Глава 3
Управление ресурсами
В этой главе рассматриваются вопросы администрирования ресурсов – управление разрешениями NTFS и разрешениями общих папок на доступ к файлам и папкам, а также использование автономных файлов.
На экзаменах по операционным системам Windows много вопросов относится к задачам управления доступом удаленных пользователей к ресурсам, расположенным в сети организации. Экзамен по Windows ХР Professional не исключение.
3.1. Разрешения NTFS
Одна из главных причин того, что множество пользователей используют операционные системы Windows 2000 и Windows ХР Professional, а до их появления использовали Windows NT – развитая система безопасности. Частью этой системы является возможность ограничивать доступ к файлам и папкам компьютера путем установки разрешений NTFS (NTFS Permissions).
Что же такое разрешения NTFS? Если заглянуть в справочную систему Windows ХР Professional, можно найти следующее определение: "Разрешение – это правило, связанное с объектом и используемое для управления доступом пользователей к этому объекту". Другими словами, это указание тех действий, которые разрешено или запрещено выполнять над объектом определенному пользователю или группе пользователей.
Само название "разрешения NTFS" говорит о том, что жесткий диск, содержащий объекты, для которых возможно определять такие разрешения, должен использовать файловую систему NTFS.
Примечание
Кроме NTFS в Windows ХР Professional поддерживаются файловые системы FAT и FAT32, которые НЕ предоставляют возможности устанавливать разрешения файловой системы на доступ к объектам. Однако существует возможность установить разрешения общих папок для объектов, предоставленных в общий доступ по сети. Подробнее о файловых системах NTFS, FAT и FAT32 см. гл. 1.
Итак, с помощью разрешений NTFS вы можете определять, какой пользователь или группа пользователей имеют доступ к указанным файлам или папкам и какие действия может с ними выполнять как при доступе по сети, так и локально. Разрешения, которые можно назначить файлам, отличаются от разрешений, устанавливаемых для папок.
3.1.1. Разрешения NTFS для папок
Разрешения для папок определяют возможные действия как над самими папками, так и над содержащимися внутри них файлами и папками. В табл. 3.1 перечислены стандартные встроенные наборы разрешений, которые можно установить для папки.
Таблица 3.1. Стандартные разрешения NTFS для папок
3.1.2. Разрешения NTFS для файлов
Разрешения для файлов имеют те же названия, что и разрешения для папок, и предоставляют схожие возможности, но имеющие некоторые особенности применительно к файлам. Стандартные встроенные наборы разрешений NTFS для файлов представлены в табл. 3.2.
Таблица 3.2. Стандартные разрешения NTFS для файлов
3.1.3. Специальные разрешения
Стандартные встроенные наборы разрешений предназначены для быстрого и удобного предоставления необходимого уровня доступа пользователям и группам. Эти наборы представляют наиболее часто используемые сочетания разрешений. Если требуется более гибкая настройка прав доступа к файлам и папкам, можно предоставить каждому пользователю именно те разрешения, какие ему требуются, изменив стандартный набор. В табл. 3.3 описаны разрешения на доступ к файлам и папкам, составляющие стандартные наборы специальных разрешений.
Таблица 3.3. Специальные разрешения Windows ХР Professional
Если какому-либо пользователю или группе пользователей требуются специальные разрешения, отличающиеся от содержащихся в стандартных наборах, выберите наиболее подходящий набор и затем измените его по своему усмотрению. Состав стандартных встроенных наборов разрешений представлен в табл. 3.4.
Таблица 3.4. Состав стандартных встроенных наборов разрешений
Из таблицы видно, что разрешения Список содержимого папки и Чтение и выполнение включают в себя одни и те же особые разрешения. Но наследуются они по-разному. Разрешение Список содержимого папки наследуется только папками, но не файлами, и отображается только при просмотре разрешений на доступ к папкам. Разрешение Чтение и выполнение наследуется как файлами, так и папками, и всегда отображается при просмотре разрешений на доступ к файлам или папкам.
Кроме того, следует помнить, что группы и пользователи, которым предоставлен полный доступ к папке, могут удалять любые файлы в этой папке, независимо от разрешений на доступ к этим файлам.
3.1.4. Наследование разрешений
Файлы и папки могут наследовать разрешения от родительской папки. По умолчанию наследование включено и любые изменения разрешений доступа к папке распространяются на все вложенные файлы и папки. Наследование разрешений удобно в том случае, если создаваемые внутри какой-либо папки файлы или подпапки должны иметь те же самые разрешения, что и сама папка.
Но если вам надо установить разрешения, отличные от разрешений родительской папки, вы можете отключить возможность наследования. Если вы сделали это для папки, она сама становится родительской для файлов и папок, расположенных в ней. Когда вы отключаете наследование разрешений, система запрашивает у вас, что делать с ранее наследуемыми разрешениями (рис. 3.1).
Рис. 3.1. Перенос или удаление наследуемых ранее разрешений
Если вы хотите оставить наследуемые ранее разрешения или незначительно их изменить, следует нажать кнопку Копировать. Если же вы хотите отменить все используемые ранее разрешения, кроме заданных явно, вам следует воспользоваться кнопкой Удалить.
3.1.5. Действующие разрешения
Вы можете назначить различные разрешения на доступ к какому-либо файлу или папке для учетной записи пользователя и для групп, в которых он состоит. В этом случае при доступе к объекту, для которого у пользователя определены различные разрешения, будут определены действующие разрешения, являющиеся суммой всех назначенных разрешений. Например, если для учетной записи пользователя определены разрешения на чтение для папки, а группе, в которую этот пользователь входит, определены разрешения на запись, то при доступе к этой папке он получит разрешения и на чтение, и на запись.
