在之前的这篇<<Windows server 2012 R2 搭建文件服务器（二）：实现分享功能>>中我们成功将5个文件夹分享给了5个不同的部门，也就是域控中的5个不同的组。但是一共遗留下来了两个问题，其中关于超过指定容量告警的功能已经在上一节<<Windows server 2012 R2 搭建文件服务器（三）：配额设置>>中解决，还有一个是对远程访问用户的权限进行限制和分类，这一节我们一起来看一看。

我是T型人小付，一位坚持终身学习的互联网从业者。喜欢我的博客欢迎在csdn上关注我，如果有问题欢迎在底下的评论区交流，谢谢。

NTFS权限和Share权限

在进行具体的操作之前有必要先来点Windows文件权限方面的理论知识。

Windows的文件权限有两类限制：NTFS权限和Share权限。这两类限制的目的都是一样的，阻止非法的文件或者文件夹访问，但是在使用上却有所区别。

NTFS权限

NTFS(New Technology File System)是Windows的一种文件系统，NTFS权限顾名思义就是针对不同用户在这个文件系统里对文件或者文件夹访问的一个规则的集合。这里的用户可以是本地的或者是远程用户。同时比起Share权限，NTFS权限拥有颗粒更细的高级选项。

在文件或者文件夹上点右键，查看属性，在Security页签里面就可以看到针对这个对象的NTFS权限了，如下图

Share权限

Share权限顾名思义管理的是通过网络去访问特定资源时候的规则，对于本地用户无效。同时规则比较简单，并不能做细颗粒的设置。不过不受文件系统的限制，不管是NTFS或者FAT和FAT32文件系统。

在文件或者文件夹上右键，查看属性。点击Sharing页签下的Advanced Sharing

然后点击Permissions

就可以查看该对象的Share权限了

对比

• Share权限比较简单，NTFS权限比较细致。所以通常来说是将Share权限全开，然后用NTFS来进行管理
• 如果Share权限和NTFS权限同时存在，那么更严格的那个会覆盖比较宽松的。例如Share权限允许所有人只读权限，同时NTFS权限允许所有人修改权限，因为Share权限更严格，所以用户在网盘上只有读的权限
• 如果文件系统是FAT或者FAT32，那么NTFS权限是不可以使用的
• NFTS权限对本地登陆的用户也有效，但是Share权限对本地用户无效
• Share权限可以用来限制同时访问一个共享文件夹的数目（在上面Share权限的第二张图里面设置Limit the number of simultaneous users to），但是NTFS权限没有这个功能

在下面的操作中，我会将Share权限设置为所有人有全部权限，然后利用NTFS权限去进行管理

准备条件

• 已经加入域的Windows server 2012 R2一台，且按照上一节方式成功完成了分享功能

这里加域是为了统一管理文件分享权限，你可能会需要在域里面有这台服务器的本地管理员权限才能进行后续操作。关于域的使用我后面会专门做一个系列进行详细介绍。

实际操作

我因为在海外工作，操作系统为英文，所以截图大部分会出现英文，但是界面布局和中文系统是一样的。

1. 进入文件分享的属性

点击服务器主页的File and Storage Service，然后点击Shares，在需要修改权限的分享上点击右键，选择Properties

2. 自定义权限

选择Permissions，可以看到我这个文件夹对于用户tester以及管理员都具有Full Control的权限，这是非常危险的，因为tester用户可以做很多危险操作，例如删除文件夹。点击下面的Customize permissions进行自定义设置

3. 编辑NTFS权限

这里的Permissions就是对NTFS权限的设置，Share就是对Share权限的设置。Share权限里面保持对Everyone的Full Control即可，只是在NTFS权限里面进行修改。例如如果要对tester用户的权限进行修改，选择tester用户，然后点击下面的edit

4. NTFS权限

这里展示的只是NTFS的6个基本权限，前面说过NTFS可以进行高颗粒度的配置，点击右边的Show advanced permissions进入高级选项

5. 高级NTFS权限

这里展示的就是所有的NTFS权限了，下面我会对这里的一些基本组合进行测试

几种权限组合的对比

在上面的设置界面勾选不同的选项对于tester用户的用户感受是完全不一样的，这里直接把我对几个常用组合的实验结论列在下面的表格中

NTFS权限	用户体验	使用场景
List folder + Read attributes + Read extended attributes	只读权限，只能查看文件和文件夹内容，也可以拷贝到本地，但是不可以上传，修改，删除	普通组员
上述权限 + Create files + Create folders	用户添加了从本地上传文件和文件夹的能力，但是直接新建文件或文件夹不可以重命名，而且存在新建文件夹自动新建4个的bug	不建议使用
上述权限 + Write attributes + Write extended attributes	用户添加了直接编辑txt文件并保存的权限，但是office文件因为涉及到删除中间文件，不能保存编辑内容，上诉4个文件夹的bug被修复	不建议使用
上述权限 + Delete subfolders and files + Delete	用户可以编辑和保存任何文件，同时也可以删除文件和文件夹	组长

几个Bug

从上面的表格可以大概感受出Windows对于NTFS权限的设置还是挺乱的，例如想让一个用户只能编辑上传的Excel文件但是不能删除就是做不到的，而且可以新建文件但是不能给新建的文件自定义名字这种中间状态也是存在的。同时还有这种自动新建4个文件夹的情况出现。

本来我以为是我自己设置有问题，上网一查发现别人也有类似的困扰。所以只在上面的表格中建议大家使用其中的两个组合，分别是给普通组员的只读权限，以及给组长的编辑和删除权限。当然管理员一定要给自己留好Full control权限。

下一步

这一节解决了文件分享中最重要的权限问题，文件服务器的搭建就基本上搞定了。不过为了用户使用方便，我们可以将网络文件夹设置为本地的一个盘，这样就不用每次都敲IP去访问了，下一节我们一起来看看如何去设置。