文件服务器是企业用得最多
应用服务器的
文件服务器可以在个统平台上对企业重要文件进行备份、访问控制、权限管理等等
从而可以全方位提高企业数据安全性所以文件服务器在企业信息化办公中影响已经越来越大 不过
说实话文件服务器要在企业中开花结果重要是权限设计如果权限设计不合理话则文件服务器会变成企业鸡肋食的无味弃的可惜 笔者帮助多个企业部署过文件服务器
在这方面还是有点心得体会在这里笔者就把他整理总结下或许能够给大家带来点帮助 、 利用组或者角色来进行权限管理 在文件服务器
权限设置过程中笔者不建议网络管理员直接对用户进行授权若直接对用户进行授权话则权限管理工作量会很大如个采购部门有十几位甚至更多员工则要对他们进行分别授权那么这个维护工作量就可想而知了而且这工作量大话就难免为出现纰漏 所以
我般在选择文件服务器软件Software时候般都要求文件服务器能够根据组或者角色来进行授权也就是说现在网络管理员先建立个组如采购组然后给这个组赋予相关文件夹访问权限其次把采购员用户加入到这个组中采购员就自动继承了采购组相关文件夹访问权限如此话就可以避免给所有采购员用户进行授权就可以提高权限管理效率同时采购员相关权限只要赋予次则可以提高权限管理准确率这些优势都是笔者倾向采用组或者角色进行权限管理重要原因 另外
除了可以让用户继承某个组权限的外我们可以设置用户特殊权限如在企业文件服务器上有个文件夹存放着各个供应商应付帐款明细表作为普通采购员来说只能够查看这些文件而不能够进行修改这些文件般都是财务根据付款条件等内容整理出来但是作为采购经理来说则可以对其中相关内容如付款日期等等进行必要维护为此采购经理需要对这些文件具有读写权限而其他采购员对于这些文件只具有只读权限为此我们不必要再为采购经理去建立个组我们只需要把他加入到采购员组让其具有采购员组相关权限然后再给这个采购经理用户赋予这些文件写权限也就是说不仅可以对组或者角色进行权限赋予而且在必要时候我们还可以给用户进行授权如此话这个特定用户除了组继承下来权限的外还具有些自身特殊权限 2、
个部门不要使用个账户 据笔者
了解有不少企业在部署文件服务器使用常常会采用些简单权限控制如对于个部门就建立个账户然后这个部门中所有员工都采用这个账户进行文件服务器访问如笔者以前碰到过个企业他们就是如此处理如个采购部门就个账号网络管理员给这个账号进行授权然后所有采购部门员工都使用这个账号笔者对这种做法不敢苟同 是无法对用户访问文件服务器上文件进行稽核如当文件被意外修改或者文件服务器日至显示有非法用户多次试图访问未经授权机密文件时候在文件服务器日志中只能够显示某个部门如采购部门员工做但是具体是哪个员工做呢则无从查起可见若个部门共享个账户名话会使得文件服务器安全性大打折扣 2是权限无法进行更细
控制如有时会我们的允许用户更改删除自己文件而对于其他员工即使是同个部门员工所创建文件或者文件夹也不具有修改权限时候若采用这种权限控制原则就不能够实现 3是普通员工跟部门管理员
权限无法分开降低了文件服务器上文件安全性般来说部门管理员比普通员工具有更高权限如部门管理员可以访问自己部门下面各个小组相关文件;还可以访问企业管理层相关数据若给个部门共享个账户话则部门普通员工跟部门管理员权限就无法进行区分要么部门管理员迁就普通员工只具有普通员工文件服务器访问权限;要么就是牺牲文件服务器安全性让普通员工具有更高文件访问权限 所以
个部门共享个账户话会降低文件服务器安全性;同时也会减低灵活性故笔者对于这种权限管理思路方法是比较反对特别是企业对于安全性要求比较高话还是不要采用这种权限管理思路方法为好不然很可能会搬起石头砸自己脚 3、 用户级别
3个排除原则 有时候
就算是同个组员工也有权限上差异如有些企业可能不允许其他用户修改自己文件而只能看;再严格点话其他用户连阅读权限都没有;但是可能部门负责人可以查看自己文件等等这就是权限管理中排除原则 这虽然可以通过对用户进行权限
设置来实现但是这么处理话工作量特别大;维护起来也是困难重重所以般情况下笔者是不建议手工去进行维护笔者在考虑文件服务器选型时候若企业现在或者未来有这种需求话则笔者会评估文件服务器软件Software中有否现成解决方案 第
个排除原则:其他用户只能够查询自己文件而不能够进行修改 也就是说
采购员A建立文件即使是同个部门采购员B也只能对其进行查看而不能够进行修改或者删除操作这主要是为了保障数据统性如我们在用户信息设置出可以选中“不允许他人修改我文件”则其他用户即使是同个部门或者是系统管理员也不能够对自己文件进行修改或者删除动作 第 2个排除原则:其他用户只能够看到文件
名字但是不能够打开或者删除 有些企业
话安全要求比较高如笔者以前遇到过化工企业采购部门他们要求各个采购员相互的间采购单要保密若采购内容知道了则可以知道具体产品配方信息为此其他员工不仅不能够修改彼此文件即使查看也不行为此就需要在用户建立时候选中“不允许他人阅读自己文件 ”通过这种方式系统就会自动进行控制 第 3个排除原则:特定
人可以突破以上两种限制 有时会
些具有特殊权限人可以突破这种限制如采购经理可以修改或者删除采购员任何文件即使他们做了如上排除原则若不经过特殊处理话采购经理也受到上面两个原则限制但是我们在采购经理用户设置时候若选中“突破个人限制”选型话则采购经理就不受上面两种限制约束可以没有任何限制访问自己手下文件;并且在必要时候还可以进行修改
所以
以上 3个排除选择只需要选中某个选项就可以实现了而不需要再对用户进行复杂权限设计故对于用户权限例外我是希望在系统中能够具有比较成熟现成解决方案这可以节省我们网路管理员维护工作量;而且其准确性也会大大提高从而增强文件服务器安全性 4、 开启访问日志稽核功能
某个用户在什么时候访问了什么文件
是修改呢还只是阅读;哪个用户多次试图访问未经授权文件等等这些信息企业网络管理员若能够及时了解话则对于提高文件服务器安全性是非常必要也是权限管理中个重要举措无论对于事先控制还是对于事后追踪都具有非常关键作用 所以
我们在选择文件服务器系统时候需要关注下系统是否有这方面功能如系统能否自动记录某个用户访问文件记录;如系统当用户多次试图访问未经授权信息时能否记录他们访问失败历史这可以让我们网络管理员了解有哪些用户在试图访问未经授权信息我们可以及时采取相关措施保障文件服务器安全性 以上这些权限设计
招数不仅是我们在文件服务器权限管理中需要注意内容;而且我们在文件服务器选型时候也需要适当关注这方面内容以简化我们后续权限管理工作量
最新评论