需同步配置共享权限与NTFS权限:先启用SMB协议及Workstation服务,启用网络发现与密码保护共享;再创建专用用户与用户组并赋予权限;接着在共享属性中为该组设“完全控制”且移除Everyone;最后在NTFS安全选项中为该组设“完全控制”并替换子对象权限;客户端需缓存凭据验证访问。
如果您希望在Windows 10中为共享文件夹精确控制访问权限,仅允许特定用户执行读取与写入操作,而拒绝其他用户访问,则需同步配置共享权限与NTFS权限。以下是实现该目标的具体步骤:
一、启用必要网络功能与服务
确保底层通信协议和服务已就绪,是共享生效的前提。若SMB协议未启用或Workstation服务停止,共享将无法被识别或响应。
1、按下 Win + R 键打开运行窗口,输入 optionalfeatures.exe,回车后勾选 SMB 1.0/CIFS File Sharing Support(仅旧设备必需)及 SMB Direct(推荐启用),点击确定并重启电脑。
2、再次按 Win + R,输入 services.msc,定位到 Workstation 服务,确认其状态为“正在运行”,如非运行则右键选择“启动”。
3、打开“控制面板 > 网络和Internet > 网络和共享中心 > 高级共享设置”,在“专用”网络配置中启用 网络发现 和 文件和打印机共享;在“所有网络”下,将 密码保护的共享 设为“启用”。
二、创建专用本地用户与用户组
使用独立账户替代Everyone可避免权限泛化,便于审计与隔离。每个用户拥有唯一凭据,且可在后续策略中单独禁用或重置。
1、右键“此电脑” > “管理” > “本地用户和组 > 用户”,点击右侧空白处右键选择“新用户”,填写用户名(如 dept_writer)、密码,并取消勾选“用户下次登录时须更改密码”。
2、在“本地用户和组 > 组”中,右键“新建组”,命名为 Share_RW_Group,点击“添加”,输入上一步创建的用户名,确认加入。
3、按 Win + R 输入 secpol.msc,进入“本地策略 > 用户权限分配”,双击“从网络访问此计算机”,点击“添加用户或组”,填入 dept_writer 及 Share_RW_Group。
三、配置共享权限(共享层控制)
共享权限决定用户能否通过网络路径(如\\192.168.1.100\Share)连接到该共享,但不控制具体文件操作能力,需与NTFS权限协同生效。
1、右键目标文件夹 > “属性” > “共享”选项卡 > 点击“高级共享”。
2、勾选 共享此文件夹,可修改“共享名”为无空格短名称(如 DataRW)。
3、点击“权限”按钮,在弹出窗口中点击“添加”,输入 Share_RW_Group,确认后为其分配 完全控制 权限;同时确保 Everyone 未出现在列表中,如有则选中并点击“删除”。
四、配置NTFS权限(文件系统层控制)
NTFS权限决定用户对文件夹内对象的实际操作范围,即使共享层允许连接,若NTFS拒绝写入,仍无法保存或修改文件。二者取交集生效。
1、在文件夹“属性”窗口中切换至“安全”选项卡,点击“编辑” > “添加”。
2、输入 Share_RW_Group,点击“检查名称”确认,确定后返回权限列表。
3、在权限列表中,为该组勾选以下复选框:完全控制(或手动勾选:读取和执行、列出文件夹内容、读取、写入、修改、取得所有权、更改权限)。
4、点击“高级”,在高级安全设置窗口中,点击“更改权限”,勾选 替换所有子对象的权限项,点击“应用”。系统将递归应用权限至所有子文件夹与文件。
五、客户端验证与凭据缓存
客户端首次访问需提供有效凭据,若未缓存,每次访问均会弹出认证框。缓存后可实现无缝连接,且避免因临时输错导致权限误判。
1、在客户端电脑上,打开“控制面板 > 用户账户 > 凭据管理器 > Windows凭据 > 添加Windows凭据”。
2、在“网络地址”栏输入服务器IP(如 \\192.168.1.100),在“用户名”栏填写 服务器主机名\dept_writer 或 服务器IP\dept_writer,“密码”栏填入对应密码。
3、完成保存后,在客户端资源管理器地址栏输入 \\192.168.1.100\DataRW,回车即可直接进入,尝试新建文本文件并保存以验证写入权限。
