现在很多单位都有文件服务器,常常共享文件让局域网用户访问。但是,为了共享文件的安全,我们常常需要共享文件访问权限,比如防止随意删除共享文件、随意复制共享文件以及将共享文件另存为本地磁盘等,防止共享文件泄密。那么,如何设置服务器共享文件访问权限呢?可以通过以下两种方法:
方法1、基于DOS命令设置服务器共享文件夹权限,控制共享文件访问。
在MS-DOS下使用net share可以共享文件夹,但会供所有人有完全控制权限,想在共享时设置哪些用户有哪些权限,如何通过MS-DOS命令完成.不可使用shrpubw.exe,因为它是可视化界面.
------------------------------ 要保证磁盘文件系统格式为NTFS,如果不是,可以使用convert c: /fs:ntfs 进行转换
使用cacls 设置文件安全权限后再利用net share共享
如: cacls c:\temp /g everyone:r 设置c:\temp目录所有人只读,然后把这个目录net share出来就是所有人只读了(安全权限优先)
cacls /?
显示或者修改文件的访问控制表(ACL)
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 显示 ACL。
/T 更改当前目录及其所有子目录中
指定文件的 ACL。
/E 编辑 ACL 而不替换。
/C 在出现拒绝访问错误时继续。
/G user:perm 赋予指定用户访问权限。
Perm 可以是: R 读取
W 写入
C 更改(写入)
F 完全控制
/R user 撤销指定用户的访问权限(仅在与 /E 一起使用时合法)。
/P user:perm 替换指定用户的访问权限。
Perm 可以是: N 无
R 读取
W 写入
C 更改(写入)
F 完全控制
/D user 拒绝指定用户的访问。
在命令中可以使用通配符指定多个文件。
也可以在命令中指定多个用户。
缩写:
CI - 容器继承。
ACE 会由目录继承。
OI - 对象继承。
ACE 会由文件继承。
IO - 只继承。
ACE 不适用于当前文件/目录。
-----------------------
例如:把D盘下1 文件夹共享给 管理员并且具有完全权限
net share abc=d:\1 /grant:administrator,full
-----------------------
full 栏位可以改成 read 或 change 表示只读和修改
-----------------------
administrator栏位可以修改成需要的用户
-----------------------
参数 /grant 只在WIN2003(或以后)的系统上的net share才支持。
方法2、通过共享文件夹监控软件、共享文件夹权限设置软件来实现。
如果你觉得通过dos命令设置共享文件夹权限的方法比较麻烦,则也可以通过部署一些共享文件夹管理软件来实现。例如,有一款“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),只需要在服务器上部署之后,就可以扫描到服务器上所有共享文件夹,以及服务器上所有账号,然后就可以设置不同账号访问共享文件夹的不同权限了。如下图所示:
图:大势至共享文件夹监控软件
通过本系统,可以更为精细地设置服务器共享文件夹访问权限,可以实现只让读取共享文件而禁止复制共享文件内容、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,以及禁止拖拽共享文件到访问者自己的电脑的行为等。此外,本系统还可以详细记录共享文件访问日志,便于管理员事后备查和审计。 总之,服务器共享文件夹权限设置非常重要,毕竟很多共享文件常常涉及到单位的无形资产和商业机密,一旦不适当使用或越权使用,将会给企业信息安全带来严重风险。而服务器共享文件权限设置的实现,一方面可以通过操作系统自带的共享文件权限设置功能来实现,另一方面也可以通过一些共享文件夹监控软件来实现。具体采用哪种方法,企事业单位可以根据自己的需要进行抉择。
