WIN2003文件服务器共享

1、win2003文件服务器共享 在文件系统管理中，windows server 2003 r2提供了丰富而且非常重要的各种管理功能，如文件夹共享及共享权限、ntfs安全访问权限、dfs（分布式文件系统）和efs（加密文件系统）等。文件夹共享权限和ntfs文件访问权限不仅关系到用户对象的实际文件操作权限，还关系到整个网络系统的安全，特别是ntfs文件访问权限，它涉及到了windows server 2003域管理的各个方面。它是本章的重点与难点。另外，在windows server 2003中，文件资源的管理通常是通过文件服务器管理器来集中管理的。本章也将介绍文件服务器的安装与使用。dfs为网络中

2、文件资源的共享和管理提供了极大的便利，在一些较大的企业域网络中应用非常广泛。这也是本章的重点之一。因为efs技术和应用已在本系列丛书网管员必读网络安全（第2版）一书中有详细介绍，故在此不再赘述。本章重点文件服务器的主要功能与安装共享文件夹的创建与权限配置在文件服务器上管理共享文件夹、共享会话和打开的共享文件ntfs文件和文件夹访问权限及配置dfs的主要特性dfs配置与管理（包括dfs根目录、dfs根目标、dfs链接、dfs目标）5.1 文件服务器的配置在windows server 2003系统的文件系统中，引入了许多新的或改进特性，如dfs（分布式文件系统）、efs（加密文件系统）、共享文件

3、夹的卷影副本、远程文档共享、san技术支持等。具体参见本书的第1章相关内容。5.1.1 文件服务器的主要功能在企业网络中，为了有效地进行各项文件管理功能，通常是把一台运行windows server 2003系统的成员服务器配置成文件服务器（并非一定是域控制器）。文件服务器提供网络上的中心位置，可供存储文件并通过网络与用户共享文件。当用户需要重要文件（如项目计划）时，他们可以访问文件服务器上的文件，而不必在各自独立的计算机之间传送文件。如果网络用户需要对相同文件和可通过网络访问的应用程序访问权限，就要将该计算机配置为文件服务器。默认情况下，文件服务器角色安装有下列功能。1文件服务器管理 文件服

4、务器管理控制台为管理文件服务器提供集中的工具。使用文件服务器管理，可以创建和管理共享，设置配额限制，创建存储利用情况报告，将数据复制到文件服务器和从文件服务器中复制数据，管理存储区域网络（san），以及与unix和macintosh系统共享文件。2存储报告 使用存储报告，可以分析服务器上的磁盘空间是如何使用的。例如，可以生成识别重复文件的按需或计划报告。然后删除这些复制文件以便回收磁盘空间。3配额和文件屏蔽 使用配额，可以限制卷或文件夹子树大小。可以将windows配置为在达到配额限制时通知您。使用文件屏蔽，可以防止某些类型的文件被保存到文件夹或卷。文件屏蔽有助于确保用户不在服务器上保存某些可

5、能导致用户违反知识产权法的非关键性数据和文件。4dfs管理 使用dfs管理管理单元，可以管理从分支机构中的服务器到集线器数据中心中的服务器的数据复制。这样，数据可以被集中备份，而不必在在分支机构备份数据。使用dfs管理管理单元，还可以对位于不同服务器上的共享文件夹进行分组并将其作为虚拟文件夹树（称为名称空间）提供给用户。名称空间可以提供很多好处，包括提高数据的可用性、分担负载和简化数据迁移。5.1.2 文件服务器配置之前的准备将计算机配置为文件服务器之前，要验证是否具备以下条件。1正确配置操作系统在windows server 2003家族产品中，文件服务依赖于操作系统及其服务的适当配置。如果

6、采用的是新安装的windows server 2003操作系统，则可使用默认的服务设置。没有必要执行进一步的操作。如果是通过以前版本系统升级到windows server 2003操作系统，或者想要确认现行的服务是否为最佳性能和安全性做了正确配置，则可通过将其与默认服务设置中的表格对比来验证服务设置。2计算机作为成员服务器已加入到active directory域中如果希望验证客户端的身份，或者将共享文件夹发布到active directory，文件服务器就必须加入域中。如果不需要执行这两个任务，文件服务器就不需要加入域中。3分配所有可用磁盘空间可以使用“磁盘管理”或diskpart.exe命

7、令从未分配的空间中创建新分区，具体参见本章前面介绍。所有现有的磁盘卷最好都使用ntfs文件系统，fat32卷缺乏安全性，而且不支持文件和文件夹压缩、磁盘配额、文件加密或单个文件权限配置。在添加文件服务器角色之前必须了解的信息如表5-1所示。表5-1 添加文件服务器前需了解的信息添加角色之前需了解的项目 注 释 确定是否要配置磁盘配额 使用磁盘配额跟踪和控制ntfs卷的以卷为单位的磁盘空间使用情况。配额可防止用户由于在超过指定的磁盘空间限制值时记录事件而超出设定的磁盘空间 确定是否要使用索引服务 索引服务可以创建本地硬盘驱动器及共享网络驱动器上的文档的内容和属性索引。这些索引可允许用户执行更快速