Но если среди разрешений, составляющих сумму, встречается запрет (deny) на какое-либо действие, этот запрет перекрывает все разрешения (allow) на это и зависимые действия. Например, если пользователю назначить полный доступ к папке, а группе, в которую пользователь входит, поставить запрет на действие "Список содержимого папки", этот пользователь не сможет ни зайти в папку, ни удалить ее, несмотря на имеющийся у него полный доступ. Но, имея разрешения на полный доступ, он может изменить соответствующие разрешения и вернуть себе возможность работать с этой папкой.
В предыдущих версиях Windows действующие разрешения приходилось вычислять "вручную", в Windows ХР Professional появилась возможность быстро выяснить сумму всех разрешений на доступ к файлу или папке (рис. 3.2).
Рис. 3.2. Вычисление действующих разрешений
Единственным неудобством этого инструмента является обманчивый вид элемента для ввода имени группы или пользователя. В нем мигает текстовый курсор, как будто предлагая ввести текст с клавиатуры. Но ввести туда имя можно лишь через нажатие кнопки Выбрать и последующие действия в открывшемся окне.
Кроме того, при назначении разрешений следует учитывать, что разрешения на доступ к файлам имеют приоритет перед разрешениями на доступ к папкам. Если пользователь не имеет доступа к папке, но имеет доступ к файлу, находящемуся внутри этой папки, он сможет работать с ним, используя полный путь к файлу. К примеру, пользователь не имеет доступа к папке d:\texts\, но имеет доступ к файлу file.txt, который находится внутри этой папки. Тогда, выполнив команду notepad d:\texts\fiie.txt, пользователь сможет открыть этот файл в текстовом редакторе.
Все указанное выше будет действовать только в том случае, если пользователь имеет привилегию Обход перекрестной проверки (Bypass Traverse Checking). Эта привилегия позволяет пользователю проходить через папки, к которым иначе у него нет доступа, на пути к объекту в файловой системе NTFS или в реестре. Данная привилегия не разрешает пользователю выводить список содержимого папки, а дает возможность только проходить через нее. По умолчанию группа Все (Everyone) имеет эту привилегию.
Примечание
В Windows ХР Professional, в отличие от Windows 2000, группа Все больше не включает в себя группу Анонимный вход.
3.1.6. Назначение или изменение разрешений
Для того чтобы просмотреть, назначить или изменить разрешения на доступ к файлу или папке, надо открыть вкладку Безопасность (Security) окна Свойства этой папки или файла. Открывшееся окно (на рис. 3.3 показаны разрешения для папки) позволяет просмотреть, каким пользователям и группам доступ уже разрешен и какие разрешения им предоставлены, а также дает возможность предоставить доступ другим пользователям и группам или изменить уже назначенные разрешения.
Примечание
В Windows ХР Professional вкладка Безопасность может не отображаться. Для того чтобы включить ее отображение, запустите Проводник, в меню Сервис выберите Свойства папки. На вкладке Вид снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
Рис. 3.3. Просмотр разрешений объекта
С помощью кнопки Дополнительно можно вызвать окно, позволяющее устанавливать специальные разрешения, задавать параметры наследования, изменять владельца и просматривать действующие разрешения (рис. 3.4).
Щелкнув два раза по какой-либо строке в списке Элементы разрешений или выбрав строку и нажав кнопку Изменить, можно открыть окно, с помощью которого устанавливаются особые разрешения (рис. 3.5).
Смена владельца
У каждого объекта имеется владелец – при создании объекта пользователь, создавший его, автоматически становится его владельцем. В дальнейшем этот статус может получить другой пользователь. Смена владельца может произойти, если:
□ текущий владелец или любой пользователь, имеющий полный доступ к файлу или папке, предоставляет другому пользователю разрешение Смена владельца, после чего тот может в любой момент стать владельцем объекта;
Рис. 3.4. Окно Дополнительные параметры безопасности для Documents and Settings
□ владельцем становится член группы Администраторы независимо от имеющихся прав. После этого любой член группы Администраторы может назначать разрешения на доступ к объекту.
Необходимо понимать, что назначить владельца нельзя, можно только предоставить право пользователю или группе пользователей стать им. Для действительного изменения пользователь, обладающий соответствующими правами, должен явно указать себя владельцем. Для этого следует предпринять следующие шаги:
1. В окне Свойства файла или папки на вкладке Безопасность нажать кнопку Дополнительно.
2. Перейти на вкладку Владелец и выбрать свое имя в списке Изменить владельца на.
3. Если объект – это папка, новый владелец должен установить флажок Заменять владельца субконтейнеров и объектов, для того чтобы стать владельцем всех вложенных папок и файлов.
4. Нажать кнопку ОК.
Рис. 3.5. Настройка особых разрешений
Аудит
Как видно на рис. 3.4, окно дополнительных параметров безопасности дает возможность настроить аудит безопасности.
Аудит безопасности обеспечивает наблюдение за различными событиями, затрагивающими безопасность. Отображение системных событий необходимо для определения злоумышленников или идентификации попыток несанкционированного доступа к данным системы. Примером события, подлежащего аудиту, является неудачная попытка доступа.
Наиболее общими типами событий для аудита являются:
□ доступ к объектам, таким как файлы и папки;
□ управление учетными записями пользователей и групп;
□ вход пользователей в систему и выход из нее.
Кроме этого, создается журнал безопасности – специальный журнал событий, содержащий сведения о событиях системы безопасности, указанных в политике аудита.
Подробнее об аудите ресурсов и событий см. гл. 7.
