利用 WIN2003 架设简单文件服务器
主要功能
1、每个用户都能存取删除自己所拥有的文件。
2、这些用户某些时候需要共同的存取一些文件,但不能让他们 有删除的权限,只能由管理员来添加和删除。
3、每个使用者都要有自己的帐户,并且对特定文件夹的访问需 要形成日志保存下来供管理员查看。
4、保证用户存放在服务器上的文件不携带病毒和其它有危害性 的代码。
5、每个用户只能在服务器上存放一定大小的文件,而不是无限 大的文件,并且当存放文件到特定警戒线的时候能通知管理员。
6、对一些重要的私有文件,用户要能实现加密,保证这些信息 不会被别人读取。
通过分析,其实除了病毒监控的功能外,其它要求 Windows
2003 自带的服务都可以实现,让我们来看看具体是如何来实现的。 这个例子具有一定的普遍性,不但实用经济,而且还保证了安全,基 本实现了零管理,大大减轻了管理员的负担。这里只是做了一个例子, 具体做的时候用户名和组名以及其它设定都是根据您的需要来设定。
首先,我们打开开始菜单,依次选择“程序”-“管理工具”-“计
算机管理”,打开“本地用户和组”(假设你没有建立域),然后点用 户,在右栏里右键,新建立 3 个用户,分别为 a,b,c3个用户,
(假设新来的 3 个用户,分别为 a,b,c),如图 1
点击组,在右框里点击新建组,建立一个叫“wawa”的组,如图 2
所示。然后点添加,把a用户,b 用户,c 用户都添加到 wawa 组里, 如图 3。
图 2
图 3
接下来为这个组和组里成员分别建立各自的文件夹,先建立一个
文件夹,名字叫 abc,在属性的安全标签里添加新的安全设定,把这 个文件夹设置为 wawa 组只读,如图 4 所示。然后在 abc 文件夹下新
建 3 个文件夹,分别为a,b,c,并分别把每个文件夹的权限设置 为指定用户完全访问,即 a 文件夹设置为 a 用户完全访问,b 文件夹 设置为 b 用户完全访问,c 文件夹设置 c 用户完全访问,如果用户很 多的话,依次类推,如图 5 所示。
图 4
图 5
经过这样设置,权限的问题,我们就基本解决了,所有的用户都
能访问读取 abc 文件夹下的文件,包括其子文件夹下的文件,并且自 己可以添加删除自己文件夹下的文件,而其它用户只能读取了。
打开文件共享管理器,如图 6。依次点“共享”-“新建共享”, 启用“文件夹共享向导”,选择 abc 文件夹并把它共享,如图 7。点 下一步,输入共享名和共享描述,如图 8。在脱机设置里可以根据需 要设置共享文件夹的脱机选项,具体概念请查阅相关文档,这里不多
做解释了,一般默认就可以了。下一步后,在权限设置里,设置为“管
理员拥有完全访问权限,其它用户有只读访问权限”。
图5
图6
图 7
图 8
这里有个问题就是上次,我们设置过 abc 文件夹的权限,这次又
在这里设定,这在 Windows 2003 里是允许的,但是它遵循 3 个原则: 多个组赋予的许可是叠加的;文件许可优先于文件夹;拒绝访问许可 优先。通过这个原则我们知道 abc 这个文件夹管理员可以完全访问, 并且每个用户可以完全访问自己的文件夹,对其它用户的文件夹有只 读权限,这正是我们所需要的结果。
上面提到了,我们要对每个用户访问文件夹的操作进行跟踪并形成日 志,要实现这个功能就要给 abc 文件夹添加审核。打开 abc 文件夹的 属性,然后打开“安全”标签,点“高级”按钮,在“审核”标签里 给这个文件夹设置审核,如图 9。点“添加”按钮,在"选择用户和
组"对话框里填入“wawa”组,如图 10,确定后把完全控制的成功
和失败都设置为审核项目,如图 11。
图 9
图 10
图 11
添加了文件夹审核后,在系统的安全日志里会有很多的审核日 志,因为日志多了会严重影响系统的性能,所以我们在安全日志的属 性里把日志的最大字节设置一下,这样就不至于让日志过分臃肿了, 注意一下就是,日志的最大值必须填写为 64K 的倍数,如果你填写
的不是 64 的倍数,系统会自动设置为最靠近的一个 64 的倍数。
因为一些重要的私有文件,我们不希望让别人访问或者打开,上面的
权限设置就很难满足要求了,为了实现这一个目的,我们就需要特定 的私有文件进行加密。Windows2003 给我们提供了一种廉价安全的 加密方式,那就是 efs 加密系统,它只支持 NTFS 文件系统,是基于 公众密钥的,加密的时候自动会生成一个加密密钥,它本身还可以扩 展的加密算法,所以比较安全。还有一点就是用它加密解密文件或者 文件夹非常的容易,只要在属性里选一下就可以了,如图 12。
图 12
每个用户可以用它来为自己私有的重要文件进行加密,但注意一 点就是,进行 EFS 加密文件后,最好备份好每个用户的个人证书, 并保管好,以后要是出了问题,把个人证书导入一下就可以打开加密 文件了,否则重装系统即使你还用以前的帐户和密码登陆,也不可以
打开加密的文件。这点一定要注意,不知道多少人因为没有备份证书
而丢失了重要的文件,这是多么的可悲呀。导出证书,在管理工具的
“证书颁发机构”控制台里,选择个人证书,右键导出证书就可以了。
下面该为用户设置默认磁盘配额了,磁盘配额是 NTFS5.0 的新 增的功能。再 abc 文件夹所在的磁盘属性里,找到配额标签。把“启 用配额”和“拒绝将空间给超过配额的用户”前面的钩选上。将磁盘 空间限制为 10M,警告级别设置为 5M,具体数值可根据用户的需要
来分配。把下面的“用户超出配额限制时记录事件“和”用户超过警
告登记时记录事件”。如图 13。
图 13这样设置后,当用户文件存放到警戒线后就会写在日志里,管理
员可以通过日志来获取这些信息,并对此做适当的操作,或者通知用 户整理文件,或者增加配额大小等。
设置了默认的配额选项后就要为每个具体的用户设置配额选项 了,点击“配额项”按钮,在打开的对话框里分别给 a,b,c 用户设 置配额,点新建配额,然后选择用户,填写配额大小和警戒大小就可 以了,如图 14。
图 14
最后时杀毒的问题,只要在服务器上装一套企业版的杀毒软件, 并打开实时病毒监控就可以了,关于杀毒软件的具体使用,请参照其 官方文档,我推荐大家使用 NOD32,企业里用很不错的杀毒工具, 强劲有效,并且自带的病毒库升级工具非常方便更新病毒库,保证服
务器不受病毒侵扰。除了平时的实时杀毒外,还可以添加杀毒任务来 定期全面杀毒,打开启发式杀毒等。
对于服务器上的重要文件,管理员要进行及时的备份,备份的方
案有好多,最经济的方案就是利用 Windows 2003 自带的计划任务和 备份程序来解决。具体方法可以查看一下 Windows 帮助文档。
我们的这个文件服务器就建好了,既经济又安全,最主要的是不 需要其它的第三方软件(除了杀毒工具) 。
