Что такое общие папки
Общие папки предоставляют пользователям централизованный доступ к файлам сети. После того как папку сделали общей, по умолчанию все пользователи могут подключиться к ней и тем самым получить доступ к ее файлам.
Права доступа к общему ресурсу позволяют управлять работой пользователей и групп с содержимым общих папок. Например, если Вы хотите разрешить пользователю только просматривать информацию в папке, можно присвоить его учетной записи (или группе, в которую входит этот пользователь) право доступа Read (Чтение). Чтобы позволить пользователю изменять файлы общей папки и добавлять в нее новые файлы, присвойте ему право доступа Change (Изменение).
В окнах Проводника (Windows NT Explorer) и My Computer (Мой компьютер) значок общей папки отмечен изображением руки.
Примечание По умолчанию встроенной группе Everyone (Все) присваивается право доступа Full Control (Полный контроль) ко всем общим папкам.
Для чего нужны общие папки
Общие папки — это метод организации доступа пользователей к различным ресурсам сети: приложениям, данным, а также к домашним каталогам пользователей.
Общие папки приложений обеспечивают возможность централизованного администрирования, конфигурирования и модернизации приложений. Этот метод позволяет избавиться от трудоемкого сопровождения программных продуктов на компьютерах-клиентах.
Общие папки данных — это единое хранилище, где пользователи могут держать общие данные и работать с ними.
Домашние каталоги — отличный способ для пользователей централизованно хранить свои файлы. Размещение домашних каталогов на сетевом сервере обеспечивает возможность централизованного сопровождения и резервного копирования данных пользователей.
Примечание Для папок, расположенных на томе файловой системы FAT, права доступа к общим ресурсам — единственный метод защиты. Если же папки размещены на томе файловой системы NT (NTFS), можно обеспечить дополнительную защиту папок средствами разрешений NTFS. Они подробно обсуждаются в главе 6, «Защита сетевых ресурсов средствами NTFS».
Домашние каталоги
Чтобы создать домашние каталоги для пользователей компьютеров с файловой системой FAT, необходимо прежде всего создать структуру домашних каталогов на сервере. Имейте в виду, что для томов FAT предоставление домашних каталогов в общее пользование с установкой соответствующих прав доступа к сетевым ресурсам единственный метод защиты.
Создавая домашние каталоги на томе файловой системы FAT, придерживайтесь следующих правил.
Создайте основную папку домашних каталогов — например, «Пользователи» (Users) — на томе, не содержащем операционную систему и приложения.
Это упрощает резервное копирование и, кроме того, при переформатировании раздела операционной системы домашние каталоги не будут затронуты.
В папке «Пользователи» создайте вложенные папки для всех учетных записей. Имя папки домашнего каталога должно совпадать с учетным именем пользователя. Например, домашний каталог учетной записи АндрейК должен называться «Андрей К».
Примечание На томах FAT домашний каталог пользователя должен быть создан и предоставлен в общее пользование до того, как путь к домашнему каталогу будет указан на соответствующей вкладке программы User Manager for Domains (Диспетчер пользователей доменов).
Предоставьте каждую из созданных папок в общее пользование, присвоив право доступа Full control (Полный контроль) к этой папке только владельцам соответствующей учетной записи. Этот метод обеспечивает конфиденциальность данных пользователя, поскольку только он (или она) может подключиться к папке домашнего каталога. Еще раз напомним, что это — единственный метод ограничения доступа к папкам на томах файловой системы FAT.
С помощью программы User Manager for Domains (Диспетчер пользователей доменов) занесите в учетные записи пользователей сведения о созданных домашних каталогах.
Предоставьте право доступа к папке верхнего уровня («Пользователи») только группе Administrators (Администраторы).
Администрирование домашних каталогов можно, кроме того, выполнять локально (зарегистрировавшись на сервере в качестве администратора) или с помощью сетевых ресурсов административного назначения (С$, D$ и т.д.).
Примечание Создание домашних каталогов на томах файловой системы NTFS обсуждается в главе 6, «Защита сетевых ресурсов средствами NTFS».
> Планирование общих папок
Предположим, компания «Разноимпорт» открыла первый офис в Стамбуле. Вам — администратору сети компании — надо спланировать общие ресурсы на серверах нового офиса и предоставить их в распоряжение пользователей сети филиала в соответствие с их потребностями. Схема Ваших действий такова:
выясните, какие папки необходимо предоставить в общее пользование, и подберите им сетевые имена;
решите, следует ли создать локальную группу для доступа к каждому из ресурсов или воспользоваться одной из встроенных групп;
выберите соответствующие права доступа для членов локальной группы.
ответ
Запишите принятые решения в «Шаблон плана создания общих папок», расположенный в конце этого занятия.
Выполнив упражнение, сравните свой шаблон с образцом, который Вы найдете в приложении «Шаблоны планирования» настоящего курса. Имейте в виду, что в образце приведен лишь один из возможных вариантов — Вы вполне могли спланировать общие папки иначе. Чтобы заполнить «Шаблон плана создания общих папок», надо выполнить следующие действия.
Придумайте имя для общей папки и запишите его в графе «Имя папки».
Для каждой общей папки в графе «UNC-имя» запишите имя сервера и имя общего ресурса в формате универсального соглашения об именах (Universal Naming Convention, UNC). Вот пример имени в формате UNC: \\имя_сервера\\сетевое_имя.
Выберите локальную группу для каждой общей папки и запишите ее название в графе «Локальная группа». Для некоторых общих ресурсов можно воспользоваться перечисленными ниже встроенными локальными группами.
В графе «Члены» перечислите учетные записи всех пользователей, нуждающихся в доступе к общим папкам, которые будут занесены в локальные группы. Учетные записи групп пользователей из офиса Вашей компании в Стамбуле перечислены в приведенной ниже таблице.
Выберите права доступа для каждой локальной группы. Запишите их в графе «Права доступа к общему ресурсу» (например. Change, Read, Full control или No Access).
