WindowsServer2003和2008共享文件夹权限设置以及如何监控共享文件访问？

1 WindowsWindows ServerServer 2003 20082003 2008 共享文件夹权限设置以及如何监控共享文件访问 共享文件夹权限设置以及如何监控共享文件访问 作者 晓剑 日期 2013 1 25 在局域网中我们常常需要在服务器上共享一些文件供局域网用户使用 本文以图文并茂的 方式汇总了 Windows 2003 server 共享文件设置的一些方法技巧 用户既可以设置需要用 户名和密码并且访问权限不同的共享文件访问设置 又可以设置不需要用户名和密码的共 享文件访问操作 一 为不同用户设置不同的访问共享文件的权限 并且需要密码验证的共享文件设置 方一 为不同用户设置不同的访问共享文件的权限 并且需要密码验证的共享文件设置 方 法如下 法如下 1 先开始设置文件共享 假设你的公司有老板 部门经理 普通人员访问共享 怎样让他们有不同权限和级别 关 键看你对他们用户权限的定义 假设老板取用户名为 A 部门经理取名为 E 普通人员取 名为 T 那么首先打开 开始 管理工具 计算机管理 中的 本地用户和组 一 一将这些用户添加进去 记住这三个用户均要设置密码 并且密码均不一样 2 当所有用户都已添加完成时 然后就是给这些用户赋予权限了 赋予权限的不同 所操 作共享的级别也不同 点击计算机管理左边目录树的组文件夹 在右边窗口空白处点击右 键 选择添加新组 2 3 设定一个组名成为 G 然后再点击界面上的 添加 按钮 弹出对话框 点击 高级 弹出对话框 点击 立即查找 这是现面就显示出刚才你添加的哪几个用户了 双击 admin 返回了上一个对话框 这是你看到 ADMIN 用户已添加到白色的添加框里了 再点击 高级 立即查找 双击 easy 返回上一个对话框 再点击 高级 立即查找 双击 temp 返回上一个对话框 如图所示 这时候这三个用户就都添加进去了 点击 确 定 按钮 点击下个对话框里的 创建 按钮 点击 关闭 OK 3 4 然后你在点击目录树用户文件夹 接着返回用户对话框里 右键点击 T 用户属性 点 隶属于 标签 发现 t 用户隶属于两个组 删处 Users 这个隶属组 让 T 用户直隶属于 G 这个组 依次改了 A E 两个用户的隶属 让这三个用户只属于 G 组 为什么这样做 是 因为如果他们属于两个组 当你设置某些文件夹共享属性时 当他们无法以 G 组用户成员 查看时 却可以换身份以其他组成员身份进入 这样你设置的共享权限密码也就失去作用 了 至此 这三个用户身份的界定以完成 开始设置他们在共享文件夹中担当的角色和级别了 5 假设我们在 E 盘有一个 wmpub 文件夹要设置在网络中共享 让大家都可以看到 首先我 们右键点击 WMPUB 文件夹 共享和安全 弹出对话框 选择 共享此文件夹 点击 权限 弹出的对话框中一定删除 Everyone 组或任何在上面的用户或组 这是为了保证 除了你指定的用户 其他人都无法不经过你的允许就能查看到这个网络共享资源 然后点 击 添加 按钮 高级 立即查找 将刚才建立的 G 这个组双击添加进去 确定 确定 应用 4 5 6 现在该文件夹基本共享属性已设置好了 下一步设置安全属性 在 2003SERVER 中 安 全的级别与权限决定这共享开放能力和范围 点击 安全 标签 点 添加 依次输入 A E T 这三个用户添进去 点击 A 用户 看到底 下显示到 A 的权限 完全修改 修改 读取或运行 这时候就看你要怎么管理这些帐 号了 按照你的要求填写 按照前面的假设 我们为 A 用户设为 点击 完全控制 复选 框 那么 A 即可以看也可以修改 为 E 设为 默认不动 那么 EASY 只能看读取但不能修改 根据前面假设你就可以改动为这三个用户不同级别了 如果你觉得上面的级别权限设置还 不能满足的话 那么你再点击安全标签里下面的那个 高级 按钮 里面还有更详细的设 置 在实际中运用 你可以设置很多用户并规定不同权限 