“拒绝访问”协助方案
“拒绝访问”协助方案
发布时间: 2012年8月
更新时间: 2012年8月
应用到: Windows Server 2012
你部署拒绝访问帮助之前,应该做几点考虑和决定。
使用下表规划你组织中的拒绝访问协助部署工作。
| 任务 | 说明 |
|---|---|
|
确定你的组织应该为拒绝访问协助使用电子邮件模式,还是 Web 服务模式。 |
|
|
你可以指定每个文件均共享接收访问请求的所有者通讯组列表。 |
|
|
你的组织应该自定义拒绝访问协助消息。提供的消息仅为一个样例。 |
|
|
当用户帐户需要使用特定的文件共享,但不需要使用安全组拥有的一切时会出现例外。 |
|
|
拒绝访问协助可以在文件服务器级或文件共享级配置。 |
你的组织有两种方法可以配置拒绝访问协助:
- 电子邮件模式 在电子邮件模式中,如果用户被拒绝访问,将显示一条自定义错误消息,其中包含一个可请求帮助的按钮。用户点击“请求帮助”按钮时,将向包含指定信息的文件夹所有者发送一封电子邮件。
- Web 服务模式 Web 服务模式与电子模式类似。不是显示请求帮助按钮,而是在拒绝访问协助消息中包含一个链接,引导用户通过自助服务门户,比如 Forefront Identity Manager,来请求访问。
所选的模型依据你的组织情况而决定。
如果每次文件共享时均使用电子邮件模式,你可以确定管理员是接收每次文件共享的访问请求,还是接收表示文件共享所有者的通讯组列表,或者两者。
所有者通讯组列表通过使用服务器管理器中“新加共享向导”的“SMB 共享 – 高级”文件共享配置文件来配置。
还可以使用“文件服务器资源管理器”控制台,通过编辑分类属性的管理属性来配置所有者通讯组列表。
你启用拒绝访问协助时,Windows Server 2012 将包含样例消息。你应该根据组织的需求来自定义该消息。要考虑包含在消息中的是你的 Intranet 或技术支持位置的链接。
你还可以在每次文件共享时均提供特定拒绝访问协助消息。用户尝试访问文件共享范围内的文件时,此消息将替代全局消息。有关如何为文件共享单独配置拒绝访问协助消息的详细信息,请参阅部署“拒绝访问”协助(演示步骤)。
部署拒绝访问协助之前,做规划时需要重点考虑的是如何处理例外。用户帐户需要使用文件共享时,可能出现例外。
我们建议用户帐户不要添加到有权属于用户角色的任何安全组。反之,你应该为例外另外创建一个安全组,以包含这些用户帐户,允许访问相应文件共享,从而你可以单独监控此安全组和强制使用规则,比如,到期成员资格。
拒绝访问帮助可以根据每个文件的服务器或每次共享来配置。以文件共享级配置拒绝访问协助,你可以自定义消息,使之包含关于文件共享自身的特定信息。例如,你可以为消息中的这次共享指定例外安全组,使用户能够了解他们应该请求访问的是哪个组。又例如,为代表文件共享的文件夹指定特定的所有者通讯组列表。
|
|
|---|
| 对于服务器来说,有些设置是全局的。启用或禁用拒绝访问协助是以服务器为基础完成的,而“请求帮助”按钮是以文件服务器级配置的,所以,如果你配置了文件服务器显示“请求帮助”按钮,则无法在特定文件共享上禁用该按钮。
|
有关以文件共享级和服务器级配置拒绝访问协助的详细信息,请参阅部署“拒绝访问”协助(演示步骤)。