第10节 文件共享权限-以cifs文件共享服务器为例

文件共享权限-以cifs文件共享服务器为例

  • 0共享服务器概述
  • 1创建共享实验
    • 1.1创建共享文件夹并访问
    • 1.2创建隐藏共享文件夹并访问
  • 2权限控制逻辑
    • 2.1父子级文件共享权限的继承
    • 2.2远程权限与NTFS权限的控制关系
  • 3常用DOS命令
    • 3.1查看共享:net share
    • 3.2创建共享:net share 共享名=地址
    • 3.3取消共享:net share 共享名 /del
  • 4通过注册表屏蔽共享自动产生
  • 5禁止文件共享
    • 5.1通过禁用server服务
    • 5.2配置高级安全防火墙-入站规则
      • win10阻止被访问445端口
      • win7阻止被访问445端口
  • 6其他
    • 6.1目前所学端口号对应服务
    • 6.2工作组与域
  • 7总结

本节内容与上一节相比,NTFS权限更倾向于本机文件的权限,本节内容倾向于分享文件共享时权限的设定及规则。额外的,本节内容也分享一些禁用文件共享的方法。

0共享服务器概述

  • 通过网络提供文件共享服务,提供文件下载和上传服务,类似于ftp服务器。
  • 文件共享服务器,cifs协议,主要用于Windows系统,常用于公司内部。
  • ftp共享服务器,ftp协议,全球通用,常用于公司之间。

1创建共享实验

1.1创建共享文件夹并访问

  1. 在虚拟机中打开winXP和win2003

  2. 为两者设置IP地址,XP为10.1.1.1,win2003位10.1.1.2.第10节 文件共享权限-以cifs文件共享服务器为例_第1张图片

  3. 在winxp中ping一下win2003,,查看是否连通。

  4. 在win2003D盘下创建一个文件夹,命名为“文件共享”。右键文件→属性→共享。可以定义别人通过网络访问的共享名,建议采用英文。
    第10节 文件共享权限-以cifs文件共享服务器为例_第2张图片

  5. 进入权限,设置为完全控制。
    第10节 文件共享权限-以cifs文件共享服务器为例_第3张图片

  6. 如何远程访问:进入winxp,输入“\10.1.1.2”,表示连接到该IP地址对应的共享服务器。提示需要用户及密码登录。当公司共享服务器比较多时,建议采用输入“\10.1.1.2\share”的方式。第10节 文件共享权限-以cifs文件共享服务器为例_第4张图片

  7. 进入win2003,查看已设置的用户或新建用户,并查看用户属性。

net user		#查看所有用户
net user a		#查看a用户对应信息
  1. 进入winxp,输入用户名a密码a,确定可以看到share。
  2. 练习:创建一个共享文件夹名为为share,子级文件夹有upload和download,要求远程访问时,a用户只能在upload中上传,只能在download中下载,b用户则用户完全控制权限。

1.2创建隐藏共享文件夹并访问

  1. 在win2003D盘下创建一个文件夹,命名为“机密”。右键文件→属性→共享。可以定义别人通过网络访问的共享名,建议采用英文。第10节 文件共享权限-以cifs文件共享服务器为例_第5张图片
  2. 对于隐藏共享文件夹,必须输入共享文件名才能访问。如“10.1.1.1\jm$”。
  3. 对于权限的控制,隐不隐藏不影响。

2权限控制逻辑

2.1父子级文件共享权限的继承

  • 取消父子级文件权限的继承关系,无法影响父级共享设置对子级文件的影响,当父级共享时,其所有子级文件均为共享。

2.2远程权限与NTFS权限的控制关系

  • 当本地登录用户a时,仅受NTFS权限控制其权限。
  • 当远程登录用户a时,受共享权限与NTFS权限的共同制约。共享权限与NTFS权限的限制关系,对于权限类型,取两者权限交集,对于每一类权限的控制规则,按严格取。
  • 当设置共享权限为everyone完全控制时,远程登录用户与本地登录用户时权限一致。特殊权限是否也是如此?

3常用DOS命令

3.1查看共享:net share

net share 

第10节 文件共享权限-以cifs文件共享服务器为例_第6张图片
IPC$空链接,看起来似乎没有资源,实则可以访问所有资源。

3.2创建共享:net share 共享名=地址

net share C$=C:

3.3取消共享:net share 共享名 /del

net share C$
net share D$
net share ADMIN$
net share IPC$	#无法删除,需要通过修改注册表实现

该方式取消后,电脑重启时又重新共享。有两种途经避免重新共享:

  1. 将该命令添加到批处理文件bat中,并添加到电脑的启动项。电脑开机后,将自动取消共享。参考《批处理文件及示例》
  2. 通过修改注册表,让每次开机都不自动生成共享。

4通过注册表屏蔽共享自动产生

  1. 系统有多个文件是注册表文件,输入regedit打开注册表编辑器。
  2. 用键盘上的上下左右进行操作更为便捷。
  3. 在左侧窗口中依次展开到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\lanmanserver\parameters
  4. 新建DWORO值命名为AutoShareServer,设定值为0.该操作屏蔽CDE盘的自动共享。
  5. cmd 输入 shutdown -r -f-t 0 重启电脑
  6. cmd 输入 net share 查看共享文件有哪些

5禁止文件共享

当提供网页共享时,就会有对外提供了IP,容易被别人利用共享端口号入侵,宜禁用文件共享服务。

5.1通过禁用server服务

运行→services.msc启动本地服务→找到Server→修改启动类型与恢复→确定。该服务对应445端口号。
第10节 文件共享权限-以cifs文件共享服务器为例_第7张图片

5.2配置高级安全防火墙-入站规则

配置高级安全防火墙-入站规则,禁止被访问445,该方法使用与win7及以上系统,win2008及以上系统。入站规则,限制别人访问我。

win10阻止被访问445端口

  1. 点击“网络与Internet设置”→Windows防火墙→高级设置第10节 文件共享权限-以cifs文件共享服务器为例_第8张图片第10节 文件共享权限-以cifs文件共享服务器为例_第9张图片
  2. 右键入站规则,新建规则,选择端口第10节 文件共享权限-以cifs文件共享服务器为例_第10张图片
  3. 选择类型及端口号。第10节 文件共享权限-以cifs文件共享服务器为例_第11张图片
  4. 选择阻止链接→下一步→全部勾选,下一步→命名如“阻止被访问445端口”。
  5. ODP类型端口重复设置一遍

win7阻止被访问445端口

  1. 控制面板→系统和安全→Windows防火墙→高级设置

6其他

6.1目前所学端口号对应服务

  1. 查看服务端口号:cmd 输入 netstat -an,检查445端口号是否关闭。
  2. 2289 远程桌面,23 telnet终端服务,见《第6节 服务器的远程管理》。
  3. 445 文件共享服务。

6.2工作组与域

工作组中电脑人人平等,域中有带头大哥。
第10节 文件共享权限-以cifs文件共享服务器为例_第12张图片

7总结

本节内容主要归纳为三个知识点:

  1. 了解共享文件的创建于访问,理解共享权限与NTFS权限的区别和联系。
  2. 了解隐藏共享文件的创建与访问,了解禁用共享文件的两种方法。
  3. 了解相关的DOS命令、使用regedit打开注册表编辑器、使用services.msc打开服务列表。

参考文献

  1. 《Windows系统中域和工作组的区别》

你可能感兴趣的:(0基础入门,服务器,网络,cifs,ntfs)