局域网文件共享系统共享文件如何设置权限白皮书

　　局域网通常是分布在一个有限地理范围内的网络系统，一般所涉及的地理范围只有几公里。局域网专用性非常强，具有比较稳定和规范的拓扑结构。本文主要介绍了大势至企业共享文件管理软件、局域网文件共享系统、共享文件如何设置权限，来记录局域网用户对共享文件的各种操作，同时有效防止员工有意或不小心删除共享文件而给企业带来的重大损失，需要的朋友们可以参考下

　　Windows服务器共享文件访问方式

　　2.1 使用服务器本地账户访问Windows服务器共享文件

　　通常情况下，需要将文件服务器接入局域网交换机，然后设置共享文件，同时创建本地账户，并为本地帐号设置共享文件的各自访问权限，局域网用户访问服务器共享文件时输入服务器本地账户，然后获得相应的共享文件访问权限。

　　2.2 基于Windows服务器AD域控制器访问共享文件

　　由于Windows域控制器在局域网用户电脑使用行为管理、共享文件访问权限控制方面的重要作用，使得当前很多企事业单位都组建了域环境，通过域控制器创建域帐号，并为域帐号设置共享文件访问权限的方式来实现对共享文件访问权限的控制。

　　虽然通过以上方法可以实现一定程度上的共享文件访问权限控制，但是由于不管是通过本地账户分配权限还是域控制器设置共享文件访问权限的方式，都存在一定的不足，甚至也无法有效保护共享文件的安全。

　　3. 大势至局域网共享文件管理系统的安装部署方式

　　大势至局域网共享管理的安装部署极为灵活简单，目前支持以下两种部署方式：

　　1、直接将大势至局域网共享文件管理系统部署在共享文件服务器上面。

　　目前，本系统支持WindowsXP以上所有主流的操作系统，并优先推荐用户在WindowsServer2003、2008、2012等服务器操作系统上安装部署。

　　2、通过串接、桥接的方式部署在共享文件服务器和交换机之间。

　　3.1 本系统如何实现共享文件访问权限控制

　　本系统基于NDIS核心层文件过滤驱动进行实现，并针对不同操作系统版本集成了Windows操作系统各个版本的NDIS版本，从而保证了系统的兼容性。具体处理流程如下：

　　其中，最上层是一个NDISProtocolDriver，它向上提供一个TransportDriverInterface(TDI)，向下通过NDIS接口与下面的NDIS中间层的上边界交互，NDIS中间层的下边界通过NDIS接口与下层的NDIS交互。最后，由下层NDIS接口与物理网络设备NetCard交互。

　　同时，本系统对共享文件访问动作的识别基于NetBIOS协议来实现。为了识别用户对共享文件的各类动作(比如删除、重命名等)，需要对会话层(sessionlayer)和表示层(presentationlayer)以及小部分应用层(applicationlayer)的协议进行全解析;由于NetBIOS协议存在上下文，因此在会话开始和结束的时候要对信息进行保存，会话进行过程中根据应用程序设置的规则对共享文件的路径和行为进行判定，如果不符合权限要求，修改网络包信息，使得SMB服务器拒绝访问

　　另外，对于用户的其他动作(如另存为、打印、拷贝文件内容等)，由于是在用户已经打开了共享文件的情况下进行的上述动作，此时共享文件已经缓存到本地磁盘，因此对用户访问共享文件某些权限的控制需要在用户电脑运行客户端(如果不运行将会阻止其读取共享文件)，运行客户端后将会根据服务端配置的权限，阻止用户的各类行为;为了防止用户随意关闭软件，采用了双进程保护的策略(即使用户使用特殊技术手段结束进程，，服务端发现客户端结束后，也会拒绝用户的进一步访问行为)。