1. 创建共享
在2008R2系统中,只有administrators组的成员有创建共享文件夹的权限。设置共享有简单共享和高级共享两种方式:在要共享的文件夹上点击右键,选择“共享”,这属于简单共享;通过文件夹的“属性”对话框来创建共享,这属于“高级共享”。如果只是临时设置一个共享文件夹,那可以使用简单共享,操作起来很方便,但对于正式的文件服务器,推荐采用高级共享的方式,以便于更加灵活的分配与管理用户权限。
在建立共享时需要设置“共享名”,共享名是当用户从网络上访问这个共享资源时所看到的名字,默认情况下共享名就是文件夹的名字或磁盘分区的盘符,但是可以随意更改。
在高级共享中还可以设置同时访问共享文件夹的用户数量。
如果在共享名的后面加上“$”符号,那么共享文件夹就成为了隐藏共享。用户在“网络”中看不到隐藏共享,但是可以通过UNC路径如\\FS\share$的形式访问隐藏共享。
在
Windows系统中有一些由系统自动创建的特殊共享资源,这些都是隐藏共享,主要是为了方便网管员远程进行网络管理。在“管理工具”中选择“共享和存储管理”,可以查看到这些特殊的隐藏共享资源。一般情况下,建议不要删除或修改这些共享资源。
2. 访问共享
访问共享资源主要有三种方法:网络、
UNC路径、映射网络驱动器。
2.1 网络
网上邻居一直是
Windows系统中经常用到的访问共享资源的方法,不过从Windows 7/2008开始改称为“网络”。当首次使用“网络”时,需要启用网络发现功能,然后就可以搜索到网络上的计算机,并访问其中的共享资源。
由于系统自身的缺陷,使用网上邻居访问共享的速度比较慢,并且容易出现各种问题,所以一般不建议采用。
2.2 UNC路径
由于网上邻居本身的诸多缺陷,采用
UNC路径的方式访问共享资源要更为方便灵活。
UNC (Universal Naming Convention),统一命名约定,是一种网络共享资源路径的统一表示形式。
UNC路径可以是“\\IP\共享名”的方式,也可以是“\\计算机名\共享名”的方式(不过在2008R2的域环境中,好像只能采用后一种方式)。
在“开始
\运行”中输入UNC路径可以直接访问共享目标,如果在UNC路径中不加共享名,则是直接打开了共享资源所在的计算机。
采用这种方式的缺点是需要记住每个提供共享资源的主机
IP地址或是计算机名。
2.3 映射网络驱动器
如果要经常性访问某个共享资源,则可以通过映射网络驱动器的方式将共享资源映射为本地的一个磁盘分区。
在“网络”或“计算机”上单击右键,执行右键菜单中的“映射网络驱动器”命令,为映射后的分区选择一个盘符,再填入所要映射的网络共享资源的
UNC路径,完成之后便会发现在“计算机”中多出了一个磁盘分区。
如果要取消所映射的磁盘分区,则只需在分区盘符上点击右键,选择“断开”命令即可。
3. 设置权限
设置权限是控制用户访问共享文件夹的有效手段,权限包括共享权限和NTFS安全权限。共享权限仅当用户通过网络访问时才有效,本地访问不受此权限制约。NTFS权限则对本地访问和网络访问的用户都有效。
共享权限比较简单,只有三种:完全控制、更改、读取。每种权限的含义如下表所示。
在设置权限时一般都是针对用户组设置权限,而很少单独为某个用户设置权限。如果用户同时属于多个组,每个组分别拥有不同的共享权限,那用户最终拥有的权限遵循以下几个原则:
权限具有累加性
用户对共享文件夹的有效权限是其所有权限来源的总和。例如用户
A同时属于业务部组与经理组,业务部组具有读取权限,经理组具有更改权限,则用户A的最终权限是读取+更改。
拒绝权限优先
虽然用户的最终权限是其所有权限来源的综合,但是只要其中有一个权限来源被设置为拒绝的话,则用户将不会拥有任何权限。例如用户
A同时属于业务部组与经理组,经理组具有更改权限,而业务部组的权限为拒绝访问,则用户A的最终权限是拒绝访问。
当一个共享文件夹既设置了共享权限,又设置了
NTFS权限,用户的最终权限是两种权限的交集,也就是最严格的权限。比如用户A对共享文件夹的共享权限为“完全控制”,NTFS权限为“读取”,那么用户A从网络上访问这个文件夹时,将只具有“读取”权限。
4. 实验案例
某公司的文件服务器上有三个共享文件夹:
software用于向全体员工提供常用软件;product用于存放技术部的相关资料;finance用于存放财务部的相关资料。
要求对三个共享文件夹进行如下图所示的权限设置:所有用户都对
software文件夹具有完全控制权限;只有技术部的员工对product文件夹具有修改权限;只有财务部的员工对finance文件夹具有修改权限。
实现思路:
- 首先在域控制器上创建OU、域组、域用户账号。
- 然后在服务器上创建共享文件夹。
- 对共享文件夹进行权限设置,注意NTFS权限与共享权限的组合。
- 最后在客户端访问测试。
具体操作这里就不记录了,大家可以自己做下实验。
本文转自 yttitan 51CTO博客,原文链接:http://blog.51cto.com/yttitan/1167028
