本文由ccnlc贡献
pdf1。
有限公司 文件服务器实施方案
文档 ID 版本号 日 编 校 批 期 写 对 准
XM200704-003 V1.00.00 2007 年 4 月 20 日 XXXX
xxxxxxxxxxxxx
有限公司
xxxxxxxxxxxxxxxxxxxxxxxxxx
修订说明
日
期
版
本
说
明
作
者
2007-03-17 2007-04-19 2007-04-21
V1.00.00 V1.00.01 V1.00.02
初步编写 增加资料(客户端连接服务器的方法) 增加资料(管理员的日常维护以及文件 的备份与恢复)
防微杜渐的意思是什么 xxxxxxx xxxxxxxxx xxxxxxxx
目
录
目 录 ……3 第一章:文件服务器概述以及文件系统的使用……4 1.1 文件系统的使用……4 1.2 文件系统的一些基本概念……5 1.3 ACL 和 ACE……6 1.4 用户账号以及作用……6 第二章:文件服务器的权限……7 2.1 文件的标准 NTFS 权限类型……8 2.2 文件夹的标准NTFS权限类型……9 2.3 用户的有效NTFS权限……10 2.4 共享文件夹的权限……10 第三章:文件服务器的架设……13 3.1 通过文件服务器向导设置共享服务……13 3.2 直接对文件夹设置共享属性……17 第一部分:设置文件夹共享权限……17 第二部分:在共享的文件下建立用户的子文件夹. ……20 第三部分:设定每个部门的管理者……24 第四章:客户端如何通过网络连接到服务器……27 4.1 使用"网上邻居"连接到文件服务器……28 4.2 使用 UNC 路径格式连接到文件服务器……28 4.3 使用"映射网络驱动器"连接到文件服务器 ……29 第五章:管理员的日常管理与维护……30 5.1 启用磁盘磁额……30 5.2 将分区格式转换成 NTFS……33 5.3 常见的故障以及排除方法……34 第六章:文件的备份与恢复(卷影副本)……34 6.1 卷影副本的创建……35 6.2 卷影副本的恢复……37
第一章:文件服务器概述以及文件系统的使用
两人之间共享文件, “网上邻居法” 可按 设置共享目录; 如果共享文件给多个人, 可效仿 “FTP 法”建立一个简单的 FTP 服务器。但是这样的服务安全性没有一点保证!:如果权限分配出 现失误,文件的普通访问者变成了控制者;如果当你好意提供给别人的上传空间时,很可能 被感染了活动猖獗的蠕虫病毒;如果办公室里有很多人都想共享自己的文件,难道每个人都 在自己的电脑上建立共享目录或者 FTP 服务器?说到这里, 你也就明白在力求工作效率与计 算机安全的办公环境中,“网络邻居法”与“FTP 法”都远远不及“专职”文件服务器(一 台安装了 Windows 2003 Server 操作系统而且随时听候我们调用的服务器)。因此随着公司 规模的扩展我们有必要建立一台安全的文件服务器.
1.1 文件系统的使用
索尼维修部 我们先从一个在客户机上的用户要使用 windows server 2003 服务器上的文件的过程为例进 行介绍整个文件系统的使用过程.
(1).身份认证
1:客户机上的用户使用获得的用户账叼和密码通过网络登录到文件服务器。 2
:在服务器的本地安全数据库(SAM)中存储着所有的账号和密码。服务器在 SAM 数据 库
借景抒情的诗句中进行身份验证。若验证通过则转向执行第 4 步操作。 3:若验证有误则服务将向客户机返回错误信息。
(2).访问控制
4: 经过了 SAM 数据库验证的用户账号被送入共享文件夹或者共享文件的 DACL(随机访问 控制列表)中,在 DACL 中列举了用户或用户组对该文件夹或者文件的访问权限. 5: 若在 DACL 中发现用户账号没有相关的权限将向客户机返回错误信息. 6: 若在 DACL 中发现用户账号具有相关的权限,将允许客户机按照权限执行相关操作.
(3).对象审核
7: 如果对文件或者文件夹进行了对象审核功能,用户账号对文件的操作情况将被记录在系 统访问控制列表中 SACL。这样管理员通过查看审核后的记录就可以得出文件是怎么被访问 的。这对评估文件的安全性有十分重要的意义.
