Отключить параметр наследования разрешений windows server 2012

Особенности настройки разрешений файловой системы NTFS

Файловая система NTFS используется в Windows с незапамятных времен. Если быть точнее, то первая версия NTFS появилась еще в Windows NT 3.1, в далеком 1993 году. Но не смотря на свой солидный возраст, NTFS до сих пор является основной файловой системой в Windows и замены ей пока не предвидится. NTFS поддерживает множество полезных функций, одной из которых является система разграничения доступа к данным с использованием списков контроля доступа (access control list, ACL). О том, как грамотно настраивать разрешения на файлы и папки в файловой системе NTFS и пойдет сегодня речь.

Для начала немного теории.

Информация обо всех объектах файловой системы NTFS, расположенных на томе, хранится в главной таблице файлов (Master File Table, MFT). Каждому файлу или папке соответствует запись в MFT, в которой содержится специальный дескриптор безопасности (Secirity Descriptor). Дескриптор безопасности включает в себя два списка ACL:

• System Access Control List (SACL) — системный список контроля доступа. Используется в основном для аудита доступа к объектам файловой системы;
• Discretionary Access Control List (DACL) — дискретный (избирательный) список контроля доступа. Именно этот список формирует разрешения файловой системы, с помощью которых происходит управление доступом к объекту. В дальнейшем говоря ACL мы будем иметь в виду именно DACL.

Каждый список ACL содержит в себе набор записей контроля доступа (Access Control Entry, ACE). Каждая запись включает в себя следующие поля:

• Идентификатор безопасности (SID) пользователя или группы, к которым применяется данная запись;
• Маска доступа, определяющая набор разрешений на данный объект;
• Набор флагов, определяющих, могут ли дочерние объекты наследовать данную ACE;
• Тип ACE (разрешение, запрет или аудит).

Примечание. Если в дескрипторе безопасности отсутствует ACL, то объект считается незащищенным и получить к нему доступ могут все желающие. Если же ACL есть, но в нем отсутствуют ACE, то доступ к объекту закрыт для всех.

И коротко о том, как происходит доступ к объекту, защищенному ACL. При входе пользователя в систему подсистема безопасности собирает данные о его учетной записи и формирует маркер доступа (access token). Маркер содержит идентификатор (SID) пользователя и идентификаторы всех групп (как локальных, так и доменных), в которые пользователь входит. И когда пользователь запрашивает доступ к объекту, информация из маркера доступа сравнивается с ACL объекта и на основании полученной информации пользователь получает (или не получает) требуемый доступ.

Закончим с теорией и перейдем к практике. Для издевательств создадим в корне диска C папку RootFolder.

Базовые разрешения

Для управления разрешениями мы будем использовать встроенные средства проводника. Для того, чтобы добраться до ACL, в проводнике выбираем папку, кликаем на ней правой клавишей мыши и в открывшемся контекстном меню выбираем пункт Properties (Свойства).

контекстное меню проводника

Затем переходим на вкладку Security (Безопасность), на которой отображаются текущие разрешения. Вот это собственно и есть ACL папки (в слегка сокращенном виде) — сверху пользователи и группы, снизу их разрешения. Обратите внимание, что вместо SID-а в таблице отображаются имена. Это сделано исключительно для удобства пользователей, ведь сама система при определении доступа оперирует идентификаторами. Поэтому, к примеру, невозможно восстановить доступ к файлам удаленного пользователя, создав нового пользователя с таким же именем, ведь новый пользователь получит новый SID и будет для операционной системы абсолютно другим пользователем.

Для перехода к редактированию разрешений надо нажать кнопку «Edit».

свойства папки, вкладка безопасность

В качестве примера я выдам права на папку пользователю Kirill (т.е. себе). Первое, что нам надо сделать — это добавить нового пользователя в список доступа.  Для этого жмем кнопку «Add»

базовый список доступа

выбираем нужного пользователя и жмем ОК.

добавление пользователя в список доступа

Пользователь добавлен и теперь надо выдать ему необходимые разрешения. Но перед этим давайте рассмотрим поподробнее основные (базовые) разрешения файловой системы:

• List Folder Contents (Просмотр содержимого директории) — позволяет зайти в папку и просмотреть ее содержимое;
• Read  (Чтение) — дает право на открытие файлапапки на чтение, без возможности изменения;
• Read & execute (Чтение и выполнение) — позволяет открывать файлы на чтение, а также запускать исполняемые файлы;
• Write (Запись) — разрешает создавать файлыпапки и редактировать файлы, без возможности удаления;
• Modify (Изменение) — включает в себя все вышеперечисленные разрешения. Имея разрешение Modify можно создавать, редактировать и удалять любые объекты файловой системы;
• Full Control (Полный доступ)  — включает в себя разрешение Modify, кроме того позволяет изменять текущие разрешения объекта.

При добавлении пользователя в список доступа ему автоматически выдаются права на чтение и запуск.

результат

Я воспользуюсь служебным положением 🙂 и выдам себе полный доступ на папку. Для этого надо отметить соответствующий чекбокс и нажать OK.

добавление разрешений

Дополнительные разрешения

Базовые разрешения файловой системы не дают достаточной гибкости при управлении доступом, поэтому для более тонкой настройки используются дополнительные (расширенные) разрешения. Кстати, определить их наличие можно по наличию галки в строке Special Permissions (Специальные разрешения).

Для редактирования расширенных разрешений надо нажать кнопку «Advanced», после чего мы попадем в окно Advanced Security Settings (Дополнительные параметры безопасности).

дополнительные разрешения

Здесь выбираем пользователя и жмем кнопку «Edit».

расширенные свойства безопасности

В открывшемся окне мы увидим все те же базовые разрешения, а для перехода к расширенным надо перейти по ссылке Show advanced permissions (Отображение дополнительных разрешений).

базовые разрешения

Как видите, здесь разрешений гораздо больше, и настраиваются они детальнее. Вот полный список расширенных разрешений файловой системы:

• Traverse folder / execute file (Траверс папок / Выполнение файлов) —  траверс в переводе означает проход, соответственно данное разрешение позволяет пройти внутрь папки и запустить в ней исполняемый файл. При этом зайти внутрь папки и просмотреть ее содержимое нельзя, а файлы внутри доступны только по прямой ссылке. Таким образом можно выдать права на конкретные файлы внутри, при этом не давая никаких прав на саму папку. Обратите внимание, что данное разрешение не устанавливает автоматически разрешения на выполнение для всех файлов в папке;
• List folder /read data (Содержимое папки / чтение данных) — право просматривать содержимое папки, без возможности изменения. Открывать или запускать файлы внутри папки тоже нельзя;
• Read attributes (Чтение атрибутов) — дает право просматривать основные атрибуты файлов (Read-only, System, Hidden и т.п.);
• Read extended attributes (Чтение расширенных атрибутов) — дает право просматривать дополнительные (расширенные) атрибуты файлов. Про расширенные атрибуты известно не очень много. Изначально они были добавлены в Windows NT для совместимости с OS/2 и на данный момент  практически не используются. Тем не менее их поддержка присутствует в Windows до сих пор. Для работы с расширенными атрибутами в Windows готовых инструментов нет, но есть сторонняя утилита ea.exe, позволяющая добавлять, удалять и просматривать эти самые атрибуты;
• Create files / write data (Создание файлов / запись данных) — это разрешение дает пользователю право создавать файлы в папке, не имея прав доступа к самой папке. Т.е. можно копировать в папку файлы и создавать новые, но нельзя просматривать содержимое папки и открыватьизменять уже имеющиеся файлы. После добавления пользователь уже не сможет изменить файл, даже будучи его владельцем;
• Create folders / append data (Создание папок / добавление данных) — пользователь может создавать новые подпапки в текущей папке, а также добавлять данные в конец файла, при этом не изменяя уже имеющееся содержимое;
• Write attributes (Запись атрибутов) — дает право изменять практически все стандартные атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Дело в том, что для функций сжатия и шифрования требуется намного большие полномочия в системе, чем предоставляет данное разрешение. Если точнее, то для включения сжатия или шифрования необходимы права локального администратора;
• Write extended attributes (Запись расширенных атрибутов) — позволяет производить запись расширенных атрибутов файловой системы. Как я говорил выше, атрибуты эти почти не используются, однако есть исключения. В расширенные атрибуты файла можно записывать произвольные данные, чем пользуются некоторые вредоносные программы;
• Delete subfolders and files (Удаление подпапок и файлов) — позволяет удалять папки и файлы внутри родительской папки, при этом саму родительскую папку удалить нельзя;
• Delete (Удаление) — тут все просто, имея данное разрешение можно удалять все что душа пожелает. Но для удаления объекта кроме Delete необходимо иметь разрешение List folder /read data, иначе удалить ничего не получится;
• Read permissions (Чтение разрешений) — позволяет просматривать текущие разрешения файлапапки. Не позволяет открывать на чтение сам файл;
• Change permissions (Изменение разрешений) — дает пользователю право изменять текущие разрешения. Формально это разрешение не дает никаких прав на сам объект, однако по сути предоставляет к нему неограниченный доступ;
• Take ownership (Смена владельца) — данное разрешение позволяет сменить владельца файла или папки. О том, кто такой владелец, речь пойдет чуть позже.

Для примера отберем у пользователя только права на удаление, но оставим все остальные. Обратите внимание, что все разрешения зависят друг от друга и при добавленииснятии одной галки могут добавлятьсясниматься другие. Так при снятии разрешения Delete снимается Full Control.

редактирование расширенных разрешений

Отзыв разрешений

Как выдавать разрешения мы выяснили, теперь о том, как их отбирать. Тут все просто, достаточно удалить пользователя или группу из списка и доступ автоматически пропадает. В качестве примера отберем доступ к папке у пользователя Kirill. Для этого откроем базовые разрешения, выберем нужного пользователя и нажмем кнопку «Remove».

удаление пользователя из списка доступа

Проверим, что пользователь удалился из списка

результат

и попробуем зайти в папку. Поскольку у пользователя больше нет никаких разрешений, то получаем отказ в доступе.

отказ в доступе при отсутствии резрешений

Явный запрет

Как вы наверняка знаете, в файловой системе кроме разрешающих правил (Allow) есть еще и запрещающие (Deny). Однако явные запреты используются достаточно редко, поскольку для управления доступом вполне хватает обычных разрешений. Более того, запреты не рекомендуется использовать без крайней необходимости.

Дело в том, что запрещающие правила всегда имеют приоритет над разрешающими, поэтому при их использовании возможно возникновение конфликтов доступа. Например, если пользователь входит в две группы, у одной из которых есть разрешение на доступ к папке, а у второй явный запрет, то сработает запрет и пользователю будет отказано в доступе.

Однако бывают ситуации, в которых применение запретов может быть оправдано. К примеру, одному пользователю необходимо запретить доступ к папке. При этом он входит в группу, имеющую разрешения на доступ. Отобрать доступ у всей группы нельзя, поскольку в нее входят другие пользователи, которым доступ положен. Убрать пользователя из группы тоже нельзя, поскольку кроме доступа к папке она обеспечивает и другие разрешения, которые должны остаться. В такой ситуации единственным выходом остается только явный запрет на доступ для данного пользователя.

Запрещающие правила настраиваются аналогично разрешающим — заходим в настройки безопасности, выбираем пользователягруппу и проставляем нужные галки. Для примера запретим полный доступ к папке для пользвателя NoAccess.

явный запрет

Кстати, при использовании запретов система обязательно выдаст предупреждение и даже приведет пример.

предупреждение

В результате при наличии явного запрета пользователь получит такой же отказ в доступе, как и при отсутствии разрешений. Разве что сообщение немного отличается.

отказ в доступе при наличии явного запрета

Как видите, в использовании запретов нет ничего страшного, хотя, на мой взгляд, это является показателем некоторой некомпетентности. Ведь при грамотно организованной структуре прав доступа в них не должно быть необходимости.

Наследование

Наследование (Inheritance) — это один из наиболее важных моментов, о которых нужно знать при работе с файловой системой. Суть наследования заключается в том, что каждый объект файловой системы (файл или папка) при создании автоматически наследует разрешения от ближайшего родительского объекта.

Давайте проверим на практике, как работает правило наследования. Для лучшей наглядности я создал структуру папок, состоящую из нескольких уровней. На верхнем уровне находится корневая папка RootFolder, в ней расположена подпапка SubFolder, в которую вложена подпапка SubSubFolder.

структура директории

Для начала проверим разрешения корневой папки. Для этого перейдем к расширенным свойствам безопасности и посмотрим на текущие разрешения. В таблице разрешений присутствует столбец Inherited from (Унаследовано от), из которого можно узнать, какие разрешения являются унаследованным и от кого они унаследованы. Как видите, большинство разрешений папка унаследовала от диска C, на котором она расположена. Единственное не унаследованное разрешение — это разрешение для пользователя Kirill, которое было добавлено вручную.

наследование корневой папки

Теперь копнем поглубже и перейдем к свойствам папки SubSubFolder. Здесь уже все разрешения являются унаследованными, но от разных объектов. Разрешения пользователя Kirill получены от корневой папки RootFolder, остальные наследуются от диска C. Из этого можно сделать вывод, что наследование является сквозным и работает независимо от уровня вложенности объекта. Корневая папка наследует разрешения от диска, дочерняя папка наследует разрешения от родительской, файлы наследуют разрешения от папки, в которой находятся.

Это свойство наследования очень удобно использовать для назначения прав на большие файловые ресурсы. Достаточно определить права на корневую папку и они автоматически распространятся на все нижестоящие папки и файлы.

наследование подпапок

Разрешения, наследуемые от вышестоящих объектов, называются неявными (implicit), а разрешения, которые устанавливаются вручную — явными (explicit). Явные разрешения всегда имеют приоритет над унаследованными, из чего вытекают следующие правила:

• Запрет имеет более высокий приоритет над разрешением;
• Явное разрешение имеет более высокий приоритет, чем неявное.

И если расположить приоритеты разрешений в порядке убывания, то получится такая картина:

1. Явный запрет
2. Явное разрешение;
3. Неявный запрет;
4. Неявное разрешение.

Т.е. если у пользователя одновременно имеется и разрешающее, и запрещающее правило, то подействует запрет. Но если запрет унаследован, а разрешение назначено вручную, то тут уже победит разрешающее правило. Проверим 🙂

Для примера запретим пользователю Kirill доступ к корневой папке RootFolder, но выдадим ему доступ к дочерней папке SubSubFolder.  Получается, что у пользователя на папку SubSubFolder имеется унаследованный запрет и явно выданное разрешение.

унаследованный запрет и явное разрешение

В результате пользователь может зайти в саму папку SubSubFolder, т.е. явное разрешение победило. А вот при попытке подняться выше будет получена ошибка, сработает унаследованный запрет.

отказ в доступе

Кроме плюсов наследование имеет и свои минусы. Так изменить или удалить унаследованные разрешения невозможно, при попытке вы получите ошибку. Поэтому для их изменения сначала необходимо отключить наследование.

ошибка при удалении унаследованных разрешений

Для этого надо в расширенных настройках безопасности выбранного объекта нажать кнопку Disable inheritance (Отключить наследование) и выбрать один из двух вариантов:

• Convert inherited permissions into explicit permissions on this object (Преобразовать унаследованные от родительского объекта разрешения и добавить их в качестве явных разрешений для этого объекта);
• Remove all inherited permissions from this object (Удалить все унаследованные разрешения с этого объекта).

отключение наследования

В первом варианте унаследованные разрешения остаются на месте, но становятся явными и их можно изменять и удалять.

результат при отключении наследования

Во втором — все унаследованные разрешения просто удаляются, остаются только явные (если они есть). Если же у объекта не было явных разрешений, то он станет бесхозным и ни у кого не будет к нему доступа. Впрочем, при необходимости наследование легко включить обратно, надо всего лишь нажать на кнопку Enable inheritance (Включить наследование).

удаление всех разрешений

Отключение наследования позволяет более детально настраивать разрешения для дочерних объектов. Однако может быть и обратная ситуация, когда на всех дочерних объектах надо убрать созданные вручную разрешения и заменить их на разрешения, наследуемые от родительского объекта. Сделать это просто, достаточно лишь отметить чекбокс Replace all child object permission entries with inheritable permission enntries from this object (Заменить все дочерние разрешения объекта на разрешения, наследуемые от этого объекта) и нажать «Apply».

