Windows文件服务器调研.docx

Windows文件服务器调研.docx

《Windows文件服务器调研.docx》由会员分享，可在线阅读，更多相关《Windows文件服务器调研.docx（11页珍藏版）》请在冰豆网上搜索。

Windows文件服务器调研

1概述

1.1目的

本次调研的目的是通过了解windowsserver2003文件服务器的基本功能，通过设置文件共享，了解windows下文件共享权限访问控制。

1.2调研内容

本次调研完成以下了以下工作：

1、Windowsserver2003文件服务器的搭建与配置

2、共享权限访问控制

3、文件服务器数据备份与恢复

4、域帐户访问文件服务器资源的配置与操作

2权限访问控制

Windowsserver2003提供了服务器管理工具，利用工具向导可快速添加文件服务器角色。

创建文件服务器过程中，可设置磁盘配额，限制用户对磁盘空间的使用。

设置完成后，系统会弹出创建共享文件夹的向导，可快速添加一个共享的文件夹。

文件服务器通过设置共享文件夹权限，限制用户对共享资源的访问，保障数据安全。

Windows提供了共享权限和NTFS权限来控制对共享资源的访问，可使用共享权限，这样易于易用和管理，而NTFS文件系统上的访问控制则可以完成对共享资源及内容的详细控制。

下面重点介绍共享权限和NTFS权限的相关内容。

2.1权限介绍

2.1.1共享权限

在服务器上，创建一个文件夹，右键，选择共享和安全，弹出文件夹属性界面，在共享标签下面，选择“共享此文件夹”，默认情况下，文件夹是不共享的。

点击【权限】按钮，可打开共享权限设置界面。

共享权限包括“完全控制”、“更改”、“读取”，支持允许和拒绝，拒绝的权限优先于允许的权限。

点击【添加】，添加可访问此共享文件夹的用户或组，并设置相应的权限。

共享权限仅应用于通过网络访问资源的用户，通过本地登录的用户是无效的。

共享权限支持指定允许通过网络访问共享资源的最大用户数目。

可对共享文件夹或驱动器指派下列类型的访问权限：

权限

描述

读取

1）查看文件名和子文件夹名

2）查看文件中的数据

3）运行程序文件

更改

“更改”权限除允许所有的“读取”权限外，还具有如下权限：

1）添加文件和子文件夹

2）更改文件中的数据

3）删除子文件夹和文件

完全控制

完全控制权限除允许全部读取及更改权限外，还可以更改权限。

共享权限将应用于共享资源中所有的文件和文件夹，如果要为共享文件夹中的子文件夹或对象提供更详细的安全性级别，可使用NTFS的访问控制。

2.1.2NTFS权限

2.1.2.1权限设置

NTFS权限是NT和Win2000中的文件系统，它支持本地安全性。

NTFS权限提供对文件或者文件夹理详细的安全性级别，它对从网络访问和本机登录的用户都有效。

当一个用户试图访问一个文件或者文件夹的时候，NTFS文件系统会检查用户使用的账户或者账户所属的组是否在此文件或者文件夹的访问控制列表（ACL）中，如果存在则进一步检查访问控制项（ACE），然后根据控制项中的权限来判断用户最终的权限。

