概述:
对于Windows Server 2003,特别是Windows Server 2003 R2,用户对于本地或远程计算机资源的管理越来越方便和高效!文件服务器角色做为Windows Server 2003最核心功能之一,有着多种使用方式,比如文件共享,DFS等。但不论是文件共享还是Dfs,要想安全高效的正常工作,都离不开合理的权限设置。
本文以自己在部署文件服务器过程中的实践总结,对共享资源权限设置经验做一简单分享,希望能给初次涉及相关应用的朋友提供参考!
注:
本文讨论的文件权限控制只适应于NTFS格式的磁盘分区,因为FAT和FAT磁盘分区没有ACL表,所以无法利用NTFS进行权限控制,FAT或FAT32磁盘分区不在本次讨论范围之列! 一:理解共享权限与NTFS权限
文件服务器的目的是提供共享资源,允许特定用户和组通过网络访问适当的网络共享资源。
安全合理的设置网络共享资源控制离不开正确的网络共享资源访问权限。
网络共享资源访问权限是由共享权限和NTFS权限组合而成,取两者的最小权限集合。其中:
1:共享权限仅对通过网络访问的用户和组起作用,无法对任何本地用户和交互式登录的用户起作用,本地用户和交互式登录的访问权限通过NTFS权限控制。
2:共享权限决定了通过网络访问共享资源所能取得的最大权限。
3:作为Win2003新特征之一,默认情况共享权限中的Everyone 不包含Anonymous(匿名用户)。
4:NTFS 权限作用于以任何方式访问文件或文件夹的用户。
5:NTFS权限不仅可应用于文件夹,也可以应用于具体文件。
6:文件权限优先于文件夹权限
7:显式的拒绝权限优先。
8:显式的允许权限优先于继承的拒绝权限 二:理解共享权限决定了通过网络访问共享资源所能取得的最大权限
个人感觉“共享权限决定了通过网络访问共享资源所能取得的最大权限”是理解整个共享资源权限设置中最关键的地方,多数共享资源权限设置设想与实际效果出现偏差,都与没有正确理解这句的含义有关。
我们知道,网络共享资源访问权限是由共享权限和NTFS权限组合而成,但共享权限决定了最大权限访问,而实际访问权限是取两者最严格权限集。
如果NTFS权限比共享权限小,那就取NTFS权限。
如果NTFS权限比共享权限大,那就取共享权限。 三:三个典型案例深入理解共享资源权限设置
案例一目标:理解共享权限决定通过网络访问共享资源所能取得的最大权限
实验步骤:
1:在文件服务器共享资源中将某一个共享文件夹共享权限设为只读。 ![](https://wkrtcs.bdimg.com/rtcs/image?w=357&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"357","h":"267","dataType":"png","c":"word/media/image1.png","imgOriW":357,"imgOriH":267}) 2:对同一文件夹,在安全选项框中给该用户所属组NTFS权限设置为完全控制 ![](https://wkrtcs.bdimg.com/rtcs/image?w=367&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"367","h":"442","dataType":"png","c":"word/media/image2.png","imgOriW":367,"imgOriH":442}) 3:在客户机通过网络访问该文件夹,只能查看文件夹,无法修改删除以及新建文件夹或文件 ![](https://wkrtcs.bdimg.com/rtcs/image?w=361&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"361","h":"209","dataType":"png","c":"word/media/image3.png","imgOriW":361,"imgOriH":209}) 通过该案例可以确认共享权限决定通过网络访问共享资源所能取得的最大权限。 案例二目标:理解权限继承和如何查看和分析有效权限
实验步骤:
1:在文件服务器共享资源中将某一个共享文件夹共享权限设为完全控制。 ![](https://wkrtcs.bdimg.com/rtcs/image?w=364&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"364","h":"403","dataType":"png","c":"word/media/image4.png","imgOriW":364,"imgOriH":403}) 2:NTFS安全权限选择默认选项。 ![](https://wkrtcs.bdimg.com/rtcs/image?w=360&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"360","h":"435","dataType":"png","c":"word/media/image5.png","imgOriW":360,"imgOriH":435}) 3:在客户机通过网络访问该文件夹,测试此时该用户权限。 ![](https://wkrtcs.bdimg.com/rtcs/image?w=333&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"333","h":"204","dataType":"png","c":"word/media/image6.png","imgOriW":333,"imgOriH":204}) ![](https://wkrtcs.bdimg.com/rtcs/image?w=327&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"327","h":"193","dataType":"png","c":"word/media/image7.png","imgOriW":327,"imgOriH":193}) 由上面两图很明显看出,此时用户可以创建文件夹也可以创建文件,
