在企业局域网共享文件服务器权限设置过程中,很多网管员都会遇到一个这样的问题:如何隐藏共享文件夹,尤其是对用户隐藏无权限访问的共享文件夹,便于保护共享文件夹的安全,防止未经授权或随意访问共享文件的行为。那么,如何设置隐藏共享文件呢?可以通过以下两种方法:
方法一、基于Windows操作系统提供的ABE机制,即基于访问的枚举功能。
基于访问的枚举(Access-Based Enumeration)简称ABE,它是根据用户的权限来决定用户是否能看到共享文件夹的文件和文件夹,也就是说当用户浏览共享文件夹时,他只能看到有权访问的文件和文件夹,而对于没有为其分配访问权限的共享文件则无法访问。
图:基于访问的枚举
请到以下网站下载并安装Access-Based Enumeration,如果您的系统是Windows 2003 Server的话,确认更新了SP1补丁。
Windows Server 2003 Access-based Enumeration
[url]http://www.microsoft.com/downloads/details.aspx?FamilyId=04A563D9-78D9-4342-A485-B030AC442084&displaylang=en[/url]
2. 在安装完成后共享文件夹的"属性"里会多出一个"access-based enumeration "项,在C盘(NTFS分区)上建一个名为Shared的共享文件夹这个文件夹下面包含A和B两个子文件夹, A文件夹只有特定用户可以访问,而B文件夹任何用户都可以访问,并且把设为完全共享。
3. 右击文件夹A,然后"属性"——"安全"——高级——将“允许父项的继承权限传播到该对像和所有子对像。包括那些在此明确定义的项目(A)”前面的勾去掉,弹出一个对话框单击“复制”单击“应用”。
4. 回到属性对话框删除”USERS”用户,点击“确定”,完成的权限设置。
5. 右键点击shared文件夹——"属性"——“Enable access-based enumeration or this shared folder”,如果想把这个设置应用到计算机所有已共享的文件夹上请选择”Apply this folder’s setting to all existing shared folders on this computer”。
6. 在命令提示符下输入regsvr32 abeui.dll,注册一个ABEUI.DLL文件。
7. 您再从客户端访问共享文件夹,就会发现A文件夹已经是无法看见了。
请注意:
1、ABE功能对本地管理员无效。
2、ABE改变了共享目录的访问方式,会增加服务器的CPU利用率并会降低访问速度。
3、只有已经共享的目录属性里才会出现ABE属性页。
方法二、基于服务器共享文件夹管理软件来设置隐藏共享文件的方法
虽然通过操作系统“基于访问的枚举”机制,可以实现对没有访问权限的共享文件隐藏的功能。但是设置相对较为复杂,同时只对USER用户有效而对管理员无效,此外也会增加服务器的CPU和内存占用等。因此,对于一些非专业的用户,可以考虑通过第三方共享文件夹权限设置软件来实现。
例如有一款“大势至局域网共享文件管理系统”(下载地址:http://www.grablan.com/gongxiangwenjianshenji.html),通过在服务器上安装之后,就可以自动扫描到服务器当前所有的共享文件目录,同时也可以看到所有的服务器账号,然后选择相应的共享文件夹,选择相应的用户,勾选软件界面权限里面的“禁止读取”权限,就直接对此用户隐藏相应文件夹的访问权限了。如下图所示:
图:大势至局域网共享管理系统
同时,通过大势至局域网共享文件管理系统还可以设置共享文件访问权限,可以只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地磁盘、只让修改共享文件而禁止删除共享文件,以及禁止拖拽共享文件等,这个功能是操作系统,包括Windows域控制器都无法实现的。这样可以实现防止越权访问共享文件的行为,保护了共享文件的安全。
此外,通过大势至服务器共享权限设置软件,还可以详细记录局域网用户访问共享文件的日志,便于管理员事后备查和审计。如下图所示:
总之,局域网共享文件访问权限设置是一项非常重要的管理工作,尤其是隐藏没有访问权限的共享文件夹。这一方面可以通过操作系统的ABE功能来实现,另一方面也可以借助于一些文件共享管理工具软件来实现,具体采用哪种方法,企业可以根据自己的需要抉择。