要实现服务器文件防删除、共享文件禁止删除 / 复制 / 下载 / 另存为，核心是权限分层控制 + 系统策略加固 + 专业工具 / DRM三层防护，按 Windows、Linux 分别操作最稳妥。

一、Windows Server/Windows 共享文件防护（最常用）

1. 基础：NTFS + 共享权限双控（防删除 / 修改）

（1）共享权限（网络入口）

• 右键文件夹 → 属性 → 共享 → 高级共享 → 权限

• 添加用户 / 组，仅勾选 “读取”，取消 “完全控制 / 更改”

（2）NTFS 权限（核心，防绕开共享）

• 切换到安全选项卡 → 编辑

• 对目标用户 / 组：

• 允许：读取和执行、列出文件夹内容、读取

• 拒绝：写入、修改、删除、删除子文件夹及文件（拒绝优先于允许）

• 高级 → 禁用继承，改为 “从此对象中删除已继承权限”，避免组权限叠加

2. 进阶：组策略（禁止复制 / 另存为 / 下载）

• Win+R → gpedit.msc → 计算机配置 → 管理模板 → Windows 组件 → 文件资源管理器

• 启用：

• 防止从网络共享文件夹中复制文件

• 禁止将文件另存为到本地驱动器

• 隐藏 “下载” 菜单项（按需）

• 执行 gpupdate /force 刷新

3. 高级：专业共享管理软件（大势至 / FileAudit）

• 服务器端安装大势至局域网共享文件管理系统

• 编辑

• 对用户勾选：禁止删除、禁止复制、禁止另存为、禁止打印、禁止拖拽

• 客户端需安装小工具，实现剪贴板 / 屏幕录制 / U 盘外传管控

4. 终极：DRM 文档权限（Office/PDF 防泄露）

• Microsoft Purview/AIP：给文件加权限，禁止复制、打印、截屏、过期失效

• Adobe DRM：PDF 禁止复制 / 打印 / 另存

• 金山文档 / 坚果云企业版：在线预览，禁止下载 / 复制

二、Linux 服务器文件 / 共享防护（Samba/NFS）

1. 本地文件防删除（chmod + chattr）

（1）粘滞位（共享目录防删）

bash

运行

# 仅所有者/root可删目录内文件
chmod 1750 /data/shared  # 1=粘滞位，7=所有者全，5=组读执行，0=其他无
chown root:sharegroup /data/shared

（2）chattr 锁文件（防删 / 改 / 重命名）

bash

运行

# 加i：不可删、不可改、不可重命名（root也需先解锁）
chattr +i /data/important.file
# 解锁
chattr -i /data/important.file
# 加a：仅可追加，不可删/改
chattr +a /data/log.file

2. Samba 共享（兼容 Windows，防删 / 复制）

编辑 /etc/samba/smb.conf：

ini

[SecureShare]
path = /data/shared
valid users = @sharegroup
read only = yes          # 只读
browseable = yes
create mask = 0550       # 新建文件只读
directory mask = 0550
delete veto files = yes  # 禁止删除
veto files = /*.tmp/     # 屏蔽临时文件

重启服务：

bash

运行

systemctl restart smb nmb

3. NFS 共享（Linux 间共享）

bash

运行

# /etc/exports
/data/shared 192.168.1.0/24(ro,sync,no_root_squash)
# ro=只读，禁止写入/删除
exportfs -r

三、核心对比与选型建议

防护能力对比

表格

选型建议

• 个人 / 小团队：Windows NTFS + 组策略 / Linux 粘滞位 + Samba 只读

• 企业局域网：大势至 / FileAudit 统一管控

• 敏感文档（Office/PDF）：DRM（AIP/Adobe） 防泄露

四、最佳实践

2. 最小权限：只给 “读取”，拒绝 “写入 / 删除 / 修改”

4. 权限隔离：共享目录与系统目录分离，单独授权

6. 日志审计：开启文件访问 / 删除日志（Windows 事件日志、Linux auditd）

8. 备份兜底：即使防删，仍需自动备份，防止加密勒索

10. 客户端管控：禁用 U 盘、网盘、远程桌面文件传输，减少泄露渠道