让服务器上的文件更安全
董师傅茶坊
董师傅教你:在服务器端通过Windows组策略的设置来限制客户端的访问。
最近,董师傅经常接到一些读者的电话,问的都是如何在服务器端的Windows系统中通过组策略设置来管理客户机。本期,我们就通过一些实例来教大家相关技巧。
在日常局域网应用中,客户机经常会访问Windows服务器上的文件,为了便于管理,我们需要对不同的用户授予不同的访问权限,今天就给大家介绍一些比较常用的方法。下文的服务器端操作系统以Windows Server 2003操作系统为例,如果你用的是Windows 2000 Server操作系统,方法是类似的。
一、设置用户权限
要设置用户权限,请先选择“控制面板/管理工具/本地安全策略”,然后打开“本地策略/用户权利指派”菜单(图1),在这里,我们能够设置常用的用户权限。
董师傅提示:打开组策略有快捷方式,我们可以通过开始菜单运行“gpedit.msc”命令。
采用域服务器/客户端方式的局域网,可以直接在服务器上通过设置组策略来限制一些用户的权限。如要禁止用户登录域服务器,参照前述之法,启动组策略,然后打开“用户权利指派”菜单,选择“拒绝从网络访问这台计算机”项,在弹出的方框里添加需要禁止访问的计算机名称即可。通过以上设置,该用户就无法通过“网上邻居”来访问服务器的共享文件夹和其他共享资源。
如要禁止用户用本地登录的方式登录服务器,可以在组策略中单击“在本地登录”选项,在随后弹出的对话框中把禁止远程登录的用户名称删除即可。
二、加密服务器文件夹
在实际应用中,我们有时不允许用户访问服务器的某些资源,比如保存在服务器上的公司财务信息。这时,可以通过设置文件夹的访问权限来实现保密功能。首先单击“我的电脑/工具/文件夹选项”,然后单击“查看”选项卡,取消“使用简单文件共享”前的钩。
然后选择需要加密的文件夹,单击右键,在弹出的菜单中选择“属性”选项,单击“安全”选项卡。
单击“添加”按钮,然后在弹出的窗口里单击“高级”按钮,接着单击“立即查找”按钮,添加允许访问该文件夹的用户,并删除“Everyone”用户,然后保存即可。
三、让新用户访问加密文件夹
如果有新用户需要访问加密文件夹,可选择“控制面板/管理工具/计算机管理/本地用户和组/用户”选项。这时会列出目前计算机的用户列表,可以在窗口右侧的空白处单击右键,在弹出的菜单中选择“新用户”选项。输入新用户的名称并保存设置,然后右键单击该用户,为用户创建一个登录密码,保证机密文件的安全(图2)。
四、限制用户组访问文件夹
如果公司的生产部门有50个员工,他们有访问服务器上某些共享文件夹的权利。同时想控制该组用户,比如禁止USER1一直到USER50访问服务器上一个存储财务档案的文件夹。
请选择“控制面板/管理工具/计算机管理/本地用户和组/用户”,在这里,我们就可以找到本域服务器的所有用户了,比如USER1到USER50。为了管理的方便,我们可以把这些用户建立为一个组,如“生产部”。打开组,在右边空白处新建一个组,名称设置为“生产部”。然后打开“添加/高级/立即查找”菜单,在用户列表里,按住“Ctrl”键把用户USER1到USER50全部选中,加入到组以后可以方便日常管理。
禁止该组用户访问某个文件夹,可以右键单击该文件夹,打开“属性”对话框,选择“安全”选项卡,选择“添加/高级/立即查找”菜单,选中列表里的用户组“生产部”,然后一路点“确定”。这时,可以看到在该文件夹的属性,组或用户名称列表里,已经出现了我们所需要的“生产部”这个组。选中该用户组后把下面的权限的“拒绝”选项全部勾选(如图3)。现在,所有这个组的成员都无法对该文件夹进行操作了。
除了以上功能之外,组策略还有一些实用功能,例如禁止用户在远程访问服务器的时候使用部分功能,禁止访问服务器的控制面板,禁止用户安装软件等等。
由于篇幅所限,组策略的所有功能不可能一一介绍。如果大家有兴趣深入研究组策略一番,会给日常工作带来极大的便利。