我刚刚为我的小企业设置了一个 Server 2012 Essentials R2 盒作为测试平台。它在 Essentials R2 主机上以 VM 形式运行 Essentials R2。我已将其设置为 DC 和 DHCP 服务器并加入了客户端。
我的下一个任务是将其用作文件服务器,但我不太清楚如何设置它。所有客户端与文件服务器的交互都将通过客户端软件进行。因此,除了通过软件之外,我不希望以任何方式访问文件。
我查看了 ntfs 权限,有一个名为“列出文件夹/读取数据”的权限,但我不确定这是否能实现我想要的效果。
是否可以授予文件访问权限但不允许通过 Windows 资源管理器/命令行访问?
答案1
这取决于应用程序如何与文件和用户交互。
根本问题是:“有没有办法使用不同的安全主体来自用户登录会话以访问文件“?如果答案是“否”,那么您就无法限制它。
更务实的说法是:
如果该应用程序是远程使用(在客户端计算机上运行的应用程序通过 SMB 共享访问文件)或本地使用(例如通过终端服务)的传统桌面应用程序,则不行,您通常无法使用权限限制对文件的访问,因为该过程使用用户的身份来访问它。
如果应用程序是 n 层应用程序(例如,Web 应用程序),则您通常可以对数据文件访问施加额外的限制:限制用户的权限,并允许对将要使用的安全主体进行必要的任何级别的访问(这通常是通过将特定服务服务帐户分配给相关进程来完成的)。但请注意,n 层应用程序有可能模仿用户访问令牌。在这种情况下,您应该确保要保护的文件实际上根本无法通过 SMB 访问(例如,将它们放置在用户无法通过任何可用的 SMB 共享访问的驱动器或文件夹中)。
请注意,无论上述问题的答案是什么,如果应用程序支持 UNC 路径,您可以通过将文件隐藏在隐藏的网络共享。要隐藏共享,您只需在其名称末尾添加美元符号 ($)。这不会阻止任何人(但技术不太熟练的用户除外)访问他们想要的文件,但它可能会防止意外发生。