文件服务器方案1

录目录……3第一章:文件服务器概述以及文件系统的使用……41.1文件系统的使用……41.2文件系统的一些基本概念……51.3ACL和ACE……61.4用户账号以及作用……6第二章：文件服务器的权限……72.1文件的标准NTFS权限类型……82.2文件夹的标准ＮＴＦＳ权限类型……92.3用户的有效ＮＴＦＳ权限……102.4共享文件夹的权限……10第三章：文件服务器的架设……133.1通过文件服务器向导设置共享服务……133.2直接对文件夹设置共享属性……17第一部分：设置文件夹共享权限……17第二部分：在共享的文件下建立用户的子文件夹．……20第三部分：设定每个部门的管理者……24第四章：客户端如何通过网络连接到服务器……274.1使用网上邻居连接到文件服务器……284.2使用UNC路径格式连接到文件服务器……284.3使用映射网络驱动器连接到文件服务器……29第五章：管理员的日常管理与维护……305.1启用磁盘磁额……305.2将分区格式转换成NTFS……335.3常见的故障以及排除方法……34第六章：文件的备份与恢复(卷影副本)……346.1卷影副本的创建……356.2卷影副本的恢复……37第一章:文件服务器概述以及文件系统的使用两人之间共享文件，“网上邻居法”可按设置共享目录；如果共享文件给多个人，可效仿“FTP法”建立一个简单的FTP服务器。但是这样的服务安全性没有一点保证!：如果权限分配出现失误，文件的普通访问者变成了控制者；如果当你好意提供给别人的上传空间时，很可能被感染了活动猖獗的蠕虫病毒；如果办公室里有很多人都想共享自己的文件，难道每个人都在自己的电脑上建立共享目录或者FTP服务器？说到这里，你也就明白在力求工作效率与计算机安全的办公环境中，“网络邻居法”与“FTP法”都远远不及“专职”文件服务器（一台安装了Windows2003Server操作系统而且随时听候我们调用的服务器）。因此随着公司规模的扩展我们有必要建立一台安全的文件服务器.1.1文件系统的使用我们先从一个在客户机上的用户要使用windowsserver2003服务器上的文件的过程为例进行介绍整个文件系统的使用过程.（1）.身份认证1：客户机上的用户使用获得的用户账叼和密码通过网络登录到文件服务器。2：在服务器的本地安全数据库（SAM）中存储着所有的账号和密码。服务器在SAM数据库中进行身份验证。若验证通过则转向执行第4步操作。3：若验证有误则服务将向客户机返回错误信息。（2）.访问控制4:经过了SAM数据库验证的用户账号被送入共享文件夹或者共享文件的DACL(随机访问控制列表)中,在DACL中列举了用户或用户组对该文件夹或者文件的访问权限.5:若在DACL中发现用户账号没有相关的权限将向客户机返回错误信息.6:若在DACL中发现用户账号具有相关的权限,将允许客户机按照权限执行相关操作.(3).对象审核7:如果对文件或者文件夹进行了对象审核功能,用户账号对文件的操作情况将被记录在系统访问控制列表中SACL。这样管理员通过查看审核后的记录就可以得出文件是怎么被访问的。这对评估文件的安全性有十分重要的意义．1.2文件系统的一些基本概念(1)权利为了保护计算机及其资源的安全,windowsserver2003采用的是权利机制.摇拥有相关权利的用户才能执行对计算机系统的登录,并从事具体的管理任务和操作.因此,用户拥有权利,就表示允许用主民用工业在计算机系统上执行任务.Windowsserver2003的用户权利分为两种:登录权利和特权1:登录权利登录权利是授予用户登录windowsserver2003计算机服务器系统的权利,默认情况下,每建立一个新的用户账号,就赋于该用户账号登录的权利.常见的登录权利包括:[从网络访问计算机]:授予该权利的用户和组可以通过网络连接到计算机.默认情况下所有的用户账号被授予了该权利.[允许本地登录的权利]:授予该用户和组可以交互式登录到该计算机.