當(dāng)前，國(guó)內(nèi)很多企事業(yè)單位處于網(wǎng)絡(luò)統(tǒng)一管理和網(wǎng)絡(luò)安全的需要，通常會(huì)組建域環(huán)境，將局域網(wǎng)內(nèi)部電腦全部加入到域里面進(jìn)行控制。毋庸置疑，通過(guò)Windows域控制器可以集中管理局域網(wǎng)電腦使用權(quán)限、統(tǒng)一推送補(bǔ)丁或分發(fā)各種策略，從而極大地保護(hù)了局域網(wǎng)網(wǎng)絡(luò)安全，也規(guī)范了網(wǎng)絡(luò)管理。

同時(shí)，在很多企事業(yè)單位局域網(wǎng)中，通常都有自己的局域網(wǎng)文件服務(wù)器，并且經(jīng)常共享一些文件供局域網(wǎng)用戶(hù)訪(fǎng)問(wèn)。雖然通過(guò)域控制器可以設(shè)置局域網(wǎng)電腦訪(fǎng)問(wèn)共享文件的相關(guān)權(quán)限，一定程度上保護(hù)共享文件的安全。那么，域環(huán)境下如何設(shè)置服務(wù)器共享文件的安全呢？具體如下：

比如我們現(xiàn)在新來(lái)了一個(gè)員工李斯我們需要為他配備電腦，安裝office，配置郵箱，文件共享驅(qū)動(dòng)的映射等諸多事項(xiàng)。

那么我們可以利用組策略為員工添加文件共享服務(wù)器的映射驅(qū)動(dòng)，同時(shí)也會(huì)對(duì)該用戶(hù)訪(fǎng)問(wèn)權(quán)限也會(huì)隨之生效

1.我們需要為新員工獎(jiǎng)勵(lì)域賬戶(hù)，并添加到所屬部門(mén)的ou（人事）

2.還需要在文件共享服務(wù)器為其添加相應(yīng)的訪(fǎng)問(wèn)權(quán)限。

3.開(kāi)始-管理工具-組策略管理

4.選擇-人事（ou）-郵件點(diǎn)擊-在這個(gè)域中創(chuàng)建GPO并在此處鏈接

5.輸入GPO名稱(chēng)“人事文件映射驅(qū)動(dòng)”點(diǎn)擊-確定

6.選擇GPO人事文件映射驅(qū)動(dòng)右鍵-點(diǎn)擊編輯

7.選擇用戶(hù)配置-首選項(xiàng)-windows設(shè)置-驅(qū)動(dòng)器映射-右鍵點(diǎn)擊新建-點(diǎn)擊映射驅(qū)動(dòng)器

8.編輯新建驅(qū)動(dòng)器屬性，在本屬性中的設(shè)置直接關(guān)系到能否正確的發(fā)布驅(qū)動(dòng)器，所以我們要細(xì)細(xì)的分析一下。

在此類(lèi)型的下拉列表中提供了四個(gè)選擇：創(chuàng)建、替換、更新和刪除。組策略的應(yīng)用結(jié)果會(huì)因選定的操作以及驅(qū)動(dòng)器號(hào)是否已經(jīng)存在而異。

[創(chuàng)建]：為用戶(hù)創(chuàng)建新的映射驅(qū)動(dòng)器。

[替換]:刪除并重新創(chuàng)建用戶(hù)的映射驅(qū)動(dòng)器。“替換”操作的最終結(jié)果是覆蓋與映射驅(qū)動(dòng)器相關(guān)的所有現(xiàn)有設(shè)置。如果驅(qū)動(dòng)器映射不存在，則“替換”操作會(huì)創(chuàng)建新的驅(qū)動(dòng)器映射。

[更新]:修改用戶(hù)的現(xiàn)有映射驅(qū)動(dòng)器的設(shè)置。該操作與“替換”不同，它僅更新在該首選項(xiàng)中定義的設(shè)置。所有其他設(shè)置保持為在映射驅(qū)動(dòng)器上配置的狀態(tài)。如果驅(qū)動(dòng)器映射不存在，則“更新”操作會(huì)創(chuàng)建新的驅(qū)動(dòng)器映射。

[刪除]：刪除用戶(hù)的映射驅(qū)動(dòng)器。

因?yàn)榭蛻?hù)端現(xiàn)在還沒(méi)有映射的網(wǎng)絡(luò)驅(qū)動(dòng)器，所以在這里我們選擇[創(chuàng)建]選項(xiàng)，我們也可以根據(jù)實(shí)際情況選擇不同的選項(xiàng)。

【位置】：在這一項(xiàng)里，我們必須輸入U(xiǎn)NC路徑（如UNC路徑（如\\server\sharename、\\server\hiddenshare$或\\server\sharename\foldername），如果是上面的操作選項(xiàng)是創(chuàng)建、替換或更新時(shí)，這個(gè)位置則不得不添，如若是刪除就不必了。在這里我們務(wù)必記得要將共享的文件夾授權(quán)給用戶(hù)，否則當(dāng)最后映射成功后卻沒(méi)有權(quán)限使用！