8、、更便捷的搜索。索引服务可能会降低服务器的运行速度，因此，只有在用户要经常搜索该服务器上的文件内容时才使用它 确定要在计算机上共享的文件夹，并指定文件夹名称和说明 用户根据文件名查看该文件服务器上的共享资源。建议创建容易记住并能说明文件夹内容的共享名称。例如，假设向用户各提供2gb的空间，用于在文件服务器上存储其私有信息。可以将文件服务器上的顶层文件夹命名为“personal folders”，然后根据用户的域名来命名每个子文件夹 决定要在文件夹上设置什么类型的权限 指派最具限制的权限，该权限仍允许用户执行需要的任务。ntfs文件系统上的访问控制比单独的共享权限提供了更多的安全性 5.1.3

9、配置文件服务器windows server 2003系统在域控制器安装时就会自动把当前服务器配置成文件服务器角色。但如果是成员服务器，则需要另外手动配置。文件服务器的配置是通过“配置您的服务器向导”进行的，非常简单。打开这个向导又有两种不同途径的选择：一是通过直接运行【管理工具】菜单下的【配置您的服务器向导】命令；二是通过“管理您的服务器”界面中单击【添加或删除角色】按钮（如图5-1所示）来打开。下面是利用“配置您的服务器向导”配置文件服务器的具体步骤。（1）执行【开始】【管理工具】【配置您的服务器】菜单命令，打开如图5-2所示向导首页对话框。或者在如图5-1所示窗口中单击【添加或删除角色】按

10、钮，在打开的对话框中直接单击下一步按钮，同样可以打开如图5-2所示向导对话框。图5-1 “管理您的服务器”窗口图5-2 “欢迎使用配置您的服务器向导”对话框2）单击【下一步】按钮，打开如图5-3所示的对话框。在这个对话框中选择要配置的服务器角色文件服务器（当然，文件服务器的当前的“已配置”状态必须为“否”）。图5-3 “服务器角色”对话框（3）单击【下一步】按钮，打开如图5-4所示的对话框。在“文件服务器索引服务”对话框中，为服务器的索引服务进行选择配置，完成下列操作之一。如果用户定期对服务器上的文件内容进行搜索，选择“是，启用索引服务”单选按钮。如果想保留cpu和内存资源，选择“不，不启用索

11、引服务”单选按钮，索引服务可能会降低服务器的性能。索引服务为用户提供了搜索本地或网络上的信息的快速、方便和安全的方式。用户可以通过【开始】菜单上的【搜索】命令或者浏览器上的html页面搜索不同格式和语言的文件。但这种服务器在带来查找方便的同时，也将给服务器性能带来一定的负面影响。（4）单击【下一步】按钮，打开如图5-5所示的对话框。在这个对话框中总结以上几步的配置。图5-4 “文件服务器索引服务”对话框图5-5 “选择总结”对话框 （4）单击【下一步】按钮，弹出如图5-6所示的对话框。这是一个共享文件夹配置向导，用于为文件服务器配置共享文件夹。共享文件夹也可在文件服务器配置完成后再自己手动配置

12、或添加。（5）单击【下一步】按钮，打开如图5-7所示的对话框。在“文件夹路径”文本框中，指定希望共享的文件夹的路径。要搜索文件夹，请单击【浏览】按钮。其实这时考虑可以不配置，直接单击【下一步】按钮，因为毕竟一个文件服务器上要配置的共享文件夹远不止一个，可以在文件服务器配置好后再另行配置。后面的配置也一样。图5-6 “欢迎使用共享文件夹向导”对话框 图5-7 “文件夹路径”对话框（6）单击【下一步】按钮，打开如图5-8所示的对话框。在这个对话框中配置以下选项信息。在“共享名”文本框中，输入要用于共享资源的名称，共享名是必需的，选择简短且具有说明性的名称，以便于用户识别。在“描述”文本框中，输入对

13、共享资源的说明，描述是可选的。如果要共享若干个资源，说明就可能有助于组织和标识这些资源。所输入的说明显示在“文件服务器管理”和“共享文件夹”的“描述”列中。在“脱机设置”文本框中，指定希望以何种方式让用户在不与网络连接时能够使用共享文件夹中的内容。如果希望由用户指定哪些文件可以脱机使用，就可以接受默认设置。若要更改脱机设置，单击【更改】按钮，打开如图5-9所示的对话框。 如果选择“只有用户指定的文件和程序才能在脱机状态下可用”单选按钮，则表明希望由用户来控制哪些文件可以脱机使用。如果选择“用户从该共享打开的所有文件和程序将自动在脱机状态下可用”单选按钮，则表明希望允许用户从共享文件夹中打开的所

14、有文件都自动在脱机状态下可用。如果选择“已进行性能优化”复选框，则所有程序都会自动缓存，以便用户能在本地运行它们。该选项对于宿主应用程序的文件服务器特别有用，因为它会减少网络流量，并改进服务器的可伸缩性。如果选择“该共享上的文件或程序将在脱机状态下不可用”单选按钮，则表明希望防止用户在脱机状态下存储文件。图5-8 “名称、描述和设置”对话框 图5-9 “脱机设置”对话框 说明：将包含系统文件和资源的文件夹共享时，要确保指定的文件夹或资源不包含不希望用户访问的信息。（7）单击【下一步】按钮，打开如图5-10所示的对话框。在“权限”选项卡中，要指定共享文件夹的共享权限。为确保只有授权用户才可以访问