замена всех дочерних разрешений на наследуемые

При включенном наследовании область действия унаследованных разрешений можно ограничивать, тем самым добиваясь большей гибкости при настройке разрешений. Для настройки надо перейти к разрешениям конкретного пользователягруппы и указать, на какие именно дочерние объекты должны распространяться данные разрешения:

• This folder only — разрешения распространяются только на родительскую папку, не включая ее содержимое. Т.е. к файлам и папкам, находящиеся внутри данной папки, доступа нет. Не смотря на кажущуюся бесполезность данная настройка довольно часто используется. К примеру, для корневой папки мы выдаем разрешение для всех на просмотр содержимого, но ограничиваем глубину просмотра, а уже внутри папки настраиваем права так, как нам нужно. Соответственно пользователь может зайти в папку, осмотреться и выбрать нужный ему объект. Такой подход очень удобно использовать вместе с технологией Access Based Enumeration;
• This folder, subfolders and files — разрешения распространяются на папку включая все находящиеся в ней папки и файлы. Это выбор по умолчанию;
• This folder and subfolders — разрешения распространяются на родительскую папку и подпапки, не включая файлы. Т.е. к файлам, находящимся внутри данной папки и ее подпапок, доступа нет;
• This folder and files — здесь разрешения распространяются на саму папку и находящиеся в ее корне файлы. Если в родительской папке есть дочерние папки, то к ним и их содержимому доступа нет;
• Subfolders and files only — разрешения распространяются на все файлы и папки, находящиеся внутри родительской папки, но не дают доступ к самой папке;
• Subfolders only — разрешения распространяются только на подпапки, находящиеся в данной папке. На родительскую папку, а также на файлы, находящиеся внутри родительской папки и дочерних папок разрешений нет;
• Files only — разрешения распространяются на все файлы, находящиеся внутри родительской папки и дочерних папок. На родительскую папку и подпапки разрешений нет.

варианты распространения разрешений

Данные ограничения в сочетании с расширенными разрешениями позволяют очень гибко настраивать права доступа к файлам. Для примера выдадим пользователю полный доступ к корневой папке, но установим ограничение This folder and subfolders, которое дает доступ ко всем дочерним папкам. И действительно, мы можем зайти в папку, пройти вглубь в подпапку  Subsubfolder и даже посмотреть ее содержимое, а вот произвести какие либо действия с файлами у нас не получится.

запрет на доступ к файлу

Кроме определения области действия есть еще один способ ограничить наследование. Для этого надо отметить чекбокс Only apply these permissions to object and/or containers within this container (Применить данные разрешения для объектов внутри этого контейнера). Действие этого чекбокса ограничивает наследование только дочерними объектами и только данного объекта, т.е. при включении этой опции вне зависимости от выбранной области действия разрешения будут распространяться только на находящиеся в корне родительской папки файлы и папки.

ограничение наследования

Владелец

Вот мы и добрались до понятия владелец (Owner). Изначально владельцем объекта является пользователь, этот объект создавший. Что более важно, владелец имеет полный, никем и ничем не ограниченный доступ к объекту, и лишить его этого доступа достаточно сложно. Даже если владельца вообще нет в списке доступа и он не имеет никаких прав на объект, все равно он может легко это исправить и получить полный доступ.

Для примера удалим из списка доступа папки RootFolder всех ″живых″ пользователей и группы, оставим доступ только системе. Как видите, пользователь Kirill не имеет абсолютно никаких разрешений на папку, но при этом является ее владельцем.

владелец без разрешений

Теперь зайдем в систему под этим пользователем, откроем проводник и попробуем зайти в папку. Доступа к папке конечно же нет, о чем сказано в предупреждении, но при этом предлагается продолжить открытие папки.

отказ в доступе при отсутствии резрешений

Соглашаемся на предложение, жмем кнопку «Continue» и спокойно открываем папку. А если теперь проверить разрешения, то мы увидим, что пользователь Kirill появился в списке и у него полный доступ. Дело в том, что если пользователь является владельцем папки, то при попытке доступа разрешения добавляются автоматически.

полученные права

То, что владелец всегда может получить доступ к объекту, это понятно. А кто может стать владельцем? По умолчанию право сменить владельца (Take ownership) имеют члены группы локальных администраторов. Для примера отберем права владельца на папку RootFolder у пользователя Kirill. Затем заходим в расширенные свойства безопасности папки и видим, что пользователь неизвестен. Но Kirill входит в группу администраторов на компьютере и значит может вернуть себе владение папкой. Для получения прав владельца сразу жмем на кнопку «Change» или сначала на кнопку «Continue».

попытка изменения владельца

При нажатии на «Continue» окно откроется с правами администратора, а также вы получите небольшую подсказку, но затем все равно придется жать на кнопку «Change»

подсказка при попытке смены владельца

Дальше все просто, выбираем нужного пользователя (или группу), подтверждаем свой выбор

выбор нового владельца

жмем OK

смена владельца

и становимся владельцем. Ну а став владельцем, мы сразу увидим текущие разрешения объекта и сможем их изменять.

владелец без разрешений

Смена владельца корневой папки не означает автоматическую смену владельца у дочерних файловпапок. Для смены владельца всех объектов внутри надо отметить чекбокс Replace owner on subcontainers and objects (Сменить владельца у подконтейнеров и объектов) и нажать «Apply».

смена владельца для всех дочерних элементов

Что интересно, при смене владельца дочерних объектов заменяются и их текущие разрешения.

замена разрешений для всех дочерних элементов

В результате Kirill становится не только владельцем, но и единственным имеющим разрешения пользователем.

результат

Какие из всего этого можно сделать выводы? Первое — владелец объекта всегда может получить к нему доступ, независимо от текущих разрешений. Второе — администратор компьютера может сменить владельца любого объекта файловой системы и, соответственно, получить к нему доступ. Если же речь идет о сети предприятия, то доменные администраторы могут получить доступ к любому файловому ресурсу в пределах своего домена. Вот так)

Просмотр текущих разрешений

Как вы уже поняли, структура разрешений файловой системы может быть весьма сложной и запутанной. Особенно это касается файловых ресурсов общего доступа, в которых разрешения назначаются не отдельным пользователям, а группам. В результате определить разрешения для отдельно взятого пользователя становится достаточно сложной задачей, ведь надо определить все группы, в которые входит пользователь, а уже затем искать эти группы в списке доступа. Ну а группы могут иметь в качестве членов другие группы, да и пользователь как правило входит не в одну группу, и зачастую эти группы имеют различные разрешения на один о тот же объект.

К счастью в Windows есть способ просто и быстро определить, какие именно разрешения имеет конкретный пользователь на данный объект файловой системы. Для этого надо в окне расширенных свойств безопасности перейти на вкладку Effective Access (Действующие разрешения), нажать на ссылку Select a user (Выбрать пользователя) и найти нужного пользователя или группу.

проверка текущих разрешений

Затем жмем на кнопку View effective access (Просмотр действующих разрешений) и получаем полный список разрешений, которые имеет выбранный пользователь на данный объект. В списке присутствуют все текущие разрешения пользователя, как полученные им непосредственно, так и назначенные на группы, в которые он входит. Это особенно актуально для системных администраторов, которым регулярно приходится разбираться с отсутствием доступа у пользователей.

текущие разрешения

Заключение

В данной статье я описал только наиболее важные моменты, которые нужно знать при работе с разрешениями файловой системы. В качестве заключения несколько правил, которые могут помочь при работе с разрешениями:

• По возможности выдавать разрешения не отдельным пользователям, а группам. Это позволяет один раз настроить все необходимые разрешения и больше не возвращаться к их редактированию, а права доступа назначать путем добавления пользователя в соответствующие группы;
• Стараться по максимуму использовать свойства наследования. Это может значительно сэкономить время, расходуемое на управление разрешениями;
• Не использовать явные запреты без крайней необходимости. Использование запретов очень сильно усложняет схему доступа, а в некоторых случаях может привести к конфликтам;
• Перед раздачей слонов разрешений, необходимо четко определиться с тем, какие именно действия пользовательгруппа будет производить с файлами (читать, редактировать, создавать новые файлыпапки или выдавать разрешения) и исходя из этого назначить минимально необходимые для работы разрешения. Проще говоря, если пользователю требуется открыть файл и прочесть его, то не надо давать ему полный доступ на всю папку;
• При копировании или перемещении файлов надо помнить о том, что разрешения сохраняются только в пределах текущего логического диска (или тома). Подробнее о сохранении разрешений при копировании можно почитать здесь;
• Для облегчения управления доступом к файловым ресурсам общего доступа можно использовать дополнительные технологии, облегчающие жизнь администратора. Так технология Access Based Enumeration позволяет пользователю видеть только те объекты, к которым у него есть доступ, технология Access Denied Assistance вместо отказа в доступе выдает осмысленное сообщение и позволяет пользователю обратиться к администратору или владельцу ресурса с запросом через специальную форму. Можно еще упомянуть Dynamic Access Control, хотя это уже отдельная большая тема.

  • Remove From My Forums
  • Question

  • I am trying to remove one of the security group which has inherit permission on one of my OU in Active Directory.
    When i click on remove i get the message » You cant remove xxx group (Domianxxxgroup) because this object if inheriting permissions from its parent. To remove «xxx
    group» you must prevent this object from inheriting permissions. 

    Turn off the option for inheriting permissions, and then try to remove the xxxgroup again.

    I am using a Windows 2012 AD, when i click on disable inheritance by selecting this security group called «xxxgroup» it removes the inherit poermission onot only for that
    but all the other ACE that are defined fro the group, which does not solve the problem.

    Any help is much appreciated.i am stuck in this for hours now finding a solution


    Farookh21

    • Edited by

      Wednesday, June 13, 2018 8:52 PM

    • Moved by
      jrv
      Wednesday, June 13, 2018 9:08 PM
      Correct forum

Answers

  • Just to update all.

    What we have decided is let the allow ACE be there since they are inherited and cant be removed or modified.

    Will create 2 new ACE for below:

    1. Create/Delete group objects — This object and all descendant objects — Deny
    2. Create/Delete user objects — This object and all descendant objects — Deny
    3. Delete — This object and all descendant objects — Deny

    Thanks everyone for your responses.


    Farookh21

    • Marked as answer by
      Farookh21
      Thursday, June 14, 2018 10:20 PM

  • Remove From My Forums
  • Question

  • I am trying to remove one of the security group which has inherit permission on one of my OU in Active Directory.
    When i click on remove i get the message » You cant remove xxx group (Domianxxxgroup) because this object if inheriting permissions from its parent. To remove «xxx
    group» you must prevent this object from inheriting permissions. 

    Turn off the option for inheriting permissions, and then try to remove the xxxgroup again.

    I am using a Windows 2012 AD, when i click on disable inheritance by selecting this security group called «xxxgroup» it removes the inherit poermission onot only for that
    but all the other ACE that are defined fro the group, which does not solve the problem.

    Any help is much appreciated.i am stuck in this for hours now finding a solution


    Farookh21

    • Edited by

      Wednesday, June 13, 2018 8:52 PM

    • Moved by
      jrv
      Wednesday, June 13, 2018 9:08 PM
      Correct forum

Answers

  • Just to update all.

    What we have decided is let the allow ACE be there since they are inherited and cant be removed or modified.

    Will create 2 new ACE for below:

    1. Create/Delete group objects — This object and all descendant objects — Deny
    2. Create/Delete user objects — This object and all descendant objects — Deny
    3. Delete — This object and all descendant objects — Deny

    Thanks everyone for your responses.


    Farookh21

    • Marked as answer by
      Farookh21
      Thursday, June 14, 2018 10:20 PM

  • Remove From My Forums
  • Вопрос

  • Здравствуйте.

    Есть общий ресурс «share». В нем создана папка «Folder» с разрешениями для группы «Group»:

    • тип: разрешить
    • Применяется к: Для этой папки, ее подпапок и файлов
    • Разрешения: Траверс папок/выполнение файлов, Содержание папки/чтение данных, Чтение атрибутов, Чтение доп атрибутов, Создание файлов/запись данных, Создание папок/дозапись данных, Запись атрибутов, Запись доп атрибутов, Удаление подпапок и файлов, Чтение
      разрешений.

    Т.о. пользователи Group не имеют права удалить, переименовать саму папку Folder.

    В папке Folder создана папка Data. Разрешения наследуются от Folder, но при этом добавлено разрешение:

    • тип: запретить
    • Применяется к: Только для этой папки
    • Разрешения: Удаление, Смена владельца, Смена разрешений

    Запрещающие правила имеют высший приоритет (при этом сама ОС уведомляет об этом). В итоге мы должны получить защищенную от удаления/переименования папку.

    По факту получается, что запрещающее правило не отрабатывает. Любой член группы Group может удалить папку Data. Подскажите, где моя ошибка? (если она есть…) Или это из раздела «в разработке….»? :)

Ответы

  • Здравствуйте Сергей,

    Уберите наследование прав для папки Дата и должно работать нормально


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантий. Не забывайте помечать сообщения как ответы и полезные,
    если они Вам помогли.

    • Помечено в качестве ответа

      11 ноября 2013 г. 8:50

  • Я тут, прежде всего, объясняю, почему оно работает как работает (таков был вопрос), а уж во вторую очередь — как сделать, чтобы работало как требуется.

    С как сделать возможны варианты, но, в  любом случае разрешение «Удаление подпапок и файлов» для корневой папки придется убрать — иначе члены Group будут иметь разрешение на удаление вложенной папки Folder вне зависимости от имеющихся у них разрешений
    на саму вложенную папку.

    В принципе, пользователям достаточно дать наследуемое разрешение на удаление, чтобы они имели возможность удалять все папки и файлы, кроме тех, где у них нет на это разрешений (есть явный запрет или отключено наследование разрешений).


    Слава России!

    • Помечено в качестве ответа
      Serega Z
      11 ноября 2013 г. 8:49

Содержание

Создание общих папок
Создание общих ресурсов в проводнике Windows
Удаленное создание общих ресурсов с помощью консоли управления компьютером
Управление разрешениями
Создание разрешений общего доступа
Разрешения для файлов и каталогов
Работа со скрытыми общими ресурсами
Исследование распределенной файловой системы
Терминология, связанная с DFS
Выбор между автономной и доменной файловой системой
Создание корня DFS
Добавление ссылок в корень DFS
Конфигурирование репликации DFS
Понятие репликации DFS
Управление репликацией DFS
Исследование сетевой файловой системы

Возможно, вы еще помните те времена, когда данные, которыми вы хотели по­
делиться с коллегами, помещались на флоппи-диски. Потребность в общем
доступе к файлам и папкам является одной из самых важных причин, по кото­
рым были разработаны серверные технологии.

В операционной системе Microsoft Windows Server 201 2 R2 были предложены новые и усовершенствованные пути ор­ганизации общего доступа к файлам с помощью служб, подобных NFS (Network File System — сетевая файловая система), которые предоставляют решение общего доступа к файлам для предприятий, располагающих смесью разнообразных опера­ционных систем. Благодаря N FS, вы можете открывать общий доступ к файлам не только для других серверов Windows, но также и для клиентов Unix, Linux и Мае OS,
если они присутствуют в вашей организации. В этой главе мы погрузимся в NFS и
посмотрим, что появилось нового, а что изменилось в текущей редакции сервера.
В Windows Server 2012 R2 также модернизированы технологии распределенной
файловой системы (Distributed File System — DFS), которые продолжают предла­
гать дружественную к WAN репликацию для упрощения доступа к географически
разбросанным файлам и папкам. Общий доступ к файлам и папкам по сети мож­
но предоставлять на основе их группирования. Эта функция упрощает сложный
процесс, который был утомительным и затратным по времени в ранних выпусках
Windows Server.
В настоящей главе мы поможем вам разобраться в DFS и затем в NFS, предо­ставив пошаговые руководства по применению этой захватывающей функциональ­ности. Вы узнаете, что собой представляют указанные функции, как они работают и каким образом извлечь из них максимальную пользу.

В этой главе вы изучите следующие темы:
• добавление на сервер роли File and Storage Services (Службы файлов и храни­лища ) ;
+ добавление общей папки, используя NFS;
• добавление корня DFS.

