Занятие 2. Планирование общих папок

(Продолжительность занятия 20 минут)

Прежде чем предоставить папки в общее пользование, необходимо решить, какие ресурсы будут общими и кому они будут доступны. Чтобы сеть успешно работала, доступ авторизованных пользователей к сетевым ресурсам — приложениям, данным и домашним каталогам — должен быть максимально упрощен. На этом занятии Вы познакомитесь с принципами планирования общих папок в сети.

• перечислить задачи, которые необходимо решить при планировании общих папок;
• спланировать права доступа пользователей и групп к общим папкам.

Рекомендации

Предоставляя папки в общее пользование, руководствуйтесь следующим соображениями.

• Определите, к каким папкам на сервере надо обеспечить общий доступ, и организуйте их так, чтобы папки с одинаковыми требованиями к защите располагались на одной иерархической ступени. Например, сгруппируйте в одной папке несколько папок, к которым требуется предоставить доступ на чтение.
• Присваивайте общим папкам интуитивно понятные сетевые имена, чтобы пользователи могли легко найти нужный ресурс. Например, папке приложений разумно присвоить сетевое имя «Приложения».
• Назначая сетевые имена, помните, что они должны быть совместимы с операционными системами всех клиентов сети. В приведенной ниже таблице перечислены соглашения о сетевых именах для разных ОС.

Операционная система	Ограничения на сетевые имена ресурсов	Ограничения на названия папок
Windows NT и Windows 95 MS-DOS, Windows З.х и Windows for Workgroups	12 символов формат 8.3	255 символов формат 8.3

Примеры общих папок

Метод организации общих папок непосредственно связан с защитой данных. Например, если Вы располагаете папки с одинаковыми требованиями к безопасности на одной иерархической ступени, достаточно лишь предоставить доступ к папке, в которую они вложены. Имейте в виду, что пользователь при наличии прав доступа к папке может обратиться к ее содержимому, но ему недоступны другие папки на том же и более высоком уровнях иерархии.

Ниже приведены два примера организации общих папок в структуру, обеспечивающую защиту данных.

На первой иллюстрации показаны папки приложений, собранные в одну папку «Приложения», к которой и предоставлен общий доступ. Встроенной группе Users (Пользователи) предоставлено право доступа Read (Чтение) к этой папке. Когда член группы Users подключается к папке «Приложения», он автоматически получает доступ ко всем вложенным в нее папкам, так как они находятся на одной иерархической ступени. При этом папки «Данные», «Данные1» и «Данные2» пользователям недоступны, поскольку находятся на другом уровне иерархии папок.

На следующей иллюстрации показано, как группирование общих папок упрощает администрирование. Если Вы отдадите папку «Данные» в общее пользование, но предоставите права доступа Full control (Полный контроль) только встроенной группе Administrators (Администраторы), то члены этой группы получат одновременно и доступ ко всей иерархии, включая папки приложений.

Как назначать права доступа

Присваивая пользователям и группам права доступа к общим папкам, руководствуйтесь приведенными ниже рекомендациями.

• Выделите группы, нуждающиеся в доступе к общим папкам, и определите необходимые им типы доступа. Например, группе Отдел продаж может требоваться доступ с правом Change (Изменение) к папке «Данные отдела продаж» группе Administrators (Администраторы) — право доступа Full control (Полный контроль), а группе Руководители — Read (Чтение).
• Для каждого общего ресурса создайте на соответствующем компьютере локальную группу. Если ресурс находится на сервере или рабочей станции под управлением Windows NT Workstation, локальную группу нужно создавать именно на этом компьютере; а если ресурс размещен на контроллере домена, это можно сделать на любом компьютере, где можно запустить User Manager for Domains (Диспетчер пользователей доменов).
• Предоставляйте права доступа к ресурсу только тем группам, которые действительно нуждаются в доступе.
• Выбирайте максимально строгие права доступа (однако не забудьте, что они все же должны обеспечивать требуемый доступ к ресурсу). Например, если пользователям требуется только просматривать, но не создавать или удалять файлы в папке, присвойте им право доступа Read (Чтение).
• Для обеспечения максимального уровня защиты лишите встроенную группу Everyone (Все) права доступа Full control (Полный контроль). Дело в том, что в эту группу входят не только все авторизованные пользователи сети, но и все зарегистрировавшиеся по учетной записи Guest (Гость).

Сетевые папки приложений

В большой сети один или даже несколько серверов могут быть специально выделены для хранения приложений. В небольшой сети, напротив, один и тот же сервер может служить для хранения и приложений, и данных. Поэтому методика предоставления папок приложений в общее пользование зависит от размеров сети. В общем случае мы советуем при предоставлении папок приложений в общее пользование придерживаться следующих рекомендаций.

• Создайте основную папку общего пользования для приложений — например, «Приложения».
• Предоставьте группе Administrators (Администраторы) право доступа Fullcontrol (Полный контроль) к этой папке.
• В целях усиления защиты лишите встроенную группу Everyone (Все) права доступа Full control (Пoлный контроль) к папке «Приложения», а группе Users (Пользователи) предоставьте право доступа Read (Чтение). Предоставьте право доступа Change (Изменение) группе, ответственной за сопровождение и модернизацию программного обеспечения.