15、文件夹中的信息，必须对已创建的文件夹进行权限设置。共享权限仅应用于通过网络访问资源的用户，它们不应用于那些能够访问在存储资源计算机上的资源的用户。以下是对话框中各单选按钮的选择说明。如果选择“所有用户有只读访问权限”单选按钮，则将所有用户对此共享文件夹的访问权限都限制为只读。图5-10 “权限”对话框如果选择“管理员有完全访问权限；其他用户有只读访问权限”单选按钮，则表明用户可查看位于共享资源中的文件和运行其中的程序，但只有administrators组的成员可以更改、添加或删除文件。此外，也只有administrators组的成员可以更改共享资源上的ntfs文件权限。如果选择“管理员有完全访

16、问权限；其他用户有读写访问权限”单选按钮，则表明将访问权限限制为对administrators组成员以外的所有用户都是可以读和写的。如果选择“使用自定义共享和文件夹权限”单选按钮，则表明希望自己对指定用户或组授予或拒绝访问权限。应指派限制性最强但又允许用户执行必要功能的权限。（8）单击【完成】按钮，打开如图5-11所示的对话框。这是一个共享成功的提示框。在这个“共享成功”提示框中，“共享文件夹向导”会显示选定内容的状态和总结。如果希望将另一个文件夹共享，则选择“当单击关闭时，再次运行该向导来共享另一个文件夹”复选框，在单击【关闭】按钮后，程序会再次运行以上共享向导，重新对新的共享文件夹进行共享

17、设置。全部完成后，取消对“当单击关闭时，再次运行该向导来共享另一个文件夹”复选框的选择，再单击【关闭】按钮就直接退出共享设置了。此时出现了一个“此服务器现在是一个文件服务器”的向导完成选项卡，如图5-12所示。单击【完成】按钮，即完成了全部的文件服务器角色配置过程。图5-11 “共享成功”对话框 图5-12 “此服务器现在是一个文件服务器”对话框 要审阅由“配置的服务器向导”对服务器所做的所有更改，或者要确保新的角色已成功安装，可单击此选项卡中的“配置您的服务器向导”链接，打开日志文件，在其中详细记录了整个服务器（不仅包括文件服务器）的配置过程。“配置的服务器向导”日志位于systemroot

18、debugconfigure your server.log路径下，也可直接在资源管理器中打开。配置了文件服务器后，接下来就可以进行各项文件管理了，首先了解一下windows server 2003系统中的文件夹共享配置。5.2 文件夹共享在windows nt 4.0 server系统中，就开始用“共享文件夹”替换“控制面板”中与资源相关组件来管理共享文件资源了。在没有配置文件服务器的系统中，“共享文件夹”选项只是在“计算机管理”控制台中，如图5-13所示。而在配置了文件服务器后，在专门的文件服务器管理控制台中也有这个“共享文件夹”选项，如图5-14所示。图5-14是执行【开始】【管理工具】

19、【文件服务器管理】菜单命令，或者单击“管理您的服务器”窗口“文件服务器”项中的【管理此服务器】按钮后打开的。图5-13 “计算机管理”控制台中的“共享文件夹”选项图5-14 “文件服务器管理”控制台中的“共享文件夹”选项其实“计算机管理”和“文件服务器管理”两控制台在文件管理方面的功能基本一样（文件服务器管理没有卷影副本配置功能等）。在此仅以“文件服务器管理”控制台上的相应功能进行介绍，“计算机管理”工具的文件管理方法完全一样，参照即可。使用“共享文件夹”管理可以查看本地和远程计算机的连接和资源使用情况的摘要。共享文件夹的管理是整个服务器文件管理的一个非常重要的方面，它既关系到网络用户的文件共

20、享使用，也严重关系到网络系统的安全。本节要通过“文件服务器管理”实现介绍windows server 2003系统中有关文件夹共享的几个主要方面的内容。“共享文件夹”选项中的共享文件图标上都有一个手形向上托的标志（参见图5-13），这就是共享标志，凡有这个标志的文件夹都表示是共享资源，当然具体哪个用户具有这个共享资源的使用权限要视共享文件夹的共享权限配置而定。5.2.1 文件服务器中的文件夹共享选项文件夹共享其目的就是使网络用户通过网络共同使用文件资源，而无关客户端计算机使用何种文件系统格式。单机状态下，在不支持ntfs文件格式系统中不能访问本地磁盘中的ntfs格式下的驱动器、文件夹和文件；但

21、对文件夹进行共享设置后，用户通过网络就可以按相应用户访问权限配置访问任何文件格式（当然仅是指windows系统所支持的fat、fat32和ntfs这3种主要文件格式）的驱动器、文件夹和文件了，使得整个网络部署更随意。自windows nt 4.0系统以来，使用共享文件夹选项（集成在计算机管理和文件服务器管理两个管理工具中），管理员可以进行如下应用。创建、查看和设置共享资源的权限。查看通过网络连接到计算机的所有用户列表，并断开一个或全部用户。查看由远程用户打开的文件列表，并关闭一个或全部打开的文件。如图5-13所示界面中的共享文件夹中的子文件夹包含本地文件服务上所有的共享资源、会话和打开文件的相

