开发者社区> 科技小能手> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

Windows Server入门系列40 网络共享权限设置

简介:
+关注继续查看

1. 设置共享权限

共享权限是控制用户通过网络访问共享文件夹的手段,共享权限仅当用户通过网络访问时才有效,本地用户不受此权限制约。

相比NTFS权限,共享权限的设置要简单得多,共享权限只有三种:完全控制、更改、读取。

Win2003的默认共享权限是Everyone组有读取权限。通过“添加”和“删除”按钮,可以控制更改用户和组的数量,通过下面的“允许”和“拒绝”复选框,来控制用户和组的权限。共享权限的规则与NTFS权限类似,用户最终的权限遵循权限累积原则和拒绝优先原则。

image

 

2. 共享权限与NTFS权限

如果共享文件夹位于NTFS分区,那么用户通过网络访问共享文件夹的最终权限是两种权限的交集,也就是最严格的权限。

比如用户test属于financial组,test对共享文件夹具有“完全控制”的共享权限,financial组对文件夹具有“读取”的NTFS权限,那么当test从网络上访问这个文件夹时,将只具有“读取”权限。

当用户从本地计算机直接访问文件夹时,不受共享权限的约束,只受NTFS权限的约束。

 

3. 权限设置案例

在了解了权限设置的基本规则之后,下面通过一个具体的案例来分析如何设置安全权限和共享权限。

某公司下设有财务部和技术部两个部门,每个部门各有2名员工和1名部门经理,另外整个公司还有1名总经理。现需要在企业办公网络中搭建一台文件服务器,在文件服务器上创建共享文件夹share,在share中再为每个部门分别创建一个子文件夹。共享文件夹要满足如下权限要求:

  • 每个部门的普通员工只能以只读权限访问本部门的文件夹;

  • 部门经理可以以完全控制权限访问本部门的文件夹,以只读权限访问其它部门的文件夹;

  • 公司总经理对整个share共享文件夹具有完全控制权限。

(1)创建用户账号和组账号

首先需要为案例中的每名员工创建相应的用户账号,为每个部门创建组账号,并将用户账号分别加入到相应的组账号中。

需要创建的用户账号和组账号如下图所示:

image

(2)为share文件夹设置权限

将share文件夹设为共享, 并为其设置权限。share文件夹作为父文件夹,根据权限继承规则,对其设置的权限将自动传递到其中的子文件夹和文件中。

首先分析一下,在默认情况下用户远程访问share文件夹时具有什么权限?可以从以下几个方面进行分析:

① 共享权限,默认Everyone具有读取权限;

② 安全权限,默认Users组具有“读取和执行”权限以及“创建文件夹/写入数据”特殊权限,所有的用户账号默认都属于Users组的成员;

③ 用户远程访问share文件夹时的有效权限为共享权限和安全权限的交集。

因而可以推断,在默认情况下任何用户账号在远程访问share文件夹时都具有读取权限。

在明确了默认权限之后,下面开始着手进行权限设置。

考虑到同时既设置共享权限又设置安全权限,会将问题搞复杂,因而这里可以直接将共享权限设为Everyone具有完全控制权限,即将共享权限设为最大。由于有效权限是共享权限和安全权限的交集,因而在将共享权限设为最大的情况下,只需设置安全权限便即是最终的有效权限。

image

在将共享权限设为最大之后,任何用户都将从安全权限的Users组中获得了“读取和执行”以及“创建文件夹/写入数据”权限,这很明显不符合要求,因而必须将Users组从安全权限的用户列表中删除。但Users组的权限是share文件夹从它的父文件夹(磁盘分区根目录)继承而来的,对于这些继承而来的权限无法直接改动,因而要删除Users组,首先必须要断开权限继承关系。

在share文件夹属性的“安全”选项卡中,点击“高级”按钮,在打开的“高级安全设置”中点击“更改权限”按钮,然后去掉“包括可从该对象的父项继承的权限”按钮,

image

在随后出现的警告对话框中选择“添加”,仍然保留原先的用户列表,如图3所示。

image

如此,便可以将Users组从用户列表中去除掉了。

接下来根据案例要求,只有公司总经理boss具有对所有部门的完全控制权限,因而对于share文件夹,只需为总经理boss设置完全控制的安全权限即可,

image

至此,针对share文件夹的权限设置完成:只有公司总经理boss具有对share文件夹的完全控制权限。根据权限继承规则,这个权限将自动传递到share文件夹中的各个子文件夹和文件中。

(3)为部门文件夹设置权限

在share文件夹中建有两个子文件夹:“财务部”、“技术部”,它们的默认权限都是从父文件夹share继承而来的。对这两个文件夹都不必再设置共享权限,只需按照案例要求设置安全权限即可。这两个子文件夹的权限设置具有相似性,因而下面只以“财务部”文件夹为例予以说明。

下面根据案例要求为相应的用户账号和组账号分别设置权限:

① 财务部员工具有读取权限。

由于部门里员工人数众多,因而在为部门设置权限时,一般不要直接为部门里的每个用户账号设置权限,而是应针对部门所对应的用户组设置权限。

在安全权限的用户列表中添加“financial”组,赋予“读取”、“读取和执行”、“列出文件夹内容”权限。

② 财务部经理具有完全控制权限。

针对某个特殊用户分配的权限,可以直接添加该用户账号fmanager,赋予完全控制权限。

③ 其他部门经理具有读取权限。

之前已经创建了一个名为manager的用户组,所有部门经理都属于该组的成员。因而这里添加manager组,赋予“读取”、“读取和执行”、“列出文件夹内容”权限。

至此,针对“财务部”文件夹的权限设置完成。这其中比较特殊的是财务部经理fmanager用户,他同时是财务组financial和部门经理组manager的成员,而且还为其单独指定了权限,根据权限累加规则,fmanager的最终权限是所有这些权限的累加之和,即完全控制权限。

(4)总结

在上述权限设置过程中,需要强调和注意的几个问题:

一是要准确把握权限设置的四项规则,明确用户的有效权限是共享权限和安全权限的交集。

二是由于安全权限的权限项目分得比较细,设置起来比较灵活,因而可以将共享权限设为最大,如此只需设置安全权限便是最终的有效权限。

三是要注意衡量是否需要去除安全权限中默认存在的Users组,否则很多计划外的用户可能会从该组获得某些意外的权限。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1342024

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
Windows Server 2012 R2
Windows Server 2012 R2 历史上的Server有2003 server, 2008 server, 2012 server windows server 2012 r2对计算机的消耗比图形化的Linux要大, 但是笔记本上使用VMware使用也没有问题 windows操作系统...
1809 0
23703
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载