最近使用windows server 2003搭建了文件服務器,對於其中關於共享文件權限的精細控制有了較深的體會。
當前實現基本的共享文件目錄結構是(上傳圖片真心費勁,大家將就一下吧):
|--部門1--員工1、員工2……員工n
根目錄--|--部門2--員工1、員工2……員工n
|--……
|--部門n--員工1、員工2……員工n
每個員工只能對自己的個人文件夾具備完全控制權限,無法查看其他部門和本部門員工的文件夾,可以查看本部門目錄下的文件;部門經理對本部門文件夾內具備完全控制權限,無法查看其他部門的文件夾;所有人都可以查看根目錄下的文件;文件服務器對外只共享根目錄。同時,部門來新員工時,部門經理可在本部門下創建新文件夾,並授予該員工完全控制權限,這樣就不用勞煩網管了。
在網上搜羅了一下相關的資料,都說可以用共享權限和NTFS權限組合進行精細控制,但是都沒有特別詳細的介紹,或是按照介紹根本無法實現,再或者需要將跟目錄、部門目錄、員工目錄都共享來進行控制。
經過N次實驗,確認只共享根目錄並應用共享權限和NTFS權限組合是能夠進行精細控制的。具體操作步驟如下:
1、創建用戶組:公司、部門1、……部門n,部門組都隸屬與公司組
2、創建用戶:經理1、……經理n、員工1……員工n,經理與員工都隸屬於各自部門組
3、創建文件夾:公司總目錄,在公司總目錄下創建目錄:部門1……部門n
4、設置公司總目錄文件夾共享,在共享標簽的權限中添加組:公司,權限設為完全控制(不設成完全控制,部門經理或員工就無法給文件夾授予權限。當然如果不允許員工(包括經理)自己設置權限的話,只需勾讀和改兩個權限);在安全標簽的高級中添加組:公司,應用到一欄選擇“只有該文件夾”,將創建、刪除、寫入和權限相關的幾項勾上拒絕;再添加組:公司,應用到一欄選擇“只有子文件夾”,將列出文件夾勾上拒絕。
5、在部門1文件夾屬性安全標簽中添加用戶:經理1,權限設為完全控制;在高級中添加組:部門1,應用到一欄選擇“只有該文件夾”,將列出文件夾、遍歷文件夾勾上允許。
6、其他部門同步驟5
至此,權限設置完畢。
部門1下的員工1的專用文件夾可以由經理1來創建,經理1訪問共享目錄“\\xxx.xxx.xxx.xx\公司總目錄\部門1”,右鍵新建文件夾,更改文件夾名,右鍵文件夾屬性,安全一欄添加用戶:員工1,權限勾選完全控制,員工1就可以擁有“\\xxx.xxx.xxx.xx\公司總目錄\部門1\員工1”的所有權限。
該設置在域環境下測試通過,非域環境應該類似。