22、关信息，并按列排列。如果已安装macintosh服务，也会列出该服务管理的资源的信息。共享文件夹包括以下3个方面的共享信息。1共享如果是本地共享，可直接在如图5-14所示的共享文件夹界面查看。在界面右边详细列表列出该计算机上所包含的可用共享资源信息，各列的解释如下。共享名：列出计算机中的可用共享资源。在某些情况下，与打印机的连接作为与命名管道的连接进行监控。共享资源可以是共享目录、命名管道、共享打印机或者是不可识别类型的资源。在这些共享之间，有一类共享名后面有一个$，它是专为管理员进行网络管理而设置的系统默认共享文件夹，通常是驱动器。这样的共享只有管理员才可看见，其他用户通过网络不能查看和使用

23、这类共享文件夹。而如果在用户主文件夹的共享文件名后加上这样一个$符号，则只有对应用户和管理员才可以看到这个共享，这可以确保用户私人文件不被非法查阅或操作。文件夹路径：显示共享资源的路径。类型：显示网络连接类型是windows、netware还是macintosh。#客户端连接：显示连接到共享资源的用户数，管理员从查看这一项可以知道当前系统有多少用户正在使用哪个共享文件夹中的文件。根据相应共享文件的主要用途，管理员也可从中发现一些没必要使用该共享文件的用户，从而实施强制断开操作。描述：描述共享资源。2会话会话选项中包含了服务器系统用户与服务器之间的会话进程，从这个选项中可以得知当前系统中哪些用户

24、正与服务器连接着，有多少用户、哪些类型的用户正在与服务器连接等信息。从中可以得出许多急需改进的文件管理举措，特别是文件权限配置方面，进一步完善整个系统的安全配置。当然管理员也可通过此选项对当前与服务器连接的用户进行各种管理，如强制关闭某用户的会话。在如图5-14所示文件服务器管理控制台左边导航栏中选择会话（本地）选项，此时在右边详细列表中显示了当前网络中会话情况，如图5-15所示。图5-15 “会话”选项界面下面是列表中各列的解释。用户：列出当前与服务器连接的网络用户，管理员可强制中断。计算机：显示连接用户的计算机名称。类型：显示网络连接类型，其中包括windows、netware或者maci

25、ntosh。# 打开文件：显示此服务器中由该用户打开的资源数，从中可以了解该用户目前正在进行的主要工作。连接时间：显示从建立该会话开始，经过的小时和分钟数，从中可以了解该用户近一段时间以来的主要工作。空闲时间：显示从该用户最后启动某个动作开始，经过的小时和分钟数。来宾：指定该用户是否作为来宾连接到此计算机上（显示为“是”或“否”）。从以上各项中均可得出当前服务器系统的安全状况，分析出该系统还可能存在的安全隐患，从而可以一步改进系统。3打开文件“打开文件”选项所包含的是当前服务器系统中，客户端正在使用服务器中文件的情况。从中可以清楚地看出当前系统中哪些用户正在打开哪些服务器中的文件。管理员可以通

26、过这些信息有选择地中断某些用户的某些打开文件的操作。在如图5-14所示“文件服务器管理”控制台中单击控制台左边导航栏中的“打开文件（本地）”选项，在右侧列表中显示当前服务器系统中用户打开服务器文件的情况列表，如图5-16所示。图5-16 “打开文件”界面下面是界面列表中各列的解释说明。打开文件：列出打开的文件名称。打开的文件可以是文件、命名管道、打印后台处理程序中的打印作业或是不可识别类型的资源。在某些情况下，打印作业在此处显示为打开的命名管道。访问者：已经打开文件或访问资源的用户名。类型：网络连接类型，其中包括windows、netware或者macintosh。# 锁定：显示资源上应用程序

27、启动文件锁定的数量。打开模式：显示打开资源时授予的权限。以上介绍的是对本地服务器上的共享文件夹进行基本管理的方法，如果要远程管理网络中其他计算机的共享资源，可在“文件服务器管理”界面中的相应选项上单击鼠标右键，然后在弹出菜单中选择【连接到另一台计算机】命令，打开如图5-17所示的对话框。在对话框中选择“另一台计算机”单选按钮，然后输入要连接的计算机名称，单击【确定】按钮，这样在“文件服务器管理”工具中所显示的就是远程计算机上的相应信息了。此时控制台树中的各选项不再显示“本地”，而是对应的远程计算机名。管理员可像管理本地服务器一样，对远程计算机中各子项进行管理，当然前提是当前操作用户必须具备远程

28、计算机上的相应权限。 图5-17 “选择计算机”对话框5.2.2 文件夹共享权限共享资源提供对应用程序、数据或用户个人数据的访问，可对每个共享资源指派或拒绝权限。可通过多种方法来控制对共享资源的访问。可以使用共享权限，这样易于应用和管理。或者，可以使用ntfs文件系统上的访问控制，这样可以对共享资源及其内容进行更详细的控制，也可以将这些方法结合起来使用。如果将这些方法结合起来使用，将应用更为严格的权限。例如，如果共享权限设置为everyone=读取（默认值），并且ntfs权限允许用户更改共享文件，则应用共享权限的结果是不允许用户更改文件的，只能读取。不必显式拒绝共享资源的权限。通常，只有在想要

