服务器基本信息
# 操作系统
(Get-WmiObject -Class Win32_OperatingSystem).Caption
Microsoft Windows Server 2019 Standard
# IP地址
IP 地址: 10.10.10.31
子网掩码: 255.255.255.0
默认网关: 10.10.10.1
首选DNS服务器: 10.10.10.10
# 系统名称,域
Get-WMIObject Win32_ComputerSystem | Select-Object Name, Domain
Name Domain
---- ------
BJFS01 contoso.com
AD组
Get-ADGroup -SearchBase "OU=Groups,OU=Root,DC=contoso,DC=com" -Filter *
DistinguishedName : CN=IT,OU=Groups,OU=Root,DC=contoso,DC=com
GroupCategory : Security
GroupScope : Global
Name : IT
ObjectClass : group
ObjectGUID : d1bf68b2-f828-467e-8cab-73eec89f5654
SamAccountName : IT
SID : S-1-5-21-873975853-2567142126-3576544696-1111
DistinguishedName : CN=HR,OU=Groups,OU=Root,DC=contoso,DC=com
GroupCategory : Security
GroupScope : Global
Name : HR
ObjectClass : group
ObjectGUID : 7bddc0a5-bd5d-4e41-a5db-343f6fad3fea
SamAccountName : HR
SID : S-1-5-21-873975853-2567142126-3576544696-1112
DistinguishedName : CN=Finance,OU=Groups,OU=Root,DC=contoso,DC=com
GroupCategory : Security
GroupScope : Global
Name : Finance
ObjectClass : group
ObjectGUID : def5e1ff-554b-414d-a418-81ffc84a411f
SamAccountName : Finance
SID : S-1-5-21-873975853-2567142126-3576544696-1113
共享原则
- 在同一目录层级赋权限,保持权限管理的一致性,简洁性
- 基于AD组赋权限,不要基于单个用户赋权限
- 启用卷影副本
- 启用基于访问权限的枚举
案例分析
D盘,新建Share文件夹,点击Share文件夹,右键菜单选择“属性”,点击“高级共享”
启用“共享此文件夹”,点击“权限”
删除everyone权限,点击“添加”,添加Domain Users“完全控制”权限,点击“确定”
点击“安全”标签,点击“高级”
点击“禁用继承”,选择“将已集成的权限转换为此对象的显式权限”
点击“编辑”,将“Users(BJFS01\Users)”权限移除
点击“添加”,添加Domain Users 仅"列出文件夹内容"权限,点击“确定”
建立如下文件夹结构:
└─Share
├─Department
│ ├─Finance
│ ├─HR
│ └─IT
└─Public
├─Finance
├─HR
└─IT
Share\Department\IT权限如下:
- IT(修改/读取和执行/列出文件夹内容/读取/写入)
- Domain Users(NULL)
Share\Public\IT权限如下:
- IT(修改/读取和执行/列出文件夹内容/读取/写入)
- Domain Users(读取和执行/列出文件夹内容/读取)
注意:
首先需要“禁用继承” -> “将已继承的权限转换为此对象的显式权限” ,然后才能自由删除组/添加组,赋权限。
三种权限
- 修改/读取和执行/列出文件夹内容/读取/写入(一般对应最终用户理解的读,写权限)
- 读取和执行/列出文件夹内容/读取(一般对应最终用户理解的读权限)
- 列出文件夹内容
卷影副本
卷影副本(Shadow Copies)也称为快照,是存储在 Data Protection Manager (DPM) 服务器上的副本的时间点副本。副本是文件服务器上单个卷的受保护共享、文件夹和文件的完整时间点副本。
选中本地磁盘(D:),右键菜单选择“属性”,点击“卷影副本”标签,点击“启用”启用卷影副本功能
点击“设置”
可以设置卷影副本使用磁盘空间的限额
点击“计划”
可以相应修改卷影副本计划
基于访问权限的枚举
基于访问的枚举启用后,如果用户对文件或者文件夹没有权限,那么这些文件或者文件夹对于该用户不可见。
开始菜单,点击“服务器管理器”
点击“文件和存储服务”
点击“共享”,点击共享“D:\Share”,右键菜单选择“属性”
选中“启用基于存取的枚举”,点击“确定”