首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > Windows Server > 文件共享的12条军规——多一点规划可以使你的共享文件夹环境更合理 > 正文

文件共享的12条军规——多一点规划可以使你的共享文件夹环境更合理

出处:WindowsITPro 作者:WindowsITPro 时间:2011-6-9 16:59:38

        正确地规划和管理你的权限体系,则你的共享文件夹会更安全也更容易管理。学习共享权限与NTFS权限如何相互影响,如何规划共享文件夹资源。 

        对于那些尺寸过大,不能作为邮件附件传递的文件,文件共享是很重要的交换方式。除了便于用户访问的优点之外,服务器上的共享还是冗余存储的解决方案,它使得由于磁盘失败而导致数据丢失的危险降至最低,因为你可以集中备份数据,而不是备份每个客户的PC(那些为了恢复一个损坏的桌面PC硬盘上的关键数据,而不得不为灾难恢复服务花费1000美元到3000美元的人们会感激文件服务器存储冗余带来的价值的)。 

        由于这些原因,文件共享是一个很常用的资源。但是,文件共享也是具有高风险的,如果你并不了解你所做的,那么你很可能将公司数据置于风险之中。我发现许多管理员并没有真正理解共享权限和NTFS权限的相互作用关系,并且也没有为他们的共享文件夹资源进行一个全面稳固的规划。为了帮助你分析当前的共享文件夹环境,并找出一些新的最佳实践经验,我总结了文件共享的12条戒律。

1. 改进标准权限

        尽管每个共享资源的所有者最终都会向特定的组授予自定义的权限,但是当你创建它们时,你需要在所有的共享文件夹上改进默认权限。典型地,默认权限是Administrators和System组具有完全控制权限。另外,应考虑使用一个全局拒绝组来拒绝所有的权限设置(参见戒律9,其中阐述了这个组)。

2. 保持简单权限

        一个简单的权限体系更容易管理。当然,你可以创建47个组来管理一个文件共享,并在多个不同级别指派权限,但这是一个好主意吗?如果你没有帮助共享所有者全面地思考文件共享权限的初始结构需求,那么就没有尽到责任。通常,共享资源所有者开始的设置都是不切实际的,这使得IT和共享所有者管理共享变得很困难。 
当一个共享所有者创建了一个复杂的权限结构时,你应该尝试是否可以用更简单的方法达到相同的效果。在某些情况下,所有者是一个管理者,他将解释如何保护数据。“我们需要禁止Jim查看数据,因为他可能会滥用”或“我们不能给Sally更改权限,因为去年她曾不慎将一些关键数据从服务器上拖动到她的桌面机上”,这样的句子表示一些过去的实践经验或者部门策略正在使共享权限变得更为复杂。也许更好的解决办法是对Jim进行道德教育,对Sally进行一些基本的计算机技能培训。

3. 使用安全组
 

        微软认证培训课程鼓励在分配权限时使用安全组,而不是使用单个的用户。一旦你开始向单个的用户分配权限,则随后管理花销将成为一场噩梦。如果其他用户需要类似权限,你不得不使用第三方工具复制或克隆用户权限,比如Small Wonders Software的Security Explorer。如果文件共享很大,则权限克隆可能要花费几个小时。除非你保留详细的文档,否则你可能会丢失对用户实际权限的跟踪,你将需要使用第三方工具创建包含这些信息的报表。为了避免这些麻烦,最好的办法是始终在组级别分配权限。

4. 给组起一个简洁明了的名字

        安全组的名字应该能表示组成员的权限以及这些权限应用到哪些共享文件。这个方法可以给你一个组和共享文件位置的清晰图像,使得保证安全性更容易,并且使桌面支持团队更容易向组中增加新成员。请保持名字少于20个字符并避免使用空格和&符号。这可以使命令行脚本分配或捕获共享权限更容易,因为一些命令,比如Net Localgroup命令,不支持超过20个字符的名字。表1展示了如何如何使用较短的安全组名称表示共享文件夹的位置及其权限。

5. 定义反映部门或工作的权限集

         当你确定了共享和文件夹权限策略,创建了符合3、4戒律的一级组之后,你就可以向组中添加用户了。但是,如果你运行在Windows本机模式并且支持本地组嵌套,则你可以创建包含用户账号的二级本地组。根据部门或工作角色命名这些组(例如SalesManagers),然后再将这些组添加到顶级安全组中。例如,将本地SalesManagers组(其中包含所有销售管理者)加入到SalesAircraft-C安全组(表1中所列)中,赋予所有销售管理者对\\FileServerA\Sales共享文件夹中Aircraft子文件夹的更改权限。当然,销售管理者也需要访问其它资源,这里只是说明权限集的概念。 

表1


Share and Root Folder Name (on FileServerA)

