http://z00w00.blog.51cto.com/515114/1081725
(三)匿名和验证授权混合访问共享文件或文件夹
很多人喜欢在实践中设置匿名访问和验证授权访问混合使用。我个人并不赞同这种方式。首先这种方式实现起来比较麻烦,而且客户端操作也不容易,不过还是可以做到的。如下图7.19
(图7.19 红色箭头代表使用本地验证用户访问具备写权限)
我们在图7.1的基础上进行了一些调整,用户A通常和用户X(X代表出A外任何用户)使用文件共享服务器X上的匿名用户访问共享文件夹X,只拥有读取共享文件夹X中文件的权限。但是用户A拥有文件共享服务器本地用户Z,来访问共享文件夹X,可以往共享文件夹写文件。
在设置这种权限的时候,我们需要修改组策略中的一个地方,只有保证正确的组策略,后续才能顺利进行。如下图7.20
(图7.20)
这里一样要设置成“经典”而不是“仅来宾”模式,否则用户全部用GUST账号登录。如此设置完毕后,用户A需要这样设置,匿名访问通过UNC与其它用户一样访问共享文件夹X,而当需要使用文件共享服务器Z用户,在计算器上映射一个磁盘驱动器,如下图7.21
(图7.21)
注意:一定要勾选“使用其它凭据”连接
这样设置以后,如果使用匿名访问,就在运行里输入\\sharename\sharefile,如果需要授权用户访问写入共享目录,就用映射驱动登录。不过有一点,两者切换登录的时候,记住要删除连接会话,或者注销用户。会话在一段时间内不会清除。查看共享会话命令:net use
删除共享会话命令:net use \\sharename\sharefile/del
(四)授权访问共享文件夹
看来匿名访问和授权访问混合起来确实比较麻烦。所以尽管从匿名访问从技术的角度上是可以赋予写入权限访问的,但是我个人强烈建议不这么做,因为一旦允许匿名访问可写,你并不知道某个文件究竟是谁上传上去的,是谁究竟改写了某个文件。所以当允许共享文件夹访问可写的时候,强烈建议要用验证授权用户的方法去访问共享文件或文件夹。
如何正确设置我们想要的用户权限访问共享文件夹中文件或文件夹。这个是共享文件夹中的重点与难点,其实很多人是对权限设置研究和理解的不够透彻,只要理解透彻了,在可行性的权限设置,尽管复杂,但是也能做出来。所以还是先说说用户权限设置的原则。
授权验证访问的安全性总结如下:
1.共享访问规则
其实文中之前已经说过了,为了加强印象再重复一遍。通过网络访问共享文件夹的时候,如果要设置用户权限,其实需要在两个地方进行设置,而这两个地方更直观的理解像2道“防火墙”如下图,7.22
(图7.22)
当某人在计算机A本地登录的时候,如果想访问文件共享服务器X共享文件夹X的时候,需要使用文件共享服务器X上的本地用户Z,然后通过网络利用SMB协议经过共享权限和NTFS权限访问权限控制验证后才可以访问共享文件夹X中的内容。由此看出使用授权验证方式访问共享文件夹实际上是很安全的。(当然是权限设置要合理)
需要提醒一部分读者:通过网络访问的方式就是我前文提到的那三种方法:通过NET USE命令、通过“运行’’菜单中输入UNC或通过WINDOWS EXPLORER中输入UNC、通过映射网络驱动器。很多人是通过远程桌面登录到文件共享服务器X,然后再访问这个共享文件夹X。注意,这个时候就不是前文提到的通过网络访问了,所以“文件共享“权限就不生效了。我们来测试一下。”修改共享权限,让z00w00拒绝访问,如下图7.23
(图7.23)
但是我们在NFTS权限上给予z00w00修改权限,如下图7.24
(图7.24)
在这里还要小小解释一下:这个文件夹名叫sharetest,但是共享名叫share1,所以这两者是一个东西,在用共享访问的时候就是share1,就相当于一个别名,如下图7.25
图7.25)
按照我们刚才的理论,共享禁止了,我们通过网络访问就无法访问该目录了,但是如果通过远程桌面登录,是可以访问该目录的,现在我们测试一下,并截图结果,共享访问结果如下图7.26
(图7.26)
很明显提示因为权限问题拒绝了我们的访问。下面我们看远程桌面登录后的结果,如下图7.27
(图7.27)
可以看出我们顺利进来了,并且有读、写、修改的权限。
2.共享权限设置规则
文件共享权限设置比较简单,就是”读取”、”更改”和“完全控制”三种。如果只允许用户读取文件夹中的内容,那么只勾选”读取”选项即可。如果需要用户往共享文件夹中写入内容,那么就必须勾选”更改”选项。(勾选“更改”选项会自动勾“选读”选项)。如果给用户更大的权限,允许用户赋予其它用户对这个共享文件夹的权限,那么就需要勾选”完全控制”选项了。
