打通NTFS权限 文件共享各取所需
?
在Windows Server 2003平臺上部署文件服務,進行文件共享是一個簡單快捷企業應用方案。但是在實際的應用中,不同的企業有不同的需求有時會有一些特殊應用,這是讓某些管理員頭痛的事情。其實只要我們深入挖掘,打通NTFS權限設置就能夠滿足這些需求,讓文件共享各取所需。
一、公私分明的文件夾
根據企業文件共享策略,需要為每個員工在文件服務器上建一個私人文件夾僅供個人使用,另外還需建一個共享文件夾讓大家使用,這如何實現呢?
第一步:在文件服務器上建立NTFS分區,然后為每個用戶創建一個賬號,再創建一個組包含所有的用戶。
第二步:為每個用戶創建一個共享文件夾,在設置共享權限的時候去掉Everyone組,將對應的個人用戶賬號添加進來,然后根據需要設置權限。
第三步:為所有的人創建一個共享文件夾,再在設置共享權限的時候去掉Everyone組,將第一步中創建的包含所有用戶的組添加進來如圖1,然后根據需要設置權限即可。(圖1)
?
圖1 添加用戶
二、共享文件夾權限遷移
一般情況下,公司的文件服務器上有上百個用戶文件夾,每個文件夾夾中都有多個使用者的權限,如果遇到服務器硬件空間升級或換新機,如何節省時間進行共享文件夾權限設置的遷移和復制呢?
我們可以使用Windows server 2003系統自帶的Xcopy命令來實現,該命令加上/O/X/E/H/K參數,在復制文件時可以保留已明確應用于這些文件的現有權限。通過該命令在就可以完成在將一個文件夾復制到另一個文件夾中并保留其權限。具體操作方法是:
第一步:單擊“開始→運行”輸入cmd打開命令提示符工具。
第二步:輸入“xcopy source destination /O /X /E /H /K” 然后按回車鍵可以完成共享文件權限的復制如圖2。(source是要復制的文件的源路徑,destination是這些文件的目標路徑)(圖2)
圖2 共享文件權限復制
?三、確定文件的上傳者
windows 2003 server做文件服務器,通過客戶端上傳的文件,有沒有什么方法確定該文件是從哪個客戶端的哪個用戶放進來的?
管理員可以通過應用或修改本地文件或文件夾的審核策略設置來實現,具體的設置方法如下:
第一步:在文件服務器上,打開 Windows 資源管理器。右鍵單擊要審核的文件或文件夾,單擊“屬性”,然后單擊“安全”選項卡,單擊其下的“高級”按鈕,然后單擊“審核”選項卡。
第二步:要設置新用戶或組的審核,單擊“添加”在“輸入要選擇的對象名稱”中,鍵入想要的用戶或的名稱,然后單擊“確定”。
第三步:在“應用于”框中單擊希望進行審核的位置,在“訪問”框中,通過選中適當的復選框,指出想要審核的操作。如果要防止原始對象的后續文件和子文件夾繼承這些審核項,選中“將這些審核項目只應用到這容器中的對象和/或容器上”復選框。(圖3)
?
圖3 審核策略
提示:設置文件和文件夾的審核前,必須通過為對象訪問事件類別定義審核策略設置,來啟用對象訪問審核。如果不啟用對象訪問審核,在設置文件和文件夾的審核時,將收到錯誤消息且不會審核任何文件或文件夾。
????? 四、確定是誰刪除了文件
文件服務器上的文件經常被用戶惡意刪除或移動,如何知道是誰在什么時間干的?
其實這也非常簡單,我們可以設置記錄文件服務器上文件夾或文件的被用戶執行的操作,這樣用戶對文件的操作就會記錄在案,具體的設置方法是:
第一步:打開資源管理器,右鍵單擊要審核的文件或文件夾選擇“屬性”,然后單擊“安全”選項卡
單擊“高級”按鈕,然后單擊“審核”選項卡。
第二步:要設置新用戶或組的審核,單擊“添加”在“輸入要選擇的對象名稱”中,鍵入想要的用戶或組的名稱,然后單擊“確定”。
第三步:在“應用于”框中單擊希望進行審核的位置,在“訪問”框中,通過選中適當的復選框,指出你想要審核的操作。如果要防止原始對象的后續文件和子文件夾繼承這些審核項,選中“將這些審核項目只應用到這個容器中的對象和/或容器上”復選框。(圖4)
?
圖4 權限設置
提示:設置文件和文件夾的審核前,必須通過為對象訪問事件類別定義審核策略設置,來啟用對象訪問審核。如果不啟用對象訪問審核,在設置文件和文件夾的審核時,將收到錯誤消息且不會審核任何文件或文件夾。
???? 五、共享文件只許看不許改
公共文件放在服務器上供客戶端訪問,只許讓他看不想讓他拷貝與修改,這個如何實現呢?
