文件服务器目录架构及权限规划解决方
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
文件服务器目录架构及权限规划解决方案
文件服务器目录架构及权限规划解决方案。在技术中国遇到一位朋友问FileServer上,如何建立目录架构的问题。此类文章在internet上也很多了,我结合自己多年来的经验,给出下面这些原则,大家可以在作的时候把握一下:
1、目录结构的设计,从根目录到底层目录不要超过3-4层,太深了,权限难以操作。
2、用户所能够用到的策略,由共享权限和安全权限来决定,取其交集。如果在同一对象向上存在权限设置冲突,取并集
3、以部门架构设计目录结构的,以部门发生变化后,目录的最少移动或者不移动为优先
4、从根目录到底层目录,尽量保持继承,如果需要,底层断掉。如果目录结构不符合这一特性,应予以重新设计。
5、所有权限赋予都应以组为最小单位,哪怕使用者只有一个成员。
6、尽量简化权限设置复杂性,不论它是来自设计还是操作上的。如果不同的目录结构设计导致不同的结果,取最优者。
7、无论拥有多合理的备份,都请保留一份目录架构及权限设置清单。
8、在设置目录权限的时候,从根目录到子目录,由上至下逐层设置,不到万一,切忌向下对子目录套用权限。
另外要说到一个设立共享目录时遇到的权限及安全策略的问题,这也是很多朋友们经常问到的问题。当设置共享目录的时候,在设置权限的时候,需要设置两个权限:共享权限和安全权限。当用户连接这个目录时,系统先校验共享权限,如果允许访问再校验安全权限。用户最终需要使用对该目录具有什么权限的帐户连接,取决于共享权限和安全权限的交集。当前两个权限在同一对象上发生冲突或者叠加时,取最严格的设置。
这就是为什么有的朋友经常问,为什么我已经将权限设置为完全控制了,却还是无法写入?那么您可以注意一下共享权限可能设置为只读了。这同系统也有关系,在win2k上共享建立之初默认就是完全控制,而安全性更高的winxp and win2k3,默认状况下就是只读。
安全权限设置方面,如果在同一对象上,安全权限出现冲突或者叠加,那么最终的结果取合集。比如,一个用户属于a群组,也属于b群组,a群组对当前目录只读,而b群组可写,那么最终该用户对于当前目录就可读可写。
再就是安全策略的问题,上面我们说到winxp and win2k3在安全性上有很多改进,其中就包含一个安全策略:网路存取:共用和安全性模式用于本机帐户(抱歉,手边一时没有简体系统,这里所使用的是繁体词汇),winxp and win2k3上默认状态下,为安全起见,该策略项的设置为:仅使用于来宾-本机使用者以Guest验证。这个设置将会导致用户端在连接时候,远端主机提示存取被拒,或者用户名仅显示为Guest而无法更改。您当然可以通过在远端主机上执行gpedit.msc,将此策略项的设置更改为:传统-本机使用者以自身身份验证,从而得以顺利连接,但有个更为方便的做法:在资源管理器-文件夹选项-高级中取消勾选“简单文件共享”,在确定之后,您会发现上面的策略项已经发生了变化。这两个地方的设置是一一对应的,反之亦然。
最后一个经常出现问题的就是windows自带的防火墙。winxp and win2k3默认状态下,系统自带的防火墙处于启动状态,并且拒绝任何外部的文件和打印机连接的。一旦创建共享文件夹
时,您可能需要关闭防火墙,当然关闭防火墙可能带来安全性问题,那么您可以执行firewall.cpl,在例外项目中设置启用“文件夹和打印机共享”,同时可以设置允许连接网段或者地址。