史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 網路軟硬體架設技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-07-26, 12:56 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - 巧妙套用Server Share Check

  Windows 伺服器安全困惑之一是它的訪問許可可以同時在共享和文件系統兩個層面上。不可否認,這兩種許可互不影響,但是如果同時使用就會引起一些有趣的問題。我將向大家解釋這些問題和如何用Server[/b] Share[/b] Check去解決它們。
  同時使用兩種許可的問題是,如果管理員想要更改一個許可,那他就必須記著在兩個不同地方的作改變。如果一個管理員忘了其中一個,就有可能使得共享許可和NTFS許可相互矛盾。在這種情況下Windows有自己的處理矛盾的方法,但是對於缺乏經驗的管理員來說很難得知結果。
  我個人建議大家在共享層次中給所有人全部權限,而在文件層次中限制他們的權限。這樣作,文件層次中的許可將發揮作用,因為它們的限制比在共享層次中的多。
  我們不在共享層次中限定許可,除了說明 避免混淆外,另一個原因是考慮到你的位址結構,共享層次上的許可很容易被繞過。
  只要在一個共用資料夾的外或是資料夾內沒有其它的共享文件,那麼共享層次上的許可就可以正常工作。但是,如果它包含於其它共用資料夾下或是包含其它特殊的共享文件,並且這個共享有著不同的許可。這樣共享就發生重疊,並且用戶可以使用一個共享得到另一個。
  比如,假設你有一個路徑\Files\Finance。現在假設你在共享層次上給了一個用戶對Files的全部訪問權限,並且把Finance的唯讀權限給了他。這樣,共享就重疊了,因為Finance是Files的一個子文件。如果一個用戶嘗試通過對Finance的共享訪問Finance,他將得到唯讀的許可。如果他嘗試通過Files的共享進入Finance,那他就可以得到對Finance文件的全部訪問權限。
  你很容易解決這個關於共享重疊和矛盾許可的問題,就是把所有人在共享層次上給予最高的權限,再利用NTFS許可逐一限制文件和資料夾。問題是很多管理員不想把所有共享全部開啟,因為他們認為這樣作有的安全風險。
  正如我已經指出的,在兩個層面上分配許可的後果是你可能混淆相互矛盾的許可。但是,微軟發怖一個鮮為人知的工具,它可以說明 管理員確定那個許可起作用。
  這個工具叫做Server[/b] Share[/b] Check,它是Windows Server[/b] 2003 資源工具包中的一個。如果你還沒有,那麼你可以免費下載它。
  這個工具是為Windows Server[/b] 2003設計的,但是它也可以在Windows 2000 和Windows XP執行。你下載好工具包後,雙按它,所有的工具就會安裝在\Program Files\Windows Resource Kits\Tools folder。這裡有很多不同的文件包含在工具包中。Server[/b] Share[/b] Check工具的名稱是SRVCHECK.EXE。
  這個工具沒有操作介面,你需要用Windows指令行操作它。請你按鍵輸入下面的指令,其中servername就是你的伺服器名稱:
  SRVCHECK \\servername
  當你執行指令,它就會檢查伺服器上的每個共享,包括內裝共享。這個工具可以顯示根目錄下共享的每個組權限。你可以在圖A中看到例子。

http://searchwindowssecurity.techtarget.com.cn/imagelist/06/27/59p1s0901147s.gif

  Figure A
  當然工具只顯示了共享根目錄的有效許可。如果你需要知道在共享的某個資料夾的許可,你可以使用Windows GUI。
  右鍵按下這個資料夾,在下拉表單中選項檔案總管。這樣你就可以看到這個資料夾的資源表。選項資源表的安全性選項,點擊進階選項。這樣就可以看到資料夾的進階安全性設定。現在,只要進入資源表的可用許可選項並且輸入組名或用戶名。這樣你所輸入的組或用戶的許可就會被取消,如圖B所顯示。
http://searchwindowssecurity.techtarget.com.cn/imagelist/06/27/97217xf1oaon.gif
  Figure B
  當一個文件有矛盾的許可和共享等級時是很讓人困擾的。但是如果你能一定要在共享層次上限制許可,那麼這個工具可以說明 你減少關於有效許可的困擾。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3196 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 01:33 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1