(Продолжительность занятия 20 минут)

Прежде чем назначать разрешения NTFS папкам и файлам, желательно определить, какие разрешения необходимы и кому. На этом занятии Вы познакомитесь со стратегией планирования разрешений NTFS для общих папок приложений, папок данных и домашних каталогов пользователей.

• спланировать разрешения для пользователей и групп на доступ к общим папкам приложений и данных и домашним катологам пользователей;
• описать действия, необходимые для создания домашних катологов пользователей на томах NTFS.

Планирование разрешений для общих папок приложений

• Снимите разрешение Full Control (Полный контроль), установленное по умолчанию для группы Everyone (Все), и присвойте его группе Administrators (Администраторы).
• Присвойте группам, ответственным за модернизацию и обслуживание программного обеспечения, разрешение Full Control (Полный контроль) на доступ к соответствующим папкам.
• Если сетевые программы расположены в общих папках, присвойте группе Users (Пользователи) разрешение Read (Чтение).

Планирование разрешений для общих папок данных

Снимите установленное по умолчанию для группы Everyone (Все) разрешение Full Control (Полный контроль) и присвойте его группе Administrators (Администраторы).

Присвойте группе Users (Пользователи) разрешение Add & Read (Чтение и запись), а группе Creator Owner (Создатель/владелец) — разрешение Full Control (Полный контроль). Тем самым пользователи, регистрирующиеся локально, смогут удалять и модифицировать только созданные ими папки и файлы.

Планирование разрешений для домашних каталогов пользователей

Храните домашние каталоги пользователей централизованно (на томе NTFS сервера сети), отдельно от томов операционной системы и программных папок. Это упростит администрирование и резервное копирование данных.

Пользуйтесь переменной %Username% для автоматического присвоения домашнему каталогу имени учетной записи пользователя, а соответствующему пользователю — разрешения NTFS Full Control (Полный контроль).

Создание домашних каталогов пользователей на томе NTFS

Основное преимущество хранения домашних каталогов пользователей на томе NTFS — возможность разместить их на одной ступени иерархии и разрешить каждому пользователю доступ только к его домашнему каталогу, без предоставления каждого каталога в совместное использование. Чтобы создать домашние каталоги на томе NTFS, выполните следующие действия.

1. Создайте папку с именем Users (Пользователи) на томе NTFS, где нет ни операционной системы, ни папок приложений. Это обеспечит сохранность домашних каталогов в случае повторного форматирования системного тома.
2. Предоставьте папку Users в совместное пользование: это обеспечит пользователям централизованное хранение файлов, а администраторам — централизованное администрирование.
3. Снимите установленное по умолчанию для группы Everyone (Все) разрешение Full Control (Полный контроль) и присвойте его группе Users (Пользователи).
4. Используйте переменную % Usemame% для автоматического присвоения домашним каталогам имен учетных записей пользователей, а учетным записям — разрешения NTFS Full Control (Полный контроль) на доступ к домашнему каталогу (на томах FAT доступ к домашним каталогам можно регулировать только средствами прав доступа к общим ресурсам).
   1. В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) создайте новую или дважды щелкните существующую учетную запись.
   2. В диалоговом окне New User (Добавить пользователя) или User Prop erties (Профиль пользователя) щелкните кнопку Profile (Профиль). В поле Connect To группы Home Directory (Домашний каталог) введите строку \\имя_cервеpa\Users\%Username%.

> Планирование разрешений NTFS на доступ к файлам и папкам

Предположим, Вам — администратору сети компании «Разноимпорт» — требуется защитить дисковые ресурсы Квебекского филиала. В этом упражнении Вы спланируете разрешения NTFS для сервера, в обращении к которому нуждаются все пользователи. Ваша задача — создать план, который обеспечит пользователям доступ к необходимым ресурсам сети и одновременно защитит их в соответствии с потребностями компании. Вы обезопасите папки иерархии с помощью разрешений NTFS (в упражнении предполагается, что на томе установлена файловая система NTFS). Прежде всего Вам нужно выяснить:

• стоит ли создавать локальную группу для доступа к каждому ресурсу или достаточно воспользоваться встроенной локальной группой;
• какие разрешения NTFS потребуются пользователям для доступа к соответствующим папкам и файлам.

  ответ

Запишите свои решения в «Шаблон планирования разрешений NTFS», приведенный в конце этого занятия. Закончив упражнение, сравните Ваш шаблон с примером из приложения «Шаблоны планирования». Имейте в виду: пример в приложении содержит всего лишь один из возможных наборов ответов — Вы можете спланировать разрешения по-другому.

