現在域控制器的使用較為普遍���,通過域控制器來管理局域網用戶����,可以極大地增強局域網網絡安全。而對于企業局域網的文件服務器而言���,通過域控制器來控制用戶對共享文件的訪問���,可以極大地增強文件服務器的安全,防止未經授權的訪問��,同時還可以通過域控制器設置共享文件訪問權限,從而在Windows共享文件訪問權限之外提供了另外的安全防護舉措���。接下來我們以windows2003服務器為例�����,來說明如何通過域控制器來搭建文件服務器,保護服務器共享文件的安全���。
本公司使用的是域環境��,利用WindowsServer2003R2搭建文件服務器����,其它信息如下所示:
SVR1主DC1/DNS:IP地址192.168.1.22/24(NIC1網卡)
IP地址192.168.0.44/24(NIC2網卡)
SVR4成員服務器:IP地址192.168.1.44/24DNS:192.168.0.22/23(主/輔)備注:為DFS分布式文件服務器作準備
SVR5成員服務器:IP地址192.168.1.55/24DNS:192.168.0.22/23(主/輔)備注:為DFS分布式文件服務器作準備
文件夾的結構層次簡單拓撲圖如下所示:
一��、在SVR1(R2)上操作����,創建OU以部門命名:
(1)創建OU以部門命名:
Win+R→dsa.msc回車,打開“ActiveDirectory用戶和計算機”����,如下圖:
彈出,如下圖:
同理��,創建質檢部、財務部等OU
(2)創建用戶賬號�,在OU中,如下圖:
下一步→完成
同理�,在各部門OU中創建用戶賬號,完成后如下圖:
(3)創建組以部門命名���,如下圖:
彈出�����,如下圖所示:
同理����,質檢組��、財務組等����,如下圖:
(4)將各部門的用戶賬號加入到本部門的組中,以采購部為例���,如下圖:
彈出��,如下圖:
然后�����,點擊確定→確定�,彈出如下圖:
同理,將小黃�、小鄭加入到質檢組;小劉�、小葉加入到財務組�!
二、在SVR4成員服務器上操作����,據上面的拓撲圖創建文件夾,如下圖:
下面詳細配置操作:
①文件服務器文件夾的具體配置:
一路確定共享權限設置如下圖所示:
剛才設的是共享權限���,下面再來設置NTFS權限(安全選項卡):
思考:如何設置質檢組����、財務組對文件服務器文件夾的共享權限與NTFS權限���?
②打開文件服務器文件夾�,我們來配置采購部的文件夾:
③我們切換到安全選項卡,來配置NTFS權限:
思考:如何配置質檢部��、財務部文件夾的共享權限和NTFS權限�����?(參考采購部的配置)
公司共享文件夾的配置有點特殊:
思考:如何配置財務組����、質檢組的共享權限和NTFS權限?(參考采購組的設置)
④采購部的小孫的文件夾的安全選項卡的配置有點特殊:(參考公司共享文件夾的設置)
三�����、檢驗上面權限的配置是否正確:
將客戶機PC(XP)加入到域后且用小孫的用戶賬號登錄���,然后�,
Win+R→//svr4/文件服務器回車��,試著創建文件夾:
思考:試著刪除財務部���、采購部�����、公司共享����、質檢部的文件夾,能刪除嗎���?(都不能?��。┤缓笾鹨粚⑦@4個文件夾打開,都能打開嗎���?(只能打開本部門和公司共享這2個文件夾)再在里面創建�����、刪除和修改,能嗎���?(當然能?����。?/p>
如果公司老總要能查看所有部門的文件等����,又如何操作呢?這就需要將分配給公司老總的服務器登錄賬戶賦予所有文件的訪問權限�。
但是,通過Windows控制器�,我們還始終無法解決一個問題,就是共享文件的泄露問題�。比如,我們設置了共享文件只讀����,但是,用戶可能在讀取共享文件的時候��,直接拷貝共享文件��,然后粘貼到本地����;或者打開共享文件的時候,另存為本地磁盤���,從而可以輕松將共享文件從服務器存儲到個人的磁盤���;此外����,如果賦予員工修改權限�,則用戶就可以不小心或惡意刪除共享文件,從而對共享文件的安全造成了重大隱患��。而這都是通過windows操作系統的文件訪問權限和Windows域控制器所無法解決的��。那么��,這種情況下�����,就需要借助于專門的共享文件訪問權限設置軟件來實現����。
大勢至局域網共享文件管理系統���,就是一款專門設置服務器共享文件訪問權限的軟件�,通過在服務器上安裝大勢至共享文件管理系統���,就可以自動掃描到當前所有的共享文件�����,并可以設置共享文件訪問權限�����,可以實現只讓讀取共享文件而阻止復制共享文件����、只讓打開共享文件而阻止另存為本地磁盤,可以只讓修改共享文件而禁止刪除共享文件���,從而極大地保護共享文件的安全�����。如下圖所示:
此外���,通過大勢至共享文件管理系統,還可以詳細記錄局域網用戶訪問共享文件的日志���,詳細記錄局域網用戶的IP地址��、MAC地址和主機名等信息�����,從而便于管理員事后備查和審計���。
總之���,有效保護服務器共享文件的安全,一方面需要充分里發揮操作系統文件訪問權限和用戶權限方面的功能��,另一方面也可以借助于域控制器等方面的功能�,以及通過第三方服務器共享管理工具軟件來進一步保護共享文件的安全,防止各種泄露共享文件的行為��,真正保護單位的無形資產和商業機密���。
注:相關教程知識閱讀請移步到網絡基礎知識頻道��。
