<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

九、  九、共享文件夹的文件屏蔽管理

我们可能有这样一种需求，我们需要限制用户上传共享文件夹的文件类型。比如只允许上传OFFICE文件，文本文件或一些数据文件，不允许上传视频和音频文件，不允许上传可执行文件。。。这样可以防止视频或音频大容量的文件占用宝贵的共享容量，不允许上传可执行文件可以防止***和病毒文件的扩散。文件屏蔽功能正是利用了WINDOWS系统扩展名的办法来辨别和区分这些文件，利用文件屏蔽模板禁止我们设定的指定类型文件上传到共享文件中。

1、  文件屏蔽模板和文件组模板

Windows 2008 R2系统中默认自带了5个文件屏蔽模板，这是我们经常可以利用到的文件屏蔽情况，如下图9.1.1

（图9.1.1）

我们可以直接利用这些模板对文件进行屏蔽，也可以对不满足需求的模板进行修改，还可以自定义创建模板。如下图9.1.2

（图9.1.2）

我们可以向之前的配额管理一样发送邮件、记录日志、执行命令和生成报告。屏蔽类型也分主动屏蔽和被动屏蔽。主动屏蔽就是具体拒绝用户的行为，禁止已经制定的文件上传到共享文件夹，而被动屏蔽并不直接禁止用户，仅仅是监视和记录哪些用户上传了我们禁止的文件。接下来的就是与配额不同的文件组。文件组也是可以定义的，定义了我们需要阻止和例外的文件扩展名。就如我们本章开头所描述的，文件屏蔽是通过文件扩展名来判断与执行文件屏蔽工作的。系统也给我们自带了文件组模板，如下图9.1.3

（图9.1.3除了“电子书”文件组，其它均为默认文件组模板）

2、  创建自定义文件组

现在我们创建一个文件组来看一下。假如我们要屏蔽PDF的文件。

右键选择“文件组”—“创建文件组”如下图9.2.1

（图9.2.1）

我们定义了一个叫“电子书”的文件组，包含了*.hlp等格式，排除了*.pdf等格式 这样如果应用这个文件组，我们可以上传PDF格式的文件，但是不能上传其他格式的电子书。

3、  创建自定义文件屏蔽模板

有了上面的文件组，我们现在创建一个屏蔽“电子书”文件屏蔽的模板

右键“文件屏蔽”---“创建文件屏蔽模板”如下图9.3.1

（图9.3.1）

我们在模板名中定义一个自己明白的模板名“阻止非正规电子书”，然后选择自己刚才定义的文件组，屏蔽类型选择主动，然后选择确定。（后面的报告什么的可以根据自身的需求设定）

4、  创建文件屏蔽

文件屏蔽模板我们已经根据自己的需求制作好了，现在我们在共享文件中加入这个“规则”然后测试一下是否满足我们的设想。

右键“文件屏蔽”---“创建文件屏蔽”如下图9.4.1

（图9.4.1）

我们在文件屏蔽路径中选择我们要设置的共享文件夹路径，然后文件模板派生属性中选择刚才创建的文件屏蔽模板，然后选择创建。

我们现在可以看到已经创建了一个文件屏蔽的模板，如下图9.4.2

（图9.4.2）

当我们需要对该共享文件做选择多个文件组屏蔽的时候可以直接上面的文件屏蔽源模板，如下图9.4.3

（图9.4.3）

然后直接勾选文件组即可，如下图9.4.4

（图9.4.4.）

现在我们来验证一下我们设置文件屏蔽的结果，首先我们上传一个EXE文件，按照文件屏蔽的原则，是不允许上传的。事实上，我们成功了，如下图9.4.5

（图9.4.5）

我们要把本地的一个EXE文件上传到右面共享文件夹的时候提示没有权限，证明是可以的。

由于我们设置了PDF格式的文件例外，现在我们上传一个PDF格式的文件看看，如下图9.4.6

（图9.4.6）

从上图中我们看出，实际上是可以上传的。满足了我们当初的需求。

5、  仍有一个BUG

我们是不是利用这个就可以完美的解决文件屏蔽的问题了？也就是说，我们不允许上传EXE文件，他就不能上传EXE文件了。非也，因为文件屏蔽是利用文件扩展名来判别的。所以容易破解的就是修改文件扩展名后上传。我们测试一下。

我们将setup_8.8.0.2001n.exe强制修改扩展名为setup_8.8.0.2001n.pdf这样就上传到共享文件夹中去了，如下图9.4.7

（图9.4.7）

我画红色框就是为了更醒目，看看文件的大小和创建日期是一样的。看到这里是不是有些人已8害怕了，如果再把文件扩展名改回来，然后运行，是不是。。。。 我们再测试看一下。如下图9.4.8

（图4.9.8）

哈哈，好像也没那么容易，是不允许修改的。这个可不是文件共享权限的作用，完全是文件屏蔽的功劳啦。

丁胖胖说明：利用文件屏蔽功能，这种通过文件扩展名来判断文件类型的方式确实存在一些问题。但是修改这个BUG并不是一件容易的事。因为要真正判断一个文件到底是什么文件，最权威的办法还是查看文件头，但是这种方法在系统应用中实现是比较困难的。虽然我们不能杜绝人为修改扩展名而造成我们屏蔽的文件蒙混过关入驻共享文件夹，但是我们仍然可以做到文件即使入驻，也不能恢复“真身”的目的。但如上面谈到的，有些人只是为了偷偷上传如视频文件占用空间，可以结合上章的配额管理来限制其的空间大小。但是如果有人就是利用这种“变形大法”EXCHANGE（交换）文件的话，那么抱歉的说，这个就比较难杜绝了，只能利用之前的文件权限来限制了。