最近使用windows server 2003搭建了文件服务器,对于其中关于共享文件权限的精细控制有了较深的体会。
当前实现基本的共享文件目录结构是(上传图片真心费劲,大家将就一下吧):
|--部门1--员工1、员工2……员工n
根目录--|--部门2--员工1、员工2……员工n
|--……
|--部门n--员工1、员工2……员工n
每个员工只能对自己的个人文件夹具备完全控制权限,无法查看其他部门和本部门员工的文件夹,可以查看本部门目录下的文件;部门经理对本部门文件夹内具备完全控制权限,无法查看其他部门的文件夹;所有人都可以查看根目录下的文件;文件服务器对外只共享根目录。同时,部门来新员工时,部门经理可在本部门下创建新文件夹,并授予该员工完全控制权限,这样就不用劳烦网管了。
在网上搜罗了一下相关的资料,都说可以用共享权限和NTFS权限组合进行精细控制,但是都没有特别详细的介绍,或是按照介绍根本无法实现,再或者需要将跟目录、部门目录、员工目录都共享来进行控制。
经过N次实验,确认只共享根目录并应用共享权限和NTFS权限组合是能够进行精细控制的。具体操作步骤如下:
1、创建用户组:公司、部门1、……部门n,部门组都隶属与公司组
2、创建用户:经理1、……经理n、员工1……员工n,经理与员工都隶属于各自部门组
3、创建文件夹:公司总目录,在公司总目录下创建目录:部门1……部门n
4、设置公司总目录文件夹共享,在共享标签的权限中添加组:公司,权限设为完全控制(不设成完全控制,部门经理或员工就无法给文件夹授予权限。当然如果不允许员工(包括经理)自己设置权限的话,只需勾读和改两个权限);在安全标签的高级中添加组:公司,应用到一栏选择“只有该文件夹”,将创建、删除、写入和权限相关的几项勾上拒绝;再添加组:公司,应用到一栏选择“只有子文件夹”,将列出文件夹勾上拒绝。
5、在部门1文件夹属性安全标签中添加用户:经理1,权限设为完全控制;在高级中添加组:部门1,应用到一栏选择“只有该文件夹”,将列出文件夹、遍历文件夹勾上允许。
6、其他部门同步骤5
至此,权限设置完毕。
部门1下的员工1的专用文件夹可以由经理1来创建,经理1访问共享目录“\\xxx.xxx.xxx.xx\公司总目录\部门1”,右键新建文件夹,更改文件夹名,右键文件夹属性,安全一栏添加用户:员工1,权限勾选完全控制,员工1就可以拥有“\\xxx.xxx.xxx.xx\公司总目录\部门1\员工1”的所有权限。
该设置在域环境下测试通过,非域环境应该类似。