29、覆盖已指派的特定权限时，才有必要拒绝权限。在windows server 2003家族中，当创建新的共享资源时，自动指派everyone组为读取权限，这种权限是最受限制的权限。共享权限的配置仅应用于通过网络访问资源的用户。这些权限不会应用到在本地登录的用户（如登录到终端服务器的用户），在这种情况下，可在ntfs上使用访问控制来设置权限。共享权限的配置将应用于共享资源中所有的文件和文件夹。如果要为共享文件夹中的子文件夹或对象提供更详细的安全性级别，也可使用ntfs的访问控制。共享权限是保护fat和fat32卷上的网络资源的唯一方法，因为ntfs权限在fat或fat32卷上不可用。共享权限可指定允

30、许通过网络访问共享资源的最大用户数目，这是ntfs文件系统提供的额外安全措施。可对共享文件夹或驱动器指派下列类型的访问权限。 读取读取权限是指派给everyone组的默认权限。读取权限允许进行下面的操作。查看文件名和子文件夹名。查看文件中的数据。运行程序文件。 更改更改权限不是任何组的默认权限。更改权限除允许以上所有的读取权限外，还具有如下权限。添加文件和子文件夹。更改文件中的数据。删除子文件夹和文件。 完全控制完全控制权限是指派给本机上的administrators组的默认权限。完全控制权限具有全部读取及更改权限。5.2.3 共享文件夹的创建与配置在需要与网络中其他用户、计算机共享文件时，就

31、需要创建共享文件夹（只能共享文件夹，而不能只共享文件）。创建与配置共享文件夹的方法有4种。在计算机管理工具中创建在文件服务器管理工具中创建在资源管理器中创建通过命令行方式创建下面分别予以介绍。因为在计算机管理和文件服务器管理中创建的方法完全一样，在此仅以在文件服务器管理中创建为例进行介绍。1在文件服务器管理工具中创建与配置windows server 2003系统的共享资源都集中在计算机管理和文件服务器管理工具中的共享选项中，分别参见图5-13和图5-14。下面以在文件服务器管理中创建为例进行介绍。方法很简单，只需在如图5-14所示文件服务器管理控制台树中，选择共享选项，然后单击鼠标右键，选择

32、【新建共享】命令，打开如图5-6所示的共享文件夹向导对话框。然后按照5.1.3节介绍的相应步骤操作即可，最后单击【完成】按钮完成新共享文件夹的创建。2使用windows资源管理器创建使用windows资源管理器创建的共享文件夹也有两种不同的类型，除了通常我们在windows 2000以前系统中见到那种网络共享文件夹类型外，在windows xp家族系统中，还一种应用于家庭的本机多用户共享的简单共享文件夹类型。它无须为每个共享用户配置专门的共享权限，而是为所有共享用户配置相同的共享权限。下面分别介绍这两种文件夹共享的创建方法。 网络共享文件夹的创建这是目前在企业网络中使用最广的一种文件夹共享类型

33、，它是供网络中多用户通过网络共享资源的。具体创建步骤如下。（1）在桌面【开始】按钮上单击鼠标右键，选择【资源管理器】命令，打开windows 资源管理器。（2）在要共享的文件夹或驱动器上单击鼠标右键，然后选择【共享和安全】命令，打开如图5-18所示的对话框。选择共享此文件夹单选按钮，在共享名中输入该文件的共享名，如果要使其他用户看不见这个共享文件夹，则还可以在共享名后面加上$符号，这在上一章配置用户主文件夹时已有介绍。然后在用户数限制栏中选择允许同时访问此共享文件夹的用户数，默认是选择允许最多用户单选按钮。要配置文件夹共享是有条件的，如果您在当前计算机本地连接属性对话框上没有启用文件和打印机共

34、享服务，如果您是非管理员，或者power users组成员，在文件夹上单击鼠标右键时，不会显示共享（windows 2000及以前系统），或者共享与安全（windows xp以后系统）菜单项。（3）单击对话框中的【权限】按钮，打开的对话框如图5-19所示。在这个对话框中，可以为不同用户设置不同的共享文件夹访问权限。系统默认的是对所有文件夹设置了所有用户（everyone，不包括匿名用户组成员）最基本的读取权限。图5-18 “共享”选项卡图5-19 默认的“共享权限”选项卡配置经验之谈：在windows xp系统之前，匿名用户都属于everyone组，所以匿名用户组（anonymous logo

35、n）组成员访问共享文件夹时都不会出现打不开的现象，因为至少有“读取”权限。但在windows xp系统后，出于安全考虑，匿名用户不再默认属于everyone组了，所以如果以匿名方式（非显式用户方式）访问共享文件夹时，就会出现没有权限的错误提示，根本打不开所搜索到的共享文件夹。此时我们通过两种方法来解决，一是在共享文件夹的用户访问权限中添加anonymous logon组，如图5-20所示。另一种方法是在组策略中启用“网络访问：让每个人（everyone）权限应用于匿名用户”策略项，如图5-21所示。 图5-20 为共享文件夹访问权限添加anonymous logon组图5-21 在组策略中启用

36、“网络访问：让每个人（everyone）权限应用于匿名用户”策略项（4）如果要添加高一些权限的用户或组，可以通过单击【添加】按钮，打开如图5-22所示的对话框进行操作。在这个对话框中输入要添加的用户或组账户。然后单击【确定】按钮即可添加新的共享该文件夹的用户，返回到如图5-19所示对话框。（5）添加新用户后，默认的权限也是“只读”的，需要为新用户设置更加高级的共享权限，方法是直接下面的权限列表中选择相应的权限项（具体权限说明参见5.2.2节介绍），如图5-23所示。（6）为了便于用户在脱机情况下使用共享文件夹，可以设置共享文件的脱机使用功能，也即如图5-18中所示的【缓存】按钮（在window

37、s server 2003第一版中此按钮为“脱机设置”）。脱机文件可将这些共享资源的一个版本存储在客户端计算机上的文件系统缓存保留到磁盘空间部分中。这样不管是否连接到网络，客户端计算机都可以访问这种缓存。客户即使没有连接到网络，也能使用共享资源的脱机文件，可以继续使用网络文件和程序。如果断开与网络的连接或移除便携式计算机，指定为可以脱机使用的共享网络资源的视图与先前连接到网络时完全相同，可以像往常一样继续工作。对这些文件和文件夹的访问权限与先前连接到网络时相同。当连接状态变化时，脱机文件图标将出现在通知区域中，通知区域中会显示一个提示气球，通知这一变化。当网络连接恢复或插接便携式计算机时，在默

38、认情况下所有脱机时所做的更改都将更新到网络上。网络上的其他人对同一文件做出更改时，可以将选择的文件版本保存到网络、保留其他版本或两个版本均保存。 图5-22 “选择用户、计算机或组”对话框 图5-23 添加新用户后的“共享权限”选项卡单击图5-18所示对话框中的【缓存】按钮，打开如图5-24所示对话框。不过，在windowsxp系统中，该对话框有些不同，如图5-25所示。在图5-25所法对话框中的设置比较简单，仅要求选择建立缓存的方式。 图5-24 windows server 2003系统的“脱机设置”对话框图5-25 windows xp系统中的“缓存设置”对话框图5-24所示对话框中的各

39、选项说明如下：只有用户指定的文件和程序才能在脱机状态下可用。l该选项使用户能控制哪些文件可脱机使用。用户从该共享打开的所有文件和程序将自动在脱机状态下可用。l该选项允许用户从共享文件夹中打开的所有文件都自动脱机使用。如果选择“已进行性能优化”复选框，则所有程序将自动缓存，可在本机上运行。该选项对于宿主应用程序的文件服务器尤其有用，因为它减少了网络流量并提高了服务器的性能。该共享上的文件或程序将在脱机状态下不可用。l该选项禁止用户脱机存储文件。microsoft网络上的任何共享文件或文件夹均可以指定为允许脱机使用。可以从任何支持基于服务器消息块（smb）文件和打印共享的计算机上使文件脱机使用，此

40、类计算机包括windows 95、windows 98、windows nt 4.0、windows xp及windows server 2003家族等。在novell netware系统网络上不能使用脱机文件。系统管理员可以设置共享文件夹，既可以使在该共享文件夹中打开的每个网络文件都能脱机使用，也可以仅允许所选的网络文件脱机使用。如果使文件的快捷方式可以脱机使用，那么这个文件也可以脱机使用。但是，即使允许文件夹的快捷方式脱机使用，该文件夹中的内容也无法脱机使用。 在windows server 2003家族系统中，在默认情况下不启用脱机文件。（7）全部设置好后，单击【确定】按钮，完成该共享文

41、件夹的用户共享权限设置。 本机多用户共享文件夹的创建在windows xp系统中，有一种专门用于多人共使用一台机的多用户共享文件而提供的共享文件夹功能，那就是简单文件共享。尽管在企业网络中通常不使用这种共享方式，但为了给各位提供较全面的知识，在此顺便进行介绍，以方便在家庭中使用。设置简单文件共享的具体步骤如下。（1）在windows xp系统资源管理或者“我的电脑”窗口中执行【查看】【文件夹选项】菜单命令，在打开的对话框中选择“查看”选项卡，如图5-26所示。（2）选择“使用简单文件共享（推荐）”复选框，单击【确定】按钮。如果要使当前设置应用于本机所有文件夹，则单击【应用互所有文件夹】按钮。（

42、3）此时在要创建共享的文件夹上单击鼠标右键，在弹出菜单中选择“共享与安全”选项，打开如图5-27所示对话框了。与图5-18对比就可发现它们的区别了。 图5-26 windows xp系统中的“简单文件共享”选项配置位置图5-27 简单文件共享类型的“共享”选项卡在这里有两种共享配置方式：一是仅用于同一台计算机上不同用户之间的文件共享，此时无须专门设置，只需把需要与使用同一计算机的用户共享的文件夹拖放到资源管理器中的“共享文档”文件夹（如图5-28所示）中即可。 如果要把某个文件夹设置了私有文件夹，也就是只允许自己访问，则可以在如图5-27所示对话框中选择“将这个文件夹设为专用”复选框。但要注意

43、，“将这个文件夹设为专用”复选框只有当这个文件夹是用户配置文件夹中的文件夹时才可选择。而且选择了这一复选框后，下面的“在网络上共享这个文件夹”选项立即变为不可选。如果要把文件夹设置为网络用户共享，则要选择“在网络上的共享这个文件夹”复选框（该文件夹一定不能是已设置成了私有文件夹的文件夹，否则该复选框不可选），然后在下面的“共享名”文本框中输入共享名，同样可以加上“$”符号来隐藏，如图5-29所示。（4）设置用户共享权限。这里的共享权限设置就比较简单了，只能通过选择“允许网络用户更改我的文件”复选框来使所有用户具有更改的权限，默认为不选择，此时各用户只有读取权限。它不能针对具体用户来设置。不过，

