在我们的IT部门,已经有一些关于映射网络驱动器的热烈讨论。特别是,有人说映射网络驱动器是件坏事,而将 DFS 路径或网络共享添加到您的(Windows 资源管理器/库)收藏夹是更好的解决方案。
为什么会这样?
我个人觉得z:\folder比\server\path\folder‘更方便,特别是在cmd行和脚本方面(当然我不是在说硬编码的链接,自然!)。
我曾试着搜索过映射网络硬盘的优缺点,但除了'万一网络瘫痪,硬盘将无法使用'之外,我没有看到任何其他内容。但这是任何网络访问存储的限制。
我也被告知,当网络资源不可用时,映射的网络驱动器会轮询网络,然而我没有找到更多这方面的信息。网络驱动器是否比Windows资源管理器库/收藏夹更会轮询网络?每当Windows试图枚举文件系统时(例如,当打开文件/文件夹拾取器对话框时),其他网络访问机制(即映射的Favourites)是否仍然会出现这个问题?
我想,不映射网络驱动器的最有力的原因是,管理员不想处理除了网络路径之外,还要维护有限数量的驱动器字母的索引的问题。首先,常用的网络共享可能太多,无法为所有的共享分配驱动器字母,而且在一个大型组织中,不是每个人都能访问所有相同的共享。共享名称也比驱动器字母更具有描述性,可能更不容易产生歧义(歧义的问题稍后再谈)。
其次,你可能会遇到驱动器字母碰撞的情况。如果某人的PC有一个存储卡读卡器,那可能会吞噬掉四个或更多的驱动器字母。A和B通常是留给上世纪的软驱的,C和D通常是留给硬盘和光驱的,所以读卡器会使用E、F、G和H,如果你的一个网络驱动器通常通过登录脚本映射到H:,这个可怜的人要么无法使用读卡器的H:驱动器,要么无法装载网络驱动器。
除非组织内部有人负责为特定用途分配驱动器字母,否则网络驱动器最终也会造成很多混乱。例如,假设你将驱动器S:映射到拥有你所有站点授权软件的设置程序的共享,而其他人将S:映射到他们投放各种共享文档的共享驱动器。当你试图解释如何安装一些软件时,你告诉他们打开他们的S:驱动器,找到Microsoft Office的设置程序,但他们能找到的只是一个名为office的文件夹,其中包含了一堆杂七杂八的文件,有人为了临时传输文件而丢在那里。可能要花5到10分钟才能理清头绪。
如果服务器宕机或者一台机器脱离网络,也会有一些潜在的性能问题。例如,如果您在一台机器上映射网络驱动器,然后从网络中移除机器(可能是一台笔记本电脑),机器可能会在登录时出现挂起,而Windows试图徒劳地安装丢失的网络驱动器。
另一方面,在旧版本的Windows上,我注意到在映射的网络驱动器上,文件传输到或从映射的网络驱动器传输的速度往往比你浏览网络文件夹并执行相同的文件传输快得多–在这种情况下,大多数人更喜欢映射网络驱动器。
简单的回答是,这不是一件坏事。网络驱动器完全可以安全地映射为驱动器。
这种迷信来自于这样一个事实:你不应该将foreign(即互联网)驱动器映射为本地驱动器,因为从映射驱动器打开的文件是使用 “本地 "区域打开的,这通常会给它们提供较少的保护–如果文件实际上来自互联网,这就降低了安全性。
如果像我猜测的那样,你实际上是在映射int ra net网络驱动器,那么以映射驱动器的方式打开文件夹与通过其网络路径名访问它们一样安全。唯一的区别是,有了它们的映射更方便。
在我工作的地方,我们在网络驱动器上遇到了严重的问题,因为有时Windows无法连接到它们,而且当一个程序试图访问网络驱动器时,它似乎不会自动连接。
至少有六七次,一个会计部的用户打电话来,因为她得到了同样的错误。这是因为她打开了程序X,而这个程序使用的是映射在网络驱动器Y:上的文件,但由于某种难以理解的原因,它没有被连接。
我怀疑IT人员担心的是一个用户映射一个网络硬盘,而是担心一百个用户或者一千个用户。例如,如果一堆主机同时启动对一个或多个网络硬盘的搜索索引,会对其他试图使用网络的人造成什么影响?当一个联网驱动器不可避免地脱机时,会不会锁定数百台机器,直到操作系统放弃并放弃驱动器映射?如果无法重新建立与映射驱动器的连接,那么PC的启动速度会不会更慢或者完全无法启动?
