文件服务器的权限及审核.doc

今天，不管是大型企业还是小型企业，几乎都有自己的文件服务器。文件服务器的基本功能就是数据存储，而在企业信息化的今天，数据就是企业的生命。就是如此重要的角色，在企业中却没有受到应有的重视，企业经常因此遭受信息泄密的损失。这突出暴露出企业文件服务器的管理存在两个大问题，一是不能正确精确授权，导致文件管理混乱；二是不能有效对文件实施审核，缺乏了一套对文件管理的审核方案。本文就从这两个方面讲述如何设置文件服务器。 ?权限 要了解如何对文件服务器进行授权，也就是说如何设置文件夹的权限，必须首先明白什么是权限。权限其实是一张表，这张表中记录了什么用户可以使用什么方式访问什么对象。例如在图一中，我们新建了一个secret文件夹，这里面是机密文件，只允许DG_IT这个群组访问。但是这个群组中有一位即将离职的员工刘海波Louis_liu，自然不能允许这个账户再访问secret文件夹。那么我们可以这样设置，将DG_IT群组加入这张“安全表”，并授予相应的权限，同时也添加Louis_liu账户，设置这个账户拒绝访问该文件夹的权限。通常我们把这张“安全表”叫做自主访问控制列表discretionary access control list (DACL) ? 在设置DACL的时候，一般不要将用户账户一个个添加进来，而是添加一个群组，这样有利于提高系统访问的效率和方便管理。 我们授权DG_IT这个群组可以访问secret文件夹，且只有DG_IT组可以及读取、浏览和执行IT_Public下面的文件，则此时任何不属于DG_IT组用户读取该文件夹下的文件时，就会遭到系统的拒绝。 共享与安全 出于安全性的考虑，当您在服务器上共享文件夹的时候，需要设置两个权限：共享权限和安全权限。这两个权限的关系，可以通过一个网络用户的访问过程来说清楚。当用户从网络访问一个目录时，系统先校验共享权限，看看这个用户是否在共享权限允许的范围内。如果允许访问再校验安全权限。所以这个目录最终允许什么用户访问，将取决于共享权限和安全权限的交集。当前安全权限和共享权限在同一对象上发生冲突或者叠加时，取最严格的设置。 ?文件夹在安全权限中还有一个隐含拒绝的权限，这个权限是不需要赋予的。例如IT_Public共享文件夹的共享权限是完全控制，而安全权限下面什么用户都没有，最终IT_Public网络访问权限是拒绝所有，这个权限就是隐含拒绝权限。隐含拒绝权限对于实现文件服务器来说是非常重要的，因为对于整个局域网中的所有用户来说，访问某个文件服务器的某个文件夹只是极少数的用户，而且这些用户往往又具有某种相同的特点，通过这个隐含拒绝所有的权限有利于简化我们的权限设定与管理。是不是有了隐含的拒绝权限，我们就不需要明确的拒绝权限？其实也不是，必要时我们还是需要利用明确拒绝权限。其实上面的例子当中已经提到了明确拒绝权限的作用，例如实例中拒绝即将离职的Louis_liu访问secret文件夹。 共享权限 利用windows server 2003 R2来实现文件服务器，共享权限是必不可少。共享权限是用以控制文件夹及其子文件夹和文件来进行共享的。文件夹共享的特性不管是基于fat16/32还是NTFS分驱，本身就具有。同样子文件夹会继承这种属性。共享文件夹只针对从网络上访问才有限，对于本机访问是属于无效的，不同于文件夹的安全性设定。共享权限优大于NTFS安全权限，例如IT_Public设置了允许Jimmy完全控制的安全权限，但共享权限当中却只有只读的权限，结果Jimmy对IT_Public的最大权限是只读权限，而不是完全控制。在设置文件夹共享建议把该权限设置为完全控制，否则后面的安全权限设置完全失去了意义，除非是Fat32/16没有安全权限，但该分区是不大可能用来作文件服务器分区。 安全权限 因为大家通常都在Windows NTFS类型的分区上设置文件夹的安全权限（在FAT 16/32 的分驱上是没有的），所以有人也喜欢把安全全权限叫做NTFS权限。这是基于NTFS文件系统的磁盘分驱特有的权限。NTFS分驱下面的每个文件夹、子文件夹及其文件均允许设置与上一级不同的权，权限一经设定，不但对本机存取的安全主体有效，而且对整个网络的安全主体都有效。默认情况下其子文件夹及文件会自动继承上级权限，但若有必要，也可针对的每一个子文件夹及文件予以设定个别权限。但在实际只是缩小上级权限的范围，我们不需要一个个添加，只需要对某个文件进行阻断继承设置，去掉限制访问的用户，也可以是添加拒绝访问的用户，设置拒绝访问权限。至于用哪一种方法好，起决个人习惯，大多数人使用第一种方法。修改子文件夹的权限的时候要避免犯低级错误，如添加了一个用户，该用户根本就没有权限访问上级文件夹；设置文件夹权限的时候一定至少要留一个“修改”的权限给管理员作备份用，