44、这在家庭网络中没有什么太大影响。 图5-28 资源管理器中的“共享文档”文件夹图5-29 设置简单文件网络共享配置3使用命令行创建除了用以上两种windows界面方式创建共享文件夹外，还可通过命令方式进行。具体方法很简单，只需先执行【开始】【附件】【命令提示行】菜单命令，进入命令提示状态。然后再输入命令net share sharename=drive:path。其中net share是用来创建、删除或显示共享资源的，而sharename=drive:path参数是用来指定共享资源的网络名称和其绝对路径的。要查看该命令的完整语法，请在命令提示符下输入net help share命令。5.2.4

45、 特殊共享资源根据计算机的配置，系统将自动创建如图5-30所示的所有特殊共享资源，以便于管理和系统本身使用。在“我的电脑”里，这些共享资源是不可见的，但通过使用“计算机管理”或者“文件服务器管理”控制台中的“共享”选项可查看它们。多数情况下，建议不删除或修改特殊共享资源。图5-30 “特殊共享资源”视图如果要更改特定共享资源（如admin$）的权限，则当终止并重新启动服务器服务或重新启动计算机时，将又将恢复默认设置，所以说不能保存设置更改。需注意，这种情况并不适用于那些由用户创建的共享名以“$”符号结尾的共享资源。windows server 2003系统中，在这些特殊共享资源中，主要可分为以

46、下几个。.driveletter$：这类共享名是在驱动器名后加上“$”符号，把整个驱动器作为一个特殊共享文件夹。这类共享文件夹只允许管理人员连接到驱动器根目录下的共享资源。.admin$：这是计算机远程管理期间使用的资源。该资源的路径总是系统根目录路径（安装操作系统的目录，如c:windows），以便对整个系统进行远程管理。.ipc$：这是共享命名管道的资源，在程序之间的通信过程中该命名管道起着至关重要的作用。在计算机的远程管理期间，以及在查看计算机的共享资源时，也要使用ipc$。不能删除该资源。.netlogon：这是域控制器上包括用户登录脚本的共享文件夹。.sysvol：这也是域控制器目录

47、服务数据库所需使用的共享文件夹。删除该共享文件夹会导致域控制器活动目录服务无法正常运行。.print$：这是远程管理打印机过程中使用的资源（图5-30中未显示）。.fax$：这是传真客户端在发送传真的过程中所使用的服务器上的共享文件夹（图5-30中未显示）。该共享文件夹用于临时缓存文件及访问存储在服务器上的封面页。5.3.3 ntfs文件访问权限属性windows nt系统的安全性在本地网络中主要还是用设置各用户对文件和文件夹的访问权限来保证的。为了控制好服务器上用户的权限，同时也为了预防以后可能的入侵和溢出，必须安全有效地设置文件夹和文件的访问权限。ntfs文件或文件夹的访问权限分为读取、写

48、入、读取及执行、修改、列目录和完全控制。在默认的情况下，大多数的文件夹和文件对所有用户（everyone组）都是完全控制的（full control），这根本不能满足不同网络的权限设置需求，所以还需要根据应用的需求进行重新设置。要正确有效地设置好系统文件或文件夹的访问权限，必须注意ntfs文件夹和文件权限具有的如下属性。1权限具有继承性权限的继承性就是下级文件夹的权限设置在未重设之前是继承其上一级文件的权限设置的，更明确地说就是如果一个用户对某一文件夹具有“读取”的权限，那这个用户对这个文件夹的下级文件夹同样具有“读取”的权限，除非打断这种继承关系，重新设置。但要注意的是这仅是对静态的文件权限

49、来讲，对于文件或文件夹的移动或复制，其权限的继承性依照如下原则进行。 在同一ntfs分区间复制或移动在同一ntfs分区间复制到不同文件夹时，它的访问权限是和原文件或文件夹的访问权限不一样。但在同一ntfs分区间移动一个文件或文件夹其访问权限保持不变，继承原先未移动前的访问的权限。 在不同ntfs分区间复制或移动在不同ntfs分区间复制文件或文件夹访问权限会随之改变，复制的文件不是继承原权限，而是继承目标（新）文件夹的访问权限。同样如果是在不同ntfs分区间移动文件或文件夹则访问权限随着移动而改变，也继承移动后所在文件夹的权限。 从ntfs分区复制或移动到fat格式分区因为fat格式的文件或文件

50、夹根本没有权限设置项，所以原来文件或文件夹也就不再有访问权限配置了。2权限具有累加性ntfs文件或文件夹的权限的累加性具体表现在以下几个方面。 工作组权限由组中各用户权限累加决定如一个组group1中有两个用户user1、user2，他们同时对某文件或文件夹的访问权限分别为“只读”型的和“写入”型的，那么组group1对该文件或文件夹的访问权限就为user1和user2的访问权限之和，实际上是取其最大的那个，即“只读”+“写入”=“写入”。 用户权限由所属组权限的累加决定如一个用户user1同属于组group1和group2，而group1对某一文件或文件夹的访问权限为“只读”型的，而grou

