(三) 匿名和验证授权混合访问共享文件或文件夹
很多人喜欢在实践中设置匿名访问和验证授权访问混合使用。我个人并不赞同这种方式。首先这种方式实现起来比较麻烦,而且客户端操作也不容易,不过还是可以做到的。如下图7.19
(图7.19 红色箭头代表使用本地验证用户访问具备写权限)
我们在图7.1的基础上进行了一些调整,用户A通常和用户X(X代表出A外任何用户)使用文件共享服务器X上的匿名用户访问共享文件夹X,只拥有读取共享文件夹X中文件的权限。但是用户A拥有文件共享服务器本地用户Z,来访问共享文件夹X,可以往共享文件夹写文件。
在设置这种权限的时候,我们需要修改组策略中的一个地方,只有保证正确的组策略,后续才能顺利进行。如下图7.20
(图7.20)
这里一样要设置成“经典”而不是“仅来宾”模式,否则用户全部用GUST账号登录。如此设置完毕后,用户A需要这样设置,匿名访问通过UNC与其它用户一样访问共享文件夹X,而当需要使用文件共享服务器Z用户,在计算器上映射一个磁盘驱动器,如下图7.21
(图7.21)
注意:一定要勾选“使用其它凭据”连接
这样设置以后,如果使用匿名访问,就在运行里输入\\sharename\sharefile,如果需要授权用户访问写入共享目录,就用映射驱动登录。不过有一点,两者切换登录的时候,记住要删除连接会话,或者注销用户。会话在一段时间内不会清除。查看共享会话命令:net use
删除共享会话命令:net use \\sharename\sharefile /del
(四) 授权访问共享文件夹
看来匿名访问和授权访问混合起来确实比较麻烦。所以尽管从匿名访问从技术的角度上是可以赋予写入权限访问的,但是我个人强烈建议不这么做,因为一旦允许匿名访问可写,你并不知道某个文件究竟是谁上传上去的,是谁究竟改写了某个文件。所以当允许共享文件夹访问可写的时候,强烈建议要用验证授权用户的方法去访问共享文件或文件夹。
如何正确设置我们想要的用户权限访问共享文件夹中文件或文件夹。这个是共享文件夹中的重点与难点,其实很多人是对权限设置研究和理解的不够透彻,只要理解透彻了,在可行性的权限设置,尽管复杂,但是也能做出来。所以还是先说说用户权限设置的原则。
授权验证访问的安全性总结如下:
1. 共享访问规则
其实文中之前已经说过了,为了加强印象再重复一遍。通过网络访问共享文件夹的时候,如果要设置用户权限,其实需要在两个地方进行设置,而这两个地方更直观的理解像2道“防火墙”如下图,7.22
(图7.22)
当某人在计算机A本地登录的时候,如果想访问文件共享服务器X共享文件夹X的时候,需要使用文件共享服务器X上的本地用户Z,然后通过网络利用SMB协议经过共享权限和NTFS权限访问权限控制验证后才可以访问共享文件夹X中的内容。由此看出使用授权验证方式访问共享文件夹实际上是很安全的。(当然是权限设置要合理)
需要提醒一部分读者:通过网络访问的方式就是我前文提到的那三种方法:通过NET USE命令、通过“运行’’菜单中输入UNC或通过WINDOWS EXPLORER中输入UNC、通过映射网络驱动器。很多人是通过远程桌面登录到文件共享服务器X,然后再访问这个共享文件夹X。注意,这个时候就不是前文提到的通过网络访问了,所以“文件共享“权限就不生效了。我们来测试一下。”修改共享权限,让z00w00拒绝访问,如下图7.23
(图7.23)
但是我们在NFTS权限上给予z00w00修改权限,如下图7.24
(图7.24)
在这里还要小小解释一下:这个文件夹名叫sharetest,但是共享名叫share1,所以这两者是一个东西,在用共享访问的时候就是share1,就相当于一个别名,如下图7.25
图7.25)
按照我们刚才的理论,共享禁止了,我们通过网络访问就无法访问该目录了,但是如果通过远程桌面登录,是可以访问该目录的,现在我们测试一下,并截图结果,共享访问结果如下图7.26
(图7.26)
很明显提示因为权限问题拒绝了我们的访问。下面我们看远程桌面登录后的结果,如下图7.27
(图7.27)
可以看出我们顺利进来了,并且有读、写、修改的权限。
2. 共享权限设置规则
文件共享权限设置比较简单,就是”读取”、”更改”和“完全控制”三种。如果只允许用户读取文件夹中的内容,那么只勾选”读取”选项即可。如果需要用户往共享文件夹中写入内容,那么就必须勾选”更改”选项。(勾选“更改”选项会自动勾“选读”选项)。如果给用户更大的权限,允许用户赋予其它用户对这个共享文件夹的权限,那么就需要勾选”完全控制”选项了。
本文转自 z00w00 51CTO博客,原文链接:http://blog.51cto.com/z00w00/1081725,如需转载请自行联系原作者
