我刚刚设置了一个服务器2012 essentials R2盒作为我的小企业的testing平台。 它在Essentials R2主机上作为虚拟机运行Essentials R2。 我已经把它设置为DC和DHCP服务器,并join了一个客户端。
我的下一个任务是将其用作文件服务器,但我不太清楚如何设置它。 所有客户端与文件服务器的交互将通过客户端软件。 因此,我不希望通过软件访问文件。
我已经看过ntfs的权限,并有一个名为“列表文件夹/读取数据”的权限,但我不确定这将做我想要的。
是否有可能访问文件,但不允许通过Windows资源pipe理器/命令行访问?
这取决于应用程序与文件和用户的交互方式。
根本问题是:“ 有没有办法使用不同的安全主体 ,从用户login会话访问该文件 ”? 如果答案是“否”,那么你不能限制它。
更务实:
如果应用程序是远程使用的传统桌面应用程序(在客户端计算机上运行的应用程序通过SMB共享访问文件)或本地(例如通过terminal服务),则不应该使用权限限制对文件的访问因为该过程使用用户的身份来访问它。
如果应用程序是一个n层应用程序(例如,一个web应用程序),那么通常可以对数据文件访问施加额外的限制:您限制用户的权限,并允许安全主体的任何级别的访问将被使用(通常通过分配一个特定的服务服务帐户到相关的过程来完成)。 但是请注意,n层应用程序有可能模拟用户访问令牌。 在这种情况下,您应确保您要保护的文件实际上不可用于SMB(例如,通过将它们放入不能从任何可用的SMB共享访问的驱动器或文件夹中用户)。
请注意,无论上述答案如何,如果应用程序支持UNCpath,则可以通过隐藏networking共享将用户访问该文件的可能性降低。 您只需在名称末尾添加美元符号($)就可以隐藏该份额。 它不会阻止任何人,只有不太懂技术的用户才能访问文件,但这可能会防止意外。