3.1.7. Планирование разрешений NTFS
Можно намного упростить дальнейшую администраторскую работу по назначению разрешений на доступ к файлам и папкам, предотвратить несанкционированный доступ к информации, облегчить поиск решения в случае возникновения проблем, связанных с разрешениями, если следовать некоторым правилам:
□ не назначайте разрешения отдельным пользователям, а предоставляйте доступ определенным группам. Объединяйте в группы тех пользователей, которым требуется доступ к одним и тем же ресурсам. Если вам, например, понадобится предоставить доступ к общим файлам компании новому пользователю какого-либо отдела, просто добавьте его учетную запись в группу, уже содержащую остальных пользователей из этого отдела. Если потом будет нужно запретить доступ, просто исключите пользователя из группы. Тем самым вы избавите себя от долгих поисков всех папок и файлов, к которым имеет доступ этот пользователь;
□ для облегчения администрирования объединяйте файлы аналогичного содержания в отдельные папки или на отдельные диски. К примеру, можно объединять таким способом файлы приложений, документы, домашние папки пользователей. Для системных файлов выделите отдельный том. Таким образом, вы сможете назначать разрешения на доступ не к отдельным файлам, а целым папкам. Помимо этого, вы облегчите выполнение задач поиска данных и выполнение процедур резервного копирования;
□ предоставляйте пользователям только тот уровень доступа, который необходим им для работы. Это уменьшит вероятность случайного или намеренного удаления или повреждения важной информации;
□ явно запрещайте доступ только в том случае, если требуется предотвратить выполнение конкретных действий определенному пользователю или группе пользователей;
□ пользуйтесь возможностью наследования разрешений, начинайте назначать разрешения с верхних уровней каталогов;
□ не запрещайте группе Все доступ к системным файлам и папкам. Иначе вы просто не сможете работать с операционной системой;
□ назначьте полный доступ к общим папкам группе Создатель-владелец, если вы хотите, чтобы пользователи могли сами выдавать разрешения на доступ к созданным ими файлам.
3.1.8. Копирование и перемещение объектов
При копировании или перемещении файлов и папок, разрешения, назначенные для доступа к ним, могут измениться, создавая проблемы тому, кому необходимо работать с этими данными, или наоборот, предоставляя доступ для тех, кто не должен его иметь. Чтобы избежать подобных проблем, необходимо понимать, что происходит с разрешениями при копировании и перемещении файлов и папок.
Копирование файлов и папок
Когда вы копируете файлы и папки с одного тома NTFS на другой, или в пределах одного тома, разрешения изменяются в соответствии с установленными разрешениями на том томе или папке, куда происходит копирование.
При этом Windows ХР Professional рассматривает копию как новый файл, а вы становитесь его создателем и владельцем. Конечно, при условии, что у вас есть разрешение на запись.
Если вы копируете данные на устройство с файловой системой FAT или FAT32, все разрешения теряются, поскольку эти системы не поддерживают такую возможность.
Перемещение файлов и папок
При перемещении файлов и папок разрешения, установленные для них, могут меняться или оставаться прежними в зависимости от того, куда происходит перемещение.
При перемещении в пределах одного тома NTFS следует учитывать следующее:
□ файл или папка сохраняет первоначальные разрешения;
□ вы должны иметь разрешение на запись для места назначения;
□ вы должны иметь разрешение на изменение для перемещаемого файла или папки, так как после переноса файла на место назначения происходит удаление первоначального объекта;
□ вы становитесь создателем и владельцем.
При перемещении файла или папки между томами NTFS наследуются разрешения той папки, которая является местом назначения. Остальные замечания, относящиеся к перемещению в пределах одного тома, остаются в силе и для перемещения между томами.
3.1.9. Установка разрешений из командной строки
Утилита командной строки CACLS (Control ACLs, управление таблицами доступа) позволяет просматривать и редактировать разрешения в Windows ХР Professional и Windows ХР Home Edition. И еще одна утилита, XCACLS (Extended CACLS, расширенное управление таблицами доступа) находится в архиве \Support\Tools\support.cab на установочном диске Windows ХР Professional.
Для любителей повозиться с командной строкой приводим справку по использованию команды cacls (листинг 3.1).
Листинг 3.1. Использование утилиты cacls
3.2. Общий доступ к папкам
Папки общего доступа (Shared Folders) предоставляют пользователям удаленных компьютеров возможность работы с данными по сети. Открывая общий доступ к папке, вы позволяете другим пользователям использовать содержимое этой папки. Какие действия могут выполняться с файлами и папками общего доступа, зависит от выданных разрешений. Ограничения на доступ могут задаваться как разрешениями NTFS, так и разрешениями папок общего доступа. При использовании файловых систем FAT и FAT32 назначать разрешения на доступ к данным можно только средствами папок совместного пользования.
3.2.1. Модели предоставления общего доступа
Windows ХР Professional предлагает две модели предоставления общего доступа:
□ простой общий доступ к файлам (Simple File Sharing). Чтобы открыть общий доступ этим способом, достаточно установить один флажок на вкладке Доступ окна Свойства папки, как показано на рис. 3.6. Еще один флажок позволяет разрешить изменение файлов по сети. Но такая простота достигается за счет ограничения функциональных возможностей. Вы не сможете назначить различные и детализированные разрешения для разных пользователей. В этой модели Windows ХР Professional использует гостевую учетную запись (Guest account) для всех сетевых подключений;
□ классический способ предоставления общего доступа. Этот способ работает так же, как и в Windows 2000 и, ранее, в Windows NT. Когда вы разрешаете общий доступ к папками, вы должны указать разрешения на общий доступ и разрешения NTFS для тех объектов, которые будут предоставлены в совместное пользование. Бы можете предоставить различный доступ на обоих уровнях разрешений для любого пользователя или группы пользователей. Также вы можете ограничить количество одновременных подключений к общему ресурсу.
Примечание
Если вы хотите изменить используемую на компьютере модель предоставления общего доступа, воспользуйтесь инструкциями, приведенными выше (см. разд. 3.1.6).
