Windows-sever2008r2-文件服务器搭建

1、Windows sever2008r-文件服务器搭建一 项目概况 小李是一家从事信息技术的台资企业的网管，公司有总经理办公室，人事部，财务部，技术部等部门，共计员工150位，所用客户机均为xp系统，为方便公司电子办公，提高效率，公司需要搭建一台文件服务器，用于上传和下载公司部门资料。二 实施任务描述注意：接下来做的全部在域环境下的。由于没有强烈要求。所以在这里我就直接在域环境下做了。1） 建立各部门相对应的用户组。建立各部门用户组，为各部门用户建立相应的账号（每个部门至少两个账号：一名经理与一名普通话员工）并添加到所在的部门组。在ad用户和计算机里面创建ou。为总经理。部门创建好了，接下来在o

2、u里面创建两个用户和本地域组。这里为什么选择本地域组呢？因为有些权限本地域才可以达到。本地域组创建好后，把经理和普通用户加入到本地域组。组和用户都已经创建好。两个用户已经被添加到本地域组了。建立其它部门的用户和组在这里我就不截图了。步骤同上。2） 密码至少6位及为复杂密码。开始-管理工具组策略管理-找到相应的域。打开组策略编辑器。密码策略更改好了。需要刷新下策略。Gpupdate。3） 实现所有用户的工作环境与管理员相同。这里需要首先在文件服务器里面打开c盘，用户下面，到对话框的上面点查看,工具，文件夹选项。显示隐藏文件夹。会出现一个default文件夹。把里面的文件全部删除。这时候把用户下面

3、的administrator文件夹里面的文件全部复制到default文件夹里（注意：这时候肯定复制不了。因为administrator里面的配置文件正在被管理员使用，这时我们得把部门里面的用户加入到到本地管理员组里面，让他有权限复制和登录。这是用于进去要复制东西。不然就不用加入管理员组。直接可以在组策略里设置允许交互式登录。（这是在域环境下。如果在工作组下面就不用这么麻烦了。）用jingli用户登录。把c盘用户下的administrator里的文件全部复制到default里面。（首先要把default里的文件删除掉。意思就是把原先的配置文件删掉。把管理员的配置文件复制进来。现在就是已经把管理员

4、里的文件全部复制到default里面了。接下来用别的用户登录。就可以实现和管理员在同一环境了。拓展：允许交互式登录方法在这里也需要把管理员组添加进来。不然不可以操作。现在我们就用 人事部经理来登陆下。看登录是不是和管理员环境一样。（但是为了效果明显，还是把用户加入到管理员组。）看下。桌面环境过来了。2.共享文件夹及权限规划 1）实现注册表方式删除默认隐藏文件夹。因为每个系统都有默认的共享文件夹。现在我们就要通过注册表把他们删除。运行-regedit进入注册表。重新启动下就可以了。运行cmd-net share 查看就没有了还有种办法就是利用记事本编写。编写代码：Windows Registry

5、 Editor Version 5.00HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters这段是连在一起。AutoShareServer=dword:00000000AutoSharewks=dword:00000000编写好后。后缀名改为.reg。执行下就行了。现在我们看下重启后的计算机有没有默认共享文件夹了。默认共享的文件夹已经没有了。删除成功。2）在d分区（格式为ntfs）创建共享文件夹shareroot，并设置共享权限与ntfs权限均为everone。完全控制，给everyone权限是给完全控制

6、。Ntfs安全权限也给到每个用户。给到完全控制。4） 在此文件夹（shareroot）创建各部门文件夹。创建了人事部和总经理。5） 设置各部门文件夹ntfs权限为，经理与管理员完全控制权限。本部门员工为读写权限。其它部门员工为只读权限。首先给人事部的经理和管理员设置完全控制权限。Ntfs安全也是给到经理和管理员完全控制权限。现在给的是人事部的普通员工读写权限。这里是删除继承父权限。这里给到其他部分普通员工1读取权限。现在已经给经理和管理员完全控制权限，本部员工给到读写权限，其他部门员工给到只读权限。现在我们来验证下：登陆普通员工1用户。这里总经理是自己部门的。人事部的文件夹只能给经理部的员工读

