Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 8)

Для решения задачи необходимо сделать следующие шаги:

создать глобальную группу безопасности NEW_GL и организо­вать работу пользователей, включив в эту группу пользователей из ONE и TWO;

создать локальную доменную группу безопасности NEWJLOC, включив в нее глобальную группу NEW_GL;

в свойствах каждой общей папки назначить разрешения доступа Read&Execute (Чтение и выполнение) и List Folder Contents (Про­смотр содержимого папок) группе NEW_LOC.

Задание 6

В дереве доменов cyber.mephi.ru созданы два домена Windows 2000: elab.cyber.mephi.ru и it.cyber.mephi.ru. В каждом из до­менов существуют общие папки, в которых имеются доку­менты, которые пользователи могут только просматривать. Вам необходимо дать возможность доступа пользователям elab.cyber.mephi.ru и it.cyber.mephi.ru к этим документам.

Решение

Для решения задачи необходимо сделать следующие шаги:

• перевести оба домена в основной режим, так как по умолчанию работает режим смешанный;

• создать глобальные группы безопасности NEW_GL_ONE и NEW _GL_TWO для доменов и организовать работу пользователей, включив их в соответствующие группы;

• создать универсальную группу NEW_UNIVER, включив в нее глобальные группы NEW_GL_ ONE и NEW_GL_ TWO;

• в свойствах каждой общей папки назначить разрешения доступа Read&Execute (Чтение и выполнение) и List Folder Contents (Про­смотр содержимого папок) группе NEW_UNIVER.

Задание 7

В дереве доменов cyber.fnephi.ru все домены работают под управлением Windows 2003. Создать группу привилегированных пользователей, которые могут управлять ресурсами и учет­ными записями каждого домена.

Задание 8

В дереве доменов cyber.mephi.ru часть доменов работает под управлением Windows 2003, другие - под управлением Windows NT 4.0. Организовать работу привилегированных пользовате­лей, которые могут управлять ресурсами и учетными запися­ми каждого домена.

Задание 9

В домене elab.cyber.mephi.ru созданы два организационных подразделения (QU): ONE и TWO. В каждом из OU существу­ют общие принтеры, на которых пользователи этих подраз­делений могут печатать свои документы. Вам необходимо дать возможность доступа пользователям ONE и TWO к этим принтерам для печати.

Задание 10

В дереве доменов cyber.mephi.ru созданы два домена Windows 2000: elab.cyber.mephi.ru и it.cyber.mephi.ru. В каждом из до­менов существуют общие принтеры, на которых пользовате­ли этих доменов могут печатать свои документы. Вам необ­ходимо дать возможность доступа пользователям elab.cyber.mephi.ru и it.cyber.mephi.ru к этим документам.

Открытие общего доступа к папке

Открытие общего доступа к папке указывает Службе доступа к файлам и принтерам се­тей Microsoft (File And Printer Sharing For Microsoft Networks) разрешить клиентам, на компьютерах которых запущена служба Клиент для сетей Microsoft (Client For Microsoft Networks), подключаться к этой папке и ее подпапкам. Вы, безусловно, знаете, как со­здавать общие папки с помощью Проводника Windows: щелкнуть папку правой кнопкой, выбрать Общий доступ и безопасность (Sharing And Security) и установить переключатель Открыть общий доступ к этой папке (Share This Folder).

Однако знакомая вкладка Доступ (Sharing) окна свойств папки в Проводнике Windows доступна, только когда вы входите в систему локально или с помощью служб термина­лов, и создать общую папку на удаленном компьютере нельзя. Поэтому мы рассмотрим создание, свойства, конфигурацию и управление общими папками с помощью оснастки Общие папки (Shared Folders), которую можно использовать как на локальной, так и на удаленной системах.

Открыв оснастку Общие папки (Shared Folders) в настраиваемой консоли ММС или в консолях Управление компьютером (Computer Management) или Управление файловым сервером (File Server Management), вы сразу заметите, что в Windows Server 2003 уже на­строено несколько стандартных административных общих ресурсов: системный каталог (обычно C:\Windows) и корень каждого жесткого диска. Имя ресурса для таких общих папок заканчивается знаком доллара ($). Знаком доллара в конце сетевого имени обо­значают скрытые общие папки. Они не видны в обозревателе, но к ним можно подклю­читься по UNC-имени вида \\имя_сервера\имя_общего_ресурса$. К административным общим ресурсам могут подключаться только администраторы.

