Доступ к ресурсам и организация совместной работы
Операционные системы Windows 2000/XP/2003 –это системы, предназначенные для установки в сетях, требующих надежности, быстроты и безопасности ресурсов. Администраторы, использующие эти системы, должны обладать всей информацией и полностью контролировать положение: кто имеет право входить в их сеть, с какими данными он может работать и какой уровень доступа к ним он имеет.
Обычно это не значит, что каждый пользователь, который способен подключиться к сети организации, автоматически имеет доступ ко всем данным. И внутри организации необходимо различать права доступа и иметь о нем представление. Чтобы пользователь мог подключиться к сети, ему требуется знать имя (логин) и пароль учетной записи. Но,
для того чтобы иметь доступ к документам, ему необходимо нечто большее – права доступа к этим файлам.
Права доступа к локальным ресурсам
Учетная запись пользователя имеет две функции – возможность зарегистрироваться в сети. Мы регулируем права доступа к ресурсам на основе учетных записей и групп. Такими объектами могут быть принтер, файл, папка, сетевой ресурс и т.п. Если вы хотите иметь доступ к объектам типа файл или папка (которые расположены на локальном компьютере), эти объекты должны быть расположены на диске с файловой системой NTFS. Управление доступом возможно только на основе этой файловой системы и не поддерживается файловой системой FAT или FAT32.
Разрешения NTFS (или права доступа к файлам и папкам, то одно и то же) служат для регулирования прав доступа к объектам в разделах, форматированных в системе NTFS. Разрешения NTFS можно задать на уровне папки или отдельных файлов. В Windows разрешения по умолчанию наследуются от родительской папки, то есть разрешения, установленные для папки, действуют и на содержащиеся в ней файлы, в том числе и на те, которые будут созданы позднее.
Для просмотра и регулирования разрешений:
откройте папку с файлами, и, щелкнув по папке или файлу, выберите «Свойства» (Properties).
Перейдите на вкладку «Безопасность» (Security). Это и есть центр управления разрешениями на доступ для данной папки или файла.
Метод назначения разрешений на доступ следующий: доступен список пользователей и групп (т.н. «избирательный список доступа», DACL) в котором присутствуют все пользователи и группы, имеющие доступ. Если пользователя нет в этом списке или он не
входит ни в одну из присутствующих групп, в доступе отказано полностью. Для каждого элемента из этого списка вы можете назначать свой набор разрешений. Разрешения либо предоставляются, либо запрещаются с помощью параметров «Разрешить» (Allow) и
«Запретить» (Deny). Обратите внимание, что использование «Запретить» не рекомендуется, потому что по умолчанию действует правило: если «галочки» нет ни в
«Разрешить» ни в «Запретить», то это такой тип доступа запрещен.
Вот перечень стандартных разрешений NTFS:
«Чтение» (Read). Предоставляет пользователям возможность просматривать содержимое папки или файла.
«Запись» (Write). Предоставляет пользователям возможность создавать новые папки и файлы внутри папки, а для файла – разрешает пользователям возможность изменять содержимое файла и изменять его атрибуты.
«Список содержимого папки» (List Folder Contents) (только папки). Предоставляет пользователям возможность просматривать имена содержимого папки.
«Чтение и выполнение» (Read & Execute). Предоставляет пользователям возможность просматривать содержимое папки или файла и выполнять программы.
«Изменить» (Modify). Предоставляет пользователям возможность удалить папку и ее содержимое, создать новые файлы и папки внутри папки и просматривать содержимое папки. Для файлов предоставляет пользователям возможность удалить файл, изменить содержимое файла и его атрибуты и просматривать файл.
«Полный доступ» (Full Control). Предоставляет пользователям неограниченный доступ ко всем функциям с файлами и папками. Давать рядовым пользователям такой доступ крайне не рекомендуется, так как он дает дополнительное право изменять существующие разрешения на доступ, что обычно приводит к печальным последствиям.
