1、Windows文件服務器調研1 概述1.1 目的本次調研的目的是通過了解windows server 2003文件服務器的基本功能，通過設置文件共享，了解 windows下文件共享權限訪問控制。1.2 調研內容本次調研完成以下了以下工作：1、 Windows server 2003文件服務器的搭建與配置2、 共享權限訪問控制3、 文件服務器數據備份與恢復4、 域帳戶訪問文件服務器資源的配置與操作2 權限訪問控制Windows server 2003提供了服務器管理工具，利用工具向導可快速添加文件服務器角色。創建文件服務器過程中，可設置磁盤配額，限制用戶對磁盤空間的使用。設置完成后，系統會彈出創

2、建共享文件夾的向導，可快速添加一個共享的文件夾。文件服務器通過設置共享文件夾權限，限制用戶對共享資源的訪問，保障數據安全。Windows提供了共享權限和NTFS權限來控制對共享資源的訪問，可使用共享權限，這樣易于易用和管理，而NTFS文件系統上的訪問控制則可以完成對共享資源及內容的詳細控制。下面重點介紹共享權限和NTFS權限的相關內容。2.1 權限介紹2.1.1 共享權限在服務器上，創建一個文件夾，右鍵，選擇共享和安全，彈出文件夾屬性界面，在共享標簽下面，選擇“共享此文件夾”，默認情況下，文件夾是不共享的。點擊【權限】按鈕，可打開共享權限設置界面。共享權限包括“完全控制”、“更改”、“讀取”，

3、支持允許和拒絕，拒絕的權限優先于允許的權限。點擊【添加】，添加可訪問此共享文件夾的用戶或組，并設置相應的權限。共享權限僅應用于通過網絡訪問資源的用戶，通過本地登錄的用戶是無效的。共享權限支持指定允許通過網絡訪問共享資源的最大用戶數目。可對共享文件夾或驅動器指派下列類型的訪問權限：權限描述讀取1）查看文件名和子文件夾名 2）查看文件中的數據 3）運行程序文件更改“更改”權限除允許所有的“讀取”權限外，還具有如下權限： 1）添加文件和子文件夾 2）更改文件中的數據 3）刪除子文件夾和文件完全控制完全控制權限除允許全部讀取及更改權限外，還可以更改權限。共享權限將應用于共享資源中所有的文件和文件夾，如

4、果要為共享文件夾中的子文件夾或對象提供更詳細的安全性級別，可使用 NTFS 的訪問控制。2.1.2 NTFS權限2.1.2.1 權限設置NTFS權限是NT和Win2000中的文件系統，它支持本地安全性。NTFS權限提供對文件或者文件夾理詳細的安全性級別，它對從網絡訪問和本機登錄的用戶都有效。當一個用戶試圖訪問一個文件或者文件夾的時候，NTFS文件系統會檢查用戶使用的賬戶或者賬戶所屬的組是否在此文件或者文件夾的訪問控制列表（ACL）中，如果存在則進一步檢查訪問控制項（ACE），然后根據控制項中的權限來判斷用戶最終的權限。如果訪問控制列表中不存在用戶使用的賬戶或者賬戶所屬的組，就拒絕用戶訪問。如上

5、圖所示，打開文件夾屬性，在安全目錄下，可設置文件夾的NTFS（安全）權限。默認情況下，安全權限包括了Administrators、CREATOR OWNER、SYSTEM、Users四個用戶組。NTFS權限包含以下類型的訪問權限：權限描述完全控制對文件或者文件夾可執行所有操作修改可以修改、刪除文件或者文件夾讀取和運行可以讀取內容，并且可以執行應用程列出文件夾目可以列出文件夾內容，此權限只針對文件夾存在讀取可以讀取文件或者文件夾的內寫入可以創建文件或者文件夾特別的權限其他不常用權限，比如刪除權限的權限同樣，所有權限都有相應的“允許”和“拒絕”兩種選擇。設置各個賬戶以及組對當前文件或者文件夾的權限

6、的方法很簡單，就是上圖中，選擇你要修改的賬戶或者組，然后再下面的控制項框中選擇合適的權限就行了。還有一些特殊權限，以及取得文件或文件夾的所有權的方法。2.1.2.2 NTFS權限應用規則因為一個用戶可能屬于多個組，又可分別對用戶和組設置文件（夾）的權限，所以存在權限組織的情況，下面介紹下NTFS權限的應用規則。NTFS權限的應用規則包括權限的組合、權限的繼承、權限的拒絕以及復制移動對權限的影響。1  權限的組合如果一個用戶同時在兩個組或者多個組內，而各個組對同一個文件有不同的權限，那么這個用戶會得到各個組的累加權限，但是一旦有一個組的相應權限被拒絕，此用戶的此權限也會被拒絕