Для открытия общего доступа к папке, подключитесь к нужному компьютеру из ос­настки Общие папки: щелкните корневой узел Общие папки (Shared Folders) правой кноп­кой и выберите Подключиться к другому компьютеру (Connect To Another Computer). Вы­брав компьютер, щелкните узел Общие папки (Shares), а затем в контекстном меню или в меню Действие (Action) выберите Новый общий ресурс (New Share). Мастер создания общих ресурсов содержит следующие страницы и настройки.

• Страница Folder Path (Путь к папке). Укажите путь к общей папке на локальном жест­ком диске, например, если папка находится на диске D: сервера, путь к ней будет иметь вид В:\имя_папки.

• Страница Name, Description, and Settings (Имя, описание и параметры). Введите имя общего ресурса. Если к сети подключены устаревшие клиенты (например компьюте­ры под управлением DOS), старайтесь придерживаться правил именования 8.3, что­бы обеспечить им доступ к общим папкам. Имя ресурса вместе с именем сервера образуют UNC-имя вида \\имя_сервера\имя_общего_ресурса. Добавьте знак долла­ра в конце сетевого имени, чтобы сделать общий ресурс скрытым. В отличие от встро­енных скрытых административных общих ресурсов, к скрытым общим папкам, со­зданным вручную, может подключиться любой пользователь, причем его права ог­раничиваются только разрешениями общего ресурса.

• Страница Разрешения (Permissions). Выберите подходящие разрешения общего ресурса.

Управление общей папкой

Узел Общие папки (Shares) в оснастке Общие папки (Shared Folders) содержит список всех общих ресурсов компьютера и для каждого из них предоставляет контекстное меню, которое позволяет прекратить доступ, открыть общий ресурс в Проводнике или настро­ить его свойства. Все свойства, которые предлагает заполнить мастер Мастер создания общих ресурсов (Share A Folder Wizard), можно изменить в окне свойств общего ресур­са (рис.1).

Окно свойств общей папки содержит следующие вкладки.

■ Общие (General). Здесь можно указать сетевое имя, путь к папке, описание, количество одновременных подключений пользователей и параметры работы с файлами в автономном режиме. Имя общего ресурса и путь к нему предназначены только для чтения. Чтобы переименовать общий ресурс, нужно сначала закрыть доступ, а затем создать общий ресурс с новым именем.

Рис. 1 Вкладка «Общие» диалогового окна свойств общей папки

■ Публикация (Publish). Если установить флажок Опубликовать этот общий ресурс в Active Directory (Publish This Share In Active Directory), как показано на рис. 2, в Active Directory будет создан объект, представляющий эту общую папку.

Рис.2 Вкладка «Публикация» диалогового окна свойств общей папки

К свойствам объекта относятся описание и ключевые слова, по которым общую пап­ку можно найти, используя диалоговое окно Поиск: Пользователи, контакты и груп­пы (Find Users, Contacts and Groups). Если в раскрывающемся списке Найти (Find) выбрать значение Общие папки (Shared Folders), это диалоговое окно трансформиру­ется в окно Поиск: Общие папки (Find Shared Folders), как показано на рис. 3.

■ Разрешения для общего ресурса (Share Permissions). Эта вкладка служит для настрой­ки разрешений доступа к общему ресурсу.

■ Безопасность (Security). Эта вкладка позволяет настроить разрешения NTFS для об­щей папки.

Рис.3 Поиск общей папки

Настройка разрешений доступа к общему ресурсу

Доступные разрешения общего ресурса перечислены в табл. 1. Хотя они не настолько подробны, как разрешения NTFS, но позволяют настроить основные типы доступа к общей папке: Чтение (Read), Изменение (Change) и Полный доступ (Full Control).

