Windows Server入门系列40 网络共享权限设置

简介:

1. 设置共享权限

共享权限是控制用户通过网络访问共享文件夹的手段,共享权限仅当用户通过网络访问时才有效,本地用户不受此权限制约。

相比NTFS权限,共享权限的设置要简单得多,共享权限只有三种:完全控制、更改、读取。

Win2003的默认共享权限是Everyone组有读取权限。通过“添加”和“删除”按钮,可以控制更改用户和组的数量,通过下面的“允许”和“拒绝”复选框,来控制用户和组的权限。共享权限的规则与NTFS权限类似,用户最终的权限遵循权限累积原则和拒绝优先原则。

image

 

2. 共享权限与NTFS权限

如果共享文件夹位于NTFS分区,那么用户通过网络访问共享文件夹的最终权限是两种权限的交集,也就是最严格的权限。

比如用户test属于financial组,test对共享文件夹具有“完全控制”的共享权限,financial组对文件夹具有“读取”的NTFS权限,那么当test从网络上访问这个文件夹时,将只具有“读取”权限。

当用户从本地计算机直接访问文件夹时,不受共享权限的约束,只受NTFS权限的约束。

 

3. 权限设置案例

在了解了权限设置的基本规则之后,下面通过一个具体的案例来分析如何设置安全权限和共享权限。

某公司下设有财务部和技术部两个部门,每个部门各有2名员工和1名部门经理,另外整个公司还有1名总经理。现需要在企业办公网络中搭建一台文件服务器,在文件服务器上创建共享文件夹share,在share中再为每个部门分别创建一个子文件夹。共享文件夹要满足如下权限要求:

  • 每个部门的普通员工只能以只读权限访问本部门的文件夹;

  • 部门经理可以以完全控制权限访问本部门的文件夹,以只读权限访问其它部门的文件夹;

  • 公司总经理对整个share共享文件夹具有完全控制权限。

(1)创建用户账号和组账号

首先需要为案例中的每名员工创建相应的用户账号,为每个部门创建组账号,并将用户账号分别加入到相应的组账号中。

需要创建的用户账号和组账号如下图所示:

image

(2)为share文件夹设置权限

将share文件夹设为共享, 并为其设置权限。share文件夹作为父文件夹,根据权限继承规则,对其设置的权限将自动传递到其中的子文件夹和文件中。

首先分析一下,在默认情况下用户远程访问share文件夹时具有什么权限?可以从以下几个方面进行分析:

① 共享权限,默认Everyone具有读取权限;

② 安全权限,默认Users组具有“读取和执行”权限以及“创建文件夹/写入数据”特殊权限,所有的用户账号默认都属于Users组的成员;

③ 用户远程访问share文件夹时的有效权限为共享权限和安全权限的交集。

因而可以推断,在默认情况下任何用户账号在远程访问share文件夹时都具有读取权限。

在明确了默认权限之后,下面开始着手进行权限设置。

考虑到同时既设置共享权限又设置安全权限,会将问题搞复杂,因而这里可以直接将共享权限设为Everyone具有完全控制权限,即将共享权限设为最大。由于有效权限是共享权限和安全权限的交集,因而在将共享权限设为最大的情况下,只需设置安全权限便即是最终的有效权限。

image

在将共享权限设为最大之后,任何用户都将从安全权限的Users组中获得了“读取和执行”以及“创建文件夹/写入数据”权限,这很明显不符合要求,因而必须将Users组从安全权限的用户列表中删除。但Users组的权限是share文件夹从它的父文件夹(磁盘分区根目录)继承而来的,对于这些继承而来的权限无法直接改动,因而要删除Users组,首先必须要断开权限继承关系。

在share文件夹属性的“安全”选项卡中,点击“高级”按钮,在打开的“高级安全设置”中点击“更改权限”按钮,然后去掉“包括可从该对象的父项继承的权限”按钮,

image

在随后出现的警告对话框中选择“添加”,仍然保留原先的用户列表,如图3所示。

image

如此,便可以将Users组从用户列表中去除掉了。

接下来根据案例要求,只有公司总经理boss具有对所有部门的完全控制权限,因而对于share文件夹,只需为总经理boss设置完全控制的安全权限即可,

image

至此,针对share文件夹的权限设置完成:只有公司总经理boss具有对share文件夹的完全控制权限。根据权限继承规则,这个权限将自动传递到share文件夹中的各个子文件夹和文件中。

(3)为部门文件夹设置权限

在share文件夹中建有两个子文件夹:“财务部”、“技术部”,它们的默认权限都是从父文件夹share继承而来的。对这两个文件夹都不必再设置共享权限,只需按照案例要求设置安全权限即可。这两个子文件夹的权限设置具有相似性,因而下面只以“财务部”文件夹为例予以说明。

下面根据案例要求为相应的用户账号和组账号分别设置权限:

① 财务部员工具有读取权限。

由于部门里员工人数众多,因而在为部门设置权限时,一般不要直接为部门里的每个用户账号设置权限,而是应针对部门所对应的用户组设置权限。

在安全权限的用户列表中添加“financial”组,赋予“读取”、“读取和执行”、“列出文件夹内容”权限。

② 财务部经理具有完全控制权限。

针对某个特殊用户分配的权限,可以直接添加该用户账号fmanager,赋予完全控制权限。

③ 其他部门经理具有读取权限。

之前已经创建了一个名为manager的用户组,所有部门经理都属于该组的成员。因而这里添加manager组,赋予“读取”、“读取和执行”、“列出文件夹内容”权限。

至此,针对“财务部”文件夹的权限设置完成。这其中比较特殊的是财务部经理fmanager用户,他同时是财务组financial和部门经理组manager的成员,而且还为其单独指定了权限,根据权限累加规则,fmanager的最终权限是所有这些权限的累加之和,即完全控制权限。