Разработать план Вам помогут изображенные ниже структура сети Стамбульского отделения (главный и резервный контроллеры домена и сервер) и структура папок на каждом из компьютеров сети офиса.
Принимая решения, имейте в виду следующие соображения.
Все сотрудники пользуются приложениями для работы с электронными таблицами, базами данных и документами. Администраторы должны иметь возможность администрирования всех папок.
Менеджерам необходимо обмениваться файлами программного обеспечения управления проектами. Администраторы должны иметь возможность администрирования этих данных.
Отделу кадров и бухгалтерии необходимо сетевое хранилище для рабочих файлов. Каждый отдел будет решать административные задачи в отношении этих данных самостоятельно. Руководители должны иметь возможность просмотра рабочих материалов.
Руководителям и менеджерам нужно сетевое хранилище для форм отчетов о работе персонала. К этим формам необходимо обеспечить доступ всем сотрудникам. Администрирование форм возлагается на администраторов.
Пользователям Пользователь1, Пользователь2, ПользовательЗ необходимы домашние каталоги. Они должны быть доступны только их владельцам. Администрирование домашних каталогов возлагается на администраторов.
Примечание Сетевые имена должны быть доступны клиентам, работающим под управлением Microsoft Windows NT, Microsoft Windows 95 и операционных систем других поставщиков.
Как назначать права доступа
Присваивая пользователям и группам права доступа к общим папкам, руководствуйтесь приведенными ниже рекомендациями.
Выделите группы, нуждающиеся в доступе к общим папкам, и определите необходимые им типы доступа. Например, группе Отдел продаж может требоваться доступ с правом Change (Изменение) к папке «Данные отдела продаж» группе Administrators (Администраторы) — право доступа Full control (Полный контроль), а группе Руководители — Read (Чтение).
Для каждого общего ресурса создайте на соответствующем компьютере локальную группу. Если ресурс находится на сервере или рабочей станции под управлением Windows NT Workstation, локальную группу нужно создавать именно на этом компьютере; а если ресурс размещен на контроллере домена, это можно сделать на любом компьютере, где можно запустить User Manager for Domains (Диспетчер пользователей доменов).
Предоставляйте права доступа к ресурсу только тем группам, которые действительно нуждаются в доступе.
Выбирайте максимально строгие права доступа (однако не забудьте, что они все же должны обеспечивать требуемый доступ к ресурсу). Например, если пользователям требуется только просматривать, но не создавать или удалять файлы в папке, присвойте им право доступа Read (Чтение).
Для обеспечения максимального уровня защиты лишите встроенную группу Everyone (Все) права доступа Full control (Полный контроль). Дело в том, что в эту группу входят не только все авторизованные пользователи сети, но и все зарегистрировавшиеся по учетной записи Guest (Гость).
Как применяются права доступа
Права доступа к общим папкам можно присвоить как непосредственно учетной записи пользователя, так и группе, членом которой он является. Пользователь, состоящий в нескольких группах, которым присвоены разные права доступа к общей папке, приобретает все эти права [если среди них нет права No access (Доступ запрещен)].
Для прав доступа действуют два правила.
Если права доступа к некоторой общей папке присвоены как учетной записи пользователя, так и группе, в которую он входит, фактические права доступа пользователя представляют собой наименее ограничивающую комбинацию прав доступа учетной записи и групп.
Право No access (Доступ запрещен) имеет наивысший приоритет и отменяет все остальные права доступа, присвоенные учетной записи пользователя и всем группам, членом которых он является. Присвоенное, это право всегда становится фактическим правом доступа'.
Множественные права
Предположим, пользователю Пользователь1 предоставлено право доступа Full control (Полный контроль) к общей папке «Общая» (Public). Как Вы уже знаете, это право — наименее строгое. Пусть, кроме того, этот пользователь входит в состав группы Everyone (Все), которой присвоено другое право доступа— Read (Чтение). Фактические права доступа пользователя Пользователь1 — это наименее строгая из возможных комбинаций прав доступа учетной записи пользователя и группы, то есть Full control (Полный контроль), так как право Full control включает права доступа Read и Change.
Модификация общих папок
Все параметры общей папки можно изменить в диалоговом окне имя_папки Properties (Свойства имя_папки).
В приведенной ниже таблице перечислено, что нужно сделать, чтобы прекратить совместное использование папки, изменить ее сетевое имя или права доступа к ней.
Операция
Необходимые действия
Прекращение совместного использования папки
Установите переключатель в положение Not Shared (He используется) и щелкните кнопку ОК. Если Вы прекратите совместное использование папки, когда с ней работает пользователь, он может потерять данные в открытых файлах. Если к общей папке подключены пользователи. Вы увидите на экране соответствующее предупреждение
Изменение сетевого имени общей папки
Установите переключатель в положение Not Shared (He используется), чтобы прекратить работу с общей папкой, и щелкните кнопку Apply (Применить). После этого установите переключатель в положение Shared As (Общий ресурс) и наберите новое сетевое имя в поле Share Name (Сетевое имя)
Изменение права доступа
Щелкните вкладку Permissions (Права доступа) и в окне Access Through Share Permissions (Права доступа к общему ресурсу) выберите учетную запись, права доступа к которой Вы хотите изменить. В поле Type of Access (Тип доступа) выберите из списка нужные права доступа и щелкните кнопку ОК
Назначение прав доступа к сетевому ресурсу
После того как Вы присвоили общему ресурсу сетевое имя, необходимо перечислить пользователей, которые получат доступ к ресурсу. Для этого назначьте права доступа выбранным пользователям и группам. По умолчанию встроенной группе Everyone (Все) присваивается право доступа Full Соntrol (Полный контроль) к новому ресурсу, однако для большинства общих папок режим по умолчанию лучше отменить и присвоить необходимые права соответствующим пользователям и группам.
