文件服务器的功能有那些

5.1 文件服务器的配置在Windows Server 2003系统的文件系统中，引入了许多新的或改进特性，如DFS（分布式文件系统）、EFS（加密文件系统）、共享文件夹的卷影副本、远程文档共享、SAN技术支持等。具体参见本书的第1章相关内容。5.1.1 文件服务器的主要功能在企业网络中，为了有效地进行各项文件管理功能，通常是把一台运行Windows Server 2003系统的成员服务器配置成"文件服务器"（并非一定是域控制器）。文件服务器提供网络上的中心位置，可供存储文件并通过网络与用户共享文件。当用户需要重要文件（如项目计划）时，他们可以访问文件服务器上的文件，而不必在各自独立的计算机之间传送文件。如果网络用户需要对相同文件和可通过网络访问的应用程序访问权限，就要将该计算机配置为文件服务器。默认情况下，文件服务器角色安装有下列功能。1．文件服务器管理

文件服务器管理控制台为管理文件服务器提供集中的工具。使用文件服务器管理，可以创建和管理共享，设置配额限制，创建存储利用情况报告，将数据复制到文件服务器和从文件服务器中复制数据，管理存储区域网络（SAN），以及与UNIX和Macintosh系统共享文件。

2．存储报告

使用存储报告，可以分析服务器上的磁盘空间是如何使用的。例如，可以生成识别重复文件的按需或计划报告。然后删除这些复制文件以便回收磁盘空间。

3．配额和文件屏蔽

使用配额，可以限制卷或文件夹子树大小。可以将Windows配置为在达到配额限制时通知您。使用文件屏蔽，可以防止某些类型的文件被保存到文件夹或卷。文件屏蔽有助于确保用户不在服务器上保存某些可能导致用户违反知识产权法的非关键性数据和文件。

4．DFS管理

使用"DFS管理"管理单元，可以管理从分支机构中的服务器到集线器数据中心中的服务器的数据复制。这样，数据可以被集中备份，而不必在在分支机构备份数据。使用"DFS管理"管理单元，还可以对位于不同服务器上的共享文件夹进行分组并将其作为虚拟文件夹树（称为"名称空间"）提供给用户。名称空间可以提供很多好处，包括提高数据的可用性、分担负载和简化数据迁移。

方法/步骤

在正式开始进行共享文件访问权限设置之前，我们先来查看一下当前计算机中所共享的文件夹信息：右击“计算机”或“我的电脑”，从右键菜单中选择“管理”项。

从打开的“计算机管理”窗口中，展开“共享文件夹”-“共享”项，即可在右侧查看当前计算机所共享的所有文件夹信息。

在获取了有关共享文件夹的信息后，接下来我们需要对共享文件夹中的文件进行访问权限设置，重要是针对防止共享文件被复制、被另存为操作进行设置。根据文件服务器的相关安全规则，PDF和Flash格式的共享文件是无法被复制和另存为的。对此我们可以将文件转换成PDF格式，然后放在文件服务器上以供查看。这可以Word程序进行格式转换。

虽然以上方法可以实现共享文件被复制和另存为的操作，但仍然有一定的局限性，且实现起来比较繁琐。对此我们可以借助专门用于对共享文件进行管理的工具来实现。推荐大家使用“大势至共享文件审计系统”来实现对共享文件夹的访问权限管理操作。

大势至共享文件审计系统的重要功能是可以实现对共享文件的访问权限全面控制操作：禁止删除、禁止复制、禁止打印、禁止另存为以及禁止重命名、禁止拖动操作，从而实现全面保护共享文件的功能。

大势至共享文件审计系统的部署方案：

首先，我们需要将系统文件夹中的“FileLockerMain”程序拷贝到共享文件夹中。这样系统才能发挥保护共享文件夹的作用。其它局域网用户在查看此文件夹时，需要先进行“FileLockerMain”程序并一直处于打开状态，才能正常对此共享文件夹的文件进行访问权限所设置的权限进行读取操作。

接下来在文件服务器端运行“SharedFileMonitorMain.Trial”程序，并在其界面中从“共享文件列表”中选择想要进行访问权限控制的共享文件夹，在“用户列表”中选择或添加新的用户，在选中相应的用户的情况下，就可以对该用户访问共享文件夹的权限进行详细设置啦。

利用大势至共享文件审计系统可以实现对共享文件夹的全面保护，整个局域网中只需要在文件服务器上部署一次，就可以实现对整个局域网电脑访问共享文件夹的权限控制。此系统除了对当前共享文件夹进行访问控制操作外，还可以对子文件夹进行更进一步的访问控制，从而实现多样化的共享文件夹访问权限控制策略。

材料：

Linux审计系统auditd 套件

步骤：

安装 auditd

REL/centos默认已经安装了此套件，如果你使用ubuntu server，则要手工安装它：

sudo apt-get install auditd

它包括以下内容：

auditctl : 即时控制审计守护进程的行为的工具，比如如添加规则等等。

/etc/audit/audit.rules : 记录审计规则的文件。

aureport : 查看和生成审计报告的工具。

ausearch : 查找审计事件的工具

auditspd : 转发事件通知给其他应用程序，而不是写入到审计日志文件中。

autrace : 一个用于跟踪进程的命令。

/etc/audit/auditd.conf : auditd工具的配置文件。

Audit 文件和目录访问审计

首次安装 auditd 后, 审计规则是空的。可以用 sudo auditctl -l 查看规则。文件审计用于保护敏感的文件，如保存系统用户名密码的passwd文件，文件访问审计方法：

sudo auditctl -w /etc/passwd -p rwxa

-w path : 指定要监控的路径，上面的命令指定了监控的文件路径 /etc/passwd

-p : 指定触发审计的文件/目录的访问权限

rwxa ： 指定的触发条件，r 读取权限，w 写入权限，x 执行权限，a 属性（attr）

目录进行审计和文件审计相似，方法如下：

$ sudo auditctl -w /production/

以上命令对/production目录进行保护。

3. 查看审计日志

添加规则后，我们可以查看 auditd 的日志。使用 ausearch 工具可以查看auditd日志。

sudo ausearch -f /etc/passwd

-f 设定ausearch 调出 /etc/passwd文件的审计内容

4. 查看审计报告

以上命令返回log如下：

time->Mon Dec 22 09:39:16 2016

type=PATH msg=audit(1419215956.471:194): item=0 name="/etc/passwd"

inode=142512 dev=08:01 mode=0100644 ouid=0 ogid=0 rdev=00:00 nametype=NORMAL

type=CWD msg=audit(1419215956.471:194): cwd="/home/somebody"

type=SYSCALL msg=audit(1419215956.471:194): arch=40000003 syscall=5 

success=yes exit=3 a0=b779694b a1=80000 a2=1b6 a3=b8776aa8 items=1 ppid=2090 pid=2231 auid=4294967295 uid=1000 gid=1000 euid=0 suid=0 fsuid=0 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=4294967295

comm="sudo" exe="/usr/bin/sudo" key=(null)

time : 审计时间。

name : 审计对象

cwd : 当前路径

syscall : 相关的系统调用

auid : 审计用户ID

uid 和 gid : 访问文件的用户ID和用户组ID

comm : 用户访问文件的命令

exe : 上面命令的可执行文件路径

以上审计日志显示文件未被改动。

---