利用組策略和DFS創建安全的文件服務器

時間 2019-12-28

原文原文鏈接

概述：
   Dfs是微軟在Win2000時就已經推出的一項功能，全稱是Distributed File System（分佈式文件系統），微軟推出Dfs的目的爲了統一管理網絡中的共享文件資源，避免多個共享資源雜亂無序的分佈在多個服務器中，方便維護管理和用戶統必定位，同時也提供了網絡負載平衡和容錯的功能。
       本文以做者工做環境中實際案例爲基礎，詳細闡述了在Win2003 R2中如何使用Dfs創建分佈式文件服務器，結合AD細緻控制用戶權限，保證數據安全，並利用組策略將分佈式文件服務器路徑映射網絡盤，進一步方便終端用戶使用Dfs文件系統，同時利用R2的文件服務器資源管理器功能對文件服務器存儲的文件數據進行有效的管理。
       本文涉及的議題有：
            一：安裝與配置Dfs。
            二：配置文件服務器訪問權限。
            三：利用組策略將文件服務器UNC路徑映射爲網絡驅動器。
            四：文件服務器資源管理器管理Dfs文件服務器。
            五：關於Dfs文件服務器我的體會!
       但不涉及Dfs複製相關知識!

       爲方便你們更好理解本篇文章，首先將本次實驗的模擬場景進行一次簡單描述：
       某公司有兩臺服務器(Server1,Server2)上都有共享文件夾供平常辦公使用，爲方便管理，現但願經過Dfs方式實現簡單方便的訪問，同時保證合理的用戶訪問權限，實現除了公共資料文件夾外，不一樣的部門員工只能訪問本部門內部的資料，公共資料夾全公司員工都有權利訪問，部門文件夾中除了部門公共文件夾外，不一樣用戶只能訪問我的文件夾，不容許訪問其餘用戶文件夾。
       企業已部署Active Directory，針對不一樣部門創建了各自的用戶賬號和安全組。見圖一：

一：安裝與配置Dfs
    1:安裝分佈式文件系統組件
      安裝分佈式文件系統組件的過程很是簡單，當前提條件是須要有R2安裝盤。
      一個方法是選擇控制面板中的添加或刪除程序，而後單擊添加/刪除 Windows 組件，而後勾選分佈式文件系統（在分佈式文件系統中包含有DFS複製服務、DFS複製診斷和配置工具、DFS管理三個子組件，你能夠根據須要來選擇），而後點擊下一步，最後單擊完成便可。你須要在每一臺具備相應功能的服務器上安裝對應的組件。
      也能夠利用「管理工具」->「配置您的服務器嚮導」來選擇「文件服務器」角色來安裝分佈式文件系統組件。
      推薦使用「配置您的服務器嚮導」來安裝，這樣能夠將文件服務器資源管理器組件也一塊兒安裝。若是使用第一種方式安裝了分佈式文件系統組件，以後也能夠安裝文件服務器資源管理器組件，安裝文件服務器資源管理器組件方法見圖二：

安裝完分佈式文件系統組件和文件服務器資源管理器組件後，你能夠在管理工具中看到相應的組件工具(圖三)：

   2:配置分佈式文件服務器
     配置分佈式文件服務器的過程也很簡單，你可使用"DFS管理"組件來配置，也可使用"分佈式文件系統"組件。,
     我習慣於使用「分佈式文件系統」組件，下面就以「分佈式文件系統」組件說明如何配置分佈式文件服務器。
     主要分爲兩步，第一步配置Dfs根，第二步創建Dfs連接!
     配置Dfs根：
        Dfs爲共享文件夾定義了一個層次結構，相似於標準的目錄結構，只是構成該目錄結構的不是文件夾，而是多個共享點。
        Dfs根就能夠理解爲目錄結構的根目錄，包含Dfs根目錄的服務器也稱爲根服務器，同時根服務器會有一個分區信息表(PKI)
        包含着指向Dfs目錄結構的指針以及它們所表明的共享名稱。
        在Win2003中有兩種類型的Dfs根，分別是獨立根和域根。
        獨立根的PKI信息存儲在根服務器的註冊表信息中，若是獨立根服務器不可用，會致使Dfs不可用。
        域根的PKI信息存儲的AD中，並複製到當前域中全部DC，以實現容錯性，當根服務器不可用時，其它服務器仍可向客戶端傳送Dfs信息。
        顯然，域根是更加安全的方案，但須要AD域支持。本文以域根爲例子!

