对共享资源(如文件夹或卷)的权限由该资源的本地 NTFS 权限和用于访问共享资源的协议来确定:
-
服务器消息块 (SMB) 协议
基于 SMB 的访问控制(适用于基于 Windows 的文件系统)是通过将权限授予各个用户和组来实现的。
-
网络文件系统 (NFS) 协议
基于 NFS 的访问控制(适用于基于 UNIX 的文件系统)是通过将权限授予特定的客户端计算机和组(使用网络名称)来实现的。
共享资源的最终访问权限是通过考虑 NTFS 权限和共享协议权限,然后应用限制较多的权限来确定的。如果您在基于 SMB 的共享文件夹上启用基于访问权限的枚举,则 Windows 会隐藏用户没有读取权限的文件和文件夹。
在使用设置共享文件夹向导,或通过选择现有共享资源并单击“操作”窗格中的“属性”创建新的共享文件夹或卷时,可以为共享资源配置权限和启用基于访问权限的枚举。
本主题将讨论以下内容:
有关使用“设置共享文件夹向导”的信息,请参阅共享资源。有关配置现有共享资源属性的信息,请参阅查看和修改共享文件夹属性。
NTFS 权限
可以采用以下方法使用“共享和存储管理”为共享文件夹或卷配置本地 NTFS 权限:
-
新的共享资源。在“设置共享文件夹向导”中选择网络共享协议之前,可以更改要共享的文件夹或卷的 NTFS 权限。这些 NTFS 权限将在本地以及通过网络访问资源时应用。若要更改 NTFS 权限,请在“NTFS 权限”页上,选择“是,更改 NTFS 权限”,然后单击“编辑权限”。
-
现有的共享资源。可以更改“共享”选项卡上列出的共享文件夹或卷的 NTFS 权限。若要更改 NTFS 权限,请选择文件夹或卷,在“操作”窗格中单击“属性”,并在“权限”选项卡上单击“NTFS 权限”。
 | 注意 |
|
有关 NTFS 权限的详细信息,请在单击“NTFS 权限”时打开的属性页上单击“了解访问控制和权限”。 |
SMB 权限
对共享资源的基于 SMB 的访问控制是通过两组权限确定的:NTFS 权限和共享权限。共享权限通常仅用于那些不使用 NTFS 文件系统的计算机上的访问控制。
NTFS 权限和共享权限是独立的,无法相互更改,并且二者中最为严格的权限将应用于共享资源。
使用“共享和存储管理”,可以采用以下方法为基于 SMB 的共享资源指定共享权限:
-
新的共享资源。在“设置共享文件夹向导”中,如果选择 SMB 作为共享协议,则可以在“SMB 权限”页上指定以下基于 SMB 的访问权限:
-
所有用户和组只有读取访问权限。对于 Everyone 组,生成的权限将为“读取”权限。
-
管理员具有“完全控制”权限;所有其他用户和组只有读取访问权限。管理员组将具有“完全控制”权限,而 Everyone 组将被授予“读取”权限。
-
管理员具有“完全控制”权限;所有其他用户和组只有读写访问权限。管理员组将具有“完全控制”权限,而 Everyone 组将被授予“读取”和“写入”权限。
-
用户和组具有自定义共享权限。若要使用此选项,必须指定将具备共享访问权限的每个组和用户,以及将授予或拒绝每个组和用户的特定共享权限(“完全控制”、“更改”、“读取”)。
-
所有用户和组只有读取访问权限。对于 Everyone 组,生成的权限将为“读取”权限。
-
现有的共享资源。可以更改“共享”选项卡上的“协议: SMB”下列出的共享文件夹或卷的共享权限。若要更改共享权限,请选择文件夹或卷,在“操作”窗格中单击“属性”,并在“权限”选项卡上单击“共享权限”。
| 注意 |
|
有关共享访问权限的详细信息,请在单击“共享权限”时打开的属性页上单击“了解访问控制和权限”。 |
NFS 权限
对共享资源的基于 NFS 的访问控制是根据网络名称和组来确定的。若要使用 NFS 权限,必须首先使用服务器管理器安装网络文件系统 (NFS) 服务角色服务。安装 NFS 服务后,请使用 NFSAdmin.exe 创建客户端组,并在配置 NFS 共享权限之前向这些组中添加客户端计算机。