如果访问控制列表中不存在用户使用的账户或者账户所属的组，就拒绝用户访问。

如上图所示，打开文件夹属性，在安全目录下，可设置文件夹的NTFS（安全）权限。

默认情况下，安全权限包括了Administrators、CREATOROWNER、SYSTEM、Users四个用户组。

NTFS权限包含以下类型的访问权限：

权限

描述

完全控制

对文件或者文件夹可执行所有操作

修改

可以修改、删除文件或者文件夹

读取和运行

可以读取内容，并且可以执行应用程

列出文件夹目

可以列出文件夹内容，此权限只针对文件夹存在

读取

可以读取文件或者文件夹的内

写入

可以创建文件或者文件夹

特别的权限

其他不常用权限，比如删除权限的权限

同样，所有权限都有相应的“允许”和“拒绝”两种选择。

设置各个账户以及组对当前文件或者文件夹的权限的方法很简单，就是上图中，选择你要修改的账户或者组，然后再下面的控制项框中选择合适的权限就行了。

还有一些特殊权限，以及取得文件或文件夹的所有权的方法。

2.1.2.2NTFS权限应用规则

因为一个用户可能属于多个组，又可分别对用户和组设置文件（夹）的权限，所以存在权限组织的情况，下面介绍下NTFS权限的应用规则。

NTFS权限的应用规则包括权限的组合、权限的继承、权限的拒绝以及复制移动对权限的影响。

1．  权限的组合

如果一个用户同时在两个组或者多个组内，而各个组对同一个文件有不同的权限，那么这个用户会得到各个组的累加权限，但是一旦有一个组的相应权限被拒绝，此用户的此权限也会被拒绝。

举例来说：

假设有一个用户WZ，如果WZ属于A和B两个组，A组对某文件有读取权限，B组对此文件有写入权限，WZ自己对此文件有修改权限，那么WZ对此文件的最终权限为读取+写入+修改权限。

假设WZ对文件有写入权限，A组对此文件有读取权限，但是B组对此文件为拒绝读取权限，那么WZ对此文件只有写入权限。

但没有读取的权限，WZ对此文件的写入权限也是无效。

2、权限的继承

新建的文件或者文件夹会自动继承上一级目录或者驱动器的NTFS权限，从上一级继承下来的权限是不能直接修改的，只能在此基础上添加其他权限。

如果复选框为灰色，则文件或文件夹已经继承了父文件夹的权限。

有三种方法可以更改继承的权限：

1）对父文件夹进行更改，然后文件或文件夹将继承这些权限。

2）选择相反权限（“允许”或“拒绝”）以覆盖所继承的权限。

3）清除“允许父项的继承权限传播到该对象和所有子对象。

包括那些在此明确定义的项目”复选框。

这样，您就可以更改权限，或者从权限列表中删除用户或组。

但是，文件或文件夹将不再从父文件夹继承权限。

3、权限的拒绝

拒绝的权利具有最高优先级。

无论给账户或者组了什么权限，只要设置了某项权限是“拒绝”的，那么被拒绝的权限就绝对有效。

4、移动和复制操作对权限的影响

只有文件或者文件夹移动到同一分区内才保留原来设置的权限，否则为继承目的地文件夹或者驱动器的NTFS权限。

2.2联系与区别

1.共享权限是基于文件夹的,也就是说你只能够在文件夹上设置共享权限,不可能在文件上设置共享权限；NTFS权限是基于文件的,你既可以在文件夹上设置也可以在文件上设置。

2.共享权限只有当用户通过网络访问共享文件夹时才起作用,如果用户是本地登录计算机则共享权限不起作用;NTFS权限无论用户是通过网络还是本地登录使用文件都会起作用,只不过当用户通过网络访问文件时它会与共享权限联合起作用,规则是取最严格的权限设置.

3.共享权限与文件操作系统无关,只要设置共享就能够应用共享权限;NTFS权限必须是NTFS文件系统,否则不起作用.

共享权限只有几种:

读取,更改和完全控制;NTFS权限有许多种,如读,写,执行,改变,完全控制等....我们可以进行非常细致的设置.

4.共享权限和NTFS权限的特点：

（1）不管是共享的权限还是NTFS权限都有累加性。

（2）不管是共享权限还是NTFS权限都遵循“拒绝”权限超越其他权限。

（3）当一个账户通过网络访问一个共享文件夹，而这个文件夹又在一个NTFS分区上，那么用户最终的权限是它对该文件夹的共享权限与NTFS权限中最为严格的权限。

2000中，共享的文件夹，可以用空密码用户访问。

但是WindowsServer2003中，共享的文件夹，不可以用空密码用户访问。

6.共享权限与NTFS权限的组合为两个权限的交集，如果共享权限为只读，NTFS权限是写入，那么最终权限是完全拒绝。

7.当用户从网络访问一个存储在NTFS文件系统上的共享文件夹的时候会受到两种权限的约束，而有效权限是最严格的权限（也就是两种权限的交集）。

而当用户从本地计算机直接访问文件夹的时候，不受共享权限的约束，只受NTFS权限的约束。

2.3访问用户说明

选中计算机，右键，管理，进入到计算机管理控制台，选择本地用户和组，可查看系统用户和组。

Windowsserver2003中默认的系统用户只有administrator和guest，administrator是系统管理员，负责进行系统管理操作，guest帐户是计算机内置的供来宾访问计算机的帐户。

系统管理员可通过创建用户和组，终端用户通过管理员创建的用户访问共享资源，将用户进行分组，可通过设置组的权限来控制用户访问的权限，方便管理。

系统内置的对象简单介绍下面几种：

Everone组：

Everyon只包括"AuthentUsers"和"Guests"两个组，而不再包括"AnonymLogon"组，所以它表示了"可访问计算机的所有用户"而不再是"每个人"请注意这是有区别的"可访问计算机的所有用户"意味着必须是通过认证的用户，而"每个人"则不必考虑用户是否通过了认证。

注意，如果Guest帐号被启用时，则给Everone这个组指派权限时必须小心，因为当一个没有帐户的用户连接计算机时，他被允许自动利用Guest帐户连接，但是因为Guest也是属于Everone组，所以他将具备Everyone所拥有的权限。