1.2 文件系统的一些基本概念 (1) 权利
为了保护计算机及其资源的安全,windows server 2003 采用的是权利机制.摇拥有相关权利的 用户才能执行对计算机系统的登录,并从事具体的管理任务和操作.因此,
用户拥有权利,就表 示允许用主民用工业在计算机系统上执行任务.Windows server 2003 的用户权利分为两种: 登录权利和特权 1: 登录权利 登录权利是授予用户登录 windows server 2003 计算机服务器系统的权利,默认情况下,每建 立一个新的用户账号,就赋于该用户账号登录的权利. 常见的登录权利包括: [从网络访问计算机]:授予该权利的用户和组可以通过网络连接到计算机.默认情况下所有的 用户账号被授予了该权利. [允许本地登录的权利]:授予该用户和组可以交互式登录到该计算机. [允许通过终端服务器登录]:授予该用户和组可以作为终端服务客户登录. [拒绝从网络访问这台计算机]:授予该权利的用户和组不可以通过网络访问这台计算机. [拒绝作为服务登录]授予该权利的用户和组不可以作为服务的账号. [拒绝本地登录]:授予该权利的用户和组不能要本地登录. [拒绝通过终端服务登录]:授予该权利的用户和组不能作为终端服务登录. [作为批处理作业登录]:授予该权利的用户和组可以执行批处理. [作为服务登录]:授邓该权利的的用户和组可以作为服务的账号.
2:特权 用户执行特定任务的权利,通常会影响整个计算机系统,特权作为计算机的安全设置的一部分 由管理员批使给单个用户和组.常见的特权包括. [以操作系统方式操作]:此用户权限允许某个进程在没有身份验证的情况下模拟任何用户.访 进程因此可以获得相同的本地资源的该问权限,像相应用户一样. [调整进程的内存配额]:此特权确定了可以更改进程可消耗的最大内存
的用户. [备份文件和目录]:该用户权限确定了能够在进行系统备份时,跳过文件和目录\注册表和其
他永久的对象权利的用户. [从远程系统强制关机]:此发全设置确定了允许从网络的远程位置关闭计算机的用户.误用此 用户权限可以会导致拒绝服务. [生成安全审核]:此安全设置确定了进程可用于将条目添加到安全日志中的账号.安全日志用 于跟踪未经授权的系统访问.对该用户权限的滥用可能会导致多个审核事件的生成并可能掩 盖攻击迹象. [配置系统性能]:此安全设置确定了可以使用性能监视并具来监视系统进程的性能的用户. [还原文件和目录]:此安全设置确定了在还原备份文件和目录时可以跳过文件、 目录、 注册表 和其他持续存在的对象权限的用户, 并且确定了可作为对象的所有者设置任何有效的安全原 则的用户.
1.3 ACL 和 ACE
在系统的安全描述符中,有一种特殊的数据结构,称为ACL,称为访问控制列表.我们可 以把它理解成为一张二维数据表, 这些数据表中记录了用户或组对资源对象的访问权限. 比 如有一个名为文件 test.doc 的ACL的内容如下. 账号A 可以读取 账号B 可以修改 账号C 完全控制 该表中的每行的数据称为ACE称为访问控制项,实际上就是指使给用户或组的每项权 限.一个资源对歇脚的安全描述符中的整个权限项ACL.访问控制列表有两种类型的.
1:随机访问控制列表 DACL DACL 是对歇脚的安全描述符的一部分,它能赋于或拒绝特定用户和组对该对象的访问权.只 有对象的所有者才能更改在 DACL 中赋予或拒绝的权限,这就表示此对象的所有者可以自由 访问该对象. 2:系统访问控制列表 SACL SACL 是对象的安全描述符的一部分,指定了每个用户或组中要审核的事件.审核事件的例子 是文件访问、登录尝试和系
统关闭。
1.4 用户账号以及作用
在一个计算机网络中,计算机是被用户访问的客体,用户是访问计算机的主体,两者缺一不 可。用户必顺拥有计算机的账号才能访问计算机,因此,通常我们也简称用户账号为用记。 所谓用记的管理和配置实际上是指用户账号的管理和配置。
Windows server 2003 网络服务器有两种工作模式,一种是工作组模式,一种是域模式。对 应到到这两种工作模式,用户账号也有两种类型。 1 本地用户 本地用户存储在计算机的 SAM 本地账户安全数据库中,本地用户只能够访问本地计算机的 资源而不能够访问其他计算机的资源。 2 域用户 域用户存储在域控制器上的 “域安全数据库” 中域用户能够访问域内所有计算机上的共享资 源。这是主要基于客户机/服务器模式的网络中。客户机和服务器
的身份是不平等的。在一 个集中的管理者域控制器上管理全域的用户账号和密码,存储域用户账号的数据库称 为域的 SAM。 本方案的所有用户将是基于域来操作的。 加入域的 windows server 2003 服务 。 器称为成员服务器, 成员服务器自己不不规则管理用户数据库, 用户账号和密码的验证统一 由域控制器来完成。访访案中的文件服务器也将成为域中的成员服务器。
第二章:文件服务器的权限
权限是与对象关联的规则, 用来控制谁可能访问对象对象及访问的方式如何。 权限由对象的 所有者授予或拒绝。 通过对计算机系统上的资源赋予某些账号或组以持定的权限, 就能够限 制这些账号对资源的使用方式。 设置权限,就是为组和用户指定访问级别。例如,可以允许一个用户读取文件的内容,允许 另一个用户修改该文件, 同时防止所有其他用户访问该文件。 可以在打印机上设置类似的权 限,使某些用户可以配置打印机,而其他用户只能用其打印。 采用 NTFS 格式的文件系统,我们可以给文件授予细致的权限。这些权限称为 NTFS 权限, 分为两类:NTFS 特殊权限和 NTFS 标准权限。应注意的事项包括以下几点: 1:它的磁盘分区一定要是 NTFS 格式的磁盘分区。如下图所示
2:只有 NTFS 分区的文件夹和文件才可以使用 NTFS 权限,而 FAT、FAT32 上的不可以。
3:即可以对文件夹指使也可以对单独的文件指使。 4:NTFS 权限既可以对本地访问有效也对网络访问有效。
2.1 文件的标准 NTFS 权限类型
可以、对单独的文件授予标准的 NTFS 权限。操作方法就是在 NTFS 分区上的文件。 “选中 所要设置的文年”“右击”“属性”就可以弹出文件权限对话框。如下图所 示:
读取:可以读取文件内的数据。查看文件属性,文件的所有者,文件的权限。 写入:可以添加文件的内容,修改文件属性查看文件的所有者,及文件权限。 读取及运行:除拥有读取权限以外还可以运行该程序文件。 修改:除拥有写入、读取、运行该文件程序以外还可以更改文件内的数据。删除文件等。 完全控制:具有一切 NTFS 权限,如更改权限、取得所有权等权限。 注意:windows server 2003 内任一文件或文件夹都有其所有者。默认的为其创建者。
取得所有权: 当某用户对某文件或文件夹具有取得所有权时。 访用户就可以抢夺该文件夹或 文件的所有者成为其所有者。 取得所有权。 默认情况下管理员及管理员组相关成员对系统内 任意文件夹都具有取得所有权的权限。
瓷砖十大名牌>无证驾驶怎么处罚 2.2 文件夹的标准NTFS权限类型
可以对一个在NTFS分区上的文件夹进行权限设置. 打开文件夹 NTFS 权限设置的界面方 法如下: "选中要设置的文件夹"――――"单击右键"―――"属性"弹出的对话框中选 择"安全"选项卡.如下图所示:
读取:可以查看文件夹名称,子文件夹名称,文件夹属性,文件夹所有者.文件夹权限等。 写入:能够在文件内创建文件或子文件夹、修改文件夹属性、查看其所有者权限等。 列出文件夹及目录:除拥有读取权限以外,还可以遍历文件夹进入子文件夹。 读取及运行:允许读取文件夹内的文件件。以及运行程序文件。 修改:除拥有写入读取以及运行权限以外,还可以删除文件夹内的内容。
完全控制:拥有一切文件权限的权限。具有一切 NTFS 文件夹标准权限。一般如
有管理员用 户 Administrator 和文件夹的所有者才可以具有这样的权限。
NTFS 特殊权限: 1)取得所有权:具有访权限的用户可以夺取所有权.成为所有者. 2)更改权限:具有该权限的用户可以更改权限设置.
2.3 用户的有效NTFS权限
当用户属于多个组, 而每个组对某个资源具有不同的权限时用户最终的有效权限取决于下列 原
则: 1)权限具有累加性:即取并集如读取+写入+修改=修改.当一个用户属于多个组时,每 个组可能有不同的资源访问权限, 用户对这个资源的最终有效权限是这些组中最宽松的 权限,即累加权限.所有的用户所属的组的权限相加得到用户的最终权限. 2)拒绝权限优先: 如读取+写入+修改+拒绝=拒绝. 当用户或组被授予对某资源的拒绝 访问权限时,访权限将会大于其他任何权限.即在访问资源时只有拒绝权限是有效的, 当有拒绝权限时最大权限原则无效. 3)文件权限优先文件权限. 当用用户或用户级组对某个文件夹下的文件的权限秘文件夹权 限不同的时候, 用户对文件的最终权限是用户被赋予的文件权限, 文件权限超越上级文 件夹权限.但是如果对文件夹赋予了权限.而没有对文件赋予权限,则文件将会自动继 承上级文件夹的权限. 4)文件夹和文件复制或移动之后的权限改变 复制:权限继承目的地的权限. 移动:移动到不同分区则继承目的地权限 移动:移动到同一分区权限不变 5)权限的继承: 当分区被格式NTFS文件系统以后. 默认就把已有的部分NTFS权限 并且默认情况下这些权限会传递给其子对象文件夹.
2.4 共享文件夹的权限
当用户从网络访问某共享资源时可通过指使共享文件夹权限限制其操作. 如果我们是本地使 用NTFS格式的计算机, 则我们必顺遵守上述NTFS权限. 这里的NTFS权限只适合 采用NTFS格式的计算机提供的文件或者文件夹 1:FAT、FAT32、NTFS 分区上的共享
文件夹都可以指派共享权限 2:共享权限只可以征对于文件夹设置,而不可以征对言语件设置。 3:共享权限只对网络访问的用户有效,而对本机登录的用户无效。 4:对于 NTFS 分区上的文件夹既可以指派 NTFS 权限又可以指派共享权限。 以上所有的共享资也需要设计访问权限机制共享权限。设置共享权限的方法: 1:选中要共享的文件夹资源单击右键
2:在弹出的快捷图标中选择“共享和安全” 。将会弹出如下图所示对话框
3:在上面的对话框中选择“共享此文件夹”单选框。然后点击“权限”按钮。即可以进行 文件夹共享权限的设置。如下图所示包括:完全控制、更改、读取三种权限。
读取:可以浏览以及执行共享文件夹中的文件 更改:可以改变文件的内容,以及删除文件。 完全控制:可以完全访问共享文件夹。 用户的有效共享权限符合下列原则: 1) :权限具有累加性 2) :拒绝权限优先 3) :同 NTFS 权限混合使用的有效权限为 共享权限只对网络有效 NTFS 权限既对网络有效又对本地有效 两者混合以后最终用户有效权限 取其中最严格的设置例如:共享(读取)+NTFS(修 改)=共享(读取) 4) :复制:原文件共享不变,新文件不共享 5) :移动:移动后不再共享
总结:共享权限与 NTFS 权限的比较
(1) :使用权限的方式 共享权限是远程用户通过网络远程使用共享资源时必顺具备的权限;NTFS 权限则是在本地 和网络都起作用的权限 (2) :适合的文件系统格式 共享权限适合所有的文件系统格式,包括 NTFS、FAT16、FAT32;而 NFFS 权限只适合于 NTFS 格式的分区。 (3) :控制的对象不同 共享权限只对文件夹起作用;NTFS 权限对文件夹和文件起作用。 注意: 共享权限只对从网络中访问过来的用户起作, 如果用户从共享文件夹所在的计算机上的本地 登录,共享权限没有任何意义,而 NTFS 权限即将发挥作用, 因为 NTFS 权限具有本地安 全性,共享权限具有网络安全性。在 NTFS 格式的服务器上,用户通过网络访问服务器的共 享文件夹,除了要具备共享权以外,对共享文年夹下的文件和子文件的访问还要具备 NTFS 权限。 第三章:文件服务器的架设
访方案中我们采用 window server 2003 服务器上实现文件夹的共享服务.有两种实现共享的 方法. :直接对文件设置属性和利用文件服务器向导创建.
3.1 通过文件服务器向导设置共享服务
具体步骤如下: 第一步: 依次打开"开始"―――程序――――管理工具――――管理你的服务器. 会出现 如下图所示的管理你的服务器界面.
第二步:在上面的界面中.我们单击"添加或删除角"选项.出现如下图所示的"预备步 骤"
界面.
第三步: 在上面的"预备步骤"界面中我们单击"下一步"按钮. 出现"配置选项"界面. 先 择"自定义配置"单选按钮. 然后单击"下一步". 出现如下图所示的"服务器角"对话 框.
第四步: 在上面的服务器解对话框中我们选择"文件服务器"角. 然后单击"下一步" 出现如下图所示的"文件服务器索引服务"界面.
第五步:在上图中的索引服务对话框中.选中"不,不启用索引服务"单选钮,然后单击" 下一步"将会出出如下图所示的选择总结界面.
第六步: 在上面的选择总结界面中我们选择"下一步"按钮. 将会出现如下图所示的共享文 件夹向导.
第七步: 单击"下一步"按钮. 出现如下图所示的"文件夹路径界面"在文件夹路径文本框
中输入或者单击"浏览"按钮添加要共享的文件夹,
第八步:单击"下一步"按钮以后.出现如下图所示的"名称,描述和设置"界面.在共享 文本框中输入共享的名称,以及描述信息. .单击脱机设置选项可以设置脱机选项操作.
第九步: 在上面的对话框中单击"下一步"将会出现如下的"权限"界面. 可以执行文件夹 的共享权限.这里我们选择自定义权限.在这里我们可以设置相应的权限.
第十步:单击"完成"按钮. .出现如下图所示的"服务器配置完成界面."单击完成即可.
3.2 直接对文件夹设置共享属性
以上是通过文件服务器向导来创建共享的. .下面是下接对文件夹设置共享创建共享的.这 里我们以D盘下有一个名"上海研发部工程"的文件夹为例. 说明文件服务器建设的详细步 骤.以及应用的过程.具体的过程包括共享权限有设置以及NTFS权限的设置.下面的过 程也是设置文件服务器共享文件夹的具体方案步骤: 我们以上海工程部为例子. 现在要为上海工程在这个文件服务器上建立一个共享的文件夹. .
第一部分:设置文件夹共享权限
夏家三千金歌曲 第一步:在我的电脑中.打开D盘.在里面建一个名为"上海研发部工程"的文件夹. 第二步: 选中"上海研发部工程"文件夹―――――――单击右键――――在出现的快捷菜 单中选择"属性"选项. 出现如下图所示的对话框. 然后切换到如下图所示的"共享"选项 卡.选中"共享该文件夹"单选钮.在"共享名"文本框中设置供客户机使用的共享名 称. 在"描述"文本框中输
入描述信息. 在"用户限制"下可以指定同时连接到该文件夹的 客户机的数量.单击"权限"按钮可以设置共享权限.
第三步: 在上图的对话框中选择"权限"按钮. 出现如下图所示的"共享权限"选项卡. 在" 组和用户名称"列表中列举了有共享权限的用户或组.
第四步: 在上面的对话框中. 在"组和用户名称"选项中默认情况下有一个 Everyone 组. 这 里我们单击删除. 因为我们要设置这个文件夹只能是"上海研发工程部"的用户才可以访问 该文件夹.因此我们要把Everyone 组删除掉.然后单击"添加"按钮把"上海研发部工程 组"添加进来. 这样只有上海研发部工程组的用户才可以该项问这个共享的文件夹. 其他部 门的用户不可以访问该文件夹,如下图所示:
. 第五步:在"上海研发部工程的权限"选择中我们给这个组允许.更改和读取的权限.这样 他们可以以后可以在这个共享文件夹下面存储文件.然后单击"确定"按钮. 第六步: 在上面的界面中用户权限设置好以后单击"确定"以后又加到共享属性办面. 在这 里我们需要设置"脱机"所以单击"脱机设置"按钮出现如下图
所示的"脱机设置"界 面. 可以设置是否允许将文件夹及文件夹的相关内容脱胎换骨机到客户机本地使用. 默认情
况下只有用户指定的文件和程序才能在脱机状态下可用.
