三、 设置磁盘配额及文件屏蔽
为了防止用户无限制的上传文件,或上传病毒木马等文件,还需要进一步加强安全设置。用磁盘配额来管理用户的文件夹空间,用文件屏蔽来阻止用户上传有风险的文件。
在win2003中,磁盘配额只能在根目录级针对每个用户设置配额,用户数多的情况下会非常麻烦。在win2003R2后的版本就加强了文件服务资源管理器的功能,可以为任何层次的文件夹设置配额,并可以针对子文件夹批量设置配额。
配额管理可以实现以下管理目的:
(1) 通过创建配额来限制允许卷或文件夹使用的空间,并在接近或达到配额限制时生成通知。- n; B4 A2 T/ G' t5 X O
(2) 生成应用于卷或文件夹中所有现有文件夹以及以后创建的任何新子文件夹的自动配额。4 C' u1 l7 q# p% l8 U& e
(3)定义配额模板,并且定义的配额模板可以很容易应用于新的卷或文件夹以及可以在整个组织中使用。% ~/ O1 `- b9 t
配额模板是非常灵活的,例如:
(1)可以为服务器上每个用户的个人文件夹设置200 MB的限制,并在达到180 MB存储空间时通知您和用户。
(2)您可以为指定的用户组的共享文件夹设置灵活的500 MB配额。达到此存储限制时,将通过电子邮件通知组中的所有用户,存储配额已临时扩展到520 MB,以便用户可以删除不必要的文件并符合预设的500 MB配额策略。
(3)可以在临时文件夹达到2 GB时接收通知,然而不限制该文件夹的配额,因为服务器上运行的服务需要。
(4)可以定期生成报告,帮助发现磁盘使用率的趋势等。
文件屏蔽可以实现以下管理目的:
(1)控制用户可以保存的文件类型,阻止用户保存指定的文件类型,并可发送通知给管理员或生成报告,监视用户保存未经授权的文件的尝试。
(2)如,可以禁止用户保存exe、vbs等有风险的文件,禁止用户保存视频音频文件,只允许保存doc、xls、rar等文件类型。
1. 因为要对每个用户的文件夹进行配额管理,因此需要建立一个配额模板,然后应用到YJLWShare文件夹,即可批量应用。在win2008中,系统已经建立了一些配额模板,可以从这些模板派生新的模板,也可以自己建立新的配额模板。
打开文件服务器资源管理器,在左侧菜单“配额模板“右键单击,选择”创建配额模板“,
2. 如果要根据已有的配额模板建立新模板的话,可以选中指定的配额模板,然后点击“复制“,即可将原配额模板的属性复制过来,再根据需要修改。
输入模板名“YJLW 5G Limit“,空间限制设置为5GB,硬配额即不允许 用户超出限制,软配额即允许用户超出限制。通知阈值可根据需要给用户或管理员发送邮件,或记录事件日志。因为本服务器没有配置SMTP服务,因此不能发送邮件,此处选中记录事件日志。
3. 在左侧菜单“配额“右键单击选择创建配额,
配额路径选择YJLWShare的路径,选中“在现有子文件夹和新的子文件夹中自动应用模板并创建配额“,这样在YJLWShare中的所有子目录和以后新建的子目录都会自动应用此配额模板。配额属性选择刚才建立的YJLW 5G Limit,点击创建。
4. 此处只显示了YJLWShare目录的配额,其实系统已经自动为所有用户的文件夹生成了配额。可通过以下步骤查看:
点击筛选器,
配额路径选择“全部“,确定后即可看到所有应用了此配额的文件夹
并且以后在YJLWShare目录中新建目录的话,也会自动应用此配额并显示在这里。
5. 文件屏蔽管理
主要是为了防止用户保存木马病毒等高风险文件,系统已经设置好了一些文件屏蔽模板:
可以直接应用其中的可执行文件模板,也可以根据需要自己建立。
6. 左侧菜单“文件屏蔽“,右键单击选择”创建文件屏蔽“,文件屏蔽路径选择YJLWShare的路径,然后选中“自定义属性“
屏蔽类型选择主动屏蔽,文件组选择视频音频文件和可执行文件。
确定后,系统会提示将自定义属性另存为模板。
7. 左侧菜单点击“文件组“,可以对文件组进行管理
需要注意的是,文件屏蔽是基于扩展名或文件名,可以使用通配符,但用户可以通过更改文件名或扩展名来绕过文件屏蔽。这就要求在使用文件屏蔽功能的同时,仍然要在文件服务器上部署杀毒软件。
8. 存储报告管理
右键单击存储报告管理,选择“计划新报告任务“,选择要监视的文件目录,设置报告计划。
如果要修改报告的存储位置,在控制台树中右键单击“文件服务器资源管理器“,选择配置选项,”报告位置“选项卡中可修改各类存储报告的位置。
注意:如果要使用文件屏蔽审核报告,必须在文件屏蔽审核选项卡中选中“在审核数据库中记录文件屏蔽活动“。
9. 查看存储报告
可以在配置选项里设置的报告保存位置查看报告。如果要查看当前报告,在左侧菜单存储报告管理,右键单击选择“立即生成报告“,选择要报告的卷和文件夹路径,选择报告类型
确定后,可以选择等待报告生成还是在后台生成
确定后,稍等片刻就可以看到生成的各种报告了。
如文件审核报告:
10. 如果以后要修改配额,也是很方便的,通过修改配额模板,就可以更新从此模板派生的配额。
四、 启用基于访问权限的枚举。
客户端在地址栏中输入“//服务器地址“即可看到YJLWShare文件夹,打开后,只能看到自己名字命名的文件夹。如果看到了所有用户的文件夹,则说明win2008服务器还有一项功能没有启用:
打开共享和存储管理,在YJLWShare的共享上双击,单击高级,启用“基于访问权限的枚举“。
因为之前已经设置了每个文件夹的NTFS权限,因此在访问时自动将没有权限的目录隐藏了。就算在路径里直接输入没有权限的目录,也不能访问里面的内容。
其实这个功能就是win2003sp1时代的ABE插件,win2008已经内置了这个功能。需要说明的是,这个功能只对共享文件夹下的子文件夹生效,即每个用户(包括YJLWUser用户组之外的用户)都可以看到YJLWShare这个目录,但里面的子目录则只能看到自己有权限的那个目录,此外对本机管理员也是无效的。
五、 客户端虚拟机用户使用
客户端可以直接输入//服务器地址/YJLWShare/qdc账户名的形式访问共享文件夹,且不能看到其他用户的共享文件夹。
为了方便操作,客户端可以使用以下命令:
net use x: //服务器地址/yjlwshare/zhang_san
修改后面的用户名,即可在我的电脑中生成一个x盘。
如果系统再次登录后需要重新设置,可以把这个命令保存为bat批处理,放到启动项中,每次登陆即可自动设置好。
六、 通过以上设置,虚拟机用户可以把工作文件保存在文件服务器上的共享目录中,且和使用本地磁盘一样方便,避免了因虚拟机系统崩溃而造成工作文件丢失的情况。管理员可以指定共享文件夹的容量,禁止用户保存exe等可执行文件、音视频等。