VPN远程访问在文件服务器中的应用
摘要:随着windows server 2003文件服务器在我单位的应用,如何随时随地访问文件服务器成了一个问题,本文通过架设VPN服务器,使用户方便地通过VPN远程访问文件服务器,实现了文档的集中化管理。
关键词:VPN;文件服务器;集中化管理 1、单位文档管理的发展及产生的问题
第一阶段
以前我单位每天每个人都有大量文档的产生,如excel、word等等,这些文档很多都放在个人的电脑上,这样的方式造成文档都保存在各自的电脑上,管理混乱,无法共享,要找到一个文件需要费很大的功夫。如图1所示:
图1(分散的文档管理方式)
第二阶段
这种管理方式已经不能适应单位的工作需要,因而开始考虑建立集中式的文件管理系统,因为单位不大只有50-60人,没有考虑购买专业的文档管理系统,于是采用了架设FTP服务器的办法来实行集中管理。用一台高性能、大存储的的PC机或服务器,在其上架设FTP服务器,并且在FTP服务器上建立用户和配置用户的目录权限。例如:建立一个名为“单位公共文件夹”的文件夹,这个文件夹里面放一些公司的通知,规章制度等,所有的用户都有读权限,只有办公室主任和总经理才有写权限。再建立各个部门的部门文件夹和每个部门内部各个用户的用户文件夹,各个部门的部门文件夹只有部门用户才可以读写,以此类推,按照单位部门层级建立多个用户和文件夹,最后确定用户的访问权限,公司总经理能查看和写“单位公共文件夹”,能够查看“部门文件夹”和所有员工的个人文件夹。各部门领导可以查看“单位公共文件夹”和读写“部门公共文件夹”及其查看本部门员工个人的文件夹,员工只能查看“单位公共文件夹”和读写“部门公共文件夹”、自己的文件夹。如图2和图3所示。
图2(采用FTP服务器进行文档管理)
图3(文件夹层级的设置)
通过采用FTP服务器和建立用户和文件夹的权限设置,彻底解决了以往文件管理混乱的局面,使文档可以共享,增加了文档的安全性。
但是随着这种模式的使用,慢慢的另一个问题就出现了,那就是文件的同步问题。例如张三把他所写的一个word文件上传到FTP服务器后,过一段时间他需要修改这个文件了就从FTP服务器上下载下来修改完毕后再上传回去,可能一个个两个文件他记得修改后上传,但是文件多了后,事情忙了后总有一些文件不记得回传到服务器上,这样就造成了文件的不同步,其他的同事如果去看张三的文件就可能看到的是旧的文档,极易影响工作。
于是这就开始考虑用另一种方式去解决这个问题。 第三阶段
基于FTP文件服务器产生的不同步问题,我们考虑直接采用windows server 2003的文件服务器去建立集中的文档管理。因为NTFS文件系统的权限设置非常完备和安全,并且有极强的管理功能,能够追踪到写文件和删除文件的用户和时间。不同的用户登录到文件服务器上都只能打开属于他权限范围的文件夹,从而进行读写操作,这种读写操作是在文件服务器上对文件直接进行读写,不再有FTP服务器的同步问题的产生。于是就开始创建windows server 2003文件服务器。
2、架设windows server 2003 文件服务器:
2.1首先在windows server 2003操作系统上安装文件服务器,随后在将一个磁盘分区格式化为NTFS文件系统。
2.2在windows server 2003操作系统上添加组和用户,将用户归属到各自的组里。如表1所示:
组名 Originizatio BusinessdepatmentOffice 用户名 (整个公司组) (业务部门组) (办公室组)…… Ceo(总经理) √ Businessmanager √ (业务经理) Zhangsan √ (业务部门员工)
√ √ 表1(用户及其用户组归属) 2.3 在NTFS分区上建立单位、部门和用户文件夹,如图4所示
图4(文件夹层级细化的设置)
