WIN文件服务器共享.docx
《WIN文件服务器共享.docx》由会员分享,可在线阅读,更多相关《WIN文件服务器共享.docx(65页珍藏版)》请在冰豆网上搜索。
WIN文件服务器共享
WIN2003文件服务器共享
在文件系统管理中,WindowsServer2003R2提供了丰富而且非常重要的各种管理功能,如文件夹共享及共享权限、NTFS安全访问权限、DFS(分布式文件系统)和EFS(加密文件系统)等。
文件夹共享权限和NTFS文件访问权限不仅关系到用户对象的实际文件操作权限,还关系到整个网络系统的安全,特别是NTFS文件访问权限,它涉及到了WindowsServer2003域管理的各个方面。
它是本章的重点与难点。
另外,在WindowsServer2003中,文件资源的管理通常是通过文件服务器管理器来集中管理的。
本章也将介绍文件服务器的安装与使用。
DFS为网络中文件资源的共享和管理提供了极大的便利,在一些较大的企业域网络中应用非常广泛。
这也是本章的重点之一。
因为EFS技术和应用已在本系列丛书《网管员必读——网络安全》(第2版)一书中有详细介绍,故在此不再赘述。
本章重点
文件服务器的主要功能与安装
共享文件夹的创建与权限配置
在文件服务器上管理共享文件夹、共享会话和打开的共享文件
NTFS文件和文件夹访问权限及配置
DFS的主要特性
DFS配置与管理(包括DFS根目录、DFS根目标、DFS链接、DFS目标)
5.1 文件服务器的配置
在WindowsServer2003系统的文件系统中,引入了许多新的或改进特性,如DFS(分布式文件系统)、EFS(加密文件系统)、共享文件夹的卷影副本、远程文档共享、SAN技术支持等。
具体参见本书的第1章相关内容。
5.1.1 文件服务器的主要功能
在企业网络中,为了有效地进行各项文件管理功能,通常是把一台运行WindowsServer2003系统的成员服务器配置成"文件服务器"(并非一定是域控制器)。
文件服务器提供网络上的中心位置,可供存储文件并通过网络与用户共享文件。
当用户需要重要文件(如项目计划)时,他们可以访问文件服务器上的文件,而不必在各自独立的计算机之间传送文件。
如果网络用户需要对相同文件和可通过网络访问的应用程序访问权限,就要将该计算机配置为文件服务器。
默认情况下,文件服务器角色安装有下列功能。
1.文件服务器管理
文件服务器管理控制台为管理文件服务器提供集中的工具。
使用文件服务器管理,可以创建和管理共享,设置配额限制,创建存储利用情况报告,将数据复制到文件服务器和从文件服务器中复制数据,管理存储区域网络(SAN),以及与UNIX和Macintosh系统共享文件。
2.存储报告
使用存储报告,可以分析服务器上的磁盘空间是如何使用的。
例如,可以生成识别重复文件的按需或计划报告。
然后删除这些复制文件以便回收磁盘空间。
3.配额和文件屏蔽
使用配额,可以限制卷或文件夹子树大小。
可以将Windows配置为在达到配额限制时通知您。
使用文件屏蔽,可以防止某些类型的文件被保存到文件夹或卷。
文件屏蔽有助于确保用户不在服务器上保存某些可能导致用户违反知识产权法的非关键性数据和文件。
4.DFS管理
使用"DFS管理"管理单元,可以管理从分支机构中的服务器到集线器数据中心中的服务器的数据复制。
这样,数据可以被集中备份,而不必在在分支机构备份数据。
使用"DFS管理"管理单元,还可以对位于不同服务器上的共享文件夹进行分组并将其作为虚拟文件夹树(称为"名称空间")提供给用户。
名称空间可以提供很多好处,包括提高数据的可用性、分担负载和简化数据迁移。
5.1.2 文件服务器配置之前的准备
将计算机配置为文件服务器之前,要验证是否具备以下条件。
1.正确配置操作系统
在WindowsServer2003家族产品中,文件服务依赖于操作系统及其服务的适当配置。
