梦想照进现实

File Server creates directory schema

1、目录结构的设计，从根目录到底层目录不要超过3-4层，太深了，权限难以操作。 2、用户所能够用到的策略，由共享权限和安全权限来决定，取其交集。如果在同一对象向上存在权限设置冲突，取并集 3、以部门架构设计目录结构的，以部门发生变化后，目录的最少移动或者不移动为优先 4、从根目录到底层目录，尽量保持继承，如果需要，底层断掉。如果目录结构不符合这一特性，应予以重新设计。 5、所有权限赋予都应以组为最小单位，哪怕使用者只有一个成员。 6、尽量简化权限设置复杂性，不论它是来自设计还是操作上的。如果不同的目录结构设计导致不同的结果，取最优者。 7、无论拥有多合理的备份，都请保留一份目录架构及权限设置清单。 8、在设置目录权限的时候，从根目录到子目录，由上至下逐层设置，不到万一，切忌向下对子目录套用权限。 另外要说到一个设立共享目录时遇到的权限及安全策略的问题，这也是很多朋友们经常问到的问题。当设置共享目录的时候，在设置权限的时候，需要设置两个权限：共享权限和安全权限。当用户连接这个目录时，系统先校验共享权限，如果允许访问再校验安全权限。 用户最终需要使用对该目录具有什么权限的帐户连接，取决于共享权限和安全权限的交集。当前两个权限在同一对象上发生冲突或者叠加时，取最严格的设置。这就是为什么有的朋友经常问，为什么我已经将权限设置为完全控制了，却还是无法写入？那么您可以注意一下共享权限可能设置为只读了。这同系统也有关系，在win2k上共享建立之初默认就是完全控制，而安全性更高的winxp and win2k3，默认状况下就是只读。 安全权限设置方面，如果在同一对象上，安全权限出现冲突或者叠加，那么最终的结果取合集。比如，一个用户属于a群组，也属于b群组，a群组对当前目录只读，而b群组可写，那么最终该用户对于当前目录就可读可写。 再就是安全策略的问题，上面我们说到winxp and win2k3在安全性上有很多改进，其中就包含一个安全策略：网路存取：共用和安全性模式用于本机帐户（抱歉，手边一时没有简体系统，这里所使用的是繁体词汇），winxp and win2k3上默认状态下，为安全起见，该策略项的设置为：仅使用于来宾-本机使用者以Guest验证。这个设置将会导致用户端在连接时候，远端主机提示存取被拒，或者用户名仅显示为Guest而无法更改。 您当然可以通过在远端主机上执行gpedit.msc，将此策略项的设置更改为：传统-本机使用者以自身身份验证，从而得以顺利连接，但有个更为方便的做法：在资源管理器-文件夹选项-高级 中取消勾选“简单文件共享”，在确定之后，您会发现上面的策略项已经发生了变化。这两个地方的设置是一一对应的，反之亦然。 最后一个经常出现问题的就是windows自带的防火墙。winxp and win2k3默认状态下，系统自带的防火墙处于启动状态，并且拒绝任何外部的文件和打印机连接的。一旦创建共享文件夹时，您可能需要关闭防火墙，当然关闭防火墙可能带来安全性问题，那么您可以执行firewall.cpl，在例外项目中设置启用“文件夹和打印机共享”，同时可以设置允许连接网段或者地址。