(4)总结

在上述权限设置过程中,需要强调和注意的几个问题:

一是要准确把握权限设置的四项规则,明确用户的有效权限是共享权限和安全权限的交集。

二是由于安全权限的权限项目分得比较细,设置起来比较灵活,因而可以将共享权限设为最大,如此只需设置安全权限便是最终的有效权限。

三是要注意衡量是否需要去除安全权限中默认存在的Users组,否则很多计划外的用户可能会从该组获得某些意外的权限。


本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1342024

相关文章
|
13天前
|
监控 安全 数据安全/隐私保护
智能家居安全入门:保护你的网络家园
本文旨在为初学者提供一份简明扼要的指南,介绍如何保护自己的智能家居设备免受网络攻击。通过分析智能家居系统常见的安全漏洞,并提供实用的防御策略,帮助读者建立起一道坚固的数字防线。
|
11天前
|
网络协议 算法 网络性能优化
C语言 网络编程(十五)套接字选项设置
`setsockopt()`函数用于设置套接字选项,如重复使用地址(`SO_REUSEADDR`)、端口(`SO_REUSEPORT`)及超时时间(`SO_RCVTIMEO`)。其参数包括套接字描述符、协议级别、选项名称、选项值及其长度。成功返回0,失败返回-1并设置`errno`。示例展示了如何创建TCP服务器并设置相关选项。配套的`getsockopt()`函数用于获取这些选项的值。
|
14天前
|
图形学 C#
超实用!深度解析Unity引擎,手把手教你从零开始构建精美的2D平面冒险游戏,涵盖资源导入、角色控制与动画、碰撞检测等核心技巧,打造沉浸式游戏体验完全指南
【8月更文挑战第31天】本文是 Unity 2D 游戏开发的全面指南,手把手教你从零开始构建精美的平面冒险游戏。首先,通过 Unity Hub 创建 2D 项目并导入游戏资源。接着,编写 `PlayerController` 脚本来实现角色移动,并添加动画以增强视觉效果。最后,通过 Collider 2D 组件实现碰撞检测等游戏机制。每一步均展示 Unity 在 2D 游戏开发中的强大功能。
54 6
|
5天前
|
机器学习/深度学习 人工智能 TensorFlow
神经网络入门到精通:Python带你搭建AI思维,解锁机器学习的无限可能
【9月更文挑战第10天】神经网络是开启人工智能大门的钥匙,不仅是一种技术,更是模仿人脑思考的奇迹。本文从基础概念入手,通过Python和TensorFlow搭建手写数字识别的神经网络,逐步解析数据加载、模型定义、训练及评估的全过程。随着学习深入,我们将探索深度神经网络、卷积神经网络等高级话题,并掌握优化模型性能的方法。通过不断实践,你将能构建自己的AI系统,解锁机器学习的无限潜能。
11 0
|
14天前
|
机器学习/深度学习 人工智能 自然语言处理
深度学习中的卷积神经网络(CNN)入门
【8月更文挑战第31天】在人工智能的浪潮中,深度学习以其强大的数据处理能力成为时代的宠儿。本文将引导你走进深度学习的核心组件之一——卷积神经网络(CNN),并带你一探其背后的奥秘。通过简明的语言和直观的代码示例,我们将一起构建一个简易的CNN模型,理解它在图像处理领域的应用,并探索如何利用Python和TensorFlow实现它。无论你是初学者还是有一定基础的开发者,这篇文章都将为你打开一扇通往深度学习世界的大门。
|
14天前
|
机器学习/深度学习 人工智能 TensorFlow
深度学习入门:使用Python和TensorFlow构建你的第一个神经网络
【8月更文挑战第31天】 本文是一篇面向初学者的深度学习指南,旨在通过简洁明了的语言引导读者了解并实现他们的第一个神经网络。我们将一起探索深度学习的基本概念,并逐步构建一个能够识别手写数字的简单模型。文章将展示如何使用Python语言和TensorFlow框架来训练我们的网络,并通过直观的例子使抽象的概念具体化。无论你是编程新手还是深度学习领域的新兵,这篇文章都将成为你探索这个激动人心领域的垫脚石。
|
14天前
|
机器学习/深度学习 自动驾驶 算法框架/工具
深度学习中的卷积神经网络(CNN)入门
【8月更文挑战第31天】 本文旨在通过浅显易懂的方式,引导初学者步入卷积神经网络(CNN)的神秘世界。我们将从CNN的基础概念出发,逐步深入到其在图像处理中的应用实例,最后通过一个简单的Python代码示例,展示如何实现一个基础的CNN模型。无论你是编程新手还是深度学习领域的初探者,这篇文章都将为你打开一扇了解和掌握CNN的大门。
|
Windows 数据安全/隐私保护 存储
|
11天前
|
网络安全 虚拟化 Windows
windows 11安装openSSH server 遇到的"kex_exchange_identification: read: Connection reset"问题
windows 11安装openSSH server 遇到的"kex_exchange_identification: read: Connection reset"问题
|
20天前
|
PHP Windows
【Azure App Service for Windows】 PHP应用出现500 : The page cannot be displayed because an internal server error has occurred. 错误
【Azure App Service for Windows】 PHP应用出现500 : The page cannot be displayed because an internal server error has occurred. 错误