2.4 针对不同的用户组和用户给予不同的文件夹权限,在给予权限这一块我
们要先做好精确的规划,哪个用户组和用户能做什么,最好先用用户组来规定一个所有组员能够做的事情,然后在每个用户权限里在个性化定制。还有一点要注意的是:共享文件夹里的权限和NTFS安全的权限设定是一种与的关系,也就是说哪个更严格就按哪个的执行,我们的权限划分按如下步骤进行:
第一步 列出每个用户对所有文件夹的权限,如表2所示: 组名 文档单位公总经理业务业务经理文张三文件夹 用户名 文件共 文件夹 部公件夹 夹 文件夹 共文件夹 Ceo / 读、写、读、写、读 读 读 创建文删、创建件夹 文件夹 Business/ 读 / 读、读、写、删、读 manager 写、创创建文件夹 建文件夹 Zhangsan / 读 / 读 / 读、写、删、创建文件夹 第二步 汇总权限,先按用户组授予各个文件夹共有权限,在针对每个文件夹设置用户个性化权限。
(1) 先建立一个“文档文件夹”,然后在其下建立“单位公共文件夹”、“总经理文件夹”等,如图4所示。
(2) 设置“文档文件夹”为共享,如图5所示,在这重要的一点就是设置用户组organization可以访问“文档文件夹”,并且把organization的权限设为更改和读取。在此设置的权限要设大一些,如果只是设置读取,那么它里面的所有文件夹都不能进行更改和删除等操作了。要对里面的文件夹进行更严格的设置我们可以根据NTFS安全的权限去设置。
图5(共享文件夹设置用户及其权限分配)
(3) 在NTFS安全里打断“文档文件夹”从分区根目录的继承,如图6所示,注意在左上方的“文档文件夹 属性”框里“组或用户名称”里会继承分区根目录的一些组和用户,进入此框的“高级”选项,进入“文档文件夹 的高级安全设置”框里将“允许父项的继承权限传播到该对象和所有子对象”前面复选框里的√取消,然后在出现的一个询问界面里点击删除,取消所有从根目录继承来的组、用户及其权限。然后在“文档文件夹 的高级安全设置”框里点击添加加入administrators组和organization组。如图7所示。
图6(打断文档文件夹从分区根目录的继承)
(4)administrators组是为了能够使administrator用户有权限设置“文档文件夹”的ntfs安全属性。
图7(“文档文件夹”的NTFS安全的权限)
如图7所示,我们要保证organization组对“文档文件夹”里面的所有文件夹和文件有读取的权限,这些权限会自动继承到里面的所有子文件夹和文件,然后在针对每个文件夹进行用户的细化工作,也就是遵循一个原则:先将一些共有的权限赋予organization组的每一个成员,使他们对所有文件夹和文件有读取的权限,随后在每个文件夹里进行严格的约束。
那么针对“文档文件夹”来说,所有用户对第一层文件夹不能有创建文件夹和创建文件的权限,并且不能有删除文件和文件夹的权限。于是在左上方的“文档文件夹 属性”框里给予organization组“读取和运行”、“列出文件目录”、“读取”、“修改”、“写入”五个权限。进入此框的“高级”选项,进入“文档文件夹 的高级安全设置”框里,选中organization,然后点击编辑,进入“文档文件夹 的权限项目”框里,取消“创建文件/写入数据”、“创建文件夹/附加数据”、“删除”、“删除子文件夹及文件”前面复选框里的√。
通过这样的设置,organization组的所有成员不能在“文档文件夹”的第一层文件夹及其里面的子文件创建新的文件夹和文件,并且不能删除文件和文件夹。 (5)对各层文件夹进行精确设置
A、对顶层“文档文件夹”及其子文件夹和文件来说,现在organization组的所有成员都只有读取权限。
B、针对“单位公共文件夹”设置各用户的权限。
首先设置ceo的权限,ceo对此文件夹具有读,写的权限,并且具有创建新文件夹的权限。设置如图8所示: