利用组策略和DFS创建安全的文件服务器

时间 2019-12-28

原文原文链接

概述：
   Dfs是微软在Win2000时就已经推出的一项功能，全称是Distributed File System（分布式文件系统），微软推出Dfs的目的为了统一管理网络中的共享文件资源，避免多个共享资源杂乱无序的分布在多个服务器中，方便维护管理和用户统必定位，同时也提供了网络负载平衡和容错的功能。
       本文以做者工做环境中实际案例为基础，详细阐述了在Win2003 R2中如何使用Dfs创建分布式文件服务器，结合AD细致控制用户权限，保证数据安全，并利用组策略将分布式文件服务器路径映射网络盘，进一步方便终端用户使用Dfs文件系统，同时利用R2的文件服务器资源管理器功能对文件服务器存储的文件数据进行有效的管理。
       本文涉及的议题有：
            一：安装与配置Dfs。
            二：配置文件服务器访问权限。
            三：利用组策略将文件服务器UNC路径映射为网络驱动器。
            四：文件服务器资源管理器管理Dfs文件服务器。
            五：关于Dfs文件服务器我的体会!
       但不涉及Dfs复制相关知识!

       为方便你们更好理解本篇文章，首先将本次实验的模拟场景进行一次简单描述：
       某公司有两台服务器(Server1,Server2)上都有共享文件夹供平常办公使用，为方便管理，现但愿经过Dfs方式实现简单方便的访问，同时保证合理的用户访问权限，实现除了公共资料文件夹外，不一样的部门员工只能访问本部门内部的资料，公共资料夹全公司员工都有权利访问，部门文件夹中除了部门公共文件夹外，不一样用户只能访问我的文件夹，不容许访问其余用户文件夹。
       企业已部署Active Directory，针对不一样部门创建了各自的用户账号和安全组。见图一：

一：安装与配置Dfs
    1:安装分布式文件系统组件
      安装分布式文件系统组件的过程很是简单，当前提条件是须要有R2安装盘。
      一个方法是选择控制面板中的添加或删除程序，而后单击添加/删除 Windows 组件，而后勾选分布式文件系统（在分布式文件系统中包含有DFS复制服务、DFS复制诊断和配置工具、DFS管理三个子组件，你能够根据须要来选择），而后点击下一步，最后单击完成便可。你须要在每一台具备相应功能的服务器上安装对应的组件。
      也能够利用“管理工具”->“配置您的服务器向导”来选择“文件服务器”角色来安装分布式文件系统组件。
      推荐使用“配置您的服务器向导”来安装，这样能够将文件服务器资源管理器组件也一块儿安装。若是使用第一种方式安装了分布式文件系统组件，以后也能够安装文件服务器资源管理器组件，安装文件服务器资源管理器组件方法见图二：

安装完分布式文件系统组件和文件服务器资源管理器组件后，你能够在管理工具中看到相应的组件工具(图三)：

   2:配置分布式文件服务器
     配置分布式文件服务器的过程也很简单，你可使用"DFS管理"组件来配置，也可使用"分布式文件系统"组件。,
     我习惯于使用“分布式文件系统”组件，下面就以“分布式文件系统”组件说明如何配置分布式文件服务器。
     主要分为两步，第一步配置Dfs根，第二步创建Dfs连接!
     配置Dfs根：
        Dfs为共享文件夹定义了一个层次结构，相似于标准的目录结构，只是构成该目录结构的不是文件夹，而是多个共享点。
        Dfs根就能够理解为目录结构的根目录，包含Dfs根目录的服务器也称为根服务器，同时根服务器会有一个分区信息表(PKI)
        包含着指向Dfs目录结构的指针以及它们所表明的共享名称。
        在Win2003中有两种类型的Dfs根，分别是独立根和域根。
        独立根的PKI信息存储在根服务器的注册表信息中，若是独立根服务器不可用，会致使Dfs不可用。
        域根的PKI信息存储的AD中，并复制到当前域中全部DC，以实现容错性，当根服务器不可用时，其它服务器仍可向客户端传送Dfs信息。
        显然，域根是更加安全的方案，但须要AD域支持。本文以域根为例子!

