Обновлено:
Опубликовано:
В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.
Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование
Шаг 1. Выбор оборудования и подготовка сервера
В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:
- Процессор может быть самый простой;
- Оперативная память также не сильно используется;
- Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.
Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.
Дополнительные требования
- Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
- Сервер должен быть подключен к источнику бесперебойного питания;
- Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.
Подробнее о выборе оборудования читайте статью Как выбрать сервер.
Шаг 2. Установка Windows и настройка системы
Установка системы
На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.
Настройка системы
- Проверяем правильность настройки времени и часового пояса;
- Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
- Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
- Для удаленного администрирования, включаем удаленный рабочий стол;
- Устанавливаем все обновления системы.
Шаг 3. Базовые настройки файлового сервера
Это стандартные действия, которые выполняются при настройке обычного файлового сервера.
Установка роли и вспомогательных компонентов
Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.
Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.
Нажимаем Управление — Добавить роли и компоненты.
В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.
В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.
Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:
- Службы хранения;
- Файловый сервер;
Если данные службы не установлены, выбираем их и нажимаем Далее.
В окне Выбор компонентов просто нажимаем Далее.
Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.
Настройка шары (общей папки)
Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:
В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:
Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:
Предоставляем полный доступ всем пользователям:
* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).
Нажимаем OK и еще раз OK.
Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:
В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.
Нажимаем OK и Изменить.
Выставляем необходимые права на папку, например:
Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!
Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.
Шаг 4. Тюнинг файлового сервера или профессиональные советы
Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.
DFS
С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:
- При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
- Администратор легко сможет создать отказоустойчивую систему при необходимости.
Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.
Теневые копии
Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.
Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.
Аудит
Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.
О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows.
Анализатор соответствия рекомендациям
В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:
Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИ — Начать проверку BPA:
Рассмотрим решения некоторых рекомендаций.
1. Для XXX должно быть задано рекомендованное значение.
Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:
Set-SmbServerConfiguration -CachedOpenLimit 5
* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.
На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.
Остальные параметры задаем аналогичными действиями.
2. Файл Srv.sys должен быть настроен на запуск по требованию.
В командной строке от имени администратора вводим:
sc config srv start= demand
3. Создание коротких имен файлов должно быть отключено.
В командной строке от имени администратора вводим:
fsutil 8dot3name set 1
Шаг 5. Настройка средств обслуживания
Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.
Резервное копирование
Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.
Мониторинг
Мониторить стоит:
- Сетевую доступность сервера;
- Свободное дисковое пространство;
- Состояние жестких дисков.
Шаг 6. Тестирование
Тестирование состоит из 3-х основных действий:
- Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
- Выполнить действия анализатора соответствий рекомендациям.
- Провести живой тест работы сервиса с компьютера пользователя.
Файловый сервер – что это? При разговоре многие IT специалисты отвечают очень просто: “шара” она и в Африке “шара”. Задаешь следующий вопрос, как ты считаешь у файлового сервера может быть логика функционирования? И в ответ получаешь, что-то подобное ответу на первый вопрос. Ну и в заключении просишь показать скриншот рабочего файлового сервера компании со стороны обычного пользователя, результат обычно такой…
И еще пару-тройку десяток папок своих и не своих, которые видит пользователь.
А как ты предоставляешь доступ пользователю?
Захожу на файловый сервер, открываю свойства конкретной папки далее вкладка Security и добавляю требуемые разрешения конкретному пользователю.
А ты слышал, что в Active Directory есть группы?
Да конечно, но я так привык делать.
А если тебе придётся администрировать файловый сервер к примеру на одну тыс. человек, как ты считаешь твоя модель будет эффективной?
Ответ зависит от креативности конкретной личности)))
Недавно мне попался такой файловый сервер который нужно было оптимизировать и продумать новую логику работы с учетом роста компании.
Какие проблемы будут решены после оптимизации файлового сервера:
1) Зайдя на файловый сервер человек будет видеть только “свои” папки.
2) Доступ к папкам будет предоставляться через ролевые группы на базе групп Active Directory.
При таком подходе предоставление доступа к ресурсу осуществляется лишь добавлением определенного пользователя в требуемую группу через оснастку Active Directory Administrative Center.
Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн.:
Ролевая группа определяет набор компьютеров или пользователей, ориентируясь на их общие черты с точки зрения бизнеса. Это помогает установить, кем является данный пользователь или компьютер
В книге очень подробно описано как грамотно организовать файловый север. Советую.
3) Файловый сервер будет работать на базе технологии Distributed File System.
4) Будет активирована технология Data Deduplication.
К примеру в моем случаи Deduplication rate (при дефолтовых настройках) составляет 43%:
Устанавливаем роли:
Создаем папку самого верхнего уровня:
Когда создаем папку или папки верхнего уровня лучше избежать русских букв в названии и пробелов. Если этим пренебречь, то к примеру некоторые Linux клиенты могу при монтирование этой папки испытывать дополнительные проблемы.
Далее заходим в свойства этой папки на вкладку Security –> Advanced и выключаем наследование прав:
Далее приводим группы в такое соответствие:
Если группе Domain Users не сделать This folder Only, то технология ABE не отработает. Плюс мы выключи наследование прав.
Далее открываем Server Manager переходим:
Выбираем нашу папку верхнего уровня:
На следующем шаге включаем технологию ABE:
Permissions мы уже указали. Management Properties и Quota мы конфигурировать так же не будем.
В конечном итоге доходим до конца мастера и нажимаем Create и получаем такие результаты:
На этом этапе стоит пояснить одну фундаментальную вещь.
Цитата из блога Vadims Podans (ссылка на статью):
Как известно, при доступе к общим ресурсам (сетевым папкам) мы различаем 2 типа прав:
Share Permissions
NTFS RightsОба типа прав влияют на результирующие (эффективные) права пользователя при доступе к сетевому ресурсу. В общем смысле эффективные права будут являть собой наиболее ограничивающее разрешение из обоих типов прав. Например, на ресурс установлено право Share Permissions = Read, а NTFS = Full Control, то исходя из наиболее ограничивающего разрешения эффективным будет Read. Если Share Permissions = FullControl, а NTFS = Modify, то эффективным правом для пользователя будет Modify. Вот такая несложная схема. Т.е. там, где прав меньше, те и будут ваши
Как известно, эта проблема редко кого касается, т.к. обычно на уровне Share Permissions выдают FullControl на ресурс и дальше уже права регулируют за счёт NTFS
Как известно, эта проблема редко кого касается, т.к. обычно на уровне Share Permissions выдают FullControl на ресурс и дальше уже права регулируют за счёт NTFSТеперь запускаем DFS Management и создадим New NameSpace…:
Практически всегда ваш файловый сервер должен “жить” в пространстве DFS. При таком подходе доступ к файловому серверу или серверам осуществляется через единый NameSpace в нашем случае \\Contoso.com\FileServer
Запускаем мастер вводим Name, далее Edit Settings и выбираем нашу первую папку в иерархии:
Далее кнопка Customize и поправим права иначе мастер нам их сбросит:
Нажимаем Next и получаем предупреждение:
Так как для папки мы уже заранее все настроили отвечаем на вопрос — Yes.
На следующем шаге оставляем все как есть:
Конечный результат:
Теперь на клиенте можно создавать такие ярлыки (удобно это делать через групповую политику):
Теперь если мы захотим добавить к нашему файловому серверу еще один сервер и начнем уже там размещать новые данные, то конечный пользователь даже не поймет, что был добавлен второй файловый сервер:
Папка “Кадровая служба” физически располагается на втором файловом сервере, но путь ко всем папкам один \\Contoso.com\FileServer:
Как это реализовать в этой заметке рассказано не будет.
Если на данном этапе реализации файлового сервера взять обычного пользователя и попытаться открыть наш файл сервер, то никаких файлов и папок мы не увидим, хотя они там есть:
Отрабатывает технология Access-based enumeration:
Скрин со стороны сервера:
Нашему тестовому вновь созданному пользователю не предоставлено по умолчанию никаких прав, а мы помним если задействована технология ABE и пользователь не имеет хотя бы права Read на файл или папку то ему этот файл или папка не видны.
Пришло время создать ролевые группы, вначале этой заметке я уже приводил цитату из книги, но хочу добавить еще одну:
Цитата из книги “Эффективное Администрирование. Windows Server 2008.” Автор: Холме Дэн:
Ролевые группы определяют набор компьютеров или пользователей на основе сходства, которым обладают объекты в бизнесе, их территориального размещения, подразделений, функций, трудового стажа или статуса, команд, проектов или любых других связанных с бизнесом характеристик
Я создал типичную структуру отделов-подразделений компании (предыдущий скриншот).
На основании этой структуры мы создадим первые ролевые группы (отмечены стрелочками):
Так как в AD DS я никогда не использую русский язык кроме поля Description в названиях групп мы используем английские аналоги, но для удобства в поле Description можно вписать русское название.
