色狀態(tài)呈現(xiàn),不能直接對(duì)其權(quán)限進(jìn)行修改��。
如果不想下面的物件繼承上級(jí)權(quán)限,可以通過“高級(jí)”à“權(quán)限”�,然后去掉選中“從父項(xiàng)繼承那些可以應(yīng)用到子對(duì)象的權(quán)限項(xiàng)目,包括那些在此明確定義的項(xiàng)目(I)”這個(gè)選項(xiàng)�����,再通過“添加”�����、“刪除”和“編輯”來修改權(quán)限�,修改權(quán)限時(shí)應(yīng)該注意一個(gè)問題,新增的子文件夾權(quán)限必須是能夠讀取上級(jí)文件夾的權(quán)限�,否則連父文件夾都不能讀取不可能進(jìn)入子文件夾。
Windows Server 2003 R2雖然比起以前版本實(shí)現(xiàn)文件服務(wù)器有很多改進(jìn)���,比如添加了文件屏蔽�、磁盤限額����,但依然存在許多不足。
這些不足表現(xiàn)在如下方面:文件審核過于檢查���,檢查起來比較麻煩���。
當(dāng)一個(gè)文件有多個(gè)人訪問時(shí)���,文件泄密就非常難查。
1����、不能實(shí)現(xiàn)對(duì)文件進(jìn)行加密���,雖然微軟有RMS系統(tǒng)����,但只適合于Office系統(tǒng)��,往往公司較重要的不是Office文件����,而是設(shè)計(jì)之類的。
2�����、無法對(duì)文件進(jìn)行歸檔��。
比如某大型企業(yè)有若干臺(tái)文件服務(wù)器,并部署了DFS系統(tǒng)�。
若干年后,文件服務(wù)器的承載越來越大��,如何判斷哪些文件有重要的有效的��,哪些年久的文件可以刪除��,沒有再利用的價(jià)值�����。
3�����、文件屏蔽功能雖然有��,但顯得很蒼白��,只是根據(jù)文件的擴(kuò)展名來屏蔽����,換了一個(gè)擴(kuò)展名就無能為力了。
希望微軟在下一代操作系統(tǒng)中對(duì)文件服務(wù)器的功能有更大重視�,安全性能夠更高�,目前個(gè)人感覺微軟對(duì)文件服務(wù)器并不是十分重視�,文件服務(wù)器設(shè)計(jì)過于簡(jiǎn)單。
但是�,可以應(yīng)用第三方服務(wù)器共享文件夾加密軟件來保護(hù)共享文件的安全。
例如有一款共享文件夾加密專家����,只需要在服務(wù)器上安裝就可以,對(duì)共享文件夾加密�,即可實(shí)現(xiàn)設(shè)置不同用戶訪問共享文件夾的不同權(quán)限����,可以只讓讀取共享文件而禁止復(fù)制共享文件、只讓打開共享文件而禁止另存為本地磁盤�����、只讓修改共享文件而禁止刪除共享文件等���,以及禁止拖動(dòng)共享文件���、禁止打印共享文件,禁止共享文件重命名���、禁止剪切共享文件等�����,全面保護(hù)共享文件的安全��。