Кроме разрешений, видимых на вкладке «Безопасность», есть еще особые разрешения NTFS. Что обозначает, например, разрешение «Чтение»? Достаточно ли этого разрешения для того, чтобы отобразить свойства файла и посмотреть, например, дату его создания и последних изменений? Какие права доступа необходимы для просмотра списка разрешений? Если вы хотите знать ответы на эти вопросы, нужно посмотреть так называемые особые разрешения NTFS. Все стандартные разрешения, в том числе
«Чтение», представляют собой совокупности особых разрешений. Чтобы увидеть эти разрешения, во вкладке «Безопасность» выберите пользователя или группу, а затем
нажмите кнопку «Дополнительно» (Advanced). Видно, что разрешение «Чтение» предполагает такие особые разрешения, как «Чтение атрибутов», дающее возможность просматривать свойства файла, и «Чтение разрешений», позволяющее просматривать список разрешений данного файла. Особые разрешения позволяют более гибко регулировать права доступа.
Правильное понимание настройки разрешений, особенно в связи с явлением наследования, требует некоторого времени обучения и особенно практики. Приведем пример: представим себе, что пользователь ivanov.s принадлежит группе Бухгалтерия. В списке на доступ к файлу присутствует и пользователь, и группа. Для ivanov.s права доступа – только чтение (что означает наличие «галочки» в столбике «Разрешить» напротив права «Чтение», все остальные – пустые в обоих столбиках), а для группы Бухгалтерия – «Чтение» и «Запись» («галочки» напротив «Чтение» и «Запись»). Какой итоговый доступ у пользователя ivanov.s? Ведь для него – права на чтение, но он еще входит в группу, которая тоже присутствует в списке. Итоговые разрешения как бы складываются, и в итоге ivanov.s имеет право и чтения и записи. Однако, если у какого-то права будет явно стоять «галочка» «Запретить», то она всегда сильнее любого явного разрешения и доступа с таким правом у пользователя или группы не будет.
Доступ к сетевым ресурсам – общие папки
Если пользователю нужен доступ к файлам в папках на удаленном компьютере, эти папки должны быть общими. Доступ к общей папке можно ограничить. Если папка, к которой предоставлен доступ по сети, расположена на файловой системе NTFS, то она и ее содержимое защищены еще и разрешениями NTFS.
Чтобы добавить возможность обращаться к локальной папке через сеть, нужно сделать ее общей, то есть открыть доступ к ней по сети. В Windows сделать это имеет право член группы администраторов, а обычные пользователи сделать этого не могут. Сделать локальную папку общей можно средствами «Проводника Windows» (Windows Explorer):
выберите папку, которую хотите сделать доступной через сеть, в свойствах папки выберите вкладку «Доступ» (Sharing) и сконфигурируйте следующий параметр:
«Общий Ресурс» (Share Name) – он отвечает за то имя, под которым можно будет получить доступ к этой папке через сеть. Имя не обязательно должно совпадать с реальным именем папки.
Тоже самое можно сделать через «Управление компьютером» (Computer Management), далее «Общие папки» (Shared Folders), затем «Общие ресурсы» (Shares). Выберите из контекстного меню «Новый общий ресурс» (New Share):
На вкладке Доступ в диалоговом окне свойств папки, которую вы хотите сделать общей, есть кнопка «Разрешения» (Permissions). Она служит для того, чтобы ограничить доступ к разделяемой папке для отдельных пользователей или групп (влияет только тогда, когда к папке обращаются через сеть). Всего вы можете использовать три разрешения –
«Чтение» (Read), «Изменение» (Change), «Полный доступ» (Full Control). По умолчанию в
Windows Server 2003 группе «Все» (Everyone) предоставляется право «Чтение» (Read).
Если общая папка находится в разделе с файловой системой NTFS, для нее установлены собственные разрешения. Если пользователь обращается к этой папке локально (сидя за тем же компьютером, на диске которого она расположена), то для него действуют только эти разрешения. Если он обращается к папке по сети, то разрешения NTFS взаимодействуют с разрешениями на доступ к общему ресурсу по следующему принципу: действуют самые строгие разрешения. Если разрешения на общей папке –
«Чтение», а на файловой системе NTFS – «Чтение» и «Запись», то при доступе к этой общей папке через сеть пользователь получит право только чтения, и наоборот.
После того, как общая папка создана, к ней можно подключаться с других компьютеров и просматривать или создавать там документы, если, конечно, достаточно разрешений на доступ. Для подключения к общей папке есть несколько способов:
использование «Сетевого окружения» (Network Places). Откройте «Сетевое окружение» и выберите просмотр всей сети. Вы увидите список компьютеров, которые находятся в той же локальной сети, что и ваш. Выберите нужный, и вы увидите на нем список всех общих папок, доступных для работы. Заметьте, что хотя разные общие папки соответствуют разным реальным локальным папкам, расположенным в разных частях диска, в списке общих папок на компьютере они видны все в одном месте. Выберите нужную общую папку и работайте с ней.