Создание общих папок

Чтобы иметь возможность создать общую папку, вы должны располагать подхо­дящими правами. Для этого вы должны быть либо администратором, либо опытным
пользователем. Создавать общие ресурсы можно двумя способами: либо в провод­нике Windows, находясь на сервере, либо в диспетчере серверов на сервере или дистанционно.
НЕКОТОРЫЕ ОСНОВЫ ОБЩЕГО ДОСТУПА К ФАЙЛАМ
Одним из основных компонентов любого сервера является возможность общего до­
ступа к файлам. В действительности возможность организации общего доступа к файловым и принтерным ресурсам поддерживается службой Server (Сервер), которая вхо­дит в состав каждого члена семейства Windows NГ, включая Windows Server 2012 R2.
Но что именно она собой представляет и почему настолько важна?
По умолчанию один лишь факт наличия функционирующего сервера совершенно не означает до­ступность каких-либо ресурсов пользователям. Чтобы пользователи на самом деле
смогли обращаться к ресурсам на сервере, вы должны открыть общий доступ к этим
ресурсам. Предположим, что у вас на локальном диске I имеется папка APPS с трмн подпапками приложений, как показано ниже:

Когда вы открываете общий доступ к этой папке из сети под именем APPS, вы поз­воляете клиентам отображать на вашу лапку I : APPS новые буквы дисков на своих
машинах. За счет отображения диска создаетсн виртуальный указатель непосредс­твенно на место подключения. Если вы отобразите диск М клиента на общий ресурс
APPS сервера, то диск м будет выглядеть идентично папке I : APPS сервера

Создание общих ресурсов в проводнике Windows

Давайте возвратимся к открытию общего доступа к папке APPS. Если вы находи­тесь непосредственно на сервере, то для создания общего ресурса и управления все­ми его свойствами можете применять проводник Windows. Итак, вы хотите сделать
папку I : APPS доступной в сети под именем APPS.
В окне проводника Windows щелкните правой кнопкой мыши на папке APPS и
выберите в контекстном меню пункт Sharing and Security (Общий доступ и безопасность). Откроется диалоговое окно свойств для папки APPS. Перейдите на вкладку Shariпg (Общий доступ). Чтобы открыть общий доступ к папке, можно щелкнуть
на кнопке Share (Общий доступ) или на кнопке Advanced Sharing (Расширенная на­
стройка общего доступа), как показано на рис. 14. 1 .
l . Итак, есть две кнопки для открытия общего доступа: Share и Advanced Sharing.
Щелкните на кнопке Advanced Sharing, чтобы воспользоваться дополнитель­
ными возможностями, предлагаемыми мастером. Первым делом понадобится
отметить флажок Share this folder (Открыть общий доступ к этой папке).
2. После открытия общего доступа ресурсу необходимо назначить имя. Это очень
важный шаг, поскольку под данным именем пользователи будут подключаться
к общему ресурсу. Укажите имя APPS.
3. После именования общего ресурса станет доступной область Comments
(Примечание), позволяя предоставить описание общего ресурса. Здесь также
можно установить лимит пользователей, что поможет управлять доступом к
общему ресурсу. Введите описание общего ресурса, укажите реалистичное чис­ло для максимального количества одновременных подключений и затем щел­кните на кнопке Permissions (Разрешения), чтобы открыть следующее диало­говое окно.

4. Группе Everyone (Все) автоматически предоставляется разрешение Read
(Чтение) для нового общего ресурса. Щелкните на кнопке Add (Добавить);
откроется диалоговое окно поиска, в котором можно разрешить доступ к об­
щему ресурсу другим пользователям и группам.
Всегда сначала добавляйте пользователя или группу административного уровня и затем выдавайте этому объекту разрешение Full Control (Полный доступ).
Это гарантирует, что адми­нистратор в любой момент сможет управлять и поддерживать общий ресурс.
Рекомендуется предоставлять разрешение Full Control только администрато­рам.
Вы же не хотите, чтобы кто угодно мог назначать и отзывать разрешения
по собственному желанию.
Только вообразите, насколько быстро все пойдет наперекосяк, когда пользователь удалит разрешения для группы администра­торов и возьмет под контроль ваш общий ресурс! Поскольку это общий ресурс APPS, который должны читать все, оставьте группу Everyone с разрешением Read.
Для продолжения щелкните на кнопках Apply (Применить) и ОК.
5. Последней опцией в окне Advanced Sharing (Расширенная настройка об­
щего доступа) является кнопка Caching (Кеширование).
Она позволяет вы­брать дополнительные настройки автономного режима, например, включить BranchCache — великолепное средство, которое обсуждалось в предыдущей
главе.
Просмотрите доступные варианты, сделайте необходимый выбор и
щелкните на кнопке ОК. Для получения дополнительной информации о ке­
шировании можете щелкнуть на гиперссылке Configure Offline Availabllity for
а Shared Folder (Настройка доступа к общей папке вне сети) в нижней части
диалогового окна.
6. Просмотрите все выбранные настройки общего доступа к папке и затем шел­
кните на кнопках Apply и ОК, чтобы завершить открытие общего доступа.
Общий ресурс APPS стал доступным через сеть.

Теперь, когда папка APPS открыта мя общего доступа пользователям, вы мо­жете перейти к этому общему ресурсу в проводнике Windows. Существует множес­тво путей мя просмотра общих дисков и папок. В следующем разделе мы пока­жем, как просматривать общие ресурсы с помощью консоли Computer Management
(Управление компьютером).
УСТАНОВКА ЛИМИТОВ ПОЛЬЗОВАТЕЛЕЙ
Вы можете сконфигурировать количество пользователей, которые могут одновре­менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит
пользователей) в диалоговом окне свойств общего ресурса.
Если приложение внут­ри общего ресурса лицензировано мя 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей.
По мере того, как пользователи под­ключаются к общему ресурсу, их число приближается к лимиту пользователей.
При отключении от общего ресурса их количество уменьшается. Это означает возмож­ность установки лимита для общего ресурса, который не превышает сушествующие ограничения лицензирования, что поможет сохранить соответствие лицензионным соглашениям.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.

В режиме клиентских лицензий производитель не заботится о том, сколь­ко пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение. В таких случаях лимит пользователей никак вас не защитит.
Наконец, вы должны принять во внимание, каким образом пользователи подклю­чаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограни­чивать их на базе параллелизма. Если все пользователи подключаются к общему ре­сурсу при входе в систему и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему поль­зователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей. Если подключения осуществляются только при использовании приложения, то лимит пользователей бу­дет работать довольно хорошо.

Удаленное создание общих ресурсов с помощью консоли управления компьютером

В Windows Serveг 201 2 R2 были внесены замечательные усовершенствования
в способ применения диспетчера серверов. Из единственного сервера управления
можно создавать и управлять общими ресурсами на множестве серверов, при кла­дывая лишь небольшие усилия. До тех пор, пока удаленный сервер находится в он­
лайновом режиме и доступен через сеть, нет никаких причин входить в его систему
непосредственно на месте. Давайте посмотрим, как использовать новый интерфейс
диспетчера серверов мя подключения к удаленному серверу и создания на нем но­вого общего ресурса.
l . Запустите диспетчер серверов, шелкните на элементе All Servers (Все серверы)
и щелкните правой кнопкой мыши на сервере, которым необходимо управ­лять дистанционным образом.

В контекстном меню отобразится новый набор пунктов, одним из которых
является Computer Management (Управление компьютером)
Консоль Computeг Management (Управление компьютером) находится в программной
группе Administrative Tools (Администрирование). С помощью этого инструмента вы можете, помимо прочего, создавать и управлять общими ресурсами локально или же дистанционно. Если в проводнике Wmdows щелкнуть правой кнопкой мыши на пап­ке, которая не является локальной на вашей машине, в контекстном меню не поя­вится пункт для открытия общего доступа. Если же вы собираетесь создать общий ресурс, используя консоль Computer Management на своей локальной машине, то для этого все готово. Чтобы управлять общим ресурсом на удаленном сервере, к этому серверу сначала необходимо подключиться.
2. Выберите пункт Computer Mana­gement, после чего диспетчер серверов автоматически подклю­чится к удаленному серверу.
З. Выберите папку Computer Manage­mentSystem ToolsShared FoldersShares (Управление компьюте­ром Системные инструменты Общие папки Общие ресурсы),
4. Теперь можете либо выбрать в меню Actions (Действия) пункт New Share (Новый общий ресурс),либо щелкнуть правой кнопкой мыши в окне со списком общих ресурсов и вы­брать в контекстном меню пункт New Share.
5. На начальном экране мастера создания общей папки (Create А Shared Folder
Wizard) щелкните на кнопке Next (Далее); появится экран, представленный на
рис. 14.4. Удостоверьтесь в корректности информации в поле Computer паmе
(Имя компьютера), чтобы общий ресурс был создан на нужном компьютере.
Чтобы создать общий ресурс, вы можете просмотреть исходные диски и папки
или же создать новую папку на лету, просто введя полное имя диска и папки в
поле Folder path (Путь к папке).
6. Для этого примера создайте новую папку по имени Graphics и откройте к ней
общий доступ как к I : Graphics.
7. Завершив ввод пути к папке, щелкните на кнопке Next.
8. Появится экран, показанный на рис. 14.5. Введите здесь имя, которое долж­
но быть назначено этому общему ресурсу, и его краткое описание.
9. Для продолжения щелкните на кнопке Next.
На следующем экране (рис. 14.6) будут определяться разрешения общего до­
ступа, для чего предоставляются четыре переключателя.
• All Users Have Read-Only Access (Все пользователи имеют доступ только для
чтения). Эта опция позволяет группе Everyone иметь доступ только для чте­ния к содержимому папки. Она является стандартной настройкой в Windows
Server 2012 и хорошо демонстрирует повышенное внимание, уделяемое ком­панией Microsoft безопасности на протяжении последних нескольких лет.
В предшествующих редакциях сервера по умолчанию группа Everyone име­ла полный доступ (Full Control), включая анонимных пользователей, при­шедших из сети! С момента выхода версии Windows Server 2008 при созда­нии общего ресурса вам не придется начинать с широко открытых дверей.
Вы начинаете с закрытой двери и открываете ее согласно своим специфика­циям, когда вам будет удобно.

3. Запустите следующую команду, чтобы получить список существующих общих
ресурсов, в котором будет присутствовать только что созданный ресурс:
PS С : > Get-SmbShare
4. Наконец, введите следуюшую команду, чтобы удалить только что созданный
общий ресурс:
PS С : > Rernove-SmbShare -Name ИмяОбщегоРесурса

Управление разрешениями

Разрешения обшего доступа применяются, когда пользователь обращается к фай­лу или папке через сеть, но они не принимаются во внимание, если пользователь
получает доступ к данным ресурсам локально, как это было бы при его нахождении
непосредственно за компьютером либо при использовании ресурсов на терминаль­
ном сервере.
В противоположность этому, разрешения NTFS применяются независимо от того, каким образом пользователь обращается к тем же ресурсам, то ли он
подключается к ним дистанционно, то ли входит в них из консоли. Итак, когда до­ступ к файлам осуществляется локально, применяются только разрешения NTFS.
При дистанционном обрашении к тем же самым файлам применяется объединение
разрешений общего доступа и NTFS с вычислением наиболее ограничивающего
разрешения из этих двух типов.

Создание разрешений общего доступа

Разрешения общего доступа являются, пожалуй, простейшей формой управления
доступом, с которой вы будете иметь дело в Windows Server. Вспомните, что разреше­
ния общего доступа оказывают воздействие, только когда вы пытаетесь обратиться
к ресурсу через сеть. Считайте разрешения общего доступа разновидностью пропус­
ка в охраняемое здание. Когда вы подходите к входной двери и предъявляете свое
удостоверение, охранник просматривает вашу фамилию и выдает пропуск, который
указывает уровень доступа к внутренним помешениям. Если на пропуске написа­
но «доступ уровня 1 » , он позволит зайти в любую комнату с уровнем 1 , но нику­
да больше.
Если вы попытаетесь, оказавшись внутри, зайти в комнату с требуемым
уровнем доступа 2, пропуск не сработает.
Определяя разрешения общего доступа, вы безопасно упраnляете уровнем доступа для каждого лиuа у входной днери.
Однако имейте в виду, что упомянутая входная дверь — или разрешение уровня
обшего ресурса — это не полная картина.
Разрешение уровня общего ресурса пред­ставляет только максимальный уровень доступа, который вы получите внутри.
Если вы располагаете разрешением Read на общем ресурсе, то самое большее, что вы сможете делать после дистанционного подЮiючения к нему — это чтение. Подобным
образом, разрешение Change позволит в лучшем случает вносить изменения.
Если вы хотите иметь полный контроль над всем внутри общего ресурса, вам понадобит­ся разрешение Full Control на общем ресурсе.
Но поймите, что когда мы говорим о том, что разрешение общего доступа — это максимальный уровень доступа, кото­рый вы получите внутри общего ресурса, то имеем в виду возможность наличия до­полнительного ограничения внутри за счет применения разрешений уровня файлов(или NTFS).
Вы можете располагать полным доступом на общем ресурсе, но объект
внутри неrо может иметь разрешения NТFS, которые позволяют только читать его.
Определение разрешений общего доступа
Чтобы определить разрешения общего до­ступа, выполните следующие действия в кон­
соли Computer Management.
! . Щелкните правой кнопкой мыши на имени общего ресурса, который вы хо­тите защитить, и выберите в контекс­тном меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перейдите на ВЮiадку Share Permissions
(Разрешения общего доступа).
Вы можете попасть в это место из про­водника Windows, щелкнув правой кноп­кой мыши на локальной общей папке, выбрав в контекстном меню пункт Shar­
ing and Security (Общий доступ и безопас­ность) и затем в открывшемся диалоговом окне шелкнув на кнопке Permissions (Разрешения).

ОтсутствиЕ полного ДОСТУПА У ГРУППЫ Everyone
Обратите внимание на то, что группа Everyone по умолчанию имеет разрешение
Read, что является великолепным шагом вперед в мире Windows в плане безопаснос­
ти. Вплоть до версии Wmdows Server 2003 группа Everyone по умолчанию получала
доступ Full Control. Еще одно удобное свойство в Windows Server 2012 связано с тем, что группа Everyone больше не добавляется к папке при открытии к ней общего
доступа.
В этом диалоговом окне вы видите область Group or user names (Имена групп
или пользователей) со списком пользователей и групп, назначенных обшему
ресурсу; для выбранного пользователя или группы в области, расположенной
ниже, отображаются разрешения на этом открытом ресурсе.
Разным пользова­телям и группам можно назначать разные уровни разрешений.
На уровне об­щего доступа имеются три типа разрешений, описанные в табл. 14.1.

Таблица 14.1. типы разрешений
Разрешение
Full Coпtrol
(Полный доступ)
Chaпge (Изменение)
Read (Чтение)
Уровень доступа
Группа, которой назначено это разрешение, может выполнять любые функ­ции над всеми файлами и папками внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать,
а также изменять и удалять файлы и папки внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать файлы
и папки, но не модифицировать или удалять что-либо внутри общего ресурса
Пример на рис. 14.8 демонстрирует доступ Read для группы Everyone. Хотя
вы не видите здесь учетную запись Administrator с какими-то специальны­
ми правами, учтите, что локальные администраторы всегда имеют доступ Full
Control на общих ресурсах компьютера. Если вы хотите изменить разрешения,
предоставив доступ Full Control всем сетевым администраторам, то должны
добавить их группу и назначить ей эти права.
2. Щелкните на кнопке Add (Добавить), чтобы открыть диалоговое окно Select
Users, Computers, Service Accounts, or Groups (Выбор пользователей, компью­
теров, учетных записей служб или групп), представленное на рис. 14.9.

