Начнем с предоставления папок в общий доступ. Обратите внимание, что общими
можно сделать только папки. Для того, чтобы предоставить общий доступ к файлу
его необходимо поместить в общую папку.
Существует три метода предоставления папок в общий доступ:
1. С помощью проводника Windows.
2. С помощью оснастки "Общие папки".
3. С помощью командной строки.
Остановимся более детально на первом методе. Для того чтобы открыть общий
доступ к папке сделайте на ней клик правой кнопкой мыши и в появившемся меню
выберите "Общий доступ и безопасность".
В появившемся окне на вкладке "Доступ" выберите "Открыть общий доступ к этой
папке".
Теперь давайте разберемся с настройками, которые здесь присутствуют. В первом
поле необходимо указать имя общего ресурса. По умолчанию предлагается локальное
имя ресурса, но сетевое имя можно назначить совсем другое. Желательно, чтобы оно
было информативным.
Для того, чтобы пользователям в сети было понятно назначение ресурса,
существует необязательное поле "Комментарий". Запись в поле комментарий будет
отображаться при просмотре общих ресурсов вашего ПК с другого компьютера.
Комментарий отображается если для отображения папок выбран вид - таблица.
На этом давайте пока остановимся и нажмем кнопку "Применить". Позже мы
вернемся к остальным настройкам. После того как мы нажали кнопку "Применить" под
изображением папки появится "рука" символизирующая общий ресурс. Рассмотрим,
каким образом можно обратиться по сети к общей папке.
Общие ресурсы в Windows именуются следующим образом
\\имя_компьютера\имя_папки. Как вы помните имя данного компьютера можно узнать
через компонент "Свойства системы" на вкладке "Имя компьютера".
Причем нас интересует не полное доменное имя, а только его часть до первой
точки. Имя компьютера, с которого начинается имя ресурса,
называется NetBIOS – именем компьютера. Вы можете узнать NetBIOS имя компьютера,
нажав в этом же окне на кнопку "Изменить", а затем "Дополнительно".
Ну а имя_папки это как раз то имя, под которым мы только что предоставили
папку в общий доступ. Обратите внимание на то, что мы не указывали путь к папке
на локальной машине, мы указываем только имя общего ресурса. Соответственно на
одном компьютере не может быть одинаковых имен общих ресурсов. теперь когда мы
знаем имя компьютера и имя папки, можно в адресной строке набрать путь в
соответствии с синтаксисом \\имя_компьютера\имя_папки и получить доступ к
требуемому сетевому ресурсу. Если мы наберем просто \\имя_компьютера\, то
получим список всех общих ресурсов на компьютере. После этого можно обращаться к
этим ресурсам, как и обычно в проводнике.
Вы так же можете обращаться к сетевому ресурсу просто создав ярлык на него.
Для этого в пути к объекту укажите NetBIOS имя ресурса.
Существует еще один способ обращаться к общему ресурсу – это использование
папки "Сетевое окружение".
В Windows есть специальное программное обеспечение (служба Browser), которое
с помощью обмена данными по сети позволяет каждому компьютеру в сети получать
список работающих в данный момент компьютеров в виде значков в папке «Сетевое
окружение». Пользователь, кликая на значке с именем интересующего его компьютера
получает список предоставленных в общий доступ ресурсов этого компьютера.
Программное обеспечение, позволяющее получать список компьютеров в сети,
присутствует на каждом компьютере.
В большой сети значков в папке "Сетевое окружение" было бы слишком много и
пользователю было бы крайне неудобно разыскивать нужный ему компьютер, поэтому
для упорядочивания содержимого папки "Сетевое окружение" вводится понятие
«Рабочая группа».
Рабочая группа существует ТОЛЬКО для того, чтобы в папке "Сетевое окружение"
значки компьютеров были структурированы в подпапки с именами рабочих групп,
никакого отношения к правам, разрешениям и т.д. рабочие группы не имеют.
Изменить принадлежность компьютера к рабочей группе можно через компонент
"Свойства системы" на вкладке "Имя компьютера" .
Технология просмотра ресурсов сети, приводящая к появлению папки "Сетевое
окружение" - нужна для того, чтобы пользователям не было необходимости
запоминать имена общих ресурсов. В Windows XP для облегчения поиска общих
ресурсов введена еще и возможность автоматического поиска и отображения общих
ресурсов. Заметьте не просто поиск компьютеров, а поиск общих ресурсов. Для
включения такой возможности нужно как всегда зайти в меню свойств папки, вкладка
"Вид" и поставить флажок напротив записи "Автоматический поиск сетевых папок и
принтеров".
После включения такой возможности в папке "Сетевое окружение" будут
отображаться все найденные сетевые ресурсы. Для большой сети это опять таки не
очень удобно. Лучше отключить эту функцию и использовать, например такое
средство, как "Новое место в сетевом окружении", где вы можете так же создать
ярлыки только на нужные сетевые ресурсы, и отображаться они будут в папке
"Сетевое окружение", как и при автоматическом поиске. Думаю, вам не составит
труда разобраться с созданием ярлыка на сетевой ресурс с помощью компонента
"Новое место в сетевом окружении".
Следует заметить, что технология просмотра сети, реализуемая в службе Browser
не лишена принципиальных недостатков:
включенный компьютер может
отсутствовать в сетевом окружении,
отключенный компьютер может там,
наоборот, присутствовать.
Иными словами содержимое папки сетевое окружение
отнюдь не всегда адекватно списку реально работающих и доступных компьютеров. Важно, чтобы вы понимали, что отсутствие или
присутствие значка некоторого компьютера в папке "Сетевое окружение" НЕ должно
использоваться как индикатор доступности или недоступности компьютера – следует
обращаться к компьютерам по их NetBIOS именам для того, чтобы проверить доступны
ли ресурсы компьютера. Помимо этой технологии просмотра ресурсов сети существуют
и альтернативные технологии.
Еще одна возможность работы с сетевыми ресурсами это подключить сетевой
ресурс, как локальный диск. Сделать это можно, выбрав в меню проводника "Сервис"
пункт "Подключить сетевой диск".
В следующем окне нужно указать сетевое имя ресурса (мы уже разобрали, что это
такое) или найти ресурс, используя кнопку "Обзор". Так же нужно указать букву
подключаемого диска. В дальнейшем через эту букву можно будет обращаться к
ресурсу. Можно так же затребовать подключать этот диск автоматически при входе в
систему. Что дает возможность подключения под другим именем станет понятно из
дальнейшего описания.
В результате вы должны увидеть, что в окне "Мой компьютер" появился еще один
диск. Отключение диска производится через то же меню "Сервис".
Теперь, когда основы предоставления папок в общий доступ и их использования
рассмотрены, можно вернуться к деталям.
Возвращаемся на вкладку "Доступ" . Следующая настройка "Предельное число пользователей". Здесь имеется
ввиду предельное число одновременных подключений к ресурсу. Как вы понимаете
обращение к общим папкам компьютера требует затрат его вычислительных ресурсов
(память, процессор).
А так как мы предоставляем в общий доступ папки обычного
компьютера, а не специализированного высокопроизводительного сервера, то чтобы
избежать излишней нагрузки на процессор, память, сетевое подключение своей
системы, можно ограничить количество одновременно подключенных пользователей.
При этом даже если ограничение снято (т.е. используется значение «максимально
возможное»), то максимальное количество одновременно подключенных пользователей
не может превысить 10, так как модель взаимодействия «Рабочая группа»
рекомендована для сетей именно такого масштаба. Что Windows XP Professional, что
Windows 200 Professional позволяют организовать максимум 10 одновременных
подключений, причем учитываются подключения ко всем ресурсам, а не по 10 на
каждый ресурс. Серверная версия ОС не имеет ограничений на одновременное
количество подключений.
Следующий этап это настройка разрешений. Помимо стандартных разрешений мы могли настраивать еще и
специальные разрешения, а так же указывать глубину наследования разрешений. Все
это позволяло очень гибко настроить требуемый уровень доступа на объект для
конкретного пользователя. При настройке сетевых разрешений такой гибкости нет.
Здесь все гораздо проще и вы можете убедиться в этом, нажав на кнопку
"Разрешения" .
Такой аскетизм настроек вполне обоснован, поскольку при доступе по сети
учитываются так же и NTFS разрешения. При этом эффективное разрешение
вычисляется, как наиболее жесткое. Например, пользователю по сети установлено
право "Чтение", а NTFS разрешение дает право "Полный доступ", результирующим
разрешением при доступе по сети будет "Чтение". При локальном же доступе сетевые
разрешения во внимание не берутся, и в нашем примере при локальном доступе
пользователь имел бы право "Полный доступ". Сетевые разрешения, как и локальные,
обладают свойством аддитивности, т.е. разрешения аккумулируются из разрешений
назначенных пользователю лично и разрешений по состоянию членства в группах. Как
и должно быть запрет имеет наивысший приоритет. Таким образом, сформулируем
правило определения эффективных разрешений при доступе по сети: из всех сетевых
разрешений находимся максимум, из всех локальных разрешений находимся максимум,
из двух максимумов выбирается минимум.
Как видите, наиболее тонко можно настроить разрешения, используя NTFS
безопасность. Однако если общий ресурс размещается на FAT разделе, то сетевые
разрешения являются единственным инструментом разграничения доступа
пользователей. Естественно при работе в сети не рекомендуется вообще
использовать FAT.
Еще одна особенность, если открывать папку в общий доступ по умолчанию в
Windows 2000 группе "Все" устанавливается право "Полный доступ", в Windows XP
группе "Все" устанавливается право "Чтение". Это очень важный момент. Опасно
бездумно открывать папки в общий доступ в Windows 2000, особенно если NTFS
разрешениям не уделено должного внимания.
Рекомендую вам взять на вооружение следующие правила:
Любые разрешения нужно ограничивать как можно жестче.
При назначении разрешений старайтесь работать с группами, а не с отдельными
учетными записями.
Четко настраивайте NTFS разрешения. Это позволит вам придерживаться
стандартных действий при настройке сетевых разрешений.
Настраивая сетевые разрешения устанавливайте право "Чтение", где это только
возможно.
Не открывайте в доступ большое число папок вашего компьютера, это усложняет
контроль. Выделите одну папку в общий доступ с правом "Чтение" для определенных
групп пользователей и помещайте туда объекты для совместного использования,
этого будет достаточно, чтобы пользователи могли копировать ваши файлы и папки.
В случае необходимости выделите папку с правом записи, в этом случае избегайте
использования группы "Все", включайте в ACL только строго определенный круг
пользователей и групп.
Чуть позже мы еще вернемся к некоторым комбинациям сетевых разрешений, а
сейчас подумаем, а что позволяет нам получать доступ к ресурсам другого
компьютера? Как вы понимаете, это наличие такой же учетной записи на удаленном
компьютере, что и та с которой произведен вход на локальный компьютер. Обратите
внимание, что мы устанавливали сетевые разрешения для пользователей имеющихся в
базе данных локального компьютера. Вспомните, чтобы получить доступ к локальным
ресурсам компьютера, нужно было пройти аутентификацию (войти в систему). Стоит
предположить, что такая политика сохраняется и при сетевом доступе к компьютеру.
Все это наводит на мысль о том, что, обращаясь к компьютеру по сети, мы проходим
на нем аутентификацию. При этом удаленному компьютеру по умолчанию
предоставляются для аутентификации логин и пароль текущего пользователя,
работающего на локальной машине. Итак, пользователь идентифицируется
единственным именем пользователя и паролем при обращении, как к любым локальным
ресурсам, так и к сетевым. Соответственно, при обращении к локальным ресурсам,
имя пользователя проверятся на наличие разрешений для данного пользователя в ACL
затребованного объекта. При обращении к общим ресурсам логин и пароль
пользователя (тот, под которым он работает на локальной машине) передается по
сети на удаленную систему (предоставляющую ресурс в общий доступ) и на ней
проверяется по ЕЕ базе данных пользователей. При этом, если на удаленной системе
есть пользователь с таким же именем и паролем, как и в локальной системе, то
удаленному пользователю будет предоставлен прозрачный доступ к ресурсу. То есть
пользователю не нужно будет вводить имя и пароль какой-либо учетной записи
существующей на удаленной машине.