同时也可以删除自己创建的文件夹或文件。但从NTFS权限设置来看,
用户应该只有读取和列出文件夹权限,没有写入和修改的权限。
但为什么会出现上图所示的看似异常情况呢? 原因分析与定位:
1:在文件服务器对该文件夹针对测试用户查看有效权限,实际权限如下图 ![](https://wkrtcs.bdimg.com/rtcs/image?w=506&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"506","h":"353","dataType":"png","c":"word/media/image8.png","imgOriW":506,"imgOriH":353}) 上图可以看出在当前案例权限设置下,该用户确实拥有创建和写入的权限。但这种权限不是显式设置,而是通过继承拥有的。那么上述那个权限是该用户从哪儿继承拥有的呢,权限查看工具Showacls可以帮我们找到答案: ![](https://wkrtcs.bdimg.com/rtcs/image?w=511&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"511","h":"223","dataType":"png","c":"word/media/image9.png","imgOriW":511,"imgOriH":223}) 从上图我们可以看出具体原因所在:
该用户之所以拥有上述两个权限,是因为在NTFS权限设置中采用的是默认权限设置,默认权限设置中除了读取权限外,还有一个“特别的权限”。特别权限继承自磁盘根目录权限设置。默认的磁盘根目录NTFS权限设置如下图: ![](https://wkrtcs.bdimg.com/rtcs/image?w=356&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"356","h":"437","dataType":"png","c":"word/media/image10.png","imgOriW":356,"imgOriH":437}) 在“高级”选项中,我们可以很清楚知道当前用户所属的域用户组有创建和写入权限: ![](https://wkrtcs.bdimg.com/rtcs/image?w=546&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"546","h":"269","dataType":"png","c":"word/media/image11.png","imgOriW":546,"imgOriH":269})
之所以通过权限查看工具看到的不是直接的User(Superlan\Users),而是BUILTIN\Users用户。参考相关资料可以知道,BUILTIN\Users用户组默认包括域中创建的所有用户成员,也包括Domain Users用户组。
案例三目标:理解显式的允许权限优先于继承的拒绝权限
实验步骤:
1:对共享文件夹中itTrainer子文件夹添加Superlan\itTrainer用户,并添加”拒绝写入”权限。
![](https://wkrtcs.bdimg.com/rtcs/image?w=353&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"353","h":"391","dataType":"png","c":"word/media/image12.png","imgOriW":353,"imgOriH":391}) 2:在itTrainer文件夹中,添加一个TestFolder文件夹,并对ITTrainer用户添加“允许写入”权限。 ![](https://wkrtcs.bdimg.com/rtcs/image?w=357&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"357","h":"397","dataType":"png","c":"word/media/image13.png","imgOriW":357,"imgOriH":397}) 此时对于该文件夹,itTrainer用户既有显式的允许写入权限,又有继承的拒绝写入权限。那么实际的权限到底是允不允许写入,在客户端测试就很容易得出结论: ![](https://wkrtcs.bdimg.com/rtcs/image?w=328&md5sum=67de24f3c8e8e3c880aab38edf8ed34f&sign=e057f41f3a&rtcs_flag=1&rtcs_ver=3.1&l=webapp&bucketNum=2&ipr={"t":"img","w":"328","h":"190","dataType":"png","c":"word/media/image14.png","imgOriW":328,"imgOriH":190}) 四:共享资源权限设置建议
通过上面几个典型案例的权限设置和分析,已经把共享资源权限设置中比较难以理解的知识点做了详细的阐述。相信如果真正理解上述相关知识,设置安全可靠的文件服务器不会再是一件难事。
有兴趣的朋友可以自行测试,也可以参考以下链接中的权限控制: http://alligator.blog.51cto.com/36993/97664
如有疑问,欢迎与我沟通和交流。
下面列出共享资源权限设置的几点建议:
1:为提高性能和控制方便,尽量不要针对单个文件设置权限,建议将文件放置于特定文件夹,针对文件夹设置权限
2:为提高性能和控制方便,尽量不要针对单个用户设置权限,建议将用户放置于安全特定组,针对安全组设置权限
3:为更好控制访问权限,避免权限继承混乱,建议必要时删除权限继承,手动设置权限。
| 