3. Либо введите имя пользователя или группы, подлежащей добавлению, либо
щелкните на кнопке Advanced (Дополнительно), что приведет к отображению
другого диалогового окна Select Users, Computers, Service Accounts, ог Groups
(рис. 14. 10), которое позволяет производить поиск в каталоге.
Можете либо воспользоваться функциями поиска в Active Directory на вклад­ке Common Queries (Общие запросы), чтобы сузить выбор, либо щелкнуть накнопке Find N o w (Найти сейчас), что обеспечит перечисление всех пользовате­лей и групп в каталоге.
4. Найдите желаемую группу (Domain Administrators (Администраторы доме­на) в настоящем примере) и щелкните на кнопке ОК и затем еще раз на кноп­ке ОК. Произойдет возврат обратно на вкладку Share Permissions с отображе­нием и вьщелением добавленной группы Domain Administrators.
5. Отметьте флажок Allow (Разрешить) для разрешения Full Control.
Опять-таки, имейте в виду, что разрешения уровня общего ресурса — это как раз
то, что вы сначала фильтруете для пользователей, обращающихся к файлам через
сеть. Независимо от разрешений, получаемых на уровне общего ресурса, это будет
наивысший уровень разрешений, который вы можете получить для файлов и папок
(как вы помните, применяется наиболее ограничивающий из них). Если вы имеете
права Read на общем ресурсе, но права Ful Control на файле, то общий ресурс не
позволит вам делать что-то кроме чтения.
Действия Allow и Deny
Отмечая флажок Allow (Разрешить) для разрешения Full Control, назначенного
группе Domain Administrators в предыдущем примере, вы наверняка замети­
ли, что для каждого перечисленного разрешения предусмотрен также флажок Deny
(Запретить). Разрешения общего доступа являются, наверное, простейшим набором
разрешений, с которыми вы будете иметь дело, поэтому они хорошо подходят для
объяснения действий Allow и Deny. Вот как они работают.
• Администратор общего ресурса, файла, учетной записи пользователя или че­
го-то еще может изменить разрешения на своем объекте. (На самом деле, это
почти полное определение администратора.)
Существует несколько видов разрешений — Full Control, Change или Read в
случае общих ресурсов. Для любого из них администратор может отметить
флажок Allow или Deny либо же решить снять отметку с обоих флажков, оста­
вив пользователя без Allow или Deny на этом разрешении.
• Если пользователь не имеет разрешения (другими словами, флажки Allow и
Deny не отмечены), то он не получит доступ к объекту.

• Если для разрешения отмечен флажок Allow, пользователь может применить
разрешение, а если флажок Deny, то нет. Мы знаем, что это очевидно, но да­вайте посмотрим, как это проявляется в более сложных ситуациях.

Разрешения для файлов и каталогов

Теперь, когда вы хорошо понимаете опции разрешений уровня общих ресурсов,
можно более детально рассмотреть наборы разрешений для файлов и каталогов.
Эти наборы разрешений, которые обычно называют разрешениями NTFS, позволяют
назначать особые разрешения папкам и файлам внутри общего ресурса.
Такие дополнительные разрешения делают возможным ограничение доступа вплоть до уров­ней папок и файлов общего каталога.
Рекомендуется содержать в актуальном состоянии документацию по разрешени­
ям, которыми вы управляете внутри общего ресурса.
Всякий раз, когда вы вносите изменения в разрешения для файлов и папок, фиксируйте эти изменения в доку­ментации для будущей ссылки и для использования в качестве руководства при уст­ранении проблем с разрешениями, которые возникают в среде.
Особые обстоятель­ства могут потребовать блокировки папок и файлов с ограничением работы с ними только определенными группами доступа или пользователями.
Попытка удержать в памяти все особые разрешения на папках и файлах в крупной среде может превра­титься в настоящий кошмар.
Качественная и ясная документация является настоя­тельной необходимостью, особенно в случае утери наборов настроенных, не унаследованных разрешений, примененных к папкам и файлам, которые должны быть восстановлены из-за повреждения или удаления. Документируйте абсолютно все.
типы разрешений
Прежде чем назначать разрешения файлам и папкам, вы должны хорошо разобраться в том, что собой представля­ют эти разрешения и как они работают.
Имеются два разных уровня разрешений.
Чтобы увидеть высший уровень, пе­рейдите в любую папку NTFS, щелкните на ее имени правой кнопкой мыши, выбе­рите в контекстном меню пункт Properties (Свойства) и в открывшемся диалоговом окне свойств папки щелкните на вкладке Security (Безопасность).
Например,высокоуровневое разрешение List Folder Contents (Список содержимого папки) заключает в себе пять разрешений более низкого уровня: Traverse Folder/Execute File (Траверс папки / Выполнение файла),

List Foder/Read Data (Список папки / Чтение данных), Read Attributes (Чтение атри­бутов), Read Extended Attributes (Чтение расширенных атрибуrов) и Read Permissions (Чтение разрешений). Можете думать о них, как о «молекулярных» и «атомарных» разрешениях. Существует 13 атомарных разрешений пля NTFS. (Другие виды объ­ектов Active Directory, такие как организационные единицы, могут иметь дочерние объекты, поскольку внуrри организационной единицы допускается создавать пользователей и другие организационные единицы.) Все типы объектов AD совместно
используют один и тот же набор атомарных разрешений, даже если они не имеют
к ним никакого отношения — попробуйте предоставить кому-то возможность со­
здания дочерних объектов для объекта групповой политики; польза от этого будет
примерно такой же, как поручение работнику кирпичного завода возможности уста­новки половой принадлежности кирпичей.

Мы начнем с атомарного уровня. Такие разрешения являются строительными
блоками для формирования разрешений, о которых мы обычно говорим — Read,
Modify и Full Control.
Возможно, вы никогда не увидите атомарные разрешения, и тем более не будете ссылаться на них как на самих по себе.
• ‘Iraverse Folder/Execute File (Траверс папки / Выполнение файла). Разрешение
Traverse Folder позволяет обойти все блокировки на более высоких уровнях и
по существу обеспечить себе права уровня 4.
Подобно Execute File, это поле’3-ное разрешение, однако оно ничего не делает в отношении файлов.
Вот что происходит: когда файловая система NTFS проверяет разрешение, она извле­
кает 13 битов.
При просмотре первого бита она выясняет, это файл или папка.
Если объект является файлом, то первый бит интерпретируется как разреше­ние Execute File. Если же это папка, то первый бит трактуется как разрешение Traverse Foder. Вы увидите аналогичное поведение, хотя и в менее экстремаль­ной форме, в ряде других разрешений.
• Ust Folder/Read Data (Список папки / Чтение данных). Разрешение List Folder
позволяет просматривать имена файлов и подпапок внутри папки. Разрешение
Read Data дает возможность просматривать содержимое файла. Это атомарное
право является основным компонентом разрешения Read.
Подумайте о разделении между указанными двумя атомарными разрешениями.
Действительно ли между ними есть много отличий? Да, но вероятно это ненадолго.
Помните те дни, когда мы называли все файлами и каталогами? Теперь обычными
стали термины файл и папка.
Сейчас мы начинаем привыкать к еще одному терми­ну, вступившему в игру: объект. Внутри файловой системы на машине объектами является все — и файлы, и папки. Это атомарное разрешение можно было бы пере­фразировать как чтение обьекта. Независимо от того, к чему оно применяется — к файлу или к папке, — оно дает право исследовать содержимое объекта.

• Read Attributes (Чтение атрибутов). Базовые атрибуты — это свойства файла, та­
кие как Read-Only (Только чтение), Hidden (Скрытый), System (Системный) и
Archive (Архивный). Атомарное разрешение Read Attributes позволяет просмат­
ривать такие атрибуты.
• Read Extended Attributes (Чтение расширенных атрибутов). Определенные про­
граммы поддерживают для своих типов файлов дополнительные атрибуты.
Например, если в вашей системе установлена программа Microsoft Word, и
вы просмотрите атрибуты файла DOC, то увидите все виды атрибутов: Author
(Автор), Subject (Тема). Т!tle (Название) и т.д. Они называются расширенными
атрибутами и варьируются от программы к программе. Атомарное разрешение
Read Extended Attributes позволяет просматривать эти атрибуты.
• Create FilesjWrite Data (Создание файлов / Запись да 1П1ЫХ ). Атомарное разрешение
Сгеаtе Files позволяет помешать новые файлы в папку. Разрешение Write Data
дает возможность перезаписывать существующие данные внутри файла. Это ато­
марное разрешение не позволяет добавлять данные в существующий файл.
• Create Folders/ Append Data (Создание папок / Добавление данных). Разрешение
Сгеаtе Folders дает возможность создавать подпапки внутри папок. Разрешение
Append Data позволяет добавлять данные в конец сушествуюшего файла, но не
изменять данные внутри этого файла.
• Write Attгibutes (Запись атрибутов). Это разрешение позволяет изменять базо­вые атрибуты файла.
• Write Extended Attributes (Запись расширенных атрибутов). Это разрешение позволяет изменять расширенные атрибуты файла.
• Delete Subfolders and Files (Удаление подпапок и файлов). Это довольно стран­ное разрешение. Только подумайте: располагая этим разрешением, вы може­те удалять подпапки и файлы, даже если не имеете разрешения Delete на этих
подпапк.ах и файлах.
Как такое могло стать возможным? Если, забежав вперед,оы почитаете о следующем атомарном разрешении, Delete, то увидите, что
оно позволяет удалять файл или папку.
В чем разница? Представляйте ситуа­цию следующим образом: если вы находитесь в файле или папке, то разреше­ние Delete позволяет удалить этот файл или папку. Но предположим, что вы находитесь в папке и хотите удалить ее содержимое. Атомарное разрешение Delete SuЬfoders and Fies дает вам такое право. Разница между Delete и Delete Subfolders and Files весьма расплывчата. Одно из них позволяет удалить конк­ретный объект, а другое — удалить содержимое этого объекта.
Если вы распола­гаете правом удаления содержимого папки, то не хотите терять это право толь­ко потому, что один объект внутри папки не желает выдавать вам разрешение.
В конце концов, это ваша папка, и вы вольны делать с ней все, что хотите.
• Delete (Удаление). На этот раз все просто и понятно.
Разрешение Delete позво­ляет удалить объект. Или все не так просто и понятно’? Если вы имеете только атомарное разрешение Delete на удаление папки, но не атомарное разрешение Delete Subfolders and Files на удаление подпапок и файлов, и если к одному файлу внутри папки доступ отсутствует, то сможете ли вы удалить эту пап­ку? Нет. Удалить папку не удастся до тех пор, пока она не будет пустой, а это значит, что вам потребуется удалить упомянутый файл.
Но вы не можете удалить этот файл, не имея либо прав Delete мя самого файла, либо прав Delete SuЬfoders апd Files мя родительской папки данного файла.
• Read Permissions (Чтение разрешений).
Атомарное разрешение Read Pennissions позволяет просматривать все разрешения NTFS, ассоциированные с файлом или папкой, но не изменять их.
• Change Permissions (Изменение разрешений). Это атомарное разрешение позАо­
ляет изменять разрешения, назначенные файлу или папке.
• Take Ownership (Получение права владения).
Мы поговорим более подробно о том, что представляет собой право владения и что оно делает, позже в главе, но это атомарное разрешение позволяет получить права владения файлом.
Будучи владельцем, вы имеете неотьемлемое право изменять разрешения. По
умолчанию администраторы всегда могут получать права владения каким-либо
файлом или папкой.
Молекулярные разрешения
Глубокое понимание работы атомарных разрешений, а также понимание того,
как они образуют молекулярные разрешения (см. табл. 14.2), обеспечивает исклю­
чительное осознание сути и функционирования этих молекулярных разрешений. В
настояшем разделе мы постараемся лучше прояснить объединение атомарных раз­
решений, но во время чтения вам придется периодически возвращаться к табл. 14.2.
Приведенная здесь информация сформирует прочную основу, которая поможет уп­
равлять разрешениями в будущем.
• Read (Чтение). Разрешение Read является наиболее базовыми правами. Оно
позволяет просматривать содержимое, разрешения и атрибуты, ассоциирован­ные с объектом. Если объект представляет собой файл, вы можете просматри­вать файл, что включает возможность запуска этого файла, если он оказывает­
ся исполняемой программой. Если объект является папкой, разрешение Read
позволяет просматривать ее содержимое.
А теперь рассмотрим сложную часть, касающуюся чтения папки. Предполо­
жим, что у вас имеется папка, которой вы назначили разрешение Read.
Эта папка содержит подпапку, к которой вы запретили любой доступ, в том чис­ле и чтение. Логично было бы предположить, что вы сможете вообще увидеть
эту подпапку. Однако подnапка, прежде чем вы обратитесь к ее собственным
атрибутам, является частью исходной папки. Поскольку вы можете читать со­держимое исходной папки, то сможете увидеть, что подпапка существует.
Если же вы попытаетесь перейти в эту подпапку, тогда — и только тогда — вы полу­чите сообщение о запрете доступа.
• Write (Запись). Разрешение Write, как бы просто оно не выглядело, таит в себе
ловушку. Для начала, разрешение Write на папке позволяет создавать новый
файл или подпапку внутри этой папки. А что можно сказать о разрешении Write
на файле? Означает ли оно возможность изменения файла? Подумайте, что про­
исходит, когда вы изменяете файл. Для изменения файла вы обычно должны
иметь возможность открыть файл или прочитать файл. Чтобы изменить файл,
разрешение Write должно сопровождаться разрешением Read. Хотя существует
одна лазейка: если вы просто добавляете данные в файл, без необходимости в
его открытии, то достаточно одного лишь разрешения Write. Тем не менее, если
программист написал приложение, открывающее файл в режиме только мя за­
писи, содержимое файла затем усекается без его чтения, после чего происходит
запись в файл, и все это не предполагает чтение файла; таким образом, файл
можно было бы изменить, не прибегая к процессу чтения вообще.
• Read & Execute (Чтение и вьшолнение).
Разрешение Read & Execute идентично
разрешению Read, но предоставляет дополнительную атомарную привилегию
обхода папки.
• Modify (Изменение). Выражаясь просто, разрешение Modify является объедине­
нием разрешений Read & Execute и Write с предоставлением дополнительной
роскоши в виде разрешения Delete. Даже располагая возможностью измене­
ния файла, вы никогда не сможете удалить его. При выборе разрешений для
файлов и папок вы заметите, что если выбрали только разрешение Modify, то
разрешения Read, Read & Execute и Write выбираются автоматически.
• Full Control (Полный доступ). Разрешение Full Control — это комбинация всех
ранее упомянутых разрешений с возможностями изменения разрешений и по­
лучения права владения объектами, к которым оно применено. Разрешение
Full Control также позволяет удалять подпапки и файлы, даже когда эти под­
папки и файлы спеuиально не разрешают их удалять.
• Ust FЬlder Contents (Список содержимого папки). Разрешение List Folder Contents
применяется аналогично разрешению Read & Execute, но предназначено толь­
ко для папок. Разрешение List Folder Contents позволяет просматривать содер­жимое папок. Что более важно, разрешение List Folder Contents наследуется
только папками, и оно видно, только когда просматриваются свойства безо­пасности папок. Это разрешение позволяет взглянуть, какие файлы существу­ют в папке (подобно Read), но не будет применять к этим файлам разрешение Read & Execute.
По сравнению с этим, если вы применили к папке разреше­ние Read & Execute, то будете располагать теми же возможностями просмот­
ра папок и их содержимого, но также сможете распространять права Read &
Execute на файлы внутри этих папок.
• Special Permissions (Особые разрешения). Особые разрешения — это прос­
то настроенная группа атомарных прав, которую вы можете создавать, когда
ни одно из рассмотренных выше стандартных молекулярных разрешений не
подходит в вашей конкретной ситуации. Хотя может показаться, что возмож­
ность Special Permissions было нововведением версии Windows Server 2003,
на самом деле оно существовало в Windows 2000 Server. Просто это средство
не было видимым как молекулярное разрешение. В Windows 2000 Server от­
сутствовал какой-нибудь способ сообщить о том, что папка имеет настро­
енные атомарные разрешения, если только вы не заглядывали на вкладку
Advanced (Дополнительно) диалогового окна свойств безопасности. В Windows
Server 201 2 это можно сделать, посмотрев на флажки Allow/Deny для возмож­
ности Special Permissions, чтобы понять, были ли модифицированы записи уп­
равления доступом (access control entry — АСЕ). Если флажки затенены, тогда
по щелчку на кнопке Advanced (Дополнительно) вы можете просмотреть и от­
редактировать изменения в записях АСЕ.

