我的公司使用 Windows Server 2008 R2 作为域控制器和文件共享,所有客户端计算机都安装了 Windows 7 Professional。一些客户端计算机被添加到域中,用于访问共享资源进行协作,而其他客户端计算机则未添加到域中用于其他用途。并且域计算机被防火墙软件限制访问互联网。每个员工都有自己的域用户帐户+密码,当他登录到域客户端计算机时,他可以通过“映射网络驱动器”或“添加网络位置”访问共享文件(例如 \domain_ip_address\folder_sharename),并在服务器上指定自己的权限。
至于权限配置,据我所知,共享权限和 NTFS 权限共同决定最终权限:限制性更强的权限生效。因此,我按照常见的建议,将文件夹共享权限所有人:完全控制和相应的 NTFS 权限对于每个域用户帐户。
一切似乎都很顺利。我错误地认为,如果计算机未添加到域中,它就绝对不能访问域共享资源。
几天前,非域计算机之后,我尝试了“映射网络驱动器”和“添加网络位置”,系统提示我输入凭据,我以“域名\域用户帐户”+“密码”的形式提供了其中一个域用户帐户,并且我成功访问了共享文件夹,我震惊了。
我的目标是只允许添加到域的计算机访问域共享资源。然后,在文件夹的共享权限设置中,我删除了所有人:完全控制,并补充说域计算机:完全控制但结果是:即使在域计算机上,域用户帐户也无法访问它,即使是拥有完全控制 NTFS 权限的域用户帐户也无法访问它。
我的问题:
1.有人能告诉我为什么我会得到这个意想不到的结果吗?例如:为什么共享权限域计算机:完全控制阻止甚至具有完全控制 NTFS 权限的域用户使用域计算机访问共享资源?有没有人曾经使用过域计算机共享或 NTFS 权限是否成功?
2.我该如何改进?我不希望对我当前的服务器设置进行大修。
---------------------更新 2015-10-28------------------------------------------
我来详细介绍一下我的两台服务器的设置。坦白说,我不是 IT 专家,这两台服务器是我朋友搭建的。它们都安装了 Windows Server 2008 R2。
第一个,假设是server_A,充当域控制器、DHCP 服务器,并存储要共享的文件。
第二个,即server_B,充当DNS服务器,并安装了威胁管理网关2010(TMG2010),主要用于控制哪些客户端设备可以访问互联网。
答案1
文件共享在用户空间而不是计算机空间进行验证。
因此,您在那里输入的任何计算机条目都会被忽略,但由于没有用户可以访问共享,因为您只留下域计算机,这意味着没有人可以访问共享。(正如我所说的,文件共享中的计算机帐户被忽略)
为什么这样做?每个文件都归用户所有,而不是计算机。这是设计使然。想象一下你如何审计谁做了什么?这是不可能的(例如在 SOX404 中应用)
为每个用户帐户设置强密码非常重要。
另一方面,您可以限制 dhcp,使用一些控制来切换,以确保只有加入域的人才能获得 IP。因为您的风险比您所说的要严重得多,就好像一台受感染的计算机刚刚插入您的局域网,即使没有打开任何共享,损害也会严重得多。
因此,最后的提示是,控制插入的内容,甚至检查您的 dhcp 以确保没有连接恶意设备,如果您需要授予未加入域的计算机访问权限,那么请考虑为访客使用另一个 VLAN。