Существует еще и третья модель, используемая на компьютерах с операционными системами Windows 95/98/МЕ. Эти системы могут использовать доступ на уровне ресурсов (share-level access control). Для открытия доступа к общей папке при использовании этой модели необходимо установить пароли – на чтение (Read-only access) и на полный доступ (Full access). При попытке открытия по сети папки, предоставленной в общее пользование, система запрашивает пароль. От того, какой пароль будет введен – на чтение, на полный доступ или неправильный пароль, будут зависеть дальнейшие действия системы: предоставление одного из двух типов доступа или же отказ в доступе. При этом Windows не предпринимает попыток идентифицировать пользователя, и любой, кто имеет доступ к сети и знает пароль, может получить доступ к общей папке или файлу.
Рис. 3.6. Использование модели простого общего доступа
Необходимо понимать отличия этой модели разрешения совместного использования ресурсов от тех моделей, которые используются в Windows ХР Professional. Общий доступ в Windows ХР Professional может быть предоставлен только на уровне пользователей. Вы не можете установить пароль на доступ к общей папке или принтеру. Предоставление или отказ в получении доступа зависит от разрешений общих папок и разрешений NTFS.
3.2.2. Разрешения папок общего доступа
Для управления доступом, получаемым пользователем при обращении к общему ресурсу по сети, следует настроить соответствующие разрешения (рис. 3.7). Можно позволить или запретить три типа действий:
□ Чтение (Read) – позволяет просматривать, запускать и копировать файлы, но не изменять или удалять их;
□ Изменение (Change) – разрешает читать, записывать, переименовывать и удалять и создавать файлы внутри папки и вложенных в нее папок;
□ Полный доступ (Full Control) – предоставляет все разрешения, включаемые в Изменение, кроме того, позволяет изменять разрешения и становиться владельцем объектов внутри папки.
Рис. 3.7. Установка разрешений на доступ к общей папке
Разрешения назначаются только родительской папке, которая будет использоваться для доступа по сети. Все содержащиеся в ней файлы и папки наследуют эти разрешения. Таким образом, разрешения общих папок предоставляют гораздо менее гибкую систему управления доступом, чем разрешения NTFS. Но на томах NTFS две этих возможности можно использовать одновременно. Для файловых систем FAT и FAT32 разрешения общих папок – единственное средство управления доступом к данным по сети.
По умолчанию при создании нового общего ресурса группе Все назначается разрешение полного доступа на этот ресурс.
Примечание
Разрешения общих папок не влияют на работу пользователя с этой папкой на локальном компьютере. Ограничения действуют только при доступе по сети.
Применение разрешений общих папок
Открывая папку для общего доступа, вы должны дать ей имя, по которому она будет доступна другим пользователям (share name), указать количество пользователей, которые могут одновременно получить доступ к этому ресурсу, установить разрешения и настроить параметры кэширования. Также вы можете дать краткое описание открытого ресурса.
Рис. 3.8. Параметры общего доступа к папке
Все эти действия выполняются при помощи вкладки Доступ окна свойств папки (рис. 3.8).
Примечание
По умолчанию в Windows ХР Professional правом предоставления объекта в общий доступ имеют группы Администраторы и Опытные пользователи
Объекту общего доступа можно присвоить дополнительные имена (рис. 3.9). Причем для каждого имени можно назначить свои разрешения.
Рис. 3.9. Создание нового имени общего ресурса
По умолчанию в качестве имени общего ресурса предлагается имя папки, предоставляемой в общее пользование. Если в конце имени поставить знак доллара "$", будет создан скрытый общий ресурс. Его имя не будет отображаться в Проводнике Windows ХР Professional или Сетевом окружении. Для доступа к такой папке потребуется ввести имя (вместе со знаком доллара) в окне Запуск программы.
Так же, как и в случае с разрешениями NTFS, можно устанавливать свои собственные уровни доступа различным пользователям и группам. Если пользователь включен в несколько групп, для которых определены разные разрешения, действующим будет суммированный набор прав доступа. При этом запрет каких-либо действий всегда имеет приоритет перед их разрешением.
Совет
Для назначения разрешений общих папок рекомендуется использовать те же стратегии, что и для разрешений NTFS, с добавлением правил назначения имен общим ресурсам. Имя общей папки рекомендуется делать интуитивно понятным, простым для запоминания, отражающим предназначение содержащихся в ней файлов. Не пренебрегайте планированием: применение общих подходов и правил позволит намного упростить дальнейшую администраторскую работу.
Совместное применение разрешений NTFS и общих папок
Установка разрешений NTFS и разрешений общих папок выполняется похожими действиями в похожих диалоговых окнах. Тем не менее, это два различных уровня разграничения доступа, и необходимо понимать, каким образом их совместное применение влияет на возможность использования общих ресурсов.
Доступ получат только те пользователи, которые имеют достаточные разрешения на обоих уровнях. При этом суммарные разрешения получатся не в результате объединения этих двух наборов, а в результате их пересечения. То есть будут получены наиболее ограничивающие разрешения.
К примеру, если для определенного пользователя в разрешениях NTFS позволен полный доступ к файлам, а в разрешениях общей папки, содержащей запрашиваемые файлы, установлено только разрешение на чтение, этот пользователь и получит доступ только на уровне чтения и не сможет изменять или создавать файлы.
Если же на каком-либо из двух уровней разрешения вообще не определены, пользователь не сможет получить доступ к файлам и папкам общего ресурса, например:
□ если определены разрешения на общий ресурс, но не определены разрешения NTFS, пользователь сможет зайти в общую папку, но не будет видеть ее содержимое;
□ если определены разрешения NTFS, но не определены разрешения на общий ресурс, пользователь не сможет открыть общую папку, несмотря на то, что при локальной работе он бы имел доступ ко всем ее файлам.
Административные ресурсы
Windows ХР Professional автоматически создает некоторые скрытые ресурсы, которые используются при выполнении административных задач. Бы не можете изменить разрешения на доступ к этим ресурсам, в отличие от разрешений общих папок, созданных вами или другими пользователями. Бы можете попытаться прекратить их использование, но при следующей перезагрузке службы сервера на вашем компьютере эти общие ресурсы появятся вновь, о чем вам и сообщается при прекращении использования такого ресурса общего доступа. Подобное предупреждение показано на рис. 3.10.
