为了保护服务器共享文件的安全,需要设置共享文件访问权限,防止随意访问共享文件的行为。那么,如何快速有效地控制对NTFS磁盘分区上网络资源的访问呢?
答案就是利用默认的共享文件夹权限先设置共享文件夹,然后,通过授予NTFS权限控制对这些文件夹的访问。当共享的文件夹位于NTFS格式的磁盘分区上时,该共享文件夹的权限与NTFS权限进行组合,就可用以保护文件资源。
要为共享文件夹设置NTFS权限,可在Windows Server 2012 R2上的"共享文件夹 属性"对话框中选择"共享权限"选项卡,如图 1所示。
共享文件夹的权限具有以下特点:共享文件夹权限只适用于文件夹,而不适用于单独的文件,并且只能为整个共享文件夹设置共享权限,而不能对共享文件夹中的文件或子文件夹进行设置。所以,共享文件夹不如NTFS文件系统权限详细。共享文件夹权限并不对直接登录到计算机上的用户起作用,只适用于通过网络连接该文件夹的用户,即共享权限对直接登录到服务器上的用户是无效的。在FAT/FAT32系统卷上,共享文件夹权限是保证网络资源被安全访问的方法。原因很简单,就是NTFS权限不适用于FAT/FAT32卷。默认的共享文件夹权限是读取,并被指定给Everyone组,如图 2所示。
共享权限分为读取、修改和完全控制,不同权限以及对用户访问能力的控制如下所述:读取权限,允许用户完成的操作是显示文件夹名称、文件名称、文件数据和属性,运行应用程序文件,改变共享文件夹内的文件夹。修改权限,允许用户完成的操作是创建文件夹,向文件夹中添加文件,修改文件中的数据,向文件中追加数据,修改文件属性,删除文件夹和文件,执行"读取"权限所允许的操作。完全控制权限,允许用户完成的操作是修改文件权限,获得文件的所有权。执行"修改"和"读取"权限所允许的所有任务。默认情况下,Everyone组具有该权限。
当管理员对NTFS权限和共享文件夹的权限进行组合时,结果是组合的NTFS权限,或者是组合的共享文件夹权限,哪个范围更窄则选择哪一个。
当在NTFS卷上为共享文件夹授予权限时,应遵循以下规则:可以对共享文件夹中文件和子文件夹应用NTFS权限,可以对共享文件夹中包含的每个文件和子文件夹应用不同的NTFS权限。除共享文件夹权限外,用户必须有该共享文件夹包含的文件和子文件夹的NTFS权限,才能访问那些文件和子文件夹。在NTFS卷上必须要求NTFS权限,默认Everyone组具有"完全控制"权限,如图 3所示。
同时,单纯依靠操作系统设置共享文件夹访问权限,不能完全防止共享文件越权访问的行为。这种情况下,可以借助第三方的共享文件夹访问控制软件来实现。
大势至局域网共享文件管理系统(下载地址:http://www.dashizhi.com/products_technology/products/12.html)是一套专门设置服务器共享文件访问权限,防止随意访问共享文件的软件。通过本系统可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存到本地磁盘、只让修改共享文件而禁止删除共享文件,以及禁止拖动共享文件、禁止打印共享文件、禁止剪切共享文件等,防止泄露服务器共享文件的行为。如下图所示:
总之,有效保护服务器共享文件的安全,一方面可以借助于操作系统提供的共享文件访问权限设置功能,另一方面也可以借助于大势至服务器共享文件管理系统来实现。