如果采用的是新安装的WindowsServer2003操作系统,则可使用默认的服务设置。
没有必要执行进一步的操作。
如果是通过以前版本系统升级到WindowsServer2003操作系统,或者想要确认现行的服务是否为最佳性能和安全性做了正确配置,则可通过将其与默认服务设置中的表格对比来验证服务设置。
2.计算机作为成员服务器已加入到ActiveDirectory域中
如果希望验证客户端的身份,或者将共享文件夹发布到ActiveDirectory,文件服务器就必须加入域中。
如果不需要执行这两个任务,文件服务器就不需要加入域中。
3.分配所有可用磁盘空间
可以使用“磁盘管理”或DiskPart.exe命令从未分配的空间中创建新分区,具体参见本章前面介绍。
所有现有的磁盘卷最好都使用NTFS文件系统,FAT32卷缺乏安全性,而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限配置。
在添加文件服务器角色之前必须了解的信息如表5-1所示。
表5-1 添加文件服务器前需了解的信息
添加角色之前需了解的项目
注释
确定是否要配置磁盘配额
使用磁盘配额跟踪和控制NTFS卷的以卷为单位的磁盘空间使用情况。
配额可防止用户由于在超过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间
确定是否要使用索引服务
索引服务可以创建本地硬盘驱动器及共享网络驱动器上的文档的内容和属性索引。
这些索引可允许用户执行更快速、更便捷的搜索。
索引服务可能会降低服务器的运行速度,因此,只有在用户要经常搜索该服务器上的文件内容时才使用它
确定要在计算机上共享的文件夹,并指定文件夹名称和说明
用户根据文件名查看该文件服务器上的共享资源。
建议创建容易记住并能说明文件夹内容的共享名称。
例如,假设向用户各提供2GB的空间,用于在文件服务器上存储其私有信息。
可以将文件服务器上的顶层文件夹命名为“PersonalFolders”,然后根据用户的域名来命名每个子文件夹
决定要在文件夹上设置什么类型的权限
指派最具限制的权限,该权限仍允许用户执行需要的任务。
NTFS文件系统上的访问控制比单独的共享权限提供了更多的安全性
5.1.3 配置文件服务器
WindowsServer2003系统在域控制器安装时就会自动把当前服务器配置成文件服务器角色。
但如果是成员服务器,则需要另外手动配置。
文件服务器的配置是通过“配置您的服务器向导”进行的,非常简单。
打开这个向导又有两种不同途径的选择:
一是通过直接运行【管理工具】菜单下的【配置您的服务器向导】命令;二是通过“管理您的服务器”界面中单击【添加或删除角色】按钮(如图5-1所示)来打开。
下面是利用“配置您的服务器向导”配置文件服务器的具体步骤。
(1)执行【开始】→【管理工具】→【配置您的服务器】菜单命令,打开如图5-2所示向导首页对话框。
或者在如图5-1所示窗口中单击【添加或删除角色】按钮,在打开的对话框中直接单击[下一步]按钮,同样可以打开如图5-2所示向导对话框。
图5-1“管理您的服务器”窗口
图5-2“欢迎使用‘配置您的服务器向导’”对话框
2)单击【下一步】按钮,打开如图5-3所示的对话框。
在这个对话框中选择要配置的服务器角色——文件服务器(当然,文件服务器的当前的“已配置”状态必须为“否”)。
图5-3“服务器角色”对话框
(3)单击【下一步】按钮,打开如图5-4所示的对话框。
在“文件服务器索引服务”对话框中,为服务器的索引服务进行选择配置,完成下列操作之一。
如果用户定期对服务器上的文件内容进行搜索,选择“是,启用索引服务”单选按钮。
如果想保留CPU和内存资源,选择“不,不启用索引服务”单选按钮,索引服务可能会降低服务器的性能。
索引服务为用户提供了搜索本地或网络上的信息的快速、方便和安全的方式。