Если Вы хотите назначить права доступа для пользователя или группы из другого домена:
между Вашим и чужим доменами установите доверительные отношения. Чтобы проверить их наличие, выйдите из системы и нажмите комбинацию клавиш CTRL, ALT, DELETE. Домены, с которыми у Вас установлены доверительные отношения, перечислены в списке доменов в поле Domain (Домен) окна регистрации;
чтобы разрешить группе Administrators (Администраторы) решение административных задач в других доменах, добавьте глобальную группу Domain Admins (Администраторы домена) в локальную группу Administrators (Администраторы) того компьютера, администрирование которого Вы хотите разрешить.
> Просмотр прав доступа к общей папке Apps
В Windows NT Explorer (Проводник) щелкните правой кнопкой мыши папку LabFiles\Apps и в появившемся меню выберите пункт Sharing (Доступ).
На экране появится окно Apps Properties (Свойства папки Apps).
Щелкните вкладку Permissions (Права доступа).
На экране появится окно Access Through Share Permissions (Права доступа к общему ресурсу).
Каковы по умолчанию права доступа к общей папке Apps?
ответ
> Удаление прав доступа группы
Убедитесь, что в списке Names (Имена) диалогового окна Access Through Share Permissions (Права доступа к общему ресурсу) выбрана строка Everyone, и щелкните кнопку Remove (Удалить).
Строка будет удалена из списка учетных записей, имеющих право доступа к обшей папке.
> Назначение права доступа Full Control группе Administrators
В диалоговом окне Access Through Share Permissions (Права доступа к общему ресурсу) щелкните кнопку Add (Добавить).
На экране появится окно Add Users and Groups (Добавить пользователя или группу).
к списку имена пользователей других
Примечание В многодоменной сети с помощью стрелки List Names From (Показывать имена из...) можно добавлять к списку имена пользователей других доменов.
В списке Names (Имена) выберите строку Administrators и щелкните кнопку Add (Добавить).
Обратите внимание на список Add Names (Добавить имена): в нем появилась строка домен\Administrators. Компонент домен указывает на местонахождение базы данных каталогов домена, в которой зарегистрирована группа.
В поле Type of Access (Тип доступа) выберите из списка пункт Full Control и щелкните кнопку ОК.
На экране снова появится окно Access Through Share Permissions (Права доступа к общему ресурсу). Обратите внимание, что теперь группа Administrators (Администраторы) имеет право доступа Full Control (Полный контроль) к общей папке.
> Назначение права доступа Read группе Users
В диалоговом окне Access Through Share Permissions (Права доступа к общему ресурсу) щелкните кнопку Add (Добавить).
В списке Names (Имена) выберите строку Users и щелкните кнопку Add (Добавить).
В списке Add Names (Добавить имена) появляется строка домен\Users.
В поле Type of Access (Тип доступа) выберите из списка пункт Read и щелкните кнопку ОК.
Щелкните кнопку ОК, чтобы вернуться в окно Apps Properties (Свойства папки Apps), а затем щелкните кнопку ОК, чтобы вернуться в окно Проводника.
> Проверка прав доступа с помощью запуска приложения
Выйдите из системы и зарегистрируйтесь по учетной записи SalesRep5 (Topговый представитель).
Щелкните кнопку Start (Пуск), а затем — команду Run (Выполнить).
В окне Open (Открыть) наберите \\имя_компьютера\аррs (имя_компьютера — имя Вашего компьютера) и щелкните кнопку ОК.
На экране появится окно Apps on имя_компьютера (Папка Apps на имя_компьютера).
Откройте папку Games и дважды щелкните программу Kolumz.exe, чтобы запустить ее.
Удалось ли Вам запустить программу? Почему?
ответ
Закройте программу Kolumz.exe.
> Проверка прав доступа к обшей папке
В окне папки Games удалите файл Kolumz.exe. Удалось ли Вам удалить файл? Почему?
ответ
Закройте Проводник и выйдите из системы.
Область применения прав доступа к общим папкам
Права доступа к общим папкам действуют лишь при подключении пользователя по сети. Они никак не ограничивают локальный доступ к папке.
На компьютерах под управлением Windows NT Server, где пользователи, как правило, лишены привилегии Logon locally (Локальная регистрация), это не составляет проблемы. Однако на компьютерах под управлением Windows NT Workstation, где эта привилегия автоматически присваивается всем пользователям, назначение прав доступа к общим папкам не обеспечивает защиты.
Данные, расположенные на томе файловой системы NTFS, можно защитить с помощью разрешений NTFS.
Общедоступные данные
В папках общедоступных данных, как правило, хранят файлы, которые сотрудники только просматривают, например информацию о премиях или бланки отчета о расходах.
Создавая папки для общедоступных данных, придерживайтесь следующих правил.
Предоставьте группе, которая готовит информацию, и группе Administrators (Администраторы) право доступа Full control (Полный контроль) к папкам общедоступных данных. Группе Administrators (Администраторы) эти права необходимы для выполнения административных работ.
Предоставьте право доступа Read (Чтение) к этим папкам всем пользователям, которым необходим доступ к информации.
Общие папки административного назначения
Windows NT поддерживает механизм общих папок административного назначения, которые обеспечивают доступ к корневому каталогу тома. Последний автоматически предоставляется в общее пользование, причем сетевое имя такого дискового ресурса состоит из символа устройства, за которым следует знак доллара, например С$, D$ и т.д. Знак доллара сообщает операционной системе, что этот ресурс не следует показывать пользователям, просматривающим список общих ресурсов компьютера. Подключившись к такому ресурсу, Вы приобретете доступ ко всему тому. Общие папки административного назначения позволяют подключиться к тому для решения административных задач.
Примечание На компьютерах под управлением Windows NT системная папка (%systemroot%) также предоставляется в общее пользование под сетевым именем Admin$. Эта общая папка необходима системе при выполнении удаленного администрирования.
Каковы фактические права доступа пользователя
Стр. 159
Каковы фактические права доступа пользователя Пользователь 1 к общей папке «Папка А» в примере А?
Full Control (Полный контроль). Дело в том, что Пользователь1 входит в состав групп Группа2, которая имеет право доступа Read (Чтение), ГруппаЗ с правом доступа Change (Изменение), и Группа4 с правом доступа Full control (Полный контроль). Последнее включает в себя права Read и Change, поэтому именно оно будет фактическим правом доступа. Обратите внимание на то, что, хотя группа Группа1 не имеет прав доступа к этой папке, папка доступна пользователю из-за его членства в других группах.
Стр. 159
Каковы фактические права доступа пользователя Пользователь1 к общей папке «Папка Б» в примере Б?
No access (Доступ запрещен), так как учетной записи Пользователь1 присвоено именно это право, имеющее приоритет перед всеми остальными.
Стр. 167
Планирование общих папок
Приведем пример из шаблона планирования (приложение «Шаблоны планирования»).
Создайте локальную группу для каждого ресурса, доступ к которому будет ограничен определенным кругом пользователей.
Если Вы хотите предоставить доступ к ресурсу всем пользователям, предоставьте права доступа группе Users (Пользователи). В доменной модели сети эта группа содержит учетные записи всех пользователей домена. В модели рабочей группы в нее входят все локальные учетные записи компьютера, на котором находится общая папка.
Предоставьте группе Administrators (Администраторы) право доступа Full control ко всем папкам, администрирование которых возложено на эту группу.
Предоставьте право доступа Change всем локальным группам, которые должны добавлять, удалять и изменять рабочие файлы.
Предоставьте право доступа Read всем локальным группам, которым достаточно просмотра и чтения рабочих файлов (например, форм отчетов о работе).
Стр.176 > Просмотр прав доступа к общей папке Apps
Каковы по умолчанию права доступа к общей папке Apps?
По умолчанию группа Everyone (Все) имеет право доступа Full Control (Полный контроль).
Стр. 177 > Проверка прав доступа с помощью запуска приложения
Удалось ли Вам запустить программу? Почему?
Да, так как пользователь SalesRep5 входит в группу Users (Пользователи), которая имеет право доступа Read (Чтение) к папке Apps.
Стр. 177 > Проверка прав доступа к общей папке
Удалось ли Вам удалить файл? Почему?
Нет, так как пользователь SalesRep5 имеет право доступа Read (Чтение) к папке Apps, а оно не позволяет удалять файлы.
Packet5-
Глава 5. Защита сетевых ресурсов с помощью прав доступа
В этой главе
Общие папки обеспечивают централизованный доступ пользователей к сетевым ресурсам. В этой главе Вы узнаете, как предоставить папку в общее пользование и назначить пользователям и группам права доступа к ней. Выполняя упражнения этой главы, Вы приобретете практические навыки планирования общего доступа к папкам и их защиты с помощью прав доступа.
Прежде всего
Прежде чем приступить к изучению занятий этой главы, необходимо:
выполнить процедуры установки, описанные в разделе «Об этой книге»;
изучить главу 3, «Создание учетных записей групп»;
создать учетную запись пользователя SalesRep5 (Торговый представитель); для этого зарегистрируйтесь в системе по учетной записи Administrator, с помощью Проводника Windows NT Explorer откройте папку LabFiles — ее Вы найдете на компакт-диске курса — и дважды щелкните файл Chapter5.cmd.
Занятие 1. Основные понятия
Занятие 2. Планирование общих папок
Занятие 3. Организация общего доступа к папкам
Занятие 4. Подключение к общим папкам
Рекомендации
Закрепление материала
Организуйте дисковые ресурсы так, чтобы
Рекомендации
Организуйте дисковые ресурсы так, чтобы папки с одинаковыми требованиями к защите располагались на одной ступени иерархии. Это упростит администрирование общих папок за счет назначения общих прав доступа.
Если на Вашем жестком диске — несколько разделов, расположите общие папки данных и домашние каталоги пользователей отдельно от операционной системы и приложений. Централизация папок данных облегчает резервное копирование, и кроме того, если придется переформатировать раздел операционной системы, данные не будут затронуты.
В целях усиления защиты лишите встроенную группу Everyone (Все) права доступа Full Control (Полный контроль) к общим папкам. Если Вы хотите предоставить доступ к ресурсу всем авторизованным пользователям, предоставьте права доступа не группе Everyone, а группе Users (Пользователи), в которую входят только авторизованные пользователи.
Создайте ярлыки для часто используемых сетевых ресурсов.
Документируйте свои решения, касающиеся общих папок и прав доступа к ним. Обновляйте свои записи при каждом изменении состояния сервера (например, после модернизации программного обеспечения, смены имен папок или назначения новых прав доступа).
Примечание Если Вы хотите удалить учетную запись, созданную командным файлом Chapter5.cmd, которая была нужна только для выполнения упражнений этой главы, зарегистрируйтесь по учетной записи Administrator и дважды щелкните файл DeleteChapter5.cmd в папке Cleanup прилагаемого к курсу компакт-диска.
Подключение командой Map Network Drive
Подключившись к общему ресурсу с помощью команды Map Network Drive (Подключить сетевой диск), Вы установите соединение, работающее до тех пор, пока назначение сетевого диска не будет отменено вручную. Это, в частности, позволяет воспользоваться сетевым диском в окне Open (Открыть) различных приложений.
Командой Map Network Drive (Подключить сетевой диск) можно пользоваться в Windows NT Explorer (Проводник Windows NT) и в окнах My Computer (Мой компьютер) и Network Neighborhood (Сеть). Доступ к этой команде в Проводнике осуществляется с помощью меню Tools (Сервис), а в окнах My Computer и Network Neighborhood — с помощью кнопки Map Network Drive.
После подключения общей папки командой Map Network Drive она станет аналогом папки на Вашем компьютере, и Вы сможете просматривать ее, как и содержимое любой папки на своем диске. Назначение сетевого лиска хранится в профиле, поэтому соединение может автоматически восстанавливаться при следующей регистрации.
Путь к общей папке задается в диалоговом окне Map Network Drive (Подключить сетевой диск).
Параметры диалогового окна Map Network Drive описаны в таблице.
Параметр
Назначение
Drive
(Диск)
Позволяет назначить общей папке символ диска, после чего она будет выглядеть как папка локального диска. Пользователю доступны 26 символов дисков. Символы, занятые локальными устройствами, не появляются в этом списке. Если этот параметр не выбран явно, Windows NТ использует первый свободный символ списка
Path
(Путь)
Указывает компьютер, на котором располагается общая папка, и ее сетевое имя. Путь задается в формате UNC: \\имясервера\\сетевое_имя
Connect As
(Подключаться по учетной записи...)
Позволяет подключиться к ресурсу с помощью другой учетной записи, указав домен и имя пользователя в формате \\домен\\имя_пользователя
Reconnect at Logon
(Восстанавливать при регистрации)
Если этот флажок установлен, подключение к общей папке будет восстанавливаться при каждой следующей регистрации пользователя
Shared Directories
(Общие папки)
> Подключение к общей папке командой Map Network Drive
Зарегистрируйтесь по учетной записи SalesRep5 (Торговый представитель).
На рабочем столе щелкните правой кнопкой мыши окно My Computer (Мой компьютер) или Network Neighborhood (Сеть). Когда окно откроется, щелкните в нем кнопку Map Network Drive.
В списке Drive (Диск) выберите строку Р:.
В поле Path (Путь) наберите \\имя_компьютера\Риblic (имя_компьютера — имя Вашего компьютера)
Установите флажок Reconnect at Logon (Восстанавливать при регистрации) и щелкните кнопку ОК.
Если на экране появится окно Public on имя_компьютера (Р:) (Папка Public на имя_компьютера), закроите его.
Запустите Windows NT Explorer (Проводник Windows NT) и обратите внимание на появление диска Р — он связан с папкой Public на Вашем компьютере.
Если Ваш компьютер подключен к сети, с помощью команды Map Network Drive поищите другие общие папки на других компьютерах сети и попрактикуйтесь в подключении к ним.
Подключение командой Run
С помощью команды Run (Выполнить) меню Start (Пуск) пользователь может просмотреть список общих папок на компьютере сети, причем для этого не обязательно знать сетевое имя конкретной папки — достаточно имени компьютера.
Команда Run (Выполнить) не назначает символ диска общей папке, и поэтому установленное соединение недоступно в других приложениях.
Чтобы воспользоваться командой Run (Выполнить), в меню Start (Пуск) щелкните пункт Run (Выполнить). В окне Open (Открыть) введите имя компьютера, где расположена общая папка, и ее сетевое имя (например, \\имя_компьютера\сетевое_имя) или только имя компьютера (например, \\имя_компьютера) и щелкните кнопку ОК.
Если Вы укажете только имя компьютера, Windows NT откроет окно имя_ компьютера, в котором будут перечислены все имеющиеся на нем общие папки. Щелкнув общую папку. Вы подключитесь к ней.
> Подключение к общей папке командой Run
В меню Start (Пуск) щелкните пункт Run (Выполнить).
В окне Open (Открыть) наберите \\имя_компьютера (имя_компьютера — имя Вашего компьютера) и щелкните кнопку ОК.
На экране появится окно имя_компьютера.
Щелкните любую общую папку, чтобы подключиться к ней.
Закройте окно имя_компьютера.
Если Ваш компьютер подключен к сети, воспользуйтесь командой Run, чтобы исследовать общие папки на других компьютерах сети.
Закройте Windows NT Explorer (Проводник Windows NT).
> Подключение к скрытой общей папке командой Run
В меню Start (Пуск) щелкните пункт Run (Выполнить).
В окне Open (Открыть) наберите \\имя_компьютера\ secret$ (имякомпьютера — имя Вашего компьютера) и щелкните кнопку ОК.
На экране появится окно Secret$ on имя_компьютера (Папка Secret$ на имя _компьютера).
Закройте Windows NT Explorer (Проводник Windows NT).
> Отключение общей папки с помощью Проводника
Запустите Windows NT Explorer (Проводник Windows NT) и щелкните правой кнопкой мыши диск Р.
В появившемся меню щелкните пункт Disconnect (Отключить).
Диск Р исчезнет с левой панели окна Проводника, а сведения о подключении будут удалены из пользовательского профиля.
Закройте Проводник и выйдите из системы.
Права доступа к общим папкам
Права доступа к обшей папке позволяют контролировать доступ к ней пользователей и групп. Иерархия прав доступа — от самых ограничительных (внизу) до самых мягких (вверху) — показана на приведенном ниже рисунке.
Право доступа
Описание
Full control (Полный контроль)
Предоставляется по умолчанию группе Everyone (Все). Позволяет изменять права доступа к файлу; заменять владельца файла на томах NTFS; выполнять все операции, разрешенные правами Change (Изменение) и Read (Чтение)
Change (Изменение)
Позволяет создавать папки и добавлять файлы; изменять данные в файлах; добавлять данные в файлы; изменять атрибуты файлов; удалять файлы и папки; выполнять все операции, разрешенные правом доступа Read (Чтение)
Read (Чтение)
Позволяет просматривать названия папок и файлов; просматривать атрибуты папок и файлов; запускать файлы приложений; обращаться ко вложенным папкам
No access (Доступ запрещен)
Позволяет только подключаться к папке. Доступ к содержимому папки, включая просмотр списка ее содержимого, запрещен. Рекомендуется при повышенных требованиях к безопасности. Это право доступа имеет наивысший приоритет среди всех
Право No access
Предположим, пользователю Пользователь1 предоставлено право доступа Read (Чтение) к общей папке «Общая». Кроме того, этот пользователь входит в состав группы Отдел продаж, которой присвоено другое право доступа — No access (Доступ запрещен). В этом случае фактически права доступа к этой папке у пользователя Пользователь1 отсутствуют, поскольку право No access имеет наивысший приоритет и отменяет все остальные права доступа, присвоенные как самому пользователю, так и всем группам, членом которых он является.
* Последнее верно, лишь если право No access в явном виде присвоено учетной записи пользователя или если пользователь входит в состав только одной группы, которой присвоено это право доступа (см. также вопрос в разделе «Примеры применения прав доступа» и ответ к нему). — Прим. ред.
Примеры общих папок
Метод организации общих папок непосредственно связан с защитой данных. Например, если Вы располагаете папки с одинаковыми требованиями к безопасности на одной иерархической ступени, достаточно лишь предоставить доступ к папке, в которую они вложены. Имейте в виду, что пользователь при наличии прав доступа к папке может обратиться к ее содержимому, но ему недоступны другие папки на том же и более высоком уровнях иерархии.
Ниже приведены два примера организации общих папок в структуру, обеспечивающую защиту данных.
На первой иллюстрации показаны папки приложений, собранные в одну папку «Приложения», к которой и предоставлен общий доступ. Встроенной группе Users (Пользователи) предоставлено право доступа Read (Чтение) к этой папке. Когда член группы Users подключается к папке «Приложения», он автоматически получает доступ ко всем вложенным в нее папкам, так как они находятся на одной иерархической ступени. При этом папки «Данные», «Данные1» и «Данные2» пользователям недоступны, поскольку находятся на другом уровне иерархии папок.
На следующей иллюстрации показано, как группирование общих папок упрощает администрирование. Если Вы отдадите папку «Данные» в общее пользование, но предоставите права доступа Full control (Полный контроль) только встроенной группе Administrators (Администраторы), то члены этой группы получат одновременно и доступ ко всей иерархии, включая папки приложений.
ы применения прав доступа
Ниже изображены два примера применения прав доступа к общей папке. Изучите их и определите фактические права доступа пользователя Пользователь1.
В примере А Пользователь1 входит в состав групп Группа1, Группа1, ГруппаЗ и Группа4. Права этих групп на доступ к общей папке «Папка А» таковы: Группа1 — No access (Доступ запрещен), Группа1 — Read (Чтение), ГруппаЗ — Change (Изменение) и Группа4— Full control (Полный контроль).
Каковы фактические права доступа пользователя Пользователь1 к общей папке «Папка А» в примере А?
ответ
В примере Б Пользователь1 входит в состав групп Группа1, Группа2 и ГруппаЗ. Права этих групп на доступ к общей папке «Папка Б» таковы: Группа1 — No access (Доступ запрещен). Группа1 — Change (Изменение) и ГруппаЗ — Read (Чтение). Кроме того, учетной записи Пользователь1 присвоено право доступа No access.
Каковы фактические права доступа пользователя Пользователь1 к общей папке «Папка Б» в примере Б?
ответ
Рабочие папки
Общие рабочие папки — это централизованное хранилище для рабочих файлов. Обычно пользователи постоянно работают с файлами из таких папок — добавляют и удаляют их.
Создавая общие папки для рабочих данных, придерживайтесь следующих правил.
Предоставьте право доступа Change (Изменение) к этим папкам всем пользователям, которым нужно обмениваться файлами с другими сотрудниками.
Предоставьте группе Administrators (Администраторы) право доступа Full control (Полный контроль) к общим папкам рабочих файлов.
Предоставляйте индивидуальные папки данных в общее пользование, только если необходимо ограничить круг лиц, имеющих доступ к этим данным, какой-то конкретной группой.
Например, если Вы хотите обеспечить безопасность папки «Бухгалтерия», предоставьте доступ к ней только группе Бухгалтерия и присвойте ей права доступа Change (Изменение). В результате члены этой группы получат доступ к общей папке «Бухгалтерия», а членам группы Administrators (Администраторы) для доступа к этой папке достаточно будет подключиться к папке «Данные».
Рекомендации
Предоставляя папки в общее пользование, руководствуйтесь следующим соображениями.
Определите, к каким папкам на сервере надо обеспечить общий доступ, и организуйте их так, чтобы папки с одинаковыми требованиями к защите располагались на одной иерархической ступени. Например, сгруппируйте в одной папке несколько папок, к которым требуется предоставить доступ на чтение.
Присваивайте общим папкам интуитивно понятные сетевые имена, чтобы пользователи могли легко найти нужный ресурс. Например, папке приложений разумно присвоить сетевое имя «Приложения».
Назначая сетевые имена, помните, что они должны быть совместимы с операционными системами всех клиентов сети. В приведенной ниже таблице перечислены соглашения о сетевых именах для разных ОС.
Операционная система
Ограничения на сетевые имена ресурсов
Ограничения на названия папок
Windows NT и Windows 95
MS-DOS, Windows З.х и Windows for Workgroups
12 символов формат 8.3
255 символов формат 8.3
Примечание Для сетевых клиентов; операционные системы которых поддерживают только имена в формате 8.3, Windows NT может создавать эквивалентные имена в этом формате, однако они не всегда понятны пользователям. Например, имя папки «База данных— Счета» клиентам под управлением MS-DOS, Windows З.х и Windows for Workgroups будет доступно в виде «База д~1», что вряд ли можно назвать интуитивно понятным.
Общие папки обеспечивают пользователям доступ
Общие папки обеспечивают пользователям доступ к различным сетевым ресурсам: приложениям, данным, домашним каталогам пользователей.
Права доступа к обшей папке позволяют контролировать доступ к ней пользователей и групп.
Существует 4 типа прав доступа к общим папкам: Full control (Полный контроль), Change (Изменение), Read (Чтение) и No access (Доступ запрещен).
Фактические права доступа пользователя представляют собой наименее ограничивающую комбинацию прав доступа, присвоенных его учетной записи и всем группам, в которых он состоит.
Право No access (Доступ запрещен) имеет наивысший приоритет и отменяет все остальные права доступа, присвоенные учетной записи пользователя и всех групп, членом которых он является. Присвоенное, это право всегда становится фактическим правом доступа.
Дополнительную информацию о ...
главе 4, «Managing Shared Resources And Resource Security», документа Microsoft Windows NT Server Concepts and Planning
Прежде чем обеспечить общий доступ
Прежде чем обеспечить общий доступ к папкам, решите, какие именно ресурсы требуется предоставить в общее пользование и кому они должны быть доступны.
Присваивайте общим ресурсам интуитивно понятные сетевые имена, чтобы пользователи могли легко найти и отождествить нужный ресурс.
Назначая сетевые имена, помните, что они должны быть совместимы с операционными системами всех клиентов сети.
Организуйте дисковые ресурсы так, чтобы папки с одинаковыми требованиями к защите располагались на одной иерархической ступени.
Для каждого общего ресурса создайте соответствующую локальную группу. Если ресурс находится на сервере или рабочей станции под управлением Windows NT Workstation, локальную группу нужно создавать именно на этом компьютере; а если ресурс размещен на контроллере домена, это можно сделать на любом компьютере, где можно запустить утилиту User Manager for Domains (Диспетчер пользователей доменов).
Предоставляя пользователям и группам права доступа к папкам, руководствуйтесь рекомендациями этого занятия.
Дополнительную информацию о ...
в общее пользование, необходимо быть
Чтобы предоставить папку в общее пользование, необходимо быть членом одной из встроенных групп Administrators (Администраторы), Server Operators (Операторы сервера) или Power Users (Опытные пользователи).
Первый шаг в предоставлении папки в общее пользование — назначение сетевого имени.
Затем перечислите пользователей, которые будут иметь доступ к ресурсу. Для этого назначьте права доступа выбранным пользователям и группам.
Все параметры общей папки можно изменить в диалоговом окне имя_папки Properties (Свойства имя_папки).
Дополнительную информацию о ...
К общей папке можно подключаться
К общей папке можно подключаться командами Map Network Drive (Подключить сетевой диск) или Run (Выполнить).
С помощью команды Run можно просмотреть список общих папок на компьютере сети, причем для этого достаточно знать только имя компьютера.
Дополнительную информацию о ...
Сетевые папки данных
С помощью общих папок данных пользователи обмениваются файлами и совместно используют их. Планируя создание общих папок данных, обдумайте, стоит ли организовать отдельные папки для данных, адресованные всем сотрудникам, и для файлов, которыми будут обмениваться Ваши пользователи.
Если на Вашем жестком диске — несколько разделов, расположите общие папки данных не на том томе, где размещена операционная система и приложения. Централизация папок данных облегчает резервное копирование и, кроме того, при переформатировании раздела операционной системы данные не будут затронуты.
Сетевые папки приложений
В большой сети один или даже несколько серверов могут быть специально выделены для хранения приложений. В небольшой сети, напротив, один и тот же сервер может служить для хранения и приложений, и данных. Поэтому методика предоставления папок приложений в общее пользование зависит от размеров сети. В общем случае мы советуем при предоставлении папок приложений в общее пользование придерживаться следующих рекомендаций.
Создайте основную папку общего пользования для приложений — например, «Приложения».
Предоставьте группе Administrators (Администраторы) право доступа Fullcontrol (Полный контроль) к этой папке.
В целях усиления защиты лишите встроенную группу Everyone (Все) права доступа Full control (Пoлный контроль) к папке «Приложения», а группе Users (Пользователи) предоставьте право доступа Read (Чтение). Предоставьте право доступа Change (Изменение) группе, ответственной за сопровождение и модернизацию программного обеспечения.
Предоставление доступа к индивидуальным папкам приложений конкретным группам следует применять, только чтобы ограничить доступ к этим приложениям. Например, если Вы хотите разрешить пользователям группы доступ только к пакету электронных таблиц, предоставьте соответствующую папку в общее пользование и присвойте группе соответствующие права.
Шаблон плана создания общих папок
Имя папки
UNC-имя
Локальная группа
Члены
Права доступа к общему ресурсу
Создание общей папки
Чтобы предоставить папку в общее пользование, прежде всего назначьте ей сетевое имя. Для этого воспользуйтесь вкладкой Sharing (Доступ) окна имя_папки Properties (Свойства имя_папки).
Параметры вкладки Sharing
Описание
Share Name (Сетевое имя)
Сетевое имя, с помощью которого пользователи сети подключаются к ресурсу. Этот параметр обязателен. Если в конце имени поставить символ ($), пользователи не увидят ресурс при просмотре списка ресурсов сервера
Comment (Комментарий)
Описание общего ресурса. Оно появляется в диалоговом окне Map Network Drive (Подключить сетевой диск) при просмотре пользователем списка ресурсов сервера. Комментарий должен кратко, но исчерпывающе характеризовать ресурс
User Limit (Максимальное число пользователей)
Задает максимальное число пользователей, одновременно работающих с ресурсом. Ограничивая значение этого параметра. Вы можете снизить сетевой трафик. Для компьютеров под управлением Windows NT Workstation это значение не должно превышать 10; для Windows NT Server ограничений нет
Permissions
(Права доступа)
Здесь устанавливаются права доступа к папке, причем они относятся только к доступу по сети. По умолчанию встроенной группе Everyone (Все) присваивается право доступа Full Control (Полный контроль) к новому ресурсу
New Share (Новый ресурс)
Эта кнопка появляется на вкладке для папок, уже предоставленных в общее пользование. Одна и та же папка может быть общей под разными именами и с разными правами доступа. Однако имейте в виду, что использование одной папки для разных целей увеличивает нагрузку на администратора и чаще всего просто не нужно
> Создание общей папки приложений
Зарегистрируйтесь в системе по учетной записи Administrator и запустите Windows NT Explorer (Проводник).
Откройте папку диск:\Lab Files, щелкните правой кнопкой мыши папку Apps (Приложения) и в появившемся меню выберите пункт Properties (Свойства).
На экране появится окно Apps Properties (Свойства папки Apps).
Щелкните вкладку Sharing (Доступ).
Совет В меню, появляющемся, когда Вы щелкаете папку Apps, есть команда Sharing (Доступ). Если Вы воспользуетесь этой командой, то попадете сразу на вкладку Sharing (Доступ) окна имя_папки Properties (Свойства имя_папки).
Установите переключатель в положение Shared As (Общий ресурс).
Обратите внимание: в поле Share Name (Сетевое имя) появилось сетевое имя по умолчанию, совпадающее с именем папки.
В поле Comment (Комментарий) наберите текст «Общие программы» и щелкните кнопку ОК.
Обратите внимание на значок в виде руки под именем папки Apps в окне Проводника. Он свидетельствует, что папка предоставлена в общее пользование.
> Создание общей папки данных
В папке LabFiles щелкните правой кнопкой мыши папку Public (Общедоступные данные) и в появившемся меню выберите команду Sharing (Доступ).
На экране появится окно Public Properties (Свойства папки Public).
Установите переключатель в положение Shared As (Общий ресурс).
Обратите внимание: в поле Share Name (Сетевое имя) появилось сетевое имя по умолчанию, совпадающее с именем папки.
В поле Comment (Комментарий) наберите текст «Общедоступные данные» и щелкните кнопку ОК.
Обратите внимание на значок в виде руки под именем папки Public в окне Проводника. Он свидетельствует, что папка предоставлена в общее пользование.
> Создание скрытой общей папки
В папке LabFiles создайте папку Secret (Конфиденциально).
Щелкните правой кнопкой мыши папку Secret и в появившемся меню выберите команду Sharing (Доступ).
На экране появится окно Secret Properties (Свойства папки Secret).
Установите переключатель в положение Shared As (Общий ресурс).
В поле Share Name (Сетевое имя) наберите secret$ и щелкните кнопку ОК.
Обратите внимание на значок в виде руки под именем папки Secret в окне Проводника. Он свидетельствует, что папка предоставлена в общее пользование.
Каковы требования для предоставления папки
Каковы требования для предоставления папки в общее пользование?
Чтобы предоставить папку в общее пользование, необходимо быть членом одной из встроенных групп Administrators (Администраторы), Server Operators (Операторы сервера) или Power Users (Опытные пользователи).
Какие ресурсы доступны сотруднику с соответствующими правами после предоставления папки в общее пользование? Выберите все подходящие варианты.
Правильный ответ: А и Б.
Какие права доступа можно присвоить общей папке? Выберите все подходящие варианты.
Правильный ответ: Д.
Какие права доступа к обшей папке назначаются по умолчанию? Какой группе предоставляются эти права?
По умолчанию общей папке присваивается право доступа Full Control (Полный контроль). Это право предоставляется группе Everyone (Все).
Условия создания общих папок
Чтобы предоставить папку в общее пользование, необходимо быть членом одной из встроенных групп Administrators (Администраторы), Server Operators (Операторы сервера) или Power Users (Опытные пользователи).
Примечание Чтобы разрешить любому пользователю предоставлять папку на томах файловой системы NTFS в общее пользование, дайте ему право доступа List (Просмотр содержимого) к этой папке.
Эти вопросы помогут Вам лучше
Эти вопросы помогут Вам лучше усвоить основные темы данной главы. Если Вы не сумеете ответить на вопрос, повторите материал соответствующего занятия.
Каковы требования для предоставления папки в общее пользование?
ответ
Какие ресурсы доступны сотруднику с соответствующими правами после предоставления папки в общее пользование? Выберите все подходящие варианты.
А. Все папки в общей папке
Б. Все файлы общей папки
В. Все ресурсы сети
Г. Папки на всех томах кроме тома операционной системы
ответ
Какие права доступа можно присвоить общей папке? Выберите все подходящие варианты.
A. Full Control (Полный контроль)
Б. Change (Изменение)
В. Read (Чтение)
Г. No Access (Доступ запрещен)
Д. Любые из перечисленных выше
ответ
Какие права доступа к общей папке назначаются по умолчанию? Какой группе предоставляются эти права?
ответ
Основные понятия
(Продолжительность занятия 20 минут)
Windows NT поддерживает механизм общего доступа к дисковым ресурсам. Например, если папка предоставлена в общее пользование, авторизованные пользователи могут подключаться к ней (и работать с файлами этой папки) со своих компьютеров. На этом занятии Вы познакомитесь с принципами работы общих папок.
Изучив материал этого занятия, Вы сможете:
перечислить ситуации, в которых применяются общие папки,
перечислить четыре уровня прав доступа к папкам;
описать результаты применения прав доступа к общим ресурсам.
Планирование общих папок
(Продолжительность занятия 20 минут)
Прежде чем предоставить папки в общее пользование, необходимо решить, какие ресурсы будут общими и кому они будут доступны. Чтобы сеть успешно работала, доступ авторизованных пользователей к сетевым ресурсам — приложениям, данным и домашним каталогам — должен быть максимально упрощен. На этом занятии Вы познакомитесь с принципами планирования общих папок в сети.
Изучив материал этого занятия, Вы сможете:
перечислить задачи, которые необходимо решить при планировании общих папок;
спланировать права доступа пользователей и групп к общим папкам.
Организация общего доступа к папкам
(Продолжительность занятия 20 минут)
На этом занятии Вы познакомитесь со всеми этапами создания общих папок и назначения прав доступа к ним.
Изучив материал этого занятия, Вы сможете:
описать условия для создания общих папок;
создавать и изменять общие папки;
присваивать пользователям и группам права доступа к общим папкам.
Подключение к общим папкам
(Продолжительность занятия 10 минут)
Существует два способа найти общую папку и подключиться к ней. На этом занятии Вы познакомитесь с особенностями этих методов и шаг за шагом изучите все этапы подключения к общим папкам.
Изучив материал этого занятия, Вы сможете:
подключиться к общей папке с помощью команды Map Network Drive;
подключиться к общей папке с помощью команды Run.
После того как папка предоставлена в общее пользование, работающие в сети смогут подключаться к ней посредством команд Map Network Drive (Подключить сетевой диск) Windows NT Explorer (Проводник Windows NT) или Run (Выполнить) меню Start (Пуск).
