Администрирование общих папок

Одна из широко используемых функций операционных систем – создание папок общего доступа. Однако неверное использование этой возможности может служить причиной нарушения политики доступа и привести к негативным последствиям.

Для управления папками общего доступа используются различные средства. Делать папки общими можно непосредственно из программы “Проводник”, выбирая нужную папку или диск и специальным образом редактируя её (его) свойства доступа. Другая возможность – использование специального файла консоли управления Microsoft – fsmgmt.msc (от File Sharing management – Общие файлы). Управление общими файлами входит в группу оснасток под названием Управление компьютером (Панель управления → Администрирование → Управление компьютером). Наконец, для управления доступом к файлам через сеть возможно использование команд NetBIOS.

При управлении общим доступом к папкам с использованием “Проводника” для выбранной папки необходимо в контекстном меню, открывающимся по правой кнопке мыши, выбрать пункт “Свойства”. В открывшемся диалоговом окне выбрать вкладку “Доступ” (см. Рис. 1).

По умолчанию для папки включена радиокнопка «Отменить общий ресурс». Для организации общего доступа к папке необходимо выбрать радиокнопку «Открыть общий доступ». При этом станут доступны характеристики общего доступа.

В окне Сетевое имя указывается имя ресурса. Это имя NetBIOS, поэтому если папка, предоставляемая в общий доступ, имеет длинное имя, да еще и с использованием кириллицы, рекомендуется указать сетевое имя латиницей и не делать его длинным. Имя NetBIOS может быть длиной до 15 символов, но для того, чтобы старое системное программное обеспечение смогло правильно работать с сетевыми именами, рекомендуется делать его не длиннее 8 символов. Например, если папка на диске имела имя Общие файлы, то при предоставлении ее в общий доступ по сети можно дать ей имя либо COMMON, либо FILES, либо еще какое-нибудь понятное и короткое имя. При этом в окне Комментарий следует разместить необходимые пояснения. Соответствие между сетевыми именами и локальными именами фиксируется в реестре операционной системы. Следует знать, что если сетевое имя оканчивается на символ «доллар» ($), то такой ресурс не будет виден при обзоре сети; его не покажет и команда NET VIEW интерфейса NetBIOS. Для получения доступа к невидимому сетевому ресурсу можно воспользоваться либо командой NET USE интерфейса NetBIOS, либо подключая сетевой диск.

Рис. 1. Диалоговое окно «Доступ»

Следующая важная кнопка – это Разрешения. Если открыть окно управления разрешениями доступа, то мы увидим то, что показано на рис. 2. Это разрешения доступа, которые система устанавливает по умолчанию.

Однако в таком случае информация в этой папке становится доступной всем пользователям, работающим в сети, причем это максимально возможные разрешения доступа. Легко догадаться, что это далеко не всегда является желательным фактом. Для более безопасной работы рекомендуется, как минимум ограничить доступ к папке, задав иные разрешения доступа. Рассмотрим поподробнее процедуру составления иного списка управления доступом.

Рис. 2. Диалоговое окно «Разрешения доступа»

В верхней части окна Разрешения для … необходимо сформировать перечень тех групп и/или пользователей, доступ которых к папке предполагается. При этом группу «Все» возможно следует и вовсе удалить, чтобы исключить доступ к файлам, расположенным в папке, нежелательным лицам. Для формирования списка управления доступом следует использовать кнопки Добавить (Add) и Удалить (Delete). В случае нажатия на кнопку Добавить открывается окно Выбор … с перечнем пользователей и групп (см. рис. 3). Здесь следует остановиться и рассмотреть эти учетные записи. Они образованы из встроенных учетных записей, из учетных записей пользователей и групп, которые были сделаны членами группы Администраторы и/или членами группы Опытные пользователи. Наконец, в этом списке можно увидеть особые группы. Состав членов этих особых групп нельзя просмотреть или модифицировать. Однако представлять, кто может быть членами этих групп, необходимо.

• ВСЕ (Everyone) — объединяет все возможные обращения к системе с запросами на те или иные ресурсы. Включает в себя не только те учетные записи, которые могут быть идентифицированы системой, но и вообще любые запросы.
• Прошедшие проверку – объединяет всех тех пользователей, которые прошли аутентификацию.
• Анонимный вход (Anonimous) – для учетных записей, которые могут обращаться к ресурсам компьютера не указывая свой пароль.
• СЕТЬ (Network) — объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).
• УДАЛЕННЫЙ ДОСТУП – пользователи, получающие доступ через модемные соединения.
• ИНТЕРАКТИВНЫЕ (Interactive) — объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс. Для сетевого доступа эта группа не имеет значения, но при формировании дискреционных списков управления доступом, который имеет отношение к разрешениям NTFS, эта группа может быть востребована.
• SYSTEM (система) – ядро операционной системы.
• СЛУЖБА (Services) – управляющие и обрабатывающие модули операционной системы, имеющие статус процесса. Вызываются из ядра операционной системы.
• ПАКЕТНЫЕ ФАЙЛЫ
• И некоторые другие группы. Их наличие или отсутствие в списке зависит от операционной системы и установленных в ней сервисов.