用户可以通过【开始】菜单上的【搜索】命令或者浏览器上的HTML页面搜索不同格式和语言的文件。
但这种服务器在带来查找方便的同时,也将给服务器性能带来一定的负面影响。
(4)单击【下一步】按钮,打开如图5-5所示的对话框。
在这个对话框中总结以上几步的配置。
图5-4“文件服务器索引服务”对话框
图5-5“选择总结”对话框
(4)单击【下一步】按钮,弹出如图5-6所示的对话框。
这是一个共享文件夹配置向导,用于为文件服务器配置共享文件夹。
共享文件夹也可在文件服务器配置完成后再自己手动配置或添加。
(5)单击【下一步】按钮,打开如图5-7所示的对话框。
在“文件夹路径”文本框中,指定希望共享的文件夹的路径。
要搜索文件夹,请单击【浏览】按钮。
其实这时考虑可以不配置,直接单击【下一步】按钮,因为毕竟一个文件服务器上要配置的共享文件夹远不止一个,可以在文件服务器配置好后再另行配置。
后面的配置也一样。
图5-6“欢迎使用共享文件夹向导”对话框
图5-7“文件夹路径”对话框
(6)单击【下一步】按钮,打开如图5-8所示的对话框。
在这个对话框中配置以下选项信息。
在“共享名”文本框中,输入要用于共享资源的名称,共享名是必需的,选择简短且具有说明性的名称,以便于用户识别。
在“描述”文本框中,输入对共享资源的说明,描述是可选的。
如果要共享若干个资源,说明就可能有助于组织和标识这些资源。
所输入的说明显示在“文件服务器管理”和“共享文件夹”的“描述”列中。
在“脱机设置”文本框中,指定希望以何种方式让用户在不与网络连接时能够使用共享文件夹中的内容。
如果希望由用户指定哪些文件可以脱机使用,就可以接受默认设置。
若要更改脱机设置,单击【更改】按钮,打开如图5-9所示的对话框。
如果选择“只有用户指定的文件和程序才能在脱机状态下可用”单选按钮,则表明希望由用户来控制哪些文件可以脱机使用。
如果选择“用户从该共享打开的所有文件和程序将自动在脱机状态下可用”单选按钮,则表明希望允许用户从共享文件夹中打开的所有文件都自动在脱机状态下可用。
如果选择“已进行性能优化”复选框,则所有程序都会自动缓存,以便用户能在本地运行它们。
该选项对于宿主应用程序的文件服务器特别有用,因为它会减少网络流量,并改进服务器的可伸缩性。
如果选择“该共享上的文件或程序将在脱机状态下不可用”单选按钮,则表明希望防止用户在脱机状态下存储文件。
图5-8“名称、描述和设置”对话框
图5-9“脱机设置”对话框
说明:
将包含系统文件和资源的文件夹共享时,要确保指定的文件夹或资源不包含不希望用户访问的信息。
(7)单击【下一步】按钮,打开如图5-10所示的对话框。
在“权限”选项卡中,要指定共享文件夹的共享权限。
为确保只有授权用户才可以访问文件夹中的信息,必须对已创建的文件夹进行权限设置。
共享权限仅应用于通过网络访问资源的用户,它们不应用于那些能够访问在存储资源计算机上的资源的用户。
以下是对话框中各单选按钮的选择说明。
如果选择“所有用户有只读访问权限”单选按钮,则将所有用户对此共享文件夹的访问权限都限制为只读。
图5-10“权限”对话框
如果选择“管理员有完全访问权限;其他用户有只读访问权限”单选按钮,则表明用户可查看位于共享资源中的文件和运行其中的程序,但只有Administrators组的成员可以更改、添加或删除文件。
此外,也只有Administrators组的成员可以更改共享资源上的NTFS文件权限。
如果选择“管理员有完全访问权限;其他用户有读写访问权限”单选按钮,则表明将访问权限限制为对Administrators组成员以外的所有用户都是可以读和写的。
如果选择“使用自定义共享和文件夹权限”单选按钮,则表明希望自己对指定用户或组授予或拒绝访问权限。
应指派限制性最强但又允许用户执行必要功能的权限。
(8)单击【完成】按钮,打开如图5-11所示的对话框。
这是一个共享成功的提示框。
