當(dāng)前，國內(nèi)很多企事業(yè)單位處于網(wǎng)絡(luò)統(tǒng)一管理和網(wǎng)絡(luò)安全的需要，通常會組建域環(huán)境，將局域網(wǎng)內(nèi)部電腦全部加入到域里面進行控制。毋庸置疑，通過Windows域控制器可以集中管理局域網(wǎng)電腦使用權(quán)限、統(tǒng)一推送補丁或分發(fā)各種策略，從而極大地保護了局域網(wǎng)網(wǎng)絡(luò)安全，也規(guī)范了網(wǎng)絡(luò)管理。

同時，在很多企事業(yè)單位局域網(wǎng)中，通常都有自己的局域網(wǎng)文件服務(wù)器，并且經(jīng)常共享一些文件供局域網(wǎng)用戶訪問。雖然通過域控制器可以設(shè)置局域網(wǎng)電腦訪問共享文件的相關(guān)權(quán)限，一定程度上保護共享文件的安全。那么，域環(huán)境下如何設(shè)置服務(wù)器共享文件的安全呢？具體如下：

比如我們現(xiàn)在新來了一個員工李斯我們需要為他配備電腦，安裝office，配置郵箱，文件共享驅(qū)動的映射等諸多事項。

那么我們可以利用組策略為員工添加文件共享服務(wù)器的映射驅(qū)動，同時也會對該用戶訪問權(quán)限也會隨之生效

1.我們需要為新員工獎勵域賬戶，并添加到所屬部門的ou（人事）

2.還需要在文件共享服務(wù)器為其添加相應(yīng)的訪問權(quán)限。

3.開始-管理工具-組策略管理

4.選擇-人事（ou）-郵件點擊-在這個域中創(chuàng)建GPO并在此處鏈接

5.輸入GPO名稱“人事文件映射驅(qū)動”點擊-確定

6.選擇GPO人事文件映射驅(qū)動右鍵-點擊編輯

7.選擇用戶配置-首選項-windows設(shè)置-驅(qū)動器映射-右鍵點擊新建-點擊映射驅(qū)動器

8.編輯新建驅(qū)動器屬性，在本屬性中的設(shè)置直接關(guān)系到能否正確的發(fā)布驅(qū)動器，所以我們要細(xì)細(xì)的分析一下。

在此類型的下拉列表中提供了四個選擇：創(chuàng)建、替換、更新和刪除。組策略的應(yīng)用結(jié)果會因選定的操作以及驅(qū)動器號是否已經(jīng)存在而異。

[創(chuàng)建]：為用戶創(chuàng)建新的映射驅(qū)動器。

[替換]:刪除并重新創(chuàng)建用戶的映射驅(qū)動器。“替換”操作的最終結(jié)果是覆蓋與映射驅(qū)動器相關(guān)的所有現(xiàn)有設(shè)置。如果驅(qū)動器映射不存在，則“替換”操作會創(chuàng)建新的驅(qū)動器映射。

[更新]:修改用戶的現(xiàn)有映射驅(qū)動器的設(shè)置。該操作與“替換”不同，它僅更新在該首選項中定義的設(shè)置。所有其他設(shè)置保持為在映射驅(qū)動器上配置的狀態(tài)。如果驅(qū)動器映射不存在，則“更新”操作會創(chuàng)建新的驅(qū)動器映射。

[刪除]：刪除用戶的映射驅(qū)動器。

因為客戶端現(xiàn)在還沒有映射的網(wǎng)絡(luò)驅(qū)動器，所以在這里我們選擇[創(chuàng)建]選項，我們也可以根據(jù)實際情況選擇不同的選項。

【位置】：在這一項里，我們必須輸入UNC路徑（如UNC路徑（如\\server\sharename、\\server\hiddenshare$或\\server\sharename\foldername），如果是上面的操作選項是創(chuàng)建、替換或更新時，這個位置則不得不添，如若是刪除就不必了。在這里我們務(wù)必記得要將共享的文件夾授權(quán)給用戶，否則當(dāng)最后映射成功后卻沒有權(quán)限使用！