[允许通过终端服务器登录]:授予该用户和组可以作为终端服务客户登录.[拒绝从网络访问这台计算机]:授予该权利的用户和组不可以通过网络访问这台计算机.[拒绝作为服务登录]授予该权利的用户和组不可以作为服务的账号.[拒绝本地登录]:授予该权利的用户和组不能要本地登录.[拒绝通过终端服务登录]:授予该权利的用户和组不能作为终端服务登录.[作为批处理作业登录]:授予该权利的用户和组可以执行批处理.[作为服务登录]:授邓该权利的的用户和组可以作为服务的账号.2:特权用户执行特定任务的权利,通常会影响整个计算机系统,特权作为计算机的安全设置的一部分由管理员批使给单个用户和组.常见的特权包括.[以操作系统方式操作]:此用户权限允许某个进程在没有身份验证的情况下模拟任何用户.访进程因此可以获得相同的本地资源的该问权限,像相应用户一样.[调整进程的内存配额]:此特权确定了可以更改进程可消耗的最大内存的用户.[备份文件和目录]:该用户权限确定了能够在进行系统备份时,跳过文件和目录\注册表和其他永久的对象权利的用户.[从远程系统强制关机]:此发全设置确定了允许从网络的远程位置关闭计算机的用户.误用此用户权限可以会导致拒绝服务.[生成安全审核]:此安全设置确定了进程可用于将条目添加到安全日志中的账号.安全日志用于跟踪未经授权的系统访问.对该用户权限的滥用可能会导致多个审核事件的生成并可能掩盖攻击迹象.[配置系统性能]:此安全设置确定了可以使用性能监视并具来监视系统进程的性能的用户.[还原文件和目录]:此安全设置确定了在还原备份文件和目录时可以跳过文件、目录、注册表和其他持续存在的对象权限的用户，并且确定了可作为对象的所有者设置任何有效的安全原则的用户.1.3ACL和ACE在系统的安全描述符中，有一种特殊的数据结构，称为ＡＣＬ，称为访问控制列表．我们可以把它理解成为一张二维数据表，这些数据表中记录了用户或组对资源对象的访问权限．比如有一个名为文件test.doc的ＡＣＬ的内容如下．账号Ａ可以读取账号Ｂ可以修改账号Ｃ完全控制该表中的每行的数据称为ＡＣＥ称为访问控制项，实际上就是指使给用户或组的每项权限．一个资源对歇脚的安全描述符中的整个权限项ＡＣＬ．访问控制列表有两种类型的．１:随机访问控制列表DACLDACL是对歇脚的安全描述符的一部分,它能赋于或拒绝特定用户和组对该对象的访问权.只有对象的所有者才能更改在DACL中赋予或拒绝的权限,这就表示此对象的所有者可以自由访问该对象.2:系统访问控制列表SACLSACL是对象的安全描述符的一部分,指定了每个用户或组中要审核的事件.审核事件的例子是文件访问、登录尝试和系统关闭。1.4用户账号以及作用在一个计算机网络中，计算机是被用户访问的客体，用户是访问计算机的主体，两者缺一不可。用户必顺拥有计算机的账号才能访问计算机，因此，通常我们也简称用户账号为用记。所谓用记的管理和配置实际上是指用户账号的管理和配置。Windowsserver2003网络服务器有两种工作模式，一种是工作组模式，一种是域模式。对应到到这两种工作模式，用户账号也有两种类型。1本地用户本地用户存储在计算机的SAM本地账户安全数据库中，本地用户只能够访问本地计算机的资源而不能够访问其他计算机的资源。2域用户域用户存储在域控制器上的“域安全数据库”中域用户能够访问域内所有计算机上的共享资源。这是主要基于客户机/服务器模式的网络中。客户机和服务器的身份是不平等的。在一个集中的管理者域控制器上管理全域的用户账号和密码，存储域用户账号的数据库称为域的SAM。本方案的所有用户将是基于域来操作的。加入域的windowsserver2003服务。器称为成员服务器，成员服务器自己不不规则管理用户数据库，用户账号和密码的验证统一由域控制器来完成。访访案中的文件服务器也将成为域中的成员服务器。第二章：文件服务器的权限权限是与对象关联的规则，用来控制谁可能访问对象对象及访问的方式如何。权限由对象的所有者授予或拒绝。