在这个“共享成功”提示框中,“共享文件夹向导”会显示选定内容的状态和总结。
如果希望将另一个文件夹共享,则选择“当单击‘关闭’时,再次运行该向导来共享另一个文件夹”复选框,在单击【关闭】按钮后,程序会再次运行以上共享向导,重新对新的共享文件夹进行共享设置。
全部完成后,取消对“当单击‘关闭’时,再次运行该向导来共享另一个文件夹”复选框的选择,再单击【关闭】按钮就直接退出共享设置了。
此时出现了一个“此服务器现在是一个文件服务器”的向导完成选项卡,如图5-12所示。
单击【完成】按钮,即完成了全部的文件服务器角色配置过程。
图5-11“共享成功”对话框
图5-12“此服务器现在是一个文件服务器”对话框
要审阅由“配置的服务器向导”对服务器所做的所有更改,或者要确保新的角色已成功安装,可单击此选项卡中的“配置您的服务器向导”链接,打开日志文件,在其中详细记录了整个服务器(不仅包括文件服务器)的配置过程。
“配置的服务器向导”日志位于Systemroot\Debug\ConfigureYourServer.log路径下,也可直接在资源管理器中打开。
配置了文件服务器后,接下来就可以进行各项文件管理了,首先了解一下WindowsServer2003系统中的文件夹共享配置。
5.2 文件夹共享
在WindowsNT4.0Server系统中,就开始用“共享文件夹”替换“控制面板”中与资源相关组件来管理共享文件资源了。
在没有配置文件服务器的系统中,“共享文件夹”选项只是在“计算机管理”控制台中,如图5-13所示。
而在配置了文件服务器后,在专门的文件服务器管理控制台中也有这个“共享文件夹”选项,如图5-14所示。
图5-14是执行【开始】→【管理工具】→【文件服务器管理】菜单命令,或者单击“管理您的服务器”窗口“文件服务器”项中的【管理此服务器】按钮后打开的。
图5-13“计算机管理”控制台中的“共享文件夹”选项
图5-14“文件服务器管理”控制台中的“共享文件夹”选项
其实“计算机管理”和“文件服务器管理”两控制台在文件管理方面的功能基本一样(文件服务器管理没有卷影副本配置功能等)。
在此仅以“文件服务器管理”控制台上的相应功能进行介绍,“计算机管理”工具的文件管理方法完全一样,参照即可。
使用“共享文件夹”管理可以查看本地和远程计算机的连接和资源使用情况的摘要。
共享文件夹的管理是整个服务器文件管理的一个非常重要的方面,它既关系到网络用户的文件共享使用,也严重关系到网络系统的安全。
本节要通过“文件服务器管理”实现介绍WindowsServer2003系统中有关文件夹共享的几个主要方面的内容。
“共享文件夹”选项中的共享文件图标上都有一个手形向上托的标志(参见图5-13),这就是共享标志,凡有这个标志的文件夹都表示是共享资源,当然具体哪个用户具有这个共享资源的使用权限要视共享文件夹的共享权限配置而定。
5.2.1 文件服务器中的"文件夹共享"选项
"文件夹共享"其目的就是使网络用户通过网络共同使用文件资源,而无关客户端计算机使用何种文件系统格式。
单机状态下,在不支持NTFS文件格式系统中不能访问本地磁盘中的NTFS格式下的驱动器、文件夹和文件;但对文件夹进行共享设置后,用户通过网络就可以按相应用户访问权限配置访问任何文件格式(当然仅是指Windows系统所支持的FAT、FAT32和NTFS这3种主要文件格式)的驱动器、文件夹和文件了,使得整个网络部署更随意。
自WindowsNT4.0系统以来,使用"共享文件夹"选项(集成在"计算机管理"和"文件服务器管理"两个管理工具中),管理员可以进行如下应用。
创建、查看和设置共享资源的权限。
查看通过网络连接到计算机的所有用户列表,并断开一个或全部用户。
查看由远程用户打开的文件列表,并关闭一个或全部打开的文件。
如图5-13所示界面中的"共享文件夹"中的子文件夹包含本地文件服务上所有的共享资源、会话和打开文件的相关信息,并按列排列。
