文件共享权限的设置

2023年12月1日发(作者：)

在Windows Server 2003平台上部署文件服务，进行文件共享是一个简单快捷企业应用方案。但是在实际

的应用中，不同的企业有不同的需求有时会有一些特殊应用，这是让某些管理员头痛的事情。其实只要我

们深入挖掘，打通NTFS权限设置就能够满足这些需求，让文件共享各取所需。

一、公私分明的文件夹

根据企业文件共享策略，需要为每个员工在文件服务器上建一个私人文件夹仅供个人使用，另外还需

建一个共享文件夹让大家使用，这如何实现呢?

第一步：在文件服务器上建立NTFS分区，然后为每个用户创建一个账号，再创建一个组包含所有的

用户。

第二步：为每个用户创建一个共享文件夹，在设置共享权限的时候去掉Everyone组，将对应的个人

用户账号添加进来，然后根据需要设置权限。

第三步：为所有的人创建一个共享文件夹，再在设置共享权限的时候去掉Everyone组，将第一步中

创建的包含所有用户的组添加进来如图1，然后根据需要设置权限即可。(图1)

图1 添加用户

二、共享文件夹权限迁移

一般情况下，公司的文件服务器上有上百个用户文件夹，每个文件夹夹中都有多个使用者的权限，如

果遇到服务器硬件空间升级或换新机，如何节省时间进行共享文件夹权限设置的迁移和复制呢?

我们可以使用Windows server 2003系统自带的Xcopy命令来实现，该命令加上/O/X/E/H/K参数，在

复制文件时可以保留已明确应用于这些文件的现有权限。通过该命令在就可以完成在将一个文件夹复制到

另一个文件夹中并保留其权限。具体操作方法是：

第一步：单击“开始→运行”输入cmd打开命令提示符工具。

第二步：输入“xcopy source destination /O /X /E /H /K” 然后按回车键可以完成共享文件权限的复制如

图2。(source是要复制的文件的源路径，destination是这些文件的目标路径)(图2)

图2 共享文件权限复制

三、确定文件的上传者

windows 2003 server做文件服务器，通过客户端上传的文件，有没有什么方法确定该文件是从哪个客

户端的哪个用户放进来的?

管理员可以通过应用或修改本地文件或文件夹的审核策略设置来实现，具体的设置方法如下：

第一步：在文件服务器上，打开 Windows 资源管理器。右键单击要审核的文件或文件夹，单击“属性”，

然后单击“安全”选项卡，单击其下的“高级”按钮，然后单击“审核”选项卡。

第二步：要设置新用户或组的审核，单击“添加”在“输入要选择的对象名称”中，键入想要的用户或的名

称，然后单击“确定”。

第三步：在“应用于”框中单击希望进行审核的位置，在“访问”框中，通过选中适当的复选框，指出想要

审核的操作。如果要防止原始对象的后续文件和子文件夹继承这些审核项，选中“将这些审核项目只应用到

这容器中的对象和/或容器上”复选框。(图3)

图3 审核策略

提示：设置文件和文件夹的审核前，必须通过为对象访问事件类别定义审核策略设置，来启用对象访

问审核。如果不启用对象访问审核，在设置文件和文件夹的审核时，将收到错误消息且不会审核任何文件

或文件夹。

四、确定是谁删除了文件

文件服务器上的文件经常被用户恶意删除或移动，如何知道是谁在什么时间干的?

其实这也非常简单，我们可以设置记录文件服务器上文件夹或文件的被用户执行的操作，这样用户对

文件的操作就会记录在案，具体的设置方法是：

第一步：打开资源管理器，右键单击要审核的文件或文件夹选择“属性”，然后单击“安全”选项卡

单击“高级”按钮，然后单击“审核”选项卡。

第二步：要设置新用户或组的审核，单击“添加”在“输入要选择的对象名称”中，键入想要的用户或组的

名称，然后单击“确定”。

第三步：在“应用于”框中单击希望进行审核的位置，在“访问”框中，通过选中适当的复选框，指出你想

要审核的操作。如果要防止原始对象的后续文件和子文件夹继承这些审核项，选中“将这些审核项目只应用

到这个容器中的对象和/或容器上”复选框。(图4)

图4 权限设置

提示：设置文件和文件夹的审核前，必须通过为对象访问事件类别定义审核策略设置，来启用对象访

问审核。如果不启用对象访问审核，在设置文件和文件夹的审核时，将收到错误消息且不会审核任何文件

或文件夹。

五、共享文件只许看不许改

公共文件放在服务器上供客户端访问，只许让他看不想让他拷贝与修改，这个如何实现呢?

其实我们无法设置其他用户既能读取服务器上文件，又无法拷贝该文件，只要用户拥有的读取的权限，

他也就可以拷贝该数据了，这是由于系统设计的原因造成的。我们只能设置其他用户无法修改该文件，管

理员可以将给予用户对于共享文件夹的读取的权限，而不赋予修改的权限来实现。具体的设置方法如下：

第一步：在服务器上打开Windows资源管理器，定位你希望设置权限的文件。右键单击你所定位的文

件，在随后出现的快捷菜单中选择“属性”，单击“安全”选项卡。

第二步：如需对未显示在组或用户名称列表中的用户设置权限，单击“添加”按钮输入希望设置权限的

用户名称并单击确定。最后单击相应用户名称，拒绝其“创建文件/写入数据”权限，点击确定。(图5)

图5 设置权限

六、映射网络驱动器

如何让每个用户都可以在“我的电脑”中看到这个网络驱动器，并且赋予不同的权限，即如何给每个用

户映射网络驱动器?

管理员可以通过下面的方法来实现：

第一步：在域中建立一个文件服务器，然后在该文件服务器上创建一个共享文件夹，然后为每个域账

号设置不同的NTFS权限和共享权限，比如账号user1只有查看的权限，账号user2拥有写的权限。

第二步：在客户端client1上使用域账号user1登录，右键点击我的电脑，选择映射网络驱动器，指定

驱动器的名称，然后点击浏览，查找文件服务器和共享文件夹，选中登录时重新连接。(图6)

图6 设置重新连接位置

第三步：在客户端client2上使用域账号user2登录，按照上述的方法建立到文件夹服务器的共享文件

夹的映射驱动器。这样就可以实现账号user1和账号user2登录后就可以看到网络驱动器，并且拥有不同

的权限。(图7)

图7 帐号的不同权限

六、映射网络驱动器

如何让每个用户都可以在“我的电脑”中看到这个网络驱动器，并且赋予不同的权限，即如何给每个用

户映射网络驱动器?

管理员可以通过下面的方法来实现：

第一步：在域中建立一个文件服务器，然后在该文件服务器上创建一个共享文件夹，然后为每个域账

号设置不同的NTFS权限和共享权限，比如账号user1只有查看的权限，账号user2拥有写的权限。

第二步：在客户端client1上使用域账号user1登录，右键点击我的电脑，选择映射网络驱动器，指定

驱动器的名称，然后点击浏览，查找文件服务器和共享文件夹，选中登录时重新连接。(图6)

图6 设置重新连接位置

第三步：在客户端client2上使用域账号user2登录，按照上述的方法建立到文件夹服务器的共享文件

夹的映射驱动器。这样就可以实现账号user1和账号user2登录后就可以看到网络驱动器，并且拥有不同

的权限。(图7)

图7 帐号的不同权限

八、赋予用户只能创建不能删除权限

在WINDOWS 2003 SERVER的环境里去定义某一个用户可以创建文件夹及文件，但是不能删除文件

夹而只能删除文件如何设定?

我们可以通过设置文件夹或者文件的特殊权限来实现，具体的操作步骤如下：

第一步：右键点击需要设置的文件夹“属性→安全→高级”，取消“允许父项的继承权限传播到到该对象

和所有子对象”选项，在弹出的菜单中选择“删除”操作，点击“确定”。

第二步：添加需要设置的帐号，只赋予该帐号“遍历文件夹/运行文件 ”、“列出文件夹/读取数据 ”、“读

取属性 ”、“读取扩展属性 ”、“创建文件/写入数据 ”看到的文章源自活动目录、“创建文件夹/附加数据 ”、“写

入属性 ”、“写入扩展属性”的权限。

第三步：拒绝该帐号“删除子文件夹及文件”和“删除”权限。选中“用在此显示的可以应用到子对象的项

目代替所有子对象的权限项目”，点击“确定”。(图10)

图10 帐号权限设定

总结：笔者上面列举了八个与NTFS权限相关的需求案例，相信只要大家深入挖掘就能够满足工作中

的各种应用需求。