通过对计算机系统上的资源赋予某些账号或组以持定的权限，就能够限制这些账号对资源的使用方式。设置权限，就是为组和用户指定访问级别。例如，可以允许一个用户读取文件的内容，允许另一个用户修改该文件，同时防止所有其他用户访问该文件。可以在打印机上设置类似的权限，使某些用户可以配置打印机，而其他用户只能用其打印。采用NTFS格式的文件系统，我们可以给文件授予细致的权限。这些权限称为NTFS权限，分为两类：NTFS特殊权限和NTFS标准权限。应注意的事项包括以下几点：1：它的磁盘分区一定要是NTFS格式的磁盘分区。如下图所示2：只有NTFS分区的文件夹和文件才可以使用NTFS权限，而FAT、FAT32上的不可以。3：即可以对文件夹指使也可以对单独的文件指使。4：NTFS权限既可以对本地访问有效也对网络访问有效。2.1文件的标准NTFS权限类型可以、对单独的文件授予标准的NTFS权限。操作方法就是在NTFS分区上的文件。“选中所要设置的文年”“右击”“属性”就可以弹出文件权限对话框。如下图所示：读取：可以读取文件内的数据。查看文件属性，文件的所有者，文件的权限。写入：可以添加文件的内容，修改文件属性查看文件的所有者，及文件权限。读取及运行：除拥有读取权限以外还可以运行该程序文件。修改：除拥有写入、读取、运行该文件程序以外还可以更改文件内的数据。删除文件等。完全控制：具有一切NTFS权限，如更改权限、取得所有权等权限。注意：windowsserver2003内任一文件或文件夹都有其所有者。默认的为其创建者。取得所有权：当某用户对某文件或文件夹具有取得所有权时。访用户就可以抢夺该文件夹或文件的所有者成为其所有者。取得所有权。默认情况下管理员及管理员组相关成员对系统内任意文件夹都具有取得所有权的权限。2.2文件夹的标准ＮＴＦＳ权限类型可以对一个在ＮＴＦＳ分区上的文件夹进行权限设置．打开文件夹NTFS权限设置的界面方法如下：＂选中要设置的文件夹＂――――＂单击右键＂―――＂属性＂弹出的对话框中选择＂安全＂选项卡．如下图所示：读取：可以查看文件夹名称，子文件夹名称，文件夹属性，文件夹所有者．文件夹权限等。写入：能够在文件内创建文件或子文件夹、修改文件夹属性、查看其所有者权限等。列出文件夹及目录：除拥有读取权限以外，还可以遍历文件夹进入子文件夹。读取及运行：允许读取文件夹内的文件件。以及运行程序文件。修改：除拥有写入读取以及运行权限以外，还可以删除文件夹内的内容。完全控制：拥有一切文件权限的权限。具有一切NTFS文件夹标准权限。一般如有管理员用户Administrator和文件夹的所有者才可以具有这样的权限。NTFS特殊权限：１）取得所有权：具有访权限的用户可以夺取所有权．成为所有者．２）更改权限：具有该权限的用户可以更改权限设置．2.3用户的有效ＮＴＦＳ权限当用户属于多个组，而每个组对某个资源具有不同的权限时用户最终的有效权限取决于下列原则：１）权限具有累加性：即取并集如读取＋写入＋修改＝修改．当一个用户属于多个组时，每个组可能有不同的资源访问权限，用户对这个资源的最终有效权限是这些组中最宽松的权限，即累加权限．所有的用户所属的组的权限相加得到用户的最终权限．２）拒绝权限优先：如读取＋写入＋修改＋拒绝＝拒绝．当用户或组被授予对某资源的拒绝访问权限时，访权限将会大于其他任何权限．即在访问资源时只有拒绝权限是有效的，当有拒绝权限时最大权限原则无效．３）文件权限优先文件权限．当用用户或用户级组对某个文件夹下的文件的权限秘文件夹权限不同的时候，用户对文件的最终权限是用户被赋予的文件权限，文件权限超越上级文件夹权限．但是如果对文件夹赋予了权限．而没有对文件赋予权限，则文件将会自动继承上级文件夹的权限．４）文件夹和文件复制或移动之后的权限改变复制：权限继承目的地的权限．移动：移动到不同分区则继承目的地权限移动：移动到同一分区权限不变５）权限的继承：当分区被格式ＮＴＦＳ文件系统以后．默认就把已有的部分ＮＴＦＳ权限并且默认情况下这些权限会传递