Унаследованные разрешения
Начиная с ранних редакций Windows Server, существовало средство, которое на­
зывается унаследованными разрешениями. В настоящее время вполне вероятно, что
вы уже привыкли пользоваться этим великолепным средством. Если для файла
или папки установлено наследование разрешений, то сам по себе файл или папка в
действительности не имеет разрешений; просто применяются разрешения родитель­
ской папки. Если родительская папка также наследует разрешения, вы продолжаете
подниматься вверх по цепочке каталогов, пока не столкнетесь с папкой, которой
назначены жесткие разрешения. Не стоит и говорить, что корневой каталог не мо­
жет наследовать разрешения.
Например, предположим, что у вас есть папка по имени APPS, содержащая три
подпапки и файлы.
Все подпапки и файлы допускают наследуемые разрешения.
Если вы назначите папке APPS разрешение Read & Execute для пользователей, то все подпапки и файлы автоматически отразят это новое разрешение. Что если вы хоти­те настроить разрешения для первой подпапки, предоставив пользователям допол­нительную возможность записи? Щелкните на этой папке правой кнопкой мыши, выберите в контекстном меню пункт Properties (Свойства) и в открывшемся диало­говом окне свойств перейдите на вкладку Security (Безопасность), чтобы просмот­реть разрешения, назначенные папке. Если флажки для чего-нибудь, отличного от
Special Pennissions, затенены, вы можете утвержлать, что папка наследует разрешения
у своей родительской папки. Здесь вам понадобится перейти на вкладку Advaпced
(Дополнительно), чтобы увидеть опцию Allow iпheritaЫe permissioпs from pareпt to
propagate to this object апd all child objects (Позволить наследуемым разрешениям от родителя распространяться на этот объект и все
его дочерние объекты).
Эта опция показывает,наследует ли объект разрешения, и позволяет
указать, допускается ли наследование.
Назначение разрешений файлам и папкам
После того как вы поняли, что собой пред­ставляют различные разрешения, назначить
их файлам и папкам будет парой пустяков.
Откройте проводник Windows и выполните следующие шаги.
1. Найдите файл или папку, которой хо­тите назначить права, щелкните на ее
имени правой кнопкой мыши, выбери­те в контекстном меню пункт Properties
(Свойства) и в открывшемся диалого­вом окне перейдите на вкладку Security
(Безопасность). Взгляните на рис. 14. 12.
В верхней части окна показаны группы и пользователи, которым назначены разре­шения, а в нижней части — разрешения, назначенные выбранному пользователю
или группе.
В этом примере вы начинаете с папки APPS. В идеальном случае, т.к. папка предназначена для прило­жений, вы хотите, чтобы все пользователи имели разрешение Read & Execute и не могли изменять, добавлять или удалять что-либо. Также вы хотите оста­вить администраторам полный доступ, чтобы они имели возможность обслу­живать данные. Кроме того, есть группа администраторов базы данных, ко­торым необходимо предоставить права Modify.
Поскольку для групп Users (Пользователи) и Administrators (Администраторы) по умолчанию уже присутствуют записи, вы начнете с добавления группы Database Managers
(Администраторы базы данных) и выдачи ей прав Modify.
2. Щелкните на кнопке Edit (Редактировать) и затем на кнопке Add (Добавить),
в результате чего откроется диалоговое окно Select Users, Computers, Service
Accounts, ог Groups (Выбор пользователей, компьютеров, учетных записей
служб или групп), которое было показано на рис. 14.9.
Здесь вы можете ввести имя пользователя или группы, щелкнуть на кнопке
Advanced (Дополнительно) и затем на кнопке Find Now (Найти сейчас), либо
настроить запрос вручную, подготовив список учетных записей домена.
3. Так как вы знаете имя группы, которую нужно добавить в этом примере
(Database Managers ) , просто введите его в диалоговом окне Select Users,
Computers, Service Accounts, ог Groups и щелкните на кнопке Check Names
(Проверить имена). Выполнится перекрестная проверка на совпадение вруч­
ную введенной записи со списком имен.
4. Как только имя отобразится подчеркнутым, щелкните на кнопке ОК, чтобы
возвратиться на вкладку Security диалогового свойств папки APPS.
После добавления группы Database Managers диалоговое окно должно вы­
глядеть подобным приведенному на рис. 14.13.

БОЛЕЕ БЫСТРОЕ ДОБАВЛЕНИЕ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП
Используя метод из предыдущего примера, можно добавлять сразу множество поль­
зователей и групп.
Когда вы набираете имена вручную, просто введите первое имя,
щелкните на кнопке Check Names и начинайте набирать следующее имя. Если вы
ввели неполное имя до щелчка на кнопке Check Names, вам будет предоставлено
ближайшее соответствие введенной записи.
Если вы решили применять интерфейс поиска в Active Directory, то можете выбрать несколько учетных записей.
Для этого щелкните на первой записи .и затем, удерживая нажатой клавишу , щелкайте на дополнительных записях.
Теперь все, что осталось — назначить корректное разрешение, которым явля­
ется право Modify.
5. Выделите группу Database Managers и отметьте флажок Allow (Разрешить)
для Modify.
Вкладка Security должна выглядеть примерно так, как показано на рис. 14.14.
Поскольку группы Users и Administrators были добавлены по умолчанию,
когда вы создавали общий ресурс, давайте посмотрим на стандартные разре­
шения, примененные к ним, чтобы выяснить, необходимы ли какие-нибудь
корректировки.
6. Щелкните на группе Users; вы увидите диалоговое окно, представленное на
рис. 14.15.
ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УРОВНЕЙ РАЗРЕШЕНИЙ
Вы должны быть осмотрительны при выборе некоторых уровней разрешений. Выбор
Read & Execute включает все права Read, поэтому Read выбирается автоматически.
С другой стороны, если вы хотите очистить Read & Execute, снятие отметки с флаж­ка Allow для Read & Execute не приводит к автоматическому снятию отметки с тако­го флажка для Read.
На рис. 14. 1 5 видно, что группа Users уже имеет ряд стандартных разреше­
ний, в числе которых Read & Execute, List Folder Contents и Read. Вы также за­
метите, что эти разрешения унаследованы, потому что флажки в столбuе Allow
затенены.
Тем не менее, как вы можете помнить, затенение записи Special
Pennissions не означает, что разрешения являются унаследованными (хотя они
и могут быть таковыми).
Затенение здесь указывает лишь на то, что имеются дополнительные записи разрешений, которые можно просмотреть в этом кон­кретном диалоговом окне.
7. Щелкните на кнопке Advanced (Дополнительно), чтобы получить диалоговое
окно Advanced Security Settings for APPS (Расширенные настройки безопаснос­
ти для APPS). Взглянув на рис. 14.16, вы увидите намного более сложную вер­
сию записей разрешений по сравнению с той, что была показана на рис. 14. 15.
Правда, не совсем понятно, почему разработчики из Microsoft решили сначала
отображать своего рода оглавление по разрешениям, а не предоставлять сразу
подробную информаuию.

В списке Permission entries (Записи безопасности) перечислены выбранные груп­
пы и пользователи с описанием их прав. В этом диалоговом окне вы можете отклю­чать наследование, щелкая на кнопке DisaЫe inheritance (Отключить наследование), а также по-прежнему добавлять и удалять записи, щелкая на кнопках Add (Добавить) и Remove (Удалить). Так в чем же разниuа? В этом окне вы получаете больше деталей.

Прежде всего, вы заметите, что одна запись в предшествующем окне разрешений
может стать здесь двумя и более детализированными записями, позволяя четко ви­деть, какие есть права и откуда они унаследованы, и созданы ли записи для данного
ресурса специально вручную. Например, обратите внимание, что группа Users име­ет две записи, которые обе унаследованы от тома. Кроме того, в столбце Applies to
(Применяется к) четко видно, откуда происходят разрешения.
Разумеется, наличие всех этих деталей значительно помогает при поиске и устранении неполадок, т.к. вся необходимая информация собрана в одном месте (точнее, почти вся).
У вас есть возможность приспособить свои расширенные разрешения к атомар­ному уровню, выбрав запись и щелкнув на кнопке Edit (Редактировать). Однако
будьте осторожны. При таком большом количестве разрешений, поступающих из
множества разных мест (и здесь мы даже не учитывали разрешения общего досту­па!), этот процесс легко может привнести путаницу в процедуру устранения непо­ладок. Пытайтесь максимально упрощать свои ресурсы и пользователей, по томам,
по группам или по машинам, и вы существенно облегчите себе жизнь, имея дело с разрешениями.
Чтобы посмотреть, какие права имеет группа Users, и удостовериться в том, что
она получит корректный доступ к папке APPS, выполните следующие шаги.
1. Выберите запись для группы Users с разрешением Read & Execute.
2. Щелкните на кнопке View (Просмотреть) в диалоговом окне Advanced Security
Settings for APPS (Расширенные настройки безопасности для APPS).
3. Щелкните на кнопке Show advanced permissions (Показать расширенные
разрешения) и обратите внимание, что опции здесь затенены.
Если вы повторите те же самые шаги для группы Database Managers, то за­
метите, что теперь вместо кнопки View (Просмотреть) отображается кнопка Edit
(Редактировать).
Почему для группы Database Managers разрешения не затене­ны? Причина в том, что наследование применяется к группе Users, но не к группе
Database Managers. Если вы хотите редактировать разрешения для Users здесь, то
вам придется разорвать наследование и повторно добавить эту группу. На рис. 14.17
показаны атомарные разрешения для группы Users.
На основании точной информации выясняется, что конечным разрешением яв­
ляется Read & Execute. Н и больше и ни меньше; эти пять атомарных разрешений
образуют разрешение Read & Execute. Считайте, что это закон.
НАСЛЕДОВАНИЕ РАЗРЕШЕНИЙ
Вы могли заметить, что раскрывающийся список Applies to (Применяется к) тоже
не доступен для записи группы Users. Это еще один результат наследования.
Наследование удобно трактовать как указание свыше. Такие разрешения будут при­
меняться к данной папке, подпапкам и файлам, если только вы не отключите насле­
дование и не создадите собственные специальные разрешения. Или же вы могли бы
перейти прямо к источнику, поскольку, будучи администратором, вы устанавливаете
правила, когда дело доходит до наследования. Открывая диалоговое окно свойств
для тома и редактируя записи для группы Users, вы можете удалить или модифи­
цировать разрешения; затем вы можете точно указать, где они должны применяться
повсюду на томе, используя кнопку Apply Onto (Применить на).

Обратите внимание на наличие двух записей дЛЯ группы Users.
Стандартныеразрешения в Windows Server 201 2 являются более защищенными, чем в предшест­вующих редакциях сервера. Вспомните, что в Windows 2000 Server группа Everyone имела разрешение Full Control дЛЯ чего угодно!
Давайте исследуем атомарные разрешения мя другой записи группы Users.
1. Если вы по-прежнему видите диалоговое окно, показанное на рис. 14. 17, щел­
кните на кнопке Close (Закрыть) — вам не нужно изменять запись Read &
Execute, т.к. это именно то, что требуется дЛЯ папки APPS.
2. Возвратившись в диалоговое окно Advanced Security Settings for APPS
(Расширенные настройки безопасности мя APPS), шелкните на другой записи
мя группы Users и затем щелкните на кнопке Edit (Редактировать). Откроется
диалоговое окно, представленное на рис. 14. 18.
Стандартные разрешения для группы Users включают возможность создания
файлов и папок на томе, а также возможность записи и добавления данных в фай­
лы, содержащиеся внутри этого тома — конечно, если вы специально не запретите
такую возможность любым конкретным ресурсам на томе. Таким образом, вы име­ете здесь набор разрешений, находящийся между двумя обсуждаемыми ранее груп­пами атомарных разрешений. Первый набор атомарных разрешений, который вы видели мя группы Users, образует молекулярное разрешение Read & Execute. Если
вы добавили эти два атомарных разрешения, то молекулярное разрешение попадет
куда-то между Read & Execute и Modify. Вполне понятно, что разрешение Modify
также включает права Write Attributes, Write Extended Attributes и Delete Subfolders
and Files.

• Во-первых, вам не придется беспокоиться об остальных разрешениях, унасле­
дованных от тома, часть из которых понадобится сохранить. Когда вы удаляете
наследование, вам предоставляется право копировать существующие унаследо­ванные разрешения и затем редактиро­вать их по своему усмотрению.
• Во-вторых, удаляя наследование, вы уст­раняете возможность вывода разрешений
из тома в глобальную область действия,что является довольно удобным средством.
Как упоминалось ранее, если вы можете упростить разрешения, выполняя
работу в глобальной области действия, то сохраните немало времени и усилий.
Чтобы отключить для группы Users воз­можность создания файлов или папок либо записи или добавления данных в папку APPS, просто отметьте флажки Deny (Запретить)
для обеих записей атомарных разрешений(рис. 14. 19) и щелкните на кнопке ОК.
Удаление группы или пользователя
Чтобы удалить запись для группы или пользователя, просто щелкните на кнопке
Permissions for APPS формации для определения полной ис­тории разрешений на основе первона­чального диалогового окна разрешений

Remove (Удалить) в любом диалоговом окне свойств, которые были рассмотрены
ранее. Если пользователь или группа присутствует по причине наследования, кноп­
ка Remove будет недоступной, и вам придется отключить наследование, щелкнув на кнопке DisaЫe inheritance (Отключить наследование).
Использование детализированноrо интерфейса для получения полной истории
Взгляните на рис. 14. 19. Помните это диалоговое окно? Мы напомним вам кое­
что, о чем говорилось ранее касательно интерфейсов, применяемых для управления
разрешениями NTFS: это окно не предоставляет достаточного объеiа информации,
из-за чего возникают затруднения. Если вы решили отключить наследование, чтобы
избавиться разрешения Write для группы Users, и для этого щелкнули на кнопке
Remove (Удалить) в данном диалоговом окне, то тем самым вы удалили обе записи
для группы Users, которые видели на рис. 14. 16.
К тому же, если вы используете это окно для добавления учетной записи пользователя или группы, то будете иметь возможность отметки только флажков для молекулярных разрешений, которые здесь видны — вы не сможете точно указать, где эти разрешения должны применяться с использованием наследования. Чтобы сделать это, вам пришлось бы перейти в диа­логовое окно, показанное на рис. 14.16. Лучше всего пропустить это излишнее диа­логовое окно и перейти непосредственно к детализированному представлению.
Это позволит получить полную историю с самого начала.
Конфликтующие разрешения
Разрешения можно назначать файлам, а также папкам.
Точно так же, как разре­шения общего доступа могут вступать в противоречие с разрешениями для файлов и папок, разрешения для файлов могут конфликтовать с разрешениями для папок.
В конфликтах на уровне общего доступа преимущество получают разрешения об­щего доступа; если же в противоречие вступают разрешения для файлов и папок,
то предпочтение отдается разрешениям для файлов. Разрешения общего доступа
устанавливают максимально допустимый доступ, так что если разрешением обще­
го доступа является Read, а разрешением NTFS — Write, то результатом окажется
разрешение Read. Если вы назначите папке права только для чтения, но какому-то
файлу внутри этой папки — права на изменение, то все равно будете иметь возмож­
ность изменять этот файл.
Множество разрешений
А теперь поговорим о еще одной проблеме. Вы предоставили группе
Administrators полный контроль над папкой APPS, а группа Everyone имеет
только разрешение Read & Execute. Вот где разрешения снова вступают в конфликт.
Группа Everyone содержит пользователей, не так ли? Даже а)Iминистраторы явля­
ются пользователями. Хм. Как же это работает? Дело в том, что при наличии не­
скольких разрешений преимущество получит наименее ограничивающее разрешение
при условии, что в игру не вовлечены разрешения общего доступа.
Предположим,что у вас есть администратор Боб. Он входит в состав группы Users, которая име­ет права доступа только для чтения к какому-то файлу. Боб также является членом группы Administrators, имеющей полный доступ. В таком случае Боб получит
полный доступ, т.к. это разрешение наименее ограничивающее.
Разрешения Deny
Ранее мы говорили о разрешениях Deny в связи с общими ресурсами и кратко
рассматривали последствия наследования разрешений в отношении к действиям
Alow и Deny. То же самое применимо к разрешениям файлов и папок, но чуть более
сложным способом из-за большего количества параметров безопасности. Подумайте
о файле электронной таблиuы с назначением премий внутри корпорашш. кото­рый вы пытаетесь зашитить.
Вы хотите, чтобы все видели этот файл. но изменять его содержимое могли только менеджеры. Это имеет смысл: предоставьте группе Employees (Сотрудники) права на чтение, а группе Managers (Менеджеры) — пол­ный доступ. Предположим, что где-то по пути какой-то руководитель низшего звена попадает в обе группы.
По одним меркам эта персона должна быть частью группы Иanagers, тогда как по другим — входить в состав группы Employees.
Если вы ос­тавите только что описанные разрешения, данный руководитель получит лучшее из двух миров в отношении файла электронной таблицы — полный доступ. По этой
причине вы принимаете решение о том, что члены группы Employees не должны
явно иметь полный доступ. И как теперь поступить?
Все довольно просто: запретите это чрезмерное разрешение.
Вам потребуется определить, какие разрешения не должны иметь сотрудники, и отметить для этих разрешений флажки в столбце Deny (Запретить); таким методом вы можете гаранти­ровать, что сотрудники будут располагать только правами Read. Чтобы сделать это, выполните следующие шаги.
1. Щелкните на имени файла правой кнопкой мыши и выберите в контекстном
меню пункт Properties (Свойства).
2. В открывшемся диалоговом окне свойств перейдите на вкладку Security
(Безопасность) и щелкните на кнопке Advanced (Дополнительно). (Вспомнили
интерфейс, представленный на рис. 14.15?)
3. Выделите запись для группы Employees (Сотрудники) и щелкните на кноп­
ке Edit (Редактировать), что позволит модифиuировать атомарные разрешения
для файла электронной таблицы.
4. В раскрывающемся списке Туре (Тип) выберите элемент Deny (Запретить) и
затем щелкните на ссылке Show advanced permissions (Показать расширенные
разрешения).
5. Отметьте флажки для разрешений, как показано на рис. 14.20.
Вы должны отдельно отметить флажки для каждого разрешения. Однако если
вы отметите флажок Full Control (Полный доступ), то отметятся все остальные
флажки, т.к. Full Control включает все разрешения. В этом примере нас интере­
сует включение разрешения Read и отключение разрешения Write.
6. Щелкните на кнопке ОК, чтобы новые разрешения вступили в силу.
Вы получите предупреждение, сообщающее о том, что разрешения Deny перео­
пределят разрешения Allow. Теперь в сuенарии с несколькими разрешениями пре­
имущества получают разрешения Dепу, и даже с учетом того, что упомянутый ранее руководитель имеет членство в обеих группах Managers и Employees, его права бу­дут ограничены посредством Deny.

В диалоговом окне Advanced Security Settings обратите внимание на наличие двух
записей для группы Employees: одна для разрешения Deny и одна для разрешения
Allow. Они больше не объединяются в единое целое, как вы привыкли видеть в вы­
пусках Windows Server, предшествующих Windows Server 2008.
Действующие разрешения
Что будет конечным результатом всех этих разрешений, если одни из них насле­
дуются, другие — нет, некоторые применяются к пользователям, а некоторые — к
группам? Кто и что сможет делать с теми или иными файлами? Как выяснить, ка­
ким будет результат всех имеющихся разрешений для любой группы, пользователя
или объекта? В состав Windows Server 2012 включен инструмент, который позволяет
вычислить действующий доступ для любого отдельного пользователя или группы
на заданном объекте. Взгляните на диалоговое окно, представленное на рис. 14.21 .
И снова это диалоговое окно расширенных настроек безопасности для папки APPS,
которое к настоящему времени вы должны хорошо знать.
Вспомните, что администраторы имеют разрешение Full Control, администраторы базы данных — разрешениеModify, а пользователи — разрешение Read & Execute.
Чтобы увидеть, как в точности работают все эти разрешения, перейдите на вклад­
ку Effective Access (Действующий доступ), которая показана на рис. 14.22. В выпуске
Windows Server 2012 R2 эта вкладка порядком изменилась.
Новая вкладка Effective Access теперь позволяет легко просматривать уровень доступа пользователя илигруппы к любым локальным или присоединенным к домену машинам или группам.
Вы можете выбрать локального или сетевого пользователя, включить в запрос членс­тво в группах этого пользователя и просмотреть действующий доступ в отношении другой группы или сервера.
В следующем примере можно видеть действующие раз­решения для группы Database Managers на тестовом сервере BFl.
Действующим_доступом является Modify, как было установлено в предшествующих упражнениях.
Конечно, для просмотра разрешений на любом проверяемом ресурсе необходимо
располагать соответствующими правами, и существуют ограничения в плане фак­
торов, которые используются для определения действующего доступа. Например,
вы можете не иметь возможности просмотра разрешений для каждого пользователя или группы. Рассмотрим локальную группу Users на сервере по имени Storage,
на котором находится общий ресурс APPS. Из-за того, •по этот сервер является
членом домена Active Directory, глобальная группа под названием Doma in Users
(Пользователи домена) автоматически вкладывается внутрь локальной группы
Users. Чтобы просмотреть действующие разрешения на локальной группе Users,
понадобится выполнить перечисленные ниже действия на вкладке Effective Access
диалогового окна Advanced Security Settings for APPS (Расширенные настройки безо­
пасности для APPS).
1. Щелкните на ссылке Select а user (Выбрать пользователя) или Select а
device (Выбрать устройство) и затем щелкните на кнопке Location (Место­
положение).
2. Выберите локальное местоположение по имени Storage (в отличие от ката­
лога).
Поскольку группа Domain Users вложена в локальную группу Users, пользова­
тели домена имеют те же самые права для папки за исключением существования
любого другого набора разрешений, который конфликтовал бы с ними. Но когда вы
попытаетесь получить действующие разрешения для группы Domain Users с помо­
щью этого инструмента, обнаружится отсутствие доступа, т.к. данный инструмент
не умеет вычислять действующие разрешения для групп домена, вложенных в ло­
кальные группы.
Безусловно, это ограничивает эффективность инструмента, но вы по-прежнему
можете применять его при вычислении множества записей АСЕ для пользователя
или группы, как было продемонстрировано в предыдушем примере.
право владения
В процессе назначения и отзыва разрешений вы обязательно столкнетесь с про­
блемой, когда никто, включая администраторов, не может получить доступ к фай­
лу. И вы не можете изменить разрешения файла, потому что для этого необходимы
определенные разрешения. Ситуация зачастую оказывается действительно трудной.
К счастью, помочь здесь может право владения.
Каждый объект имеет атрибут, который называется владелец (owner). Владелец
полностью отделен от разрешений. Для каждого объекта всегда будет существовать
некоторый владелец. Но чем это может помо•1ь? Дело в том, что владелец объекта
обладает специальной привилегией — возможностью назначения разрешений.
Получение права владения файлом или папкой — относительно простая задача
при условии, что учетная запись, используемая для изменения права владения, име­
ет полный доступ на желаемом ресурсе. Возвратившись обратно к рис. 14. 16, вы за­метите поле Owner (Владелец}, расположенное ниже поля Name (Имя). Вы также об­наружите рядом ссылку Change (Изменить); если она недоступна, значит, вы вошли с учетной записью, которая не имеет привилегии на изменение права владения. По щелчку на ссылке Change откроется диалоговое окно Select User (Выбор пользовате­ля}, позволяющее назначить право владения другому пользователю или группе.
На корпоративном общем ресурсе в производственной среде имеет смысл обес­печить права владения всеми его файлами и папками для учетной записи с повы­шенными полномочиями, контролируемой персоналом из IТ-отдела, или точ­нее — учетной записи службы уровня хранилища. Наиболее интенсивно такая конфигурация применяется целей резервного копирования и восстановления.
Некоторые файловые системы не позволяют восстанавливать файлы, для которых
отсуствуют разрешения на это действие.
Представьте себе попытку восстановления общего ресурса, на котором пользователи сделали себя владельцами папок и файлов, удалив весь остальной доступ. Такие папки или файлы окажутся невосстановимы­ми никем кроме своего владельца. Это укрепляет хорошую стратегию подпержания строгих и управляемых разрешений повсеместно в среде из одного контролируемого централизованного места.

Работа со скрытыми общими ресурсами

После открытия общего доступа к папке из
сети она становится видимой сооб­ществу пользователей. Но что, если вы не хотите, чтобы общий ресурс могли ви­деть абсолютно все? Например, мы создали на сервере общий ресурс с исходными
дистрибутивами, чтобы всякий раз, когда мы находимся на рабочей станции пользователя, была возможность устанавливать любые приложения без необходимости
в захватывании с собой компакт-дисков.
На самом деле это сделано для удобства, но в то же время мы не хотим, чтобы пользователи могли заходить на данный об­щий ресурс и устанавливать любые приложения, которые им попадутся на глаза.
Несомненно, мы могли бы ограниt1ить общий ресурс, предоставив разрешения на
доступ к нему только себе, но это также требует определенных усилий.
Мы вовсе не хотим выходить из системы пользователя и заходить под своей учетной записью при каждом выполнении установки, особенно когда задействуются профили поль­зователей.
В такой ситуации может помочь создание скрытых общих ресурсов.
Мы хотим, чтобы общий ресурс существовал и был доступным, но просто не так легко
обнаруживался. Хотя это и не полностью защищенное решение, оно является сдер­живающим фактором против чрезмерно любопытных пользователей.
Чтобы создать скрытый обший ресурс, откройте общий доступ к папке обычным
образом, но добавьте в конец имени нового общего ресурса знак доллара.
Вот и все.
Теперь, когда сервер регистрирует информацию для списка доступных ресурсов, он
просто не будет включать в него этот скрытый общий ресурс.
Давайте посмотрим, как создать общий ресурс по имени INSTALL$, который со­
ответствует папке I : Install.
1 . Создайте общий ресурс, как это делается обычно, но назовите его INSTALL$, а
не INSTALL (рис. 14.2 3 ).
2. Выберите разрешения, чтобы позволить доступ только администраторам

Теперь из клиентских рабочих станций вы не увидите общего ресурса INSTALL$
в списке доступных ресурсов, но по-прежнему сможете вручную отображать
диск на ресурс INSTALL$ с целью дальнейшего подключения к нему.
3. Выберите имя общего ресурса в консоли Computer Management
Хотя скрытый общий ресурс не будет отображаться в списке доступных ресурсов
внуrри проводника Windows, он будет видимым через консоль Computer Management.
Это помогает помнить о том, какие скрытые общие ресурсы были созданы.

Исследование распределенной файловой системы

Что собой представляет распределенная файловая система (Distributed File
System — DFS)? Благодаря DFS вы можете создавать единственный общий ресурс,
который заключает в себе каждый ресурс, основанный на файловом общем ресурсе,
внутри сети. Думайте о нем, как о доме для всех общих файловых ресурсов в сети со
страницей «ссылок», указывающих клиентам на отдельный сервер или серверы, где
действительно размещены эти общие ресурсы. Вы можете иметь общие ресурсы, ко­торые охватывают целый мир.
Сгруппируйте всех их вместе под одним пространством
имен и откройте пользовательской базе общий доступ к этому пространству имен.
чтобы сделать возможным дружественный к пользователям, централизованный метод
общего доступа к ресурсам.
Продвигаясь на шаг дальше, файловая система DFS мо­жет реплицировать изменения в общие ресурсы на любых серверах, которые ямяются членами группы репликации, сохраняя все эти серверы в актуальном состоянии.
В Windows Server 2012 применяются две технологии.
• DFS Namespaces (Пространства имен DFS). Компонент DFS Namespaces пре­
доставляет возможность группировать общие папки, находящиеся на разных
сайтах и серверах, в одно или несколько логически структурированных про­
странств имен. Пространство имен затем представляется пользователю в виде
единой общей папки, состоящей из множества подпапок, как если бы все они
располагались в локальном катаге.
Это великолепная функциональность,
которая делает возможным централизованный метод управления и использо­
вания общих ресурсов на большом числе физически отдельных серверов или
местоположений сайтов. Такая структура повышает готовность и автоматичес­
ки подключает пользователей к общим папкам внутри того же самого сайта
Active Directory Domain Services, когда они доступны, вместо их маршрутиза­
ции по каналам WAN.
• DFS Replication (Репликация DFS). Компонент DFS Replication — это эффек­тивный механизм репликации с несколькими хозяевами, который можно
применять ДЯ поддержания папок в синхронизированном состоянии между
серверами через сетевые подключения с ограниченной пропускной способностью. Репликация DFS может происходить среди множества сайтов и серверов,
находящихся внутри одного и того же леса. Компонент DFS Replication ис­
пользует удаленное разностное сжатие (remote ditТerential compression — RDC)
ДЛЯ определения и репликации только изменившихся блоков данных файла.
Компонент DFS Replication работает рука об руку с новыми средствами дедуп­ликации данных (Data Deduplication), премагаемыми в Windows Server 2012 R2.
Будучи интегрированным с той же самой технологией хранилища уровня бло­ков, компонент DFS Replication поддерживает репликацию папок и файлов, расположенных на томах, ДЯ которых включена дедупликация.
Применение дедупликации ДЯ снижения требований к хранилищу в файловой системе
NTFS не оказывает никакого неблагоприятного влияния на репликацию DFS.
Прежде чем можно будет пользоваться этими средствами, на сервер понадобится
добавить новые роли — DFS Namespaces и DFS Replication. Добавьте их с помощью
мастера добавления ролей и компонентов (Add Roles and Features Wizard) в диспет­чере серверов (рис. 14.26).
Существует несколько дополнительных требований, которые необходимо при­
нять во внимание до запуска DFS. Чтобы можно было успешно развернуть DFS
Replication в имеющейся среде, серверы должны быть сконфигурированы так, как
описано ниже.
• Все серверы, которые вы хотите сделать членами группы репликации, должны
иметь установленную роль DFS Replication.
• Вы должны удостовериться, что применяемое антивирусное программное
обеспечение совместимо с DFS Replication.

• Все серверы-члены должны находиться внутри одного и того же леса. Компо­
нент DFS Repication хорошо работает между доменами, но пока что не подде­
рживает репликацию между лесами.
• Удостоверьтесь в том, что схема АО DS актуальна и соответствует всем подхо­
дящим дополнениям схемы в данной редакции сервера. В Windows Server 2012
R2 такая актуальность соблюдена.
• Учтите, что компонент DFS Replication не поддерживает файловые системы
FAT и Resilient File System (ReFS), а также не работает с данными, которые хра­
нятся на кластеризированных общих томах. Чтобы репликация между сервера­ми поддерживалась, данные должны находиться в файловой системе NTFS.

3. Запустите следующую команду для создания отдельного пространства имен DFS:
PS С : > New-DfsnRoot -TargetPath «\Test-FSSoftware» -Туре Standalone
-EnaЬleSiteCosting -Path «\TestSoftware»
4. Чтобы просмотреть доступные новые командлеты PowerShell в Windows
Server 2012 R2, предназначенные для DFS, выполните такую команду:
PS С: > Get-Command -Module DFS

Терминология, связанная с DFS

Прежде чем двигаться дальше, необходимо освоить терминологию, связанную с
DFS. Как и в случае Active Directory, здесь в игру вступает целый новый набор кон­цепций.
Вы начинаете с корня (root). Его можно приблизительно трактовать как общий
ресурс, который будет видимым для сети. В нашем примере корнем является APPS.
Внутри сайта можно иметь много корней, и в Windows Server 2012 один сервер мо­
жет содержать более одного корня подобно тому, как это было в Windows Server 2008.
Корень открывается для общего доступа из сети и в действительности функциони­
рует подобно любому другому общему ресурсу. Внутри общей папки можно иметь
дополнительные файлы и папки.
Под корнем вы добавляете ссылки DFS (DFS link). Ссылка — это другой общий
ресурс где-то в сети, который помещен под корень.
Термин ссылка является частьюбесконечного смешения терминологии. В этом случае, похоже, мы сместились в сторону терминологии Интернета.
Представляйте корень DFS как домашнюю веб­-страницу, содержащую ничего кроме имени и множества ссьшок на другие веб-стра­ницы. Ссылки внутри иерархии DFS подобны гиперссылкам на веб-странице, ко­торые автоматически направляют в новое местоположение. Вы, как пользователь,
не обязаны знать, куда ведут эти ссылки, до тех пор, пока вы получаете искомую
веб-страницу. После нахождения домашней страницы (корня DFS) посредством
этих rиперссьшок (ссылок DFS) вы будете направлены на любой желаемый веб-сайт
(общий ресурс).
Цель (target) или реплика (replica) может направляться либо на корень, ,1ибо на
ссьшку. При наличии в сети двух идентичных обших ресурсов, обычно нахоляшихся
на разных серверах, их можно сгруппировать вместе внутри одной и той же ссыл­
ки в виде целей DFS. Вы также можете реплицировать целый корень — т.е. оглавле­
ние — в качестве члена реплики корня. После того как цели сконфигурированы для
реГLJiикации, служба репликации файлов (File Replication Service) поддерживает со­
держимое корней в синхронизированном состоянии.

