?

在Windows Server 2003平臺上部署文件服務(wù)，進(jìn)行文件共享是一個簡單快捷企業(yè)應(yīng)用方案。但是在實際的應(yīng)用中，不同的企業(yè)有不同的需求有時會有一些特殊應(yīng)用，這是讓某些管理員頭痛的事情。其實只要我們深入挖掘，打通NTFS權(quán)限設(shè)置就能夠滿足這些需求，讓文件共享各取所需。


　　一、公私分明的文件夾

　　根據(jù)企業(yè)文件共享策略，需要為每個員工在文件服務(wù)器上建一個私人文件夾僅供個人使用，另外還需建一個共享文件夾讓大家使用，這如何實現(xiàn)呢?

　　第一步：在文件服務(wù)器上建立NTFS分區(qū)，然后為每個用戶創(chuàng)建一個賬號，再創(chuàng)建一個組包含所有的用戶。

　　第二步：為每個用戶創(chuàng)建一個共享文件夾，在設(shè)置共享權(quán)限的時候去掉Everyone組，將對應(yīng)的個人用戶賬號添加進(jìn)來，然后根據(jù)需要設(shè)置權(quán)限。

　　第三步：為所有的人創(chuàng)建一個共享文件夾，再在設(shè)置共享權(quán)限的時候去掉Everyone組，將第一步中創(chuàng)建的包含所有用戶的組添加進(jìn)來如圖1，然后根據(jù)需要設(shè)置權(quán)限即可。(圖1)

?

圖1 添加用戶

二、共享文件夾權(quán)限遷移

　　一般情況下，公司的文件服務(wù)器上有上百個用戶文件夾，每個文件夾夾中都有多個使用者的權(quán)限，如果遇到服務(wù)器硬件空間升級或換新機(jī)，如何節(jié)省時間進(jìn)行共享文件夾權(quán)限設(shè)置的遷移和復(fù)制呢?

　　我們可以使用Windows server 2003系統(tǒng)自帶的Xcopy命令來實現(xiàn)，該命令加上/O/X/E/H/K參數(shù)，在復(fù)制文件時可以保留已明確應(yīng)用于這些文件的現(xiàn)有權(quán)限。通過該命令在就可以完成在將一個文件夾復(fù)制到另一個文件夾中并保留其權(quán)限。具體操作方法是：

　　第一步：單擊“開始→運(yùn)行”輸入cmd打開命令提示符工具。

　　第二步：輸入“xcopy source destination /O /X /E /H /K” 然后按回車鍵可以完成共享文件權(quán)限的復(fù)制如圖2。(source是要復(fù)制的文件的源路徑，destination是這些文件的目標(biāo)路徑)(圖2)

圖2 共享文件權(quán)限復(fù)制

?三、確定文件的上傳者

　　windows 2003 server做文件服務(wù)器，通過客戶端上傳的文件，有沒有什么方法確定該文件是從哪個客戶端的哪個用戶放進(jìn)來的?

　　管理員可以通過應(yīng)用或修改本地文件或文件夾的審核策略設(shè)置來實現(xiàn)，具體的設(shè)置方法如下：

　　第一步：在文件服務(wù)器上，打開 Windows 資源管理器。右鍵單擊要審核的文件或文件夾，單擊“屬性”，然后單擊“安全”選項卡，單擊其下的“高級”按鈕，然后單擊“審核”選項卡。

　　第二步：要設(shè)置新用戶或組的審核，單擊“添加”在“輸入要選擇的對象名稱”中，鍵入想要的用戶或的名稱，然后單擊“確定”。

　　第三步：在“應(yīng)用于”框中單擊希望進(jìn)行審核的位置，在“訪問”框中，通過選中適當(dāng)?shù)膹?fù)選框，指出想要審核的操作。如果要防止原始對象的后續(xù)文件和子文件夾繼承這些審核項，選中“將這些審核項目只應(yīng)用到這容器中的對象和/或容器上”復(fù)選框。(圖3)

?