使用\server\dir语法的一个问题是命令窗口不能cd到它们。如果你有管理员权限,并且不想使用驱动器代号,你可以使用mklink命令将驱动器挂载到一个目录而不是驱动器代号。目录Home应该不存在。
mklink /d “c:\Drives\Home” “\server\HomeFolder\user1”
这个文件夹可以被所有的东西使用。
挂载到一个驱动器上可能是坏的,因为它有可能会改变到另一个挂载点。那么你就会对一些你意想不到的东西进行读写。如果挂载点的可执行文件发生变化,它们可能包含病毒。
我的解决方案需要管理员权限,所以如果你不是以管理员权限运行的,那就更安全了,因为没有管理员权限,另一个程序无法对你进行修改。
一些软件,包括各种版本的Microsoft Visual Studio和CMS Bounceback,只能使用驱动字母,而不能使用绝对路径。鉴于这个限制,那么使用任何这样的软件都需要你定义驱动器字母–你别无选择。但是Windows并没有让这一点变得非常简单,因为它似乎要求用户ID和密码,但在Windows中,任何一个网络设备(例如多个磁盘和打印机)的所有连接只允许一个用户ID和密码。
这里有一个很好的理由:
Windows(至少是XP)不支持超过256个字符的文件路径。映射允许某人通过缩短路径,在其他地方添加一个不可能添加的文件。然后,你有一个程序,浏览所有的文件和文件夹,并不知道映射。如果没有映射,现有文件的路径长度超过256。程序就会崩溃。
只要和一些现在不得不处理最近零日爆发的 “CryptoLocker "的IT顾问谈谈,你很快就会意识到,本地计算机上的映射驱动器如果被感染,会通过映射驱动器对服务器上的数据造成巨大破坏。
具体来说。
"CryptoLocker也会访问映射的网络驱动器,当前用户有写权限,并对其进行加密 它不会攻击简单的服务器共享,只会攻击映射的驱动器。”
因此,在这个不断出现和新发现的零日恶意软件频繁袭击用户的时代,使用映射驱动器显然存在安全问题。
我们已经取消了整个局域网内所有的映射驱动器,而使用 “网络共享"。
如果你要操作大量的文件,映射的驱动器会更快。Windows会对你访问映射的驱动器进行一次认证,然后允许进行文件交互。UNC路径每访问一个文件,Windows都会对其进行认证。因此,如果你在UNC路径下操作成千上万的文件,验证过程将发生成千上万次。映射驱动器 - 认证一次 UNC - 每次访问文件时都要进行认证。
这对复制文件这样简单的事情会有影响。映射驱动器总是更快;对于大量的文件来说,速度明显更快。
关于加密/勒索软件的考虑,Locky是勒索软件的一个例子,它可以通过UNC路径以及映射的驱动器字母传播。如果你对:映射的网络驱动器与UNC路径的关注是由勒索软件攻击的可能性决定的,请理解它只能保护一些。
有几种方法可以去检测/预防勒索软件攻击–一般建议使用多种保护方法:保护网络、保护端点,并保持强大的备份机制。我个人在端点上使用Sophos InterceptX作为反勒索软件解决方案,使用Cisco ASA(带IPS)防火墙,ShadowProtect进行备份,并在管理上有意义的地方使用映射的网络驱动器。
声明:我是Sophos认证架构师。虽然我不在Sophos工作,但我认为他们的技术是整洁的。我也在一家MSP公司工作,这也是我们在调查了澳大利亚的各种选择后决定采用的技术。
按要求编辑,为第二段提供更多信息。另外,我说的是澳大利亚语,不是英语,语法略有不同,有些单词的拼写也不一样(是Colour,不是Color,甚至不要让我开始说哈密瓜)。
我不喜欢使用映射驱动器,因为我不经常使用各种网络资源,永远找不到完整的地址供别人使用。使用快捷方式也能让我在目录中轻松上手。如果映射驱动器的唯一原因是256个字符的限制,那就是一个对不起的借口,把所有的文件位置细节都丢掉了。
映射驱动器很危险! 在过去的几年里,随着勒索软件的激增,我一直在尽可能地删除映射驱动器。勒索软件的目标是所有的DRIVE LETTERS,而不仅仅是本地数据。所以,虽然只要你保持冗余备份就很安全,但要处理这样的数据泄露还是很头疼的。
如果你身处商业环境(勒索软件的主要目标),如果可以的话,请摆脱映射的驱动器!
某些勒索病毒,如CryptoWall系列,会寻找任何映射的驱动器并感染这些驱动器。然而,如果网络共享使用UNC而不是驱动器字母,那么这些病毒就不会感染该共享。
你不想这样做的**原因是,勒索软件不能访问UNC路径,但驱动器字母是公平的游戏。如果你想让你的网络共享被加密锁定,那么请继续使用驱动器字母映射。
我个人并不觉得驱动器字母有什么好处,真正发现UNC路径更容易,因为我从来没有担心过驱动器字母映射,尤其是在更改登录密码之后。你可以创建与驱动器字母行为无异的快捷方式,并且可以将这些快捷方式添加到Windows 资源管理器中。
网络驱动器是共享资源的好方法,但我不同意把家庭目录放在可共享的网络驱动器上。这简直是明目张胆的愚蠢行为。大多数应用程序使用你的主目录作为存储用户的特定应用程序设置的地方。如果IT人员想再多一个头痛的问题(好像他们要处理的问题还不够多一样),那么为网络内的用户修复应用程序的依赖性就会成为他们增加问题的痛苦。在一个使用了许多这样的应用程序,并且它们的依赖性和需求会发生变化的环境中,这个问题可能会增加。首先,网络上的用户的工作会变得僵硬,公司会因为生产力水平低而损失金钱和时间。这是不能冒的风险。其次,一些组织会在网络上映射用户的家庭驱动器,以监控那里的内容。政府经常这样做,作为他们要求的一部分。这也增加了能够在家工作的问题。如果你通过VP的连接出现了问题,你的应用通过VPN会话远程工作,你运行的应用需要依赖网络映射的home drive,而驱动器映射失败,那么你就完蛋了。
我个人认为,只有在有充分理由的情况下才应该这样做,但不应该到妨碍生产力和影响公司底线的程度。