現(xiàn)在域控制器的使用較為普遍，通過(guò)域控制器來(lái)管理局域網(wǎng)用戶，可以極大地增強(qiáng)局域網(wǎng)網(wǎng)絡(luò)安全。而對(duì)于企業(yè)局域網(wǎng)的文件服務(wù)器而言，通過(guò)域控制器來(lái)控制用戶對(duì)共享文件的訪問，可以極大地增強(qiáng)文件服務(wù)器的安全，防止未經(jīng)授權(quán)的訪問，同時(shí)還可以通過(guò)域控制器設(shè)置共享文件訪問權(quán)限，從而在Windows共享文件訪問權(quán)限之外提供了另外的安全防護(hù)舉措。接下來(lái)我們以windows2003服務(wù)器為例，來(lái)說(shuō)明如何通過(guò)域控制器來(lái)搭建文件服務(wù)器，保護(hù)服務(wù)器共享文件的安全。

本公司使用的是域環(huán)境，利用WindowsServer2003R2搭建文件服務(wù)器，其它信息如下所示：

SVR1主DC1/DNS:IP地址192.168.1.22/24（NIC1網(wǎng)卡)

IP地址192.168.0.44/24（NIC2網(wǎng)卡）

SVR4成員服務(wù)器：IP地址192.168.1.44/24DNS：192.168.0.22/23（主/輔）備注：為DFS分布式文件服務(wù)器作準(zhǔn)備

SVR5成員服務(wù)器：IP地址192.168.1.55/24DNS：192.168.0.22/23（主/輔）備注：為DFS分布式文件服務(wù)器作準(zhǔn)備

文件夾的結(jié)構(gòu)層次簡(jiǎn)單拓?fù)鋱D如下所示：

一、在SVR1（R2）上操作，創(chuàng)建OU以部門命名：

（1）創(chuàng)建OU以部門命名：

Win+R→dsa.msc回車，打開“ActiveDirectory用戶和計(jì)算機(jī)”，如下圖：

彈出，如下圖：

同理，創(chuàng)建質(zhì)檢部、財(cái)務(wù)部等OU

（2）創(chuàng)建用戶賬號(hào)，在OU中，如下圖：

下一步→完成

同理，在各部門OU中創(chuàng)建用戶賬號(hào)，完成后如下圖：

（3）創(chuàng)建組以部門命名，如下圖：

彈出，如下圖所示：

同理，質(zhì)檢組、財(cái)務(wù)組等，如下圖：

（4）將各部門的用戶賬號(hào)加入到本部門的組中，以采購(gòu)部為例，如下圖：

彈出，如下圖：

然后，點(diǎn)擊確定→確定，彈出如下圖：

同理，將小黃、小鄭加入到質(zhì)檢組；小劉、小葉加入到財(cái)務(wù)組！

二、在SVR4成員服務(wù)器上操作，據(jù)上面的拓?fù)鋱D創(chuàng)建文件夾，如下圖：

下面詳細(xì)配置操作：

①文件服務(wù)器文件夾的具體配置：

一路確定共享權(quán)限設(shè)置如下圖所示：

剛才設(shè)的是共享權(quán)限，下面再來(lái)設(shè)置NTFS權(quán)限（安全選項(xiàng)卡）：

思考：如何設(shè)置質(zhì)檢組、財(cái)務(wù)組對(duì)文件服務(wù)器文件夾的共享權(quán)限與NTFS權(quán)限？

②打開文件服務(wù)器文件夾，我們來(lái)配置采購(gòu)部的文件夾：

③我們切換到安全選項(xiàng)卡，來(lái)配置NTFS權(quán)限：

思考：如何配置質(zhì)檢部、財(cái)務(wù)部文件夾的共享權(quán)限和NTFS權(quán)限？（參考采購(gòu)部的配置）

公司共享文件夾的配置有點(diǎn)特殊：

思考：如何配置財(cái)務(wù)組、質(zhì)檢組的共享權(quán)限和NTFS權(quán)限？（參考采購(gòu)組的設(shè)置）

④采購(gòu)部的小孫的文件夾的安全選項(xiàng)卡的配置有點(diǎn)特殊：（參考公司共享文件夾的設(shè)置）

三、檢驗(yàn)上面權(quán)限的配置是否正確：

將客戶機(jī)PC（XP）加入到域后且用小孫的用戶賬號(hào)登錄，然后，

Win+R→\\svr4\文件服務(wù)器回車，試著創(chuàng)建文件夾：

思考：試著刪除財(cái)務(wù)部、采購(gòu)部、公司共享、質(zhì)檢部的文件夾，能刪除嗎？（都不能?。┤缓笾鹨粚⑦@4個(gè)文件夾打開，都能打開嗎？（只能打開本部門和公司共享這2個(gè)文件夾）再在里面創(chuàng)建、刪除和修改，能嗎？（當(dāng)然能?。?/p>

如果公司老總要能查看所有部門的文件等，又如何操作呢？這就需要將分配給公司老總的服務(wù)器登錄賬戶賦予所有文件的訪問權(quán)限。

但是，通過(guò)Windows控制器，我們還始終無(wú)法解決一個(gè)問題，就是共享文件的泄露問題。比如，我們?cè)O(shè)置了共享文件只讀，但是，用戶可能在讀取共享文件的時(shí)候，直接拷貝共享文件，然后粘貼到本地；或者打開共享文件的時(shí)候，另存為本地磁盤，從而可以輕松將共享文件從服務(wù)器存儲(chǔ)到個(gè)人的磁盤；此外，如果賦予員工修改權(quán)限，則用戶就可以不小心或惡意刪除共享文件，從而對(duì)共享文件的安全造成了重大隱患。而這都是通過(guò)windows操作系統(tǒng)的文件訪問權(quán)限和Windows域控制器所無(wú)法解決的。那么，這種情況下，就需要借助于專門的共享文件訪問權(quán)限設(shè)置軟件來(lái)實(shí)現(xiàn)。

大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），就是一款專門設(shè)置服務(wù)器共享文件訪問權(quán)限的軟件，通過(guò)在服務(wù)器上安裝大勢(shì)至共享文件管理系統(tǒng)，就可以自動(dòng)掃描到當(dāng)前所有的共享文件，并可以設(shè)置共享文件訪問權(quán)限，可以實(shí)現(xiàn)只讓讀取共享文件而阻止復(fù)制共享文件、只讓打開共享文件而阻止另存為本地磁盤，可以只讓修改共享文件而禁止刪除共享文件，從而極大地保護(hù)共享文件的安全。如下圖所示：

此外，通過(guò)大勢(shì)至共享文件管理系統(tǒng)，還可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的日志，詳細(xì)記錄局域網(wǎng)用戶的IP地址、MAC地址和主機(jī)名等信息，從而便于管理員事后備查和審計(jì)。

總之，有效保護(hù)服務(wù)器共享文件的安全，一方面需要充分里發(fā)揮操作系統(tǒng)文件訪問權(quán)限和用戶權(quán)限方面的功能，另一方面也可以借助于域控制器等方面的功能，以及通過(guò)第三方服務(wù)器共享管理工具軟件來(lái)進(jìn)一步保護(hù)共享文件的安全，防止各種泄露共享文件的行為，真正保護(hù)單位的無(wú)形資產(chǎn)和商業(yè)機(jī)密。

最新評(píng)論