當前很多企事業(yè)單位局域網(wǎng)都組建了文件服務器，一方面用于存儲單位重要的文件；另一方面也便于共享資料給用戶使用，便于大家協(xié)同辦公。同時，很多單位的共享文件通常都是單位的無形資產和商業(yè)機密，一旦被員工不適當使用將會存在共享文件泄密或損毀的風險。為此，我們必須采取有效的舉措來控制共享文件訪問權限，防止隨意訪問共享文件的行為。

前言

在日常局域網(wǎng)應用中，普通權限用戶經(jīng)常會訪問Windows服務器上的文件，為了便于管理，系統(tǒng)管理員需要對不用的用戶授予不同的訪問權限，對于信息的享有也應各有等級，重要的是在網(wǎng)絡中還要防止網(wǎng)絡黑客的攻擊，阻止用戶的超越權限行為，要對用戶進行統(tǒng)一的、嚴謹?shù)囊?guī)范和管理，同時還要保證適合不同用戶有不同的權利。

如何設置共享文件訪問權限，保護服務器共享文件的安全呢？可以通過以下兩種方法：

方法一、通過組策略設置共享文件訪問權限

所謂組策略，是一種依賴于用戶計算機中的系統(tǒng)注冊表的設置，與域、地址或組織單元相聯(lián)系的物理策略。利用組策略可以幫助系統(tǒng)管理員針對整個計算機或是特定用戶來設置多種配置，包括桌面配置和安全配置，譬如修改Windows的桌面、開始菜單、登錄方式、組件、網(wǎng)絡及IE瀏覽器等許多設置。簡而言之，組策略是Windows中的一套系統(tǒng)更改和配置管理工具的集合。

    1、共享文件服務器平臺及配置

下文服務器端操作系統(tǒng)以Windows Server 2003操作系統(tǒng)為例介紹組策略的的應用方法。Windows Server 2003是微軟的服務器操作系統(tǒng)。本地計算機組策略主要可進行兩個方面的配置：計算機配置和用戶配置。其下所有設置項的配置都將保存到注冊表的相關項目中。其中計算機配置保存到注冊表的 HKEY_LOCAL_MACHINE子樹中，用戶配置保存到HKEY_CURRENT_USER。

2、設置訪問共享文件的用戶權限

要設置用戶權限 ，請先選擇“控制面板/管理工具/本地安全策略”，然后打開“本地策略/用戶權利指派”菜單（如圖1所示），在這里，我們能夠設置常用的用戶權限。打開組策略有快捷方式，我們可以通過開始菜單運行“gpedit.msc”命令。

圖1

采用域服務器/客戶端方式的局域網(wǎng)，可以直接在服務器上通過設置組策略來限制一些用戶的權限。如要禁止用戶登錄域服務器，參照前述之法，啟動組策略，然后打開“用戶權利指派”菜單，選擇“拒絕從網(wǎng)絡訪問這臺計算機”項，在彈出的方框里添加需要禁止訪問的計算機名稱即可。通過以上設置，該用戶就無法通過“網(wǎng)上鄰居”來訪問服務器的共享文件夾和其他共享資源。

如要禁止用戶用本地登錄的方式登錄服務器，可以在組策略中單擊“在本地登錄”選項，在隨后彈出的對話框中把禁止遠程登錄的用戶名稱刪除即可。

    3、加密服務器文件夾

在實際應用中，我們有時不允許用戶訪問服務器的某些資源，比如保存在服務器上的公司生產信息。這時，可以通過設置文件夾的訪問權限來實現(xiàn)保密功能。首先單擊“我的電腦/工具/文件夾選項”，然后單擊“查看”選項卡，取消“使用簡單文件共享”的設置，確定保存。

然后選擇需要加密的文件夾，單擊右鍵，在彈出的菜單中選擇“屬性”選項，單擊“安全”選項卡。單擊“添加”按鈕，然后再彈出的窗口里單擊“高級”按鈕，接著單擊“立即查找”按鈕，添加允許訪問該文件夾的用戶，并刪除“Everyone”用戶，然后保存即可。

