Windows Server dla Domu i Małej Firmy 3/3

Strona 1 - Uprawnienia do zasobów

Jedną z największych zalet systemu plików NTFS jest możliwość szczegółowego zarządzania dostępem do zasobów. Dzięki grupom wcześniej utworzonym w usłudze active directory możemy swobodnie zarządzać tym, która z nich jakie będzie miała uprawnienia. Nie mówimy tu tylko o ustawieniach dostępu do plików, ale także do urządzeń np. Drukarki. Możemy tylko określonym osobom pozwolić z niej korzystać, a nawet ustawić priorytety wydruku. Na przykład jeśli kierownik będzie miał wyższy priorytet, to drukowanie wywołane przez pracowników zostanie wstrzymane po to, aby dokumenty kierownika mogły zostać wydrukowane. Kiedy to się stanie, wznowione zostaną wydruki o niższym priorytecie. Zajmiemy się tu także nadawaniem uprawnień dla zasobów sieciowych. Na sam koniec spróbujemy udostępniony zasób zamapować jako dysk twardy na komputerze klienta oraz narzucić quote na zasobie, czyli ograniczyć ilość danych, jakie będzie można w nim przechowywać.
Stwórzmy więc na dysku C katalogi UPLOAD i DOWNLOAD, które w miarę prosty sposób uda się nam skonfigurować.

Wewnątrz obu katalogów stwórzmy foldery takie jak „Administratorzy” i „Użytkownicy”.

Kliknijmy prawym przyciskiem na folderze „DOWNLOAD”, wybierzmy „właściwości” i przejdźmy do zakładki „udostępnianie”.

Wybierzmy „Udostępnij Ten Folder”, nazwę możemy zmienić albo pozostawić ją bez zmian. Możemy także zabezpieczyć się przed przeciążeniem sieci ograniczając ilość jednoczesnych połączeń, konfigurując limit użytkowników, który ja ustawiłem na 10. Klikamy „zastosuj”, aby udostępnić nasz folder.

Kliknijmy teraz w przycisk „Uprawnienia”, aby pojawiła się kolejna plansza.

Jak widać domyślnie wszyscy mają dostęp do zasobów pozwalający na ich odczyt. Nie jest to raczej pożądane. Chcielibyśmy, aby tylko zweryfikowani użytkownicy domenowi mogli podłączać się do udziałów. Przy takim ustawieniu jak teraz będą mogły to robić także komputery nie należące do domeny. Klikając przycisk „usuń” skasujmy tą grupę.

Teraz dodajmy grupy jakie mają mieć dostęp do tych zasobów. Klikamy przycisk „dodaj”. Pojawi się okno znane z wcześniejszych rozdziałów. Wybierzmy w nim administratorów i użytkowników domeny.

Warto zwrócić uwagę, że w razie potrzeby nie musimy jedynie się ograniczać do grup, gdyż uprawnienia możemy także spersonalizować dla pojedynczego użytkownika. Czasami np. dla jakiegoś kierownika działu jest to pożądane. Często w pracy muszę tworzyć pliki czy foldery, które tylko jedna osoba ma prawo edytować, a jej współpracownicy jedynie mogą ten plik odczytywać. W taki sposób mogę więc łatwo nadać uprawnienia pojedynczemu użytkownikowi do edytowania.

Nasze grupy pojawią się na liście. Zaznaczając grupę u góry w dolnym okienku pojawiają się jej uprawnienia. Domyślnie będzie to jedynie odczyt. Dla użytkowników zostawmy możliwość odczytu, administratorom natomiast dajmy pełną kontrolę zaznaczając odpowiednie pole.

Powtórzmy to samo dla katalogu „UPLOAD” z tym, że Użytkownikom także dajmy pełną kontrolę. Następnie wejdźmy do katalogu „Download” , kliknijmy prawym guzikiem na folderze „Administratorzy”, wejdźmy we właściwości i wybierzmy tym razem zakładkę „ZABEZPIECZENIA”.

Jak widać na chwilę obecną niektóre pola są nieaktywne (wyszarzałe) dzieje się tak dlatego, że uprawnienia są dziedziczone. System narzuca jakieś uprawnienia dla dysku C, i te uprawnienia są także domyślnie przenoszone na inne foldery i pliki na dysku twardym. Kliknijmy więc „zaawansowane”. Na planszy, która się pojawi należy odznaczyć opcję „Zezwalaj na propagowanie dziedziczonych uprawnień ....”

Na komunikacie jaki się pojawi wybieramy „Kopiuj”. Potem „Zastosuj” i ”OK.”.

Teraz możemy modyfikować praktycznie każdą wartość. Przy czym tych związanych z Systemem lepiej nie dotykać, żeby czegoś nie popsuć. Proponuję przeprowadzić test po zakończeniu kursu, co się stanie z Windowsem jeśli zabronimy odczytu do folderu C:\Windows. Twórca-właściciel ma nadane specjalne uprawnienia, których też lepiej nie dotykać bez doświadczenia w tej kwestii. Należy też pamiętać, że wcześniej modyfikowaliśmy uprawnienia dostępu przez sieć, a teraz modyfikujemy dostęp do plików na dysku, a nie zasobów udostępnionych. Trzeba także uważać i wiedzieć co się robi. Np. Odmówmy Użytkownikom odczytu, a Administratorowi pozwólmy na to. Pojawia się pytanie, czy Administrator będzie mógł odczytać zasoby, bo przecież on też jest Użytkownikiem. W ramach kursu jednak jedynie zmodyfikujmy Użytkowników tak, aby nie mieli żadnych uprawnień do zasobów. Resztę możemy zostawić bez zmian.
W przypadku katalogu „Użytkownicy” dajemy im możliwość jedynie „Wyświetlania zawartości folderu” oraz „Odczytu”. Nie chcemy, żeby w „Downloadzie” coś zamieniali.

