服务器共享文件访问权限设置之Windows Server 2003共享服务器设置指南、记录服务器共享文件访问日志！

较新消息：

[2022-04-21]安企神文件共享服务器软件V4.0发布 专业的文件服务器管理软件、全面保护服务器共享文件安全、防止删除服务器文件：http://www.wgj7.com/news/2022/4820.html
[2022-06-14]安企神共享文件监控系统V3.1正式发布 国内较强控制共享文件访问 保护共享文件安全：http://www.wgj7.com/news/2022/4259.html
[2022-01-16]安企神共享文件审计系统V3.0正式上市，全面监控共享文件访问、保护共享文件安全：http://www.wgj7.com/news/2022/3952.html
[2022-01-26]监控共享文件的利器――安企神共享文件审计系统成功发布：http://www.wgj7.com/news/2022/145.html

相关链接：

[2022-01-21]公司服务器共享文件设置、管理文件共享服务器软件——安企神共享文件审计系统使用说明：http://www.wgj7.com/news/2022/3958.html
[2022-07-02]国内较强共享文件访问控制软件——安企神共享文件审计系统版本分类：http://www.wgj7.com/news/2022/4297.html
[2022-08-01]安企神监控服务器共享文件系统与安企神管理USB接口系统协同联动 全面保护共享文件、商业机密的安全：http://www.wgj7.com/news/2022/4372.html 
[2022-04-02]局域网共享文件审计利器――安企神共享文件审计系统各项领先优势：http://www.wgj7.com/news/2022/1875.html
[2022-05-23]安企神共享文件审计系统与国外某同类产品的详细对比：http://www.wgj7.com/news/2022/4208.html
[2022-01-21]专业的文件服务器管理软件——安企神文件共享服务器监控软件的问题反馈：http://www.wgj7.com/news/2022/4622.html

在公司局域网中，文件服务器的管理一直是网络管理的重要内容之一。由于公司的文件共享服务器常常存储着单位重要的文件，甚至商业机密，因此如何保护这些共享文件的安全，在让局域网用户充分使用共享文件、访问服务器共享文件的同时又要保证服务器共享文件的安全，防止无关人员随意访问、复制，恶意修改甚至是删除等，都是十分迫切的。本文通过一个实例来说明如何设置文件服务器共享资料的访问权限，如何全面保护服务器共享文件的安全。

我一个网友，在一家公司做网络管理员。年初，公司里来了一些新员工，因为工作需要，要经常存取一些服务器上的文件，但是考虑到安全等问题，要弄出一套详细的方案来。 其实主要功能就是以下这些：
　　
　　1、每个用户都能存取删除自己所拥有的文件。
　　
　　2、这些用户某些时候需要共同的存取一些文件，但不能让他们有删除的权限，只能由管理员来添加和删除。
　　
　　3、每个使用者都要有自己的帐户，并且对特定文件夹的访问需要形成日志保存下来供管理员查看。
　　
　　4、保证用户存放在服务器上的文件不携带病毒和其它有危害性的代码。
　　
　　5、每个用户只能在服务器上存放一定大小的文件，而不是无限大的文件，并且当存放文件到特定警戒线的时候能通知管理员。
　　
　　6、对一些重要的私有文件，用户要能实现加密，保证这些信息不会被别人读取。
　　
　　通过分析，其实除了病毒监控的功能外，其它要求Windows 2003自带的服务都可以实现，让我们来看看具体是如何来实现的。这个例子具有一定的普遍性，不但实用经济，而且还保证了安全，基本实现了零管理，大大减轻了管理员的负担。这里只是做了一个例子，具体做的时候用户名和组名以及其它设定都是根据您的需要来设定。
　　
　　首先，我们打开开始菜单，依次选择“程序”－“管理工具”－“计算机管理”，打开“本地用户和组”（假设你没有建立域），然后点用户，在右栏里右键，新建立3个用户，分别为a，ｂ，ｃ３个用户，（假设新来的3个用户，分别为a，b，c），如图1
　　 　
　　图1
　　
　　点击组，在右框里点击新建组，建立一个叫“wawa”的组，如图2所示。然后点添加，把ａ用户，b用户，c用户都添加到wawa组里，如图3。
　　 　
　　图2
　　　
　　图3 