В табл. 3.5 перечислены административные ресурсы общего доступа, автоматически создаваемые Windows ХР Professional, а также их предназначение.
Рис. 3.10. Предупреждение при остановке административного общего ресурса
Таблица 3.5. Административные ресурсы общего доступа
3.2.3. Управление папками общего доступа с помощью оснастки Управление компьютером
Хотя вы можете управлять папками общего доступа с помощью Проводника Windows ХР Professional, существует более удобный инструмент – компонент Общие папки (Shared Folders) оснастки Управление компьютером (Computer Management), представленный на рис. 3.11.
Рис. 3.11. Компонент Общие папки оснастки Управление компьютером
Компонент Общие папки позволяет просматривать сводку подключений и использования ресурсов на локальном и удаленных компьютерах. Используя этот компонент, можно выполнять следующие действия:
□ создавать, просматривать и задавать разрешения для общих ресурсов;
□ просматривать список всех пользователей, подключенных к данному компьютеру с помощью локальной сети, и отключать их;
□ просматривать список файлов, открытых удаленными пользователями, а также закрывать эти файлы.
Сведения обо всех общих ресурсах, сеансах и открытых файлах содержатся в трех вложенных папках компонента Общие папки.
□ Папка Общие ресурсы.
• Общая папка. Выводит список общих ресурсов, доступных на этом компьютере. Общий ресурс может быть общим каталогом, именованным каналом, общим принтером или ресурсом неопознанного типа.
• Общий путь. Путь к папке, предоставленной в общий доступ.
• Тип. Тип сетевого подключения: Windows, NetWare или Macintosh.
• # Клиентские подключения. Число пользователей, подключенных к общему ресурсу.
• Комментарий. Описание общего ресурса.
□ Папка Сеансы.
• Пользователь. Список пользователей сети, подключенных к компьютеру.
• Компьютер. Имя компьютера пользователя.
• Тип. Тип сетевого подключения: Windows, NetWare или Macintosh.
• # Открытые файлы. Число ресурсов, открытых пользователем на этом компьютере.
• Время подсоединения. Отображает часы и минуты, прошедшие с момента начала данного сеанса.
• Время простоя. Отображает время простоя (в часах и минутах) после последнего действия пользователя.
• Гость. В этом столбце определяется, будет ли пользователь подключен к данному компьютеру как гость («Да» или «Нет»).
□ Папка Открытые файлы.
• Открытый файл. Список открытых файлов. Может включать файлы, именованные каналы, задания печати или ресурсы неопознанного типа.
• Пользователь. Имя пользователя, открывшего файл или получившего доступ к ресурсу.
• Тип. Тип сетевого подключения: Windows, NetWare или Macintosh.
• Блокир. Число блокировок на ресурсе.
• Режим открытия. В этом столбце для открытого ресурса выводится предоставленное разрешение.
Примечание
Пользоваться компонентом Общие папки могут только члены группы Администраторы или Опытные пользователи.
3.2.4. Утилиты командной строки для управления общими ресурсами
Некоторые пользователи предпочитают использовать утилиты командной строки вместо мастеров, а иногда даже и вместо консоли ММС. Если вам понадобилось выполнить какую-либо задачу по управлению общими ресурсами, используя интерфейс командной строки, вам следует воспользоваться командой net, а точнее, следующими командами:
□ net share – эта команда разрешает использовать ресурсы другим пользователям в сети;
□ net use – эта команда подключает компьютер к совместно используемому ресурсу или отключает компьютер от него;
□ net file – эта команда закрывает совместно используемый файл и снимает блокировки файла.
Использование команды net share
Команда net share позволяет управлять общими ресурсами. Использование без параметров выводит информацию обо всех имеющихся общих ресурсах данного компьютера. Для каждого ресурса выводится имя устройства или путь и соответствующий комментарий (листинг 3.2).
Листинг 3.2. Использование команды net share без параметров
После просмотра всех ресурсов, открытых для использования на данном компьютере, можно просмотреть информацию о конкретном интересующем вас ресурсе (листинг 3.3).
Листинг 3.3. Просмотр информации о ресурсе
Кроме этого, команда net share позволяет устанавливать количество пользователей, имеющих возможность одновременно работать с ресурсом, добавлять комментарий к ресурсу, изменять параметры кэширования, а также добавлять, изменять и удалять общий ресурс. Полный синтаксис использования команды net share представлен в листинге 3.4.
Листинг 3.4. Полный синтаксис использования команды net share
Использование команды net use
Команда net use позволяет управлять подключениями к общим сетевым ресурсам или вывод информации о подключениях компьютера, а также управляет постоянными сетевыми соединениями. Использование команды без параметров выводит список соединений для данного компьютера. Полный синтаксис команды net use в листинге 3.5.
Листинг 3.5. Использование команды net use
Использование команды net file
Команда net file выводит имена открытых общих файлов на сервере и количество блокировок для каждого файла, если они установлены. Также команда позволяет закрыть общий файл и удалить блокировки. Если net file используется без параметров, выводится список открытых файлов на сервере. Этот список включает идентификационный номер, присвоенный открытому файлу, путь к этому файлу, имя пользователя, количество блокировок.
Синтаксис команды net file очень прост по сравнению с ранее рассмотренными командами (листинг 3.6).
Листинг 3.6. Использование команды net file
Иногда пользователь по ошибке оставляет совместно используемый файл открытым и заблокированным. Когда это происходит, другие компьютеры в сети не могут получить доступ к заблокированным частям файла. Для снятия блокировки и закрытия файлов используется параметр /close.
Листинг 3.7. Просмотр совместно используемых файлов
Например, в представленной ситуации (листинг 3.7), чтобы закрыть файл под номером 1 и снять блокировку, следует выполнить команду net file /close 1.
