[个人笔记] Windows 关于SMB共享服务的笔记

Windows - 运维篇

---

系列文章回顾

第一章 迁移WinSrv系统到虚拟机
第二章 本地安全策略+xcopy实现实时备份文件夹内容
第三章 利用cmd自带的icacls命令导出文件的ACL权限
第四章 Windows系列常用Shell命令工具集合

---

Windows 关于SMB共享服务的笔记

SMB共享服务的最佳实践

笔记将讨论AD轻量目录服务（即域控）环境下的SMB协议共享服务。基本原则如下：

1. 按组织架构区分目录级别，如一级部门目录、二级部门目录…
2. 一级目录文件夹不允许被删除，不允许被改名，二级以后目录可以被删除、被改名
3. 部门负责人对部门文件/文件夹拥有递归的完全控制权限
4. 部门成员默认对部门文件/文件夹拥有读取、执行、写入、修改等权限
5. 默认情况下，一级目录之间不允许互访，一级里边的二级目录之间不允许互访
6. 有跨一二级目录互访需求则采用快捷方式访问
7. 打印机扫描到公共目录，每天0点自动清除公共目录文件

SMB共享相关的配置说明

1. 文件/文件夹的所有者默认是Administrators(Computer\Administrators)，自动继承所有者的完全控制、SYSTEM的完全控制、CREATOR OWNER的完全控制、Users的读取执行权限
2. Domain Admins, Enterprise Admins, administrator都是Administrators组的成员，，Domain Users是Users组的成员
3. 域用户的隶属于默认是Domain Users
4. 域用户A分配了Domain Admins权限，共享目录给Everyone完全控制的共享权限，该域用户A在共享上新建文件/文件夹，所有者是Administrators(Computer\Administrators)（因为Domain Admins继承到Administrators组的权限）
5. 非域PC用本地管理员登录，访问共享目录（Everyone完全控制的共享权限），新建文件/文件夹，所有者是Administrators(Computer\Administrators)（因为Everyone有完全控制的共享权限，目录在检索权限时查找到计算机的Computer\Administrators权限，但是此权限不是域环境的Adminstrators权限，也会把所有者设置成Administrators(Computer\Administrators)，此处有坑，下文说明）

SMB共享相关的实践

1. 如何拒绝Domain Admins组成员访问其他正常的共享目录（防止域运维人员访问其他部门文件）
   当域用户分配了Domain Admins权限，就等同拥有了Administrators组的权限，权限等同于加域PC的本地管理员，可以执行需要管理员权限的操作。
   解决方案：将目录的所有者修改为administrator，设置禁用继承，移除Administrators组的权限，移除Users组的权限
2. 如何阻止非域访问域环境的SMB共享（更规范共享服务的访问权限）：
   当共享目录设置了Everyone的完全控制共享权限时，即使把权限列表清空，非域PC还是能访问共享目录能新建文件/文件夹，甚至能修改所有者和添加权限
   解决方案：目录的共享权限仅添加Domain Users组，补上述第5点的坑
3. 一级目录文件夹不允许被删除，不允许被改名
   一级目录禁用继承，添加Everyone的拒绝删除权限，应用于只有该文件夹，部门安全组的权限设置为允许修改权限，应用于仅子文件夹和文件

规范管理SMB共享之后，创建快捷方式用于跨部门访问

1. 给所有一级目录的共享添加Domain Users的完全控制共享和administrator的读取共享（服务端遍历SMB共享路径用），所有者设置为administrator，设置禁用继承，移除Administrators组的权限，移除Users组的权限。
2. 在需求部门的目录里创建快捷方式，填写\\x.x.x.x\一级\二级\xxx文件，利用administrator的读取权限，就能遍历读取出共享路径，前提是要用域管理员登录到SMB共享服务器

参考来源

无