1 windows Server文件共享使用的端口是TCP-139，TCP-445，使用的SMB协议。

2 文件共享有两个权限可以配置，分别是NTFS系统权限和共享权限，一般建议都是共享权限给Everyone完全控制。主要以NTFS系统权限配置为主。

3 共享权限只能控制通过网络访问登陆的用户，NTFS系统权限可以不仅能控制网络访问登陆的用户，还能控制本地用户登陆（本地登陆指通过控制台登陆，而不是通过windows远程或网络路径访问）

4 创建一个共享文件夹，系统会默认添加继承上一级目录的用户权限。例如我在E盘根目录创建一个共享文件夹，会继承安全里面默认的权限。分别有如下默认权限。

creator owner : 此为权限为创建者所有，如下图我用域账号ctxadmin创建的，此权限一般都不建议删除。权限会传播到子文件夹和文件。

system：此为系统最高权限账号，一般不建议删除。权限会传播到子文件夹和文件。

SZ-CTXFILE\administraotr: 此为文件服务器本地管理员组，此组默认为完全控制权限，若域账号或者本地账号在此组，则账号对此文件夹有完全控制权限。可根据实际场景确认是否保留。权限会传播到子文件夹和文件。

SZ-CTXFILE\User: 文件服务器本地用户，默认只有可读取权限。可根据实际场景确认是否保留。权限会传播到子文件夹和文件。

ctxadmin：因为我用的是ctxadmin域账号创建的，所以对当前创建的文件夹具有完全控制权限，但不会把权限传播到下一级文件及目录。

5 若要删除或者调整默认继承权限，需要右键文件夹，进入高级设置，点击禁止继承。

如下有两种，一种是转换为对象文件夹权限，但是不继承了。转换后既可以进行修改和删除动作了，一般建议使用此方式。第二种就是直接删除。

权限分配方法或说明。

注意：一般都不建议直接在共享文件夹属性里面添加单个用户权限。

通过组的方式分配文件夹共享权限，当对组类成员有添加或者删除操作，对应的用户需要注销后，重新登陆权限才会生效。

推荐AGP原则分配方法一：可以再AD上面创建多个用户组，然后在文件服务器上对不同组赋予不同的权限，例如一个赋予可读权限，一个组赋可读写权限，一个组赋予修改权限等，可根据实际情况进行分配。权限配置好之后，iT管理员根据实际情况把用户添加到对应的组即可，无法频繁登陆文件服务器进行操作。

推荐AGDLP原则分配方法二：此分配方案一般都是针对规模较大的架构而设计。其实就是组的嵌套，先用户定义到全局组，然后把全局组定义到本地组里面。再在文件服务器对本地组权限进行一个配置即可。

还有一种DAC动态访问控制，此方法可以根据域账号的属性来进行访问权限配置，例如AD账号属性里面的办公位置，楼层等信息。此方法配置较为麻烦。一般用的也不多。

文件资源管理功能：此功能在服务器管理里面可以添加。主要有如下功能

1 文件夹容量配额管理：可以对文件夹配置可使用容量空间大小。

2 文件屏蔽功能：例如管理员指定的文件后缀不能上传等操作。

3 存储报告：可以导出文件夹使用数据报表。

4 分类管理：可以对文件夹属性进行一个分类。

5 文件管理任务：可以对文档进行归档，可以设置一些条件可以移走文件夹里不常用的文件。