Gestiunea resurselor de fisiere

Permisiuni de partajare

Permisiuni NTFS

Atunci cand diferite resurse ale domeniului sunt folosite in comun de mai multi utilizatori, se pune foarte acut problema securitatii acestor resurse. Nu toti utilizatorii vor trebui sa poata face acelasi lucru cu o resursa comuna. Cu alte cuvinte, pentru fiecare resursa in parte, fiecarui cont utilizator va trebui sa i se stabileasca un set de permisiuni. Pentru ca un disc, director sau fisier sa poata fi utilizat in comun, deci utilizatorii din retea sa aiba acces la el, acesta trebuie sa fie partajat shared). Un disc, director sau fisier partajat va fi indicat in Explorer prin intermediul unei pictograme ce reprezinta o mana.

Pentru a putea partaja o resursa, un cont utilizator trebuie sa fie membru al unui grup care are dreptul (pentru calculatorul pe care este stocata resursa) de a partaja resursa respectiva. In momentul partajarii resursei, utrilizatorul respectiv poate stabili permisiunile de acces pentru alte conturi utilizator sau grupuri, precum si numarul maxim de utilizatori care pot accesa simultan din retea resursa respectiva.

Pentru un sistem de operare Windows 2000, doar conturile utilizator cuprinse in urmatoarele grupri :

intr-un domeniu Windows 2000 Domain Admins Administrators sau Server Operators

intr-un grup de lucru Windows 2000 Administrators sau Power Users

1. Partajarea unui director

Partajarea unui director se face in Windows Explorer. Va trebui sa urmati pasii:

click cu butonul drept al mouse-lui pe directorul respectiv (in cazul nostru, Director Lucru

alegeti tab-ul Sharing. Implicit este selectata optiunea Do not share this folder, ceea ce inseamna ca directorul respectiv nu este partajat;

Figura 1 Partajarea unui director

marcati optiunea Share this folder. In acest moment, casetele de editare Share name: Comment precum si grupul User limit: devin active;

in caseta Share name: puteti accepta numele implicit de punere in comun al directorului respectiv, adica numele sub care el va fi vazut in retea, sau il puteti modifica. Optional, in caseta Comment: puteti introduce un mesaj ce va fi vizibil in Explorer la accesarea din retea;

implicit numarul de utilizatori care au acces simultan la resursa comuna nu este limitat. Daca doriti totusi limitarea numarului acestora, deselectati optiunea Maximum allowed si selectati optiunea Allow. Introduceti in caseta de editare numarul utilizatori care vor avea acces simultan la resursa;

apasati OK pentru ca optiunea de partajare sa devina activa;

In acest moment, in Explorer, folderul pe care tocmai l-ati partajat apare in subarborele discului pe care se afla cu o pictograma mana suprapusa peste pictograma de folder. In plus, il puteti vedea sub numele de punere in comun in subarborele calculatorului pe care este stocat din My Network Places. Este vorba de unul si acelasi director, dar primul este accesat local, iar al doilea prin intermediu serviciilor de retea.

2. Partajari administrative

Figura 3 Partajarea Admin

Figura 4 Partajarea C$

La instalarea sistemului de operare, se creaza in scop administrativ cateva partajari, pentru a asista administratrul daca are nevoie de acces prin intermediul retelei la anumite directoare de pe servere. Aceste partajari sunt:

ADMIN$ - aceasta resursa este asociata pe fiecare server directorului care stocheaza fisierele sistemului de operare. Daca va veti loga pe controler ca administrator si veti incerca sa puneti in comun directorul C:winnt, veti observa ca el este deja partajat sub acest nume. Puteti crea o noua partajare, pe care o puteti face accesibila oricarui cont utilizator sau grup, prin apasarea butonului New Share si alegerea unui alt nume de punere in comun;

drive$ - cate o astfel de resursa administrativa este asociata fiecarei unitati de disc a serverului. De exemplu, C$ este resursa comuna administrativa asociata discului C al serverului;

La aceste partajari administrative au acces doar administratorii, ceilalti utilizatori nu le vor putea utiliza.

3. Permisiuni asupra folderelor partajate

Utilizatorilor li se poate garanta sau interzice accesul la o resursa partajata, dar numai in cazul in care acceseaza aceasta resursa prin intermediul retelei, indiferent daca resursa este stocata pe un disc FAT sau NTFS. Aceste permisiuni nu se aplica acelor utilizatori care vor accesa resursa respectiva local, pe calculatorul pe care aceasta este stocata. Ca o consecinta, de exemplu, daca veti accesa directorul Director lucru in subarborele discului C, permisiunile de partajare nu vi se vor aplica, dar daca il veti accesa in subarborele My Network Places, aceste permisiuni vor deveni efective.

Figura 5 Asa nu

Figura 6 Adaugarea unui grup la lista de permisiuni

Exista 3 permisiuni pentru partjare:

Tabelul 1

Permisiunile se atribuie prin apasarea butonului Permissions din tab-ul Sharing. La partajare, implicit grupul Everyone va avea permisiunea Full Control asupra resursei. Deoarece optiunile alese la Deny vor fi prioritare fata de cele alese la Allow, nu puteti limita accesul pentru Everyone marcand una din optiuninile Deny, pentru ca in acest caz, permisiune respectiva va fi interzisa tuturor utilizatorilor. Va fi suficient sa limitati accesul prin dezactivarea permisiunii de la Allow. La ce foloseste Deny? Sa presupunem spre exemplu ca un grup are permisiunea Change asupra unei resurse partajate, dar un anumit cont utilizator din acest grup va trebui sa aiba doar Read. Cum contul utilizator mosteneste implict permisiunile grupului, va trebui sa-i interzicem permisiunea Change in mod explicit, bifand aceasta optiune in coloana Deny

Pentru adaugarea de conturi utilizator sau de grupuri la lista de permisiuni asociata unei resurse partajate, va trebui sa apasam butonul Add si sa alegem conturile sau grupurile in lista panoului Select Users, Computers or Groups si sa le inseram efectiv in lista prin apasarea butonului Add. In final, prin apasarea butonului OK se revine in caseta Permision for, in care se pot atribui permisiunile dorite pentru fiecare cont utilizator sau grup in parte.

Pentru eliminarea unui cont utilizator sau grup din lista de permisiuni, se selecteaza contul utilizator sau grupul respectiv in lista si se apasa Remove

4. Maparea unei resurse partajate

Figura 7 Alegerea unitatii

Figura 8 Alegerea resursei

Figura 9 Maparea efectiva

Pentru a utiliza mai usor un director partajat de pe server, utilizatorul poate sa-i asocieze o unitate logica. Acest proces se numeste maparea resursei comune. Uzual, literele utilizate pentru conectare sunt E Z. Dupa declararea unitatii logice, utilizatorul se va putea conecta la directorul de pe server ca si cum acesta ar fi un hard disc in calculatorul local. Metoda cea mai des utilizata pentru maparea unei resurse partajate este urmatoarea:

apasati click dreapta pe MyComputer si in meniul contextual algeti Map network drive

in caseta Drive: alegeti unitatea logica pe care doriti s-o mapati;

apasati butonul Browse sau scrieti in caseta Folder: numele resursei, sub forma nume_calculatornume_resursa

daca ati apasat Browse, selectati in subarborele MyNetworkPlaces resursa dorita si apasati OK. Numele complet al resursei va apare in caseta Folder:;

apasati Finish. In acest moment, in Explorer, resursa partajata va apare ca fiind unitatea logica aleasa.

Publicarea unui director partajat in Active Directory

Figura 11 Crearea noii publicari

Figura 12 Directorul apare in Explorer

Pentru a putea regasi usor un director partajat in retea, chiar daca localizarea fizica a acestuia se schimba, este bine sa publicati acest director in dosarul Active Directory. Va fi suficient sa actualizati referintele spre directorul partajat in Active Directory si toate aplicatiile sau scurtaturile spre directorul respectiv vor functiona corect. Pentru publicarea unui director partajat, va trebui sa executati urmatoarele:

deschideti aplicatia Active Directory Users and Computers din Administrative Tools si apasati click dreapta pe numele domeniului in care doriti sa publicati directorul partajat;

in meniurile contextuale alegeti New si Shared Folder

in caseta Name: tastati numele directorului asa cum doriti sa apara in Active Directory, iar in caseta Network path (servershare): tastati calea spre directorul partajat. Apasati OK si directorul este publicat;

acum veti vedea acest director fie in Explorer la MyNetworkPlaces, fie in Active Directory Users and Computers

Permisiuni NTFS

Daca partitia pe care se lucrati este formatata NTFS, veti putea aplica asupra directoarelor si fisierelor permisiunile NTFS. Spre deosebire de permisiunile prin partajare descrise anterior, care se aplica doar de la nivel de director si doar acelor utilizatori care acceseaza din retea resursa partajata, permisiunile NTFS se aplica tuturor utilizatorilor, indiferent daca directorul sau fisierul este accesat local sau din retea. In plus, permisiunile NTFS pot fi aplicate pana la nivel de fisier. Din acest motiv, un volum NTFS poate fi protejat mult mai bine decat un volum FAT, acesta din urma neoferind un mecanism de protejare a directoarelor si fisierelor impotriva utilizatorilor locali.