7、取。不能更改。本部门的就可以在经理文件夹里写入。3.管理与安全规划。1）实现分布式文件系统（dfs），分别在不同服务器上创建共享文件夹 share1，share2.实现dfs。使得用户可以方便的访问share1.share2共享文件夹。 安装dfs管理。右击角色服务添加这个是基于域的。所以选择上面的基于域的命名空间。如果不是基于域。就选独立命名空间。正在安装dfs服务。安装成功。Dfs文件夹默认创建在c盘。右击命名空间-新建命名空间浏览找到dfs服务的计算机。这里就写域名（也可以写别的）。访问的时候直接写这个名称。这时候在f盘创建一个存储共享文件夹快捷方式的文件夹然后接着创建两个共享文件夹。S

8、hare1 share2.这两个里面存放需要共享的文件的。上面的lizheng是为了用户的快捷访问。用户只要访问他，就可以直接访问share1 和share2这个路径就给到存放快捷方式的那个文件夹。创建成功。添加文件夹。就添加share1了。浏览文件夹路径。2）实现磁盘配额。设置限制每个用户对d分区最大存储空间为10m 警告等级为8m 并以普通用户登录测试。在这里我选择的是f盘。条件有限。右击f盘属性-配额-配额项。添加用户。设置磁盘配额。设置成功（这是对指定的某个用户设置磁盘配额）。对所有用户设置磁盘配额就是这样设置。右击f盘属性-配额。登录测试。一个就是share1 一个就是share2.

9、这里名字在开始给改了。方便好记。现在测试存放内容看可不可以超过10m拖放了一个20m的文件放在里面。现在报错了。因为我们只可以放10m的文件放里面。3）实现卷影副本。启用D分区卷影副本功能并创建镜像，在客户机上通过网络访问财务部文件“”，修改后保存，再还原测试卷影副本效果；此时系统给我们生成了一个快照。接下来我们来测试下卷影副本的功能。在f盘创建一个文件夹，命名为卷影副本。和一个txt文件创建好后，右击f盘。打开配置卷影副本。立即创建一个卷影副本的镜像。现在删除卷影副本的文件夹现在右击f盘属性。以前的版本。选择刚才创建的镜像。还原。已经还原好了。我们来看一下。我们刚刚删除的卷影副本文件夹有没有

10、回来？回来了。还原好了。把卷影副本共享。现在我们用用户登录访问。往里面添加东西保存。 还原成功。4）实现对机要文件加密。在人事部文件夹中创建子文件夹“员工档案”，并以人事部经理身份对其进行加密，在员工档案中创建文件efs-test.txt，授权用户rs01_xxx可以对其解密，并以rs01_xxx登录测试 现在我们用人事部经理的身份登录客户端（我用的是普通er账户。）在里面创建文件夹和员工档案。然后对文档加密。这里意思就是利用人事部经理对其加密了。 此时加密文件夹创建好了。详细信息里面只有普通er。因为这就是当前用户加密的。等下我用js01账号登陆。建一个加密文件。证书就会被倒入进来。现在我要

11、用js01用户登录（我用的是普通yi用户）。这里的登录就是把证书可以导入刚才经理用户。现在就有两个证书了。这就代表js01马上也可以对这个文件夹解密了。现在用js01登陆（ptyi用户）。检查可不可以解密。可以打开。解密成功。4） 实现审核跟踪。设置所有用户对于share-root的任何访问均记录日志。运行gpedit.msc 。打开本地组策略。在这里面找到审核对象访问， 无论访问失败还是成功都有记录。接下来到高级审核策略里面。在这里也要设置下。刷新下策略。Gpupdate。现在找到share root文件夹。右击属性 安全高级审核。添加everyone。确定。开始-管理工具-事件查看器，删除

12、里面的事件。等下容易查看。现在用用户登录。看下有没有记录下来。 这里显示的就是访问的共享文件夹。和哪个用户查看的。5） 实现管理员取得所有权。技术部小王曾经在技术部门文件夹中，创建了子文件夹“xiaowang”，存放了文件。并设置权限为只有自己有完全控制权限，而今小王不辞而别，管理员需要将此文件夹删除。现在删除不掉。所以需要读取管理员所以权。右击文件夹-属性-安全 像这样就已经可以删除了。6）普通用户夺取所有权。技术部经理在技术部文件夹中创建了子文件夹 “核心技术”并设置权限为只有自己有完全控制权限，同时为防止自己发生意外，该数据无人能访问，特指派本部门的小张对此文件夹有“取得所有权”权限，试以小张通过夺取所有权访问此文件夹中数据； 这里的普通员工就是小