打開分佈式文件系統，在「分佈式文件系統」菜單，右鍵新建DFS根目錄(圖四)

選擇當前的域名，在主服務器中，能夠直接輸入根服務器的NetBios名稱，也能夠經過瀏覽方式，選擇指定的主服務器(圖六)：

在根目錄名稱界面，輸入相應的信息(圖七)：

在根目錄共享中，選擇你指定的共享路徑，若是文件不存在，嚮導會自動建立對應的文件(圖八)。

根目錄創建完成後，分佈式文件系統中會相應生成Dfs根目錄(圖九)

    創建Dfs連接
    創建好Dfs根目錄後，爲了能讓Dfs正常運行，咱們還須要創建Dfs連接才能完成整個Dfs的創建。方法就是在Dfs根上點右鍵，新建Dfs連接，爲連接起個名字並指向適當的的共享資源就能夠了。
    這裏我創建了兩個Dfs連接，分別模擬場景中對應的兩臺服務器共享文件夾,每一個文件夾下面都已經創建好三個子文件夾。(圖十)

遠程文件服務器創建過程略過。

建好Dfs連接後，分佈式文件系統結構以下(圖十一)：

二：配置文件服務器訪問權限
1：正確配置用戶工做文件夾
首先看一下場景中對應文件夾安全的實現目標,其中LocalFileServer文件夾對應着Dfs連接中的本地文件服務器：

公司級別文件夾權限要求：

部門內部文件夾權限要求：

        明確了安全目標，接下來以IT Depart文件夾爲例，說明如何配置安全的共享文件夾訪問權限，其它兩個文件夾配置辦法相似。
        選中"IT Depart"文件夾，右鍵選擇"共享與案例",在"安全"選項卡,選"高級",在「高級安全設置」中，
        取消「容許父項的繼承權限傳播到該對象和全部子對象。。。」。勾，在彈出的窗口中，選擇「刪除」

刪除繼承後，再添加」IT Depart「安全組到」安全「選項卡中。

注意：IT Depart安全組是在AD中創建，成員包括：ITTrainer,RogerWang,見圖一.
爲方便管理，建議將Domain Admins用戶組也加入到該文件夾,並賦給「安全控制」權限。

其它文件夾權限設置思路大同小異，請參考IT Depart文件夾上述步驟，過程略!

   2：設置好工做文件夾權限後，接下來步驟是正確配置Dfs共享文件夾訪問權限
       首先檢查一下默認的文件服務器對應的共享文件夾訪問權限。
       1)：根目錄共享文件夾
       共享用戶是Everyone,權限是隻讀

安全選項卡中，用戶和權限是直接繼承自上級目錄,對於Superlan\Users只有讀取權限

2)：Dfs連接對應的共享文件夾，默認的訪問權限與根目錄共享文件夾訪問權限一致,在此略過!

   3：經過客戶端訪問Dfs服務器，測試當前的用戶權限。
      客戶端以域賬號ITTrainer登陸後，經過運行UNC訪問路徑「\\superlan.vmtest.com\文件服務器」，
      能夠正常訪問到Dfs文件服務器，但此時只能瀏覽，在任一級目錄沒有寫權限。

   3：對共享文件夾賦給域用戶正確權限
      1)：根目錄共享文件夾,權限不變
      2)：Dfs連接共享文件夾
          在共享選項卡中，給Everyone用戶權限添加「更改」權限

在「安全」選項卡中，給Users(Superlan\Users)添加"拒絕"寫入權限。
添加」拒絕寫入「權限的目的是防止用戶在與"IT Depart"同級目錄中新增文件夾!

至此,文件服務器安全訪問權限已經配置完成，能夠經過客戶端登陸到Dfs服務器進行相應測試!