51、p2对这一文件或文件夹的访问权限为“完全控制”型的，则用户user1对该文件或文件夹的访问权限为两个组权限累加所得，即“只读”+“完全控制”=“完全控制”。3权限的优先性权限的这一特性又包含两种子特性，其一是文件的访问权限优先文件夹的权限，也就是说文件权限可以越过文件夹的权限，不顾上一级文件夹的设置。另一特性就是“拒绝”权限优先其他权限，也就是说“拒绝”权限可以越过所有其他权限，一旦选择了“拒绝”权限，则其他权限也就不能起任何作用，相当于没有设置，下面就具体讲一下这两种子特性。 文件权限优先文件夹权限如果一用户user1对文件夹folder a的访问权限为只读类型的，在这个文件夹下面有一个fi

52、le1文件，可以对这个文件file1设置权限为“完全控制”型，而不顾它的上一级文件folder a的权限设置情况。 “拒绝”权限优先其他权限如果一个用户user1同属于组group1和组group2，其中组group1对一个文件file1（或文件夹）的访问权限为“完全控制”，而用户group2对这个文件file1的访问权限设置为“拒绝访问”，根据这个特性user1对文件file1的访问权限为“拒绝访问”类型，而不管工作组group1对这个文件设置什么权限。4访问权限和共享权限的交叉性当同一文件夹在为某一用户设置了共享权限的同时又为用户设置了该文件夹的访问权限，且所设权限不一致时，它的取舍原则是

53、取两个权限的交集，也即最严格、最小的那种权限。如文件夹folder a为用户user1设置的共享权限为“只读”，同时文件夹folder a为用户user1设置的访问权限为“完全控制”，那么用户user1的最终访问权限为“只读”。当然这个文件夹只能是在ntfs文件格式的分区中，如是fat格式的分区中也就不存在“访问权限”了，因为fat文件格式的文件夹没有本地访问权限的设置。5.4 分布式文件系统（dfs）基础自windows 2000系统以来，在windows服务器操作系统中就提供了dfs（分布式文件系统）功能。dfs是一种服务，它允许系统管理员将分布式的网络共享资源组织到一个逻辑名称空间中，从

54、而使用户不用指定文件的物理位置和提供网络共享的负载就能访问文件。5.4.1 分布式文件系统概述使用dfs可以创建一个目录树，该树中包含一个组、部门或企业内的多个文件服务器和文件共享。这样可使用户很轻松地查找分布在网络上的文件或文件夹。dfs共享还可以作为active directory中的卷对象来公布。利用dfs，系统管理员可以使用户访问和管理那些物理上跨网络分布的文件变得非常容易。通过dfs，可以使分布在多个服务器上的文件如同位于网络上的一个位置一样显示在用户面前。管理员只需要在“分布式文件系统”控制台（如图5-40所示）中即可查看所有添加到这个系统中的共享文件夹；用户在访问文件时也不再需要

55、知道和指定它们的实际物理位置，只需要知道dfs根目录（具体将在本节后面介绍）即可，可以实现集中访问。图5-40 分布式文件系统控制台1使用dfs的情形以下情形，您应考虑实施dfs。您期望添加文件服务器或修改文件位置。访问目标的用户分布在一个站点的多个位置或多个站点上。大多数用户都需要访问多个目标。通过重新分布目标可以改善服务器的负载平衡状况。用户需要连续地访问目标。您的组织中有供内部或外部使用的网站。2dfs术语您可以按下面两种方式中的任何一种来实施分布式文件系统：作为独立的根目录分布式文件系统，或者作为域的分布式文件系统。在这里首先需要明白以下几个与dfs有关的术语。dfs名称空间dfs名称

56、空间是由根和许多链接，以及目标组成的名称空间。该名称空间以映射到一个或多个根目标的根开始，根的下方是映射到其目标的链接。dfs名称空间为用户提供分布式网络共享的逻辑视图。独立的根目录独立的根目录是一种dfs名称空间，其配置信息本地存储在主服务器上。访问根或链接的路径以主服务器名开始。独立的根目录只具有一个根目标，没有根级别的容错。因此当根目标不可用时，整个dfs名称空间都不可访问。域dfs域dfs是dfs的一种实现方式。在这种实现中，dfs拓扑信息被存储在active directory里。因为该信息对域中多个域控制器都可用，所以域dfs为域中的所有分布式文件系统都提供了容错。dfs根目录df

57、s根目录是dfs名称空间的起始点，通常用于表示整个名称空间。根目录映射到一个或多个根目标，每个根目标对应于服务器上的一个共享文件夹。dfs根目录必须是运行windows 2000 server或windows server 2003系统。根目标根目标是dfs根目录的映射目标，与服务器上的某个共享文件夹相对应。它是为了确保在dfs根目录出现故障时，整个dfs系统仍然有效。当然也可以不添加根目标。根目标必须是运行windows 2000 server或windows server 2003系统。dfs链接dfs链接是dfs名称空间中的一个元素，位于根下面，并映射到一个或多个目标，每个根对应一个共享文件夹或另一个dfs根目录。根目标可以没有dfs链接。对于系统管理员，dfs映射是单独的dns名称空