1 windows Server文件共享使用的端口是TCP-139,TCP-445,使用的SMB协议。
2 文件共享有两个权限可以配置,分别是NTFS系统权限和共享权限,一般建议都是共享权限给Everyone完全控制。主要以NTFS系统权限配置为主。
3 共享权限只能控制通过网络访问登陆的用户,NTFS系统权限可以不仅能控制网络访问登陆的用户,还能控制本地用户登陆(本地登陆指通过控制台登陆,而不是通过windows远程或网络路径访问)
4 创建一个共享文件夹,系统会默认添加继承上一级目录的用户权限。例如我在E盘根目录创建一个共享文件夹,会继承安全里面默认的权限。分别有如下默认权限。
creator owner : 此为权限为创建者所有,如下图我用域账号ctxadmin创建的,此权限一般都不建议删除。权限会传播到子文件夹和文件。
system:此为系统最高权限账号,一般不建议删除。权限会传播到子文件夹和文件。
SZ-CTXFILE\administraotr: 此为文件服务器本地管理员组,此组默认为完全控制权限,若域账号或者本地账号在此组,则账号对此文件夹有完全控制权限。可根据实际场景确认是否保留。权限会传播到子文件夹和文件。
SZ-CTXFILE\User: 文件服务器本地用户,默认只有可读取权限。可根据实际场景确认是否保留。权限会传播到子文件夹和文件。
ctxadmin:因为我用的是ctxadmin域账号创建的,所以对当前创建的文件夹具有完全控制权限,但不会把权限传播到下一级文件及目录。
5 若要删除或者调整默认继承权限,需要右键文件夹,进入高级设置,点击禁止继承。
如下有两种,一种是转换为对象文件夹权限,但是不继承了。转换后既可以进行修改和删除动作了,一般建议使用此方式。第二种就是直接删除。
权限分配方法或说明。
注意:一般都不建议直接在共享文件夹属性里面添加单个用户权限。
通过组的方式分配文件夹共享权限,当对组类成员有添加或者删除操作,对应的用户需要注销后,重新登陆权限才会生效。
推荐AGP原则分配方法一:可以再AD上面创建多个用户组,然后在文件服务器上对不同组赋予不同的权限,例如一个赋予可读权限,一个组赋可读写权限,一个组赋予修改权限等,可根据实际情况进行分配。权限配置好之后,iT管理员根据实际情况把用户添加到对应的组即可,无法频繁登陆文件服务器进行操作。
推荐AGDLP原则分配方法二:此分配方案一般都是针对规模较大的架构而设计。其实就是组的嵌套,先用户定义到全局组,然后把全局组定义到本地组里面。再在文件服务器对本地组权限进行一个配置即可。
还有一种DAC动态访问控制,此方法可以根据域账号的属性来进行访问权限配置,例如AD账号属性里面的办公位置,楼层等信息。此方法配置较为麻烦。一般用的也不多。
文件资源管理功能:此功能在服务器管理里面可以添加。主要有如下功能
1 文件夹容量配额管理:可以对文件夹配置可使用容量空间大小。
2 文件屏蔽功能:例如管理员指定的文件后缀不能上传等操作。
3 存储报告:可以导出文件夹使用数据报表。
4 分类管理:可以对文件夹属性进行一个分类。
5 文件管理任务:可以对文档进行归档,可以设置一些条件可以移走文件夹里不常用的文件。