Współdzielenie zasobów

Najbardziej oczywistą przewagą sieci z serwerem nad sieciami równorzędnymi jest dostępna dla wszystkich możliwość korzystania z podłączonych do serwera urządzeń, globalnego zarządzania prawami dostępu, a także scentralizowanego i bezpiecznego przechowywania danych.

Najbardziej oczywistą przewagą sieci z serwerem nad sieciami równorzędnymi jest dostępna dla wszystkich możliwość korzystania z podłączonych do serwera urządzeń, globalnego zarządzania prawami dostępu, a także scentralizowanego i bezpiecznego przechowywania danych.

Pierwsze współdzielone zasoby zostały udostępnione użytkownikom zaraz po instalacji systemu, w trakcie wykonywania kolejnych zadań administracyjnych z Listy zadań do wykonania. Użytkownicy otrzymali wtedy możliwość współdzielenia połączenia internetowego, a nieco później również zainstalowanej właśnie drukarki. Z kolei podczas tworzenia kont użytkowników założony został dla nich specjalny katalog na serwerze, zwany folderem macierzystym. Użytkownikom zostały nadane także, wynikające z zastosowanego szablonu, prawa dostępu do firmowej witryny SharePoint.

Dane na dyskach

Sensowny system kontroli dostępu do plików i folderów da się zrealizować praktycznie dopiero wtedy, gdy do przechowywania danych wykorzystujemy system plików NTFS. W przeciwieństwie do systemów FAT umożliwia bowiem nadawanie użytkownikom uprawnień do określonych plików lub katalogów. Obiekty w systemie NTFS, czyli np. pliki lub foldery, mają skojarzone ze sobą listy kontroli dostępu, określane w skrócie jako ACL (Access Control List). Listy te zawierają nazwy użytkowników lub grup oraz przypisane im uprawnienia. Konfigurację uprawnień do danego folderu lub pliku przeprowadza się na karcie Zabezpieczenia we właściwościach wybranego obiektu. Skonfigurowane w ten sposób zasady dostępu mają zastosowanie do użytkowników zalogowanych w lokalnym systemie i bezpośrednio obsługujących dany komputer lub np. logujących się zdalnie za pomocą usługi zdalnego pulpitu.

Rys. 1. Karta Zabezpieczenia służy do nadawania użytkownikom uprawnień do plików lub katalogów.

Rys. 1. Karta Zabezpieczenia służy do nadawania użytkownikom uprawnień do plików lub katalogów.

Uprawnienia dostępne na karcie Zabezpieczenia to w rzeczywistości nazwy zestawów uprawnień głębszego poziomu, tzw. uprawnień specjalnych, których jest, po pierwsze, więcej, a po drugie, umożliwiają bardziej precyzyjną kontrolę. Wśród uprawnień, nazwijmy je podstawowych, znajdziemy Pełna kontrola, Modyfikacja, Zapis i wykonanie (właściwie powinno być Odczyt i wykonanie, ponieważ w oryginalnej wersji mamy Read and Execute), Wyświetlanie zawartości folderu, Odczyt, Zapis i Uprawnienia specjalne. Ostatnia opcja określa, czy zastosowano bardziej precyzyjną kontrolę dostępu do danego obiektu. Aby zmienić uprawnienia specjalne do obiektu, należy kliknąć Zaawansowane, wybrać z listy użytkownika lub grupę i kliknąć Edytuj. Korzystanie z zaawansowanych zabezpieczeń jest przydatne zwłaszcza wtedy, gdy musimy nadać użytkownikom bardzo specyficzne lub szczególnie restrykcyjne uprawnienia. Na przykład nadanie użytkownikowi KPuchatek uprawnień specjalnych jak na rysunku 2, spowoduje, że będzie mógł przeglądać zawartość folderu Dane oraz tworzyć nowe pliki i foldery. Będzie również mógł otwierać pliki (odczytywać ich zawartość) oraz je usuwać, ale tylko w przypadku, gdy będą to pliki utworzone przez niego. Nie wolno mu będzie natomiast odczytać ani usunąć pliku utworzonego przez innego użytkownika. Taka konfiguracja może się okazać przydatna na przykład przy udostępnianiu publicznego folderu, poprzez który zewnętrzni użytkownicy będą dostarczali materiały do firmy.

Rys. 2. Przykładowa konfiguracja uprawnień specjalnych do folderu udostępnionego użytkownikom zewnętrznym.

Rys. 2. Przykładowa konfiguracja uprawnień specjalnych do folderu udostępnionego użytkownikom zewnętrznym.

Uprawnienia NTFS są zorganizowane w strukturę drzewa, w której domyślnie obiekty podrzędne dziedziczą ustawienia po obiektach nadrzędnych. Mechanizmem tym steruje opcja Zezwalaj na propagowanie dziedziczonych uprawnień w oknie Zaawansowane ustawienia zabezpieczeń (które pojawia się po kliknięciu opcji Zaawansowane na karcie Zabezpieczenia). Jeżeli jest włączona, to każdy kolejny folder lub plik utworzony w bieżącym folderze (którego właściwości edytujemy), przejmie te ustawienia, które bieżący folder otrzymał od folderu nadrzędnego oraz wszystkie nowe, które zostały zdefiniowane tylko dla bieżącego folderu.

Gdy wyłączymy tę opcję dla folderu, który dotychczas dziedziczył ustawienia uprawnień, system zapyta, czy chcemy skopiować zestaw zasad, który aktualnie wynika z dziedziczenia. Jeżeli chcemy modyfikować dotychczasowe uprawnienia, to powinniśmy skopiować uprawnienia. W przeciwnym razie wszystkie zasady dostępu będziemy musieli tworzyć od nowa. Druga opcja, Zamień wpisy uprawnienia na wszystkich obiektach podrzędnych, pozwala globalnie zmienić uprawnienia do wszystkich plików i podkatalogów folderu bieżącego.

Ponieważ użytkownik może należeć do więcej niż jednej grupy, zdarza się, że jednej grupie nadano prawa zapisu i odczytu w konkretnym folderze, podczas gdy drugiej grupie nadano jedynie prawo odczytu. W efekcie użytkownik należący do obu grup będzie miał do danego folderu jedynie prawo odczytu. Podczas obliczenia tzw. efektywnych uprawnień w pierwszej kolejności brane są pod uwagę wszystkie ograniczenia, zatem wynikowe uprawnienia są najbardziej restrykcyjną kombinacją uprawnień nadanych różnym grupom.

Rys. 3. Centralne zarządzanie wszystkimi udostępnionymi folderami.

Rys. 3. Centralne zarządzanie wszystkimi udostępnionymi folderami.

Sytuacja wygląda podobnie w przypadku dostępu do danych poprzez udziały sieciowe, które mają własny zestaw uprawnień. Przy określaniu praw dostępu brane są pod uwagę zarówno uprawnienia do udziału (dostępne wartości to Pełna kontrola, Zmiana oraz Odczyt), jak i uprawnienia NTFS do folderu. Dostęp do udziału zostanie przyznany użytkownikowi tylko wtedy, gdy oba zestawy uprawnień na to pozwolą. Uprawnienia danego udziału stosowane są do wszystkich jego plików i podkatalogów - przeciwnie niż uprawnienia NTFS, które można edytować na dowolnym poziomie hierarchii. Dlatego do bardziej szczegółowej kontroli dostępu stosuje się uprawnienia do udziałów wspólnie z uprawnieniami NTFS.

Wygodnym narzędziem do zarządzania udostępnionymi folderami jest konsola Zarządzanie serwerem. Po zaznaczeniu pozycji Udziały (lokalne) w folderze Zarządzanie standardowe, zobaczymy listę folderów na serwerze, które zostały udostępnione. Opcja Dodaj folder udostępniony uruchamia kreatora, który tworzy nowy folder, uaktywnia udział i nadaje predefiniowane, standardowe zestawy uprawnień. Cały czas jest też możliwa bezpośrednia edycja zaawansowanych ustawień.

Rys. 4. Foldery Moje dokumenty możemy przekierować również na dodatkowy serwer, który np. często wykonuje kopię zapasową.

Rys. 4. Foldery Moje dokumenty możemy przekierować również na dodatkowy serwer, który np. często wykonuje kopię zapasową.

Domyślnym miejscem przechowywania danych użytkowników jest lokalny folder Moje dokumenty. Dobrze by jednak było, żeby dokumenty te były dostępne z każdego komputera, przy którym użytkownik może pracować. Oprócz oczywistego rozwiązania, jakim jest zapisywanie danych na serwerze, można wykorzystać funkcję przekierowania folderu Moje dokumenty do folderu użytkownika na serwerze. W ten sposób z punktu widzenia aplikacji zapisującej dokument folder Moje dokumenty będzie zwykłym folderem lokalnym, a jednocześnie na wszystkich komputerach będzie dostępna jego aktualna wersja. Folder Moje dokumenty domyślnie przekierowywany jest do katalogu macierzystego dostępnego poprzez udział Users, ale można podać dowolną ścieżkę sieciową, niekoniecznie na serwerze.

Uprawnienia do plików i folderów

Pełna kontrola - umożliwia wykonywanie operacji wynikających ze wszystkich pozostałych uprawnień, a dodatkowo pozwala usuwać pliki i podkatalogi w danym folderze, zmieniać uprawnienia i przejmować pliki lub foldery na własność.

Modyfikacja - użytkownik może wykonywać wszystkie możliwe operacje oprócz dostępnych jako dodatkowe w przypadku pełnej kontroli, a więc bez usuwania plików i podkatalogów oraz bez zmiany uprawnień i przejmowania na własność.

Odczyt i wykonanie - składa się na nie możliwość wyświetlania zawartości folderu, odczytywanie danych, uprawnień, synchronizowanie, uruchamianie programów i przechodzenie przez folder. To ostatnie uprawnienie specjalne stosuje się wówczas, gdy użytkownik musi przejść przez szereg folderów nadrzędnych, aby dostać się do określonego pliku. Działanie tej funkcji zależy od ustawień zasad grup.

Wyświetlenie zawartości folderu - praktycznie to samo, co Odczyt i wykonanie, ale w odniesieniu do folderów. W przypadku plików nie pojawia się na liście uprawnień.

Odczyt - odczytywanie danych z plików, odczytywanie atrybutów i atrybutów rozszerzonych wykorzystywanych przez aplikacje oraz wyświetlanie zawartości folderów bez możliwości uruchamiania programów.

Zapis - tworzenie plików i folderów, zapis danych i modyfikacja plików, zapis atrybutów i atrybutów rozszerzonych.

Uprawnienia do udziałów sieciowych

Odczyt - domyślne uprawnienie nadawane wszystkim w momencie tworzenia udziału sieciowego. Pozwala przeglądać foldery, odczytywać pliki i uruchamiać programy.

Zmiana - przyznaje użytkownikowi uprawnienia odczytu oraz możliwość tworzenia plików i podkatalogów, zapisywania danych w plikach oraz usuwania plików i podkatalogów.

Pełna kontrola - uprawnienie automatycznie przyznawane użytkownikom z grupy Administratorzy na komputerze lokalnym. Oprócz wykonywania operacji wynikających z uprawnień Odczyt i Zmiana, użytkownik może też zmieniać uprawnienia - oczywiście tylko w przypadku, gdy udostępniony folder znajduje się na partycji NTFS.


Zobacz również