WindowsServer入門系列40網路共享許可權設定

1. 設定共享許可權

共享許可權是控制使用者通過網路訪問共享資料夾的手段，共享許可權僅當使用者通過網路訪問時才有效，本地使用者不受此許可權制約。

相比NTFS許可權，共享許可權的設定要簡單得多，共享許可權只有三種：完全控制、更改、讀取。

Win2003的預設共享許可權是Everyone組有讀取許可權。通過“新增”和“刪除”按鈕，可以控制更改使用者和組的數量，通過下面的“允許”和“拒絕”核取方塊，來控制使用者和組的許可權。共享許可權的規則與NTFS許可權類似，使用者最終的許可權遵循許可權累積原則和拒絕優先原則。

 

2. 共享許可權與NTFS許可權

如果共享資料夾位於NTFS分割槽，那麼使用者通過網路訪問共享資料夾的最終許可權是兩種許可權的交集，也就是最嚴格的許可權。

比如使用者test屬於financial組，test對共享資料夾具有“完全控制”的共享許可權，financial組對資料夾具有“讀取”的NTFS許可權，那麼當test從網路上訪問這個資料夾時，將只具有“讀取”許可權。

當使用者從本地計算機直接訪問資料夾時，不受共享許可權的約束，只受NTFS許可權的約束。

 

3. 許可權設定案例

在瞭解了許可權設定的基本規則之後，下面通過一個具體的案例來分析如何設定安全許可權和共享許可權。

某公司下設有財務部和技術部兩個部門，每個部門各有2名員工和1名部門經理，另外整個公司還有1名總經理。現需要在企業辦公網路中搭建一臺檔案伺服器，在檔案伺服器上建立共享資料夾share，在share中再為每個部門分別建立一個子資料夾。共享資料夾要滿足如下許可權要求：

• 每個部門的普通員工只能以只讀許可權訪問本部門的資料夾；

• 部門經理可以以完全控制許可權訪問本部門的資料夾，以只讀許可權訪問其它部門的資料夾；

• 公司總經理對整個share共享資料夾具有完全控制許可權。

（1）建立使用者賬號和組賬號

首先需要為案例中的每名員工建立相應的使用者賬號，為每個部門建立組賬號，並將使用者賬號分別加入到相應的組賬號中。

需要建立的使用者賬號和組賬號如下圖所示：

（2）為share資料夾設定許可權

將share資料夾設為共享， 併為其設定許可權。share資料夾作為父資料夾，根據許可權繼承規則，對其設定的許可權將自動傳遞到其中的子資料夾和檔案中。

首先分析一下，在預設情況下使用者遠端訪問share資料夾時具有什麼許可權？可以從以下幾個方面進行分析：

① 共享許可權，預設Everyone具有讀取許可權；

② 安全許可權，預設Users組具有“讀取和執行”許可權以及“建立資料夾/寫入資料”特殊許可權，所有的使用者賬號預設都屬於Users組的成員；

③ 使用者遠端訪問share資料夾時的有效許可權為共享許可權和安全許可權的交集。

因而可以推斷，在預設情況下任何使用者賬號在遠端訪問share資料夾時都具有讀取許可權。

在明確了預設許可權之後，下面開始著手進行許可權設定。

考慮到同時既設定共享許可權又設定安全許可權，會將問題搞複雜，因而這裡可以直接將共享許可權設為Everyone具有完全控制許可權，即將共享許可權設為最大。由於有效許可權是共享許可權和安全許可權的交集，因而在將共享許可權設為最大的情況下，只需設定安全許可權便即是最終的有效許可權。

在將共享許可權設為最大之後，任何使用者都將從安全許可權的Users組中獲得了“讀取和執行”以及“建立資料夾/寫入資料”許可權，這很明顯不符合要求，因而必須將Users組從安全許可權的使用者列表中刪除。但Users組的許可權是share資料夾從它的父資料夾（磁碟分割槽根目錄）繼承而來的，對於這些繼承而來的許可權無法直接改動，因而要刪除Users組，首先必須要斷開許可權繼承關係。

在share資料夾屬性的“安全”選項卡中，點選“高階”按鈕，在開啟的“高階安全設定”中點選“更改許可權”按鈕，然後去掉“包括可從該物件的父項繼承的許可權”按鈕，

在隨後出現的警告對話方塊中選擇“新增”，仍然保留原先的使用者列表，如圖3所示。

如此，便可以將Users組從使用者列表中去除掉了。

接下來根據案例要求，只有公司總經理boss具有對所有部門的完全控制許可權，因而對於share資料夾，只需為總經理boss設定完全控制的安全許可權即可，

至此，針對share資料夾的許可權設定完成：只有公司總經理boss具有對share資料夾的完全控制許可權。根據許可權繼承規則，這個許可權將自動傳遞到share資料夾中的各個子資料夾和檔案中。

（3）為部門資料夾設定許可權

在share資料夾中建有兩個子資料夾：“財務部”、“技術部”，它們的預設許可權都是從父資料夾share繼承而來的。對這兩個資料夾都不必再設定共享許可權，只需按照案例要求設定安全許可權即可。這兩個子資料夾的許可權設定具有相似性，因而下面只以“財務部”資料夾為例予以說明。

下面根據案例要求為相應的使用者賬號和組賬號分別設定許可權：

① 財務部員工具有讀取許可權。

由於部門裡員工人數眾多，因而在為部門設定許可權時，一般不要直接為部門裡的每個使用者賬號設定許可權，而是應針對部門所對應的使用者組設定許可權。

在安全許可權的使用者列表中新增“financial”組，賦予“讀取”、“讀取和執行”、“列出資料夾內容”許可權。

② 財務部經理具有完全控制許可權。

針對某個特殊使用者分配的許可權，可以直接新增該使用者賬號fmanager，賦予完全控制許可權。

③ 其他部門經理具有讀取許可權。

之前已經建立了一個名為manager的使用者組，所有部門經理都屬於該組的成員。因而這裡新增manager組，賦予“讀取”、“讀取和執行”、“列出資料夾內容”許可權。

至此，針對“財務部”資料夾的許可權設定完成。這其中比較特殊的是財務部經理fmanager使用者，他同時是財務組financial和部門經理組manager的成員，而且還為其單獨指定了許可權，根據許可權累加規則，fmanager的最終許可權是所有這些許可權的累加之和，即完全控制許可權。

（4）總結

在上述許可權設定過程中，需要強調和注意的幾個問題：

一是要準確把握許可權設定的四項規則，明確使用者的有效許可權是共享許可權和安全許可權的交集。

二是由於安全許可權的許可權專案分得比較細，設定起來比較靈活，因而可以將共享許可權設為最大，如此只需設定安全許可權便是最終的有效許可權。

三是要注意衡量是否需要去除安全許可權中預設存在的Users組，否則很多計劃外的使用者可能會從該組獲得某些意外的許可權。

本文轉自 yttitan 51CTO部落格，原文連結:http://blog.51cto.com/yttitan/1342024