　　接下来为这个组和组里成员分别建立各自的文件夹，先建立一个文件夹，名字叫abc，在属性的安全标签里添加新的安全设定，把这个文件夹设置为wawa组只读，如图4所示。然后在abc文件夹下新建3个文件夹，分别为ａ，ｂ，ｃ，并分别把每个文件夹的权限设置为指定用户完全访问，即a文件夹设置为a用户完全访问，b文件夹设置为b用户完全访问，c文件夹设置c用户完全访问，如果用户很多的话，依次类推，如图5所示。　　

　
　　图4
　　　
　　图5
　　经过这样设置，权限的问题，我们就基本解决了，所有的用户都能访问读取abc文件夹下的文件，包括其子文件夹下的文件，并且自己可以添加删除自己文件夹下的文件，而其它用户只能读取了。
　　
　　打开文件共享管理器，如图6。依次点“共享”-“新建共享”，启用“文件夹共享向导”，选择abc文件夹并把它共享，如图7。点下一步，输入共享名和共享描述，如图8。在脱机设置里可以根据需要设置共享文件夹的脱机选项，具体概念请查阅相关文档，这里不多做解释了，一般默认就可以了。下一步后，在权限设置里，设置为“管理员拥有完全访问权限，其它用户有只读访问权限”。
　　 　
　　图6
　　　
　　图7
　　　
　　图8

　　这里有个问题就是上次，我们设置过abc文件夹的权限，这次又在这里设定，这在Windows 2003里是允许的，但是它遵循3个原则：多个组赋予的许可是叠加的；文件许可优先于文件夹；拒绝访问许可优先。通过这个原则我们知道abc这个文件夹管理员可以完全访问，并且每个用户可以完全访问自己的文件夹，对其它用户的文件夹有只读权限，这正是我们所需要的结果。 

　　
        上面提到了，我们要对每个用户访问文件夹的操作进行跟踪并形成日志，要实现这个功能就要给abc文件夹添加审核。打开abc文件夹的属性，然后打开“安全”标签，点“高级”按钮，在“审核”标签里给这个文件夹设置审核，如图9。点“添加”按钮，在"选择用户和组"对话框里填入“wawa”组，如图10，确定后把完全控制的成功和失败都设置为审核项目，如图11。

　
　　图9
　　　
　　图10
　　　
　　图11

　
　　添加了文件夹审核后，在系统的安全日志里会有很多的审核日志，因为日志多了会严重影响系统的性能，所以我们在安全日志的属性里把日志的较大字节设置一下，这样就不至于让日志过分臃肿了，注意一下就是，日志的较大值必须填写为64K的倍数，如果你填写的不是64的倍数，系统会自动设置为较靠近的一个64的倍数。 

　　因为一些重要的私有文件，我们不希望让别人访问或者打开，上面的权限设置就很难满足要求了，为了实现这一个目的，我们就需要特定的私有文件进行加密。Windows2003给我们提供了一种廉价安全的加密方式，那就是efs加密系统，它只支持NTFS文件系统，是基于公众密钥的，加密的时候自动会生成一个加密密钥，它本身还可以扩展的加密算法，所以比较安全。还有一点就是用它加密解密文件或者文件夹非常的容易，只要在属性里选一下就可以了，如图12

　

