件背景

3年前，在浙江金華做過一個桌面虛擬化項目，用的VMware的產品Horizon View。像多數人一樣，其實我對這個產品一直持一個保守的態度，總覺得一個看不見摸不著的操作系統給人一種不踏實的錯覺，雖然自己已經從事虛擬化行業好多年。就像一些桌面虛擬化從業者一樣，喜歡將桌面用戶的永久磁盤弱化或者棄用，使用其他的產品來替代。得益于VMware Horizon產品必須采用微軟域控的原因，所以首先想到的就是使用微軟文件共享(SMB)來作為用戶的數據磁盤，以至于將用戶數據都能夠直接存儲于統一的文件共享服務器，這樣更便于對用戶數據進行管理和備份，同時也提供了一個平臺以實現不同用戶或部門之間的協同辦公。

就在昨天，和當時的老同事A聯系，聊到那個項目的駐場同事B，就像所有單位的外包人員一樣，事故面前彰顯價值。最終同事B轉入另一家公司甲方。

話說曹操曹操就到，今天早上一大早，同事B打電話過來，咨詢當時文件共享的搭建方法。別說簡單，那是你沒有用到極致。所以，在此寫下這篇文章，獻給有需要的同道中人吧。

相比于當初的桌面虛擬化環境，同事B所在公司是非域環境，并且國內非域環境偏多，所以，這篇文章以非域環境來講述文件共享的帶權限分配。需求很簡單，提供三級文件目錄：全局目錄，全部部門可讀寫；部門目錄，各部門可讀寫，并有多部門協同辦公場景，要求多個部門可讀寫；個人目錄，僅個人可讀寫。看似簡單，而在非域環境，操作增加了很多繁瑣的步驟。

前言·謹記

正如您想的那樣，文件共享的弊端那么多，真的值得使用么？說實話，風險是有的，但是做什么事沒有風險呢，最終的衡量標準并非只有風險，如果這樣，那就不用做事了。當您充分衡量利弊關系后，取其利而規其弊才是最終辦法。

文件共享相比于FTP/云盤等文件服務來說，畢竟是微軟自己的，擁有更貼合windows系統的優勢，權限更貼近于操作系統。而其弊端也是很大的，server服務容易傳播勒索病毒，集中的用戶文件存儲相比于分散存儲來說，一旦中毒那將不堪設想。

對于大多數IT文盲的用戶來說，文件共享的優勢是如此明顯。如果下定決心使用的話，就只能盡可能的規避其弊端。勒索病毒問題其實很容易解決，對文件共享服務器務必定期更新其操作系統補丁。病毒威脅方面，并非一個殺毒軟件就能了事，還需要健全的備份機制并提供多個時間的還原節點，謹防數據安全威脅。

步驟1、文件共享服務器準備

根據用戶終端系統比例，選擇合適的文件共享服務器操作系統，建議選擇與終端系統相同內核的服務器系統，在此以windows 10+server 2016操作系統為例。

搭建Windows Server 2016系統，分配D盤空間為500G，建議將文件服務器部分在虛擬化環境，以便于根據用戶存儲數據量大小而更方便的調整D盤空間。然后就是配置IP地址和主機名。

步驟2、用戶和組的創建

在文件共享服務器上按照如下表格創建用戶和用戶組，率屬關系："用戶">“部門組BumenX”>“本地組Users”。

• 右鍵點擊"開始"，在彈出菜單選擇"計算機管理"

• 依次展開"本地用戶和組"-"用戶"。開始新建用戶，依次輸入用戶名、全名、描述、密碼后點擊確定直至所有用戶添加完畢。

• 轉到"組"目錄，右鍵點擊空白處并選擇"新建組"。填寫組名、描述并添加部門成員用戶，直至所有部門組創建完畢。如下圖所示。

• 按照規劃表，需將部門組率屬于Users組，但受限于文件共享服務器為單機，且新建用戶時默認率屬于組Users，故此步驟無需操作。如果文件服務器為域環境，此步驟可正常執行。

共享文件夾的創建

按照用戶方需求創建三級文件夾，分別為全局共享、部門共享、個人共享。

• 創建常規目錄

• 設置文件夾共享，右鍵點擊"某某公司文件共享平臺"選擇屬性，依次"共享"-"高級共享"-"共享此文件夾"-"確定"

• 為了提升用戶體驗，在用戶視角隱藏無權限文件夾是很有必要的，打開"服務器管理器"-"文件和存儲服務"-"共享"，右鍵點擊新建的共享文件夾選擇屬性，轉到設置，勾選"啟用基于存取的枚舉"確定即可(部分系統叫做基于權限的枚舉)。

文件夾權限的設置

• 共享文件夾默認為Everyone只讀訪問，安全設置中限制為文件夾所有者、系統、管理員組、Users只讀。修改共享文件夾共享權限為讀取和更改。

• 設置共享文件夾安全設置，限制用戶寫入，以防用戶隨意在根目錄寫入文件。刪除文件夾繼承權限，添加Users組讀取和執行權限。應用并關閉窗口。

• 分別對子文件夾進行權限設置，阻止文件夾權限繼承(主要刪除Users的可讀權限)，添加相應用戶或組的讀寫權限。以"全局共享目錄"為例，右鍵點擊文件夾，依次點擊"安全"-"高級"-"權限"-"禁用繼承"-"從此對象中刪除所有已繼承的權限"。

• 點擊"添加"按鈕，添加相應用戶或組的讀寫權限

• 檢查文件夾權限結果，點擊"有效訪問"選項卡，選擇用戶并驗證權限列表

• 其他文件夾以此類推，對其他文件夾權限進行設置，最終設置如下

用戶權限驗證

• 用戶甲權限驗證，無權文件是否可見、共享根目錄讀寫、子文件夾讀寫等。由于windows客戶端訪問共享后會短時間記住用戶名密碼(即使未勾選記住密碼)，故測試時可使用更改文件共享服務器IP的方法以使用其他用戶登陸測試。測試完成后將共享服務器IP改回計劃IP。
• 客戶端電腦資源管理器輸入\共享服務器IP，打開共享，彈出登陸窗口輸入用戶甲的用戶名和密碼后進入共享，雙擊打開共享文件夾

基于存取的枚舉設置已生效，效果如下

• 共享根目錄只讀權限驗證：通過

• 全局目錄可讀寫驗證：通過

• 部門目錄可讀寫驗證：通過

• 個人目錄可讀寫驗證：通過

用戶體驗提升

• 常規時候我們都是將共享文件夾創建快捷方式，但是我個人覺得把共享文件夾以磁盤的形式提供給用戶會更好。右鍵點擊共享文件夾或其子文件夾，選擇映射網絡驅動器，輸入用戶名密碼即可

• 如果可以的話使用腳本編輯本地組策略自動映射網絡驅動器會更人性化，域環境的話用戶無需輸入用戶名密碼(自動使用終端用戶名登陸)可以直接在域組策略實現，用戶也能更方便的修改密碼。

注意事項

• 在沒有域控支持的情況下，文件共享用戶密碼只能通過登陸共享服務器修改
• 牢記對共享服務器進行補丁更新，防患勒索軟件侵害
• 牢記共享服務器殺毒并更新病毒庫，設置共享文件夾遠端備份，防止數據丟失

如果您覺得這個教程實用的話，歡迎點贊/評論/轉發，讓更多人知道。