Windows Server入门系列40 网络共享权限设置

1. 设置共享权限

共享权限是控制用户通过网络访问共享文件夹的手段，共享权限仅当用户通过网络访问时才有效，本地用户不受此权限制约。

相比NTFS权限，共享权限的设置要简单得多，共享权限只有三种：完全控制、更改、读取。

Win2003的默认共享权限是Everyone组有读取权限。通过“添加”和“删除”按钮，可以控制更改用户和组的数量，通过下面的“允许”和“拒绝”复选框，来控制用户和组的权限。共享权限的规则与NTFS权限类似，用户最终的权限遵循权限累积原则和拒绝优先原则。

2. 共享权限与NTFS权限

如果共享文件夹位于NTFS分区，那么用户通过网络访问共享文件夹的最终权限是两种权限的交集，也就是最严格的权限。

比如用户test属于financial组，test对共享文件夹具有“完全控制”的共享权限，financial组对文件夹具有“读取”的NTFS权限，那么当test从网络上访问这个文件夹时，将只具有“读取”权限。

当用户从本地计算机直接访问文件夹时，不受共享权限的约束，只受NTFS权限的约束。

3. 权限设置案例

在了解了权限设置的基本规则之后，下面通过一个具体的案例来分析如何设置安全权限和共享权限。

某公司下设有财务部和技术部两个部门，每个部门各有2名员工和1名部门经理，另外整个公司还有1名总经理。现需要在企业办公网络中搭建一台文件服务器，在文件服务器上创建共享文件夹share，在share中再为每个部门分别创建一个子文件夹。共享文件夹要满足如下权限要求：

• 每个部门的普通员工只能以只读权限访问本部门的文件夹；

• 部门经理可以以完全控制权限访问本部门的文件夹，以只读权限访问其它部门的文件夹；

• 公司总经理对整个share共享文件夹具有完全控制权限。

（1）创建用户账号和组账号

首先需要为案例中的每名员工创建相应的用户账号，为每个部门创建组账号，并将用户账号分别加入到相应的组账号中。

需要创建的用户账号和组账号如下图所示：

（2）为share文件夹设置权限

将share文件夹设为共享， 并为其设置权限。share文件夹作为父文件夹，根据权限继承规则，对其设置的权限将自动传递到其中的子文件夹和文件中。

首先分析一下，在默认情况下用户远程访问share文件夹时具有什么权限？可以从以下几个方面进行分析：

① 共享权限，默认Everyone具有读取权限；

② 安全权限，默认Users组具有“读取和执行”权限以及“创建文件夹/写入数据”特殊权限，所有的用户账号默认都属于Users组的成员；

③ 用户远程访问share文件夹时的有效权限为共享权限和安全权限的交集。

因而可以推断，在默认情况下任何用户账号在远程访问share文件夹时都具有读取权限。

在明确了默认权限之后，下面开始着手进行权限设置。

考虑到同时既设置共享权限又设置安全权限，会将问题搞复杂，因而这里可以直接将共享权限设为Everyone具有完全控制权限，即将共享权限设为最大。由于有效权限是共享权限和安全权限的交集，因而在将共享权限设为最大的情况下，只需设置安全权限便即是最终的有效权限。

在将共享权限设为最大之后，任何用户都将从安全权限的Users组中获得了“读取和执行”以及“创建文件夹/写入数据”权限，这很明显不符合要求，因而必须将Users组从安全权限的用户列表中删除。但Users组的权限是share文件夹从它的父文件夹（磁盘分区根目录）继承而来的，对于这些继承而来的权限无法直接改动，因而要删除Users组，首先必须要断开权限继承关系。

在share文件夹属性的“安全”选项卡中，点击“高级”按钮，在打开的“高级安全设置”中点击“更改权限”按钮，然后去掉“包括可从该对象的父项继承的权限”按钮，

在随后出现的警告对话框中选择“添加”，仍然保留原先的用户列表，如图3所示。

如此，便可以将Users组从用户列表中去除掉了。

接下来根据案例要求，只有公司总经理boss具有对所有部门的完全控制权限，因而对于share文件夹，只需为总经理boss设置完全控制的安全权限即可，

至此，针对share文件夹的权限设置完成：只有公司总经理boss具有对share文件夹的完全控制权限。根据权限继承规则，这个权限将自动传递到share文件夹中的各个子文件夹和文件中。

（3）为部门文件夹设置权限

在share文件夹中建有两个子文件夹：“财务部”、“技术部”，它们的默认权限都是从父文件夹share继承而来的。对这两个文件夹都不必再设置共享权限，只需按照案例要求设置安全权限即可。这两个子文件夹的权限设置具有相似性，因而下面只以“财务部”文件夹为例予以说明。

下面根据案例要求为相应的用户账号和组账号分别设置权限：

① 财务部员工具有读取权限。

由于部门里员工人数众多，因而在为部门设置权限时，一般不要直接为部门里的每个用户账号设置权限，而是应针对部门所对应的用户组设置权限。

在安全权限的用户列表中添加“financial”组，赋予“读取”、“读取和执行”、“列出文件夹内容”权限。

② 财务部经理具有完全控制权限。

针对某个特殊用户分配的权限，可以直接添加该用户账号fmanager，赋予完全控制权限。

③ 其他部门经理具有读取权限。

之前已经创建了一个名为manager的用户组，所有部门经理都属于该组的成员。因而这里添加manager组，赋予“读取”、“读取和执行”、“列出文件夹内容”权限。

至此，针对“财务部”文件夹的权限设置完成。这其中比较特殊的是财务部经理fmanager用户，他同时是财务组financial和部门经理组manager的成员，而且还为其单独指定了权限，根据权限累加规则，fmanager的最终权限是所有这些权限的累加之和，即完全控制权限。

（4）总结

在上述权限设置过程中，需要强调和注意的几个问题：

一是要准确把握权限设置的四项规则，明确用户的有效权限是共享权限和安全权限的交集。

二是由于安全权限的权限项目分得比较细，设置起来比较灵活，因而可以将共享权限设为最大，如此只需设置安全权限便是最终的有效权限。

三是要注意衡量是否需要去除安全权限中默认存在的Users组，否则很多计划外的用户可能会从该组获得某些意外的权限。

本文转自 yttitan 51CTO博客，原文链接:http://blog.51cto.com/yttitan/1342024