Имя_Группы к примеру Accounting (ролевая группа) – глобальная группа в этот тип групп у нас входят пользователи.
Группа Accounting входит в состав (Member Of) группы ACL_Accounting_FC или RW или RO
Еще раз:
User –> Accounting –> ACL_Accounting_RO (Read Only) –> Папка Бухгалтерии
User –> Accounting –> ACL_Accounting_RW (Read and Write) –> Папка Бухгалтерии
User –> Accounting –> ACL_Accounting_FC (Full Control) –> Папка Бухгалтерии
ACL_Имя_Группы_FC или RW или RO — это доменно локальная группа которая регулируют уровень доступа к файлам и папкам.
Теперь раздаем разрешения:
ACL_Accounting_RO – доменно локальная группа. NTFS разрешения на папку или файл Read Only
Доменно локальная группа это:
ACL_Accounting_RW — доменно локальная группа. NTFS разрешения на папку или файл Read and Write
ACL_Accounting_FC — доменно локальная группа. NTFS разрешения на папку или файл Full Control
Кто задается вопрос о модели вложенности групп в Active Directory статья Дмитрия Буланова
Сценарий 1:
Предоставить право на чтение и запись в папку Бухгалтерия пользователю User2.
”Вложить” пользователя User2 в группу ACL_Accounting_RW — это решит поставленную задачу, но противоречит нашей логике ролевого доступа.
“Вложить” пользователя User2 в ролевую группу Accounting, в свою очередь группа Accounting должна входить в группу доступа ACL_Accounting_RW – это решит поставленную задачу, но при таком подходе встает вопрос, а если части сотрудников отдела Бухгалтерия нужно дать доступ типа Read Only или Full Control на папку Бухгалтерия? В какую ролевую группу мы должны включить этого сотрудника?
Создаем ролевую группу Accounting_RO в которую будет входить наш пользователь, а сама группа будет входит в группу доступа ACL_Accounting_RO
Можно сразу пойти по такому пути и создавать группы по такой логике:
Accounting_FC —> ACL_Accounting_FC
Accounting_RW —> ACL_Accounting_RW
Accounting_RO —> ACL_Accounting_RO
Такой подход требует больших первоначальных трудозатрат, но когда дело касается практики он себя оправдает.
Вернемся к нашему вопросу:
Предоставить права на чтение и запись в папку Бухгалтерия пользователю User2.
Решение:
Ответственный инженер добавит пользователя User2 в ролевую группу Accounting_RW.
Результат:
В итоге пользователь видит только свою папку. Так же в корневой папке он не имеет никаких прав:
Идем в папку бухгалтерия и видим, что уже в папке бухгалтерия пользователь User2 имеет права Read and Write:
Сценарий 2:
Предоставить права Read Only в папку Бухгалтерия пользователю User3.
Решение:
Ответственный инженер добавит пользователя User3 в ролевую группу Accounting_RO
Так же как и User2, User3 увидит на файловом сервере только папку Бухгалтерия, но уже записать и удалить какие либо файлы не сможет:
Сценарий 3:
Предоставить права Read and Write в папку Бухгалтерия для User7 , но при увольнении User7 захочет удалить все файлы из папки Бухгалтерия.
Решение:
Ответственный инженер добавит пользователя User7 в ролевую группу Accounting_RW.
По легенде в папку бухгалтерия складывают свою данные еще четыре бухгалтера – это User2,4,5,6, но User7 при увольнении решил удалить все бухгалтерские документы, к счастью удаление файлов у которых пользователь не является владельцем удалить нельзя.
Но если у пользователя права Full Control, то в конечной папке он может делать все что ему вздумается.
Сценарий 4:
В папке Бухгалтерия должна быть создана подпапка Документы_Клиент_Банк. Этa папка будет использовать ответственными сотрудниками для хранения документов экспортируемые из клиент банков. Эту папку должны видеть только ответственные сотрудники.
Решение:
Первым делом выключаем наследовании этой подпапки Документы_Клиент_Банк:
Удаляем все унаследованные группы кроме:
Итог, на файловом сервере папка есть, но пользователь с правами которая предоставляет ролевая группа Accounting_RW или Accounting_FC или Accounting_RO ее не видит:
Дальше создаем ролевую группу к примеру ClientBank_RW (глобальаня) –> ALC_ClientBank_RW (доменно локальная) и назначаем разрешения:
Но так как папка Документы клиент банк вложена в папку Бухгалтерия и если просто добавить пользователя в группу ClientBank_RW, то пользователь увидит такую картину:
Почему? У пользователя нет никаких прав на папку верхнего уровня Бухгалтерия.
