公司辦公都會應(yīng)用到共享文件，也會把重要的共享文件放到服務(wù)器進(jìn)行共享，這一方面方便大家工作，便于協(xié)同辦公；另一方面也為大家存儲工作中形成的重要文件提供了方便。

但是，這也使得員工可以隨時訪問服務(wù)器重要的共享文件，一旦將這些文件復(fù)制到自己的電腦，尤其是外來電腦；或者外部人士隨意訪問公司共享文件，都會使得共享文件面臨著各種風(fēng)險。

為此，設(shè)置共享文件訪問權(quán)限、監(jiān)控共享文件夾訪問，就成為企業(yè)共享文件管理的重要工作。

權(quán)限要了解如何對文件服務(wù)器進(jìn)行授權(quán)，也就是說如何設(shè)置文件夾的權(quán)限，必須首先明白什么是權(quán)限。

權(quán)限其實是一張表，這張表中記錄了什么用戶可以使用什么方式訪問什么對象。

例如在圖一中，我們新建了一個secret文件夾，這里面是機密文件，只允許DG_IT這個群組訪問。

但是這個群組中有一位即將離職的員工劉海波Louis_liu，自然不能允許這個賬戶再訪問secret文件夾。

那么我們可以這樣設(shè)置，將DG_IT群組加入這張“安全表”，并授予相應(yīng)的權(quán)限，同時也添加Louis_liu賬戶，設(shè)置這個賬戶拒絕訪問該文件夾的權(quán)限。

通常我們把這張“安全表”;叫做自主訪問控制列表discretionary access control list (DACL)在設(shè)置DACL的時候，一般不要將用戶賬戶一個個添加進(jìn)來，而是添加一個群組，這樣有利于提高系統(tǒng)訪問的效率和方便管理。

我們授權(quán)DG_IT這個群組可以訪問secret文件夾，且只有DG_IT組可以及讀取、瀏覽和執(zhí)行IT_Public下面的文件，則此時任何不屬于DG_IT組用戶讀取該文件夾下的文件時，就會遭到系統(tǒng)的拒絕。

共享與安全出于安全性的考慮，當(dāng)您在服務(wù)器上共享文件夾的時候，需要設(shè)置兩個權(quán)限：共享權(quán)限和安全權(quán)限。

這兩個權(quán)限的關(guān)系，可以通過一個網(wǎng)絡(luò)用戶的訪問過程來說清楚。

當(dāng)用戶從網(wǎng)絡(luò)訪問一個目錄時，系統(tǒng)先校驗共享權(quán)限，看看這個用戶是否在共享權(quán)限允許的范圍內(nèi)。

如果允許訪問再校驗安全權(quán)限。

所以這個目錄較終允許什么用戶訪問，將取決于共享權(quán)限和安全權(quán)限的交集。

當(dāng)前安全權(quán)限和共享權(quán)限在同一對象上發(fā)生沖突或者疊加時，取較嚴(yán)格的設(shè)置。

文件夾在安全權(quán)限中還有一個隱含拒絕的權(quán)限，這個權(quán)限是不需要賦予的。

例如IT_Public共享文件夾的共享權(quán)限是完全控制，而安全權(quán)限下面什么用戶都沒有，較終IT_Public網(wǎng)絡(luò)訪問權(quán)限是拒絕所有，這個權(quán)限就是隱含拒絕權(quán)限。

隱含拒絕權(quán)限對于實現(xiàn)文件服務(wù)器來說是非常重要的，因為對于整個局域網(wǎng)中的所有用戶來說，訪問某個文件服務(wù)器的某個文件夾只是極少數(shù)的用戶，而且這些用戶往往又具有某種相同的特點，通過這個隱含拒絕所有的權(quán)限有利于簡化我們的權(quán)限設(shè)定與管理。

是不是有了隱含的拒絕權(quán)限，我們就不需要明確的拒絕權(quán)限？其實也不是，必要時我們還是需要利用明確拒絕權(quán)限。

其實上面的例子當(dāng)中已經(jīng)提到了明確拒絕權(quán)限的作用，例如實例中拒絕即將離職的Louis_liu訪問secret文件夾。

共享權(quán)限利用windows server 2003 R2來實現(xiàn)文件服務(wù)器，共享權(quán)限是必不可少。

共享權(quán)限是用以控制文件夾及其子文件夾和文件來進(jìn)行共享的。

文件夾共享的特性不管是基于fat16/32還是NTFS分驅(qū)，本身就具有。

同樣子文件夾會繼承這種屬性。

共享文件夾只針對從網(wǎng)絡(luò)上訪問才有限，對于本機訪問是屬于無效的，不同于文件夾的安全性設(shè)定。

共享權(quán)限優(yōu)大于NTFS安全權(quán)限，例如IT_Public設(shè)置了允許Jimmy完全控制的安全權(quán)限，但共享權(quán)限當(dāng)中卻只有只讀的權(quán)限，結(jié)果Jimmy對IT_Public的較大權(quán)限是只讀權(quán)限，而不是完全控制。