7、。舉例來說：假設有一個用戶WZ，如果WZ屬于A和B兩個組，A組對某文件有讀取權限，B組對此文件有寫入權限，WZ自己對此文件有修改權限，那么WZ對此文件的最終權限為讀取+寫入+修改權限。假設WZ對文件有寫入權限，A組對此文件有讀取權限，但是B組對此文件為拒絕讀取權限，那么WZ對此文件只有寫入權限。但沒有讀取的權限，WZ對此文件的寫入權限也是無效。2、權限的繼承新建的文件或者文件夾會自動繼承上一級目錄或者驅動器的NTFS權限，從上一級繼承下來的權限是不能直接修改的，只能在此基礎上添加其他權限。如果復選框為灰色，則文件或文件夾已經繼承了父文件夾的權限。有三種方法可以更改繼承的權限： 1）對父文件夾進

8、行更改，然后文件或文件夾將繼承這些權限。 2）選擇相反權限（“允許”或“拒絕”）以覆蓋所繼承的權限。 3）清除“允許父項的繼承權限傳播到該對象和所有子對象。包括那些在此明確定義的項目”復選框。這樣，您就可以更改權限，或者從權限列表中刪除用戶或組。但是，文件或文件夾將不再從父文件夾繼承權限。3、權限的拒絕拒絕的權利具有最高優先級。無論給賬戶或者組了什么權限，只要設置了某項權限是“拒絕”的，那么被拒絕的權限就絕對有效。4、移動和復制操作對權限的影響只有文件或者文件夾移動到同一分區內才保留原來設置的權限，否則為繼承目的地文件夾或者驅動器的NTFS權限。2.2 聯系與區別1.共享權限是基于文件夾的,也

9、就是說你只能夠在文件夾上設置共享權限,不可能在文件上設置共享權限；NTFS權限是基于文件的,你既可以在文件夾上設置也可以在文件上設置。2.共享權限只有當用戶通過網絡訪問共享文件夾時才起作用,如果用戶是本地登錄計算機則共享權限不起作用;NTFS權限無論用戶是通過網絡還是本地登錄使用文件都會起作用,只不過當用戶通過網絡訪問文件時它會與共享權限聯合起作用,規則是取最嚴格的權限設置. 3.共享權限與文件操作系統無關,只要設置共享就能夠應用共享權限;NTFS權限必須是NTFS文件系統,否則不起作用. 共享權限只有幾種:讀取,更改和完全控制;NTFS權限有許多種,如讀,寫,執行,改變,完全控制等.我們可以

10、進行非常細致的設置.4.共享權限和NTFS權限的特點： （1） 不管是共享的權限還是NTFS權限都有累加性。 （2） 不管是共享權限還是NTFS權限都遵循“拒絕”權限超越其他權限。 （3） 當一個賬戶通過網絡訪問一個共享文件夾，而這個文件夾又在一個NTFS分區上，那么用戶最終的權限是它對該文件夾的共享權限與NTFS權限中最為嚴格的權限。5.Windows 2000 中，共享的文件夾，可以用空密碼用戶訪問。但是Windows Server 2003中，共享的文件夾，不可以用空密碼用戶訪問。6. 共享權限與NTFS權限的組合為兩個權限的交集，如果共享權限為只讀，NTFS權限是寫入，那么最終權限是完

11、全拒絕。7.當用戶從網絡訪問一個存儲在NTFS文件系統上的共享文件夾的時候會受到兩種權限的約束，而有效權限是最嚴格的權限（也就是兩種權限的交集）。而當用戶從本地計算機直接訪問文件夾的時候，不受共享權限的約束，只受NTFS權限的約束。2.3 訪問用戶說明選中計算機，右鍵，管理，進入到計算機管理控制臺，選擇本地用戶和組，可查看系統用戶和組。Windows server 2003中默認的系統用戶只有administrator和guest，administrator是系統管理員，負責進行系統管理操作，guest帳戶是計算機內置的供來賓訪問計算機的帳戶。系統管理員可通過創建用戶和組，終端用戶通過管理員創

12、建的用戶訪問共享資源，將用戶進行分組，可通過設置組的權限來控制用戶訪問的權限，方便管理。系統內置的對象簡單介紹下面幾種：Everone 組：Everyon只包括"A uthentUsers"和"Guests"兩個組，而不再包括"A nonymLogon"組，所以它表示了"可訪問計算機的所有用戶"而不再是"每個人"請注意這是有區別的"可訪問計算機的所有用戶"意味著必須是通過認證的用戶，而"每個人"則不必考慮用戶是否通過了認證。注意，如果Guest帳號被啟用時

