文章摘要:当前很多企事业单位局域网都组建了文件服务器,一方面用于存储单位重要的文件;另一方面也便于共享资料给用户使用,便于大家协同办公。同时,很多单位的共享文件通常都是单位的无形资产和商业机密,一旦被员工不适当使用将会存在共享文件泄密或损毁的风险。为此,我们必须采取有效的举措来控制共享文件访问权限,防止随意访问共享文件的行为。 前言在日常局域网应用中,普通权限用户经常会访问Windows服务器上的文件,为了
当前很多企事业单位局域网都组建了文件服务器,一方面用于存储单位重要的文件;另一方面也便于共享资料给用户使用,便于大家协同办公。同时,很多单位的共享文件通常都是单位的无形资产和商业机密,一旦被员工不适当使用将会存在共享文件泄密或损毁的风险。为此,我们必须采取有效的举措来控制共享文件访问权限,防止随意访问共享文件的行为。
前言
在日常局域网应用中,普通权限用户经常会访问Windows服务器上的文件,为了便于管理,系统管理员需要对不用的用户授予不同的访问权限,对于信息的享有也应各有等级,重要的是在网络中还要防止网络黑客的攻击,阻止用户的超越权限行为,要对用户进行统一的、严谨的规范和管理,同时还要保证适合不同用户有不同的权利。
如何设置共享文件访问权限,保护服务器共享文件的安全呢?可以通过以下两种方法:
方法一、通过组策略设置共享文件访问权限
所谓组策略,是一种依赖于用户计算机中的系统注册表的设置,与域、地址或组织单元相联系的物理策略。利用组策略可以帮助系统管理员针对整个计算机或是特定用户来设置多种配置,包括桌面配置和安全配置,譬如修改Windows的桌面、开始菜单、登录方式、组件、网络及IE浏览器等许多设置。简而言之,组策略是Windows中的一套系统更改和配置管理工具的集合。
1、共享文件服务器平台及配置
下文服务器端操作系统以Windows Server 2003操作系统为例介绍组策略的的应用方法。Windows Server 2003是微软的服务器操作系统。本地计算机组策略主要可进行两个方面的配置:计算机配置和用户配置。其下所有设置项的配置都将保存到注册表的相关项目中。其中计算机配置保存到注册表的HKEY_LOCAL_MACHINE子树中,用户配置保存到HKEY_CURRENT_USER。
2、设置访问共享文件的用户权限
要设置用户权限 ,请先选择“控制面板/管理工具/本地安全策略”,然后打开“本地策略/用户权利指派”菜单(如图1所示),在这里,我们能够设置常用的用户权限。打开组策略有快捷方式,我们可以通过开始菜单运行“gpedit.msc”命令。
上一篇 : 组建windows2012域控制器、安装域控制器所需角色、win2008安装域控制器教程、域控制器使用教程?
图1 采用域服务器/客户端方式的局域网,可以直接在服务器上通过设置组策略来限制一些用户的权限。如要禁止用户登录域服务器,参照前述之法,启动组策略,然后打开“用户权利指派”菜单,选择“拒绝从网络访问这台计算机”项,在弹出的方框里添加需要禁止访问的计算机名称即可。通过以上设置,该用户就无法通过“网上邻居”来访问服务器的共享文件夹和其他共享资源。 如要禁止用户用本地登录的方式登录服务器,可以在组策略中单击“在本地登录”选项,在随后弹出的对话框中把禁止远程登录的用户名称删除即可。 3、加密服务器文件夹 在实际应用中,我们有时不允许用户访问服务器的某些资源,比如保存在服务器上的公司生产信息。这时,可以通过设置文件夹的访问权限来实现保密功能。首先单击“我的电脑/工具/文件夹选项”,然后单击“查看”选项卡,取消“使用简单文件共享”的设置,确定保存。 然后选择需要加密的文件夹,单击右键,在弹出的菜单中选择“属性”选项,单击“安全”选项卡。单击“添加”按钮,然后再弹出的窗口里单击“高级”按钮,接着单击“立即查找”按钮,添加允许访问该文件夹的用户,并删除“Everyone”用户,然后保存即可。 4、让新用户访问加密文件夹 如果有新用户需要访问加密文件夹,可选择“控制面板/管理工具/计算机管理/本地用户和组/用户”选项(如图2所示)。
图2 这时会列出目前计算机的用户列表,可以在窗口右侧的空白处单击右键,在弹出的菜单中选择“新用户”选项。输入新用户的名称并保存设置,然后右键单击该用户,用用户创建一个登录密码,保证机密文件的安全。 5、限制用户组访问文件夹 如果公司的生产部门有20名员工,他们有访问服务器上默写共享文件夹的权利。同时想控制该组用户,比如禁止USER1一直到USER20访问服务器上的一个存储固井生产档案的文件夹。 请选择 “控制面板/管理工具/计算机管理/本地用户和组/用户”,在这里,我们就可以找到本域服务器的所有用户了,比如从USER1到USE20。为了管理的方便,我们可以把这些用户建立为一个组,如“生产部”。打开组,在右边的空白处新建一个组,名称设置为“生产部”。然后打开“添加/高级/立即查找”菜单,在用户列表里,按住“Ctrl”键把用户USER1到USE20全部选中,加入到组后可以方便日常管理。 禁止该组用户访问某个文件夹,可以右键单击该文件夹,打开“属性”对话框,选择“安全”选项卡,选择“添加/高级/立即查找”菜单,选中列表里的用户组“生产部”,然后一路点“确定”。这时,可以看到该文件夹的属性,组或用户名称列表里,已经出现了我们需要的“生产部”这个组(如图3所示)。
图3
选中该用户组后把下面的权限的“拒绝”选项全部勾选。现在,所有这个组的成员都无法对该文件夹进行操作了。 方法二、通过部署局域网文件共享软件来实现共享文件权限限制 虽然通过组策略可以实现局域网共享文件管理、控制共享文件访问权限。但是,由于组策略只能根据操作系统的文件访问权限进行设置。因此,无法实现精细的局域网共享文件权限管理。尤其是无法实现在用户打开共享文件后阻止其另存为本地磁盘,无法阻止用户读取共享文件的同时复制共享文件,以及无法实现让用户可以修改共享文件但禁止用户删除共享文件,甚至还包括拖拽共享文件到访问者自己的磁盘,或者打印共享文件的行为。 这就需要部署专门的局域网文件共享管理工具来实现。目前,国内可以专门保护服务器共享文件的软件较少。笔者使用过一款“洞察眼局域网共享文件管理系统”(下载地址:http://www.dongchayan.com/gongxiangwenjianshenji.html),通过在服务器上安装之后,就可以扫描到当前共享的文件,可以扫描到对应的服务器账号,然后可以为用户设置其访问共享文件的权限,可以实现让用户读取共享文件而禁止复制共享文件、只让用户打开共享文件而禁止另存为本地磁盘,以及只让修改共享文件而禁止删除共享文件,从而实现共享文件较为细致的控制。如下图所示: 6、结论与认识 以上是通过对组策略和共享文档管理系统来设置操作实现提高服务器上文件安全级别的一些探讨。相对而言,通过组策略可以虽然可以低成本地设置共享文件访问权限,但是始终存在一些不足。如果用户对共享文件访问权限设置要求较高,则可以考虑部署一些局域网共享文件加密软件来实现。