Придерживайтесь следующих правил заполнения «Шаблона планирования разрешений NTFS».

1. Укажите папку или файл, на которые, нужно наложить разрешения NTFS. Запишите соответствующее имя в графу «Папка или файл».
2. Укажите для каждого ресурса локальную группу в графе «Локальная группа». Для некоторых папок Вы можете воспользоваться перечисленными ниже встроенными группами.

Группа	Описание
Users (Пользователи)	Встроенная локальная группа компьютера, которая содержит все учетные записи пользователей домена
Administrators (Администраторы)	Встроенная локальная группа, члены которой имеют административные полномочия
Creator Owner (Создатель/владелец)	Встроенная системная группа, обеспечивающая доступ создателю и владельцу ресурса

3. В графе «Члены» перечислите учетные записи групп, которым требуется доступ к папкам (они будут членами локальных групп). В приведенной ниже таблице перечислены учетные записи групп Квебекского филиала.

Группа	Описание
Accountants6	Глобальная группа учетных записей бухгалтерии
Executives6	Глобальная группа учетных записей руководителей
Managers6	Глобальная группа учетных записей менеджеров
Spreadsheet6	Локальная группа пользователей приложения электронных таблиц
Database6	Локальная группа пользователей приложения управления базой данных
Library6	Локальная группа для доступа к данным папки Library

4. Для членов каждой локальной группы в графе «Разрешения NTFS» укажите соответствующие стандартные разрешения NTFS (например. List, Read, Add, Add & Read, Change, Full Control или No Access).

Планировать разрешения Вам поможет приведенная ниже иллюстрация и перечень дополнительных требований. На рисунке показаны иерархии папок сервера Квебекского филиала. Обратите внимание, что папки «Общедоступные данные» и «Приложения» предоставлены в общее пользование. Группа Everyone (Все) имеет право доступа Full Control (Полный контроль) к этим папкам.

• Принимая решения, учитывайте перечисленные ниже требования. Администраторы должны управлять всеми папками и файлами.
• Все пользователи должны иметь право запускать программы, находящиеся в папке «Редакторы текстов», но не изменять файлы этой папки.
• Члены глобальных групп Accountants6, Managers6 и Executives6 (и только они) должны иметь право запускать приложения из папок «Электронные таблицы» и «СУБД», но не изменять файлы этих папок.
• Всем пользователям необходимо иметь возможность копировать свои файлы в папку «Общедоступные данные» и изменять их по мере необходимости, а также читать файлы других пользователей в этой папке.
• Члены глобальной группы Managers6 должны иметь возможность добавлять новые файлы в папку «Библиотека».
• Все пользователи должны иметь возможность открывать и просматривать файлы в папках «Библиотека» и «Руководства».
• Пользователь User6 должен обновлять файл Archive.txt при каждом добавлении нового файла в папку «Библиотека».
• Пользователь User6 должен иметь возможность вносить изменения в файлы папки «Руководства», в том числе присваивать разрешения на доступ к файлам другим пользователям и группам.

Резюме

• Прежде чем приступить к назначению разрешений NTFS папкам и файлам, решите, какие разрешения необходимы и кому. Для общих папок приложений присвойте группе Administrators и группам, ответственным за модернизацию и обслуживание программного обеспечения, разрешение Full Control (Полный контроль). Присвойте группе Users (Пользователи) разрешение Read (Чтение).
• Для общих папок данных присвойте группе Administrators разрешение Full Control (Полный контроль), группе Users (Пользователи) — разрешение Add & Read (Чтение и запись), а группе Creator Owner (Создатель/владелец) — разрешение Full Control (Полный контроль). Тем самым пользователи, регистрирующиеся локально, смогут удалять и модифицировать только созданные ими папки и файлы.
• Пользуйтесь переменной %Username% для автоматического присвоения домашнему каталогу имени учетной записи пользователя, а соответствующему пользователю — разрешения NTFS Full Control (Полный контроль).

Дополнительную информацию о ...	Вы найдете в ...
создании домашних каталогов на томах FAT	главе 5, «Защита сетевых ресурсов с помощью прав доступа», настоящего курса
переменной %Username%	главе 2, «Создание учетных записей пользователей», настоящего курса
системной группе Creator Owner (Создатель/владелец).	главе 2, «Working With User And Group Accounts», документа Microsoft Windows NT Server Concepts and Planning

Шаблон планирования разрешений NTFS

Папка или файл	Локальная группа	Члены	Разрешения NTFS