К примеру если он взаимодействует только с папкой Документы клиент банк то ему достаточно будет дать права Accounting_RO и ClientBank_RW после этого он сможет без проблем добраться до папки Документы клиент банк.
И в заключении включаем Data Dedeuplication:
Подведем итоги:
Мы создали файл сервер с ролевым типом доступа. Каждый пользователь файлового сервера видит только свои папки. Наш файловый сервер “живет” в пространстве DFS, что позволяет в будущем при необходимости масштабировать. Задействовали технологию Data Deduplication.
Соблюли вложенность групп в AD DS.
Будет интересно узнать о ваших мыслях о правильных, на ваш взгляд, практиках развёртывания и настройки файлового сервера на базе Windows Server.
Аспирин от настройки прав на файловом сервере
Время на прочтение5 мин
Количество просмотров74K
Допустим, сотрудник Петя увольняется со скандалом, и вам нужно сделать так, чтобы он ничего напоследок не поломал. Или Вася переводится в другой отдел, и ему не следует больше копаться в файлах своего бывшего подразделения.
Теперь самое интересное: нужно каким-то образом вспомнить, к каким конкретно данным у этих товарищей был доступ, и что следует прикрыть в первую очередь.
Если с доступом к приложениям все очевидно и просто, то о файловых ресурсах такого не скажешь.
Наш корпоративный файловый сервер представлял собой достаточно печальное зрелище. С одной стороны — накопленные за годы объемы данных, а с другой — наследие в виде нигде не учтенных прав доступа, предоставленных предыдущими поколениями администраторов. Все это происходило еще до внедрения системы заявок на доступ и оперативно уже никак не разобраться.
В то время мы рассмотрели несколько программ для сбора информации о правах доступа. Но они очень долго обрабатывали тонны данных файлового сервера, да и формируемые отчеты требовали дополнительной доработки напильником.
Вот что мы пробовали:
-
Sysinternals AccessEnum (Freeware)
-
Netwrix Change Notifier for File Servers (Freeware)
-
Netwrix Auditor for File Servers
-
ScriptLogic Security Explorer
- Ревизор 1 ХР
В итоге, на Powershell был написан скрипт для сбора данных через Get-Acl и последующего автоматического формирования отчета по форме, согласованной со службой безопасности. Но сразу всплыл ряд минусов:
-
Слишком неудобно каждый раз запускать скрипт и часами ждать, пока сформируется матрица доступов;
-
Не подошел вариант ведения учета в виде бумажных заявок. Главным образом, из-за отсутствия механизма автоматического поиска;
- Использование разных систем для ведения учета чревато дополнительной работой по периодической проверке и обновлению данных.
Лучшим решением проблемы стала организация структурированной системы доступов на основе ресурсных групп.
О ресурсных группах
Обычно администраторами применяются два метода предоставления доступа:
-
Непосредственно учетной записи пользователя. Если не вести подробный протокол назначения прав, то быстро возникнет неразбериха;
- Права на группу ролевого доступа. Тот же недостаток, что и в предыдущем случае. К тому же, без протокола назначения прав сложно понять, используется ли конкретная группа кем-нибудь, или может быть удалена.
В качестве альтернативного и более удобного варианта можно использовать модель ресурсных групп. Это обычные группы безопасности, которые отвечают следующим требованиям:
-
Предоставляют права доступа только к одному сетевому ресурсу или подкаталогу, которые могут иметь несколько групп доступа с разными правами;
-
Могут быть вложенными;
- При необходимости предоставляют права только к каталогам. Желательно избегать назначения прав на отдельные файлы.
Нарушение этих требований разрушит всю концепцию структурированной системы доступов.
Копнем чуть глубже
На первый взгляд, система доступов на основе ресурсных групп избыточна и требует дополнительных манипуляций при создании общих сетевых ресурсов и подкаталогов с собственными правами. Но все это компенсируется простотой управления правами и возможностью делегирования полномочий ответственным сотрудникам без административных прав на сервере или в домене.
За годы использования такой системы я ни разу не пожалел о потраченном на подготовку времени. Теперь можно в любой момент посмотреть членство пользователя в группах и сразу определить, куда у него есть доступ.
Структурированная система доступов ориентирована на файловые серверы Windows, но без проблем может быть адаптирована и под другие ОС.
Структурированная система доступов на основе ресурсных групп — это не вариация на тему ролевого доступа, а его важный элемент
Как выдаются «пропуска»
Доступ к общему сетевому ресурсу или подкаталогу предоставляется только соответствующим ресурсным группам — локальным «Administrators» и “System”. Каждый общий каталог должен рассматриваться как корень дерева, в котором все доступы наследуются подкаталогами от родительской папки. Права доступа на подкаталог могут быть предоставлены независимо от прав на родительский каталог. Я буду иллюстрировать основные идеи на примере собственного сервера и его структуры папок.
Если нужно на каком-то подуровне отключить наследование или установить запрет доступа – значит, с точки зрения информационной безопасности, структура каталогов выбрана неверно. Информация ограниченного доступа не должна размещаться на ресурсе с более широким доступом из-за риска ее компрометации.
Глубина вложений каталогов на файловом сервере может быть произвольной. Но если часто приходится выдавать права на подкаталоги ниже 3 – 5 уровня, то такая структура станет перегруженной и потребует оптимизации.
Имя нового файлового сервера «FILESRV1». На файловом сервере в корне диска для данных создан каталог с именем “Shares”. Отключено наследование прав доступа от родительского каталога и ограничен доступ
Открываемые в общий доступ каталоги будут создаваться только в папке «Shares». Имя такого каталога должно совпадать с соответствующим именем общего файлового ресурса – например, “Public”.
Для упорядоченного размещения данных в Active Directory создана структура организационных единиц «…\Groups\Shares…». Организационные единицы создаются для каждого файлового сервера и общего файлового ресурса. Для подкаталогов организационные единицы не создаются
Для примера я создал следующие ресурсные группы:
-
FILESRV1-Public
-
FILESRV1-Public-R
-
FILESRV1-Public-W
-
FILESRV1-Public-Новости-2016-R
- FILESRV1-Public-Новости-2016-W
Последние две нужны для предоставления отдельным сотрудникам расширенных прав на каталог «2016».
Теперь нужно включить все это в состав группы «FILESRV1-Public»
Пара слов о выборе имен
В организационной единице с именем общего файлового ресурса создаются группы безопасности:
-
«имя_сервера-имя_общего_файлового_ресурса» для просмотра дерева каталогов без доступа к данным;
-
«имя_сервера-имя_общего_файлового_ресурса-R» для доступа к данным с правами чтения;
- «имя_сервера-имя_общего_файлового_ресурса-W» для доступа к данным с правами на чтение и запись.
Эти группы обязательны для всех общих файловых ресурсов, в поле «описание» стоит указывать реальный сетевой путь.
Если нужно предоставить права, начинающиеся с имени подкаталога, то в организационной единице общего файлового ресурса создаются две группы безопасности:
-
«имя_сервера-имя_общего_файлового_ресурса-цепочка_имен_каталогов_разделенных_тире-R»
- «имя_сервера-имя_общего_файлового_ресурса-цепочка_имен_каталогов_разделенных_тире-W»
Когда выдаете права, отличные от «только чтение» или “чтение и запись”, то вместо суффикса “R” или “W” используйте другую букву. Группы безопасности с особыми правами создаются только для тех каталогов, где это реально необходимо.
Предложенные правила именования ресурсных групп позволяют уже по их именам определить каталог, к которому предоставляется доступ. Создаваемые группы нужно включать в состав общей группы с правами только на просмотр дерева каталогов.
Для предоставления доступа по сети лучше выдавать права к общим ресурсам группе «Authenticated Users», но можно использовать и “Domain Users” или “Everyone”. Разрешения на уровне файловой системы не позволяют получить несанкционированный доступ к данным без явного разрешения.
На уровне файловой системы к каталогу «Public» предоставлены соответствующие права доступа для групп
Аналогично установлены права доступа для каталога «2016»
Никаких дополнительных действий с каталогом «Новости» выполнять не требуется
Теперь члены групп «FILESRV1-Public-Новости-2016-R» и “FILESRV1-Public-Новости-2016-W” получат доступ только к папке “2016”, а пользователи из “FILESRV1-Public-R” и “FILESRV1-Public-W” – к общему сетевому ресурсу “\FILESRV1\Public” и всем его подкаталогам.
