Доступ к сетевым ресурсам




Если пользователю нужен доступ к файлам в папках на удаленном компьютере, эти папки должны быть разделяемыми. Доступ к разделяемой папке можно ограничить. Если папка, к которой предоставлен доступ по сети, расположена на файловой системе NTFS, то она и ее содержимое защищены еще и разрешениями NTFS. Рассмотрим, как взаимодействуют права доступа по сети с разрешениями NTFS.

Открытие сетевого доступа к папке

Чтобы превратить локальную папку в сетевой ресурс, первым делом нужно сделать ее разделяемой, то есть открыть доступ к ней по сети. В ОС Windows 2000 и новее сделать это имеет право член группы администраторов, а в домене — член группы операторов сервера.

Сделать локальную папку разделяемой можно либо средствами Проводника Windows, либо из консоли Администрирование —> Управление компьютером (объект Общие папки). Только вторым из этих способов можно сделать общей удаленную папку.

На вкладке Доступ в диалоговом окне свойств папки, которую вы хотите сделать обшей, есть кнопка Разрешения. Она служит для того, чтобы ограничить доступ к разделяемой папке для отдельных пользователей или групп. По умолчанию в ОС Windows Server 2003 группе «Все» предоставляется право «Только чтение », а в Windows 2000/ХР — «Полный доступ». Это значит, в Windows 2000/ХР настройку по умолчанию оставлять небезопасно.

Взаимодействие прав доступа

Если общая папка находится в разделе с файловой системой NTFS, для нее установлены собственные разрешения. Если пользователь обращается к этой папке локально (сидя за тем же компьютером, на диске которого она расположена), то для него действуют только эти разрешения.

Если он обращается к папке по сети, то разрешения NTFS взаимодействуют с разрешениями на доступ к общему ресурсу так, как показано в таблице 20.1 (в этом примере пользователь User1 не входит в группу администраторов).

 

Таблица 20. 1 Взаимодействие разрешений «NTFS» и «доступ к общей папке»

Разрешение NTFS Право доступа к общей папке Результат
User1 — - Чтение - -Все — - Чтение - -Чтение -
User1 — - Полныйдоступ - -Администраторы — - Полныйдоступ -Нетдоступа-
User1 — - Чтение, - Запись -Все- — - Чтение - - Чтение -
User1 — - чтение - -Все- — - Полныйдоступ - -Чтение -
User1 — Полныйдоступ » -Все- — - чтение - -Чтение -

Из последнего примера видно, что пользователь User1 сможет воспользоваться своим разрешением NTFS на полный доступ к папке, только если зарегистрируется непосредственно на сервере, на жестком диске которою расположена эта папка. По сети он получит доступ только на чтение или даже отказ в доступе. Таким образом «Разрешения по сети» и «Право доступа по сети» являются результирующими «Разрешениями NTFS» и «Общим доступом по сети». Если ресурс находится на диске с другой файловой системой, например FAT-32, то ограничить доступ можно только с помощью «Общего доступа по сети».

Однако в сети, где сотни пользователей работают с тысячами папок, настраивать разрешения отдельно для каждого — задача, трудоемкая и малоэффективная. Даже для небольших и средних локальных сетях не следует прибегать к настройкам разрешений для каждого пользователя в отдельности. В организациях часто, что-то меняется, поэтому лучше пользователя включить или удалить в одну из групп безопасности или распространения. Системным решением будет с самого начала настраивать не индивидуальный доступ к ресурсам, а групповой.

При создании объектов AD, таких как пользователи Users, группы (в данной лабораторной работе – группы безопасности) –groups, будем придерживаться определенных правил для обозначения и стратегии формирования групп.

Обозначения групп.

Для единообразия будем следовать обозначениям объектов, принятым в англоязычной литературе, т.е. имена групп/объектов будут начинаться с символов (G_, DL_,U_, P):

  • А учётные записи пользователей (user Accounts).
  • G глобальные группы (Global groups).
  • DL локальные доменные группы (Domain Local groups).
  • U универсальные группы (Universal groups).
  • Р право доступа (Permission).

Самая распространенная стратегия (стратегия A G DL Р)

Эту стратегию можно обозначить, как A G DL Р. Это означает, что учётные записи пользователей являются членами глобальной группы, а для локальной доменной группы настроены права доступа к ресурсу (например, к папке с файлами). Чтобы пользователи получили доступ к этому ресурсу, остаётся сделать только одно — включить глобальную группу в локальную доменную группу.

Весь этот процесс можно проще изобразить следующим образом: А -> G -> DL <- Р

Если мы будем придерживаться правила, что разрешение на доступ даётся не отдельными пользователям, а только группам, то порядок наших действий будет таким:

  1. Создание Подразделений (organizational unit, OU) организационных единиц;

Рис 20.1. Организация подразделения (OU-organizational unit) в studyNNN.local.

  1.        
       
     

    Создание глобальных групп безопасности;
  2. Включение учётных записей пользователей в соответствующие группы;
  3. Создание локальных групп домена (доменов) безопасности;
  4. Настройка разрешений на доступ к соответствующим папкам для той или иной локальной группы;
  5. Включение глобальной группы в локальную доменную группу.


Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2019-11-11 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: