windows2003服务器文件夹共享权限如何设置?
1 共享权限设置在资源管理器中,右键点击“cce”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“cce的权限”设置对话框,点击“添加”按钮,将“cceuser ”账号添加到“组或用户名称”列表框内,这里“cceuser”账号对“cce”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。2 ntfs访问权限设置以上只是设置了“cce”共享文件夹的共享访问权限,毕竟“cce”共享文件夹是受“共享访问权限”和“ntfs访问权限”双重制约的,如果ntfs文件系统不允许“cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的ntfs访问权限。在“cce”共享文件属性对话框中切换到“安全”标签页后,首先将“cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“cceuser”账号后,在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击“确定”按钮。
1、首先打开控制面板,找到程序-打开或关闭Windows功能选项。
2、找到internet信息服务项把其下面的所有子功能全部勾选。
3、等待短时间服务配置完成后,右键我的电脑打开管理,选择internet信息服务就可以在右边网站上添加FTP站点。
4、设置FTP名称和共享文件存放的物理路径。
5、身份验证如果需要密码的话可以勾选把“基本”也一起勾选了。
6、设置完成后点击右边的高级设置,把utf-8设置成FALSE这样就可以放中文文件。
7、输入FTP路径就可以实现FTP共享文件。完成效果图。
解决方法有两种:
第一种:
首选去掉系统的简单共享(文件夹选项设置),
然后在控制面板-用户下添加用户名,你想让谁访问就在控制面板里添加他的用户名,
最后在这个文件夹上点右键-共享和安全-点共享,
再点权限设置,去个EVERYONE这个用户的访问权,删掉这个用户就行,
再点添加,查找并选择你刚才添加的用户名就行了,
最后告诉想共享的人,让他们访问你电脑的时候,用提供的用户名连接就可以了
第二种:
设置拨入用户开
用户:点击‘开始’--‘程序’--‘管理工具’--‘Active Directory 用户和计算机’(注:计算机如果没安装Active Directory,请进入‘计算机管理’)--‘USERS’--点击菜单上的‘操作’--‘新建’--‘用户’--在‘姓名’栏目填入用户名:yonghu1;
用户登陆名:yonghu1;
然后点击‘下一步’--输入密码:88;
确认密码:88,将‘用户不能更改密码’和‘密码永不过期’选上,然后点击‘下一步’--‘完成’给用户拨入权限:‘Active Directory 用户和计算机’的右边‘USERS’窗口中找到‘yonghu1’,双击后出现该用户属性窗口,进入‘拨入’选项,在‘远程访问权限’中选择‘允许访问’,然后点击‘确定’。
如何设置 Web 服务器的权限?如果Web服务器的权限没有设置好,那么网站就会出现漏洞并且很可能会出现被不怀好意的人黑掉的情况。我们不应该把这归咎于 IIS 的不安全。如果对站点的每个目录都配以正确的权限,出现漏洞被人黑掉的机会还是很小的(Web 应用程序本身有问题和通过其它方式入侵黑掉服务器的除外)。下面是我在配置过程中总结的一些经验,希望对大家有所帮助。
IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面以实例的方式来讲解如何设置权限。
IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:
脚本资源访问
读取
写入
浏览
记录访问
索引资源
6 个选项。这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这两个权限的设置。
另外在这 6 个选项下面的执行权限下拉列表中还有:
无
纯脚本
纯脚本和可执行程序
3 个选项。
而网站目录如果在 NTFS 分区(推荐用这种)的话,还需要对 NTFS 分区上的这个目录设置相应权限,许多地方都介绍设置 everyone 的权限,实际上这是不好的,其实只要设置好 Internet 来宾帐号(IUSR_xxxxxxx)或 IIS_WPG 组的帐号权限就可以了。如果是设置 ASP、PHP 程序的目录权限,那么设置 Internet 来宾帐号的权限,而对于 ASPNET 程序,则需要设置 IIS_WPG 组的帐号权限。在后面提到 NTFS 权限设置时会明确指出,没有明确指出的都是指设置 IIS 属性面板上的权限。
例1 —— ASP、PHP、ASPNET 程序所在目录的权限设置:
如果这些程序是要执行的,那么需要设置“读取”权限,并且设置执行权限为“纯脚本”。不要设置“写入”和“脚本资源访问”,更不要设置执行权限为“纯脚本和可执行程序”。NTFS 权限中不要给 IIS_WPG 用户组和 Internet 来宾帐号设置写和修改权限。如果有一些特殊的配置文件(而且配置文件本身也是 ASP、PHP 程序),则需要给这些特定的文件配置 NTFS 权限中的 Internet 来宾帐号(ASPNET 程序是 IIS_WPG 组)的写权限,而不要配置 IIS 属性面板中的“写入”权限。
IIS 面板中的“写入”权限实际上是对 HTTP PUT 指令的处理,对于普通网站,一般情况下这个权限是不打开的。
IIS 面板中的“脚本资源访问”不是指可以执行脚本的权限,而是指可以访问源代码的权限,如果同时又打开“写入”权限的话,那么就非常危险了。
执行权限中“纯脚本和可执行程序”权限可以执行任意程序,包括 exe 可执行程序,如果目录同时有“写入”权限的话,那么就很容易被人上传并执行木马程序了。
对于 ASPNET 程序的目录,许多人喜欢在文件系统中设置成 Web 共享,实际上这是没有必要的。只需要在 IIS 中保证该目录为一个应用程序即可。如果所在目录在 IIS 中不是一个应用程序目录,只需要在其属性->目录面板中应用程序设置部分点创建就可以了。Web 共享会给其更多权限,可能会造成不安全因素。
总结: 也就是说一般不要打开-主目录-(写入),(脚本资源访问) 这两项以及不要选上(纯脚本和可执行程序),选(纯脚本)就可以了需要aspnet的应用程序的如果应用程序目录不止应用程序一个程序的可以在应用程序文件夹上(属性)-目录-点创建就可以了不要在文件夹上选web共享
例2 —— 上传目录的权限设置:
用户的网站上可能会设置一个或几个目录允许上传文件,上传的方式一般是通过 ASP、PHP、ASPNET 等程序来完成。这时需要注意,一定要将上传目录的执行权限设为“无”,这样即使上传了 ASP、PHP 等脚本程序或者 exe 程序,也不会在用户浏览器里就触发执行。
同样,如果不需要用户用 PUT 指令上传,那么不要打开该上传目录的“写入”权限。而应该设置 NTFS 权限中的 Internet 来宾帐号(ASPNET 程序的上传目录是 IIS_WPG 组)的写权限。
如果下载时,是通过程序读取文件内容然后再转发给用户的话,那么连“读取”权限也不要设置。这样可以保证用户上传的文件只能被程序中已授权的用户所下载。而不是知道文件存放目录的用户所下载。“浏览”权限也不要打开,除非你就是希望用户可以浏览你的上传目录,并可以选择自己想要下载的东西。
总结: 一般的一些aspphp等程序都有一个上传目录比如论坛他们继承了上面的属性可以运行脚本的我们应该将这些目录从新设置一下属性将(纯脚本)改成(无)
例3 —— Access 数据库所在目录的权限设置:
许多 IIS 用户常常采用将 Access 数据库改名(改为 asp 或者 aspx 后缀等)或者放在发布目录之外的方法来避免浏览者下载它们的 Access 数据库。而实际上,这是不必要的。其实只需要将 Access 所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了。你不必担心这样你的程序会无法读取和写入你的 Access 数据库。你的程序需要的是 NTFS 上 Internet 来宾帐号或 IIS_WPG 组帐号的权限,你只要将这些用户的权限设置为可读可写就完全可以保证你的程序能够正确运行了。
总结: Internet 来宾帐号或 IIS_WPG 组帐号的权限可读可写那么Access所在目录(或者该文件)的“读取”、“写入”权限都去掉就可以防止被人下载或篡改了
例4 —— 其它目录的权限设置:
你的网站下可能还有纯目录、纯 html 模版目录、纯客户端 js 文件目录或者样式表目录等,这些目录只需要设置“读取”权限即可,执行权限设成“无”即可。其它权限一概不需要设置。 上面的几个例子已经包含了大部分情况下的权限设置,只要掌握了设置的基本原理,也就很容易地完成能其它情况下的权限设置。
方法/步骤
1
首先按照前面步骤打开Internet信息服务窗口,在该窗口的左侧显示区域,用鼠标右键单击目标FTP站点,从弹出的快捷菜单中单击“属性”
命令,打开目标FTP站点的属性设置窗口,单击该窗口中的“安全帐号”标签,进入到标签设置页面(如下图);
检查该标签页面中的“允许匿名连接”项目是否处于选中状态,要是发现该选项已经被选中的话,那我们必须及时取消它的选中状态;
其次单击上图中标签页面中的“浏览”按钮,从随后出现的“选择用户或组”设置窗口中,依次将“bbb”、“ccc”用户帐号选中并导入进来,再单击“确
