办公网络资源安全之议

摘要：办公网络资源的安全性非常重要，如果网络资源管理不合理，很容易留下安全漏洞。论文较为深入的解析办公网络资源安全管理中常见的一些问题，并提出较好的解决办法。

关键词：访问控制权限；MAC地址；NTFS文件系统；SID

在办公网络中，经常会遇到很多棘手的网络问题，如不能访问共享文件，非法修改共享资源，随意修改IP地址。这些问题影响到正常的工作，如何解决这些难题呢？针对这些问题提出一些常用方法供大家参考。

1共享文件权限设置

在局域网环境中，很多人采用共享文件夹方式，来分享彼此间的文件资源。但有些用户经常会碰到共享文件夹被拒绝访问的情况。

GUEST账号已经启用，组策略和网络防火墙也正常，这时要特别注意共享文件夹的访问权限设置，共享文件夹的权限设置有些技巧，特别是在NTFS文件系统中，两种访问权限相互制约，稍有不慎，就会影响到共享文件夹的访问。

1.1两种访问权限

在采用NTFS的Windows系统中，Windows会利用ACL（访问控制列表）对用户的访问权限进行严格的限制，这不但是针对普通的文件和文件夹，共享文件夹也不例外，因此就增强了共享文件夹权限设置的难度。

因此共享文件夹的访问权限受两个方面制约：“共享访问权限”和“ACL用户访问权限”。其中“共享访问权限”是用来控制用户对共享文件的访问；而ACL用户访问权限是用来限制本地所有的文件资源的用户访问，包括共享文件夹资源。

想要正常访问共享文件夹，必须合理设置共享权限和ACL用户访问权限才行。

1.2具体操作

下面就以“dnzs”共享文件夹为例，介绍多用户的访问权限设置，这里有两个用户要访问该共享文件夹，其中“dnzsuser1”用户不但要拥有浏览和查看共享文件的权限，还要拥有文档修改权限；而“dnzsuser2”用户只拥有浏览和查看共享文件的权限。

1.2.1共享权限设置

首先在资源管理器中，右键点击“dnzs”共享文件夹后，选择“属性”选项，接着在“属性”对话框中切换到“共享”标签页，点击下方的“权限”按钮，弹出“共享权限”设置对话框，共享权限包括三种访问权限类型：读取、更改和完全控制。

为了防止非法用户访问“dnzs”共享文件夹，首先要将“组或用户名称”栏中的“Everyone”账号删除，选中“Everyone”项目，点击下方的“删除”按钮。

然后要为“dnzsuser1”和“dnzsuser2”用户配置共享访问权限。点击“添加”按钮，将“dnzsuser1”用户添加到“组或用户名称”栏中，接着在下面的“dnzsuser1的权限”框中钩选“读取”和“更改”后面的“允许”项目，最后点击“确定”按钮，完成“wuser1”用户共享权限的设置。

而“dnzsuser2”用户共享权限的设置过程同“dnzsuser1”基本相同，不同的是，在“wuser2的权限”框中，只能钩选“读取”后面的“允许”选项。

1.2.2设置ACL访问权限

完成“dnzs”共享文件夹的共享权限的设置还是不够的，毕竟它还受到NTFS文件系统的ACL用户访问权限的制约，还要对“dnzsuser1”和“dnzsuser2”用户的ACL访问权限进行设置。

下面在“dnzs”共享文件夹的“属性”对话框中，切换到“安全”标签页。ACL访问权限的稍微复杂些，它包含的权限类型有：完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特别的权限。

首先为“dnzsuser1”用户设置ACL访问权限，在“组或用户名称”栏中点击“添加”按钮，将“dnzsuser1”用户添加到列表框中，因为“dnzsuser1”不但要拥有浏览和查看共享文件的权限，还要拥有修改权限。然后在“dnzsuser1的权限”框中，钩选“读取和运行、列出文件夹目录、读取、修改和写入”后面的“允许”选项，最后点击“确定”按钮，完成“dnzsuser1”ACL用户访问权限的设置。

而“dnzsuser2”的ACL用户访问权限设置过程同“dnzsuser1”也基本相同，因为“dnzsuser2”用户只拥有浏览和查看权限，因此在“dnzsuser2的权限”框中只能钩选“读取和运行、列出文件夹目录、读取”后面的“允许”选项。

这样就完成了共享文件夹“dnzs”的多用户访问权限设置，这样以来“dnzsuser1”和“dnzsuser2”用户只能在各自的访问权限范围内访问共享文件夹，而其它用户是无权访问的，这样就不但解决了共享文件夹被拒绝访问的问题，而且还极大的增强了共享文件的安全性。

2解决备份文件夹拒绝访问

电脑需要重新安装Windows操作系统，为了避免重要数据文件丢失，将“我的文档”中的文件备份到D盘中，重新安装Windows，却发现使用原来的用户帐号无法访问D盘备份文件夹中的文件，为什么会出现拒绝访问的问题呢？

2.1原因

电脑采用NTFS文件系统，因此所有的文件或文件夹都会受到ACL（访问控制权限）的限制。虽然重装系统前后都是使用“DNZS”这个帐号访问Windows中的文件，要注意：每个访问帐号都对应一个唯一的“SID”，ACL功能就是通过SID来判断该帐号是否可以访问某个文件。

重装系统前后，虽然是使用“DNZS”帐号访问，但重装系统后的这个“DNZS”帐号对应的“SID”却已经和以前不相同了。因此就出现了重装系统后，“DNZS”帐号无法访问备份文件夹的情况。

2.2解决问题

解决这个拒绝访问问题其实非常简单，在备份文件夹的“安全”标签页中重新赋予“DNZS”帐号访问权限即可。

1）以“Administrator”帐号登录系统，在资源管理器中点击“工具?选项”，在弹出的“文件夹选项”对话框中切换到“查看”标签页，取消“使用简单文件共享”前面的钩选，最后点击“确定”按钮。

以上设置的目的，是为了在备份文件夹的属性对话框中找到“安全”标签页。

2）右键点击D盘中的备份文件夹，选择“属性”选项，在弹出的属性对话框中切换到“安全”标签页，这时你就会在“组或用户名称”栏中发现一个“未知帐号”项目，这就是重装系统前的“DNZS”帐号，由于重新安装系统后，SID值发生变化，所以系统无法识别这个帐号，也就导致了“DNZS”帐号被拒绝访问。