13、，則給Everone這個組指派權限時必須小心，因為當一個沒有帳戶的用戶連接計算機時，他被允許自動利用Guest帳戶連接，但是因為Guest也是屬于Everone組，所以他將具備Everyone所擁有的權限。Authenticated Users 任何一個利用有效的用戶帳戶連接的用戶都屬于這個組。建議在設置權限時，盡量針對Authenticated Users組進行設置，而不要針對Everone進行設置。Creator Owner 文件夾、文件或打印文件等資源的創建者，就是該資源的Creator Owner（創建所有者）。不過，如果創建者是屬于Administrators組內的成員，則其Crea

14、tor Owner為Administrators組。3 實例應用3.1 需求整個公司下分有若干個部門，在文件服務器上創建各部門的共享文件夾，只本部門的用戶可訪問，其它部門用戶無法訪問。本部門員工登錄成功后，只可在部門文件夾下面創建自己的文件夾，不能創建文件，并對創建的文件夾具有完全控制的權限，其它人員無法訪問，也無法訪問其它人創建的文件夾。創建一個共有的文件夾，設置所有用戶只允許查看，不能修改、刪除創建一個共有的文件夾，提供用戶上傳資料，并且用戶只有刪除自己上傳的資料，不能刪除其它人上傳的資料。各部門設置一名部長，部門除不能訪問其它部門資源外，對公司通知、上傳下載、部門及部門文件夾的完全控制的

15、權限。3.2 實現3.2.1 創建組織與用戶組用戶ksskss1、kss2osos1、os2leaderKss0、os03.2.2 創建文件夾3.2.3 權限設置1）公司通知：要求：除部長外，其它人只讀。共享權限：所有Authenticated Users完全控制安全權限：administrator、leader組為完全控制Os/kss組如下：2）上傳下載：要求：除部長外，只能上傳下載，并刪除自己上傳的資料共享權限：所有Authenticated Users完全控制安全權限：administrator、leader、creator owner組為完全控制Os/kss組如下：3)kss要求：ks

16、s部門人員及部長可訪問，部門人員只能創建文件夾，用戶只能訪問自己創建的文件夾并具有完全控制的權限。共享權限：kss組、kss0（kss部長）完全控制安全權限：administrator、kss0、creator owner組為完全控制kss組權限如下：4）os：Os的權限設置同kss相同，將kss組、kss0替換成相應的os組、os0即可，權限設置不變。3.3 測試1、在客戶端【我的電腦】地址欄輸入172.19.80.1002、在彈出的登錄驗證中輸入用戶名和密碼：如kss1qwer12343、登錄成功后，查看到四個文件夾：公司通知、上傳下載、kss、os1）進入公司通知目錄 ，嘗試打開文件，成

17、功嘗試創建文件或者文件夾，失敗2）進入上傳下載，下載資料，成功上傳文件到目錄中，成功刪除自己上傳的文件，成功嘗試刪除其它人上傳的文件，失敗3）進入到kss目錄 ，創建文件夾，kss1,成功進入kss1，進行文件操作，如創建、刪除、修改等，成功嘗試進入其它人創建的目錄 ，失敗回到kss目錄，嘗試創建文件，失敗4）進入到os目錄，失敗4 附加內容4.1 數據備份與恢復數據的安全性和可用性對于文件服務器來說非常重要的，Windows Server 2003的備份功能使用了稱為卷影副本(Volume Shadow Copy)的技術。在文件服務器管理界面可以找到“備份文件服務器”鏈接，在命令行執行ntb

18、ackup命令均可執行備份向導。在“備份工具”管理界面中，用戶可以指定哪些文件(包括系統注冊表數據及引導文件等)需要參與到備份計劃中來，也可以指定執行這些備份操作的時間計劃。打開文件服務器管理，選擇“配置卷影副本”，可打開卷影副本向導，點擊【啟用】，可立即創建副本，也可以設置定時備份計劃。共享文件夾的卷影副本提供共享資源中文件的即時點副本。通過共享文件夾的卷影副本，可以查看在過去的時間點中存在的共享文件和文件夾，可以恢復意外刪除的文件、恢復意外覆蓋的文件、工作時比較文件版本。客戶端機器上安裝卷影副本客戶端程序（默認路徑：C:WINDOWSsystem32clientstwclient），通過這臺客戶端機器瀏覽到文件服務器上的共享之后，對該共享或該共享中的文件點擊右鍵，其屬性對話框中有一個“以前的版本”選項頁。在這里顯示了文件以前保存過的所有版本，可以將其恢復成任意一個版本。只有管理員組的成員可以設置卷影副本功能，并且卷影副本必須在NTFS格式的磁盤卷上才能實現。卷影副本默認在啟用該功能的卷上保留10%的空間用以保存備份數據(最少100MB)，一旦超過空間的限制將覆蓋早先創建的副本。如下圖所示，對于文件或者文件夾，右鍵屬性菜單中可以查看到“以前的版本”Tab頁，用戶可根據備份的時間點，選擇查看備份文件、將備份文件復制到其它地方，或者還原文件。4.2 域帳戶訪問共享資源如