今天,不管是大型企业还是小型企业,几乎都有自己的文件服务器。文件服务器的基本功能就是数据存储,而在企业信息化的今天,数据就是企业的生命。就是如此重要的角色,在企业中却没有受到应有的重视,企业经常因此遭受信息泄密的损失。这突出暴露出企业文件服务器的管理存在两个大问题,一是不能正确精确授权,导致文件管理混乱;二是不能有效对文件实施审核,缺乏了一套对文件管理的审核方案。本文就从这两个方面讲述如何设置文件服务器。 权限 要了解如何对文件服务器进行授权,也就是说如何设置文件夹的权限,必须首先明白什么是权限。权限其实是一张表,这张表中记录了什么用户可以使用什么方式访问什么对象。例如在图一中,我们新建了一个 secret 文件夹,这里面是机密文件,只允许DG_IT 这个群组访问。但是这个群组中有一位即将离职的员工刘海波Louis_liu,自然不能允许这个账户再访问 secret 文件夹。那么我们可以这样设置,将DG_IT 群组加入这张“安全表”,并授予相应的权限,同时也添加Louis_liu 账户,设置这个账户拒绝访问该文件夹的权限。通常我们把这张“安全表”叫做自主访问控制列表 discretionary access control list (DACL) 在设置 DACL 的时候,一般不要将用户账户一个个添加进来,而是添加一个群组,这样有利于提高系统访问的效率和方便管理。 我们授权 DG_IT 这个群组可以访问 secret 文件夹,且只有 DG_IT 组可以及读取、浏览和执行 IT_Public 下面的文件,则此时任何不属于DG_IT 组用户读取该文件夹下的文件时,就会遭到系统的拒绝。 共享与安全 出于安全性的考虑,当您在服务器上共享文件夹的时候,需要设置两个权限:共享权限和安全权限。这两个权限的关系,可以通过一个网络用户的访问过程来说清楚。当用户从网络访问一个目录时,系统先校验共享权限,看看这个用户是否在共享权限允许的范围内。如果允许访问再校验安全权限。所以这个目录最终允许什么用户访问,将取决于共享权限和安全权限的交集。当前安全权限和共享权限在同一对象上发生冲突或者叠加时,取最严格的设置。 文件夹在安全权限中还有一个隐含拒绝的权限,这个权限是不需要赋予的。例如 IT_Public 共享文件夹的共享权限是完全控制,而安全权限下面什么用户都没有,最终 IT_Public 网络访问权限是拒绝所有,这个权限就是隐含拒绝权限。隐含拒绝权限对于实现文件服务器来说是非常重要的,因为对于整个局域网中的所有用户...