打开分布式文件系统，在“分布式文件系统”菜单，右键新建DFS根目录(图四)

选择当前的域名，在主服务器中，能够直接输入根服务器的NetBios名称，也能够经过浏览方式，选择指定的主服务器(图六)：

在根目录名称界面，输入相应的信息(图七)：

在根目录共享中，选择你指定的共享路径，若是文件不存在，向导会自动建立对应的文件(图八)。

根目录创建完成后，分布式文件系统中会相应生成Dfs根目录(图九)

    创建Dfs连接
    创建好Dfs根目录后，为了能让Dfs正常运行，咱们还须要创建Dfs连接才能完成整个Dfs的创建。方法就是在Dfs根上点右键，新建Dfs连接，为连接起个名字并指向适当的的共享资源就能够了。
    这里我创建了两个Dfs连接，分别模拟场景中对应的两台服务器共享文件夹,每一个文件夹下面都已经创建好三个子文件夹。(图十)

远程文件服务器创建过程略过。

建好Dfs连接后，分布式文件系统结构以下(图十一)：

二：配置文件服务器访问权限
1：正确配置用户工做文件夹
首先看一下场景中对应文件夹安全的实现目标,其中LocalFileServer文件夹对应着Dfs连接中的本地文件服务器：

公司级别文件夹权限要求：

部门内部文件夹权限要求：

        明确了安全目标，接下来以IT Depart文件夹为例，说明如何配置安全的共享文件夹访问权限，其它两个文件夹配置办法相似。
        选中"IT Depart"文件夹，右键选择"共享与案例",在"安全"选项卡,选"高级",在“高级安全设置”中，
        取消“容许父项的继承权限传播到该对象和全部子对象。。。”。勾，在弹出的窗口中，选择“删除”

删除继承后，再添加”IT Depart“安全组到”安全“选项卡中。

注意：IT Depart安全组是在AD中创建，成员包括：ITTrainer,RogerWang,见图一.
为方便管理，建议将Domain Admins用户组也加入到该文件夹,并赋给“安全控制”权限。

其它文件夹权限设置思路大同小异，请参考IT Depart文件夹上述步骤，过程略!

   2：设置好工做文件夹权限后，接下来步骤是正确配置Dfs共享文件夹访问权限
       首先检查一下默认的文件服务器对应的共享文件夹访问权限。
       1)：根目录共享文件夹
       共享用户是Everyone,权限是只读

安全选项卡中，用户和权限是直接继承自上级目录,对于Superlan\Users只有读取权限

2)：Dfs连接对应的共享文件夹，默认的访问权限与根目录共享文件夹访问权限一致,在此略过!

   3：经过客户端访问Dfs服务器，测试当前的用户权限。
      客户端以域账号ITTrainer登陆后，经过运行UNC访问路径“\\superlan.vmtest.com\文件服务器”，
      能够正常访问到Dfs文件服务器，但此时只能浏览，在任一级目录没有写权限。

   3：对共享文件夹赋给域用户正确权限
      1)：根目录共享文件夹,权限不变
      2)：Dfs连接共享文件夹
          在共享选项卡中，给Everyone用户权限添加“更改”权限

在“安全”选项卡中，给Users(Superlan\Users)添加"拒绝"写入权限。
添加”拒绝写入“权限的目的是防止用户在与"IT Depart"同级目录中新增文件夹!

至此,文件服务器安全访问权限已经配置完成，能够经过客户端登陆到Dfs服务器进行相应测试!

三：利用组策略将文件服务器UNC路径映射为网络驱动器
      经过上面步骤，客户机已经能够经过UNC路径访问Dfs文件服务器，进行正常的文件访问，貌似已经比较完美。
    但在实际工做中咱们发现，在企业经常会有一些用户，连上述UNC路径( \\superlan.vmtest.com\文件服务器)都不懂使用，但愿有更加方便简捷的途径使用文件服务器。没办法，企业内IT人员永远是为用户服务，既然有此需求，只能想办法实现。
    下面给出利用组策略实现将UNC名映射成网络盘的基本思路。
     1：编写用户登陆脚本，实现UNC到网络驱动器的映射。
      用户登陆脚本以下,文件名：NetDisk.VBS