Рис. 3. Диалоговое окно «Выбор пользователей и групп»

В окне Разрешения для … устанавливаются соответствующие разрешения. Обратите внимание, что имеется возможность выбрать одну из трех комбинаций:

• поставить галочку в столбце Разрешить (Allow). В этом случае говорят, что данный пункт разрешен;
• поставить галочку в столбце Запретить (Deny). Следует считать, что соответствующее действие запрещено.
• оставить неотмеченными и столбец Разрешить, и столбец Запретить. Это будет означать, что разрешение не запрещено.

Таким образом, разрешения могут быть в явном виде разрешены или запрещены, а могут быть и не запрещены. Если мы заменяем примитивный список вида: «Все имеют полный доступ» на какой-нибудь иной, то вычисляются итоговые разрешения доступа. Если некий пользователь является членом нескольких групп, то в списке разрешений для него может оказаться несколько правил. Разрешения суммируются, однако запрет имеет приоритет перед разрешением. Не рекомендуется указывать запрет для групп, и уж тем более никогда нельзя ставить запрет для группы Все. Очевидно, что те пользователи и группы, которые не были указаны в списке разрешений доступа, не получат доступа к ресурсу. Поэтому правильно составленный список может и не иметь ни одного запрета. Очень важно отметить, что не следует в списке управления доступом использовать встроенные учетные записи групп, за исключением группы Администраторы, для которых, как правило, всегда указывается разрешение полного доступа.

Разрешение Чтение (Read) предполагает возможность чтения файлов и, если файл является исполняемым, выполнение соответствующей программы. Разрешение Изменение (Change) означает, что помимо чтения и запуска программ можно изменять файлы и папки – создавать, переименовывать, изменять и удалять файловые объекты. Если установить галочку напротив разрешения Изменение, но удалить галочку напротив разрешения Чтение, то изменять файлы и папки, со всей очевидностью, будет нельзя. Заметим, что операционные системы семейства Windows 2000 допускают такую комбинацию, хотя она и является неработоспособной. Что касается операционных систем Windows XP и Windows 2003 Server, то они уже не дают возможности установить такую комбинацию.

Разрешение Полный доступ отличается от разрешения Изменение тем, что при полном доступе можно управлять разрешениями. Поэтому если папки с общими файлами располагаются на дисках с NTFS, то использование разрешения Изменение позволяет лишить пользователей возможности изменять разрешения NTFS, даже если пользователи и являются собственниками файлов. Напомним, что владелец файлов имеет право изменять разрешения NTFS даже в отсутствие разрешения на изменение разрешений.

Следует отметить, что разрешения общего доступа отличаются от разрешений NTFS, предоставляемых на вкладке Безопасность свойств папки. Их часто используют совместно для управления доступом, но в данной лабораторной работе мы изучаем только разрешения общего доступа.

Консоль управления Общие файлы (File Management)

Для управления доступом к таким сетевым ресурсам как файлы в системах Windows 2000/XP помимо обычного проводника сделана специальная консоль. Подробно описывать ее не будем, поскольку ее изучение предполагается выполнить самостоятельно. Для этого необходимо запустить на выполнение файл FSMGMT.MSC и нажать на клавишу {F1} или указать на символ «?» в панели управления открывшегося окна. Следует внимательно и полностью прочитать имеющиеся справочную информацию и подсказки.

Обратите внимание, что консоль управления Общие файлы помимо управления сетевым доступом к общим файлам позволяет получить полный перечень сетевых файловых ресурсов. Кроме этого, с ее помощью можно управлять сетевым доступом к папкам с файлами на удаленных компьютерах, если Вы имеете на удаленном компьютере соответствующие права. Наконец, с ее помощью можно получить информацию о том, кто сейчас использует через механизмы сетевого доступа имеющиеся на компьютере общие файлы, и какие конкретно файлы в каком режиме используются.

Если внимательно посмотреть на имеющиеся сетевые ресурсы, то можно увидеть, что кроме тех общих папок с файлами, которые были сделаны администраторами и/или членами группы Power Users, существуют специальные ресурсы, имена которых составлены из имени логического диска и дописанного к нему символа $ (доллар), и другие общесистемные ресурсы: Admin$ и IPC$. Эти ресурсы, за исключением IPC$ предназначены исключительно для членов группы Администраторы. Аббревиатура IPC означает межпроцессное взаимодействие. Речь идет о канале обмена данными между процессами, которые выполняются на разных компьютерах. В случае отключения этого ресурса (это можно сделать, например, путем редактирования реестра) перестанет работать связь между модулями клиент и сервер, работающими по протоколу SMB (Server Message Blocks).