Subfolder

Share Permissions

Suggested Security Group Name

Mfg

ProductionSchedules

Read

MfgProdSched-R

Sales

Aircraft

Change

SalesAircraft-C

        一个权限集是权限的集合,用于分配给指定部门或工作的用户,以便他们执行自己的工作。用户需要访问的资源可能分布在多个服务器和共享驱动器上。当新的资源被加入和资源访问需要更改时,权限集可以修改。例如,管理者可能确定原来只需要读权限的销售顾问现在需要更改权限。权限集的最终目标是使权限分配更简便和更精确。 

         当一个新的雇员被指派到特定的部门或工作角色,并需要访问相应的共享区域时,基于部门或工作的权限集非常有用。例如,当公司雇佣一个新的销售顾问时,你可以将他加入到SalesConsultants组,则他会立即拥有所有销售顾问所需的权限。当该销售顾问晋升为销售管理者时,你可以将他加入到SalesManagers组,并将其从SalesConsultants组移除,从而更改他的权限。表2展示了一个简单的权限集。只需简单地将一个用户加入到SalesManagers组中,就可以立即赋予他所需的权限并避免他访问不应访问的敏感区域。如果某人创建了一个新的共享以及相关的安全组(例如HRreporting-C),并需要将其添加到SalesManager权限集中,只需简单地将SalesManager组添加到HRreporting-C组中,则所有销售管理者将拥有正确的权限,而无需在HRreporting-C组中添加单独的销售管理者ID。 

表2


Local Group (Contains Only User Accounts)

Security Groups to Add the Local Group to

Share and Subfolder

Share Permissions

SalesManagers

AcctBudgets-C

\\AcctServerA\Budgets

Change

 

DirReportInputs-C

\\FileServerB\Directors\Report\Inputs

Change

 

MfgProdSched-R

\\FileServerA\Mfg\ProductionSchedules

Read

 

Personnel-NA

\\HRServer\Records

No Access

 

SalesAircraft-C

\\FileServerA\Sales\Aircraft

Change

 

SalesMgrReports-C

\\FileServerA\Sales\ManagerReports

Change

 

SalesProposals-C

\\FileServerA\Sales\Proposals

Change

 

TempFileExchange-C

\\FileServerC\TemporaryFileExchange

Read

6. 了解如何判定有效权限 

        共享级别和NTFS权限可能会混淆,并导致过度宽松的访问,或者另一个极端:当用户访问资源时收到“拒绝访问”消息。判定有效权限的规则是“松、松、紧”。 

        第一个字针对文件夹权限。由于组成员关系的原因,当用户在NTFS文件和文件夹级别具有不同的权限时,实际生效的文件或文件夹权限是所有分配给用户或组的权限中最宽松的权限。例如,一个用户由于属于一个组而具有列表文件和文件夹权限,同时由于他也属于另一个组,具有读权限,则实际的权限是这些权限中较宽松的设置(即读权限)。 

        注意:当你创建一个共享文件夹时,你必须在创建共享的根文件夹上赋予用户至少NTFS列表或读的权限。否则用户将收到拒绝访问消息,即使共享权限和其它子文件夹的NTFS权限看起来都正确,因为用户没有进入该共享文件夹并到达目标的权限。 

        第二个字针对共享权限。当一个用户由于组成员关系的原因具有不同的共享权限时,实际的共享级别权限是所有分配给用户或组的权限中最小限制的权限。例如,一个用户对一个特定的共享具有读和更改权限,则实际的权限为更改,因为它是两个设置中的最小限制。 

        紧字针对于文件夹权限和共享权限组合的情况。例如一个用户在NTFS级别具有读权限,在共享级别具有更改权限。则有效的的权限是二者中较严格的,即读权限。

7. 不要使用Everyone组 

        默认情况下,在共享和NTFS权限上,Everyone组被赋予完全控制权限。这是一个很大的安全缺口,应该及时移除。如果你需要一个常规的用户访问组,应使用Authenticated Users 组作为替换。

8. 避免文件夹延伸

      Outer Limits 科幻系列中,播音员声称,“我们控制了垂直面。我们控制了水平面”。 如果只有管理员有时间控制共享文件夹的水平和垂直方向的延伸。在水平方向的问题是,你可能创建了公用的共享,并在共享根级别赋予用户更改权限,以便他们组织自己的数据。下一次你访问该文件夹时,你可能发现在其中包含100个文件夹和根下的50个文件。这使得用户查找文件和文件夹很困难。

        一个更好的方法是使用NTFS权限限制只有管理员才能在根级别创建文件夹。在只读的根级别文件夹中,创建3到10个逻辑文件夹,用于用户数据,并在逻辑文件夹上赋予用户更改权限。你需要与部门联系以定义顶级文件夹的名称。 
垂直延伸的问题是随着时间推移控制更困难,用户可能会将文件夹结构向下延伸并超出Windows所支持的255字符路径限制。过深的文件夹结构可能导致用户不容易访问并可能不正确地中断。这个问题最好通过监视来控制,并且当文件路径接近255字符限制时及时通知。

