Win2003R2文件服务器
Win2003 R2 文件服务器,用户NTFS权限分配实例
对于规划一个文件服务器目录,我们应该先明确两个方面内容,第一就是有哪些用户,每个用户的权利角色是什么。他们是否拥有共同的权利特点,可以分为一类,共属于一个组,角色的权利在共享文件中体现在应该拥有什么样的权限。第二就是我们该给这些组或者用户非配什么样的组织目录以满足每个用户之间的权限隔离与共享。最后就会具体体现在目录和用户组之间的关系。所以如何规划好一个文件服务器中的组和文件目录,分析好他们之间的对应关系,会给接下来的搭建和权限分配省去很多“体力活”1.这里我们模拟三个组,分别是:“管理组、销售组、服务组”。而且每个组对文件目录拥有什么样的权限,已经标成文件名。
图一2.我们结合使用AD域控,建立组织单位用来盛放我们即将建立的用户和组。
图二
图三
3.再在建立的shanghai组织单位下在建立两个组织单位(可以理解成文件目录),一个放需要添加的用户,一个用于放置文件对应的权限组。
图四
4两个组织单位如下:
图五
5,然后我们将每一个用户添加进来
图六
图七
图八6.接下来,对应每个文件目录,考虑到可以有读写权限和只读权限,我们暂且设置以“_r、_rw”结尾的组名
图九
图十
完整的用户和组详细如下:
图十一
7.我们把guo fred、admin(后加之)分到admin_rw组中, One sale/two sale 分到sales_rw中, One server/two server 分到 server_rw中。 Guo fred 、admin作为admin组中的一员有权查看其它组下文件目录里的东西,但是没有写入和修改的权限,把他分在sales_r、server_r中步骤参考:
图十二
图十三
8.准备好权限组,和文件目录。接下来我们就要搭建文件服务器了,从管理工具里打开文件服务器管理,按照向导找到需要共享的目录
图十四
到权限设定部分,我们选择“使用自定义共享…….”此处是共享权限,这里我们需要认真理解共享权限与NTFS权限??? 文件服务器的目的是提供共享资源,允许特定用户和组通过网络访问适当的网络共享资源。??? 安全合理的设置网络共享资源控制离不开正确的网络共享资源访问权限。 网络共享资源访问权限是由共享权限和NTFS权限组合而成,取两者的最小权限集合。其中: 1:共享权限仅对通过网络访问的用户和组起作用,无法对任何本地用户和交互式登录的用户起作用,本地用户和交互式登录的访问权限通过NTFS权限控制。 2:共享权限决定了通过网络访问共享资源所能取得的最大权限。 3:作为Win2003新特征之一,默认情况共享权限中的Everyone 不包含Anonymous(匿名用户)。??? 4:NTFS 权限作用于以任何方式访问文件或文件夹的用户。??? 5:NTFS权限不仅可应用于文件夹,也可以应用于具体文件。??? 6:文件权限优先于文件夹权限??? 7:显式的拒绝权限优先。????????????? ?8:显式的允许权限优先于继承的拒绝权限?我们知道,网络共享资源访问权限是由共享权限和NTFS权限组合而成,但共享权限决定了最大权限访问,而实际访问权限是取两者最严格权限集。 如果NTFS权限比共享权限小,那就取NTFS权限。 如果NTFS权限比共享权限大,那就取共享权限。
所以这里,我们将共享权限尽量设的大一些。
图十五
此外,测试目录下的三个文件都继承了系统中几个默认账户的权限,我们应该将他们删除掉
图十六
图十七
然后再添加域账户权限,
图十八在高级里先勾选上一个读取权限,确定后,在外层选择域账户权限如图二十
图十九
图二十
9.我们在客户机上测试权限是否起了作用,这里用admin组员guof登陆,此刻我们应该可以查看所有目录和文件,但是无法新建文件夹和文件,因为我们还未给admin目录授予admin组NTFS权限.
图二十一
10 权限分配.把一些不必要的系统分账户权限删除以后,我们将admin组权限分配到admin目录
图二十二
授予admin_rw组完全的权限
图二十三
11.回到客户端,新建测试.可以
图二十四
重命名测试–,也ok
图二十五
删除测试,也正常
图二十六
图二十七但是其他用户还是可以查看的,因为Domain Users中包含其他普通新建的用户,对此我们只需要在属性—高级里稍稍的编辑一下admin目录上Domain Users组的权限即可
12. admin组目录 允许admin组所有操作,其他用户无权查看对于其他的域用户,权限修改如下:这里我们的文件服务器根目录”测试目录”已经删除掉了权限继承,所以,