Pentru fiecare partitie NTFS, sistemul de operare construieste o lista de control al accesului (Access Control List) in care sunt descrise fiecare director sau fisier. Lista ACL contine o lista a conturilor utilizator, grupurilor si computerelor care au permisiuni de acces la fisierul sau directorul respectiv, precum si tipul accesului garantat pentru obiectele respective. Astfel, pentru ca un cont utilizator sa poata accesa un director sau un fisier, lista ACL va trebui sa contina o intrare pentru contul utilizator respectiv, grupul sau computerul din care acesta face parte, intrare in care este specificat tipul de permisiune de acces care este garantata contului utilizator respectiv. Daca o astfel de intrare lipseste, sistemul de operare interzice accesul la director sau fisier.

Permisiunile NTFS se pot aplica directoarelor sau fisierelor, permisiunile aplicate fisierelor fiind prioritare celor aplicate directoarelor. Aceste permisiuni sunt:

Tabelul 2 Permisiuni aplicate directoarelor

Tabelul 3 Permisiuni aplicate fisierelor

Permisiunile NTFS pot fi aplicate conturilor utilizator, dar si grupurilor din care acestea fac parte. Astfel, grupul va putea avea un set de permisiuni NTFS asupra unui director sau fisier, iar un cont utilizator din grupul respectiv va putea avea un alt set de permisiuni. In acest caz, permisiunile pe care le va avea contul utilizator respectiv vor fi o combinatie a permisiunilor proprii si ale grupului (grupurilor) din care face parte. Daca de exemplu contul utilizator va avea permisiunea Read asupra unui director, iar grupul din care face parte va avea permisiune Write, contului utilizator i se vor aplica ambele permisiuni, deci el va avea automat Read si Write

Similar permisiunilor de partajare, si in cazul permisiunilor NTFS va exista posibilitatea interzicerii unui tip de acces la un director sau fisier, prin validarea corespunzatoare a optiunii Deny. Validarea optiunii Deny este prioritara validarii optiunii Allow. In general aceasta metoda de interzicere este evitata, fiind usor de modelat un sistem de securitate doar cu ajutorul optiunilor Allow. Ea apare doar ca o exceptie de la regula. Daca asupra unui director se aplica atat permisiuni de partajare cat si NTFS, permisiunea de partajare rezultata va fi cea mai restrictiva rezultata din combinatia lor.

Figura 16 Adaugarea de grupuri

Figura 17 Lista ACL pentru director

Pentru a aplica permisiuni NTFS asupra unui director sau fisier, in Explorer apasati click dreapta asupra lui, alegeti in meniul contextual Properties si selectati tab-ul Security. Veti observa ca, implicit entitatea Everyone are permisiune Full Control asupra directorului sau fisierului. De asemenea, caseta Allow inheritable permision from parent to propagate to this object este validata. Asta inseamna ca implicit, permisiunea obiectului parinte este mostenita si de subdirectoare sau fisiere. Pentru a evita acest lucru, va trebui sa anulati selectia acestei optiuni, caz in care subdirectoarele sau fisierele vor putea avea permisiuni diferite de cele ale directorului parinte. Uzual, este de evitat permisiunea Full Control pentru entitatea Everyone. Pentru a garanta un alt tip de permisiuni, veti anula selectia casetei de mostenire a permisiunilor si veti anula de asemenea selectiile casetelor Allow pentru permisiunile pe care doriti sa nu le acordati. Va apare un mesaj de atentionare, la care veti raspunde cu Remove

Puteti acum adauga noi grupuri sau conturi utilizator la lista de permisiuni asociata directorului sau fisierului, apasand butonul Add Va apare o lista a grupurilor si conturilor utilizator din domeniu (domenii), din care veti alege succesiv grupurile sau conturile utilizator dorite, apasand Add. Dupa ce ati adaugat toate grupurile si conturile dorite, apasati OK. Noile grupuri si conturi au fost adaugate in lista Name a permisiunilor asociate directorului sau fisierului. Acum veti putea modela sistemul de securitate pentru fiecare cont sau grup, apasand click pe contul sau grupul respectiv si validand sau anuland validarile pentru casetele Allow corespunzatoare. Puteti anula permisiunile unui cont utilizator sau unui grup, selectandu-l si apasand butonul Remove. In exemplul nostru, am adaugat grupul profesori_iasp si am asigurat toate permisiunile, mai putin Full Control

