关于windows server的文件管理,我这里大部分针对的环境是域环境。关于文件管理的技术点有很多,这里我挑了几个2016版本中重点常用知识来进行分享,其中NFS,动态访问,工作文件夹功能(Work Folder)等需要掌握。
文件权限概述
学过网络的朋友都知道,系统内的用户是通过ACL访问控制列表来进行访问,其实这个ACL可以理解成是NTFS系统所提供的!
如图所示:这就是访问控制列表的样子。具体的NTFS后期在演示,因为逻辑性会比较复杂!尤其在继承这样的晕乎乎的概念上去充分理解!
如何理解拒绝优先
演示:将鹿茸1用户对pub的权限设置为全部拒绝!
应用确定后,在访问控制列表中,可以查看到该用户在列表中被置顶!系统响应的顺序是从上往下,所以即使你是everone的权限允许,该用户也是被拒绝的!
这就说明,虽然用户对某个文件的有效权限是其所有权限来源的总和,但是只要其中有一个权限来源被设置为拒绝权限,该用户将不会拥有此权限!
传统文件共享权限分配实验演示
实验拓扑:这是一个典型的企业文件服务器访问拓扑,根据部门用户分别划分了不同的用户,每个部门的用户只能访问自己的文件夹,他人的文件你是看不到的!
按照实验拓扑,需要三台设备来完成
先将容器和人员架构增设
在DC上建立一个DXT_Share的文件夹,并给予everyone读取的权限,因为它是所有用户共享的文件访问接口。
可以在该页面中执行共享设置操作。
按照拓扑对部门文件夹进行权限筛选,举例对IT部门文件夹进行权限梳理,首先everyone的权限是必须要删除掉的!在缺省情况下,从父文件夹继承过来的权限是无法在子文件夹中删除的!
这就是NTFS权限是可以被继承的,当对文件设置权限后,这个权限会被此时文件夹下的子文件夹和文件继承,因此这里需要断绝继承权限,防护需求不能够达到要求!
因此需要执行断绝继承权限即可!
添加域成员,并给于读取权限(如果成员众多,可以添加组的权限为可读)
再到用户文件夹中,针对个人用户权限进行梳理:
因为每个用户账号对文件的权限都是独立的,所以要断绝继承权限!
最后针对用户给予完全控制,剩下的文件夹权限以此类推的去操作即可!
验证试验操作结果,用HR部门的用户西洋参去验证,进入到共享文件夹后看到的是自己部门的文件夹和自己的文件(因为用户访问文件服务器,只有有权限的文件夹可以访问,没有权限的直接隐藏!)
总结:用户访问共享文件夹所获得的的权限是共享权限和NTFS权限的交集!
控制用户在权限分配下是否看到其他文件的功能就叫做ABE:基于访问权限的枚举。这个功能是站在DC上去选择共享服务功能。缺省情况下启用,如果取消勾选这个功能,没有权限访问的文件会被显示出来!这里我不会取消的,因为要符合目前的需求的!
如今的互联网发展迅速,这种仅仅支持磁盘磁盘配额,文件检测,存储报告管理的这种传统方式共享出来的文件作出来的文件共有一定的弊端:列出以下弊端,我将引出工作文件夹功能!
员工多的时候配置繁琐。
架构不够灵活,基本在内网使用,外网需要配置VPN
因SMB协议致使产生动态端口,无法映射到公网;VPN操作配置过于麻烦,不符合简化IT配置。
不支持多平台(IOS,安卓系统等)
无缓存到本地功能,离线情况下无法使用!
工作文件夹概述
工作文件夹的功能横空出世,解决了以上弊端
工作文件夹存在于客户端的:在win10的客户端中的控制面板---系统安全中
win7必须通过更新补丁,来支持工作文件夹的功能,缺省情况下是没有的
想要让win7用上这个功能,前提必须是域成员!而win10却不需要!
多平台的支持!苹果IOS商店搜索work folder,如图所示:至于安卓用户可以搜索work floder 我没试过。
加密传输!客户端和服务器利用443端口传输,HTTPS协议,解决了公网无法映射的问题;加密的存储代表了无法破解本地数据,这些方面也比用户漫游文件功能强了太多!(比漫游配置文件功能优势在于支持多平台操作、客户端和服务器之间加密传输,加密存储)
Work Folder试验演示
实验步骤思路
安装证书服务器(在DC上去做)
1>发布吊销列表
2>制作证书模板
安装工作文件夹组件(在文件服务器上去做)*** 切记,它会占用80端口,导致IIS站点 无法启动,不必纠结于此
添加工作文件夹管理员组和用户组(在DC上去做)
申请工作文件夹的使用的证书(在文件服务器上去做)
绑定证书到IIS中(在文件服务器上去做)
通过向导配置文件工作夹(在文件服务器上去做)
配置域中的组策略 (在DC上去做)
试验拓扑
DC和文件服务器做试验前在服务器上先安装.NET 3.5
1,在DC上部署证书服务器
保证HTTPS通信,本地EFS加密
证书web注册时常用的证书组件
剩下的按照缺省配置一路下一步安装完成!
发布吊销列表,配置CA服务器的基本配置
一路下一步安装,证书服务器具体配置这里不做详细介绍
配置完成后,在服务器管理器中,将证书颁发机构打开
查看证书服务器状态正常,绿色的对勾代表正常,将吊销的证书发布出去。
制作证书模板
为工作文件夹功能申请一张证书,在微软标准部署文档中证书以模板的形式进行申请!
