現(xiàn)在域控制器的使用較為普遍����,通過域控制器來管理局域網(wǎng)用戶�����,可以極大地增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全���。而對于企業(yè)局域網(wǎng)的文件服務(wù)器而言�,通過域控制器來控制用戶對共享文件的訪問�,可以極大地增強(qiáng)文件服務(wù)器的安全,防止未經(jīng)授權(quán)的訪問���,同時還可以通過域控制器設(shè)置共享文件訪問權(quán)限�����,從而在Windows共享文件訪問權(quán)限之外提供了另外的安全防護(hù)舉措。接下來我們以windows2003服務(wù)器為例���,來說明如何通過域控制器來搭建文件服務(wù)器�,保護(hù)服務(wù)器共享文件的安全�。
本公司使用的是域環(huán)境,利用WindowsServer2003R2搭建文件服務(wù)器���,其它信息如下所示:
SVR1主DC1/DNS:IP地址192.168.1.22/24(NIC1網(wǎng)卡)
IP地址192.168.0.44/24(NIC2網(wǎng)卡)
SVR4成員服務(wù)器:IP地址192.168.1.44/24DNS:192.168.0.22/23(主/輔)備注:為DFS分布式文件服務(wù)器作準(zhǔn)備
SVR5成員服務(wù)器:IP地址192.168.1.55/24DNS:192.168.0.22/23(主/輔)備注:為DFS分布式文件服務(wù)器作準(zhǔn)備
文件夾的結(jié)構(gòu)層次簡單拓?fù)鋱D如下所示:
一�����、在SVR1(R2)上操作�,創(chuàng)建OU以部門命名:
(1)創(chuàng)建OU以部門命名:
Win+R→dsa.msc回車,打開“ActiveDirectory用戶和計算機(jī)”��,如下圖:
彈出�,如下圖:
同理���,創(chuàng)建質(zhì)檢部�����、財務(wù)部等OU
(2)創(chuàng)建用戶賬號,在OU中���,如下圖:
下一步→完成
同理,在各部門OU中創(chuàng)建用戶賬號�,完成后如下圖:
(3)創(chuàng)建組以部門命名,如下圖:
彈出���,如下圖所示:
同理,質(zhì)檢組�����、財務(wù)組等,如下圖:
(4)將各部門的用戶賬號加入到本部門的組中����,以采購部為例,如下圖:
彈出�,如下圖:
然后,點擊確定→確定�,彈出如下圖:
同理�����,將小黃�、小鄭加入到質(zhì)檢組;小劉��、小葉加入到財務(wù)組�!
二、在SVR4成員服務(wù)器上操作�����,據(jù)上面的拓?fù)鋱D創(chuàng)建文件夾��,如下圖:
下面詳細(xì)配置操作:
①文件服務(wù)器文件夾的具體配置:
一路確定共享權(quán)限設(shè)置如下圖所示:
剛才設(shè)的是共享權(quán)限���,下面再來設(shè)置NTFS權(quán)限(安全選項卡):
思考:如何設(shè)置質(zhì)檢組����、財務(wù)組對文件服務(wù)器文件夾的共享權(quán)限與NTFS權(quán)限��?
②打開文件服務(wù)器文件夾�,我們來配置采購部的文件夾:
③我們切換到安全選項卡�,來配置NTFS權(quán)限:
思考:如何配置質(zhì)檢部�����、財務(wù)部文件夾的共享權(quán)限和NTFS權(quán)限��?(參考采購部的配置)
公司共享文件夾的配置有點特殊:
思考:如何配置財務(wù)組���、質(zhì)檢組的共享權(quán)限和NTFS權(quán)限?(參考采購組的設(shè)置)
④采購部的小孫的文件夾的安全選項卡的配置有點特殊:(參考公司共享文件夾的設(shè)置)
三�、檢驗上面權(quán)限的配置是否正確:
將客戶機(jī)PC(XP)加入到域后且用小孫的用戶賬號登錄,然后��,
Win+R→//svr4/文件服務(wù)器回車,試著創(chuàng)建文件夾:
思考:試著刪除財務(wù)部�、采購部、公司共享�、質(zhì)檢部的文件夾,能刪除嗎����?(都不能!)然后逐一將這4個文件夾打開�����,都能打開嗎�?(只能打開本部門和公司共享這2個文件夾)再在里面創(chuàng)建����、刪除和修改,能嗎���?(當(dāng)然能?����。?/p>
如果公司老總要能查看所有部門的文件等����,又如何操作呢?這就需要將分配給公司老總的服務(wù)器登錄賬戶賦予所有文件的訪問權(quán)限��。
但是�,通過Windows控制器,我們還始終無法解決一個問題���,就是共享文件的泄露問題。比如�����,我們設(shè)置了共享文件只讀��,但是���,用戶可能在讀取共享文件的時候����,直接拷貝共享文件���,然后粘貼到本地�����;或者打開共享文件的時候�,另存為本地磁盤����,從而可以輕松將共享文件從服務(wù)器存儲到個人的磁盤;此外���,如果賦予員工修改權(quán)限����,則用戶就可以不小心或惡意刪除共享文件����,從而對共享文件的安全造成了重大隱患。而這都是通過windows操作系統(tǒng)的文件訪問權(quán)限和Windows域控制器所無法解決的���。那么,這種情況下�����,就需要借助于專門的共享文件訪問權(quán)限設(shè)置軟件來實現(xiàn)。
大勢至局域網(wǎng)共享文件管理系統(tǒng)��,就是一款專門設(shè)置服務(wù)器共享文件訪問權(quán)限的軟件���,通過在服務(wù)器上安裝大勢至共享文件管理系統(tǒng),就可以自動掃描到當(dāng)前所有的共享文件�����,并可以設(shè)置共享文件訪問權(quán)限�����,可以實現(xiàn)只讓讀取共享文件而阻止復(fù)制共享文件�����、只讓打開共享文件而阻止另存為本地磁盤���,可以只讓修改共享文件而禁止刪除共享文件,從而極大地保護(hù)共享文件的安全��。如下圖所示:
此外���,通過大勢至共享文件管理系統(tǒng)�����,還可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的日志���,詳細(xì)記錄局域網(wǎng)用戶的IP地址�、MAC地址和主機(jī)名等信息,從而便于管理員事后備查和審計��。
總之����,有效保護(hù)服務(wù)器共享文件的安全,一方面需要充分里發(fā)揮操作系統(tǒng)文件訪問權(quán)限和用戶權(quán)限方面的功能���,另一方面也可以借助于域控制器等方面的功能�����,以及通過第三方服務(wù)器共享管理工具軟件來進(jìn)一步保護(hù)共享文件的安全����,防止各種泄露共享文件的行為,真正保護(hù)單位的無形資產(chǎn)和商業(yè)機(jī)密����。
注:相關(guān)教程知識閱讀請移步到網(wǎng)絡(luò)基礎(chǔ)知識頻道。