      On error resume Next
      strRemotePath = " \\Superlan.VMTest.com\文件服务器"
      strNewName = "文件服务器"

Set objNetwork = CreateObject("Wscript.Network")
Set colDrives = objNetwork.EnumNetworkDrives

'Wscript.Echo colDrives.Count

     if colDrives.Count = 0 then
        strDriveLetter="X:"
     else
        strDriveLetter = Chr(Asc(Left(colDrives.Item(0),1))-1) & ":"
     end if

     ' Section to map the network drive
     Set objNetwork = CreateObject("WScript.Network")
     objNetwork.MapNetworkDrive strDriveLetter, strRemotePath

     ' Section which actually (re)names the Mapped Drive
     Set objShell = CreateObject("Shell.Application")
     objShell.NameSpace(strDriveLetter).Self.Name = strNewName

   2：使用老朋友GPMC，在AD中创建一个用于分发Dfs文件服务器的组策略,在用户配置->Windows设置->脚本(登陆/注销)->登陆，
      选择上述的NetDisk.VBS脚本。实如今用户登陆时执行映射网络驱动器动做!
      注意，必定要将上述脚本存放到该组策略对应的Logon目录下,该组策略才能生效!

3：连接该组策略到具体的OU，请注意要连接到用户OU中，不要连接到计算机OU中。
4：启动客户机测试组策略结果,检测是否能够正确映射网络驱动器。

四：使用文件服务器资源管理器管理Dfs文件服务器
    文件服务器部署成功，在实际环境中正式使用后，如何有效的进行文件服务器，好比每一个用户文件夹大小，文件类型，以及存储状况呢？
    微软的Win2003 R2中提供了一个强大的文件服务器资源管理器组件，能够方便网络管理员更好地监视、控制和管理存储在公司服务器上的数据的类型和数量。
    本文只介绍一些简单的使用方法，详细使用请参见微软文档( [url]http://www.microsoft.com/china/technet/itsolutions/msit/valuecard/msfsrmvc.mspx[/url])
       或风间子的文件服务器资源管理使用文档( [url]http://www.winsvr.org/info/info.php?sessid=&infoid=48[/url])

    1：建立配额监视文件服务器使用状况
       在FSRM管理控制台中展开配额管理，右击配额，选择建立配额。
       在弹出的建立配额对话框上，首先选择配额路径，默认选项为在路径上建立配额。
       若是你想监视该目录下完整使用状况，能够选择第二个。
       而后选择今后配额模板派生属性（推荐选项）并选择对应的模板，若是你须要建立自定义的配额则选择定义自定义配额属性。

最后点击建立便可，完成后以下图所示

这时就能够看到相应的文件夹以及子文件夹使用状况。

2：使用文件屏蔽管理，拒绝用户存放某些类型文件。
在FSRM管理控制台中展开文件屏蔽管理，右击文件屏蔽，选择建立文件屏蔽，而后在弹出的建立文件屏蔽对话框上输入路径，选择对应的模板，若是须要则能够选择定义自定义文件屏蔽属性进行自定义，而后点击建立。

3：使用存储报告管理，实时了解文件服务器资源情况
在FSRM中，提供了很是详尽的存储报告功能，经过此功能，能够很清楚的了解到服务器上所存储的资源情况。也能够建立计划报告任务来按期建立报告，也能够当即生成报告。

五：对Dfs文件服务器我的体会 1：经过Dfs文件服务器，咱们能够实现将存在网络多个不一样位置的共享文件夹统一位置来访问，但在实际环境中若有条件，强烈建议只使用一台独立服务器作专职的文件服务器! 2：对于Dfs来讲，虽然只要求Dfs根必须在NTFS卷上，但从安全性方面考虑，强烈建议Dfs连接文件夹也创建在NTFS卷中。 3：理论上Dfs能够无限包含子文件夹，但实际上Dfs路径长度不能超过260字节，建议在创建文件夹时使用简洁的命名方案。 4：同一个Dfs根不能从现有的连接中再建立子连接，基本的Dfs命名空间只有一级深度。