在設(shè)置文件夾共享建議把該權(quán)限設(shè)置為完全控制，否則后面的安全權(quán)限設(shè)置完全失去了意義，除非是Fat32/16沒有安全權(quán)限，但該分區(qū)是不大可能用來作文件服務(wù)器分區(qū)。

安全權(quán)限因為大家通常都在Windows NTFS類型的分區(qū)上設(shè)置文件夾的安全權(quán)限（在FAT 16/32 的分驅(qū)上是沒有的），所以有人也喜歡把安全全權(quán)限叫做NTFS權(quán)限。

這是基于NTFS文件系統(tǒng)的磁盤分驅(qū)特有的權(quán)限。

NTFS分驅(qū)下面的每個文件夾、子文件夾及其文件均允許設(shè)置與上一級不同的權(quán)，權(quán)限一經(jīng)設(shè)定，不但對本機存取的安全主體有效，而且對整個網(wǎng)絡(luò)的安全主體都有效。

默認(rèn)情況下其子文件夾及文件會自動繼承上級權(quán)限，但若有必要，也可針對的每一個子文件夾及文件予以設(shè)定個別權(quán)限。

但在實際只是縮小上級權(quán)限的范圍，我們不需要一個個添加，只需要對某個文件進(jìn)行阻斷繼承設(shè)置，去掉限制訪問的用戶，也可以是添加拒絕訪問的用戶，設(shè)置拒絕訪問權(quán)限。

至于用哪一種方法好，起決個人習(xí)慣，大多數(shù)人使用較早種方法。

修改子文件夾的權(quán)限的時候要避免犯低級錯誤，如添加了一個用戶，該用戶根本就沒有權(quán)限訪問上級文件夾；設(shè)置文件夾權(quán)限的時候一定至少要留一個“修改”的權(quán)限給管理員作備份用，當(dāng)然用“完全控制”;亦可以，如果嚴(yán)格考慮到網(wǎng)絡(luò)的安全因素，建議用前者。

NTFS權(quán)限有多少，可以細(xì)化到一個什么樣的程度呢？下面將對NTFS權(quán)限作一個全面剖析和比較。

標(biāo)準(zhǔn)的NTFS權(quán)型有五種分別是：寫入，讀取，讀取及執(zhí)行，修改，完全控制。

這幾種權(quán)限是屬于NTFS的標(biāo)準(zhǔn)權(quán)限，雖然從上面的權(quán)限上我們可以大致看出它們都具備什么樣的功能。

但是實際上這幾種功能遠(yuǎn)遠(yuǎn)不能滿足于實際的需求，例如Jimmy想要授權(quán)給Tom能刪除文件，但很現(xiàn)有的五種權(quán)限似乎都不滿足，都不精確，那么列底該給他一個什么樣的權(quán)限呢才合適。

實際上windows2003在這6種標(biāo)準(zhǔn)的權(quán)限的背后，還分別對應(yīng)一組共計13項的“有效權(quán)限”(如圖二)，為了方便權(quán)限的管理，windows才將權(quán)限簡化成6大標(biāo)準(zhǔn)權(quán)限。

我們可以得知五個標(biāo)準(zhǔn)權(quán)限的對應(yīng)的有效權(quán)限。

比如修改權(quán)限，除了不具備“刪除子文件夾及文件”、“更改權(quán)限”和“取得所有權(quán)”這三個功能外，它具備有效權(quán)限的其它所有功能。

需要強調(diào)一點，“寫入”權(quán)限與“讀取”權(quán)限并沒有關(guān)聯(lián)。

讀取權(quán)限比較好理解，但是寫入權(quán)限不具備讀取的能力理解起來如何有點困難，其實具有寫入權(quán)限的用戶雖然不能直接對文件進(jìn)行讀取，但可以通過修改文件的屬性，或者是以另外一個文件的內(nèi)容來覆蓋原始文件。

“讀取”及“運行”權(quán)限比較好理解，它涵蓋了讀取所能做的所有事，外加允許運行可運行文件。

“修改”權(quán)限涵蓋了讀取、讀取及執(zhí)行及寫入所能做的所有事，外加允許刪除。

“完全控制”權(quán)限涵蓋了修改所能做的所有事（含讀取、讀取及執(zhí)行及寫入），外加允許改變用戶權(quán)限及取得擁有權(quán)。

在設(shè)計共享文件夾時建議至少留給一個完全控制權(quán)限給管理員，方便權(quán)限權(quán)限丟失時來取得所有權(quán)，其它用戶端就沒有必要給完全控制權(quán)限。