3.3. Использование автономных файлов
Сетевые файлы можно сделать доступными в автономном режиме, сохранив общие файлы на локальном компьютере. Это может быть полезно при использовании переносного компьютера для выполнения большей части работы при отсутствии подключения к сети или в том случае, если компьютер часто теряет соединение с сетью. С автономными файлами можно работать так же, как и при наличии подключения к сети.
Если папки локального компьютера предоставлены для общего доступа по сети, другие пользователи смогут работать с этими папками в автономном режиме. Для защиты файлов в общих папках можно предоставить другим пользователям разрешение только на их просмотр. Также можно ограничить список общих файлов, с которыми пользователи смогут работать в автономном режиме.
3.3.1. Настройка операционной системы для работы с автономными файлами
Для работы с автономными файлами сначала необходимо включить их использование. Чтобы сделать это, запустите Проводник, выберите в меню Сервис пункт Свойства папки. На вкладке Автономные файлы открывшегося окна необходимо установить переключатель Использовать автономные файлы (рис. 3.12).
Кроме того, нажав кнопку Дополнительно, следует настроить поведение системы при потере сетевого соединения. Можно выбрать один из двух параметров:
□ уведомлять и переходить в автономный режим;
□ никогда не переходить в автономный режим.
Если при работе с определенным компьютером в сети вам необходимо выполнять действие, отличное от указанного в общих настройках, внесите этот компьютер в список исключений. Однако можно установить и выполнение действия, аналогичного тому, которое выполняется при потере соединения в общем случае. Это может быть полезно в том случае, если необходимо быть уверенным, что при потере связи с определенным компьютером выполняется заданное действие независимо от того, какие настройки сделаны для остальных компьютеров (рис. 3.13).
Если вместо элементов управления, отвечающих за настройку автономных файлов, на вкладке Автономные файлы содержится какой-то текст – прочитайте его. В нем описывается причина, по которой использование автономных файлов на вашем компьютере в данный момент невозможно. В Windows ХР Professional такой причиной может являться то, что на вашем компьютере включено быстрое переключение пользователей. Автономные файлы не могут использоваться, пока включена эта возможность. Чтобы отключить быстрое переключение пользователей и получить возможность работать с автономными файлами, выполните следующие действия: откройте компонент Учетные записи пользователей Панели управления, щелкните по кнопке Изменение входа пользователей в систему и снимите флажок Использовать быстрое переключение пользователей. Теперь вы имеете возможность включить использование автономных файлов.
После этого можно настроить общие папки для предоставления пользователям возможности использовать эти папки в автономном режиме. Диалоговое окно Параметры кэширования (рис. 3.14) вызывается на вкладке Доступ окна свойств общей папки путем нажатия соответствующей кнопки.
Рис. 3.12. Настройка автономных файлов
Рис. 3.13. Окно Автономные файлы – дополнительная настройка
Рис. 3.14. Диалоговое окно Параметры кэширования
Windows XP Professional позволяет кэшировать файлы следующими способами:
□ Ручное кэширование документов. Обеспечивает доступ в автономном режиме только к тем файлам, которые явно указаны пользователем. Данный параметр больше всего подходит для общих папок, содержащих файлы, с которыми будут работать несколько пользователей. Ручной режим кэширования устанавливается по умолчанию при предоставлении доступа к папке в автономном режиме.
□ Автоматическое кэширование документов. Каждый открываемый файл в общей папке становится доступным в автономном режиме. Более старые копии файлов автоматически удаляются, освобождая место для более новых версий.
□ Автоматическое кэширование программ и документов. Предоставляет автономный доступ к общим папкам, содержащим неизменяемые файлы. Данный параметр кэширования снижает сетевой трафик, так как автономные файлы открываются без доступа к сетевым версиям. Автономные файлы обычно запускаются и выполняются быстрее, чем сетевые версии. При использовании этого варианта кэширования файлы в общей папке рекомендуется сделать доступными только для чтения.
Размер кэша для файлов при автоматическом кэшировании по умолчанию установлен на 10 процентов от общего объема диска. Вы можете изменить размер кэша, указав значение в диапазоне от 0 до 100 процентов. Эти настройки не влияют на файлы с ручным кэшированием и файлы, кэширование которых указано сетевым администратором с помощью Групповой политики.
Размер и количество файлов, кэшируемых вручную, ограничено только доступным пространством диска, содержащего кэш.
Примечание
По умолчанию не кэшируются файлы следующих типов: SLM, MDB, LDB, MDW, MDE, PST, DB.
3.3.2. Хранилище автономных файлов
Автономные файлы и связанная с ними информация хранятся в папке %systemroot%\CSC на локальном компьютере. Для автономных файлов также используется термин кэширование на стороне клиента (CSC, client-side caching).
Папка \CSC содержит базу данных автономных файлов для всех пользователей локального компьютера, и когда сетевой ресурс недоступен, предоставляет файлы для имитации работы этого сетевого ресурса. При этом сохраняются все разрешения на доступ к исходным файлам. Кроме того, можно использовать шифрование файлов для более надежной защиты информации.
Файлы, содержащиеся в кэше, отображаются в папке Автономные файлы. Для того чтобы работать напрямую с \CSC, вы должны использовать учетную запись, входящую в группу Администраторы.
Примечание ^
Если используется файловая система FAT или FAT32, любой пользователь может прочитать информацию из папки %systemroot%\CSC, включая файлы, созданные другими пользователями.
В кэше может храниться множество старых файлов, которые утратили свою актуальность по причине множества изменений, произошедших с их сетевыми оригиналами или же просто больше не используемых автономно. Если вы по какой-либо причине хотите очистить кэш, то удалять файлы напрямую из папки \CSC не следует.
Для освобождения дискового пространства следует заново произвести инициализацию кэша автономных файлов. Это полностью очистит кэш от каких-либо файлов, не затрагивая, конечно, их сетевой источник. Если вам необходимо удалить не все, а только некоторые файлы, удаляйте их из папки Автономные файлы.