认”按钮,返回到Internet信息服务列表窗口;
2
接
着打开服务器系统的资源管理器窗口,找到D盘下面的“aaa”目录,然后用鼠标右键单击该目录窗口中的子文件夹“bbb”,并执行右键菜单中
的“属性”命令,打开B部门信息上传目录的属性设置窗口,单击该设置窗口中的“安全”标签,再在该标签页面中单击“添加”按钮,从弹出的“选择用户或组”
列表中将“bbb”用户帐号选中,再单击“确定”按钮返回到安全标签设置页面(如下图所示),
并在该页面中赋予“bbb”用户帐号合适的访问权限。之后在下图界面中选中Everyone帐号名称,并点击“删除”按钮,以便取消其他员工对“bbb”
文件夹的访问权限,最后单击“确认”按钮结束“bbb”上传目录的访问权限。
按照相同的设置操作步骤,我们再将信息上传目录“ccc”的安全权限只授予“ccc”用户帐号,如此一来我们就顺利完成了对B部门、C部门所管理的信息上传目录共享权限间的相互限制了。
验证共享访问安全
为了检验B部门、C部门的员工在访问FTP服务器时,是否只能看到本部门的上传信息,我们现在就以FTP服务器IP地址为
192168110为例尝试FTP登录访问操作。首先打开IE浏览窗口,并在该窗口址址框中输入URL地址
“ftp://192168110”,单击回车键后,IE会自动弹出一个身份验证对话框,在其中正确输入用户名“bbb”及对应帐号的访问密码,再
单击“登录”按钮,在随后弹出的浏览页面中,我们会发现B部门的员工以“bbb”用户帐号登录FTP服务器时,只能访问并管理“bbb”信息上传目录,而
看不到“ccc”信息上传目录中的内容。当我们再次在IE浏览窗口中输入URL地址“ftp://192168110”,然后在身份验证对话框中输
入“ccc”用户帐号及对应该帐号的密码时,我们会发现C部门的员工以“ccc”用户帐号登录FTP服务器时,只能访问并管理“ccc”信息上传目录,而
看不到“bbb”信息上传目录中的内容。
当B部门的员工登录进FTP服务器后,想尝试在IE浏览窗口中输入URL地址
“ftp://192168110/ccc”,来达到浏览C
部门的信息上传目录时,IE会自动弹出相关提示信息,告诉我们没有浏览对应目录的权限。通过上述验证操作,我们发现不同部门的员工共享使用同一台FTP服
务器时,只要进行合适的共享权限设置,就会有效避免部门信息被轻易外泄的风险。
为了保证Windows系统的安全稳定,很多用户都是使用NTFS文件系统,因此共享文件夹的访问权限不但受到“共享权限”限制,还受到NTFS文件系统的ACL(访问控制列表)包含的访问权限的制约。下面笔者就以“CCE”共享文件夹为例,介绍如何合理设置“cceuser”用户对“CCE”共享文件夹的访问权限,以此来增强共享文件夹的安全。
1
共享权限设置
在资源管理器中,右键点击“CCE”共享文件夹,选择“属性”,切换到“共享”标签页,点击“权限”按钮,弹出“CCE的权限”设置对话框,点击“添加”按钮,将“cceuser
”账号添加到“组或用户名称”列表框内,这里“cceuser”账号对“CCE”共享文件夹要有读取和写入权限,因此笔者要给该账号赋予“完全控制”权限,最后点击“确定”按钮,完成共享权限设置。
2
NTFS访问权限设置
以上只是设置了“CCE”共享文件夹的共享访问权限,毕竟“CCE”共享文件夹是受“共享访问权限”和“NTFS访问权限”双重制约的,如果NTFS文件系统不允许“cceuser”用户访问共享,也是不行的,并且还要给该账号设置合理的NTFS访问权限。
在“CCE”共享文件属性对话框中切换到“安全”标签页后,首先将“cceuser”账号添加到“组或用户名称”列表框中,接下来还要为该账号设置访问权限。选中“cceuser”账号后,在“cceuser的权限”列表框中选中“读取和运行、列出文件夹目录、读取、修改和写入”项目,最后点击“确定”按钮。
经过以上操作后,就完成了“CCE”共享文件夹的“cceuser”用户的访问权限设置,其它用户的共享文件夹访问权限设置方法是相同的,就不再赘述。
1、对准开始键右击-选择第一个程序和功能-选择(左边小菜单)启用或关闭Windows功能。在InternetInformationServices可承载的Web核心和InternetInformationServices子菜单把FTP打钩。
2、同样开始键右击-计算机管理-服务和应用程序-InternetInformationServices-网站右键-添加FTP站点。
3、改FTP的站点名称和路径。
4、选择默认的IP地址下拉就有默认端口21-下一步。
5、身份验证匿名基本都打钩允许所有用户访问权限读取-完成。
6、你的FTP服务器就建立出来了。
7、打开我的电脑-地址栏上打ftp://xxxxxxxxx(刚才的选择的IP地址)就可以登录了。
0条评论