【驅(qū)動器號】：給需要映射的驅(qū)動器配置一個標(biāo)識，這個比較簡單。

9.選擇常用-勾選項目級別目標(biāo)-點擊目標(biāo)

10.選擇新建項目，

11.選擇組織單位

12.選擇該員工所在部門ou-勾選僅直接成員-選擇ou中的用戶-點擊確定

13.使用李斯的賬戶登陸已加入域的計算機

注意：

計算機加入域之后本地策略當(dāng)然還可以修改,組策略的應(yīng)用次序是本地->站點->域->OU，如果策略有沖突，則后應(yīng)用的生效。

啟動的時候計算機策略和用戶策略都會刷新。

即使不啟動，域控制器5分鐘更新一次，客戶機90分鐘更新一次。

可以用以下命令強制更新

gpupdate/target:user/force

gpupdate/target:computer/force

這些命令必須先在域控制器上執(zhí)行,然后在客戶端執(zhí)行.

所有計算機每次重新啟動的時候肯定會刷新ad中的組策略,不需要任何設(shè)置.

雖然通過域控制器的設(shè)置，可以在很大程度上保護服務(wù)器共享文件的安全，但始終無法全面保護共享文件的安全。例如，雖然可以通過域控制器配合組策略實現(xiàn)禁止刪除共享文件、禁止修改共享文件、禁止剪切共享文件等，但始終無法阻止復(fù)制共享文件、打開共享文件后另存為本地磁盤、打開共享文件后打印共享文件等訪問行為，從而使得共享文件安全存在著較大的風(fēng)險。這種情況下，我們就需要一款專門的局域網(wǎng)共享文件權(quán)限設(shè)置軟件來保護共享文件的安全。

目前，國內(nèi)有很多專門面向局域網(wǎng)共享文件安全管理的軟件，例如有一款“大勢至共享文件審計系統(tǒng)”（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），只需要在局域網(wǎng)共享文件服務(wù)器上安裝之后，就可以全面設(shè)置服務(wù)器共享文件的訪問權(quán)限，不僅可以實現(xiàn)禁止刪除共享文件，而且還可以實現(xiàn)允許修改共享文件但禁止刪除共享文件、允許讀取共享文件但禁止復(fù)制共享文件、允許打開共享文件但禁止將共享文件另存為本地磁盤，同時還可以阻止打印共享文件、禁止剪切共享文件等，從而全面保護了共享文件的安全。此外，還可以防止拖拽共享文件到訪問者自己的電腦，從而也可以防止通過U盤、郵件、網(wǎng)盤、QQ發(fā)送文件的方式將共享文件發(fā)送出去的行為，從而徹底保護了共享文件的安全，防止通過各種途徑泄密的行為。如下圖所示：

通過大勢至共享文件審計系統(tǒng)保護之后，訪問者可以修改共享文件但無法刪除共享文件，同時還會有人性化的提示，如下圖所示：

此外，大勢至共享文件夾管理軟件、局域網(wǎng)共享文件訪問權(quán)限設(shè)置軟件還可以全面記錄局域網(wǎng)用戶訪問共享文件的各種日志，便于管理員在一定情況下追溯客戶端訪問共享文件的動作，更好地管理共享文件的安全。如下圖所示：

總之，企事業(yè)單位局域網(wǎng)要想實現(xiàn)局域網(wǎng)共享文件的安全管理、更好地控制局域網(wǎng)文件服務(wù)器的訪問權(quán)限，一方面可以充分借助于Windows域控制器、組策略的各種安全設(shè)置功能，另一方面也可以借助于專門的局域網(wǎng)共享文件訪問控制軟件、局域網(wǎng)共享文件監(jiān)控軟件，從而更好地防止電腦數(shù)據(jù)泄密、保護單位的無形資產(chǎn)和商業(yè)機密。

最新評論