脱机使用的原理: 如果文件服务器允许客户机脱机使用文件夹, 那么在客户机的缓存上将保 存服务器上的共享文件夹的副本. 当服务器的共享功能不可用时, 客户机可以直接使用本地 的文件夹来进行操作. 当服务器共享可用以后. 本地客记机上的副本和服务器上的正本进行 比较,如果有修改的权限,客户机上的副本可以上传到服务器上保持同步. 第六步: 单击"确定"文件共享完成. 共享完成以后文件夹的图标下有一个手托举的符号. 如 下图所示:
第二部分:在共享的文件下建立用户的子文件夹.
第七步:在"上海研发部工程"这个共享文件夹里面.分别以该部门的人员命名.建立每个 用户的子文件平具体包括:edison、abo、sunny_huang、shsuppor、等如下图所示:
第八步:分别为每个子文件设置相应的 NTFS 权限.这每个子文件是用来每个人存放自己的 个人文件的文件夹.就是一个部门的其他人也无法进行访问.而本人就有完全控制的权限.具 体操作请看下图.这里我们以子文件夹 sunny_huang 为例说明一下操作的全过程. 用右建单击"sunny-huang"这个文件夹.然后在出现的快捷菜单中选择"属性"选项.将 会出现如下图所示的 sunny-huang 属性对话框.
第九步:在上面的界面中.切换到"安全性"选项卡来进行NTFS权限设置.这里我们选 择"高级"按钮.将会弹出下面的对话框.
第十步:在上面的对话框中.默认情况下."从父项可以继承那些可以应用到子项的权限项 目.包括在此明确定了的权限项目"是被选中的.由于这是个人文件夹的主目录.一般情况 下是不允许别人访问的. 而上级的父项中有其他用户的访问权限. 因此这里我们应该去除这 一个默认选项.点击上面的单选框.将会弹下面的对话框.如下图所示
第十一步:在上面的界面中.单击"移动"按钮.这样就把从上一级文件夹自动继承的权限 以及用户全部删除了.删除以后默认情况下没有其他用户对该言语件夹有任何权限 .
第十二步: 删除所有的操作用户这正是我所想达到效果. 现在就可以添加自己能完全控制的 用户了.以后只有这个添加进来的用户才有访问的权限.这里我们添加 sunny-huang 这个用 户进来.如下图所示:
第十三步:在上面界面中选择好"sunny-huang”这个用户以后.单击"确定"按钮将会出现 如下图所示的授权对话框.可以为该用户授予相应的操作权限.
第十四步: 由于这是每个用户的用户主目录所以理所当然应该授予该用户对该文件夹有完全 控
制的权限.这样设置了以后只有这个用户才能访问自己的文件夹其他人访问都会被拒绝. 第十五步:一直单击"确定"按钮.如下如图所示的界面.显示了 sunny-huang 用户对该文 件夹的具体操作权限.如下图所示:
单击"确定"这样就完成了个人文件夹权限的设置工作. 这样每个用户在自己的部门里面可 以有自己的个人文件夹.
第三部分:设定每个部门的管理者
第十六步:还需要在整个部门的言语件夹比如"上海研发部工程"这个文件下面设置权 限. 设置每个用户访问公共文件夹的权限以及公共文件夹的管理者. 这里需要打开共享言语 件夹属性的安全选项卡:如下图所示:
第十七步:单击"高级"按钮.弹出如下图所示的对话框.
第十八步:如同我们刚才设置个人文件夹一样.去除上面的单选按钮项.在下面的界面中选 择"移除"项.这样就取消了所有的继承者.
第十九步:删除了默认的继承操作者以后.我们把整个部门的组添加进来.这里我们添加" 上海研发部工程".然后单击"确定"按钮. 第二十步:给这个组的用户同理授予:读取、列出文件夹
及目录、读取及运行的权利。这样 访组成员对公共的言语件夹就具有一定的操作权限方便于工作以后工作交流。 第二十一步:然后再给这个共享文件夹设置一个管理者。授予他一个完全控制的权限。这样 可以控制整个部门的用户操作。 一般情况下这个用户为该部门的主管。 这里我们为上海研发 工程部选
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论