　　图12

　　
　　每个用户可以用它来为自己私有的重要文件进行加密，但注意一点就是，进行EFS加密文件后，较好备份好每个用户的个人证书，并保管好，以后要是出了问题，把个人证书导入一下就可以打开加密文件了，否则重装系统即使你还用以前的帐户和密码登陆，也不可以打开加密的文件。这点一定要注意，不知道多少人因为没有备份证书而丢失了重要的文件，这是多么的可悲呀。导出证书，在管理工具的“证书颁发机构”控制台里，选择个人证书，右键导出证书就可以了。
　　
　　下面该为用户设置默认磁盘配额了，磁盘配额是NTFS5.0的新增的功能。再abc文件夹所在的磁盘属性里，找到配额标签。把“启用配额”和“拒绝将空间给超过配额的用户”前面的钩选上。将磁盘空间限制为10M，警告级别设置为5M，具体数值可根据用户的需要来分配。把下面的“用户超出配额限制时记录事件“和”用户超过警告登记时记录事件”。如图13。
　　 　
　　图13
　　
　　这样设置后，当用户文件存放到警戒线后就会写在日志里，管理员可以通过日志来获取这些信息，并对此做适当的操作，或者通知用户整理文件，或者增加配额大小等。
　　
　　设置了默认的配额选项后就要为每个具体的用户设置配额选项了，点击“配额项”按钮，在打开的对话框里分别给a，b，c用户设置配额，点新建配额，然后选择用户，填写配额大小和警戒大小就可以了，如图14。
　　
　　图14
　　
　　较后时杀毒的问题，只要在服务器上装一套企业版的杀毒软件，并打开实时病毒监控就可以了，关于杀毒软件的具体使用，请参照其官方文档，我推荐大家使用NAV8.1，企业里用很不错的杀毒工具，强劲有效，并且自带的病毒库升级工具非常方便更新病毒库，保证服务器不受病毒侵扰。除了平时的实时杀毒外，还可以添加杀毒任务来定期全面杀毒，打开启发式杀毒等。
　　
　　对于服务器上的重要文件，管理员要进行及时的备份，备份的方案有好多，较经济的方案就是利用Windows 2003自带的计划任务和备份程序来解决。具体方法可以查看一下Windows帮助文档。
　　
　　我们的这个文件服务器就建好了，既经济又安全，较主要的是不需要其它的第三方软件（除了杀毒工具） 。由此，我们可以看出，Windows的功能是非常强大的，它内置的一些功能能满足我们大部分的实际需要，加上我们自定义的一些设置，几乎可以解决所有问题，文件共享服务器只是Windows2003的一个小小的应用。微软的产品向来大气，从全局来考虑问题的解决方法。Windows 2003还有很多实用强大的功能，让我们日后再慢慢的挖掘。

       设置完毕服务器共享文件访问权限之后，如果还想真正实现服务器共享文件访问控制、进一步管理服务器共享文件的安全，则可以部署专门的文件共享服务器管理软件——“安企神共享文件审计系统”（下载地址：http://www.wgj7.com/gongxiangwenjianshenji.html ），只需要将“安企神共享文件审计系统”安装在文件服务器上，然后选择要监控的共享文件或共享文件夹，然后就可以全面监控局域网用户访问共享文件的各种动作，详细记录打开、复制、修改、删除、剪切和重命名等操作行为，可以记录访问者的IP地址、MAC地址、主机名和域账户等信息，并且还可以导出为word或excel格式，便于网管员实时审核局域网用户对共享文件的访问情况；同时，对于重要共享文件，还可以通过“安企神共享文件审计系统”进行特别的保护，禁止删除服务器共享文件（即便是完全访问权限的情况下），同时还可以实现阻止局域网用户复制服务器共享文件（只允许打开、读取），同时还可以禁止另存为本地磁盘，从而全面实现了保护服务器共享文件的安全。如下图所示：
如下图所示：

 
图：添加共享文件到相应的路径即可阻止对共享文件的相应操作行为


图：禁止复制共享文件、禁止拷贝共享文件到访问者的电脑



图：防止删除服务器共享文件的行为



图：详细记录服务器共享文件的访问操作，并可以导出日志。

        此外，安企神共享文件审计系统的部署也非常简单，只需要在服务器上安装即可，局域网其他电脑不需要安装客户端软件，同时还不需要调整网络结构，可以在windows XP操作系统以上所有Windows操作系统运行，优先支持windows sever操作系统。

      总之，一方面我们必须深入掌握Windows 服务器操作系统的各项设置，充分发挥操作系统强大的文件权限设置和访问权限设置功能；另一方面也必须借助专门的文件共享服务器软件来全面、进一步管理服务器共享文件的安全，只有这样才可以真正实现服务器共享文件的管理，保护单位无形资产和商业机密的安全。