《利用组策略和DFS建立安全的文件服务器.》由会员分享,可在线阅读,更多相关《利用组策略和DFS建立安全的文件服务器.(16页珍藏版)》请在金锄头文库上搜索。
1、利用组策略和DFS建立安全的文件服务器 概述: Dfs是微软在Win2000时就已经推出的一项功能,全称是Distributed File System(分布式文件系统),微软推出Dfs的目的为了统一管理网络中的共享文件资源,避免多个共享资源杂乱无序的分布在多个服务器中,方便维护管理和用户统一定位,同时也提供了网络负载平衡和容错的功能。 本文以作者工作环境中实际案例为基础,详细阐述了在Win2003 R2中如何使用Dfs建立分布式文件服务器,结合AD细致控制用户权限,保证数据安全,并利用组策略将分布式文件服务器路径映射网络盘,进一步方便终端用户使用Dfs文件系统,同时利用R2的文件服务器资源管
2、理器功能对文件服务器存储的文件数据进行有效的管理。 本文涉及的议题有: 一:安装与配置Dfs。 二:配置文件服务器访问权限。 三:利用组策略将文件服务器UNC路径映射为网络驱动器。 四:文件服务器资源管理器管理Dfs文件服务器。 五:关于Dfs文件服务器个人体会! 但不涉及Dfs复制相关知识! 为方便大家更好理解本篇文章,首先将本次实验的模拟场景进行一次简单描述: 某公司有两台服务器(Server1,Server2上都有共享文件夹供日常办公使用,为方便管理,现希望通过Dfs方式实现简单方便的访问,同时保证合理的用户访问权限,实现除了公共资料文件夹外,不同的部门员工只能访问本部门内部的资料,公共
3、资料夹全公司员工都有权利访问,部门文件夹中除了部门公共文件夹外,不同用户只能访问个人文件夹,不允许访问其他用户文件夹。 企业已部署Active Directory,针对不同部门建立了各自的用户帐号和安全组。见图一: 一:安装与配置Dfs 1:安装分布式文件系统组件 安装分布式文件系统组件的过程非常简单,当前提条件是需要有R2安装盘。 一个方法是选择控制面板中的添加或删除程序,然后单击添加/删除 Windows 组件,然后勾选分布式文件系统(在分布式文件系统中包含有DFS复制服务、DFS复制诊断和配置工具、DFS管理三个子组件,你可以根据需要来选择),然后点击下一步,最后单击完成即可。你需要在每
4、一台具有相应功能的服务器上安装对应的组件。 也可以利用“管理工具”-“配置您的服务器向导”来选择“文件服务器”角色来安装分布式文件系统组件。 推荐使用“配置您的服务器向导”来安装,这样可以将文件服务器资源管理器组件也一起安装。如果使用第一种方式安装了分布式文件系统组件,之后也可以安装文件服务器资源管理器组件,安装文件服务器资源管理器组件方法见图二: 安装完分布式文件系统组件和文件服务器资源管理器组件后,你可以在管理工具中看到相应的组件工具(图三: 2:配置分布式文件服务器 配置分布式文件服务器的过程也很简单,你可以使用DFS管理组件来配置,也可以使用分布式文件系统组件。, 我习惯于使用“分布式
5、文件系统”组件,下面就以“分布式文件系统”组件说明如何配置分布式文件服务器。 主要分为两步,第一步配置Dfs根,第二步建立Dfs链接! 配置Dfs根: Dfs为共享文件夹定义了一个层次结构,类似于标准的目录结构,只是构成该目录结构的不是文件夹,而是多个共享点。 Dfs根就可以理解为目录结构的根目录,包含Dfs根目录的服务器也称为根服务器,同时根服务器会有一个分区信息表(PKI 包含着指向Dfs目录结构的指针以及它们所代表的共享名称。 在Win2003中有两种类型的Dfs根,分别是独立根和域根。 独立根的PKI信息存储在根服务器的注册表信息中,如果独立根服务器不可用,会导致Dfs不可用。 域根的
6、PKI信息存储的AD中,并复制到当前域中所有DC,以实现容错性,当根服务器不可用时,其它服务器仍可向客户端传送Dfs信息。 显然,域根是更加安全的方案,但需要AD域支持。本文以域根为例子! 打开分布式文件系统,在“分布式文件系统”菜单,右键新建DFS根目录(图四 在根目录类型中,选择“域根目录”(图五 选择当前的域名,在主服务器中,可以直接输入根服务器的NetBios名称,也可以通过浏览方式,选择指定的主服务器(图六: 在根目录名称界面,输入相应的信息(图七: 在根目录共享中,选择你指定的共享路径,如果文件不存在,向导会自动创建对应的文件(图八。 根目录建立完成后,分布式文件系统中会相应生成D
