现在很多单位局域网都有共享文件,如何保护共享文件的安全,既方便员工日常办公需要,又防止越权访问共享文件的行为,是网络管理员一项重要的工作。具体如何实现呢?、
一、如何设置共享文件、如何共享文件给局域网用户访问使用?
【实训目标】
想像这样一种情况,公司规定每位新员工需要在自己所使用的计算机中创建一个共享目录作为交换文件之用,作为系统管理员,你要为不会共享操作的员工设置共享文件夹,而员工分散在公司各处,跑来跑去非常不方便,有没有好的解决方法呢?此时便可用计算机管理控制台远程设置。
【实训环境】
l 首先确保被设置机器的防火墙已开启445端口(SMB-IN)
也就是“开启文件和打印机共享”。
也可以在被设置机器中运行
“netsh firewall set portopening tcp 445 smb enable”命令。
如果想禁用则是“netsh firewall set portopening tcp 445 smb disable”。
l 如果是在工作组网络环境下,需要先登录到被设置机器。
(建议管理工作组的话,网络管理员在工作组所有电脑上都设置一个只有自己知道的管理员帐户和密码,方便直接在自己的电脑上登录到要设置的机器。由于工作组对等网络的一个漏洞,拥有相同账户和密码的账户是直接不需要验证就能登录到的,所以有时候适当的时候可以用这个方法来进行管理。)
l 如果被设置机器处在域中,则要确保被设置机器已成功登录到域。
(使用计算机管理控制台来创建共享,主要就是应用在域环境里。)
【操作系统】
2008 R2(域控制器)、XP(客户端)
如上图,在域环境中查找计算机
或者已知域客户端的完整计算机名称,如上图可以通过系统属性查看到(红框处)
输入在域环境中的完整计算机名,确定。
成功连接
单击【开始】|【运行】命令,在【运行】对话框的【打开】文本框中输入命令(或如上图在CMD窗口中输入)
compmgmt.msc /computer:tie-xp03.winsnet13.com
其中“tie-xp03.winsnet13.com”用户需自行替换成自己在域中要连接的计算机名。
在出现的【浏览文件夹】对话框中选择要共享的文件夹或单击【新建文件夹】按钮创建新的文件夹,然后单击【确定】按钮
在【计算机管理】窗口中也可以看到e:\share文件夹已成功共享。
在【属性】对话框的【发布】选项卡下选中【将这个共享在Active Directory中发布】复选框,单击【编辑】按钮,在打开的对话框中输入描述、所有者及关键字
要注意的是输入的“所有者”信息必须是域中有的用户,格式也要输对
不然会弹出找不到名称的错误提示:
确认无误后确定发布
单击【开始】|【网络】或桌面上的【网络】
【网络】窗口,单击“搜索Active Directory”
查找共享文件夹对话框中选择好查找共享文件夹,在【名称】文本框输入要查找的文件夹名,也可在【关键字】文本框输入关键字,单击【开始查找】按钮,在下方搜索结果中可以看到找到了刚刚发布的共享项目。
二、如何设置共享文件访问权限、防止共享文件越权访问、防止共享文件泄密?
当然,共享好文件后我们还需要设置共享文件访问权限,保护共享文件的安全。尤其是,如何只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件等,以及禁止拖动共享文件等。那么这种情况下就需要借助专门的共享文件管理软件来实现了。例如有一款“大势至共享文件管理系统”(下载地址:http://www.grabsun.com/gongxiangwenjianshenji.html),只需要在电脑上安装之后,就可以实现操作系统和域控制器都无法实现的共享文件管理功能,可以实现只让读取不能复制共享文件、只能修改不能删除共享文件、只能打开不能保存共享文件等,同时还可以禁止拖动共享文件等,全面保护共享文件的安全。如下图所示:
至此,我们就成功设置了共享文件访问权限,同时也保护了共享文件的安全。
此外,本系统还可以实时记录共享文件访问日志,以及将共享文件访问记录导出备份的功能,从而便于事后备查和审计。如下图:
