none
Windows Server 2008 R2 Enterprise 作为局域网文件共享服务器,怎样配置网络环境设置共享目录权限最安全合理呢?

    问题

  • 有一台服务器,安装的是 Windows Server 2008 R2 Enterprise,需要将此主机部署为局域网文件共享服务,以便使位于同一工作组下的 Windows 7 客户机访问。请问,怎样配置网络环境设置共享目录的权限最安全合理呢,能否举一个示例讲解?

    Pulled over our eyes to blind us from the truth

    2016年12月9日 13:15

答案

  • 您好 红色幻想,

    请进入下面的注册表路径,

    HEKY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/CurrentVersion/Winlogon,

    然后右击Winlogon,点击新建一个key,并且命名该key为SpecialAccounts,然后再在该key下面再新建一个Key,并且重命名为UserList,然后右键点击UserList,新建DWORDS,然后设置DWORDS的名字为你想要隐藏账号的名称,值该成0就行了。

    比如我的一个账户为User01,那么名字为User01,值为0.

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年1月4日 3:05
  • 您好 红色幻想,

    1.创建共享目录系统不会去创建文件服务角色,角色的话需要你在服务器管理器手动添加的。

    2.Everyone用户组的话代表是每个人都可以访问这个文件夹,包括一些不认识的设备或者用户,建议不要改成完全控制。您可以定义一些用户去访问该文件夹。

    3.是的,windows server处于安全考虑会关闭一些网络发现和共享的一些功能。您可以通过启动您所列出的服务区开启网络共享。

    是否改成这几个服务的启动方式,如果您需要长时间共享资源,改成自动启动会比较快捷。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月15日 2:36
  • Hi 红色幻想,

    1.不会,我在自己的实验环境中测试也是同样的结果,并且在我的英文系统上显示是一个File services,而这个服务可以管理共享文件。

    2.在我的实验环境中测试跟您是不一样的结果,我的是所有人都可以访问。有可能是您的组策略并没有设置正确,在这之前确保您的父文件夹添加了everyone的权限。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月21日 11:04

全部回复

  • 您好 红色幻想,

    您可以在创建共享的同时,添加一个供 工作组下面的windows 7用来访问文件夹的用户组,并给予其相应的权限,从而去控制windows7客户端访问共享文件夹的访问控制。

    或者您可以用防火墙去实现对windows 7安全访问到共享文件的功能。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月12日 2:01
  • 再请教几个问题。是不是只要一创建共享目录,系统就会自动添加一个文件服务角色?

    当创建一个共享文件夹后,默认共享设置中会有一个Everyone用户,权限为只读,是应该修改成完全控制再在安全选项卡中进一步配置用户权限呢,还是保持Everyone的只读权限呢?

    是否Windows Server 2008 R2系统出于安全考虑,默认是禁用网上邻居功能的呢?发现即使在网络和共享中心中启用网络发现功能,还是会自动恢复为禁用,只有手动启动以下几个服务:

    DNS Client
    Function Discovery Resource Publication)
    SSDP Discovery
    UPnP Device Host
    Computer Browser

    这样网络发现才可以正常工作,这几个服务的启动方式需要改成自动吗?


    Pulled over our eyes to blind us from the truth

    2016年12月14日 13:18
  • 您好 红色幻想,

    1.创建共享目录系统不会去创建文件服务角色,角色的话需要你在服务器管理器手动添加的。

    2.Everyone用户组的话代表是每个人都可以访问这个文件夹,包括一些不认识的设备或者用户,建议不要改成完全控制。您可以定义一些用户去访问该文件夹。

    3.是的,windows server处于安全考虑会关闭一些网络发现和共享的一些功能。您可以通过启动您所列出的服务区开启网络共享。

    是否改成这几个服务的启动方式,如果您需要长时间共享资源,改成自动启动会比较快捷。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月15日 2:36
  • 1. 可事实是,我在未创建共享目录前,查看服务器管理器已安装角色为0,而一旦创建一个共享目录后,就马上会自动出现一个文件服务角色,如下图所示:

    我在一台HP Gen8服务器和一台PC上安装的Windows Server 2008 R2系统上分别测试过了,都是这样,会不会是因为在共享文件夹属性—>共享选项卡—>中设置高级共享导致的?

    2. 既然Everyone用户组是代表所有用户,为什么给共享目录添加这个用户设置为完全控制后,在其她客户机上访问该共享时还是会弹出登录对话框提示无权限访问呢?


    Pulled over our eyes to blind us from the truth

    2016年12月20日 10:34
  • Hi 红色幻想,

    1.不会,我在自己的实验环境中测试也是同样的结果,并且在我的英文系统上显示是一个File services,而这个服务可以管理共享文件。

    2.在我的实验环境中测试跟您是不一样的结果,我的是所有人都可以访问。有可能是您的组策略并没有设置正确,在这之前确保您的父文件夹添加了everyone的权限。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月21日 11:04
  • 怪了,你的和我怎么会不同呢,我安装的版本是cn_windows_server_2008_r2_standard_enterprise_datacenter_and_web_with_sp1_vl_build_x64_dvd_617396,选的企业版,已更新到7601,装好后全部为默认配置。不过我这里的客户机装的不是Windows 7,而是Windows Server 2008 R2 Enterprise,网络类型都选择的是公共网络,Internet访问,是不是和这个有关?

    Pulled over our eyes to blind us from the truth

    2016年12月21日 12:40
  • 您好 红色幻想,

    您可以试着给该文件共享的权限添加一个测试的用户,然后让客户端去用这个用户组去访问该文件夹,看是否能够正常的去访问。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2016年12月22日 7:48
  • 创建一个用于文件共享的账户并赋予相应的权限给客户机让他使用该账户登录是可以正常访问共享目录的,但如果不另创建账户,直接用默认的Everyone用户是无法访问的。

    还有就是,新创建的账户默认隶属于Users组,这个用户组用于文件共享合适吗?

    再有就是,当创建多个用户账户后,Windows Server 2008 R2的登录界面中会罗列出这些账户,如下图所示,有没有什么方法隐藏除Administrator账户外的其他账户?


    Pulled over our eyes to blind us from the truth

    2017年1月2日 12:32
  • 您好 红色幻想,

    Users组是安全的,一般来说Users组的权限不是很多,如果只给一个文件共享的权限是可以的。

    对于登陆账户问题,您可以打开控制面板,然后点击用户账户,然后再点击管理账户,在新出来的窗口点击您要去除的账户,然后点击删除账户就行了。

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年1月3日 7:54
  • 你说的“打开控制面板,然后点击用户账户,然后再点击管理账户,在新出来的窗口点击您要去除的账户,然后点击删除账户就行了。”可是这样操作不就等于把Share账户删除了吗,这样客户机还怎么访问共享目录呢?

    Pulled over our eyes to blind us from the truth

    2017年1月3日 13:17
  • 您好 红色幻想,

    请进入下面的注册表路径,

    HEKY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/Windows NT/CurrentVersion/Winlogon,

    然后右击Winlogon,点击新建一个key,并且命名该key为SpecialAccounts,然后再在该key下面再新建一个Key,并且重命名为UserList,然后右键点击UserList,新建DWORDS,然后设置DWORDS的名字为你想要隐藏账号的名称,值该成0就行了。

    比如我的一个账户为User01,那么名字为User01,值为0.

    诚挚敬意

    John


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2017年1月4日 3:05
  • 非常感谢!

    Pulled over our eyes to blind us from the truth

    2017年1月5日 13:35