如果已安装Macintosh服务,也会列出该服务管理的资源的信息。
"共享文件夹"包括以下3个方面的共享信息。
1.共享
如果是本地共享,可直接在如图5-14所示的"共享文件夹"界面查看。
在界面右边详细列表列出该计算机上所包含的可用共享资源信息,各列的解释如下。
共享名:
列出计算机中的可用共享资源。
在某些情况下,与打印机的连接作为与命名管道的连接进行监控。
共享资源可以是共享目录、命名管道、共享打印机或者是不可识别类型的资源。
在这些共享之间,有一类共享名后面有一个"$",它是专为管理员进行网络管理而设置的系统默认共享文件夹,通常是驱动器。
这样的共享只有管理员才可看见,其他用户通过网络不能查看和使用这类共享文件夹。
而如果在用户主文件夹的共享文件名后加上这样一个"$"符号,则只有对应用户和管理员才可以看到这个共享,这可以确保用户私人文件不被非法查阅或操作。
文件夹路径:
显示共享资源的路径。
类型:
显示网络连接类型是Windows、NetWare还是Macintosh。
#客户端连接:
显示连接到共享资源的用户数,管理员从查看这一项可以知道当前系统有多少用户正在使用哪个共享文件夹中的文件。
根据相应共享文件的主要用途,管理员也可从中发现一些没必要使用该共享文件的用户,从而实施强制断开操作。
描述:
描述共享资源。
2.会话
"会话"选项中包含了服务器系统用户与服务器之间的会话进程,从这个选项中可以得知当前系统中哪些用户正与服务器连接着,有多少用户、哪些类型的用户正在与服务器连接等信息。
从中可以得出许多急需改进的文件管理举措,特别是文件权限配置方面,进一步完善整个系统的安全配置。
当然管理员也可通过此选项对当前与服务器连接的用户进行各种管理,如强制关闭某用户的会话。
在如图5-14所示"文件服务器管理"控制台左边导航栏中选择"会话(本地)"选项,此时在右边详细列表中显示了当前网络中会话情况,如图5-15所示。
图5-15“会话”选项界面
下面是列表中各列的解释。
用户:
列出当前与服务器连接的网络用户,管理员可强制中断。
计算机:
显示连接用户的计算机名称。
类型:
显示网络连接类型,其中包括Windows、NetWare或者Macintosh。
#打开文件:
显示此服务器中由该用户打开的资源数,从中可以了解该用户目前正在进行的主要工作。
连接时间:
显示从建立该会话开始,经过的小时和分钟数,从中可以了解该用户近一段时间以来的主要工作。
空闲时间:
显示从该用户最后启动某个动作开始,经过的小时和分钟数。
来宾:
指定该用户是否作为来宾连接到此计算机上(显示为“是”或“否”)。
从以上各项中均可得出当前服务器系统的安全状况,分析出该系统还可能存在的安全隐患,从而可以一步改进系统。
3.打开文件
“打开文件”选项所包含的是当前服务器系统中,客户端正在使用服务器中文件的情况。
从中可以清楚地看出当前系统中哪些用户正在打开哪些服务器中的文件。
管理员可以通过这些信息有选择地中断某些用户的某些打开文件的操作。
在如图5-14所示“文件服务器管理”控制台中单击控制台左边导航栏中的“打开文件(本地)”选项,在右侧列表中显示当前服务器系统中用户打开服务器文件的情况列表,如图5-16所示。
图5-16“打开文件”界面
下面是界面列表中各列的解释说明。
打开文件:
列出打开的文件名称。
打开的文件可以是文件、命名管道、打印后台处理程序中的打印作业或是不可识别类型的资源。
在某些情况下,打印作业在此处显示为打开的命名管道。
访问者:
已经打开文件或访问资源的用户名。
类型:
网络连接类型,其中包括Windows、NetWare或者Macintosh。
#锁定:
显示资源上应用程序启动文件锁定的数量。
打开模式:
显示打开资源时授予的权限。
以上介绍的是对本地服务器上的共享文件夹进行基本管理的方法,如果要远程管理网络中其他计算机的共享资源,可在“文件服务器管理”界面中的相应选项上单击鼠标右键,然后在弹出菜单中选择【连接到另一台计算机】命令,打开如图5-17所示的对话框。