(图6.1)其实前言已提及,连接共享使用服务器共享的通用命名约定(Universal naming convention,很多人都听说过。还有一种方法就是使用资源管理。当你双击“我的电脑”。如下图6.2(图6.2)利用映射网络驱动器如果用户每天甚至更频繁的要访问这些共享文件夹,每次都要在“开始”-”(图6.2-A)设置远程共享文件夹的地址,如下图6.2-B![](\"https://s2.51cto.com/attachment/201211/170328740.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
看到映射的图标和地址,如下图6.2-C(图6.3-C)利用NET USE中,就是利用NET USE\\\\servername\\sharename6.3(图6.3)共享文件夹的匿名访问与授权访问我们共享文件或文件夹通常处于两种目的:第一种,类似集中发放的文件或文件夹共享。比如你有一个文档或电子书,任何人都可以远程访问你共享的文件夹下载这个文档或电子书。这种情况下是谁来访问并不重要。因为任何人都可以,如下图7.1
![](\"https://s2.51cto.com/attachment/201211/171108476.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
(图7.1)
还是用户G系统中有一个匿名用户GUEST禁用该账号””共享文件夹举例,如下图7.3)
权限双重联合控制。通过图7.3的验证,然后再通过“NTFS权限控制本地访问)只有通过两者的授权才能正常的访问被共享的文件夹,很多人就是在这里设置不当,造成共享文件夹无法访问。
权限”和7.4-B
(图7.4-A 组可读)
共享文件夹的NTFS共享文件夹就不需要身份认证了,不会弹出身份认证的窗口。如下图7.5
由于设置了只读模式,所以只能读取和运行文件夹中的文件和目录,无法删除该目录中的文件和新增文件。我们测试一下,如下图7.6-A
![](\"https://s2.51cto.com/attachment/201211/171616329.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
中,失败)
![](\"https://s2.51cto.com/attachment/201211/171706225.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
我们不需要知道谁来取得共享文件夹中的文件,我们允许任何人读取共享文件中的文件,并且可以复制到本机。但是不允许修改共享文件夹中的内容,包括删除。
(二)可怕的Everyone组
我思考了一下,觉得还是要先说一下这个everyone组,并且给了“可怕的”这个定语,因为这个everyone组确实很可怕。可能有人会问我为什么?很抱歉,我一直想写一篇关于WINDOWS用户组管理方面的博文,但是一直还没有,我将来会在那个文章中详述,)
![](\"https://s2.51cto.com/attachment/201211/171840301.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
(改为”read me111.txt”)
文件夹的。如下图7.8-A和7.8-B
![](\"https://s2.51cto.com/attachment/201211/171926683.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
这个账号读写权限,everyone(图7.8-B WL权限)
组权限是什么不重要。
通过网络访问共享文件夹WL(图7.9改为read me222.txt(图7.10的NTFS组的拒绝写入权限已经造成了该文件不可更名,实际上它还禁止了在这个文件(实际上包括所有的三个文件)中写入,和保存在WL因为没有拒绝读权限,所以可以打开该文档)
![](\"https://s2.51cto.com/attachment/201211/172147699.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
)
(图7.12 结果就是拒绝访问,如下图7.13
)
(图7.14
![](\"https://s2.51cto.com/attachment/201211/172333212.jpg\"?x-oss-process=image/resize,m_fixed,w_1184)
)
组是很恐怖的,默认所有账号和组都是它的成员,这一点连administraotr文件复制到WL)
所以,<SPAN style=""font-size: 16px'">
<H3 style=""text-align: left" target='\"_blank\"'>
)
