Dane ponad wszystko

Zadaniem systemów informatycznych jest przetwarzanie i dostarczanie informacji. Nawet w małych firmach zapewnienie ciągłego i nieograniczonego dostępu do danych jest bezwzględnie konieczne. Small Business Server 2003 zawiera mechanizmy, które chronią przed utratą ważne zasoby przedsiębiorstwa.

Zadaniem systemów informatycznych jest przetwarzanie i dostarczanie informacji. Nawet w małych firmach zapewnienie ciągłego i nieograniczonego dostępu do danych jest bezwzględnie konieczne. Small Business Server 2003 zawiera mechanizmy, które chronią przed utratą ważne zasoby przedsiębiorstwa.

Najważniejsze dla użytkowników systemu sieciowego jest nieprzerwane i bezpieczne korzystanie z zasobów serwera. SBS 2003 po zainstalowaniu i wstępnej konfiguracji jest już przygotowany do świadczenia podstawowych usług, ale przy odrobinie wiedzy i dobrej woli można wycisnąć z niego o wiele więcej.

Udostępnianie danych użytkownikom

Zakładanie nowego udziału sieciowego za pomocą kreatora to "bułka z masłem". Po wprowadzeniu kilku nieskomplikowanych parametrów udział jest dostępny dla wskazanych przez uprawnienia użytkowników systemu SBS 2003.

Zakładanie nowego udziału sieciowego za pomocą kreatora to "bułka z masłem". Po wprowadzeniu kilku nieskomplikowanych parametrów udział jest dostępny dla wskazanych przez uprawnienia użytkowników systemu SBS 2003.

W sieci pracującej pod kontrolą systemu SBS dokumenty są przechowywane w wielu rozproszonych miejscach - na komputerach użytkowników, serwerze oraz w bazach aplikacji SharePoint. Jednym z zadań administratora jest ujednolicenie i scentralizowanie zasobów sieciowych, a jednocześnie dbanie o należytą ochronę informacji. Najlepszym sposobem konfiguracji systemu SBS jest utworzenie przejrzystej i bezpiecznej struktury udziałów sieciowych. Udostępnienie umożliwia dotarcie do zasobów serwera z dowolnego punktu sieci. Udostępniane mogą być foldery zawierające aplikacje, dokumenty użytkowników, sterowniki itp.

Zakładanie nowego udziału sieciowego za pomocą kreatora to "bułka z masłem". Po wprowadzeniu kilku nieskomplikowanych parametrów udział jest dostępny dla wskazanych przez uprawnienia użytkowników systemu SBS 2003.

Zakładanie nowego udziału sieciowego za pomocą kreatora to "bułka z masłem". Po wprowadzeniu kilku nieskomplikowanych parametrów udział jest dostępny dla wskazanych przez uprawnienia użytkowników systemu SBS 2003.

Do konfiguracji udziałów sieciowych w systemie SBS 2003 przygotowano folder Udziały, umieszczony w sekcji Zarządzanie standardowe przystawki I Zarządzanie serwerem. Usytuowanie folderu w sekcji Zarządzanie standardowe jasno wskazuje, że konfiguracja udziałów nie jest skomplikowana. Głównym kreatorem folderu Udziały jest Kreator udostępniania folderu, uruchamiany kliknięciem polecenia Dodaj folder udostępniony. Pierwsze okno dialogowe informuje użytkownika o zadaniach, które będą realizowane w trakcie pracy kreatora. Po naciśnięciu Dalej rozpoczyna się tworzenie udziału. Najpierw należy określić ścieżkę do udostępnianego folderu. Kto lubi dużo pisać, może ją wprowadzić ręcznie, lepiej jednak skorzystać z przycisku Przeglądaj i nawigując po woluminach i katalogach, wskazać żądane miejsce. Jeśli folder nie został utworzony wcześniej, okno przeglądania dysków zawiera przycisk tworzenia nowego katalogu. Gdy wpisana ręcznie ścieżka nie będzie wskazywała istniejącego obiektu, kreator zaproponuje jego utworzenie.

Drugie okno kreatora służy do wprowadzenia nazwy, opisu oraz ustawień trybu offline. W pole Nazwa udziału należy wprowadzić czytelną definicję udostępnienia, tak by użytkownicy przeglądający zasoby sieci wiedzieli, co zawiera folder. Informacje poszerzające wiedzę klientów sieci o zawartości udostępnienia wprowadzamy w pole Opis. Klikając przycisk Zmień, możemy zmodyfikować parametry udostępnienia związane z folderami offline. Więcej informacji na ten temat zawiera część "Foldery offline" w dalszej części artykułu. Po kliknięciu Dalej przechodzimy do okna konfiguracji uprawnienia do udziału. Po nadaniu odpowiednich uprawnień kreator kończy działanie.

Jeśli uprawnienia proponowane przez kreator zakładania udziału są za mało precyzyjne, administrator systemu SBS 2003 może przypisać własne, dokładne prawa dostępu przez sieć dla poszczególnych grup zabezpieczeń. Do wyboru są trzy typy uprawnień: pełna kontrola, odczyt i zapis.

Jeśli uprawnienia proponowane przez kreator zakładania udziału są za mało precyzyjne, administrator systemu SBS 2003 może przypisać własne, dokładne prawa dostępu przez sieć dla poszczególnych grup zabezpieczeń. Do wyboru są trzy typy uprawnień: pełna kontrola, odczyt i zapis.

Aby serwer SBS bezpieczne udostępniał pliki, trzeba określić, którzy użytkownicy mają dostęp do danych oraz na jakim poziomie jest im oferowany. Służy do tego mechanizm określania uprawnień do udziałów. Okno Uprawnienia kreatora udostępniania folderów pozwala na uproszczone konfigurowanie dostępu do udziałów. Pierwsza opcja - Wszyscy użytkownicy mają dostęp tylko do odczytu - jest przeznaczona do udziałów gromadzących dane, które są niezmienne, takie jak pliki instalacyjne aplikacji lub sterowniki. Kolejna opcja - Administratorzy i operatorzy folderów mają pełny dostęp, inni użytkownicy mają tylko dostęp do odczytu - jest wykorzystywana wtedy, gdy dane będą modyfikowane. Członkowie wymienionych grup są uprawnieni do wprowadzania zmian w folderach, inni użytkownicy mogą jedynie odczytywać pliki. Następna opcja pozwala użytkownikom na modyfikowanie plików, ale nie na modyfikację przypisanych uprawnień. Ustawienia te stosuje się zwykle w udziałach przeznaczonych do współdzielenia informacji przez członków zespołów roboczych lub działów. Po wybraniu opcji Użyj niestandardowych uprawnień do udziału i folderu osoba zakładająca udostępnienie może ręcznie określić uprawnienia do udostępnień oraz do systemu plików NTFS. W tym celu należy nacisnąć przycisk Dostosuj.

Uprawnienia i modyfikacja uprawnień

Uprawnienia do systemu plików stanowią doskonałe uzupełnienie uprawnień do udziałów sieciowych. Pozwalają dokładnie określać, do jakich zasobów ma dostęp użytkownik podłączający się do serwera sieci SBS 2003. Efektywne jest uprawnienie bardziej restrykcyjne.

Uprawnienia do systemu plików stanowią doskonałe uzupełnienie uprawnień do udziałów sieciowych. Pozwalają dokładnie określać, do jakich zasobów ma dostęp użytkownik podłączający się do serwera sieci SBS 2003. Efektywne jest uprawnienie bardziej restrykcyjne.

Ostatnia opcja kreatora zakładania udziału pozwala na ręczne przypisywanie poziomu dostępu. Okno dostosowywania uprawnień zawiera dwie karty: Uprawnienia udziału i Zabezpieczenia. Uprawnienia udziału służą do określania dostępu przez sieć, natomiast karta Zabezpieczenia jest związana z uprawnieniami systemu plików NTFS. Przed modyfikacją dostępu trzeba bezwzględnie poznać sposób jego konfiguracji.

Przypisywanie uprawnień nowym użytkownikom następuje po kliknięciu przycisku Dodaj. W następnym oknie należy określić, któremu użytkownikowi lub grupie użytkowników będziemy przypisywać uprawnienia. W tym celu należy wpisać nazwę konta w pole Wprowadź nazwy obiektów do wybrania albo wyświetlić listę wszystkich dostępnych kont przez wybranie Zaawansowane | Znajdź teraz. Zaleca się przypisywanie uprawnień grupom, a nie indywidualnym użytkownikom sieci. Grupy powinny gromadzić konta pracowników pełniących zbliżone funkcje w firmie, np. marketing lub księgowość. Nawet w małych strukturach sieciowych typu SBS konfiguracja dostępu dla grup upraszcza zarządzanie.

Karta Access-based Enumeration. Gdy opcja Enable access-based Enumeration on this shared folder jest włączona, użytkownicy, którzy nie mają uprawnień do plików i folderów udostępnionych poprzez udział, po prostu ich nie widzą. Dzięki temu zarządzanie udziałami jest bardziej efektywne i bezpieczne.

Karta Access-based Enumeration. Gdy opcja Enable access-based Enumeration on this shared folder jest włączona, użytkownicy, którzy nie mają uprawnień do plików i folderów udostępnionych poprzez udział, po prostu ich nie widzą. Dzięki temu zarządzanie udziałami jest bardziej efektywne i bezpieczne.

Po dodaniu konta w dolnej części karty Zabezpieczenia określamy rodzaj dostępu. Przy poszczególnych uprawnieniach są dwa rodzaje pól: Zezwalaj i Odmów. Pole Odmów należy zaznaczać wtedy, gdy konto nie powinno mieć dostępu do zasobu, a należy do grupy, która ten dostęp ma. Aby łatwiej zrozumieć powyższą zależność, trzeba wiedzieć, jak system tworzy uprawnienia efektywne. Konto nie ma dostępu do danych wtedy, gdy nie jest wymienione bezpośrednio na liście kont oraz gdy na liście uprawnionych nie ma żadnej grupy, do której to konto należy. Jeśli użytkownik należy do grupy Użytkownicy domeny, a grupa ma przypisane uprawnienie do odczytu, użytkownik otrzymuje je automatycznie. W takim wypadku odmowa dostępu zadziała tylko wtedy, gdy ręcznie wskażemy konto użytkownika i zaznaczymy pole Odmów. Jest to możliwe, ponieważ odmowa dostępu jest zawsze ważniejsza od zezwolenia. Warto również pamiętać, że jeżeli użytkownik ma przypisane prawo bezpośrednio (np. do odczytu), a dodatkowo należy do grupy, która również ma przypisane uprawnienie (np. do zapisu), efektywnie może odczytywać i zapisywać dane, gdyż uprawnienia obu kont się łączą.

Właściwości woluminów chronionych kopią w tle. Włączenie usługi Kopia w tle to prosta operacja. Po naciśnięciu przycisku Włącz i OK udostępniane dane woluminu będą chronione. Kluczowym parametrem jest harmonogram wykonywania kopii. Jeśli użytkownicy często modyfikują dane, można zwiększyć częstotliwość archiwizacji. Należy pamiętać, że zwiększa to obciążenie systemu.

Właściwości woluminów chronionych kopią w tle. Włączenie usługi Kopia w tle to prosta operacja. Po naciśnięciu przycisku Włącz i OK udostępniane dane woluminu będą chronione. Kluczowym parametrem jest harmonogram wykonywania kopii. Jeśli użytkownicy często modyfikują dane, można zwiększyć częstotliwość archiwizacji. Należy pamiętać, że zwiększa to obciążenie systemu.

W wypadku uprawnień do udziału system pozwala na ustawienie następujących poziomów: Pełna kontrola, Zmiana i Odczyt. Wyjaśnień wymaga jedynie różnica między pełną kontrolą a zmianą. Zmiana umożliwia modyfikację plików i folderów, a pełna kontrola rozszerza możliwości o zmianę uprawnień. Lista standardowych uprawnień NTFS zawiera więcej opcji: pełna kontrola, modyfikacja, zapis i wykonanie, wyświetlanie zawartości folderu (tylko we właściwościach folderów), odczyt i zapis. Umieszczony w pakiecie SBS system Windows Server 2003 powiela błąd z poprzednich wersji: wśród uprawnień znajduje się zapis i wykonanie, natomiast efektywnie jest to odczyt i wykonanie.

Po podłączeniu się ("zalogowaniu się") do udziału sieciowego użytkownicy systemu SBS widzą pełną listę plików i folderów nawet wtedy, gdy nie mają uprawnień do odczytu pojedynczych obiektów umieszczonych w udziale. Po kliknięciu nieudostępnionego folderu lub pliku system wyświetli komunikat "Odmowa dostępu". Aby uprościć zarządzanie udziałami, Microsoft przygotował specjalny dodatek do systemu, który ukrywa przed użytkownikami nieudostępnione obiekty. Technologia wprowadzająca ograniczenia to Accessbased Enumeration. Klienci podłączający się do udziału będą widzieli wyłącznie te pliki i foldery, do których są uprawnieni. Instalacja dodatku jest wyjątkowo prosta. W pierwszej kolejności należy pobrać z witryny Microsoftu pakiet instalacyjny. Po wpisaniu w pole Search: download ABEUI.MSI zostanie wyświetlony odnośnik do strony, z której można pobrać program instalacyjny. Instalacja pakietu polega na zaakceptowaniu umowy licencyjnej i określeniu lokalizacji programu na dysku. W ostatnim oknie kreatora należy określić, czy ukrywanie zabronionych obiektów ma zostać włączone automatycznie we wszystkich udziałach sieciowych serwera SBS, czy administrator ręcznie wskaże chronione udziały. Po zainstalowaniu pakietu we właściwościach każdego udziału będzie widoczna karta Accessbased Enumeration. Zaznaczenie opcji Enable access-based enumeration on this shared folder włączy ukrywanie zasobów udziału.

Kopie w tle

Konfiguracja parametrów Kopii w tle. Na okresową archiwizację danych system domyślnie przeznacza 10 procent wielkości woluminu. W wypadku dużej liczby dokumentów należy zwiększyć tę wartość. Na jednej partycji można wykonać 64 kopie.

Konfiguracja parametrów Kopii w tle. Na okresową archiwizację danych system domyślnie przeznacza 10 procent wielkości woluminu. W wypadku dużej liczby dokumentów należy zwiększyć tę wartość. Na jednej partycji można wykonać 64 kopie.

Jedną z interesujących nowości systemu Windows Server 2003 jest możliwość ochrony plików za pomocą tzw. kopiowania w tle. Zadaniem tej usługi jest zabezpieczanie dokumentów przed działaniem "czynnika ludzkiego". Gdy użytkownik przypadkowo usunie ważny plik, administratorowi pozostaje odzyskać dokument z kopii zapasowej. Jeżeli jej nie ma, dokument jest bezpowrotnie tracony.

Usługa polega na okresowym tworzeniu kopii udostępnianych zasobów serwera. Mogą z niej korzystać pracownicy, których dane - np. foldery macierzyste lub zawartość przekierowanego na serwer folderu Moje dokumenty - są przechowywane na serwerze SBS 2003 i udostępniane klientom poprzez udziały. Utrzymywanie kopii umożliwia odzyskanie danych na wypadek przypadkowego usunięcia pliku lub zastąpienia go nieaktualną wersją. Ponadto usługa umożliwia porównanie dwóch wersji plików. Ponieważ tryb kopiowania w tle użytkownik aktywuje we właściwościach woluminu, dlatego nie można wskazać, który z udziałów ma zostać zabezpieczony. Chronione są wszystkie udostępniane dane na partycji.

Konfiguracja usługi Kopia w tle jest dość prosta. Najpierw należy uruchomić Eksplorator Windows i zaznaczyć dysk, na którym chcemy chronić dokumenty. Następnie wybieramy kolejno Plik | Właściwości | Właściwości woluminu i klikamy kartę Kopia w tle. Okno konfiguracji usługi zostało podzielone na dwie części: w pierwszej wyświetlane są atrybuty woluminów systemu, w drugiej - informacje związane z wykonywaniem kopii na zaznaczonej partycji. Włączenie kopiowania polega na zaznaczeniu partycji i naciśnięciu przycisku Włącz. Następnie trzeba określić parametry wykonywania kopii w tle. W tym celu wybieramy przycisk Ustawienia. Konfiguracja kopii w tle obejmuje dwa parametry. Pierwszy dotyczy przestrzeni dyskowej przeznaczonej na zapisywanie danych potrzebnych do odzyskiwania plików. Domyślnie system ustawia 10 procent rozmiaru partycji. Jeśli wolumin ma dużą pojemność, rozmiar można zmniejszyć. Gdy kopie przekroczą graniczną pojemność woluminu, najstarsze dane zostaną zastąpione nowymi wpisami. Niezależnie od ustawionego rozmiaru system może sporządzić maksymalnie 64 kopie w tle, 65 kopia zastąpi pierwszą.


Zobacz również