Выбор между автономной и доменной файловой системой DFS

Перед тем, как приступать к созданию системы DFS, вы должны решить, какой
вид файловой системы DFS вам необходим. Это решение главным образом будет
основано на том, имеется ли Active Directory. Большое отличие будет касаться корня
DFS. В файловой системе DFS, основанной на Active Directory или на домене, сам
корень может иметь реплики. Другими словами, единая точка отказа — корень —
рассредоточивается по Active Directory.
Если используются реплики корня, то при наличии, скажем, 27 серверов, размещающих Active Directory, вы будете иметь 27 мест, где будет находиться информация DFS.
Надо заметить, что это не вся инфор­мация но ее вполне достаточно для указания клиентам на одну из реплик корня
DFS. Благодаря этому, до тех пор, пока служба Active Directory функционирует и до­ступна, доступной будет также и файловая система DFS. Кроме того, будучи интег­
рированными в Active Directory, реплики ссылок могут быть сконфигурированы для
применения автоматической репликации.

DFS и вы
Мы начали эту главу с совета насчет того, что вы должны взглянуть или начать поль­
зоваться файловой системой DFS. Ладно, позвольте нам поведать короткую историю
о том, как однажды сервер прекратил свое существование. Просто почитайте и осоз­
найте, почему применение DFS может сберечь критически важные файлы и сокра­
тить время, требуемое для восстановления файлов и/или папок.
Как-то раз несколько лет назад один из авторов этой книги в завершение рабо•1его
дня исследовал журналы событий на своих серверах. Казалось, что все было в поряд­
ке, поэтому он поехал в направлении к дому, до которого было около 45 миль. Когда
до дома оставалось минут 1 5, он получил на пейджер сообщение от лица, занимаю­
щегося поддержкой во второй половине дня, которое гласило, что главный сервер на
одной из площадок прекратил работу и не удается войти в систему или увидеть его с
помощью команды ping.
Опасаясь худшего, автор развернул машину обратно лишь для того, чтобы по прибытии увидеть, что производственная деятельность продолжа­ется и ничего не требуется предпринимать. Критически важные файлы, необходи­мые для работы в ту ночь, были позаимствованы из другого сервера.
На следующий день сервер был восстановлен (как оказалось, причиной бьша пробле­
ма с материнской платой) и компания не подверглась простою. Время, которое пот­ребовалось бы для восстановления из резервной копии, вдвое бы превышало среднее время для восстановления (шеаn tiшe to restore — MTTR) и стоило бы миллионов долларов производственных потерь.
Эта цена включала бы людей, которые не смогли работать на предприятии из-за отсутствия данных. Если вы хотите сохранить данные в деле, освойте, как следует, функционирование файловой системы DFS.
При автоматической репликации служба репликации файлов (File Replication
Service) принимает на себя задачу синхронизации содержимого реплицированных
файлов, обеспечивая наличие во всех репликах одной и той же информации. Можно
с уверенностью утверждать, что если вы имеете домен Active Directory, то должны
выбрать файловую систему DFS, основанную на домене.
Но у файловой системы DFS, основанной на домене, есть действительно инте­
ресная особенность. Если вы размещаете DFS в домене Active Directory под назва­
нием test . com, то помимо того, что пользователи не обязаны знать, на каком сер­
вере находится конкретный общий ресурс, они даже не нуждаются в информации
о том, на каком сервере располагается сама файловая система DFS.
Вместо отобра­жения диска на \имя_ сервера имя_ DFS пользователи могли бы отображать диск на test . comимя_DFS.
Теперь, используя ту же самую логику, которую клиент применял для нахождения доступного контроллера домена Active Directory, клиент может искать хает DFS. Если один хает отказал, клиент просто обращается к друго­му хосту.
Файловая система DFS, основанная на домене, автоматически публикует свою
топологию в Active Directory.
Это означает, что действительная иерархия DFS — корни, ссьшки и цели — публикуется в Active Directory, так что все контроллеры до­мена будут знать, где находится DFS, как она выглядит и каким образом перейти к ней. Это вовсе не значит, что каждый контроллер домена является сервером реплик корня DFS.

Если вы добрались до этого места, то вероятно не располагаете Active Directory,
чтобы публикация стала возможной. А как насчет сетей, не основанных на AD?
Большинство компаний перешли на Active Diгectory. Большинство из них устано­
вили местами, по меньшей мере, несколько серверов-членов. Для тех компаний,
которые не прошли через процесс миграции, технология DFS предЛагает расшире­
ние базового файлового сервера, которое позволяет предприятию выйти за пределы
физических границ и перейти в более дружественное к пользователю и управляемое
состояние.
Автономная файловая система DFS является крупным шагом вперед в направ­
лении мира файловых общих ресурсов из предшествующих версий Windows Server,
не требуя предварительного развертывания Active Directory. В автономной файловой
системе DFS вы не получите высокой отказоустойчивости самого корня, автомати­
ческой репликации и опубликования DFS в Active Directory. Но вы все равно полу­
чите в свое распоряжение остальные удобства, такие как объединение всех сетевых
обших ресурсов в единое пространство имен и в конечном итоге устранение зави­
симости от имен физических серверов и местоположений, когда пользователи на­
чнут обращаться к своим ресурсам. Чуть позже мы обсудим, как извлечь пользу от
привносимых DFS преимуществ в практической среде с или без Active Directory, но
сначала давайте посмотрим, как все это построить.
Предположим, что в сети имеется следующий набор общих ресурсов.
Путь UNC
\DClAPPS
\RC::SOURCElAPPS
\STORAGESALES
\STORAGE2USERS
\STORAGEFINANCE
\RESOURCE2APP2
От об ражение
у пол ьз ователей
G :
G :
S :
Н :
Q :
Р :
Описание ресурса
Все общие приложения
Те же приложения, что и в DCl APPS
Корпоративные данные о продажах
Все пользовательские каталоги
Корпоративные данные о финансах
Смешанные приложения
Это может вызвать настоящую головную боль у пользователей (не говоря уже
об администраторах), которым придется помнить, куда необходимо переходить для
подключения ко всем перечисленным ресурсам. Ресурсы размешены на пяти раз­
ных серверах. Вдобаоок, если клиенту нужно получит доступ одновременно к ре­
сурсам APPS, SALES, USERS и FINANCE, ему потребуется сделать четыре разных
подключения. Да, четыре подключения зоучит не так уж устрашаюше, но мы имели
дело с крупными сетями, где клиентам попросту не хватало доступных букв дис­
ков дЛЯ отображения на очередной общий ресурс; каждая буква от А до z была на
что-то отображена. Вам также придется помнить, какие клиенты подключаются к
DCl APPS, а какие — к RESOURCEl APPS, которые представляют собой иден­
тичные общие ресурсы, размещенные на двух разных серверах. Опять-таки, это не
является большой проблемой в данном конкретном примере, но при наличии, ска­
жем, 50 серверов, содержащих тот же самый набор APPS, их отслеживание станет
настоящим кошмаром.

ПРЕИМУЩЕСТВА DFS
Как вы, вероятно, уже поняли, файловая система DFS наиболее выгодна на крупных
предприятиях, и ее развертывание в небольших сетях может не стоить приложенных
усилий.
А теперь давайте рассмотрим этот же сценарий, но в DFS. Вы будете иметь один
корень DFS (под названием Corp) с перечисленными внутри него всеми корпора­
тивными общими ресурсами.

Создание корня DFS

В качестве типа корня DFS можно выбрать доменный корень или автономный ко­
рень. Доменный корень опубликует себя в Active Directory, в то время как автономный
корень — нет. Это фундаментальное отличие является решающим фактором того, ка­
кой объем функциональности вы получите. Имейте в виду, что доменный корень DFS
должен располагаться на контроллере домена, поэтому предполагается наличие Active
Directory. Одно из наиболее важных преимуществ возможности публикации в Active
Directory заключается в том, что доменные корни моrут иметь реплики, а реплика
корня позволяет хранить этот корень на любом контроллере домена, что значи­
тельно повышает отказоустойчивость. Поскольку корни требуют для реплик такого
уровня наличие среды Active Directory, автономные корни не могут иметь реплики.
В следующем упражнении мы будем использовать тестовый сервер BFl в качестве
сервера пространства имен, и выберем эту опцию на соответствующем этапе.
Начнем с открытия окна DFS Management (Управление DFS), показанного на
рис. 14.27, чтобы приступить к работе с функциями DFS, которые мы вскоре опи­шем.

Создать новое пространство имен в окне DFS Management можно двумя путями.
Можно выбрать в меню Actioп (Действие) пункт New Namespace (Создать пространс­
тво имен) или же можно щелкнуть правой кнопкой мыши на элементе Namespaces
(Пространства имен) и выбрать в контекстном меню такой же пункт. В результате
запустится мастер создания пространства имен (New Namespace Wizard), который
проведет вас через весь проuесс.
1 . Щелкнув на кнопке Browse (Обзор), найдите нужный сервер или введите его
имя напрямую
Мы рекомендуем пользоваться мастерами до тех пор, пока вы не освоитесь с процессом ; эта рекомендация справемива для всех редакций Windows Server 2012.
2. Назначьте имя пространству имен, как показано на рис. 14.29. Это имя будет
появляться после имени сервера, и вдобавок применяться в качестве имени
для коллекuии файлов и папок, добавленных в пространство имен.
Теперь необходимо указать тип создаваемого пространства имен.
На выбор до­ступно пространство имен, основанное на домене, и автономное пространство
имен. Пространство имен, основанное на домене, допускает хранение на од­ном и более серверов пространств имен. Автономное пространство имен пред­полагает его размещение на единственном сервере пространств имен.
3. В данном примере выберите на экране Namespace Туре (Тип пространство
имен) автономное пространство имен (рис. 14.30). Позже вы сможете добавить
в него файлы и папки.

На последнем экране, Review Settings and Create Namespace (Просмотр настро­ек и создание пространства имен), отображаются все настройки, которые не­обходимо подтвердить, чтобы пространство имен было создано (рис. 14.31 ).
4. Если настройки выбраны правильно, щелкните на кнопке Create (Создать),
чтобы создать пространство имен. Отобразится экран Confirmation (Под­тверждение), приведенный на рис. 14.32.

Процесс создания пространства имен может занять некоторое время; однако,
после его завершения вы уже довольно далеко продвинулись в решении задачи
сбора файлов и папок в одном логически общем месте внутри серверной среды с
единственным именем, упрощающим к нему доступ. В области Shares (Общие ре­
сурсы) окна диспетчера серверов вы увидите созданную папку Corp с локальным
путем с : DFSRoots Corp

добавление ссылок в корень DFS

Внутрь одного общего корня можно добавлять ссылки или файлы и папки.
Для этого понадобится щелкнуть на пункте контекстного меню Add Folder Target
(Добавить конечный объект папки) и добавить все желаемые файлы и папки. Итак,
давайте создадим новую папку и добавим в нее конечные файлы и папки.
В качестве демонстрации создадим новую папку внутри пространства имен
Corp.
1 . Находясь в консоли DFS Management, щелкните на пункте New Folder (Создать
папку) в области Actions (Действия) справа и назначьте ей имя.
2. Теперь добавьте конечные объекты папок. Для этого щелкните на новой пап­
ке правой кнопкой мыши и выберите в контекстном меню пункт Add Folder
Target (Добавить конечный объект папки). В открывшемся диалоговом окне
Add Folder Target (Добавление конечного объекта папки) щелкните на кноп­
ке Browse (Обзор), укажите нужную папку и щелкните на кнопке ОК. На
рис. 14.34 показано диалоговое окно Browse for Shared Folders (Просмотр от­
крытых папок). В случае использования разных серверов их имена будут изме­
няться после ; тем не менее, в этом примере мы имеем дело только с одним
сервером, т.к. выбрали автономный режим. Если применяется режим, осно­
ванный на домене, мы указали бы только один конечный объект папки.

Рис. 14.34. Диалоговое окно Browse for Shared Folders
3. Щелкните на кнопке ОК. Поскольку для новой папки еще не создана группа
репликации, сделайте это сейчас.
Однако учтите, что DFS не является новым типом файлового сервера.
В опреде­ленном смысле это вообще не файловый сервер — напротив, это метод размещения
своего рода «оглавления» дЛЯ группы существующих общих файловых ресурсов и
указание клиентам на этот источник информации, когда они нуждаются в подклю­чении к общему ресурсу, на который есть ссылка в данном оглавлении.
Файловая система DFS вовсе не создает самостоятельно общие файловые ресурсы; сначала вы должны создать все общие файловые ресурсы на различных серверах и только за­тем использовать DFS дЛЯ привнесения в них определенного порядка.
Чтобы под­черкнуть этот момент, вот еще один факт о DFS: общие файловые ресурсы не обя­зательно должны быть общими файловыми ресурсами Windows NТ, Windows Seiver
2003 или Windows Seiver 2008.
При наличии на компьютере клиентского програм­много обеспечения для Unix NFS, Banyan VINES и Novell NetWare вы могли бы со­здать «общий ресурс» DFS, указывающий только на тома NFS, VINES и NetWare!
Файловая система NFS будет рассматриваться следующей, но прежде нужно закон­чить с DFS.
Но не значит ли это, что новый корень DFS, т.е. «оглавление», образует новую
единую точку отказа? Если один сервер, на котором находится корень — место, куда
все пользователи обращаются за своими ресурсами — перестанет функционировать,
то и пользователи утратят возможность работы, не так ли? Не обязательно.
В соче­тании с Active Directory корни DFS можно сделать отказоустойчивыми. Вместо размещения реального, физического корня на одном сервере он может быть сохранен
в среде Active Directory, поддерживаемой всеми контроллерами домена. После этого,
если один из серверов, содержащих корень — в Active Directory — потерпит отказ,
пользователи будут автоматически направлены в другое местоположение дЛЯ извле­чения информации корня безо всякой заминки.

Мы еще раз подчеркиваем функцию DFS. Отказоустойчивость DFS не означает
резервное копирование данных в общих файловых ресурсах. Она лишь означает ре­зервное копирование «оглавления», предлагаемого корнем DFS. Если компьютер,
на котором размещен корень DFS, перестанет работать (приносим свои извинения
за постоянное акцентирование внимания на этом моменте, но вполне реально, что
машина, хранящая корень DFS, не содержит ни единого байта из общих файлов, а
только указатели на серверы, где размещены такие файлы), то найдется другой компьютер, который возьмет на себя роль «сервера оглавления» или, выражаясь языком
Windows Server 2012, корня DFS.

конфигурирование репликации DFS

Можете ли вы как-то защитить общие файловые ресурсы и их данные путем
внедрения определенного вида отказоустойчивости? Да, это можно сделать с помо­щью репликации.
1. Откройте консоль DFS Management и щелкните на узле Replication (Реплика­ция) внутри узла Namespaces (Пространства имен), как показано на рис. 14.35.

2. В области Actions (Действия) щелкните на пункте New Replication Group
(Создать группу репликации). Одной из замечательных особенностей Windows
Server 2012, которую мы пока специально не отмечали, является применение
мастеров и их внешний вид. Открыв окно мастера, обратите внимание, что все
шаги четко перечислены в колонке слева.
Это помогает планировать действия,
поскольку вы знаете, чего ожидать следующим — больше не бывает так, что
после щелчка на кнопке ОК или Next (Далее) обнаруживается нечто совершен­но неожиданное. Кроме того, эти шаги снабжены гораздо лучшими пояснениями, чем в предшествующих версиях сервера.