圖3 審核策略

提示：設(shè)置文件和文件夾的審核前，必須通過為對象訪問事件類別定義審核策略設(shè)置，來啟用對象訪問審核。如果不啟用對象訪問審核，在設(shè)置文件和文件夾的審核時，將收到錯誤消息且不會審核任何文件或文件夾。

????? 四、確定是誰刪除了文件

　　文件服務(wù)器上的文件經(jīng)常被用戶惡意刪除或移動，如何知道是誰在什么時間干的?

　　其實這也非常簡單，我們可以設(shè)置記錄文件服務(wù)器上文件夾或文件的被用戶執(zhí)行的操作，這樣用戶對文件的操作就會記錄在案，具體的設(shè)置方法是：

　　第一步：打開資源管理器，右鍵單擊要審核的文件或文件夾選擇“屬性”，然后單擊“安全”選項卡

　　單擊“高級”按鈕，然后單擊“審核”選項卡。

　　第二步：要設(shè)置新用戶或組的審核，單擊“添加”在“輸入要選擇的對象名稱”中，鍵入想要的用戶或組的名稱，然后單擊“確定”。

　　第三步：在“應(yīng)用于”框中單擊希望進(jìn)行審核的位置，在“訪問”框中，通過選中適當(dāng)?shù)膹?fù)選框，指出你想要審核的操作。如果要防止原始對象的后續(xù)文件和子文件夾繼承這些審核項，選中“將這些審核項目只應(yīng)用到這個容器中的對象和/或容器上”復(fù)選框。(圖4)

?

圖4 權(quán)限設(shè)置

提示：設(shè)置文件和文件夾的審核前，必須通過為對象訪問事件類別定義審核策略設(shè)置，來啟用對象訪問審核。如果不啟用對象訪問審核，在設(shè)置文件和文件夾的審核時，將收到錯誤消息且不會審核任何文件或文件夾。

???? 五、共享文件只許看不許改

　　公共文件放在服務(wù)器上供客戶端訪問，只許讓他看不想讓他拷貝與修改，這個如何實現(xiàn)呢?

　　其實我們無法設(shè)置其他用戶既能讀取服務(wù)器上文件，又無法拷貝該文件，只要用戶擁有的讀取的權(quán)限，他也就可以拷貝該數(shù)據(jù)了，這是由于系統(tǒng)設(shè)計的原因造成的。我們只能設(shè)置其他用戶無法修改該文件，管理員可以將給予用戶對于共享文件夾的讀取的權(quán)限，而不賦予修改的權(quán)限來實現(xiàn)。具體的設(shè)置方法如下：

　　第一步：在服務(wù)器上打開Windows資源管理器，定位你希望設(shè)置權(quán)限的文件。右鍵單擊你所定位的文件，在隨后出現(xiàn)的快捷菜單中選擇“屬性”，單擊“安全”選項卡。

　　第二步：如需對未顯示在組或用戶名稱列表中的用戶設(shè)置權(quán)限，單擊“添加”按鈕輸入希望設(shè)置權(quán)限的用戶名稱并單擊確定。最后單擊相應(yīng)用戶名稱，拒絕其“創(chuàng)建文件/寫入數(shù)據(jù)”權(quán)限，點擊確定。(圖5)

?

圖5 設(shè)置權(quán)限

六、映射網(wǎng)絡(luò)驅(qū)動器

　　如何讓每個用戶都可以在“我的電腦”中看到這個網(wǎng)絡(luò)驅(qū)動器，并且賦予不同的權(quán)限，即如何給每個用戶映射網(wǎng)絡(luò)驅(qū)動器?

　　管理員可以通過下面的方法來實現(xiàn)：

　　第一步：在域中建立一個文件服務(wù)器，然后在該文件服務(wù)器上創(chuàng)建一個共享文件夾，然后為每個域賬號設(shè)置不同的NTFS權(quán)限和共享權(quán)限，比如賬號user1只有查看的權(quán)限，賬號user2擁有寫的權(quán)限。

　　第二步：在客戶端client1上使用域賬號user1登錄，右鍵點擊我的電腦，選擇映射網(wǎng)絡(luò)驅(qū)動器，指定驅(qū)動器的名稱，然后點擊瀏覽，查找文件服務(wù)器和共享文件夾，選中登錄時重新連接。(圖6)

?