W przypadku „Uploadu” dodamy im jedynie możliwość „Zapisu i wykonania”. Modyfikować nic nie muszą, a Pełna Kontrola by im pozwoliła zmieniać uprawnienia folderów i plików. Nie tylko byłoby to niebezpieczne ze względu na brak umiejętności z ich strony, ale Administrator powinien być jedyną osobą z takimi możliwościami. Na stronach technet.pl można znaleźć dokładny opis tego, co dane uprawnienie daje. Warto się temu przyjrzeć, gdyż mozwala to na wygodne zarządzanie dostępem do plików dowolną drogą. Nie ważne czy przez sieć lokalną, FTP czy stronę www, te ustawienia zawsze się liczą. Zanim przystąpimy do testów kliknijmy prawym guzikiem na właściwości dysku C.

Wybierzmy „właściwości” i zakładkę „przydział”.

Uruchommy zarządzanie przydziałami i skonfigurujmy tak jak na obrazku poniżej. Spowoduje to, że użytkownik nie będzie mógł na dysku C serwera przechowywać więcej niż 100MB, a gdy przekroczy 95MB pojawi się komunikat z ostrzeżeniem. Co więcej nie ważne gdzie dany użytkownik ma umieszczone swoje pliki, ważna jest suma ich rozmiarów. System je odnajdzie po właściwości zasobu mówiącej o jego właścicielu. Klikamy „Zastosuj” i „OK.”.

Przejdźmy teraz do komputera klienckiego i zalogujmy się na nim jako kasjer. Kliknijmy start, uruchom i wpiszmy ”\\nazwa_serwera”, aby dostać się do jego zasobów sieciowych.

Pojawi się lista udostępnionych zasobów. Wybierzmy więc „download”.

Spróbujmy teraz wejść do katalogu „Administratorzy”.

Sukces. Teraz wejdźmy do „Użytkowników” i spróbujmy stworzyć na przykład „nowy folder”.

Kolejny sukces. Sprawdźmy także czy „Upload” działa poprawnie.

Działa, udało się stworzyć folder. Sprawdźmy czy działają limity dyskowe. Spróbujmy skopiować plik większy niż 100MB do zasobu sieciowego.

Stosowny komunikat również się pojawił.

Teraz pora zapewnić sobie łatwy dostęp do tych katalogów. Najlepiej będzie je zamapować jako dyski sieciowe. W naszym przypadku najprościej jest to zrobić klikając na danym folderze prawym guzikiem i wybierając „Mapuj Dysk Sieciowy ...”.

Możemy wybrać literę dysku i klikamy „Zamknij”. Podobnie zróbmy dla Upload'u.

Teraz jeśli wejdziemy w „mój komputer” widzimy w nim także dyski sieciowe. Jeśli znamy ścieżkę możemy także użyć kreatora ukrytego pod „Mój Komputer > Narzędzie > Mapuj Dysk Sieciowy”. W przypadku, gdy na wielu komputerach miałyby zostać zamapowane te same dyski najszybciej byłoby do ich stworzenia użyć polis grupy.

Wróćmy na chwilkę na serwer i zajmijmy się drukarką wchodząc w jej właściwości.

W zakładce udostępnianie możemy drukarkę udostępnić dla sieci, a także dodać sterowniki. Np. Urządzenia często wymagają innych sterowników w zależności od wersji Windows. Jeśli je wszystkie tu dodamy to instalacja na klienckich komputerach przebiegnie bez potrzeby dostarczania CD producenta.

Zakładka „zaawansowane” pozwala na ograniczenie godzin w jakich można korzystać z urządzenia za pomocą opcji „Dostępna od” (podobne ograniczenie można też nakładać na użytkowników). Jest także możliwość ustawiania priorytetów. Im wyższy priorytet tym ważniejszy. O zastosowaniu wspominałem wcześniej, za chwilę pokażę jak wdrożyć taki system kolejkowania zleceń.

Zakładka „zabezpieczenia” odpowiada za dostęp do zasobów drukarki. Działa to podobnie jak w przypadku plików.

Za pomocą kreatora dodawania drukarki dodajmy jeszcze raz tą samą drukarkę. Komputer automatycznie jej nie wykryje, więc będzie trzeba ją wybrać z listy.

Po przebrnięciu kreatora uzyskamy dwa razy zainstalowaną tą samą drukarkę. Zmieńmy więc nazwę jednej z nich, tak aby opisywała swoją rolę.

W jej właściwościach ustawiamy priorytet na większy niż był wcześniej czyli np. 50.

W zabezpieczeniach zostawiamy jedynie administratorów oraz twórców-właścicieli.

Teraz na każdym komputerze administratora instalujemy drukarkę używając tej o wyższym priorytecie, a na innych tej o niższym. Oba sterowniki odnoszą się fizycznie do tego samego urządzenia, dzięki czemu uzyskaliśmy opisaną na początku funkcjonalność.