三：利用組策略將文件服務器UNC路徑映射爲網絡驅動器
      經過上面步驟，客戶機已經能夠經過UNC路徑訪問Dfs文件服務器，進行正常的文件訪問，貌似已經比較完美。
    但在實際工做中咱們發現，在企業經常會有一些用戶，連上述UNC路徑( \\superlan.vmtest.com\文件服務器)都不懂使用，但願有更加方便簡捷的途徑使用文件服務器。沒辦法，企業內IT人員永遠是爲用戶服務，既然有此需求，只能想辦法實現。
    下面給出利用組策略實現將UNC名映射成網絡盤的基本思路。
     1：編寫用戶登陸腳本，實現UNC到網絡驅動器的映射。
      用戶登陸腳本以下,文件名：NetDisk.VBS

      On error resume Next
      strRemotePath = " \\Superlan.VMTest.com\文件服務器"
      strNewName = "文件服務器"

Set objNetwork = CreateObject("Wscript.Network")
Set colDrives = objNetwork.EnumNetworkDrives

'Wscript.Echo colDrives.Count

     if colDrives.Count = 0 then
        strDriveLetter="X:"
     else
        strDriveLetter = Chr(Asc(Left(colDrives.Item(0),1))-1) & ":"
     end if

     ' Section to map the network drive
     Set objNetwork = CreateObject("WScript.Network")
     objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

     ' Section which actually (re)names the Mapped Drive
     Set objShell = CreateObject("Shell.Application")
     objShell.NameSpace(strDriveLetter).Self.Name = strNewName

   2：使用老朋友GPMC，在AD中創建一個用於分發Dfs文件服務器的組策略,在用戶配置->Windows設置->腳本(登陸/註銷)->登陸，
      選擇上述的NetDisk.VBS腳本。實如今用戶登陸時執行映射網絡驅動器動做!
      注意，必定要將上述腳本存放到該組策略對應的Logon目錄下,該組策略才能生效!

3：連接該組策略到具體的OU，請注意要連接到用戶OU中，不要連接到計算機OU中。
4：啓動客戶機測試組策略結果,檢測是否能夠正確映射網絡驅動器。

四：使用文件服務器資源管理器管理Dfs文件服務器
    文件服務器部署成功，在實際環境中正式使用後，如何有效的進行文件服務器，好比每一個用戶文件夾大小，文件類型，以及存儲狀況呢？
    微軟的Win2003 R2中提供了一個強大的文件服務器資源管理器組件，能夠方便網絡管理員更好地監視、控制和管理存儲在公司服務器上的數據的類型和數量。
    本文只介紹一些簡單的使用方法，詳細使用請參見微軟文檔( [url]http://www.microsoft.com/china/technet/itsolutions/msit/valuecard/msfsrmvc.mspx[/url])
       或風間子的文件服務器資源管理使用文檔( [url]http://www.winsvr.org/info/info.php?sessid=&infoid=48[/url])

    1：建立配額監視文件服務器使用狀況
       在FSRM管理控制檯中展開配額管理，右擊配額，選擇建立配額。
       在彈出的建立配額對話框上，首先選擇配額路徑，默認選項爲在路徑上建立配額。
       若是你想監視該目錄下完整使用狀況，能夠選擇第二個。
       而後選擇今後配額模板派生屬性（推薦選項）並選擇對應的模板，若是你須要建立自定義的配額則選擇定義自定義配額屬性。

最後點擊建立便可，完成後以下圖所示

這時就能夠看到相應的文件夾以及子文件夾使用狀況。

2：使用文件屏蔽管理，拒絕用戶存放某些類型文件。
在FSRM管理控制檯中展開文件屏蔽管理，右擊文件屏蔽，選擇建立文件屏蔽，而後在彈出的建立文件屏蔽對話框上輸入路徑，選擇對應的模板，若是須要則能夠選擇定義自定義文件屏蔽屬性進行自定義，而後點擊建立。

3：使用存儲報告管理，實時瞭解文件服務器資源情況
在FSRM中，提供了很是詳盡的存儲報告功能，經過此功能，能夠很清楚的瞭解到服務器上所存儲的資源情況。也能夠建立計劃報告任務來按期建立報告，也能夠當即生成報告。

五：對Dfs文件服務器我的體會 1：經過Dfs文件服務器，咱們能夠實現將存在網絡多個不一樣位置的共享文件夾統一位置來訪問，但在實際環境中若有條件，強烈建議只使用一臺獨立服務器作專職的文件服務器! 2：對於Dfs來講，雖然只要求Dfs根必須在NTFS捲上，但從安全性方面考慮，強烈建議Dfs連接文件夾也創建在NTFS卷中。 3：理論上Dfs能夠無限包含子文件夾，但實際上Dfs路徑長度不能超過260字節，建議在創建文件夾時使用簡潔的命名方案。 4：同一個Dfs根不能從現有的連接中再建立子連接，基本的Dfs命名空間只有一級深度。