Windows - 运维篇
第五章 Windows关于SMB共享服务的笔记
系列文章回顾
第一章 迁移WinSrv系统到虚拟机
第二章 本地安全策略+xcopy实现实时备份文件夹内容
第三章 利用cmd自带的icacls命令导出文件的ACL权限
第四章 Windows系列常用Shell命令工具集合
下章内容
Windows关于SMB共享服务的笔记
SMB共享服务的最佳实践
笔记将讨论AD轻量目录服务(即域控)环境下的SMB协议共享服务。基本原则如下:
- 按组织架构区分目录级别,如一级部门目录、二级部门目录…
- 一级目录文件夹不允许被删除,不允许被改名,二级以后目录可以被删除、被改名
- 部门负责人对部门文件/文件夹拥有递归的完全控制权限
- 部门成员默认对部门文件/文件夹拥有读取、执行、写入、修改等权限
- 默认情况下,一级目录之间不允许互访,一级里边的二级目录之间不允许互访
- 有跨一二级目录互访需求则采用快捷方式访问
- 打印机扫描到公共目录,每天0点自动清除公共目录文件
SMB共享相关的配置说明
- 文件/文件夹的所有者默认是
Administrators(Computer\Administrators)
,自动继承所有者的完全控制、SYSTEM
的完全控制、CREATOR OWNER
的完全控制、Users
的读取执行权限 Domain Admins
,Enterprise Admins
,administrator
都是Administrators
组的成员,,Domain Users
是Users
组的成员- 域用户的隶属于默认是
Domain Users
- 域用户A分配了
Domain Admins
权限,共享目录给Everyone
完全控制的共享权限,该域用户A在共享上新建文件/文件夹,所有者是Administrators(Computer\Administrators)
(因为Domain Admins
继承到Administrators
组的权限) - 非域PC用本地管理员登录,访问共享目录(
Everyone
完全控制的共享权限),新建文件/文件夹,所有者是Administrators(Computer\Administrators)
(因为Everyone
有完全控制的共享权限,目录在检索权限时查找到计算机的Computer\Administrators
权限,但是此权限不是域环境的Adminstrators
权限,也会把所有者设置成Administrators(Computer\Administrators)
,此处有坑,下文说明)
SMB共享相关的实践
- 如何拒绝
Domain Admins
组成员访问其他正常的共享目录(防止域运维人员访问其他部门文件)
当域用户分配了Domain Admins
权限,就等同拥有了Administrators
组的权限,权限等同于加域PC的本地管理员,可以执行需要管理员权限的操作。
解决方案:将目录的所有者修改为administrator
,设置禁用继承,移除Administrators
组的权限,移除Users
组的权限 - 如何阻止非域访问域环境的SMB共享(更规范共享服务的访问权限):
当共享目录设置了Everyone
的完全控制共享权限时,即使把权限列表清空,非域PC还是能访问共享目录能新建文件/文件夹,甚至能修改所有者和添加权限
解决方案:目录的共享权限仅添加Domain Users
组,补上述第5点的坑 - 一级目录文件夹不允许被删除,不允许被改名
一级目录禁用继承,添加Everyone
的拒绝删除
权限,应用于只有该文件夹
,部门安全组的权限设置为允许修改
权限,应用于仅子文件夹和文件
规范管理SMB共享之后,创建快捷方式用于跨部门访问
- 给所有一级目录的共享添加
Domain Users
的完全控制共享和administrator
的读取共享(服务端遍历SMB共享路径用),所有者设置为administrator
,设置禁用继承,移除Administrators
组的权限,移除Users
组的权限。 - 在需求部门的目录里创建快捷方式,填写
\\x.x.x.x\一级\二级\xxx文件
,利用administrator
的读取权限,就能遍历读取出共享路径,前提是要用域管理员登录到SMB共享服务器
参考来源
无