Предоставление доступа к индивидуальным папкам приложений конкретным группам следует применять, только чтобы ограничить доступ к этим приложениям. Например, если Вы хотите разрешить пользователям группы доступ только к пакету электронных таблиц, предоставьте соответствующую папку в общее пользование и присвойте группе соответствующие права.

Сетевые папки данных

С помощью общих папок данных пользователи обмениваются файлами и совместно используют их. Планируя создание общих папок данных, обдумайте, стоит ли организовать отдельные папки для данных, адресованные всем сотрудникам, и для файлов, которыми будут обмениваться Ваши пользователи.

Если на Вашем жестком диске — несколько разделов, расположите общие папки данных не на том томе, где размещена операционная система и приложения. Централизация папок данных облегчает резервное копирование и, кроме того, при переформатировании раздела операционной системы данные не будут затронуты.

Общедоступные данные

В папках общедоступных данных, как правило, хранят файлы, которые сотрудники только просматривают, например информацию о премиях или бланки отчета о расходах.

Создавая папки для общедоступных данных, придерживайтесь следующих правил.

• Предоставьте группе, которая готовит информацию, и группе Administrators (Администраторы) право доступа Full control (Полный контроль) к папкам общедоступных данных. Группе Administrators (Администраторы) эти права необходимы для выполнения административных работ.
• Предоставьте право доступа Read (Чтение) к этим папкам всем пользователям, которым необходим доступ к информации.

Рабочие папки

Общие рабочие папки — это централизованное хранилище для рабочих файлов. Обычно пользователи постоянно работают с файлами из таких папок — добавляют и удаляют их.

• Создавая общие папки для рабочих данных, придерживайтесь следующих правил.
• Предоставьте право доступа Change (Изменение) к этим папкам всем пользователям, которым нужно обмениваться файлами с другими сотрудниками.
• Предоставьте группе Administrators (Администраторы) право доступа Full control (Полный контроль) к общим папкам рабочих файлов.
• Предоставляйте индивидуальные папки данных в общее пользование, только если необходимо ограничить круг лиц, имеющих доступ к этим данным, какой-то конкретной группой.

Например, если Вы хотите обеспечить безопасность папки «Бухгалтерия», предоставьте доступ к ней только группе Бухгалтерия и присвойте ей права доступа Change (Изменение). В результате члены этой группы получат доступ к общей папке «Бухгалтерия», а членам группы Administrators (Администраторы) для доступа к этой папке достаточно будет подключиться к папке «Данные».

Домашние каталоги

Чтобы создать домашние каталоги для пользователей компьютеров с файловой системой FAT, необходимо прежде всего создать структуру домашних каталогов на сервере. Имейте в виду, что для томов FAT предоставление домашних каталогов в общее пользование с установкой соответствующих прав доступа к сетевым ресурсам единственный метод защиты.

Создавая домашние каталоги на томе файловой системы FAT, придерживайтесь следующих правил.

1. Создайте основную папку домашних каталогов — например, «Пользователи» (Users) — на томе, не содержащем операционную систему и приложения.

   Это упрощает резервное копирование и, кроме того, при переформатировании раздела операционной системы домашние каталоги не будут затронуты.

2. В папке «Пользователи» создайте вложенные папки для всех учетных записей. Имя папки домашнего каталога должно совпадать с учетным именем пользователя. Например, домашний каталог учетной записи АндрейК должен называться «Андрей К».

   ---

   Примечание На томах FAT домашний каталог пользователя должен быть создан и предоставлен в общее пользование до того, как путь к домашнему каталогу будет указан на соответствующей вкладке программы User Manager for Domains (Диспетчер пользователей доменов).

   ---

3. Предоставьте каждую из созданных папок в общее пользование, присвоив право доступа Full control (Полный контроль) к этой папке только владельцам соответствующей учетной записи. Этот метод обеспечивает конфиденциальность данных пользователя, поскольку только он (или она) может подключиться к папке домашнего каталога. Еще раз напомним, что это — единственный метод ограничения доступа к папкам на томах файловой системы FAT.
4. С помощью программы User Manager for Domains (Диспетчер пользователей доменов) занесите в учетные записи пользователей сведения о созданных домашних каталогах.
5. Предоставьте право доступа к папке верхнего уровня («Пользователи») только группе Administrators (Администраторы).

Администрирование домашних каталогов можно, кроме того, выполнять локально (зарегистрировавшись на сервере в качестве администратора) или с помощью сетевых ресурсов административного назначения (С$, D$ и т.д.).

> Планирование общих папок

Предположим, компания «Разноимпорт» открыла первый офис в Стамбуле. Вам — администратору сети компании — надо спланировать общие ресурсы на серверах нового офиса и предоставить их в распоряжение пользователей сети филиала в соответствие с их потребностями. Схема Ваших действий такова:

• выясните, какие папки необходимо предоставить в общее пользование, и подберите им сетевые имена;
• решите, следует ли создать локальную группу для доступа к каждому из ресурсов или воспользоваться одной из встроенных групп;
• выберите соответствующие права доступа для членов локальной группы.

