为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到 NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。下面笔者就以“lyg”共享文件夹为例,介绍如何合理设置“lyg1”用户对 “lyg”共享文件夹的访问权限,以此来增强共享文件夹的安全。
1、某个文件夹针对某个用户共享权限设置
在资源管理器中,右键点击“lyg”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“lyg的权限”设置对话框,点击“添加”按钮,将“lyg1 ”账号添加到“组或用户名称”列表框内,这里“lyg1”账号对“lyg”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。
2、NTFS访问权限设置
以上只是设置了“lyg”共享文件夹的共享访问权限,毕竟“lyg”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的,如果NTFS文件系统不允许“lyg1”用户访问共享,也是不行的,并且还要给该账号设置合理的NTFS访问权限。
在“lyg”共享文件属性对话框中切换到“安全”标签页后,首先将“lyg1”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“lyg1”账号后,在“lyg1的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击 “确定”按钮。
经过以上操作后,就完成了“lyg”共享文件夹的“lyg1”用户的访问权限设置,其它用户的共享文件夹访问权限设置方法是相同的,就不再赘述。
使用了NTFS分区以后,你必须为需要访问一个资源的每一个用户帐号授予NTFS权限,用户必须获得明确的授权才能访问经过设置的资源。如果没有权限,那么它将被拒绝访问该资源。打个比方:假设有一个文件,我对他进行NTFS权限设置,我设置成只有我自己和A用户才能访问,那么除了我和A以外,其他任何帐户登陆都将无法使用该文件,WIN2000会给出“没有适当的权限读取”等字样的提示。这就实现了该文件的安全性,而且该安全性无论是在计算机上还是在网络上都有效,也就是说即使通过网络连接到该计算机,也只有我和A用户可以使用该文件,其他人也是无法使用的,虽然该文件被共享,但是其他人只能看到有这个文件,但是却不能读取。
在WIN2000中有个叫做Access Control List(ACL,访问控制列表)的东西,里面包含了可以访问该资源的用户的帐户,组和计算机。当一个用户访问该资源时,那么必须在ACL中有它的帐号,那么WIN2000才允许该用户访问该资源,否则拒绝。
WIN2000不是根据用户名是否相同来识别用户的,每一个帐号在创建的时候都有一个Security ID(SID,安全标识符),WIN2000是根据这个SID是否相同来识别用户的,如果SID不一样,就算用户名等其它设置一模一样,WIN2000也会认为是不一样的两个帐号,这就像我们领奖的时候,只认你的身份证是否符合,而不管你的名字是否相同是一个道理的,而该SID是WIN2000在创建该帐号的时候随机给的,所以说当删除了一个帐号后,再次重新建立一个一模一样的帐号,其SID和原来的那个是不一样,那么他的NTFS权限就必须重新设置。
用鼠标右键点击你想要设置权限的文件或者文件夹,选属性->安全,这时你可以看到允许使用该文件的帐号或者组,默认是都有Everyone组的,该组表示所有的用户,下面部分就是可以为该组或者帐号设置的权限。如果Everyone的权限设置为完全控制,那么意味着所有的用户都可以随意操作该文件,包括读取,修改,删除等等。这也是WIN2000默认的权限。你还可以添加帐号,为帐号设置权限
假设有一个文件叫做FILE,我要设置为只有USER1,USER2和USER3这三个用户可以使用该文件,但是USER1用户可以随意操作该文件,USER2用户只能读取该文件,而不能进行如修改等等的其他操作,USER3可以读取,可以写入,但是不能删除该文件,我说明一下具体的操作方法。
1、右键点击FILE,选属性->安全
2、将下面的“允许将来自父系的可继承权限传播给该对象”前面的勾去掉。他会弹出一个对话框,选删除。也就是说把上面的Everyone等所有的帐号删除。
3、点添加,弹出一个对话框,选中USER1,添加,确定。
4、然后选中USER1,在“完全控制”后面的“允许”下面打上勾。
5、依照前面的方法添加USER2。
6、选中USER2,在“读取”后面的“允许”中打勾,其他的勾全部去掉。
7、添加USER3。
8、选中USER3,在“修改”后面的“允许”中打勾,确认“完全控制”的勾去掉。
9、选“高级”,选中USER3,点“查看/编辑”。把里面的“删除”后面“允许”的勾去掉。
这时,用USER1登陆,那么你可以完全控制该文件。
用USER2登陆,可以打开该文件,当保存的时候会出现“不能创建FILE,请确认路径和文件名是否正确”的提示框。这说明现在USER2无法保存该文件。当然也无法进行其它操作,他只能读取该文件。
用USER3登陆,可以打开该文件,也可以保存。当删除该文件的时候会出现“无法删除FILE:拒绝访问。源文件可能正在使用”的提示框,说明无法删除该文件。
至于给文件夹设置安全,步骤和上面差不多,不过文件夹会多了一个继承,也就是说可以选择权限设置是仅仅对该文件夹进行起作用,还是对该文件夹和该文件夹的子文件夹及文件起作用。只要将“重置所有子对象的权限并允许传播可继承权限”前面打勾就可以了。 *
********************** 重点及难点 ****************************
多重NTFS权限问题一直是很多人搞不清楚的,现在作介绍并举例说明。
******注意:以下说明的是多重NTFS权限之间的问题,非NTFS权限和共享权限之间的多重。
1、权限的积累
用户对资源的有效权限是分配给该个人用户帐户和用户所属的组的所有权限的总和。如果用户对文件具有“读取”权限,该用户所属的组又对该文件具有“写入”的权限,那么该用户就对该文件同时具有“读取”和“写入”的权限,举例如下:
假设情况如下所示:
有一个文件叫FILE。
USER1用户属于GROUP1组
USER1(读取权限)----> FILE <---- GROUP1(写入权限)
|
|
|
|
USER1对FILE的权限为 读取+写入
2、文件权限高于文件夹权限
意思就是说NTFS文件权限对于NTFS文件夹权限具有优先权,假设你能够访问一个文件,那么即使该文件位于你不具有访问权限的文件夹中,你也可以进行访问(前提是该文件没有继承它所属的文件夹的权限)。
举例说明如下:假设你对文件夹FOLDER没有访问权限,但是该文件夹下的文件FILE.TXT没有继承FOLDER的权限,也就是说你对FILE.TXT文件是有权限访问的,只不过你无法用资源管理器之类的东西来打开FOLDER文件夹,你无法看到文件FILE而已(因为你对FOLDER没有访问权限),但是你可以通过输入它的完整的路径来访问该文件。比如你可以用 c:\folder\file.txt来访问FILE文件(假设在C盘)。
3、拒绝高于其他权限
拒绝权限可以覆盖所有其他的权限。甚至作为一个组的成员有权访问文件夹或文件,但是该组被拒绝访问,那么该用户本来具有的所有权限都会被锁定而导致无法访问该文件夹或文件。也就是说上面第一点的权限累积原则将失效。举例说明如下:
假设情况如下: 有一个文件叫FILE。
USER1用户属于GROUP1组
USER1(读取权限)----> FILE <---- GROUP1(拒绝)
|
|
|
|
拒绝访问
那么USER1对FILE的权限将不再是:读取+写入,而是无法访问文件FILE。
另外一种情况是拒绝原则与累计原则并存,举例如下:
有一个文件叫FILE。
USER1用户属于GROUP1组,同时也属于GROUP2组,
USER1(读取权限)
|
|
|
GROUP1(写入权限)----> FILE <---- GROUP2(拒绝写入)
|
|
|
读取
那么USER1对FILE的权限为:读取(根据累计原则,USER1对FILE本来有:“读取+写入”权限,但是由于USER1所属的GROUP2组被拒绝写入,所以就只剩下“读取”权限了)
磁盘管理 合理配制
由于共享文件夹中存在着大量的共享资源,因此它要占用一定的硬盘空间。某些有写入权限的用户,任意上传大量与工作无关的文件,不但浪费磁盘资源,而且还容易被感染病毒,因此共享文件夹毫无节制的占用硬盘空间资源,也会带来意想不到的安全隐患,必须进行限制。
1、磁盘配额,限制用户
Windows系统提供的“磁盘配额”功能,可以对每位Windows用户使用的硬盘空间资源进行限制,这样就可以间接的起到控制共享文件夹容量大小的作用。
还是以“lyg”共享文件夹和“lyg1”用户为例,这里“lyg”共享文件夹位于D盘中,下面就要启用D盘中的“磁盘配额”功能,指定“lyg1”用户可以使用的硬盘空间数。
在资源管理器中,右键点击D盘盘符,选择“属性”选项,切换到“配额”标签页,选中“启用配额管理”项后,激活“磁盘配额”功能。确保选中“拒绝将磁盘空间给超过配额限制的用户”项。另外建议选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”这两项,以便将配额告警记录到日志中,最后点击“应用”。
下面点击“配额项”按钮,弹出磁盘配额项目窗口,接下来就为“cceuser”用户进行配额限制了。点击“配额→新建配额项”,在选择用户对话框,选中“cceuser”用户,点击“确定”,然后在“添加新配额项”中为该用户设置配额限制,选中“将磁盘空间限制为”项目,在空白栏中输入 “500”,接着在“将警告等级设置为”栏中输入“490”,磁盘容量单位选择“MB”,最后点击“确定”,完成“cceuser”用户的磁盘配额设置,这样该用户就只能使用500 MB的共享文件夹硬盘空间了。其他用户的配额设置方法是相同,按照上面的步骤配置即可。
2、备份恢复“磁盘配额”
备份磁盘配额项目非常简单,由于“CCE”共享文件夹位于D盘,这里笔者以备份Windows 系统的D盘的磁盘配额项目为例,右键点击“D盘”盘符,在弹出的菜单中选择“属性”,切换到“配额”标签页,点击下方的“配额项”按钮,弹出“配额项目” 管理对话框,点击“配额→导出”,在“文件名”栏中为备份文件起个名字,最后点击“保存”按钮,完成磁盘配额项目的备份。其它盘符的磁盘配额项目备份和以上相同,不再赘述。
恢复磁盘配额项目同样简单,在配额项目管理对话框中,点击“配额→导入”,然后找到备份文件,点击“打开”按钮后,接着在磁盘配额提示框中点击“是”按钮,完成磁盘配额项目的恢复。
提示:磁盘配额项目的备份和恢复都是以磁盘盘符为单位的,要注意,在进行备份和恢复时,只有NTFS文件系统的磁盘分区才能进行以上操作。
3、移动共享,注意权限
由于某些需要,有时要把共享文件夹移动位置,拷贝到别的目录下。复制操作虽然很简单,但要将共享文件夹所包含的用户访问权限信息和具体共享文件一起复制过去,这是一般的复制操作做不到的。利用“XCOPY”命令就能很好的解决这个问题。
笔者以D盘的CCE共享文件夹为例,将共享文件及其所包含的用户访问权限信息,复制到D盘的CCEB共享文件夹下。在“命令提示符”窗口中的“D:>”提示符下,运行“xcopy CCE CCEB /O /S”命令后,就可以将CCE共享文件夹和所包含的用户访问权限信息,都复制到CCEB共享文件夹下了。其中“/O”参数表示“复制文件的所有权和 ACL 信息”,“/S”表示“复制目录和子目录”。
4、有备无患,备份ACL
如果共享文件夹所包含的ACL信息(用户访问权限)意外丢失,单凭记忆是很难恢复,还有可能造成遗漏,给共享文件夹留下安全隐患。这时用户就可以使用CACLS命令,做好这些共享文件夹的ACL信息备份。
以D盘的共享文件夹CCE为例,该共享文件夹中包含着大量的ACL信息,下面就使用CACLS命令对此共享文件夹中的所有ACL信息进行备份。在“命令提示符”窗口中切换到“D:>”提示符下,运行“cacls d: CCE /t > d:aclsCCE.txt” 命令后,就将共享文件夹CCE中所包含的ACL信息都备份到D盘的“aclsCCE.txt”文件中了。当ACL信息意外丢失时,就可以按照备份文件 “aclsCCE.txt”中ACL信息,对CCE共享文件夹的访问权限进行重新设置,避免了部分ACL信息的遗漏,保证了共享文件夹的安全性。
a、在同一NTFS分区间复制或移动
在同一NTFS分区间复制到不同文件夹时,它的访问权限是和原文件或文件夹的访问权限不一样。但在同一NTFS分区间移动一文件或文件夹其访问权限保持不变,继承原先未移动前访问的权限。
b、在不同NTFS分区间复制或移动
在不同NTFS分区间复制文件或文件夹访问权限会随之改变,复制的文件不是继承原权限,而是继承目标(新)文件夹的访问权限。同样如果是在不同NTFS分区间移动文件或文件夹则访问权限随着移动而改变,也是继承移动后所在文件夹的权限。
c、从NTFS分区复制或移动到FAT格式分区
因为FAT格式的文件或文件夹根本没有权限设置项,所以原来文件或文件夹也就再没有访问权限了。
⑹在文件夹属性对话框“安全”选项卡的“组或用户名称”框中,增加了一个“Internet来宾帐户”,选中该用户名后,在下方“Internet来宾帐户的权限” 框中,选中“写入”复选框,最后单击“确定”即可。如图4所示。
Internet来宾帐户的默认权限,仅有“读取和运行”、“列出文件夹目录”和“读取”等三项。
提示:如果文件夹属性对话框上,没有“安全”选项卡,则需要“文件夹选项”对话框(在“资源管理器”中,单击“工具”·“文件夹选项”,即可打开)的“查看”选项卡上,取消“使用简单文件共享(推荐)”选项。如右图所示。