7、fs根目录(图九 建立Dfs链接 建立好Dfs根目录后,为了能让Dfs正常运行,我们还需要建立Dfs链接才能完成整个Dfs的建立。方法就是在Dfs根上点右键,新建Dfs链接,为链接起个名字并指向适当的的共享资源就可以了。 这里我建立了两个Dfs链接,分别模拟场景中对应的两台服务器共享文件夹,每个文件夹下面都已经建立好三个子文件夹。(图十 远程文件服务器建立过程略过。 建好Dfs链接后,分布式文件系统结构如下(图十一: 二:配置文件服务器访问权限 1:正确配置用户工作文件夹 首先看一下场景中对应文件夹安全的实现目标,其中LocalFileServer文件夹对应着Dfs链接中的本地文件服务器: 公
8、司级别文件夹权限要求: 部门内部文件夹权限要求: 明确了安全目标,接下来以IT Depart文件夹为例,说明如何配置安全的共享文件夹访问权限,其它两个文件夹配置办法类似。 选中IT Depart文件夹,右键选择共享与案例,在安全选项卡,选高级,在“高级安全设置”中, 取消“允许父项的继承权限传播到该对象和所有子对象。”。勾,在弹出的窗口中,选择“删除” 删除继承后,再添加”IT Depart“安全组到”安全“选项卡中。 注意:IT Depart安全组是在AD中建立,成员包括:ITTrainer,RogerWang,见图一. 为方便管理,建议将Domain Admins用户组也加入到该文件夹,并
9、赋给“安全控制”权限。 其它文件夹权限设置思路大同小异,请参考IT Depart文件夹上述步骤,过程略! 2:设置好工作文件夹权限后,接下来步骤是正确配置Dfs共享文件夹访问权限 首先检查一下默认的文件服务器对应的共享文件夹访问权限。 1:根目录共享文件夹 共享用户是Everyone,权限是只读 安全选项卡中,用户和权限是直接继承自上级目录,对于SuperlanUsers只有读取权限 2:Dfs链接对应的共享文件夹,默认的访问权限与根目录共享文件夹访问权限一致,在此略过! 3:通过客户端访问Dfs服务器,测试当前的用户权限。 客户端以域帐号ITTrainer登录后,通过运行UNC访问路径“文件
10、服务器”, 可以正常访问到Dfs文件服务器,但此时只能浏览,在任一级目录没有写权限。 3:对共享文件夹赋给域用户正确权限 1:根目录共享文件夹,权限不变 2:Dfs链接共享文件夹 在共享选项卡中,给Everyone用户权限添加“更改”权限 在“安全”选项卡中,给Users(SuperlanUsers添加拒绝写入权限。 添加”拒绝写入“权限的目的是防止用户在与IT Depart同级目录中新增文件夹! 至此,文件服务器安全访问权限已经配置完成,可以通过客户端登录到Dfs服务器进行相应测试!三:利用组策略将文件服务器UNC路径映射为网络驱动器 通过上面步骤,客户机已经可以通过UNC路径访问Dfs文件
11、服务器,进行正常的文件访问,貌似已经比较完美。 但在实际工作中我们发现,在企业常常会有一些用户,连上述UNC路径(文件服务器都不懂使用,希望有更加方便简捷的途径使用文件服务器。没办法,企业内IT人员永远是为用户服务,既然有此需求,只能想办法实现。 下面给出利用组策略实现将UNC名映射成网络盘的基本思路。 1:编写用户登录脚本,实现UNC到网络驱动器的映射。 用户登录脚本如下,文件名:NetDisk.VBS On error resume Next strRemotePath = Superlan.VMT文件服务器 strNewName = 文件服务器 Set objNetwork = Crea
12、teObject(Wscript.Network Set colDrives = objNetwork.EnumNetworkDrives Wscript.Echo colDrives.Count if colDrives.Count = 0 then strDriveLetter=X: else strDriveLetter = Chr(Asc(Left(colDrives.Item(0,1-1 & : end if Section to map the network drive Set objNetwork = CreateObject(WScript.Network objNetwork.MapNetworkDrive strDriveLetter, strRemotePath Section which actually (renames the Mapped Drive Set objShell = CreateObject(Shell.Application objShell.NameSpace(strDriveLetter.S
