所有的公司組織都依靠文件服務器在用戶之間共享信息。但是在默認情況下,不論文件夾的許可權限是什么情況,Windows服務器都將會向最終用戶顯示任何一個已共享的文件夾。
為確保那些不具有查看權限的非授權用戶無法訪問共享文件,Windows系統(tǒng)管理員通常必須去執(zhí)行特殊技巧來防止這些用戶查看比如像合伙人或者客戶名稱這樣的非授權信息。
關于文件夾的一個例子是,建立一個用戶能夠查看信息但不允許去訪問主目錄的文件夾。一個主目錄包含一個用戶的文件和程序。對主目錄的訪問一般情況下需要指派給特定用戶。主目錄將用戶文件放到一個位置,并且方便管理員去備份用戶文件和刪除用戶帳號。主目錄變成了一個存儲用戶創(chuàng)建的文件的默認目錄,用戶的命令和所用的應用沒有一個指定的工作目錄。
許多管理員選擇使用一個臨時賬戶去自動生成使用%username%名的主目錄。當你管理一些用戶帳戶,并且每一個賬戶都有他自己的主目錄的時候,這是一種比較簡單的方法。只需要使用模板創(chuàng)建一個新帳號,并且主目錄創(chuàng)建為“automagically”。這個操作將會自動地將新的主目錄的完全控制權限指派給用戶(創(chuàng)建主目錄:在主目錄路徑中通過%用戶名%創(chuàng)建主目錄)。
IT系統(tǒng)管理員也可用一些其他的方法用來隱藏共享內容。其中一個例子是隱藏共享,這里在那些共享名末尾添加$符號來對共享內容進行隱藏。另一個辦法是使用定制腳本來重置用戶設置來指定共享文件夾。但是這些方法有一個問題就是它們并不是十分安全的。如果一個用戶知道隱藏共享名,他們能夠直接使用它,并且不管IT系統(tǒng)管理員是如何隱藏它的。
用戶們都沒有什么不同,大多數人天生好奇。一旦一個用戶獲得了對部分隱藏內容的察看權限,他們將會試著去查看那些他們并沒有被授權的文件夾。結果就是:最好的情況是彈出一個錯誤信息提示框(如下圖);糟糕的情況就是一個違規(guī)的訪問操作將會導致安全許可權限的不恰當使用。
現(xiàn)在最大的問題是:怎樣去平衡正常安全的訪問和規(guī)避那些來自好奇者對隱藏的非授權信息的非法訪問?問題解決的辦法就是通過使用Access-based Enumeration(ABE)。
Access-based Enumeration
Access-based Enumeration是一項包含在WS03 SP1中的特性功能,它能夠增強共享文件的安全性。基于用戶的訪問權限,ABE過濾共享文件夾的可見性。它能夠防止文件夾或者其他的共享資源泄露給那些沒有訪問權限的用戶。通過使用ABE,IT系統(tǒng)管理員能夠確保用戶只能查看他們具有訪問權限的文件夾和文件,而那些他們不具有訪問權限的文件夾和文件都不會在他們的文件和文件夾列表中被顯示出來。(獲得ABE :Windows Server 2003 Access-based Enumeration安裝文件點此獲得here.)
盡管ABE是包含在WS03 SP1中的工具軟件,但是它并沒有被默認添加到安裝包中。這樣的話,用戶需要去下載合適的ABE引擎。每一個引擎適合不同的Windows安裝文件或者MSI文件類型。有三種類型可用:用于32位系統(tǒng)的x86,用于64位系統(tǒng)的x64,以及用于Itanium系統(tǒng)的ia64。
一旦你下載了適合的ABE,就運行MSI,按照提示內容安裝。如果有文件共享需求,ABE就可以被安裝在文件服務器。如果你運行了交互地MSI,你將會看到將ABE應用在所有存在的共享文件上的提示,如下圖。
你也可以在你的文件服務器上進行配置。因為它是一個MSI,你能夠通過活動目錄的組策略軟件安裝進行配置。但是如果你希望在安裝過程中自動安裝ABE,那么你需要將默認設置改為能夠使用這項功能。
如果你不能訪問轉換安裝工具,你只能進行簡單的配置,并且接下來還要進行配置。Access-based enumeration同時提供圖形交互界面和命令行工具兩種方式來應用于共享資源。最簡便的方法可能是安裝完成后,使用命令行abecmd工具運行腳本。下面的表格給出了可能被使用到的命令行。
|
參數
|
描述
|
|
/enable
|
將ABE應用于指定的共享資源或者所有的共享資源
|
|
/disable
|
取消將將ABE應用于指定的共享資源或者所有的共享資源
|
|
/server
|
在一臺遠程服務器上,應用操作(使用或取消ABE)
|
|
/all
|
為所有的共享資源應用操作(使用或取消ABE)
|
|
<ShareName>
|
確定將要應用或者取消ABE 應用的共享資源
|
使用圖形交互界面,只需要右鍵點擊共享文件夾,并選擇屬性。一個名為ABE的新標簽將會出現(xiàn)在屬性標簽中,如下圖示。
在這個共享文件夾中鉤選能夠使用access-based enumeration選項。通過使用ABE,具有權限的用戶才能夠看見文件夾,如下圖示。#p#分頁標題#e#
確認你的 NTFS 許可權限
你能夠確保用于備份的服務賬號總是具有訪問共享文件夾的正確權限;如果不是這樣的話,你的備份操作可能會失敗。再一項是確保你具有所有共享文件夾的管理權限;否則,你對ABE的操作就會被拒絕。
解決你的文件共享問題
最好的解決方法是:最重要的事不要給用戶顯示未授權信息。使用ABE會接觸并解決這個問題。你需要做的是在有需要時,在每一臺文件服務器上使用配置工具進行ABE配置,另外一個簡單的方法是保證你的網絡環(huán)境安全。