文件夾權(quán)限設(shè)置Windows 之所以設(shè)計成基本權(quán)限及特別的權(quán)限架構(gòu)，將13項有效權(quán)限組合成六項較常用的標(biāo)準(zhǔn)權(quán)限，這樣可以有效避免用戶或網(wǎng)絡(luò)管理人員直接面對眾多復(fù)雜多樣的權(quán)限，通過簡化文件權(quán)限有效提升了管理效率。

當(dāng)然，這也不等于說windows特別權(quán)限可以取消了，不需要了。

實際在許多場合下面還是需要利用到特別權(quán)限。

當(dāng)您在Windows 上有特殊的權(quán)限需要，可以自行將有效權(quán)限予以組合。

例如以標(biāo)準(zhǔn)權(quán)限而言，讓用戶或群組有能力刪除檔案，至少需要賦予修改的權(quán)限，但事實上從前面的列表中你會發(fā)現(xiàn)“修改”的權(quán)限不但能刪除，還能新增、讀取、寫入等等，權(quán)限相當(dāng)?shù)拇蟆?/p>

如果您只希望用戶能讀取和刪除，卻不能寫入，此時就可以自行在13項有效權(quán)限中加以組合。

這種組合而成非標(biāo)準(zhǔn)的權(quán)限，我們稱之為特別的殊權(quán)。

在Windows NT下，每一個文件夾及文件的權(quán)限都可以自行設(shè)定，并會各自隨該對象存取在文件系統(tǒng)中。

當(dāng)建立一個新的子文件夾或新文件時，會參照上層文件夾的設(shè)定成為新對象的預(yù)設(shè)權(quán)限。

新物件一經(jīng)建立完成，在上下層之間的權(quán)限從此各自獨立，沒有繼承關(guān)系。

但在每一次重新設(shè)定或修改文件夾的權(quán)限時，可選擇是否需要以新權(quán)限取代該文件夾下的原有使用權(quán)限。

但在windows 2003以及R2版本下，對于上層文件夾所設(shè)定的NTFS權(quán)限默認(rèn)值會自動繼承到其子文件夾及文件。

繼承過來的權(quán)限屬性以灰色狀態(tài)呈現(xiàn)，不能直接對其權(quán)限進(jìn)行修改。

如果不想下面的物件繼承上級權(quán)限，可以通過“高級”à“權(quán)限”，然后去掉選中“從父項繼承那些可以應(yīng)用到子對象的權(quán)限項目，包括那些在此明確定義的項目（I）”這個選項，再通過“添加”、“刪除”和“編輯”來修改權(quán)限，修改權(quán)限時應(yīng)該注意一個問題，新增的子文件夾權(quán)限必須是能夠讀取上級文件夾的權(quán)限，否則連父文件夾都不能讀取不可能進(jìn)入子文件夾。

Windows Server 2003 R2雖然比起以前版本實現(xiàn)文件服務(wù)器有很多改進(jìn)，比如添加了文件屏蔽、磁盤限額，但依然存在許多不足。

這些不足表現(xiàn)在如下方面：文件審核過于檢查，檢查起來比較麻煩。

當(dāng)一個文件有多個人訪問時，文件泄密就非常難查。

1、不能實現(xiàn)對文件進(jìn)行加密，雖然微軟有RMS系統(tǒng)，但只適合于Office系統(tǒng)，往往公司較重要的不是Office文件，而是設(shè)計之類的。

2、無法對文件進(jìn)行歸檔。

比如某大型企業(yè)有若干臺文件服務(wù)器，并部署了DFS系統(tǒng)。

若干年后，文件服務(wù)器的承載越來越大，如何判斷哪些文件有重要的有效的，哪些年久的文件可以刪除，沒有再利用的價值。

3、文件屏蔽功能雖然有，但顯得很蒼白，只是根據(jù)文件的擴展名來屏蔽，換了一個擴展名就無能為力了。

希望微軟在下一代操作系統(tǒng)中對文件服務(wù)器的功能有更大重視，安全性能夠更高，目前個人感覺微軟對文件服務(wù)器并不是十分重視，文件服務(wù)器設(shè)計過于簡單。

但是，可以應(yīng)用第三方服務(wù)器共享文件夾加密軟件來保護(hù)共享文件的安全。

例如有一款共享文件夾加密專家，只需要在服務(wù)器上安裝就可以，對共享文件夾加密，即可實現(xiàn)設(shè)置不同用戶訪問共享文件夾的不同權(quán)限，可以只讓讀取共享文件而禁止復(fù)制共享文件、只讓打開共享文件而禁止另存為本地磁盤、只讓修改共享文件而禁止刪除共享文件等，以及禁止拖動共享文件、禁止打印共享文件，禁止共享文件重命名、禁止剪切共享文件等，全面保護(hù)共享文件的安全。