1.文件夹和文件结构

创建文件服务器时最重要的一步是要仔细考虑文件目录结构。 文件夹和文件越结构化，就越容易理解和应用权限。

 从分析用户及其角色开始，尝试将具有相似角色或经常协作的用户分组在一起。 对应的目录结构需要易于理解和可扩展。

严格遵循您的命名约定，并教会用户也遵循它。 避免创建长文件夹名称和使用特殊字符。例如以下面的业务为例：

XYZ公司拥有 80 名员工，他们有以下部门：财务[Finance]、市场营销[Marketing]、销售[Sales]、客户服务[Customer Service]和人力资源[HR]。

那么就可以建立以其英文命名的顶级目录结构的部门名称：Finance, Marketing, Sales, Customer Service, Human

以顶级目录 Finance为例，在 Finance 顶级文件夹下，有名为 Accounts Payable、Treasury、Accounts Receivable 和 Executive 的文件夹。 然后，您可以将其进一步分解为该工作角色中用户的工作流，如下例所示。

2. 最低权限访问

在授予任何权限时应该始终遵循最低权限规则。 考虑创建只读组和读/写组。 如果用户不需要修改数据，就不要给他们读/写访问权限。当然，使用这种方法，请确保您保持一致的命名约定。 例如，如果您授予对 Finance 下的 Accounts Payable 文件夹的特定访问权限，则只读组可以命名为 finance_accounts_payable_RO。此外，可考虑创建一个 Deny_All 组，可以在其中添加不需要访问权限或需要从任何数据中快速删除访问权限的用户。

3. 为文件夹安全权限使用安全组

接下来要考虑的是权限结构。 强烈建议使用 Active Directory 安全组来分配共享和安全权限。 不要将权限应用于单个用户，这将成为安全和管理的噩梦。很难将分配了个人权限的用户应用到所有地方。 此外，当用户离开公司或更换职位时，他们仍然可以访问他们不应再访问的数据。 如果他们是某个组的成员，则可以轻松添加或删除权限。

创建顶级组并将相关用户添加到该组，然后缩小到特定组。 子目录结构嵌套深度最多不要超过 3 层。

我们将以财务部门为例，Finance 文件夹是顶级文件夹，然后是 Accounts Payable 文件夹，然后是 Invoices 和 Expense Reports 文件夹。 那是3深。 尽量不要比这更进一步。 尝试跟踪具有特定权限的多个目录并管理组中的用户很快就会成为管理员的麻烦。 当然，这条规则总有例外。 您需要做最适合您的组织的事情。

4.安全组命名要清楚明了。

您从前面的提示中知道您应该使用组而不是用户来获得权限。 下一个技巧是命名您的安全组，使它们有意义。

任何人都应该能够查看组名称并了解它的用途。 不要使用截短的名称、首字母缩略词、星球大战或漫威角色名称。

创建名为“R2D2”的安全组并使用它来保护 Finance 文件夹毫无意义。 它对其他管理员也没有用，除非您有非常好的文档（这几乎是不可能的），否则没有人会知道 R2D2 组的用途。 通常创建它的人会忘记。

我发现最好根据正在使用或应用的内容来命名组。

回到财务示例，创建一个名为 Finance_All 的安全组。 将财务中的所有用户添加到该部门。 如果您让权限传播，这将使他们能够访问 Finance 顶级目录及其下的所有内容。 然后，如果您需要更严格地访问某个文件夹，例如 Accounts Payable 文件夹，请为该文件夹创建一个安全组，例如 finance_accounts_payable。

只添加需要访问 Accounts Payable 文件夹的用户。 向 AD 中的组添加注释，并列出其授予访问权限的文件夹。 这将帮助其他管理员轻松找到他们需要的组。 查看 Active Directory 中的组名，任何人都可以轻松地了解这些组的用途。

5.不要使用Everyone组赋权

Everyone 组将授予所有使用密码登录的用户以及内置的非密码保护帐户（例如来宾和本地服务）的访问权限。 基本上，它为每个人提供访问权限（域帐户和非域帐户）。这是一个巨大的安全风险。

6.使用组策略映射驱动器

如果您的 Active Directory 结构与您设置文件服务器的方式一致，您可以非常容易地使用基于用户所在 OU 的组策略为用户映射驱动器。假设您的 AD 结构与您的文件服务器结构一致。 您可以将 OU 的网络驱动器映射到每个部门的每个顶级文件夹。

7.文件服务器的备份

对于任何文件服务器，备份都非常重要。 考虑实施 3-2-1 备份策略。 这意味着至少拥有 3 个数据副本。 其中两个可以在现场，一个在场外。 这两个现场应该在不同形式的媒体上。勒索软件始终是一个问题，所以我不能对备份施加足够的压力。 经常备份您的数据，然后将其锁定，使读/写不再可能，这将确保从勒索软件中恢复。在出现病毒或勒索软件时始终制定恢复计划。如果您使用的是 SAN 或 NAS，请使用快照。 这提供了一个快速简单的选项来恢复文件和文件夹。

8.考虑数据复制/冗余

如果您使用 SAN 或 NAS，请考虑在发生灾难性硬件故障或环境影响时进行数据复制或冗余。 尽可能启用 RAID。 拥有强大的灾难恢复计划对于尽快恢复基础设施至关重要。此外，请考虑使用 DFS 名称空间。 DFS 使您能够跨多个服务器对共享文件夹进行分组以实现高可用性。

9.审计文件服务器

您应该定期审核数据和数据访问。 审核文件服务器上的所有文件会产生大量日志。 定义哪些数据对审计最为关键。 这对于访问敏感和机密数据尤为重要。 您可以设置组策略来审核特定文件和文件夹。 此外，审核有权访问机密和敏感数据的 Active Directory 组，以便在添加或删除用户时通知您。 市场上有多种工具可以帮助进行审计。

10.File Server Resource Manager

文件资源管理器是一在 Windows 服务器上的自带功能。 此功能提供了一些非常好的选项来帮助您管理 Windows 文件服务器。

Quota Management配额管理 – 这允许您限制卷或文件夹允许的空间。 例如，您可以将每个部门的空间限制为 1TB。 这可以帮助您控制磁盘使用并防止不受控制的增长。

File Screening Management文件筛选管理 – 这允许您控制共享上允许的文件类型。 例如，我创建了一个阻止 .exe 和 .msi 等可执行文件的策略。 您可以根据需要创建例外。

Storage Reports存储报告 – 创建数据报告、趋势、监控使用情况等等。

Classification Management分类管理 – 此功能通过自动化分类过程提供对数据的洞察力，以便您可以更有效地管理数据。 您可以对文件进行分类并根据此分类应用策略。

File Management Tasks 文件管理任务– 根据数据分类自动执行策略和操作。