當(dāng)前很多企事業(yè)單位局域網(wǎng)都組建了文件服務(wù)器，一方面用于存儲(chǔ)單位重要的文件；另一方面也便于共享資料給用戶使用，便于大家協(xié)同辦公。同時(shí)，很多單位的共享文件通常都是單位的無形資產(chǎn)和商業(yè)機(jī)密，一旦被員工不適當(dāng)使用將會(huì)存在共享文件泄密或損毀的風(fēng)險(xiǎn)。為此，我們必須采取有效的舉措來控制共享文件訪問權(quán)限，防止隨意訪問共享文件的行為。

前言

在日常局域網(wǎng)應(yīng)用中，普通權(quán)限用戶經(jīng)常會(huì)訪問Windows服務(wù)器上的文件，為了便于管理，系統(tǒng)管理員需要對不用的用戶授予不同的訪問權(quán)限，對于信息的享有也應(yīng)各有等級(jí)，重要的是在網(wǎng)絡(luò)中還要防止網(wǎng)絡(luò)黑客的攻擊，阻止用戶的超越權(quán)限行為，要對用戶進(jìn)行統(tǒng)一的、嚴(yán)謹(jǐn)?shù)囊?guī)范和管理，同時(shí)還要保證適合不同用戶有不同的權(quán)利。

如何設(shè)置共享文件訪問權(quán)限，保護(hù)服務(wù)器共享文件的安全呢？可以通過以下兩種方法：

方法一、通過組策略設(shè)置共享文件訪問權(quán)限

所謂組策略，是一種依賴于用戶計(jì)算機(jī)中的系統(tǒng)注冊表的設(shè)置，與域、地址或組織單元相聯(lián)系的物理策略。利用組策略可以幫助系統(tǒng)管理員針對整個(gè)計(jì)算機(jī)或是特定用戶來設(shè)置多種配置，包括桌面配置和安全配置，譬如修改Windows的桌面、開始菜單、登錄方式、組件、網(wǎng)絡(luò)及IE瀏覽器等許多設(shè)置。簡而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。

    1、共享文件服務(wù)器平臺(tái)及配置

下文服務(wù)器端操作系統(tǒng)以Windows Server 2003操作系統(tǒng)為例介紹組策略的的應(yīng)用方法。Windows Server 2003是微軟的服務(wù)器操作系統(tǒng)。本地計(jì)算機(jī)組策略主要可進(jìn)行兩個(gè)方面的配置：計(jì)算機(jī)配置和用戶配置。其下所有設(shè)置項(xiàng)的配置都將保存到注冊表的相關(guān)項(xiàng)目中。其中計(jì)算機(jī)配置保存到注冊表的 HKEY_LOCAL_MACHINE子樹中，用戶配置保存到HKEY_CURRENT_USER。

2、設(shè)置訪問共享文件的用戶權(quán)限

要設(shè)置用戶權(quán)限 ，請先選擇“控制面板/管理工具/本地安全策略”，然后打開“本地策略/用戶權(quán)利指派”菜單（如圖1所示），在這里，我們能夠設(shè)置常用的用戶權(quán)限。打開組策略有快捷方式，我們可以通過開始菜單運(yùn)行“gpedit.msc”命令。

圖1

采用域服務(wù)器/客戶端方式的局域網(wǎng)，可以直接在服務(wù)器上通過設(shè)置組策略來限制一些用戶的權(quán)限。如要禁止用戶登錄域服務(wù)器，參照前述之法，啟動(dòng)組策略，然后打開“用戶權(quán)利指派”菜單，選擇“拒絕從網(wǎng)絡(luò)訪問這臺(tái)計(jì)算機(jī)”項(xiàng)，在彈出的方框里添加需要禁止訪問的計(jì)算機(jī)名稱即可。通過以上設(shè)置，該用戶就無法通過“網(wǎng)上鄰居”來訪問服務(wù)器的共享文件夾和其他共享資源。

如要禁止用戶用本地登錄的方式登錄服務(wù)器，可以在組策略中單擊“在本地登錄”選項(xiàng)，在隨后彈出的對話框中把禁止遠(yuǎn)程登錄的用戶名稱刪除即可。

    3、加密服務(wù)器文件夾

在實(shí)際應(yīng)用中，我們有時(shí)不允許用戶訪問服務(wù)器的某些資源，比如保存在服務(wù)器上的公司生產(chǎn)信息。這時(shí)，可以通過設(shè)置文件夾的訪問權(quán)限來實(shí)現(xiàn)保密功能。首先單擊“我的電腦/工具/文件夾選項(xiàng)”，然后單擊“查看”選項(xiàng)卡，取消“使用簡單文件共享”的設(shè)置，確定保存。

然后選擇需要加密的文件夾，單擊右鍵，在彈出的菜單中選擇“屬性”選項(xiàng)，單擊“安全”選項(xiàng)卡。單擊“添加”按鈕，然后再彈出的窗口里單擊“高級(jí)”按鈕，接著單擊“立即查找”按鈕，添加允許訪問該文件夾的用戶，并刪除“Everyone”用戶，然后保存即可。

  4、讓新用戶訪問加密文件夾

如果有新用戶需要訪問加密文件夾，可選擇“控制面板/管理工具/計(jì)算機(jī)管理/本地用戶和組/用戶”選項(xiàng)（如圖2所示）。

圖2

這時(shí)會(huì)列出目前計(jì)算機(jī)的用戶列表，可以在窗口右側(cè)的空白處單擊右鍵，在彈出的菜單中選擇“新用戶”選項(xiàng)。輸入新用戶的名稱并保存設(shè)置，然后右鍵單擊該用戶，用用戶創(chuàng)建一個(gè)登錄密碼，保證機(jī)密文件的安全。

  5、限制用戶組訪問文件夾

如果公司的生產(chǎn)部門有20名員工，他們有訪問服務(wù)器上默寫共享文件夾的權(quán)利。同時(shí)想控制該組用戶，比如禁止USER1一直到USER20訪問服務(wù)器上的一個(gè)存儲(chǔ)固井生產(chǎn)檔案的文件夾。

請選擇 “控制面板/管理工具/計(jì)算機(jī)管理/本地用戶和組/用戶”，在這里，我們就可以找到本域服務(wù)器的所有用戶了，比如從USER1到USE20。為了管理的方便，我們可以把這些用戶建立為一個(gè)組，如“生產(chǎn)部”。打開組，在右邊的空白處新建一個(gè)組，名稱設(shè)置為“生產(chǎn)部”。然后打開“添加/高級(jí)/立即查找”菜單，在用戶列表里，按住“Ctrl”鍵把用戶USER1到USE20全部選中，加入到組后可以方便日常管理。

禁止該組用戶訪問某個(gè)文件夾，可以右鍵單擊該文件夾，打開“屬性”對話框，選擇“安全”選項(xiàng)卡，選擇“添加/高級(jí)/立即查找”菜單，選中列表里的用戶組“生產(chǎn)部”，然后一路點(diǎn)“確定”。這時(shí)，可以看到該文件夾的屬性，組或用戶名稱列表里，已經(jīng)出現(xiàn)了我們需要的“生產(chǎn)部”這個(gè)組（如圖3所示）。

圖3

選中該用戶組后把下面的權(quán)限的“拒絕”選項(xiàng)全部勾選?，F(xiàn)在，所有這個(gè)組的成員都無法對該文件夾進(jìn)行操作了。

方法二、通過部署局域網(wǎng)文件共享軟件來實(shí)現(xiàn)共享文件權(quán)限限制

雖然通過組策略可以實(shí)現(xiàn)局域網(wǎng)共享文件管理、控制共享文件訪問權(quán)限。但是，由于組策略只能根據(jù)操作系統(tǒng)的文件訪問權(quán)限進(jìn)行設(shè)置。因此，無法實(shí)現(xiàn)精細(xì)的局域網(wǎng)共享文件權(quán)限管理。尤其是無法實(shí)現(xiàn)在用戶打開共享文件后阻止其另存為本地磁盤，無法阻止用戶讀取共享文件的同時(shí)復(fù)制共享文件，以及無法實(shí)現(xiàn)讓用戶可以修改共享文件但禁止用戶刪除共享文件，甚至還包括拖拽共享文件到訪問者自己的磁盤，或者打印共享文件的行為。

這就需要部署專門的局域網(wǎng)文件共享管理工具來實(shí)現(xiàn)。目前，國內(nèi)可以專門保護(hù)服務(wù)器共享文件的軟件較少。筆者使用過一款“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），通過在服務(wù)器上安裝之后，就可以掃描到當(dāng)前共享的文件，可以掃描到對應(yīng)的服務(wù)器賬號(hào)，然后可以為用戶設(shè)置其訪問共享文件的權(quán)限，可以實(shí)現(xiàn)讓用戶讀取共享文件而禁止復(fù)制共享文件、只讓用戶打開共享文件而禁止另存為本地磁盤，以及只讓修改共享文件而禁止刪除共享文件，從而實(shí)現(xiàn)共享文件較為細(xì)致的控制。如下圖所示：

6、結(jié)論與認(rèn)識(shí)

以上是通過對組策略和共享文檔管理系統(tǒng)來設(shè)置操作實(shí)現(xiàn)提高服務(wù)器上文件安全級(jí)別的一些探討。相對而言，通過組策略可以雖然可以低成本地設(shè)置共享文件訪問權(quán)限，但是始終存在一些不足。如果用戶對共享文件訪問權(quán)限設(shè)置要求較高，則可以考慮部署一些局域網(wǎng)共享文件加密軟件來實(shí)現(xiàn)。

最新評論