Что в итоге
Конечно, при создании ресурсов масса времени уходит на подготовку, но зато мы получаем следующие преимущества:
-
Освобождаем себя от постоянных работ по предоставлению доступа с помощью делегирования этих функций ответственным сотрудникам;
- Можем в любое время посмотреть, какими правами и на какие папки обладает пользователь.
Даже если сейчас ваш файловый сервер похож скорее на большую флешку, то через 2 — 3 года он вполне может превратиться в традиционную «файлопомойку» со всеми вытекающими проблемами.
Если вы знаете более простые методики организации и контроля прав доступа – обязательно делитесь опытом в комментариях.
This Windows Server 2022 Tutorial covers how to Configure permissions on a shared folder – Windows Server 2022. NTFS and share permissions are used to prevent unauthorized access in Microsoft Windows environments.
NTFS Permissions: NTFS (New Technology File System) permissions are used to manage access to data stored in NTFS file systems.
Share Permissions: Share permissions manage access to folders shared over a network. Share Permissions do not apply to users who log on locally.
Demo environment
Computer Name: server1.test.com
Operating System: Windows Server 2022 Datacenter
IP Address: 192.168.0.3
Group: test\group1
1. Right click on the folder and click Properties.
2. Select Sharing tab and click Advanced Sharing.
3. Enable share this folder and click Permissions.
4. By default, Everyone Read permission is granted Remove it, Click Add to add necessary permissions.
5. Click Advanced.
6. Select Find Now, select the group, and click OK.
7. Click OK.
8. Configure permission for the group and click OK.
9. Select the Security tab, and click Advanced.
10. Click Disable inheritance.
11. Click Covert inheritance permissions into explicit permissions o this object.
12. Remove unnecessary permissions and click Add to add necessary permissions.
13. Click Select a principal.
14. Click Advanced.
15. Select Find Now, select the group, and click OK.
16. Click OK.
17. Click OK.
18. Click OK.
Windows Server 2022 Tutorials
Часто при реализации структуры на базе Windows Server возникают задачи связанные с настройкой сервера для файлов и распределением прав на пользователейгруппы.
В нашем случае мы будем настраивать файловый сервер на Windows Server 2019.
1. Подготовка.
Для того чтобы настроить файловый сервер на Windows Server 2019, требуется установить операционную систему на виртуальную или физическую машину. Активировать операционную систему и подключиться на сервер с правами администратора.
2. Установка роли файлового сервера.
Чтобы установить роль файлового сервера, требуется:
- Зайти в диспетчер серверов.
- Управление => Добавить роли и компоненты.
- В мастере добавления ролей нажимаем “Далее” до Ролей сервера.
- Устанавливаем роль “Файловый сервер” и нажимаем “Далее”.
- Нажимаем “Установить”Нажимаем “Установить”.
3. Настройка файлового сервера.
- Заходим в Диспетчер Серверов => Файловые службы и службы хранилища => Общие ресурсы.
- Нажимаем “Задачи” и выбираем “Новый общий ресурс”.
- Выбираем подходящий нам профиль общего файлового сервера. В нашем случае мы выбираем “Общий ресурс SMB – быстрый профиль” и нажимаем “Далее”.
- Выбираем том на котором будет располагаться папка для доступа по сети, нажимаем “Далее”.
- Создаем имя общего ресурса, нажимаем “Далее”.
- В следующем окне выбираем требуемые параметры и нажимаем “Далее”.
- В окне “Распределения разрешение для управления доступом” мы настраиваем параметры безопасности на сетевую папку. А именно распределяем правами разрешения для определенных пользователей или групп, нажимаем “Далее”.
- В подтверждающем окне мы видим какие параметры будут сделаны и нажимаем “Создать”.
Рисунок 1 – Подтверждение выбора в мастере создания ресурсов
Убеждаемся в правильной настройки общей папки.
4. Проверка работоспособности файлового сервера.
Заходим на рабочую машину расположенную внутри локальной сеть. Подключаемся через проводник на сервер в нашем случае мы подключаемся к \10.15.73.38 так же можно вводить адрес сервера \domain.site.ru или по имени сервера \file-server
После авторизации мы подключились на сервере и видим нашу общую папку:
Рисунок 2 – Созданная общая папка
Мы провели настройку файлового сервера, чтобы можно было пользоваться общими папками и распределять права на определенные файлы. В дальнейшем можно увеличивать количество папок и строить файловую структуру по нуждам компании.
Эти и другие настройки для наших клиентов мы осуществляем в рамках ИТ-аутсорсинга.