因为这个工作文件夹的管理模板是基于Web服务器,所以只需要复制这个web服务器的模板即可
在复制的模板中,定义证书模板的名称,可以是中文,也可以是英文名称。
在安全选项里,一定要给认证用户的注册和自动注册的权限!
创建好证书模板后,要发布新建的证书模板
把刚才定义好名称的工作文件夹模板选择上就可以了,证书服务器基本配置就完毕了
安装工作文件夹的组件
一定要按照拓扑中文件服务器上去安装这个组件安装这个工作文件夹的组件其实就是工作文件夹和IIS
在DC上安装工作文件夹,并且要安装web iis服务器!
等待安装完成即可!
在DC上创建两个用户组,用于对工作文件夹的管控】
创建工作文件夹管理员组
将这个工作文件夹组添加到管理员组中去。
2.创建工作文件夹的普通用户组
并加入一些需要的用户
配置工作文件夹的使用的证书
因为我在DC上配置了证书模板,我现在要在文件服务器上配置使用的证书
因为是基于AD的访问证书,所以这里我要选择的是计算机账户
下一步之后如果发现证书提示无法识别,代表了文件服务器是没有加入域的,首先要加入域,最后用组策略强制更新,可以在DC中更改下组策略,保证客户端的信任
配置完成后,CA会将证书强制推给客户端(客户端加入域的前提会自动获得该证书),该证书可以用于EFS加密。
在文件服务器上更新下组策略,保证客户端能够及时响应这条组策略
加入域,并且信任操作完成后,在文件服务器上就可以看到该证书了,可以申请该证书
申请证书信息
关于证书的公用名注意事宜:
其他选项就不用选了,点击应用后注册
注册完成后,在个人选项下显示证书
在文件服务上绑定IIS
打开IIS服务,这是微软的网站的模块化设计,可以减少被攻击范围,并减轻管理员负担,具备可扩展性的网站,这里不做详细介绍,后期会做详细分享!
找到默认网站,选择绑定,将443端口和证书绑定该网站
IIS站点未启动!!端口使用情况也正常!在做工作文件夹时IIS站点未启动属于正常!因为这个web不是对外服务,后续工作文件夹会组件占用80端口!
在文件服务器上根据向导配置工作文件夹!
选择要共享的文件夹
用户别名指的是用户A登录到工作文件夹后,会在共享文件中创建一个用户A的文件夹!
添加两个用户组到同步访问权限
选择加密工作文件夹选项:
并且能够看到哪些用户可以使用工作文件夹
往下拉的话能配置磁盘配额选项
配置组策略,用户启用时要配置组策略,在DC中配置组策略使其所有用户都配置了工作文件夹,分别是两条组策略,一个是计算机一个是用户下的策略---管理模板----windows组件--工作文件夹,并指定访问共享的URL
站在客户端上响应组策略并刷新组策略!并打开控制面板---系统安全--工作文件夹!
在win10客户端上,这个同步错误停止的提示,需要在工作文件夹输入一条指定
并且会在文件服务器共享文件同目录下自动创建一个文件夹
站在文件服务器上,打开Powshell,输入:
Set-SyncShare dxt -PasswordAutolockExcludeDomain "dxt.cn"
建议在客户端使用前输入这条命令!
在客户端上刷新组策略后登陆,显示同步功能正常,这里面所显示的磁盘容量就是服务器共享的总容量(未做磁盘配额)
显示同步功能正常,不同用户登录不同电脑都会被同步的!这里面所显示的磁盘容量就是服务器共享的总容量(未做磁盘配额)
打开此电脑,里面有一个工作文件夹的图标,这里面可以任意写入,这里面的文档是带有锁的图标,代表了本地存储加密(通过证书加密)
并且会在文件服务器共享目录下自动创建该用户名的文件夹!
这样就可以使用了,工作文件夹实验基本配置结束
试验中所谓的故障
当我在做这次实验时,发现绑定证书和选定指定端口后,IIS无法正常启用!
配置基于固定IP地址访问,虽然可以启动,但是配置工作文件夹会出现问题!
重启后虽然有效但是会造成配置工作文件夹WDS服务异常情况!(IIS端口冲突)
在IIS 删除站点也是无效的!
查看端口占用情况,443的端口被一个进程ID为4的进程占用,80端口并没有被重复占用
发现80和443端口被system进程所占用!
这张图就是在配置工作文件夹时,在IIS报错无法使用同一端口,重启服务器后造成的故障!
解决办法:将IIS的站点中的绑定设置基于IP地址访问的格式:
造成客户端在刷新组策略报错工作文件夹的原因是:还是在IIS问题上,之前IIS站点改成了基于IP地址访问的模式!(因为在默认模式下,我的IIS站点是不能被启动的!)
在服务器事件中查看到的结果:
解决思路:排除哪一个组件在占用站点访问的80 和443端口时和IIS冲突!
首先在文件服务器上卸载IIS组件。
重启后,在没有IIS下 查看80 和443端口都被占用了
再次删除工作文件夹组件,确定端口被ISCSI服务占用!
重启后,查看端口占用情况,发现80和443端口没有被占用,可以确认是工作文件夹组件和IIS产生了冲突了~~!
重新安装即可!
IIS站点停止因为web核心文件被工作文件夹文件所调用,一定不要以为加密或者不加密纯传输一定是通过网页来实现!比如通过工作文件夹到本地的文件输
时间关系下次继续分享!
