軟體 - 巧妙套用Server Share Check

[psac]

　　Windows 伺服器安全困惑之一是它的訪問許可可以同時在共享和文件系統兩個層面上。不可否認，這兩種許可互不影響，但是如果同時使用就會引起一些有趣的問題。我將向大家解釋這些問題和如何用Server[/b] Share[/b] Check去解決它們。
　　同時使用兩種許可的問題是，如果管理員想要更改一個許可，那他就必須記著在兩個不同地方的作改變。如果一個管理員忘了其中一個，就有可能使得共享許可和NTFS許可相互矛盾。在這種情況下Windows有自己的處理矛盾的方法，但是對於缺乏經驗的管理員來說很難得知結果。
　　我個人建議大家在共享層次中給所有人全部權限，而在文件層次中限制他們的權限。這樣作，文件層次中的許可將發揮作用，因為它們的限制比在共享層次中的多。
　　我們不在共享層次中限定許可，除了說明 避免混淆外，另一個原因是考慮到你的位址結構，共享層次上的許可很容易被繞過。
　　只要在一個共用資料夾的外或是資料夾內沒有其它的共享文件，那麼共享層次上的許可就可以正常工作。但是，如果它包含於其它共用資料夾下或是包含其它特殊的共享文件，並且這個共享有著不同的許可。這樣共享就發生重疊，並且用戶可以使用一個共享得到另一個。
　　比如，假設你有一個路徑\Files\Finance。現在假設你在共享層次上給了一個用戶對Files的全部訪問權限，並且把Finance的唯讀權限給了他。這樣，共享就重疊了，因為Finance是Files的一個子文件。如果一個用戶嘗試通過對Finance的共享訪問Finance，他將得到唯讀的許可。如果他嘗試通過Files的共享進入Finance，那他就可以得到對Finance文件的全部訪問權限。
　　你很容易解決這個關於共享重疊和矛盾許可的問題，就是把所有人在共享層次上給予最高的權限，再利用NTFS許可逐一限制文件和資料夾。問題是很多管理員不想把所有共享全部開啟，因為他們認為這樣作有的安全風險。
　　正如我已經指出的，在兩個層面上分配許可的後果是你可能混淆相互矛盾的許可。但是，微軟發怖一個鮮為人知的工具，它可以說明 管理員確定那個許可起作用。
　　這個工具叫做Server[/b] Share[/b] Check，它是Windows Server[/b] 2003 資源工具包中的一個。如果你還沒有，那麼你可以免費下載它。
　　這個工具是為Windows Server[/b] 2003設計的，但是它也可以在Windows 2000 和Windows XP執行。你下載好工具包後，雙按它，所有的工具就會安裝在\Program Files\Windows Resource Kits\Tools folder。這裡有很多不同的文件包含在工具包中。Server[/b] Share[/b] Check工具的名稱是SRVCHECK.EXE。
　　這個工具沒有操作介面，你需要用Windows指令行操作它。請你按鍵輸入下面的指令，其中servername就是你的伺服器名稱:
　　SRVCHECK \\servername
　　當你執行指令，它就會檢查伺服器上的每個共享，包括內裝共享。這個工具可以顯示根目錄下共享的每個組權限。你可以在圖A中看到例子。



　　Figure A
　　當然工具只顯示了共享根目錄的有效許可。如果你需要知道在共享的某個資料夾的許可，你可以使用Windows GUI。
　　右鍵按下這個資料夾，在下拉表單中選項檔案總管。這樣你就可以看到這個資料夾的資源表。選項資源表的安全性選項，點擊進階選項。這樣就可以看到資料夾的進階安全性設定。現在，只要進入資源表的可用許可選項並且輸入組名或用戶名。這樣你所輸入的組或用戶的許可就會被取消，如圖B所顯示。

　　Figure B
　　當一個文件有矛盾的許可和共享等級時是很讓人困擾的。但是如果你能一定要在共享層次上限制許可，那麼這個工具可以說明 你減少關於有效許可的困擾。