| 注意 |
|
有关 Kerberos 身份验证选项的信息,请参阅 |
使用“共享和存储管理”,可以采用以下方法为基于 NFS 的共享资源指定共享权限:
-
新的共享资源。在“设置共享文件夹向导”中,如果选择 NFS 作为共享协议,则该向导中会出现“NFS 权限”页。可以指定访问是由特定客户端计算机(主机)控制,还是由客户端组控制。若要对共享资源设置 NFS 权限,可以执行以下操作:
-
为客户端组和主机添加、编辑或删除权限。对于 ALL MACHINES 组,默认为只读权限。可以添加以前创建的任何客户端组或主机(使用 NFSAdmin.exe),并为其中的每个客户端组或主机授予适当权限(无访问权限、只读、读写)。
此外,还可以为每个客户端组和主机选择“允许根目录访问”选项,但是,不建议这样做,因为这会带来安全风险。
-
指定是否允许对共享资源进行匿名访问。出于安全原因,默认情况下不会启用此选项。虽然在进行故障排除时或在测试环境中匿名访问非常有用,但不建议将其用于常规用途。
若要允许匿名访问,“设置共享文件夹向导”将修改授予 Everyone 安全组访问权的文件夹或卷的 NTFS 权限。
如果启用匿名访问,还将启用“将 Everyone 权限应用于匿名用户”安全策略,从而向 Everyone 安全组有效添加“匿名登录”原则。这允许匿名用户在共享文件夹中导航对象路径时通过他们无权访问的文件夹,尽管并不允许用户列出未被授予访问权限的任何文件夹的内容。
注意 如果禁用匿名访问,则不会禁用“将 Everyone 权限应用于匿名用户”安全策略。
-
为客户端组和主机添加、编辑或删除权限。对于 ALL MACHINES 组,默认为只读权限。可以添加以前创建的任何客户端组或主机(使用 NFSAdmin.exe),并为其中的每个客户端组或主机授予适当权限(无访问权限、只读、读写)。
-
现有的共享资源。可以更改“共享”选项卡上的“协议: NFS”下列出的共享文件夹或卷的 NFS 权限。若要更改共享权限,请单击文件夹或卷,在“操作”窗格中单击“属性”,并在“权限”选项卡上单击“NFS 权限”。若要配置权限,可以为要配置访问权限的每个客户端组或主机添加、编辑或删除权限。
基于访问权限的枚举
基于访问权限的枚举仅允许用户查看他们有权访问的基于 SMB 的共享文件夹中的文件和文件夹。如果某个用户对某个文件夹没有读取权限,则 Windows 会在该用户的视图中隐藏此文件夹。对于像包含很多用户的主目录这样的共享文件夹来说,此功能非常有用。
 | 在共享文件夹上启用基于访问权限的枚举的步骤 |
在“共享和存储管理”中,右键单击相应的共享文件夹,然后单击“属性”。
在“共享”选项卡上,单击“高级”。
选中“启用基于访问权限的枚举”复选框,然后单击“确定”。
其他注意事项
-
如果为用户授予共享资源的“完全控制”NTFS 权限,将使该用户取得文件夹或卷的所有权,除非采用某种其他方式对该用户加以限制。授予“完全控制”权限时要小心。
-
如果希望只使用 NTFS 权限管理文件夹和卷访问权限,应将 Everyone 的共享权限设置为“完全控制”。这将简化共享权限的管理,但 NTFS 权限比共享权限更为复杂。
-
NTFS 权限同时影响本地和远程访问。NTFS 权限的应用与协议无关。相反,共享权限只适用于共享网络资源。共享权限不限制任何本地用户或终端服务器用户的访问。因此,共享权限不为多个用户使用的计算机上的用户提供隐私。
-
默认情况下,Everyone 组不包括“匿名”组,因此应用于 Everyone 组的权限不会影响 “匿名” 组。
-
您无法修改出于管理目的而共享的文件夹或卷(如 C$ 和 ADMIN$)的访问权限。
-
若要打开“共享和存储管理”,请单击「开始」,指向“管理工具”,然后单击“共享和存储管理”。