(原創(chuàng))基于Windows Server2012 域控制的中小學(xué)校園文件服務(wù)器搭建

2017-03-27

10512

目前各中小學(xué)文件共享服務(wù)主要以ftp 文件服務(wù)器和windows 簡單samba 共享的方式為主。這兩種方式筆者經(jīng)過多年的使用實踐發(fā)現(xiàn)兩者各有所長，隨著學(xué)校信息化和數(shù)據(jù)安全等要求的提高，這兩種方式各自

目前各中小學(xué)文件共享服務(wù)主要以ftp 文件服務(wù)器和windows 簡單samba 共享的方式為主。這兩種方式筆者經(jīng)過多年的使用實踐發(fā)現(xiàn)兩者各有所長，隨著學(xué)校信息化和數(shù)據(jù)安全等要求的提高，這兩種方式各自的不足就凸顯出來。ftp 能夠解決安全問題，但是不能在服務(wù)器上像本地一樣編輯，使用很不方便。windows 簡單samba 共享雖然做到像本地一樣使用方便，但是安全性上得不到保障。急需結(jié)合兩個優(yōu)點搭建一個既安全又方便使用的文件服務(wù)器。經(jīng)過筆者探索實踐通過windows 域控制結(jié)合NTFS 權(quán)限管理等能實現(xiàn)滿足要求的文件服務(wù)。

目前學(xué)校網(wǎng)絡(luò)經(jīng)過改造全部樓層和辦公室場所都布線到位。學(xué)校目前采用windows 簡單共享服務(wù)，現(xiàn)在老服務(wù)器使用多年老化。準備更換新的服務(wù)器搭建基于Windows Server2012 AD DS域控制的文件服務(wù)使教師可以更安全方便地進行資源共享及使用網(wǎng)絡(luò)打印機。學(xué)校教師規(guī)模300人左右，設(shè)有小學(xué)部，初中部，高中部，國際部，信息中心，人力資源部等部門。服務(wù)器權(quán)限要求如下：

（1）在共享目錄根目錄share 下建立各部門文件夾，share 和部門文件夾為所有教師可見/可讀/不可寫；即不能在共享根目錄share 和各部門文件夾下直接上傳文件或者文件夾。

（2）每個部門設(shè)置一個部門內(nèi)部文件和部門共享區(qū)文件夾部門內(nèi)部文件夾只有本部門教師可見/可讀/不可寫 , 部門管理員可見/可讀/可寫用于發(fā)布部門內(nèi)部重要文件。部門共享文件夾部門教師可見/可讀/可寫，其內(nèi)容除了上傳文件的用戶及管理員以外其他用戶不能刪除。

（3）每個部門下面建立以教師中文姓名命名的文件夾。每位教師自己的文件夾，除自己可見/可讀/可寫，其他人都不可見。

（4）所有教師個人文件夾限額2G ，避免個別老師把大量工作無關(guān)數(shù)據(jù)存到服務(wù)器，浪費服務(wù)器空間。

（5）所有預(yù)先建立的部門文件夾，部門內(nèi)部文件夾部門共享文件夾都除了系統(tǒng)管理員外其他用戶都沒有刪除權(quán)限。

（6）對于部門共享文件夾實施定期刪除一個月以上沒人訪問的文件。

由于學(xué)校硬件服務(wù)器資源有限，本案例中部署的第一臺域控制器，同時部署ActiveDirectory”集成Dns 服務(wù)”，即該域控制器兼任DNS 服務(wù)器；也是唯一的一臺域控制器。對于服務(wù)器資源充裕的學(xué)校，為了保障AD DS 域服務(wù)的安全運行，建議至少兩臺域控制器，第二臺域控制稱之為“額外域控制器”。

1.1、部署前的準備工作：

1.1.1服務(wù)器使用NTFS 文件系統(tǒng)，且有足夠空間。如果是Fat32可以使用convert c:/fs ntfs轉(zhuǎn)換

1.1.2本地管理員賬號和密碼（密碼符合一定復(fù)雜性要求），部署時用到。

1.1.3操作系統(tǒng)版本必須是服務(wù)器操作系統(tǒng)，推薦Windows Server2012R2 ；本案例采用的Windows Server2012R2 DataCenter 版本。注：服務(wù)器使用安裝版不要用ghost 版的系統(tǒng)。

1.1.4 IP 地址配置，安裝活動目錄的計算機需要專用靜態(tài)ip 地址（ip 地址要先規(guī)劃好，后期更改很麻煩）。本

案例域控制器兼任DNS 服務(wù)器，首選DNS 配置應(yīng)該指向自己的IP 。同時建議關(guān)閉IPv6協(xié)議。