9. 创建一个全局拒绝组

        有些时候,你需要快速地拒绝一个特定用户对环境中所有共享资源的访问权限。但是,如果如果你有多个服务器和多个共享,则很难做到,如果该用户已作为组的一部分被赋予了权限,则更为复杂。识别并更改用户的权限,将用户从组中移除会花费很多时间。如果一个雇员被解雇,管理者也许需要立即解除该用户的访问能力。最简单的实现方法是创建一个全局拒绝组,它对所有的共享和NTFS权限只有拒绝权限。注意我用的术语全局不是组类型定义,而是用来描述这样一个组,它涵盖环境中所有的服务器和共享。 

        选择一个描述性的名称,比如GlobalDeny-NA,明确地表达该组的目的——拒绝访问。该组成员一般为空。当需要拒绝一个特定用户访问时,只需简单地将该用户账号添加到这个组中。由于拒绝总是优先于其它权限,因此该用户将被拒绝访问。随后你可以执行适当的步骤直接将该用户从组中或权限设置中移出。

10. 积极地管理权限衰退

         通常,管理员起初都有一个设计良好的权限体系,但是随着时间推移,它被不同的个体调整。在NTFS文件级别和共享级别赋予过多用户以完全控制权限,潜在地导致了安全风险。在合适的时机,我会将一些坚持需要完全控制权限的用户从Administrators组移除,同时锁定我和其他管理员。 
为了有助于跟踪权限,维护一个电子表格,你可以使用这个信息解释要管理的共享组织,并且当需要重新组织时,它会非常有用。有规律地检查权限可以确保当前的权限体系与电子表格中的设计保持一致。你可以使用脚本捕获现有权限,并且在灾难或对短期问题紧急响应时,做好重新组织的准备。

11. 开发紧急响应策略

        不幸的是,现在你经常会发现你的共享文件成为病毒的攻击目标,这些病毒不仅从用户的本地磁盘删除数据,还从映射驱动器上删除数据。如果一个未被检测的病毒在对一个共享文件夹具有更改权限的用户上下文之中操作,可能会导致病毒大量感染或者悲惨的数据丢失。如果一个新的病毒穿越了公司的防火墙,开始影响你的用户并威胁你的共享,你需要执行什么步骤以保护数据呢?关闭所有的服务器? 将它们从网络隔离? 或者是将所有的共享临时改为只读以保证一些用户继续工作?现在是规划紧急响应策略的时候了,这需要密切合作并有管理者参与,要使所有人员都理解共享数据的风险,让他们理解你的计划是如何针对这些风险的。

12. 为用户创建集中管理的、到达共享资源的快捷方式

        赋予用户更强的访问共享资源能力的一个聪明的办法是为你的用户群创建一系列指向共享资源位置的快捷方式。这个设置也减少了病毒从用户桌面机器影响用户映射驱动器的风险。你可以根据用户的部门或工作职能定制这些快捷方式,并通过组策略部署这些快捷方式。 

        一个简化资源管理的窍门是在用户桌面上创建一个快捷方式,它指向一个公共共享上的只读文件夹。在这个服务器文件夹中,放置指向所有共享资源的快捷方式。这个设置使你可以在一个中央服务器上集中地调整快捷方式,并且可以使更改立即生效。如果资源位置更改或者新的资源可用,你可以更改服务器上的快捷方式,而不必在每个用户的桌面上重建快捷方式。如果你要部署一个快捷方式,它为为不同的部门提供各自不同的的共享资源视图,只需简单地根据需要创建不同的服务器文件夹,并在其中包含为每个部门定制的快捷方式。你也可以创建到intranet或Internet的Web资源的快捷方式。

坚持这些戒律

         如果你正确地规划和管理你的权限体系,则你的共享文件夹会更安全也更容易管理。只需一如既往地坚持遵循这12条戒律。

相关文章 热门文章
  • Exchange2007通过PowerShell批量创建用户邮箱指定组成员邮箱
  • PowerShell命令解释器技巧
  • PowerShell脚本优化技巧
  • Windows PowerShell改变Exchange Server 2007管理工作
  • PowerShell 经典脚本贮藏室
  • Windows PowerShell 講座 (9)—模組化
  • 精通Windows Server 2008 多元密码策略之PowerShell篇
  • 通过PowerShell批量创建用户邮箱
  • Windows PowerShell 講座 (8)—迴圈與流程控制
  • Windows PowerShell 講座 (7)—運算子(下)
  • Windows PowerShell講座(6)—運算子(上)
  • Windows PowerShell 講座(5)—儲存資料的其他方式及編寫指令碼的前置準備
  • “http 500内部服务器错误”的解决方法
  • 利用Windows 2000 Server的RRAS实现VPN服务器
  • 用凤凰万能启动盘解决本地/域管理员密码丢失
  • Win2003 Server企业版安装配置
  • Active directory 灾难恢复
  • Windows 2000/03域和活动目录
  • 如何在vmware4上创建windows 2003群集
  • MSI文件制作全过程
  • Win2000命令全集(一)
  • Windows 2000/AD技巧
  • 此系统的本地策略不允许您采用交互式登录解决方法
  • Win2000路由的安装与设置实现不同网段互通
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号