  ответ

Запишите принятые решения в «Шаблон плана создания общих папок», расположенный в конце этого занятия.

Выполнив упражнение, сравните свой шаблон с образцом, который Вы найдете в приложении «Шаблоны планирования» настоящего курса. Имейте в виду, что в образце приведен лишь один из возможных вариантов — Вы вполне могли спланировать общие папки иначе. Чтобы заполнить «Шаблон плана создания общих папок», надо выполнить следующие действия.

1. Придумайте имя для общей папки и запишите его в графе «Имя папки».
2. Для каждой общей папки в графе «UNC-имя» запишите имя сервера и имя общего ресурса в формате универсального соглашения об именах (Universal Naming Convention, UNC). Вот пример имени в формате UNC: \\имя_сервера\\сетевое_имя.
3. Выберите локальную группу для каждой общей папки и запишите ее название в графе «Локальная группа». Для некоторых общих ресурсов можно воспользоваться перечисленными ниже встроенными локальными группами.

Группа	Описание
Users (Пользователи)	Встроенная локальная группа, в состав которой входят все учетные записи пользователей компьютеров домена
Administrators (Администраторы)	Встроенная локальная группа, членам которой предоставлены административные полномочия

4. В графе «Члены» перечислите учетные записи всех пользователей, нуждающихся в доступе к общим папкам, которые будут занесены в локальные группы. Учетные записи групп пользователей из офиса Вашей компании в Стамбуле перечислены в приведенной ниже таблице.

Группа	Описание
Менеджеры	Глобальная группа, в которую входят все менеджеры
Руководители Отдел кадров	Глобальная группа, в которую входят все руководители Глобальная группа сотрудников отдела кадров
Бухгалтерия	Глобальная группа сотрудников бухгалтерии

5. Выберите права доступа для каждой локальной группы. Запишите их в графе «Права доступа к общему ресурсу» (например. Change, Read, Full control или No Access).

Разработать план Вам помогут изображенные ниже структура сети Стамбульского отделения (главный и резервный контроллеры домена и сервер) и структура папок на каждом из компьютеров сети офиса.

Принимая решения, имейте в виду следующие соображения.

• Все сотрудники пользуются приложениями для работы с электронными таблицами, базами данных и документами. Администраторы должны иметь возможность администрирования всех папок.
• Менеджерам необходимо обмениваться файлами программного обеспечения управления проектами. Администраторы должны иметь возможность администрирования этих данных.
• Отделу кадров и бухгалтерии необходимо сетевое хранилище для рабочих файлов. Каждый отдел будет решать административные задачи в отношении этих данных самостоятельно. Руководители должны иметь возможность просмотра рабочих материалов.
• Руководителям и менеджерам нужно сетевое хранилище для форм отчетов о работе персонала. К этим формам необходимо обеспечить доступ всем сотрудникам. Администрирование форм возлагается на администраторов.
• Пользователям Пользователь1, Пользователь2, ПользовательЗ необходимы домашние каталоги. Они должны быть доступны только их владельцам. Администрирование домашних каталогов возлагается на администраторов.

Резюме

• Прежде чем обеспечить общий доступ к папкам, решите, какие именно ресурсы требуется предоставить в общее пользование и кому они должны быть доступны.
• Присваивайте общим ресурсам интуитивно понятные сетевые имена, чтобы пользователи могли легко найти и отождествить нужный ресурс.
• Назначая сетевые имена, помните, что они должны быть совместимы с операционными системами всех клиентов сети.
• Организуйте дисковые ресурсы так, чтобы папки с одинаковыми требованиями к защите располагались на одной иерархической ступени.
• Для каждого общего ресурса создайте соответствующую локальную группу. Если ресурс находится на сервере или рабочей станции под управлением Windows NT Workstation, локальную группу нужно создавать именно на этом компьютере; а если ресурс размещен на контроллере домена, это можно сделать на любом компьютере, где можно запустить утилиту User Manager for Domains (Диспетчер пользователей доменов).
• Предоставляя пользователям и группам права доступа к папкам, руководствуйтесь рекомендациями этого занятия.

Дополнительную информацию о ...	Вы найдете в...
процедурах предоставления папки в общее пользование	справочной системе Windows NT
различиях между файловыми системами FAT и NTFS	главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning
управлении доступом к файлам и папкам	главе 3, «Disk Management Basics», руководства Resource Guide комплекта документации Microsoft Windows NT Server Resource Kit
защите файлов и папок Windows NT Workstation	главе 6, «Windows NT Security», комплекта документации Microsoft Windows NT Workstation Resource Kit
выборе файловой системы	главе 18, «Choosing a File System», комплекта документации Microsoft Windows NT Workstation Resource Kit

Шаблон плана создания общих папок

Имя папки	UNC-имя	Локальная группа	Члены	Права доступа к общему ресурсу