圖6 設(shè)置重新連接位置

第三步：在客戶端client2上使用域賬號user2登錄，按照上述的方法建立到文件夾服務(wù)器的共享文件夾的映射驅(qū)動器。這樣就可以實現(xiàn)賬號user1和賬號user2登錄后就可以看到網(wǎng)絡(luò)驅(qū)動器，并且擁有不同的權(quán)限。(圖7)?

圖7 帳號的不同權(quán)限?

七、撤銷混亂的文件權(quán)限

　　域管理員在訪問一些文件夾的時候提示拒絕訪問，更改了所有權(quán)才行，但是文件夾下面的子文件依然拒絕訪問，可文件夾下面有很多文件，如果一個一個改要很久，子文件繼承父文件夾的權(quán)限也遭到拒絕，這個怎么解決?

　　如果要重置子對象的權(quán)限項目以使它們與當(dāng)前父對象一致，選中“用在此顯示的可以應(yīng)用到子對象的項目替代所有子對象的權(quán)限項目”復(fù)選框，所有子文件夾和文件會將其所有權(quán)限項重設(shè)為從父對象繼承的那些項。一旦單擊“應(yīng)用”或者“確定”后，便無法通過清除復(fù)選框來撤消該操作。通過下面步驟重新配置文件夾的安全設(shè)置：

　　第一步：選中最上層的文件夾，右鍵單擊“屬性”，點擊“安全”，在列表中刪除其他所有用戶，只保留administarator帳號和system帳號。(圖8)

?

圖8 系統(tǒng)帳號保留

第二步：在“安全”菜單中，點擊“高級”，取消“允許父項的繼承權(quán)限傳播到到該對象和所有子對象”選項，在彈出的菜單中選擇“刪除”操作，點擊“確定”。

　　第三步：在“安全”菜單中，點擊“高級”，選中“用在此顯示的可以應(yīng)用到子對象的項目代替所有子對象的權(quán)限項目”，點擊“確定”。(圖9)

?

圖9 權(quán)限確認(rèn)

八、賦予用戶只能創(chuàng)建不能刪除權(quán)限

　　在WINDOWS 2003 SERVER的環(huán)境里去定義某一個用戶可以創(chuàng)建文件夾及文件，但是不能刪除文件夾而只能刪除文件如何設(shè)定?

　　我們可以通過設(shè)置文件夾或者文件的特殊權(quán)限來實現(xiàn)，具體的操作步驟如下：

　　第一步：右鍵點擊需要設(shè)置的文件夾“屬性→安全→高級”，取消“允許父項的繼承權(quán)限傳播到到該對象和所有子對象”選項，在彈出的菜單中選擇“刪除”操作，點擊“確定”。

　　第二步：添加需要設(shè)置的帳號，只賦予該帳號“遍歷文件夾/運(yùn)行文件 ”、“列出文件夾/讀取數(shù)據(jù) ”、“讀取屬性 ”、“讀取擴(kuò)展屬性 ”、“創(chuàng)建文件/寫入數(shù)據(jù) ”看到的文章源自活動目錄、“創(chuàng)建文件夾/附加數(shù)據(jù) ”、“寫入屬性 ”、“寫入擴(kuò)展屬性”的權(quán)限。

　　第三步：拒絕該帳號“刪除子文件夾及文件”和“刪除”權(quán)限。選中“用在此顯示的可以應(yīng)用到子對象的項目代替所有子對象的權(quán)限項目”，點擊“確定”。(圖10)

?

圖10 帳號權(quán)限設(shè)定

總結(jié)：筆者上面列舉了八個與NTFS權(quán)限相關(guān)的需求案例，相信只要大家深入挖掘就能夠滿足工作中的各種應(yīng)用需求。

轉(zhuǎn)載于:https://blog.51cto.com/weixiao43/541454

總結(jié)

以上是生活随笔為你收集整理的打通NTFS权限 文件共享各取所需的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。