<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

九、? 九、共享文件夾的文件屏蔽管理

?

我們可能有這樣一種需求，我們需要限制用戶上傳共享文件夾的文件類型。比如只允許上傳OFFICE文件，文本文件或一些數(shù)據(jù)文件，不允許上傳視頻和音頻文件，不允許上傳可執(zhí)行文件。。。這樣可以防止視頻或音頻大容量的文件占用寶貴的共享容量，不允許上傳可執(zhí)行文件可以防止***和病毒文件的擴(kuò)散。文件屏蔽功能正是利用了WINDOWS系統(tǒng)擴(kuò)展名的辦法來辨別和區(qū)分這些文件，利用文件屏蔽模板禁止我們?cè)O(shè)定的指定類型文件上傳到共享文件中。

1、? 文件屏蔽模板和文件組模板

Windows 2008 R2系統(tǒng)中默認(rèn)自帶了5個(gè)文件屏蔽模板，這是我們經(jīng)?？梢岳玫降奈募帘吻闆r，如下圖9.1.1

（圖9.1.1）

?

我們可以直接利用這些模板對(duì)文件進(jìn)行屏蔽，也可以對(duì)不滿足需求的模板進(jìn)行修改，還可以自定義創(chuàng)建模板。如下圖9.1.2

（圖9.1.2）

我們可以向之前的配額管理一樣發(fā)送郵件、記錄日志、執(zhí)行命令和生成報(bào)告。屏蔽類型也分主動(dòng)屏蔽和被動(dòng)屏蔽。主動(dòng)屏蔽就是具體拒絕用戶的行為，禁止已經(jīng)制定的文件上傳到共享文件夾，而被動(dòng)屏蔽并不直接禁止用戶，僅僅是監(jiān)視和記錄哪些用戶上傳了我們禁止的文件。接下來的就是與配額不同的文件組。文件組也是可以定義的，定義了我們需要阻止和例外的文件擴(kuò)展名。就如我們本章開頭所描述的，文件屏蔽是通過文件擴(kuò)展名來判斷與執(zhí)行文件屏蔽工作的。系統(tǒng)也給我們自帶了文件組模板，如下圖9.1.3

（圖9.1.3除了“電子書”文件組，其它均為默認(rèn)文件組模板）

?

2、? 創(chuàng)建自定義文件組

現(xiàn)在我們創(chuàng)建一個(gè)文件組來看一下。假如我們要屏蔽PDF的文件。

右鍵選擇“文件組”—“創(chuàng)建文件組”如下圖9.2.1

（圖9.2.1）

?

我們定義了一個(gè)叫“電子書”的文件組，包含了*.hlp等格式，排除了*.pdf等格式 這樣如果應(yīng)用這個(gè)文件組，我們可以上傳PDF格式的文件，但是不能上傳其他格式的電子書。

3、? 創(chuàng)建自定義文件屏蔽模板

有了上面的文件組，我們現(xiàn)在創(chuàng)建一個(gè)屏蔽“電子書”文件屏蔽的模板

右鍵“文件屏蔽”---“創(chuàng)建文件屏蔽模板”如下圖9.3.1

（圖9.3.1）

?

我們?cè)谀０迕卸x一個(gè)自己明白的模板名“阻止非正規(guī)電子書”，然后選擇自己剛才定義的文件組，屏蔽類型選擇主動(dòng)，然后選擇確定。（后面的報(bào)告什么的可以根據(jù)自身的需求設(shè)定）

4、? 創(chuàng)建文件屏蔽

文件屏蔽模板我們已經(jīng)根據(jù)自己的需求制作好了，現(xiàn)在我們?cè)诠蚕砦募屑尤脒@個(gè)“規(guī)則”然后測(cè)試一下是否滿足我們的設(shè)想。

右鍵“文件屏蔽”---“創(chuàng)建文件屏蔽”如下圖9.4.1

（圖9.4.1）

?

我們?cè)谖募帘温窂街羞x擇我們要設(shè)置的共享文件夾路徑，然后文件模板派生屬性中選擇剛才創(chuàng)建的文件屏蔽模板，然后選擇創(chuàng)建。

我們現(xiàn)在可以看到已經(jīng)創(chuàng)建了一個(gè)文件屏蔽的模板，如下圖9.4.2

（圖9.4.2）

?

當(dāng)我們需要對(duì)該共享文件做選擇多個(gè)文件組屏蔽的時(shí)候可以直接上面的文件屏蔽源模板，如下圖9.4.3

（圖9.4.3）

?

然后直接勾選文件組即可，如下圖9.4.4

（圖9.4.4.）

?

現(xiàn)在我們來驗(yàn)證一下我們?cè)O(shè)置文件屏蔽的結(jié)果，首先我們上傳一個(gè)EXE文件，按照文件屏蔽的原則，是不允許上傳的。事實(shí)上，我們成功了，如下圖9.4.5

（圖9.4.5）

?

我們要把本地的一個(gè)EXE文件上傳到右面共享文件夾的時(shí)候提示沒有權(quán)限，證明是可以的。

由于我們?cè)O(shè)置了PDF格式的文件例外，現(xiàn)在我們上傳一個(gè)PDF格式的文件看看，如下圖9.4.6

（圖9.4.6）

?

從上圖中我們看出，實(shí)際上是可以上傳的。滿足了我們當(dāng)初的需求。

?

5、? 仍有一個(gè)BUG

我們是不是利用這個(gè)就可以完美的解決文件屏蔽的問題了？也就是說，我們不允許上傳EXE文件，他就不能上傳EXE文件了。非也，因?yàn)槲募帘问抢梦募U(kuò)展名來判別的。所以容易破解的就是修改文件擴(kuò)展名后上傳。我們測(cè)試一下。

我們將setup_8.8.0.2001n.exe強(qiáng)制修改擴(kuò)展名為setup_8.8.0.2001n.pdf這樣就上傳到共享文件夾中去了，如下圖9.4.7

（圖9.4.7）

?

我畫紅色框就是為了更醒目，看看文件的大小和創(chuàng)建日期是一樣的?？吹竭@里是不是有些人已8害怕了，如果再把文件擴(kuò)展名改回來，然后運(yùn)行，是不是。。。。 我們?cè)贉y(cè)試看一下。如下圖9.4.8

（圖4.9.8）

?

哈哈，好像也沒那么容易，是不允許修改的。這個(gè)可不是文件共享權(quán)限的作用，完全是文件屏蔽的功勞啦。

?

丁胖胖說明：利用文件屏蔽功能，這種通過文件擴(kuò)展名來判斷文件類型的方式確實(shí)存在一些問題。但是修改這個(gè)BUG并不是一件容易的事。因?yàn)橐嬲袛嘁粋€(gè)文件到底是什么文件，最權(quán)威的辦法還是查看文件頭，但是這種方法在系統(tǒng)應(yīng)用中實(shí)現(xiàn)是比較困難的。雖然我們不能杜絕人為修改擴(kuò)展名而造成我們屏蔽的文件蒙混過關(guān)入駐共享文件夾，但是我們?nèi)匀豢梢宰龅轿募词谷腭v，也不能恢復(fù)“真身”的目的。但如上面談到的，有些人只是為了偷偷上傳如視頻文件占用空間，可以結(jié)合上章的配額管理來限制其的空間大小。但是如果有人就是利用這種“變形大法”EXCHANGE（交換）文件的話，那么抱歉的說，這個(gè)就比較難杜絕了，只能利用之前的文件權(quán)限來限制了。

?

?

總結(jié)

以上是生活随笔為你收集整理的从windows server的文件服务到分布式文件服务（十）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。