只要不嫌麻烦 二 设置不需要密码验证的共享文件访问权限 也即匿名访问共享文件 方法如下 二 设置不需要密码验证的共享文件访问权限 也即匿名访问共享文件 方法如下 6 默认情况 在同一工作组模式下 访问 Windows 2003 server 机器中共享的文件夹时 由 于本地安全策略的限制 在输入 UNC 路径后会提示输入具有相应权限的用户名及密码进行 身份验证 以下仅介绍通过修改 2003 默认的本地策略及启用 guest 帐户实现匿名访问 1 启用本地 guest 帐户 默认它是禁用的 如果不启用 guest 帐户 而使用第 4 步 将 会出现访问时出现对话框 要求输入用户名和密码 并且用户名处是 Guest 呈灰色不可 选状态 只能输入密码 2 开始 运行 gpedit msc 打开组策略编辑器 3 依次展开 计算机配置 windows 设置 安全设置 本地策略 用户权限分配 在 拒绝从网络访问这台计算机 设置中删除 guest 如果有的话 4 依次展开 计算机配置 windows 设置 安全设置 本地策略 安全选项 将 网络访问 本地帐户的共享和安全模式 修改为 仅来宾 本地帐户以来宾身份验证 将 帐户 使用空白密码的本地帐户只允许通过控制台登录 设置为 已禁用 5 开始 运行 gpupdate force 这个命令是用来更新策略 6 设置 共享权限 中 添加 everyone 用户 如果系统的文件格式为 NTFS 还要在 安全 一项中设置开放权限 同样是添加 everyone 否则用户点击共享文件夹时会提示无权限访问 三 如何监控共享文件访问 保护共享文件的安全 三 如何监控共享文件访问 保护共享文件的安全 共享文件夹设置好了 网管通常会将单位一些重要的共享文件放到这里供局域网用户访问 并且 为了保证用户更好地使用共享文件 很多网管员还给局域网用户分配了较高的权限 修改 剪切 删除 重命名等 这样 局域网用户在实际访问共享文件的时候 有可能不 小心删除或修改了共享文件 当然也有一些对公司心怀不满的员工会恶意删除或修改单位 的共享文件 从而影响了局域网其他用户对共享文件的使用 造成了极大的工作不便 同 时 还一些员工私自拷贝单位的共享文件据为己有 或者通过某种途径泄露出去 从而给 企业造成了重大损失 为此 网管员也需要实时管理共享文件的访问情况 实时监控共享 文件的访问 便于责任到人 甚至在某些情况下调查取证 但是 由于 Windows Server2003 或 Server2008 服务器操作系统提供的共享文件操作记录 只可以记录访问者使用的是服务器的本地用户访问情况 比如 服务器的登录用户名是 Administrator 这样局域网张三可以用这个用户名登录 李四也可以用这个用户名登录 从而根本无法区分是张三还是李四对共享文件做了操作 因此 通过服务器自带的监控日 志无法精确定位局域网用户对共享文件的具体访问情况 为此 我们还需要部署专门的共 享文件审计软件才可以精确监视共享文件访问情况 保证共享文件的安全 目前 国内市场能够有效记录共享文件操作记录的软件非常少 据笔者所知 大势至共享 文件审计系统是国内唯一可以精确记录局域网用户对共享文件访问情况的安全审计系统 它可以有效记录共享文件的读取 复制 修改 剪切 删除 重命名等操作行为 而且还 可以对重要共享文件进行特别保护 这样局域网用户有意或不小心删除共享文件的时候 7 就会报 权限不足 无法操作 从而有力地保护了共享文件的安全 大势至共享文件审计系统的安装部署很简单 只需要在服务器上安装就可以了 安装完毕 后 会在桌面上形成三个图标 如下图所示 图 在桌面上点击 登录大势至共享文件审计系统 即可成功登录 图 基于 web 界面登录 输入用户名和密码即可 8 图 启动监控并设置要监控或保护的共享文件 点击查看大图 选中共享文件夹 点击 添加到监控路径 或 添加到保护路径 即可开始了监控和保护 图 设置取消监控或保护的方法 点击查看大图 操作过程与上相反 9 图 点击监控日志即可查看共享文件访问情况