Если вы знаете конкретное имя компьютера или его IP адрес, где находится общая папка, добраться до нее можно намного быстрее. Наберите в строке адреса Проводника, Internet Explorer или в «Пуск», «Выполнить…» (Start, Run…) следующую строку: \\имя-машины (обратите внимание на два обратных слэша, они обязательны). Например: \\s-file или \\192.168.1.1 – вы попадете в список общих папок этой машины.
Ну и наконец, если вы работаете с одной и той же общей папкой каждый день, очень неудобно открывать ее каждый раз одним из предложенных способов. Очень удобно бывает добавить сетевой диск – специальный диск в вашей системе, который выглядит как обычный диск, например, Z:, но ссылается на общую папку на каком-либо сервере. Его можно заставить монтироваться автоматически при входе в систему. Так что для того, чтобы добраться до этой общей папки вам не нужно вводить имя сервера или использовать «Сетевое окружение», достаточно открыть «Мой компьютер» и увидеть ее там в виде диска. Для подключения сетевого диска сделайте следующее: щелкните правой
кнопкой мыши на «Мой компьютер» и выберите «Подключить сетевой диск» (Map Network Drive):
Если вы оставите «галочку» «Восстанавливать при входе в систему» (Reconnect at Logon), тогда общая папка будет автоматически монтироваться при входе в систему и будет всегда доступна.
Доступ к сетевым ресурсам – общие принтеры
Печать документов – еще одна задача, которую необходимо решать пользователям. Для качественной и быстрой печати документов и отсутствия проблем с ней необходимо хорошо отрегулировать следующие устройства и программы: принтеры, интерфейс для их подключения, серверы печати. Очевидно, что печатать нужно почти всем, так электронный документооборот развит не очень хорошо в большинстве компаний, а подключить каждому по принтеру просто невозможно в силу очень высокой стоимости и сложности настройки. Поэтому, используют общие принтеры – принтеры, на которых можно печатать через сеть. Это могут быть довольно быстрые и мощные устройства, но так как их всего несколько на компанию, ими можно достаточно централизованно управлять.
Большинство принтеров можно присоединить к компьютеру через порт USB или LPT, но в локальных сетях предприятия удобнее использовать принтеры, подключаемые непосредственно к сети Ethernet по протоколу TCP/IP. Здесь мы рассмотрим простой пример, когда принтер, подключенный физически к какой-то машине, можно сделать общим.
Итак, предположим, принтер уже настроен и печатает с вашего локального компьютера. Если мы сделаем принтер общим, компьютер будет выступать в виде сервера печати – управлять многими документам, определять, кто может печатать на принтере, а кто нет, а также задавать приоритеты по печати (в любом случае, даже если принтер подключен непосредственно к локальной сети, он требует наличия сервера печати).
Для того, чтобы сделать принтер общим, откройте свойства принтера и во вкладке
«Доступ» (Sharing) включите общий доступ. Задайте имя для принтера, под которым пользователи будут к нему подключаться.
Во вкладке «Безопасность» (Security) можно задать разрешения на печать – ситуация очень похожа на общие папки. Это позволит избежать ненужного расхода бумаги, так как вы должны ограничить права на печать только для пользователей одного отдела, так как они обычно находятся в непосредственной близости друг от друга.
Для подключения к общему принтеру откройте через сеть компьютер, к которому он подсоединен помощью «Сетевого окружения» или набрав \\имя-компьютера. Выберите принтер, и щелкните «Подключиться» (Connect). Если прав на печать достаточно, в папке
«Принтеры» (Printers) появиться новый принтер, и вы сможете печатать на него так, как будто он для вас локальный.
Можно подключиться и по-другому: откройте «Принтеры», выберите «Добавить принтер» (Add new printer). В окне «Локальный или сетевой принтер» выберите «Сетевой принтер или принтер, подключенный к другому компьютеру»
На следующей странице укажите «Подключиться к принтеру или выполнить обзор принтеров», и, если точно известно имя принтера, введите его вместе с именем машины, к которой он подключен. Иначе, оставьте поле пустым и нажмите «Далее» (Next), что приведет к поиску принтеров в локальной сети.
Закончите установку принтера.
Достарыңызбен бөлісу: |