Прежде чем назначать разрешения NTFS папкам и файлам, желательно определить, какие разрешения необходимы и кому. На этом занятии Вы познакомитесь со стратегией планирования разрешений NTFS для общих папок приложений, папок данных и домашних каталогов пользователей.
Изучив материал этого занятия, Вы сможете:
спланировать разрешения для пользователей и групп на доступ к общим папкам приложений и данных и домашним катологам пользователей;
описать действия, необходимые для создания домашних катологов пользователей на томах NTFS.
Планирование разрешений для общих папок приложений
Снимите разрешение Full Control (Полный контроль), установленное по умолчанию для группы Everyone (Все), и присвойте его группе Administrators (Администраторы).
Присвойте группам, ответственным за модернизацию и обслуживание программного обеспечения, разрешение Full Control (Полный контроль) на доступ к соответствующим папкам.
Если сетевые программы расположены в общих папках, присвойте группе Users (Пользователи) разрешение Read (Чтение).
Планирование разрешений для общих папок данных
Снимите установленное по умолчанию для группы Everyone (Все) разрешение Full Control (Полный контроль) и присвойте его группе Administrators (Администраторы).
Присвойте группе Users (Пользователи) разрешение Add & Read (Чтение и запись), а группе Creator Owner (Создатель/владелец) — разрешение Full Control (Полный контроль). Тем самым пользователи, регистрирующиеся локально, смогут удалять и модифицировать только созданные ими папки и файлы.
Планирование разрешений для домашних каталогов пользователей
Храните домашние каталоги пользователей централизованно (на томе NTFS сервера сети), отдельно от томов операционной системы и программных папок. Это упростит администрирование и резервное копирование данных.
Пользуйтесь переменной %Username% для автоматического присвоения домашнему каталогу имени учетной записи пользователя, а соответствующему пользователю — разрешения NTFS Full Control (Полный контроль).
Создание домашних каталогов пользователей на томе NTFS
Основное преимущество хранения домашних каталогов пользователей на томе NTFS — возможность разместить их на одной ступени иерархии и разрешить каждому пользователю доступ только к его домашнему каталогу, без предоставления каждого каталога в совместное использование. Чтобы создать домашние каталоги на томе NTFS, выполните следующие действия.
Создайте папку с именем Users (Пользователи) на томе NTFS, где нет ни операционной системы, ни папок приложений. Это обеспечит сохранность домашних каталогов в случае повторного форматирования системного тома.
Предоставьте папку Users в совместное пользование: это обеспечит пользователям централизованное хранение файлов, а администраторам — централизованное администрирование.
Снимите установленное по умолчанию для группы Everyone (Все) разрешение Full Control (Полный контроль) и присвойте его группе Users (Пользователи).
Используйте переменную % Usemame% для автоматического присвоения домашним каталогам имен учетных записей пользователей, а учетным записям — разрешения NTFS Full Control (Полный контроль) на доступ к домашнему каталогу (на томах FAT доступ к домашним каталогам можно регулировать только средствами прав доступа к общим ресурсам).
В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) создайте новую или дважды щелкните существующую учетную запись.
В диалоговом окне New User (Добавить пользователя) или User Prop erties (Профиль пользователя) щелкните кнопку Profile (Профиль). В поле Connect To группы Home Directory (Домашний каталог) введите строку \\имя_cервеpa\Users\%Username%.
Совет! Приучите пользователей хранить личные и служебные файлы в домашних каталогах. Если домашние каталоги, расположенные на сетевом сервере, перемещают на другой сервер, то для возобновления доступа к данным потребуется лишь изменить путь к основной папке.
Планирование разрешений NTFS на доступ к файлам и папкам
Предположим, Вам — администратору сети компании «Разноимпорт» — требуется защитить дисковые ресурсы Квебекского филиала. В этом упражнении Вы спланируете разрешения NTFS для сервера, в обращении к которому нуждаются все пользователи. Ваша задача — создать план, который обеспечит пользователям доступ к необходимым ресурсам сети и одновременно защитит их в соответствии с потребностями компании. Вы обезопасите папки иерархии с помощью разрешений NTFS (в упражнении предполагается, что на томе установлена файловая система NTFS). Прежде всего Вам нужно выяснить:
стоит ли создавать локальную группу для доступа к каждому ресурсу или достаточно воспользоваться встроенной локальной группой;
какие разрешения NTFS потребуются пользователям для доступа к соответствующим папкам и файлам.
ответ
Запишите свои решения в «Шаблон планирования разрешений NTFS», приведенный в конце этого занятия. Закончив упражнение, сравните Ваш шаблон с примером из приложения «Шаблоны планирования». Имейте в виду: пример в приложении содержит всего лишь один из возможных наборов ответов — Вы можете спланировать разрешения по-другому.
Придерживайтесь следующих правил заполнения «Шаблона планирования разрешений NTFS».
Укажите папку или файл, на которые, нужно наложить разрешения NTFS. Запишите соответствующее имя в графу «Папка или файл».
Укажите для каждого ресурса локальную группу в графе «Локальная группа». Для некоторых папок Вы можете воспользоваться перечисленными ниже встроенными группами.
В графе «Члены» перечислите учетные записи групп, которым требуется доступ к папкам (они будут членами локальных групп). В приведенной ниже таблице перечислены учетные записи групп Квебекского филиала.
Для членов каждой локальной группы в графе «Разрешения NTFS» укажите соответствующие стандартные разрешения NTFS (например. List, Read, Add, Add & Read, Change, Full Control или No Access).
Планировать разрешения Вам поможет приведенная ниже иллюстрация и перечень дополнительных требований. На рисунке показаны иерархии папок сервера Квебекского филиала. Обратите внимание, что папки «Общедоступные данные» и «Приложения» предоставлены в общее пользование. Группа Everyone (Все) имеет право доступа Full Control (Полный контроль) к этим папкам.
Принимая решения, учитывайте перечисленные ниже требования. Администраторы должны управлять всеми папками и файлами.
Все пользователи должны иметь право запускать программы, находящиеся в папке «Редакторы текстов», но не изменять файлы этой папки.
Члены глобальных групп Accountants6, Managers6 и Executives6 (и только они) должны иметь право запускать приложения из папок «Электронные таблицы» и «СУБД», но не изменять файлы этих папок.
Всем пользователям необходимо иметь возможность копировать свои файлы в папку «Общедоступные данные» и изменять их по мере необходимости, а также читать файлы других пользователей в этой папке.
Члены глобальной группы Managers6 должны иметь возможность добавлять новые файлы в папку «Библиотека».
Все пользователи должны иметь возможность открывать и просматривать файлы в папках «Библиотека» и «Руководства».
Пользователь User6 должен обновлять файл Archive.txt при каждом добавлении нового файла в папку «Библиотека».
Пользователь User6 должен иметь возможность вносить изменения в файлы папки «Руководства», в том числе присваивать разрешения на доступ к файлам другим пользователям и группам.
Резюме
Прежде чем приступить к назначению разрешений NTFS папкам и файлам, решите, какие разрешения необходимы и кому. Для общих папок приложений присвойте группе Administrators и группам, ответственным за модернизацию и обслуживание программного обеспечения, разрешение Full Control (Полный контроль). Присвойте группе Users (Пользователи) разрешение Read (Чтение).
Для общих папок данных присвойте группе Administrators разрешение Full Control (Полный контроль), группе Users (Пользователи) — разрешение Add & Read (Чтение и запись), а группе Creator Owner (Создатель/владелец) — разрешение Full Control (Полный контроль). Тем самым пользователи, регистрирующиеся локально, смогут удалять и модифицировать только созданные ими папки и файлы.
Пользуйтесь переменной %Username% для автоматического присвоения домашнему каталогу имени учетной записи пользователя, а соответствующему пользователю — разрешения NTFS Full Control (Полный контроль).
