(原创)基于Windows-Server2012-域控制的中小学校园文件服务器搭建

目前各中小学文件共享服务主要以ftp文件服务器和windows简单samba共享的方式为主。这两种方式笔者经过多年的使用实践发现两者各有所长，随着学校信息化和数据安全等要求的提高，这两种方式各自的不足就凸显出来。ftp能够解决安全问题，但是不能在服务器上像本地一样编辑，使用很不方便。windows简单samba共享虽然做到像本地一样使用方便，但是安全性上得不到保障。急需结合两个优点搭建一个既安全又方便使用的文件服务器。经过笔者探索实践通过windows域控制结合NTFS权限管理等能实现满足要求的文件服务。目前学校网络经过改造全部楼层和办公室场所都布线到位。学校目前采用windows简单共享服务，现在老服务器使用多年老化。准备更换新的服务器搭建基于WindowsServer2012ADDS域控制的文件服务使教师可以更安全方便地进行资源共享及使用网络打印机。学校教师规模300人左右，设有小学部，初中部，高中部，国际部，信息中心，人力资源部等部门。服务器权限要求如下：（1）在共享目录根目录share下建立各部门文件夹，share和部门文件夹为所有教师可见/可读/不可写；即不能在共享根目录share和各部门文件夹下直接上传文件或者文件夹。（2）每个部门设置一个部门内部文件和部门共享区文件夹部门内部文件夹只有本部门教师可见/可读/不可写,部门管理员可见/可读/可写用于发布部门内部重要文件。部门共享文件夹部门教师可见/可读/可写，其内容除了上传文件的用户及管理员以外其他用户不能删除。（3）每个部门下面建立以教师中文姓名命名的文件夹。每位教师自己的文件夹，除自己可见/可读/可写，其他人都不可见。（4）所有教师个人文件夹限额2G，避免个别老师把大量工作无关数据存到服务器，浪费服务器空间。（5）所有预先建立的部门文件夹，部门内部文件夹部门共享文件夹都除了系统管理员外其他用户都没有删除权限。（6）对于部门共享文件夹实施定期删除一个月以上没人访问的文件。由于学校硬件服务器资源有限，本案例中部署的第一台域控制器，同时部署ActiveDirectory”集成Dns服务”，即该域控制器兼任DNS服务器；也是唯一的一台域控制器。对于服务器资源充裕的学校，为了保障ADDS域服务的安全运行，建议至少两台域控制器，第二台域控制称之为“额外域控制器”。1.1、部署前的准备工作：1.1.1服务器使用NTFS文件系统，且有足够空间。如果是Fat32可以使用convertc:/fsntfs转换1.1.2本地管理员账号和密码（密码符合一定复杂性要求），部署时用到。1.1.3操作系统版本必须是服务器操作系统，推荐WindowsServer2012R2；本案例采用的WindowsServer2012R2DataCenter版本。注：服务器使用安装版不要用ghost版的系统。1.1.4IP地址配置，安装活动目录的计算机需要专用静态ip地址（ip地址要先规划好，后期更改很麻烦）。本案例域控制器兼任DNS服务器，首选DNS配置应该指向自己的IP。同时建议关闭IPv6协议。1.1.5计算机名称，部署域控制前最好把计算机名称规划好；后期修改很麻烦。本案例使用PDC作为计算机名称。1.1.6激活网卡，网络连接不能处于断开状态，否则部署过程中会报错。1.2开始部署域控制器。WindowsServer2012ADDS域服务默认通过向导方式部署,取消了”dcpromo.exe”命令方式部署。当然也可以通过PowerShell命令行方式部署。第一步：打开服务器管理器，选择打开角色和功能的安装向导。第二步：点击“下一步”，选择基于角色或基于功能的安装。第三步：点击“下一步”，目前我们的服务器池中只有当前这一台机器，保持默认。第四步：点击“下一步”，在选择服务器角色界面，勾选“ActiveDirectory域服务”。并在弹出的窗口选择添加功能。第五步：点击“下一步”，选择功能界面，保持默认即可。