其實我們無法設置其他用戶既能讀取服務器上文件,又無法拷貝該文件,只要用戶擁有的讀取的權限,他也就可以拷貝該數據了,這是由于系統設計的原因造成的。我們只能設置其他用戶無法修改該文件,管理員可以將給予用戶對于共享文件夾的讀取的權限,而不賦予修改的權限來實現。具體的設置方法如下:
第一步:在服務器上打開Windows資源管理器,定位你希望設置權限的文件。右鍵單擊你所定位的文件,在隨后出現的快捷菜單中選擇“屬性”,單擊“安全”選項卡。
第二步:如需對未顯示在組或用戶名稱列表中的用戶設置權限,單擊“添加”按鈕輸入希望設置權限的用戶名稱并單擊確定。最后單擊相應用戶名稱,拒絕其“創建文件/寫入數據”權限,點擊確定。(圖5)
?
圖5 設置權限
六、映射網絡驅動器
如何讓每個用戶都可以在“我的電腦”中看到這個網絡驅動器,并且賦予不同的權限,即如何給每個用戶映射網絡驅動器?
管理員可以通過下面的方法來實現:
第一步:在域中建立一個文件服務器,然后在該文件服務器上創建一個共享文件夾,然后為每個域賬號設置不同的NTFS權限和共享權限,比如賬號user1只有查看的權限,賬號user2擁有寫的權限。
第二步:在客戶端client1上使用域賬號user1登錄,右鍵點擊我的電腦,選擇映射網絡驅動器,指定驅動器的名稱,然后點擊瀏覽,查找文件服務器和共享文件夾,選中登錄時重新連接。(圖6)
?
圖6 設置重新連接位置
第三步:在客戶端client2上使用域賬號user2登錄,按照上述的方法建立到文件夾服務器的共享文件夾的映射驅動器。這樣就可以實現賬號user1和賬號user2登錄后就可以看到網絡驅動器,并且擁有不同的權限。(圖7)?
圖7 帳號的不同權限?
七、撤銷混亂的文件權限
域管理員在訪問一些文件夾的時候提示拒絕訪問,更改了所有權才行,但是文件夾下面的子文件依然拒絕訪問,可文件夾下面有很多文件,如果一個一個改要很久,子文件繼承父文件夾的權限也遭到拒絕,這個怎么解決?
如果要重置子對象的權限項目以使它們與當前父對象一致,選中“用在此顯示的可以應用到子對象的項目替代所有子對象的權限項目”復選框,所有子文件夾和文件會將其所有權限項重設為從父對象繼承的那些項。一旦單擊“應用”或者“確定”后,便無法通過清除復選框來撤消該操作。通過下面步驟重新配置文件夾的安全設置:
第一步:選中最上層的文件夾,右鍵單擊“屬性”,點擊“安全”,在列表中刪除其他所有用戶,只保留administarator帳號和system帳號。(圖8)
?
圖8 系統帳號保留
第二步:在“安全”菜單中,點擊“高級”,取消“允許父項的繼承權限傳播到到該對象和所有子對象”選項,在彈出的菜單中選擇“刪除”操作,點擊“確定”。
第三步:在“安全”菜單中,點擊“高級”,選中“用在此顯示的可以應用到子對象的項目代替所有子對象的權限項目”,點擊“確定”。(圖9)
?
圖9 權限確認
八、賦予用戶只能創建不能刪除權限
在WINDOWS 2003 SERVER的環境里去定義某一個用戶可以創建文件夾及文件,但是不能刪除文件夾而只能刪除文件如何設定?
我們可以通過設置文件夾或者文件的特殊權限來實現,具體的操作步驟如下:
第一步:右鍵點擊需要設置的文件夾“屬性→安全→高級”,取消“允許父項的繼承權限傳播到到該對象和所有子對象”選項,在彈出的菜單中選擇“刪除”操作,點擊“確定”。
第二步:添加需要設置的帳號,只賦予該帳號“遍歷文件夾/運行文件 ”、“列出文件夾/讀取數據 ”、“讀取屬性 ”、“讀取擴展屬性 ”、“創建文件/寫入數據 ”看到的文章源自活動目錄、“創建文件夾/附加數據 ”、“寫入屬性 ”、“寫入擴展屬性”的權限。
第三步:拒絕該帳號“刪除子文件夾及文件”和“刪除”權限。選中“用在此顯示的可以應用到子對象的項目代替所有子對象的權限項目”,點擊“確定”。(圖10)
?
圖10 帳號權限設定
總結:筆者上面列舉了八個與NTFS權限相關的需求案例,相信只要大家深入挖掘就能夠滿足工作中的各種應用需求。
轉載于:https://blog.51cto.com/weixiao43/541454
總結
以上是生活随笔為你收集整理的打通NTFS权限 文件共享各取所需的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 分享30个最佳 jQuery Light
- 下一篇: LmgORM项目: 介绍