Если же пользователя с совпадающим именем и паролем в удаленной системе нет,
то пользователя попросят ввести имя и пароль – это не удобно и не желательно с
точки зрения безопасности, так как пользователь не должен значь чужого имени и
пароля, кроме того плохо, если один и тот же человек идентифицируется в разных
случаях различными учетными записями.
Для того, чтобы выполнялись необходимые с точки зрения безопасности условия
(один человек – одно имя пользователя и пароль) необходимо организовать базы
данных пользователей на ВСЕХ компьютерах следующим образом – в базе данных
каждого компьютера должны быть записаны ВСЕ пользователи сети, для того, чтобы
каждый пользователь мог прозрачно обращаться к любому общему ресурсу в сети. Это
значит, что на каждом компьютере в сети необходимо создать одинаковые базы
данных пользователей. При этом имена и пароли пользователей должны совпадать на
каждом компьютере. Это значит, что для соблюдения конфиденциальности пароля,
каждому пользователю в сети необходимо будет выполнить хотя бы один (первый)
вход на каждом из компьютеров в сети, а каждый администратор локальной машины
предварительно должен будет сделать на своей машине столько учетных записей,
сколько пользователей в сети и потребовать смену пароля при первом входе. Как вы
помните можно управлять учетными записями другого компьютера, для этого нужно
обладать на нем правами администратора. И если в сети один администратор, и он
имеет одинаковые учетные записи на каждом компьютере, то задача уже не кажется
такой устрашающей. Достаточно залогиниться в одной системе и в консоли
управления добавить оснастку управления пользователями и группами с указанием в
качестве целевого компьютера каждого компьютера в сети и спокойно работать из
одной точки.
Однако, устрашает другое - количество записей, которые нужно сделать.
Попробуем оценить это число. Если в сети N компьютеров, то можно положить, что в
сети так же не менее, а зачастую многим более N пользователей (или около того).
Тогда на каждом компьютере необходимо сделать запись о каждом из N
пользователей, в итоге необходимо сделать около N в квадрате записей в базах
данных. Много это или мало? При N=5 это 25 записей, при N=10 – 100 записей, при
N=20 – 400 записей, при N=100 – 10000 записей. Количество записей, которые
необходимо сделать в базе данных растет очень быстро, и при некотором N сделать
такое количество записей очень сложно.
А как быть со сменой пароля по истечении определенного времени? Каждому
пользователю придется опять пройтись по всем машинам и сменить пароль для своей
учетной записи в каждой локальной базе данных учетных записей. А это уже совсем
неприятно.
Поэтому такая модель управления системой может иметь смысл только при
небольшом количестве пользователей и Microsoft рекомендует применение такой
модели при числе станций не более 10. Такая модель взаимодействий называется
«Рабочая группа».
Альтернативный вариант – доменная система управления. В этом случае учетные
записи создаются на единственном компьютере - контроллере домена – который и
хранит единую базу данных всех пользователей сети, таким образом, нет
необходимости создавать в локальной базе данных каждого компьютера учетные
записи всех пользователей. Соответственно записей нужно будет сделать по
количеству пользователей в сети, а количество рабочих станций роли не играет.
Пользователи будут проходить аутентификацию в единой базе данных. Список
пользователей при назначении разрешений на общие ресурсы будет так же один.
Пользователь, прошедший аутентификацию на контроллере домена, автоматически
аутентифицирован и для доступа к другим станциям домена, если против этого нет
каких-либо других ограничений.
По сути этих знаний вполне достаточно для организации работы с общими
папками.
| 
