文章摘要:现在域控制器的使用较为普遍,通过域控制器来管理局域网用户,可以极大地增强局域网网络安全。而对于企业局域网的文件服务器而言,通过域控制器来控制用户对共享文件的访问,可以极大地增强文件服务器的安全,防止未经授权的访问,同时还可以通过域控制器设置共享文件访问权限,从而在Windows共享文件访问权限之外提供了另外的安全防护举措。接下来我们以windows 2003 服务器为例,来说明如何通过域控制器来搭
现在域控制器的使用较为普遍,通过域控制器来管理局域网用户,可以极大地增强局域网网络安全。而对于企业局域网的文件服务器而言,通过域控制器来控制用户对共享文件的访问,可以极大地增强文件服务器的安全,防止未经授权的访问,同时还可以通过域控制器设置共享文件访问权限,从而在Windows共享文件访问权限之外提供了另外的安全防护举措。接下来我们以windows 2003 服务器为例,来说明如何通过域控制器来搭建文件服务器,保护服务器共享文件的安全。
本公司使用的是域环境,利用Windows Server 2003 R2搭建文件服务器,其它信息如下所示:
SVR1主DC1/DNS: IP地址192.168.1.22/24(NIC 1网卡)
IP地址192.168.0.44/24(NIC 2网卡)
SVR4成员服务器:IP地址192.168.1.44/24 DNS:192.168.0.22 /23(主/辅)备注:为DFS分布式文件服务器作准备
SVR5成员服务器:IP地址192.168.1.55/24 DNS:192.168.0.22 /23(主/辅)备注:为DFS分布式文件服务器作准备
文件夹的结构层次简单拓扑图如下所示:
一、在SVR1(R2)上操作,创建OU以部门命名:
(1)创建OU以部门命名:
Win + R → dsa.msc 回车,打开“Active Directory 用户和计算机”,如下图:
弹出,如下图:
同理,创建质检部、财务部等OU
(2)创建用户账号,在OU中,如下图:
下一步 → 完成
同理,在各部门OU中创建用户账号,完成后如下图:
(3)创建组以部门命名,如下图:
弹出,如下图所示:
同理,质检组、财务组等,如下图:
(4)将各部门的用户账号加入到本部门的组中,以采购部为例,如下图:
弹出,如下图:
然后,点击 确定 → 确定,弹出如下图:
同理,将小黄、小郑加入到质检组;小刘、小叶加入到财务组!
二、在SVR4成员服务器上操作,据上面的拓扑图创建文件夹,如下图:
下面详细配置操作:
① 文件服务器 文件夹的具体配置:
一路 确定 共享权限设置如下图所示:
刚才设的是 共享权限,下面再来设置 NTFS权限(安全选项卡):
思考:如何设置质检组、财务组对 文件服务器 文件夹的共享权限与NTFS权限?
② 打开 文件服务器 文件夹,我们来配置 采购部 的文件夹:
③我们切换到 安全 选项卡,来配置NTFS权限:
思考:如何配置质检部、财务部 文件夹的共享权限和NTFS权限?(参考采购部的配置)
* 公司共享 文件夹的配置有点特殊:
思考:如何配置财务组、质检组的 共享权限和NTFS权限?(参考采购组的设置)
④ 采购部的小孙的文件夹的 安全 选项卡的配置有点特殊:(参考公司共享 文件夹的设置)
三、检验上面权限的配置是否正确:
将客户机PC(XP)加入到域后且用小孙的用户账号登录,然后,
Win + R → \\svr4\文件服务器 回车,试着创建文件夹:
思考:试着删除 财务部、采购部、公司共享、质检部 的文件夹,能删除吗?(都不能!)然后逐一将这4个文件夹打开,都能打开吗?(只能打开本部门和公司共享这2个文件夹)再在里面创建、删除和修改,能吗?(当然能!)
如果公司老总要能查看所有部门的文件等,又如何操作呢?这就需要将分配给公司老总的服务器登录账户赋予所有文件的访问权限。
但是,通过Windows控制器,我们还始终无法解决一个问题,就是共享文件的泄露问题。比如,我们设置了共享文件只读,但是,用户可能在读取共享文件的时候,直接拷贝共享文件,然后粘贴到本地;或者打开共享文件的时候,另存为本地磁盘,从而可以轻松将共享文件从服务器存储到个人的磁盘;此外,如果赋予员工修改权限,则用户就可以不小心或恶意删除共享文件,从而对共享文件的安全造成了重大隐患。而这都是通过windows操作系统的文件访问权限和Windows域控制器所无法解决的。那么,这种情况下,就需要借助于专门的共享文件访问权限设置软件来实现。
洞察眼局域网共享文件管理系统(下载地址:http://www.dongchayan.com/gongxiangwenjianshenji.html),就是一款专门设置服务器共享文件访问权限的软件,通过在服务器上安装洞察眼共享文件管理系统,就可以自动扫描到当前所有的共享文件,并可以设置共享文件访问权限,可以实现只让读取共享文件而阻止复制共享文件、只让打开共享文件而阻止另存为本地磁盘,可以只让修改共享文件而禁止删除共享文件,从而极大地保护共享文件的安全。如下图所示:
此外,通过洞察眼共享文件管理系统,还可以详细记录局域网用户访问共享文件的日志,详细记录局域网用户的IP地址、MAC地址和主机名等信息,从而便于管理员事后备查和审计。
总之,有效保护服务器共享文件的安全,一方面需要充分里发挥操作系统文件访问权限和用户权限方面的功能,另一方面也可以借助于域控制器等方面的功能,以及通过第三方服务器共享管理工具软件来进一步保护共享文件的安全,防止各种泄露共享文件的行为,真正保护单位的无形资产和商业机密。