在对话框中选择“另一台计算机”单选按钮,然后输入要连接的计算机名称,单击【确定】按钮,这样在“文件服务器管理”工具中所显示的就是远程计算机上的相应信息了。
此时控制台树中的各选项不再显示“本地”,而是对应的远程计算机名。
管理员可像管理本地服务器一样,对远程计算机中各子项进行管理,当然前提是当前操作用户必须具备远程计算机上的相应权限。
图5-17“选择计算机”对话框
5.2.2 文件夹共享权限
共享资源提供对应用程序、数据或用户个人数据的访问,可对每个共享资源指派或拒绝权限。
可通过多种方法来控制对共享资源的访问。
可以使用共享权限,这样易于应用和管理。
或者,可以使用NTFS文件系统上的访问控制,这样可以对共享资源及其内容进行更详细的控制,也可以将这些方法结合起来使用。
如果将这些方法结合起来使用,将应用更为严格的权限。
例如,如果共享权限设置为"Everyone=读取"(默认值),并且NTFS权限允许用户更改共享文件,则应用共享权限的结果是不允许用户更改文件的,只能读取。
不必显式拒绝共享资源的权限。
通常,只有在想要覆盖已指派的特定权限时,才有必要拒绝权限。
在WindowsServer2003家族中,当创建新的共享资源时,自动指派Everyone组为读取权限,这种权限是最受限制的权限。
共享权限的配置仅应用于通过网络访问资源的用户。
这些权限不会应用到在本地登录的用户(如登录到终端服务器的用户),在这种情况下,可在NTFS上使用访问控制来设置权限。
共享权限的配置将应用于共享资源中所有的文件和文件夹。
如果要为共享文件夹中的子文件夹或对象提供更详细的安全性级别,也可使用NTFS的访问控制。
共享权限是保护FAT和FAT32卷上的网络资源的唯一方法,因为NTFS权限在FAT或FAT32卷上不可用。
共享权限可指定允许通过网络访问共享资源的最大用户数目,这是NTFS文件系统提供的额外安全措施。
可对共享文件夹或驱动器指派下列类型的访问权限。
①读取
"读取"权限是指派给Everyone组的默认权限。
"读取"权限允许进行下面的操作。
查看文件名和子文件夹名。
查看文件中的数据。
运行程序文件。
②更改
"更改"权限不是任何组的默认权限。
"更改"权限除允许以上所有的"读取"权限外,还具有如下权限。
添加文件和子文件夹。
更改文件中的数据。
删除子文件夹和文件。
③完全控制
完全控制权限是指派给本机上的Administrators组的默认权限。
"完全控制"权限具有全部读取及更改权限。
5.2.3 共享文件夹的创建与配置
在需要与网络中其他用户、计算机共享文件时,就需要创建共享文件夹(只能共享文件夹,而不能只共享文件)。
创建与配置共享文件夹的方法有4种。
在"计算机管理"工具中创建
在"文件服务器管理"工具中创建
在"资源管理器"中创建
通过命令行方式创建
下面分别予以介绍。
因为在"计算机管理"和"文件服务器管理"中创建的方法完全一样,在此仅以在"文件服务器管理"中创建为例进行介绍。
1.在"文件服务器管理"工具中创建与配置
WindowsServer2003系统的共享资源都集中在"计算机管理"和"文件服务器管理"工具中的"共享"选项中,分别参见图5-13和图5-14。
下面以在"文件服务器管理"中创建为例进行介绍。
方法很简单,只需在如图5-14所示"文件服务器管理"控制台树中,选择"共享"选项,然后单击鼠标右键,选择【新建共享】命令,打开如图5-6所示的"共享文件夹向导"对话框。
然后按照5.1.3节介绍的相应步骤操作即可,最后单击【完成】按钮完成新共享文件夹的创建。
2.使用Windows资源管理器创建
使用Windows资源管理器创建的共享文件夹也有两种不同的类型,除了通常我们在Windows2000以前系统中见到那