【驅(qū)動(dòng)器號(hào)】：給需要映射的驅(qū)動(dòng)器配置一個(gè)標(biāo)識(shí)，這個(gè)比較簡(jiǎn)單。

9.選擇常用-勾選項(xiàng)目級(jí)別目標(biāo)-點(diǎn)擊目標(biāo)

10.選擇新建項(xiàng)目，

11.選擇組織單位

12.選擇該員工所在部門(mén)ou-勾選僅直接成員-選擇ou中的用戶(hù)-點(diǎn)擊確定

13.使用李斯的賬戶(hù)登陸已加入域的計(jì)算機(jī)

注意：

計(jì)算機(jī)加入域之后本地策略當(dāng)然還可以修改,組策略的應(yīng)用次序是本地->站點(diǎn)->域->OU，如果策略有沖突，則后應(yīng)用的生效。

啟動(dòng)的時(shí)候計(jì)算機(jī)策略和用戶(hù)策略都會(huì)刷新。

即使不啟動(dòng)，域控制器5分鐘更新一次，客戶(hù)機(jī)90分鐘更新一次。

可以用以下命令強(qiáng)制更新

gpupdate/target:user/force

gpupdate/target:computer/force

這些命令必須先在域控制器上執(zhí)行,然后在客戶(hù)端執(zhí)行.

所有計(jì)算機(jī)每次重新啟動(dòng)的時(shí)候肯定會(huì)刷新ad中的組策略,不需要任何設(shè)置.

雖然通過(guò)域控制器的設(shè)置，可以在很大程度上保護(hù)服務(wù)器共享文件的安全，但始終無(wú)法全面保護(hù)共享文件的安全。例如，雖然可以通過(guò)域控制器配合組策略實(shí)現(xiàn)禁止刪除共享文件、禁止修改共享文件、禁止剪切共享文件等，但始終無(wú)法阻止復(fù)制共享文件、打開(kāi)共享文件后另存為本地磁盤(pán)、打開(kāi)共享文件后打印共享文件等訪(fǎng)問(wèn)行為，從而使得共享文件安全存在著較大的風(fēng)險(xiǎn)。這種情況下，我們就需要一款專(zhuān)門(mén)的局域網(wǎng)共享文件權(quán)限設(shè)置軟件來(lái)保護(hù)共享文件的安全。

目前，國(guó)內(nèi)有很多專(zhuān)門(mén)面向局域網(wǎng)共享文件安全管理的軟件，例如有一款“大勢(shì)至共享文件審計(jì)系統(tǒng)”（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），只需要在局域網(wǎng)共享文件服務(wù)器上安裝之后，就可以全面設(shè)置服務(wù)器共享文件的訪(fǎng)問(wèn)權(quán)限，不僅可以實(shí)現(xiàn)禁止刪除共享文件，而且還可以實(shí)現(xiàn)允許修改共享文件但禁止刪除共享文件、允許讀取共享文件但禁止復(fù)制共享文件、允許打開(kāi)共享文件但禁止將共享文件另存為本地磁盤(pán)，同時(shí)還可以阻止打印共享文件、禁止剪切共享文件等，從而全面保護(hù)了共享文件的安全。此外，還可以防止拖拽共享文件到訪(fǎng)問(wèn)者自己的電腦，從而也可以防止通過(guò)U盤(pán)、郵件、網(wǎng)盤(pán)、QQ發(fā)送文件的方式將共享文件發(fā)送出去的行為，從而徹底保護(hù)了共享文件的安全，防止通過(guò)各種途徑泄密的行為。如下圖所示：

通過(guò)大勢(shì)至共享文件審計(jì)系統(tǒng)保護(hù)之后，訪(fǎng)問(wèn)者可以修改共享文件但無(wú)法刪除共享文件，同時(shí)還會(huì)有人性化的提示，如下圖所示：

此外，大勢(shì)至共享文件夾管理軟件、局域網(wǎng)共享文件訪(fǎng)問(wèn)權(quán)限設(shè)置軟件還可以全面記錄局域網(wǎng)用戶(hù)訪(fǎng)問(wèn)共享文件的各種日志，便于管理員在一定情況下追溯客戶(hù)端訪(fǎng)問(wèn)共享文件的動(dòng)作，更好地管理共享文件的安全。如下圖所示：

總之，企事業(yè)單位局域網(wǎng)要想實(shí)現(xiàn)局域網(wǎng)共享文件的安全管理、更好地控制局域網(wǎng)文件服務(wù)器的訪(fǎng)問(wèn)權(quán)限，一方面可以充分借助于Windows域控制器、組策略的各種安全設(shè)置功能，另一方面也可以借助于專(zhuān)門(mén)的局域網(wǎng)共享文件訪(fǎng)問(wèn)控制軟件、局域網(wǎng)共享文件監(jiān)控軟件，從而更好地防止電腦數(shù)據(jù)泄密、保護(hù)單位的無(wú)形資產(chǎn)和商業(yè)機(jī)密。

最新評(píng)論