Табл. 1. Разрешения для общего ресурса

Разрешения общего ресурса можно предоставлять или отменять. Действующим на­бором разрешений общего ресурса называют сумму разрешений, предоставленных поль­зователю и всем группам, членом которых он является. Например, если пользователь входит в группу с разрешением Чтение (Read) и в группу с разрешением Изменение (Change), действующим разрешением считается Изменение. Тем не менее, запрет всегда приоритетнее разрешения. Например, если пользователь входит в группу с разрешени­ем Чтение (Read) и в группу, которой запрещено разрешение Полный доступ (Full Control), он не сможет прочитать файлы и папки внутри общего ресурса.

Доступ к общей папке регламентируется следующим образом:

• разрешения устанавливаются только для папок, но не для файлов;

• установленные разрешения распространяются только на тех пользователей, которые получают к ней доступ по сети, для локальных пользователей эти разрешения прозрачны;

• по умолчанию при создании разделяемой папки для нее устанавливается разрешение Чтение для группы Everyone (Все).

• К общей папке можно не только разрешать доступ, но и запре­щать его. Для запрета всех видов доступа нужно отменить разре­шение Full Control.

• Однако знакомая вкладка Доступ (Sharing) окна свойств папки в Проводнике Windows доступна, только когда вы входите в систему локально или с помощью служб термина­лов, и создать общую папку на удаленном компьютере нельзя.

• Помимо разрешений на доступ, можно указать количество воз­можных подключений к этой папке. Для Windows XP эта величина не более 10, а для Windows 2003 Server можно установить неограниченное количество одновременных подключений.

• При организации общих папок нужно учитывать следующее:

• • Запрещения обладают большим приоритетом, чем разрешения.

• Если пользователю запрещен доступ к папке, он не будет его иметь, даже если он назначен группе, к которой этот пользователь принадлежит, например Everyone.

• • Несколько разрешений складываются. Например, пользователь имеет разрешение Read, а группа Everyone - Full Control, тогда пользователь имеет разрешение Full Control.

• • При копировании или сдвиге папок общий доступ к ним пре­кращается.

• Ввиду того, что в Windows 2003 могут содержаться несколько миллионов объектов, желательно назначать разрешения группам, а не отдельным пользователям и давать общим папкам интуитив­но понятные имена. Кроме того, лучше группировать папки с одинаковыми требованиями в одну и назначать разрешения ей.

• Кэширование общих папок. Для того чтобы общие папки были доступны в автономном режиме, копии файлов кэшируются на жесткий диск компьютера. Доступ к ним возможен и в отсутствие сети. По умолчанию установлено ручное кэширование для доку­ментов, но можно установить автоматическое кэширование доку­ментов и программ (рис. 3).

• Рис. 3 Кэширование документов

• Назначение доступа. Открывать доступ к папкам и делать их об­щими имеют право только члены следующих встроенных групп:

• • на компьютере Windows XP или изолированном сервере Windows 2003 Server - пользователи групп Power Users и Administrators;

• • в домене Windows 2003 - пользователи групп Server Operators и Administrators к любым компьютерам домена.

Разрешения общего ресурса определяют максимальные действующие разрешения для всех файлов и папок внутри общей папки. Назначая разрешения NTFS для отдельных файлов и папок, доступ можно ужесточить, но не расширить. Другими словами, доступ пользователя к файлу или папке определяется наиболее жестким набором из разреше­ний общего ресурса и разрешений NTFS. Если разрешения NTFS дают группе полный доступ к папке, а разрешения общего ресурса остаются стандартными — группе Все (Everyone) предоставлено разрешение Чтение (Read) или даже Изменение (Change) — разрешения NTFS ограничиваются разрешением общего ресурса. Этот механизм озна­чает, что разрешения общего ресурса усложняют управление доступом к ресурсам. Это одна из причин, по которой в организациях обычно назначают общим ресурсам откры­тые разрешения: группе Все (Everyone) дается разрешение Полный доступ (Full Control), а для защиты папок и файлов используют только разрешения NTFS. Прочитайте врезку «Три точки зрения на разрешения общего ресурса» с более подробной информацией.

Характеристики

Список файлов книги