第六步：点击“下一步”，保持默认即可。第七步：点击“下一步”，选中复选框。第八步：等待ADDS安装完后，单击“将此服务器提升为域控制器”超链接。第九步：因为我目前的环境中没有windows2012或者windows2008的DC，所以我这里选择“添加新林”，安装新林中的第一个域，根域名为“qunxing.net”。第十步：域和林功能级别选择windowsserver2012R2模式，勾选域名系统（DNS）服务器。设置“目录还原模式密码”，改密码用来还原AD数据库，必须符合强密码策略。第十一步：默认下一步。第十二步：建议默认，直接下一步。第十三步：一般建议将数据库文件夹，日志文件夹和SYSVOL文件分别存在不同分区。本案例默认设置。第十四步：默认下一步。第十五步：先决条件检查通过即可安装。安装过程需要重新启动计算机。1.3验证域控制是否成功部署1.3.1验证“ADDS域服务”1.3.2验证“默认容器”和“DomainControllers”1.3.3验证“默认站点”及“默认组策略”1.3.4验证“计算机角色”第一台域控为PRIMARY额外域控为BACKUP。打开命令行窗口输入netaccounts1.3.5验证系统共享卷“SYSVOL”和“NetLogon”1.3.6验证目录服务器。打开命令行窗口输入dcdiag/test:netlogons1.3.7验证DNS的SRV记录1.3.8验证FSMO操作主机角色。打开命令行窗口输入Netdomqueryfsmo至此，域控制器安装成功。我们在ActiveDirectory管理中心启用域控制器的回收站功能：2.1创建共享主文件夹Share并在share下面批量创建部门文件夹，部门文件下面批量创建用户文件夹，部门文件夹下面批量创建教师个人文件夹。目录结构如下：批量创建文件夹的方法（以创建信息中心教师个人文件为例，其他文件夹创建方法相同）。2.1.1打开教师信息表excel文件，选中姓名列表，右键复制。2.1.2在新的空行第一个单元格输入md右键后一个单元格选择“转置”2.1.3复制整行到记事本，另存为bat文件2.1.4复制bat文件到信息中心文件夹下双击，即可创建所有教师个人文件夹。删除bat文件，文件夹创建完毕。2.2安装配置FSRM（文件服务器资源管理器），便于下一步设置高级共享，（注：本次把本案例后面用到数据删除重复组件一并安装）。打开添加角色-安装管理器，选中文件服务器资源管理器和聚删除重复，然后一直下一步安装完成即可。安装完成后，工具列表更新了。2.3文件服务器配置共享（WindowsServer2012R2默认已经安装文件和存储服务）2.3.1打开服务器管理器，点击“文件和存储服务”选择“共享”，然后点击“若要创建文件共享，请启动新加共享向导”（若已有共享文件，则右键选择新建共享）2.3.2选择“SMB共享-高级“，点击”下一步“。2.3.3选择上一步创建好的共享文件夹share目录位置。2.3.4设置共享名，默认即可（也可修改为自己定义的名称）。2.3.5在下图中我们可以看到几个功能，基本上都是WindowsServer2012R2新增或加强的功能，下面我们简单来说一下这些功能：启用基于存取的枚举：简单一点说就是如果A用户只能访问A目录的权限，那他就不会看到共享下面的B目录，就不会出现点击B目录没有访问权限的提示了，这样增强了用户体验，同时也加强文件服务器的安全性。允许共享缓存：有两种模式：分布式缓存模式、托管式缓存模式。前者主要用于办事处等没有服务器场所，后者主要用于分支机构，集中式管理所有缓存的文件信息。加密数据访问：在共享文件传输的时候，会对数据进行加密，以提高数据的传输安全性。本案例选中前2两项。(特别说明：启用基于存取的枚举才能实现案例规划的权限要求)2.3.6我们先禁用继承的权限，再手动添加权限。去掉不需要授权的用户选择Users点击编辑点击显示高级权限，去掉完全控制和删除（属于Users除了删除share文件夹本身外的所有权限），然后确定。提示：在配置权限的时候，你必需要配置一个具体完全控制权限的用户，不然的话，后面创建SMB的时候会失败。然后点击下一步2.3.7设置文件夹的用途有四种，主要用于分类规则管理等，这里我们选择“用户文件”。2.3.8暂时不启用配额，后面再来配置启用。2.3.9确认配置信息，点击”创建“。2.3.10创建完成。点击关闭。可以看到刚创建的共享。2.3.11下面我们来做一个共享访问测试，已经可以成功访问共享了。这时候我们可以在里面添加删除修改文件夹及文件了，到此文件服务器的常规部署已经完成。为了方便授权和管理在ActiveDirectory用户和计算机创建相应的ou组及用户。组织单位（OU）和组都是为了方便管理。组织单位是体现管理模型，而组是权利和权限的集合。可以在组织单位上部署组策略。3.1创建OU。注：“Users”组不能创建OU，域级别可以创建OU，已有OU下可以创建OU。3.1.1打开ActiveDirectory用户和计算机（经常用到也可把快捷方式放桌面上）。3.1.2右键域新建组织单位3.1.3创建一个学校OUQXFLS，默认选中防止容器意外删除。3.1.4同样的方法在QXFLS下创建各部门OU。完成后如下：3.2创建组。WindowsServer2012R2的ADDS域服务中的组按类型分为安全组和通讯组(很少用到典型应用是ExchangeServer中的用户组),本案例只创建安全组。按范围分为全局组、域本地组和通用组。域本地组主要用来设置访问权限（基于共享文件夹、打印机等资源规划）；全局组用来组织用户即将多个将被赋予相同权限的用户账户加入同一个全局组，基于组织结构、行政结构规划；通用组不属于任何域，适用于林中跨域访问。域目录林中实现对资源的访问授权推荐适用“AGDLP”规则。即首先把用户账户（Account）加入全局组（Global），然后把全局组加入到域本地组（DomainLocalGroup），最后对域本地组进行授权。注：全局组和域本地组在当前域中必须是唯一的；通用组必须在整个林中是唯一的。创建组的位置没有限制，一般在所在OU下创建。具体组的创建根据自己权限规划来。3.2.1打开ActiveDirectory用户和计算机，右键QXFLS新建组。创建一个全局安全组。同样的方法为每个部门创建其他各部门教师组和管理员组。最后创建一个QXFLS全体教师组，将前面所创建的各部门教师组合管理员组都加入改组人员。3.3创建域用户。3.3.1创建域用户可以在ActiveDirectory用户和计算机中创建。右键信息中心OU选择新建用户3.3.2也可以从ActiveDirectory管理中心创建（推荐），可添加信息更全面。3.3.3要创建的域用户较多时可以通过脚本或其他工具批量创建。方法一：Csvde工具批量创建用户（此命令的不足的地方就是不能删除、修改用户属性、也不能设置用户密码。因此，应该避免使用CSVDE创建用户对象。）第一步：先导出用户做导入信息模板用：csvde–fad.csv将ActiveDirectory对象导出到名为ad.csv的文件。–f开关表示后面为输出文件的名称。但是必须注意，上述的用法是很简单，但是导出来的结果可能存在太多你不希望要的记录和信息。如果要实现更精确的导出记录，可以使用-d和-r以及-l参数。其中：-d用来指定特定的搜索位置和范围-r用来指定特定的搜索对象类型-l用来指定导出对象的具体属性如：csvde-f-Ud:\share\users.csv-dou=信息中心,ou=QXFLS,dc=qunxing,dc=net-r(&(objectcategory=person)(objectclass=user))-lDN,objectClass,description注意：如果使用CSVDE导出的帐户信息中存在中文，会存在乱码的可能，可以加-U参数来解决。第二步：编辑导出的文件通过命令Csvde-I-fd:\share\users.csv-jd:\导入，日志文件输出到d: