當前，國內很多企事業單位處于網絡統一管理和網絡安全的需要，通常會組建域環境，將局域網內部電腦全部加入到域里面進行控制。毋庸置疑，通過Windows域控制器可以集中管理局域網電腦使用權限、統一推送補丁或分發各種策略，從而極大地保護了局域網網絡安全，也規范了網絡管理。

同時，在很多企事業單位局域網中，通常都有自己的局域網文件服務器，并且經常共享一些文件供局域網用戶訪問。雖然通過域控制器可以設置局域網電腦訪問共享文件的相關權限，一定程度上保護共享文件的安全。那么，域環境下如何設置服務器共享文件的安全呢？具體如下：

比如我們現在新來了一個員工李斯我們需要為他配備電腦，安裝office，配置郵箱，文件共享驅動的映射等諸多事項。

那么我們可以利用組策略為員工添加文件共享服務器的映射驅動，同時也會對該用戶訪問權限也會隨之生效

1.我們需要為新員工獎勵域賬戶，并添加到所屬部門的ou（人事）

2.還需要在文件共享服務器為其添加相應的訪問權限。

3.開始-管理工具-組策略管理

4.選擇-人事（ou）-郵件點擊-在這個域中創建GPO并在此處鏈接

5.輸入GPO名稱“人事文件映射驅動”點擊-確定

6.選擇GPO人事文件映射驅動右鍵-點擊編輯

7.選擇用戶配置-首選項-windows設置-驅動器映射-右鍵點擊新建-點擊映射驅動器

8.編輯新建驅動器屬性，在本屬性中的設置直接關系到能否正確的發布驅動器，所以我們要細細的分析一下。

在此類型的下拉列表中提供了四個選擇：創建、替換、更新和刪除。組策略的應用結果會因選定的操作以及驅動器號是否已經存在而異。

[創建]：為用戶創建新的映射驅動器。

[替換]:刪除并重新創建用戶的映射驅動器。“替換”操作的最終結果是覆蓋與映射驅動器相關的所有現有設置。如果驅動器映射不存在，則“替換”操作會創建新的驅動器映射。

[更新]:修改用戶的現有映射驅動器的設置。該操作與“替換”不同，它僅更新在該首選項中定義的設置。所有其他設置保持為在映射驅動器上配置的狀態。如果驅動器映射不存在，則“更新”操作會創建新的驅動器映射。

[刪除]：刪除用戶的映射驅動器。

因為客戶端現在還沒有映射的網絡驅動器，所以在這里我們選擇[創建]選項，我們也可以根據實際情況選擇不同的選項。

【位置】：在這一項里，我們必須輸入UNC路徑（如UNC路徑（如//server/sharename、//server/hiddenshare$或//server/sharename/foldername），如果是上面的操作選項是創建、替換或更新時，這個位置則不得不添，如若是刪除就不必了。在這里我們務必記得要將共享的文件夾授權給用戶，否則當最后映射成功后卻沒有權限使用！

【驅動器號】：給需要映射的驅動器配置一個標識，這個比較簡單。

9.選擇常用-勾選項目級別目標-點擊目標

10.選擇新建項目，

11.選擇組織單位

12.選擇該員工所在部門ou-勾選僅直接成員-選擇ou中的用戶-點擊確定

13.使用李斯的賬戶登陸已加入域的計算機

注意：

計算機加入域之后本地策略當然還可以修改,組策略的應用次序是本地->站點->域->OU，如果策略有沖突，則后應用的生效。

啟動的時候計算機策略和用戶策略都會刷新。

即使不啟動，域控制器5分鐘更新一次，客戶機90分鐘更新一次。

可以用以下命令強制更新

gpupdate/target:user/force

gpupdate/target:computer/force

這些命令必須先在域控制器上執行,然后在客戶端執行.

所有計算機每次重新啟動的時候肯定會刷新ad中的組策略,不需要任何設置.

雖然通過域控制器的設置，可以在很大程度上保護服務器共享文件的安全，但始終無法全面保護共享文件的安全。例如，雖然可以通過域控制器配合組策略實現禁止刪除共享文件、禁止修改共享文件、禁止剪切共享文件等，但始終無法阻止復制共享文件、打開共享文件后另存為本地磁盤、打開共享文件后打印共享文件等訪問行為，從而使得共享文件安全存在著較大的風險。這種情況下，我們就需要一款專門的局域網共享文件權限設置軟件來保護共享文件的安全。

目前，國內有很多專門面向局域網共享文件安全管理的軟件，例如有一款“大勢至共享文件審計系統”（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html），只需要在局域網共享文件服務器上安裝之后，就可以全面設置服務器共享文件的訪問權限，不僅可以實現禁止刪除共享文件，而且還可以實現允許修改共享文件但禁止刪除共享文件、允許讀取共享文件但禁止復制共享文件、允許打開共享文件但禁止將共享文件另存為本地磁盤，同時還可以阻止打印共享文件、禁止剪切共享文件等，從而全面保護了共享文件的安全。此外，還可以防止拖拽共享文件到訪問者自己的電腦，從而也可以防止通過U盤、郵件、網盤、QQ發送文件的方式將共享文件發送出去的行為，從而徹底保護了共享文件的安全，防止通過各種途徑泄密的行為。如下圖所示：

通過大勢至共享文件審計系統保護之后，訪問者可以修改共享文件但無法刪除共享文件，同時還會有人性化的提示，如下圖所示：

此外，大勢至共享文件夾管理軟件、局域網共享文件訪問權限設置軟件還可以全面記錄局域網用戶訪問共享文件的各種日志，便于管理員在一定情況下追溯客戶端訪問共享文件的動作，更好地管理共享文件的安全。如下圖所示：

總之，企事業單位局域網要想實現局域網共享文件的安全管理、更好地控制局域網文件服務器的訪問權限，一方面可以充分借助于Windows域控制器、組策略的各種安全設置功能，另一方面也可以借助于專門的局域網共享文件訪問控制軟件、局域網共享文件監控軟件，從而更好地防止電腦數據泄密、保護單位的無形資產和商業機密。