AuthenticatedUsers任何一个利用有效的用户帐户连接的用户都属于这个组。

建议在设置权限时，尽量针对AuthenticatedUsers组进行设置，而不要针对Everone进行设置。

CreatorOwner文件夹、文件或打印文件等资源的创建者，就是该资源的CreatorOwner（创建所有者）。

不过，如果创建者是属于Administrators组内的成员，则其CreatorOwner为Administrators组。

3实例应用

3.1需求

整个公司下分有若干个部门，在文件服务器上创建各部门的共享文件夹，只本部门的用户可访问，其它部门用户无法访问。

本部门员工登录成功后，只可在部门文件夹下面创建自己的文件夹，不能创建文件，并对创建的文件夹具有完全控制的权限，其它人员无法访问，也无法访问其它人创建的文件夹。

创建一个共有的文件夹，设置所有用户只允许查看，不能修改、删除

创建一个共有的文件夹，提供用户上传资料，并且用户只有删除自己上传的资料，不能删除其它人上传的资料。

各部门设置一名部长，部门除不能访问其它部门资源外，对公司通知、上传下载、部门及部门文件夹的完全控制的权限。

3.2实现

3.2.1创建组织与用户

组

用户

kss

kss1、kss2

os

os1、os2

leader

Kss0、os0

3.2.2创建文件夹

3.2.3权限设置

1）公司通知：

要求：

除部长外，其它人只读。

共享权限：

所有AuthenticatedUsers完全控制

安全权限：

administrator、leader组为完全控制

Os/kss组如下：

2）上传下载：

要求：

除部长外，只能上传下载，并删除自己上传的资料

共享权限：

所有AuthenticatedUsers完全控制

安全权限：

administrator、leader、creatorowner组为完全控制

Os/kss组如下：

3）kss

要求：

kss部门人员及部长可访问，部门人员只能创建文件夹，用户只能访问自己创建的文件夹并具有完全控制的权限。

共享权限：

kss组、kss0（kss部长）完全控制

安全权限：

administrator、kss0、creatorowner组为完全控制

kss组权限如下：

4）os：

Os的权限设置同kss相同，将kss组、kss0替换成相应的os组、os0即可，权限设置不变。

3.3测试

1、在客户端【我的电脑】地址栏输入\\、在弹出的登录验证中输入用户名和密码：

如kss1\qwer1234

3、登录成功后，查看到四个文件夹：

公司通知、上传下载、kss、os

1）进入公司通知目录，尝试打开文件，成功

尝试创建文件或者文件夹，失败

2）进入上传下载，下载资料，成功

上传文件到目录中，成功

删除自己上传的文件，成功

尝试删除其它人上传的文件，失败

3）进入到kss目录，创建文件夹，kss1,成功

进入kss1，进行文件操作，如创建、删除、修改等，成功

尝试进入其它人创建的目录，失败

回到kss目录，尝试创建文件，失败

4）进入到os目录，失败

4附加内容

4.1数据备份与恢复

数据的安全性和可用性对于文件服务器来说非常重要的，WindowsServer2003的备份功能使用了称为卷影副本（VolumeShadowCopy）的技术。

在文件服务器管理界面可以找到“备份文件服务器”链接，在命令行执行ntbackup命令均可执行备份向导。

在“备份工具”管理界面中，用户可以指定哪些文件（包括系统注册表数据及引导文件等）需要参与到备份计划中来，也可以指定执行这些备份操作的时间计划。

打开文件服务器管理，选择“配置卷影副本”，可打开卷影副本向导，点击【启用】，可立即创建副本，也可以设置定时备份计划。

共享文件夹的卷影副本提供共享资源中文件的即时点副本。

通过共享文件夹的卷影副本，可以查看在过去的时间点中存在的共享文件和文件夹，可以恢复意外删除的文件、恢复意外覆盖的文件、工作时比较文件版本。

客户端机器上安装卷影副本客户端程序（默认路径：

C:

\WINDOWS\system32\clients\twclient），通过这台客户端机器浏览到文件服务器上的共享之后，对该共享或该共享中的文件点击右键，其属性对话框中有一个“以前的版本”选项页。

在这里显示了文件以前保存过的所有版本，可以将其恢复成任意一个版本。

只有管理员组的成员可以设置卷影副本功能，并且卷影副本必须在NTFS格式的磁盘卷上才能实现。

卷影副本默认在启用该功能的卷上保留10%的空间用以保存备份数据（最少100MB），一旦超过空间的限制将覆盖早先创建的副本。

如下图所示，对于文件或者文件夹，右键属性菜单中可以查看到“以前的版本”Tab页，用户可根据备份的时间点，选择查看备份文件、将备份文件复制到其它地方，或者还原文件。

4.2域帐户访问共享资源

如果希望验证访问共享资料的客户端身份，或者需要将共享文件夹发布到ActiveDirectory，需要将文件服务器就必须加入域中。

通过域控制器来创建和管理登录用户，比较方便和快捷。

使用域来管理文件服务器还可以完成远程服务器上数据加密存储工作。

4.3数据加密存储（EFS）

用户可使用“加密文件系统（EFS）”来加密本地NTFS文件系统文件和文件夹中的数据来安全地存储数据，数据加密与解密过程对用户来说是完全透明的。

如果用户想加密远程服务器上的数据，系统管理员必须指定远程服务器为信任委派，用户才能对远程服务器上的文件进行加密。

而且当两台计算机都是同一WindowsServer2003家族林（是域的更大范围）的成员时，用户才能远程使用EFS。

加密的数据在网络上传输时是不加密的，只有当它存储在磁盘上时才是加密的。

但例外情况是：

当系统包括Internet协议安全性（Ipsec）或Web分布式创作和版本控制（WebDAV）时。

IPSec当数据在“传输控制协议/Internet协议（TCP/IP）”网络上传输时对数据进行加密。

如果文件在被复制或移动到服务器的WebDAV文件夹内之前已经加密，则文件在传输过程中和存储在服务器上时将保持加密状态。

不支持在FAT卷上进行加密和解密。

加密的文件不能从Macintosh客户端访问。

目前不支持在智能卡上存储EFS证书和私钥。

目前也不支持对EFS私钥进行强私钥保护。