Примечание
Если вы переименовываете объект в папке Автономные файлы и его сетевой источник доступен, он будет также переименован.
Полная очистка кэша полезна в том случае, когда компьютер, на котором использовались автономные файлы, передается другому пользователю, и его доступ к этим файлам нежелателен.
3.3.3. Синхронизация файлов
При восстановлении подключения к сети все изменения, внесенные в файлы при работе в автономном режиме, переносятся в сетевые файлы. Этот процесс называется синхронизацией. Если сетевой файл был изменен еще кем-то, предоставляется возможность сохранить в сети новую версию файла, оставить старую версию или сохранить обе версии.
Для синхронизации автономных элементов служит Диспетчер синхронизации (Synchronization Manager). Диспетчер синхронизации может автоматически синхронизировать данные, доступные в автономном режиме, несколькими способами:
□ при каждом входе в систему и выходе из нее;
□ в заданные интервалы времени во время простаивания системы;
□ в запланированное время.
Диспетчер синхронизации сравнивает элементы в сети с элементами, которые были открыты или изменены при работе в автономном режиме, и делает доступной самую последнюю версию как на компьютере, так и в сети. Имеется возможность синхронизировать отдельные файлы, содержимое папок и автономные Web-страницы. Диспетчер синхронизации позволяет синхронизировать любые общие файлы, доступные в автономном режиме.
Для запуска синхронизации отдельных файлов, папок или Web-страниц в Проводнике Windows ХР Professional откройте меню Сервис и выберите команду Синхронизировать. Также можно произвести запуск Диспетчера синхронизации из командной строки. Для этого введите команду mobsync.
3.3.4. Настройки Групповой политики для автономных файлов
В настройках Групповой политики имеются параметры, влияющие на работу с автономными файлами. Несмотря на то, что знание Групповой политики в большей степени относится к сфере деятельности сетевых администраторов, при сдаче экзамена по Windows ХР Professional требуется хотя бы минимальное знакомство с этим инструментом. В этом разделе рассмотрим только те параметры, которые влияют на использование автономных файлов. Общие сведения об использовании Групповой политики см. в гл. 7.
Чтобы запустить консоль ММС, отвечающую за настройку параметров политики использования автономных файлов (табл. 3.6), выполните следующие действия:
1. В командной строке выполните MMC.
2. В меню Консоль (File) выберите команду Добавить или удалить оснастку (Add-Remove Snap-In).
3. В появившемся окне нажмите кнопку Добавить (Add), выберите Групповая политика (Group Policy) и нажмите Готово (Finish).
4. Закройте открытые диалоговые окна.
5. В иерархическом списке выберите последовательно – Конфигурация компьютера, Административные шаблоны, Сеть, Автономные файлы (Computer configuration, Administrative template, Network, Offline files), как показано на рис. 3.15.
Примечание
Некоторые параметры политики появляются как в папке Конфигурация компьютера, так и в папке Конфигурация пользователя. Если используются два аналогичных параметра, тот, который находится в папке Конфигурация компьютера, имеет преимущество. В отдельных случаях параметры, заданные в обеих папках, объединяются. Параметры политики консоли управления имеют преимущество перед параметрами, заданными пользователем.
Рис. 3.15. Параметры Групповой политики для автономных файлов
Таблица 3.6. Параметры Групповой политики для работы с автономными файлами
3.4. Вопросы для подготовки к экзамену
Question 1
You are the desktop administrator for your company. Ali employees use Windows XP Professional computers. All employees are members of the local Power Users group on their client computers. There are three daily work shifts, and employees share computers with employees who work on different shifts. Each client computer has a defined set of desktop icons and shortcuts in addition to the system icons. All users must be able to access these icons and shortcuts. Users can place their own icons and shortcuts on the desktop, but these icons and shortcuts should be invisible to other users of the computer. You want to prevent users from adding or removing icons and shortcuts to the default desktop. You also want to allow users to customize their own desktops. What should you do?
A. For the Power Users group, remove Allow – Modify permission from the Documents and settings\All Users folder.
B. For each user, remove Allow – Full Control and Allow – Modify permissions from the Document and settings\%username% folder.
C. For the Power Users group, assign the Deny – Full Control permission on the Documents and settings folder.
D. For the Power Users group, assign the Deny – Full Control permission on the Documents and settings\Default User folder.
Вопрос 1
Вы системный администратор компании. Все служащие компании используют Windows XP Professional на своих компьютерах. Каждый работник состоит в локальной группе Опытные пользователи своего компьютера. Работа идет в три смены, и компьютеры по очереди используются служащими разных смен. Каждый компьютер имеет определенный набор значков и ярлыков на рабочем столе в дополнение к системным значкам. Все пользователи должны обладать доступом к этим значкам и ярлыкам, а кроме того, иметь возможность создавать на рабочем столе свои собственные объекты, которые должны быть видимы только для того пользователя, который их создал. Вы должны предотвратить размещение пользовательских значков и ярлыков на общем рабочем столе, но оставить возможность создавать их. Что вы должны сделать?
A. Для группы Опытные пользователи удалить разрешение Изменить для папки \Documents and Settings\All users.
B. Для каждого пользователя удалить разрешения Полный доступ и Изменить для папки \Document and settings\%имя пользователя%.
C. Для группы Опытные пользователи запретить разрешение Полный доступ для папки \Documents and settings.
D. Для группы Опытные пользователи запретить разрешение Полный доступ для папки \Documents and settings\Default User.
Правильный ответ: А.