  4、讓新用戶訪問加密文件夾

如果有新用戶需要訪問加密文件夾，可選擇“控制面板/管理工具/計算機管理/本地用戶和組/用戶”選項（如圖2所示）。

圖2

這時會列出目前計算機的用戶列表，可以在窗口右側的空白處單擊右鍵，在彈出的菜單中選擇“新用戶”選項。輸入新用戶的名稱并保存設置，然后右鍵單擊該用戶，用用戶創(chuàng)建一個登錄密碼，保證機密文件的安全。

  5、限制用戶組訪問文件夾

如果公司的生產部門有20名員工，他們有訪問服務器上默寫共享文件夾的權利。同時想控制該組用戶，比如禁止USER1一直到USER20訪問服務器上的一個存儲固井生產檔案的文件夾。

請選擇 “控制面板/管理工具/計算機管理/本地用戶和組/用戶”，在這里，我們就可以找到本域服務器的所有用戶了，比如從USER1到USE20。為了管理的方便，我們可以把這些用戶建立為一個組，如“生產部”。打開組，在右邊的空白處新建一個組，名稱設置為“生產部”。然后打開“添加/高級/立即查找”菜單，在用戶列表里，按住“Ctrl”鍵把用戶USER1到USE20全部選中，加入到組后可以方便日常管理。

禁止該組用戶訪問某個文件夾，可以右鍵單擊該文件夾，打開“屬性”對話框，選擇“安全”選項卡，選擇“添加/高級/立即查找”菜單，選中列表里的用戶組“生產部”，然后一路點“確定”。這時，可以看到該文件夾的屬性，組或用戶名稱列表里，已經(jīng)出現(xiàn)了我們需要的“生產部”這個組（如圖3所示）。

圖3

選中該用戶組后把下面的權限的“拒絕”選項全部勾選?，F(xiàn)在，所有這個組的成員都無法對該文件夾進行操作了。

方法二、通過部署局域網(wǎng)文件共享軟件來實現(xiàn)共享文件權限限制

雖然通過組策略可以實現(xiàn)局域網(wǎng)共享文件管理、控制共享文件訪問權限。但是，由于組策略只能根據(jù)操作系統(tǒng)的文件訪問權限進行設置。因此，無法實現(xiàn)精細的局域網(wǎng)共享文件權限管理。尤其是無法實現(xiàn)在用戶打開共享文件后阻止其另存為本地磁盤，無法阻止用戶讀取共享文件的同時復制共享文件，以及無法實現(xiàn)讓用戶可以修改共享文件但禁止用戶刪除共享文件，甚至還包括拖拽共享文件到訪問者自己的磁盤，或者打印共享文件的行為。

這就需要部署專門的局域網(wǎng)文件共享管理工具來實現(xiàn)。目前，國內可以專門保護服務器共享文件的軟件較少。筆者使用過一款“大勢至局域網(wǎng)共享文件管理系統(tǒng)”（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），通過在服務器上安裝之后，就可以掃描到當前共享的文件，可以掃描到對應的服務器賬號，然后可以為用戶設置其訪問共享文件的權限，可以實現(xiàn)讓用戶讀取共享文件而禁止復制共享文件、只讓用戶打開共享文件而禁止另存為本地磁盤，以及只讓修改共享文件而禁止刪除共享文件，從而實現(xiàn)共享文件較為細致的控制。如下圖所示：

6、結論與認識

以上是通過對組策略和共享文檔管理系統(tǒng)來設置操作實現(xiàn)提高服務器上文件安全級別的一些探討。相對而言，通過組策略可以雖然可以低成本地設置共享文件訪問權限，但是始終存在一些不足。如果用戶對共享文件訪問權限設置要求較高，則可以考慮部署一些局域網(wǎng)共享文件加密軟件來實現(xiàn)。

最新評論