Figura 18 Adaugarea unei intrari in ACL

Figura 19 Setarea permisiunilor

Daca veti apasa butonul Advanced, veti putea vizualiza intrarile listei ACL pentru directorul sau fisierul respectiv. Veti avea acces de asemenea la trei butoane:

Remove - sterge intrarea selectata din lista ACL

Add - adauga un nou cont utilizator sau grup la lista ACL. Daca veti apasa acest buton, veti avea posibilitatea sa adaugati un nou grup sau cont utilizator din lista afisata, specificandu-i numele in caseta Name:. In exemplul nostru, am adaugat la lista de permisiuni grupul postuniv

Setarea permisiunilor se va face de aceasta data utilizand o lista de permisiuni speciale NTFS. Aceste permisiuni sunt utilizate atunci cand dorim un sistem de securitate asupra directoarelor si fisierelor mai complex decat cel asigurat de permisiunile standard. Exista 13 pemisiuni speciale NTFS, care combinate, furnizeaza sistemul standard de permisiuni. Modul de garantare sau interzicere a acestor permisiuni este similar cazurilor precedente si in acest caz fiind utilizata doar in mod exceptional selectia casetelor Deny

View/Edit - vizualizeaza si permite modificarea permisiunilor speciale NTFS pentru intrarea in lista ACL selectata.

6. Implementarea cotelor de disc

Cum o partitie de pe un controler de domeniu poate contine directoare ce apartin mai multor utilizatori, este uneori de dorit ca spatiul de pe disc alocat fiecarui cont utilizator sa poata fi limitat. Acest lucru este posibil datorita cotelor de disc. Veti putea stabili cote de disc pentru fiecare partitie in parte, daca veti lansa Windows Explorer, veti apasa click dreapta pe intrarea corespunzatoare partitiei, veti alege din meniul contextual Properties si apoi tab-ul Quota

Implicit, limitarea spatiului pe disc este dezactivata. Pentru a o activa, selectati caseta Enable quota management. In acest moment veti putea stabili politica de limitare a spatiului pe disc ce se aplica tuturor utilizatorilor. Puteti seta urmatoarele optini:

Deny disk space to users exceeding quota limit - daca aceasta optiune este selectata, in momentul in care un utilizator isi depaseste capacitatea de disc va primi un mesaj Out of disk space si va fi impiedicat sa mai salveze fisiere;

Do not limit usage - daca aceasta optiune este selectata, spatiul pe disc nu este limitat pentru nici un utilizator;

Limit disk space to - precizeaza dimensiunea spatiului pe disc alocata utilizatorilor;

Set warning level to - specifica incepand cu ce spatiu ocupat utilizatorul va receptiona mesaje de avertizare din partea sistemului de operare;

Puteti seta cota de disc numai pentru anumite conturi utilizator. Pentru aceasta, apasati butonul Quota Entries si in meniul Quota alegeti New Quota Entry Alegeti din lista afisata conturile utilizator dorite si apasati Add. Apoi, in caseta de dialog Add New Quota Entry selectati politica referitoare la limitarea spatiului de disc pentru conturile utilizator adaugate.

7. Tema propusa

Urmarind cele prezentate anterior, vi se propune urmatoarea aplicatie practica:

logati-va ca administrator de domeniu de la o statie client si mapati pentru unitatile logice V: si Z: partajarile administrative C si Admin . Logati-va apoi ca un client oarecare si incercati acelasi lucru;

logati-va ca si Administrator pe controlerul de domeniu si partajati unul sau mai multe directoare. Dati pentru cel putin unul din directoare permisiunea Read pentru un grup creat la capitolul trecut si permisiunea Change pentru altul. Logati-va cu diferite conturi utilizator din aceste grupuri si incercati sa stergeti fisiere din acest director pe intrarea asociata din MyNetworkPlaces. Incercati apoi stergerea de fisiere accesand directorul pe calea directa. Exista vreo diferenta Incercati acelasi lucru fiind conectati la o statie client;

publicati cel putin un director partajat in Active Directory si verificati publicarea;

pentru diferite directoare, aplicati diferite permisiuni NTFS pentru grupurile pe care le-ati utilizat anterior. Verificati ca aceste permisiuni se aplica atat local cat si in cazul accesului partajat, logandu-va cu diferite conturi utilizator (pentru aceasta, in prealabil dati permisiunea de partajare Full Control pentru entitatea Everyone directoarelor cu care lucrati). Modificati apoi permisiunile de partajare si verificati faptul ca se aplica cea mai restrictiva dintre ele;

stabiliti cote de disc pentru cateva conturi utilizator si verificati aparitia mesajelor de avertizare si ce se intampla la depasirea cotelor;