Значки, отображающиеся на рабочих столах пользователей, хранятся в папках \Documents and Settings\All users\Рабочий стол (для всех пользователей, работающих на этом компьютере) и \Documents and Settings\%имя пользователя %\Рабочий стол (для отдельного пользователя, чье имя используется в названии папки). В подпапке Рабочий стол папки \Documents and settings\Default User содержатся значки рабочего стола, которые будут скопированы в папку \Documents and Settings\%имя пользователя%\Рабочий стол при создании нового пользователя. В предлагаемом вопросе все учетные записи пользователей уже существуют и папка Default User никак не влияет на содержимое их рабочих столов. Поэтому нет никакой нужды запрещать доступ на эту папку. Ответ D неправильный. Если запретить группе Опытные пользователи разрешение Полный доступ для папки \Document and Settings, это не повлияет на их рабочие столы, так как по умолчанию наследование разрешений для этой папки не установлено, и имея право на обход перекрестной проверки, они смогут получить доступ к папкам рабочих столов, даже не имея разрешений на родительскую папку. В том случае, если наследование все-таки включено для папки \Documents and Settings, пользователи не смогут получить доступа к вложенной папке \All Users, но смогут работать с папками \Documents and Settings\%имя пользователя%\, так как группа Опытные пользователи не имеет прав на эти папки и запрет на доступ действовать не будет. В любом случае, ответ С неверен. Если для каждого пользователя удалить разрешения на изменение и на полный доступ к папке \Documents and Settings\%имя пользователя%, он не сможет создавать или изменять файлы и папки на своем рабочем столе. Но возможность изменять содержимое папки \Documents and Settings\All Users останется. Ответ В неправильный. Если для группы Опытные пользователи удалить разрешение Изменить для папки \Documents and Settings\All users, они не смогут изменять файлы, загружаемые для каждого пользователя, включая и общее содержимое рабочего стола. Но это не помешает им управлять своим собственным рабочим столом, что и требуется. Ответ А правильный.
Question 2
You are the desktop administrator for your company's network. You are preparing a Windows XP Professional computer for Carlos, a new user in the sales department. This computer formerly belonged to an employee named Anne. Carlos requires access to all of Anne's files, but he does not have the appropriate permissions. You log on as the local administrator and attempt to reassign permission so Carlos can access Anne's files. However, you receive an «access denied» error message. You need to ensure that Carlos can access Anne's file. What should you do?
A. Copy Anne's account and name the new account Carlos.
B. Give Carlos ownership of the files and folders on the computer.
C. Grant Carlos Allow – Change Permissions permission on the files and folds on the computer.
D. Take ownership of the files and folders on the computer, and grant Carlos Allow – Full Control permission.
Вопрос 2
Вы администрируете сетевое окружение вашей компании. Вы подготавливаете компьютер с Windows ХР Professional для Карлоса, нового пользователя из отдела продаж. Раньше этот компьютер принадлежал Анне, работнице компании. Карлосу необходим доступ ко всем файлам, ранее используемым Анной, но он не имеет необходимых разрешений. Вы входите в систему под учетной записью локального администратора и пытаетесь переназначить разрешения таким образом, чтобы Карлос смог получить доступ к требуемым файлам. При этом вы получаете сообщение об отказе в доступе. Вы должны обеспечить Карлосу возможность работать с необходимыми файлами. Что вы должны сделать?
A. Скопировать учетную запись Анны и назвать эту запись «Карлос».
B. Назначить Карлоса владельцем файлов и папок его компьютера.
C. Предоставить Карлосу разрешение Изменить для файлов и папок его компьютера.
D. Стать владельцем файлов и папок, затем назначить Карлосу разрешение Полный доступ.
Правильный ответ: D.
Копирование учетной записи можно произвести на контроллере домена. Зайдя с правами локального администратора на компьютер, ранее принадлежавший Анне, скопировать ее учетную запись не получится. Кроме того, следует учитывать, что когда вы копируете учетную запись пользователя домена, новая учетная запись имеет все те настройки, которые имел исходный пользователь. Так, скопировав учетную запись Анны, можно предоставить Карлосу разрешение на доступ не только к нужным файлам и папкам, но и к каким-либо другим объектам в сетевом окружении, ранее доступным Анне, но не предназначенным для Карлоса. Ответ А не подходит.
Назначить Карлоса владельцем файлов и папок вы не можете, вы можете только предоставить ему разрешение самому стать владельцем. Но выдать ему это разрешение вы не сможете, так как в вопросе сказано, что при попытке назначения разрешений вам было отказано в доступе. Следовательно, ответ В неверен. По этой же причине неправилен ответ С – там тоже предлагается назначить Карл осу разрешения. Для того чтобы решить проблему такого рода, когда администратору нужно получить доступ к файлу или папке, а текущие разрешения NTFS это запрещают, администратор должен вступить во владение объектом. Это сбросит все запреты на доступ к файлу или папке для администратора. Владельцем файла или папки может стать любой член группы Администраторы, независимо от текущих разрешений, имеющихся на доступ к этому объекту. Вариант D как раз это и предлагает сделать: стать владельцем, а затем предоставить Карлосу полный доступ.
Question 3
You are a help desk technician for your company. All employees use Windows XP Professional computers. A salesperson named Philippe receives a removable disk drive cartridge from his supervisor. Philippe now reports that he cannot edit files on the cartridge, he receives an «access denied» error message. Philippe's supervisor is currently out of the office. You place the cartridge in the removable drive on your computer. You receive the same «access denied» error message when you try to access the files and folders. You call Philippe's supervisor. He asks you to grant permission to access the contents of the cartridge only to Philippe. However, he also wants to prevent Philippe from changing permissions on the contents of the cartridge. Which two actions should you take? (Each correct answer presents part of the solution. Choose two).
A. As administrator, take ownership of the files and folders.
B. As administrator, grant your help desk user account Allow – Full Control permission on the files and folders.
C. Grant Philippe Allow – Modify permission on the files and folders.
D. Grant Philippe Allow – Full Control permission on the files and folders.
E. Grant Philippe Allow – Take Ownership permission on the files and folders.
Конец ознакомительного фрагмента.