Как бы то ни было, давайте возвратимся к работе. На первом экране масте­ра создания группы репликации (New Replication Group Wizard) доступы два
переключателя — Multipurpose replication group(Многоцелевая группа реплика­ции) и Replication group for data collectioп (Группа репликации для сбора дан­ных).
Если вы используете пространство имен, основанное на домене, или
автономное пространство имен, то должны оставить без изменений переклю­чатель, выбранный по умолчанию, т.е. Multipurpose replication group. Если же вы
хотите реплицировать данные для их резервного копирования или «собирать»
данные, скажем, на сервере концентратора, то выберите переключатель Repli­
cation group for data collection.
3. Оставьте выбранным переключатель Multipurpose replication group.
4. На экране Name and Domain (Имя и домен) необходимо назначить имя группе
репликации. Укажите в качестве имени CorpRep (рис. 14.36).
5. Далее понадобится добавить серверы, которые будут членами группы репли­
кации. Выбор серверов должен быть обдуманным, потому что вы увеличиваете
объем данных, циркулирующих между такими серверами.
ОЖИДАНИЕ РЕПЛИКАЦИИ
Изменения конфигурации не применяются немедленно ко всем членам. Новая кон­
фигурация должна быть реплицирована на все контроллеры домена, и каждый член
группы репликации должен опросить ближайший к нему контроллер домена, чтобы
получить эти изменения. Сколько времени потребует данные действия, зависит от
задержки репликации AD DS и длительности интервала опроса (60 минут) в каждом
члене. Чтобы обеспечить немедленный опрос изменений конфигурации, откройте
окно командной строки и введите следующую команду на каждом компьютере, яв­ляющемся членом группы репликации: df srdiag.ехе pollad.

6. Продолжите работу в мастере и сделайте выбор для топологии, сервера кон­
центратора, целевой папки на сервере концентратора и реплицируемых папок,
расписания и полосы пропускания группы репликации.
7. Просмотрите все настройки и щелкните на кнопке Create (Создать), чтобы со­
здать группу репликации.
Используя службу репликации DFS (DFS Replication Service — DFSR), файловая
система DFS может поддерживать все копии реплицированных целевых объектов в
синхронизированном друг с другом состоянии. Если по ссылке у вас есть полностью
динамические данные (под динамическими мы понимаем любые данные, которые
изменяются по мере доступа к ним пользователями, например, документы Word,
электронные таблицы, базы данных или что-то еще, что требует для изменения взаимодействия с пользователями), то вполне вероятно, что они не должны реплицироваться.
Предположим, что Джейн и Боб редактируют один и тот же документ, но
делают это в разных копиях на двух отдельных общих ресурсах.
Джейн вносит свои изменения и закрывает документ, а затем Боб вносит другие изменения и сохраняет свою версию.
Кто выиграет? Выиграет Боб, т.к. он сохранил документ последним.
После сохранения документ реплицируется на другой общий ресурс, перезаписывая
изменения, сделанные Джейн.
Таким образом, помните, что если пользователь ре­дактирует документ, получая к нему доступ по ссьшке, которая ведет к реплике, товнесенные изменения будут перезаписаны при следующей репликации.
Соблюдайте осторожность при применении ссьшок на реплики и репликации.

Понятие репликации DFS

Сама по себе репликация проста. В автономной версии DFS репликация является.
ручной, и одна ссьшка на реплику является хозяином. Другими словами, изменения
от конкретного сервера-хозяина распространяются всем остальным сервера реплик.
Если физический общий ресурс, который вы хотите удерживать в синхронизирован­
ном состоянии, находится внутри тома NTFS на машине Windows Server 201 2, то
репликация автоматически основывается на расписании репликации Active Directory
и используется репликация с несколькими хозяевами.
При репликации с несколь­кими хозяевами вы можете изменять файлы по любой одной ссылке на реплику, а изменения будут автоматически копироваться на другие члены. Действительно, в автоматической репликации нет такого понятия, как хозяин, после проведения на­чальной репликации. Первой репликации будет нужен хозяин, чтобы гарантировать, что все общие ресурсы имеют одну и ту же стартовую точку. Тем не менее, советуют не смешивать автоматическую и ручную репликацию внутри одного набора реплик.
ОТСУТСТВУЮЩАЯ ССЫЛКА
Теперь, когда раскрыт []роцесс репликации, мы должны обратить внимание на то,
что Active Directшy и DFS реплицируются в одно и то же время. Они не совпадают,
но дублируют метод своего выполнения. Однажды мы имели проблемы с реплика­
цией и обнаружили, что после того, как скорректировали процесс репликации Active
Directory, репликация FRS, или DFS в этом случае, также восстановила работоспо­
собность. Если это не исправляет репликацию DFS, то придется провести более де­
тальный лоиск и устранение неполадок.

Управление репликацией DFS

После конфигурирования DFS потребуется пройти через несколько шагов для
надлежащего управления корнями, ссылками и клиентами, которые к ним подклю­
чены. Настроив группы репликации, можете приступать к внесению необходимых
изменений.
Редактирование расписания и полосы пропускания для репликации
Выполните описанные ниже задачи, чтобы внести изменения в расписание и по­
лосу пропускания для группы репликации.
Чтобы отредактировать расписание и полосу пропускания для группы реплика­
ции, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните пра­
вой кнопкой мыши на группе репликации, расписание которой необходимо
отредактировать, и выберите в контекстном меню пункт Properties (Свойства).
В открывшемся диалоговом окне щелкните на кнопке Edit Schedule
(Редактировать расписание).
2. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, когда
репликация должна происходить, а также установите максимальный объем по­
лосы пропускания, который она может потреблять.
Чтобы отредактировать расписание и полосу пропускания для конкретного под­
ключения, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, выберите со­
ответствующую группу репликации.
2. Выберите папку Connections (Подключения), щелкните правой кнопкой мыши
на подключении, которое необходимо отредактировать, и выберите в контекс­
тном меню пункт Properties (Свойства).
3. В открывшемся диалоговом окне свойств подключения перейдите на вкладку
Schedule (Расписание), выберите Custom connection schedule (Специальное
расписание для подключения) и щелкните на кнопке Edit Schedule (Редакти­
ровать расписание).
4. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, ког­
да репликация должна происходить, а также установите максимальный объем
полосы пропускания, который она может потреблять.
Включение и отключение репликации
Временами возникает необходимость во включении и отключении групп репли­
кации.
Чтобы отключить или включить репликацию дпя конкретного подключения, вы­
полните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, выберите
группу репликации, содержащую подключение, которое вы хотите отредакти­
ровать.

РЕПЛИЦИРОВАТЬ ИЛИ НЕ РЕПЛИЦИРОВАТЬ
Если вы обновляете свою сеть и хотите управлять полосой пропускания, то может
понадобиться отключить репликацию. Всякий раз, когда мы модернизируем серверы
или сетевые устройства, мы отключаем репликацию и изменяем время репликации
Active Directory. Вряд ли вы захотите создать себе проблемы, если после добавления
оборудования серверы попытаются провести репликацию и потерпят неудачу. Это не
только переполнит журналы ошибок, но также быстро приведет к возникновению
проблем. При внесении изменений в архитектуру сети самое лучшее, что можно сде­
лать — отклю’!Ить репликацию.
3. Щелкните на папке Connections (Подключения).
4. Выполните одно из указанных ниже действий.
• Чтобы отключить репликацию для подключения, щелкните правой кноп­
кой мыши на подключении и выберите из контекстного меню пункт DisaЫe
(Отключить).
• Чтобы включить репликацию для подключения, щелкните правой кноп­
кой мыши на подключении и выберите из контекстного меню пункт ЕnаЫе
(Включить).
ПОДДЕРЖКА ПОДКЛЮЧЕНИЙ
В Microsoft не поддерживают однонаправленные подключения для репликации DFS.
Создание однонаправленного подключения для репликации может вызвать м но­
жество проблем, в числе которых ошибки топологии проверки работоспособности,
проблемы со ступенчатыми изменениями, а также проблемы с базой данных реп- .
ликации DFS. Чтобы создать однонаправленное подключение, вместо этого сделай­
те реплицируемую папку на соответствующем члене группы репликации доступной
только для чтения.
Включение и отключение репликации на конкретном члене
Иногда может понадобиться включить или отключить репликацию для конкретных
членов группы репликации. На повестке дня должно стоять особое внимание. После
включения ранее отключенный член должен выполнить начальную репликацию реп­лицируемой папки. Начальная репликация приводит к передаче около 1 Кбайт дан­ных для каждого файла или папки в реплицируемой папке, и любые модифицирован­ные или новые файлы, появившиеся в члене группы репликации, будут перемещены
на нем в папку DfsrPrivatePreExisting и впоследствии заменены авторитетны­
ми файлами из другого члена. Если все члены отключены, тогда главным членом ста­
новится первый включенный член, что может оказаться не тем, что требуется.
ОБЩИЙ ДОСТУП или ПУБЛИКАЦИЯ
Изменения ‘IЛенства не применяются немедленно. Изменения членства должны реп­лицироваться на все контроллеры домена, и членам группы репликации понадобится
опрашивать ближайший контроллер домена, чтобы получить изменения. Количество
времени, сколько это может занять, зависит от задержки репликации AD DS и ко­
роткого интервала опроса (пять минут) на члене.

Общий доступ или публикация реплицированной папки
После того как мастер New Replication Group Wizard завершен, может понадо­
биться открыть общий доступ или опубликовать реплицированную папку. Для этого
папка должна быть добавлена в существующее или новое пространство имен.
Чтобы открыть общий доступ к реплицированной папке без ее публикации в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти­
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел­
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Repicated Foder Wizard) выберите переключатель Share the
replicated folder (Открыть общий доступ к реплицированной папке) и затем
следуйте всем указаниями мастера.
Чтобы открыть общий доступ к реплицированной папке и опубликовать ее в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти­
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел­
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Replicated Foder Wizard) выберите переключатель Share and
puЫish the replicated folder in а namespace (Открыть общий доступ и опубли­
ковать реплицированную папку в пространстве имен) и затем следуйте всем
указаниями мастера.
ПРОВЕРКА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ
Для выполнения этой процедуры вы должны удовлетворить требования безопаснос­
ти для управления репликацией и пространствами имен DFS. Если общий доступ к
палкам открывается с помощью мастера Share and Publish Replicated Folder Wizard,
то вы должны иметь членство в локальной группе Administrators на серверах, где
открывается общий доступ к каждой папке.

Случаи практического использования
Перед тем, как приступать к настройке корня, созданию ссылок и реорганизации
методов доступа пользователей к своим ресурсам, давайте кратко рассмотрим не­
сколько случаев, когда DFS действительно повышает ценность сети. Помните, что
речь не идет о работе с какими-то новыми средствами, а только о том, чтобы упрос­
тить жизнь, повысить эффективность и увеличить продуктивность.
Объединенные ресурсы предприятия
Пример DFS, с которым мы работали в этой главе, является хорошей демонстра­
цией объединения ресурсов предприятия. Вы можете взять все общие ресурсы сети и поместить их в один логический общий ресурс. Тогда вместо того, чтобы помнить, на каком логическом диске находится тот или иной ресурс, необходимо знать толь­ко папку. Важно также то, что настройка DFS в действительности не оказывает ни­какого влияния на конфигурацию сети. Вы можете строить и экспериментировать с конфигурациями DFS целый день в производственной среде, и никто даже не за­подозрит о ее существовании. Все старые общие ресурсы сети остануrся на своих местах, данные не будут затронуты, а пользователи не увидят ничего отличающе­гося. Как только новая конфигурация DFS станет готовой, наступит трудная часть
процесса — изменение у пользователей отображений дисков с одного диска для од­
ного общего ресурса на один диск для всех общих ресурсов. Не стоит недооuенивать
такую задачу. Это больше, чем просто отображение новой буквы диска на корень
DFS. Все приложения должны будуr знать, что они больше не находятся на диске х,
например, а вместо этого располагаются на диске У.
Управление жизненнь1м циклом
Хорошая новость заключается в том, что с DFS вы в последний раз будете иметь
дело с изменением отображений дисков. Когда возникнет потребность переместить данные из одного сервера на другой, чтобы вывести из эксплуатации старый сервер и ввести вместо него новый, вам не придется заниматься резервным копированием данных, очисткой сервера, построением нового сервера с тем же именем и восстанов­лением данных с целью воссоздания прежней физической машины. С помощью DFS вы можете установить новый сервер и сконфигурировать его как отключенную ссыл­ку на реплику для общего ресурса, который вы хотите «переместить». Убедившись,
что все данные были успешно перемещены, переведите новый сервер в онлайновый режим и отключите старый сервер. Пользователи даже не узнают, что они уже попада­ют на новый сервер. Файловая система DFS обрабатывает все безо всяких усилий.

Исследование сетевой файловой системы

Мы рассмотрели DFS, так что теперь вам известно, насколько удобным может
быть указание на единственное логическое местоположение для нахождения множес­
тва файлов и папок. Теперь вы можете разговаривать с животными — или открывать
общий доступ к файлам для всяких липовых операционных систем. Конечно, это
шутка — вам нужна возможность общего доступа к файлам в рамках всей организа­
ции, и если в ней присуrствуют машины с другими операционными системами, то
в Windows Server 2012 предлагается для этого соответствующий инструмент. Данный
раздел будет иметь несколько технический характер, и вы должны учитывать, что можете в этом не нуждаться; тем не менее, если вы все же испытываете потребность в
такой работе, то должны следовать приведенным здесь указаниям. При добавлении
роли File and Storage Services к серверу понадобится выбрать N FS. Вы должны были
сделать это в предьщущем разделе, посвященном DFS. В противном случае возврати­
тесь к роли File and Storage Services и добавьте компонент NFS, отметив связанный с
ним флажок. Итак, мы начнем обсуждение с того, что собой представляет файловая
система N FS, и что может предоставить Windows Server 2012 в этом отношении.
Сетевая файловая система (Network File System — NFS) является решением об­
щего доступа к файлам для организаций, которые имеют смешанные среды машин
с Windows и Unix/Linux. Файловая система NFS дает возможность открывать общий
доступ к файлам между указанными разными платформами при функционирую­
щей операционной системе Windows Server 2012. Службы N FS в Windows Server 2012
включают следующие возможности и усовершенствования.
• Поиск в Active Directory. Вы имеете возможность применять Windows Active
Directory для доступа к файлам. Расширение схемы Jdentity Management for
Unix (Управление удостоверениями для Unix) для Active Directory содержит
поля идентификатора пользователя Unix (Unix user identifier — UID) и иден­
тификатора группы (group identifier — G 1 D). Это позволяет службам Server
for NFS (Сервер для NFS) и Client for NFS (Клиент для NFS) просматривать
отображения учетных записей пользователей Windows на Unix прямо из служб
домена Active Directory (Active Directory Domain Services). Компонент ldentity
Management for Unix упрощает управление отображением учетных записей
пользователей Windows на Unix в Active Directory Domain Services.
• Улучшенная производительность сервера. Службы для NFS включают драйвер
фильтра файлов, который значительно сокращает общие задержки при досту­
пе к файлам на сервере.
• Поддержка специальных устройств Unix. Службы для NFS поддерживают спе­
циальные устройства Unix (rnknod).
• Расширенная поддержка Unix. Службы для NFS поддерживают следующие вер­
сии Unix: Sun Microsystems Solaris версии 9, Red Hat Linux версии 9, IBM AIX
версии 5L 5.2 и Hewlett Packard HP-UX версии 1 1 i. Однако более новые вер­
сии, несомненно, будут поддерживаться в будущем.
Вы можете пользоваться и нструментами командной строки, но в Windows
Server 2012 доступна также консоль Services for Network File System (Службы для се­
тевой файловой системы), окно которой показано на рис. 14.37. Инструменты ко­
мандной строки будут демонстрироваться далее в этой главе.
Один из наиболее распространенных сценариев, который создает необходи­
мость в применении NFS, предусматривает открытие доступа пользователям в сре­
де Windows к системе планирования ресурсов предприятия (enterprise resource plan­
ning — ERP), основанной на Unix. Находясь в системе ERP, пользователи могут
создавать отчеты и/или экспортировать финансовые данные в Microsoft Excel для
дальнейшего анализа. Файловая система NFS позволяет обращаться к этим файлам,
по-прежнему находясь в среде Windows, что сокращает потребность в наличии спе­
циальных технических навыков и снижает временные затраты на экспорт файлов с
использованием сценария Unix и последующий их импорт в определенное приложение Windows. Может также возникнуть ситуация, когда у вас имеется система Unix,
которая применяется для хранения файлов в какой-то сети хранения данных (stor­
age area network — SAN). Запуск служб NFS на машине Windows Server 2012 позво­
ляет пользователям в организации получать доступ к сохраненным там файлам безо
всяких накладных расходов, связщшых со сценариями на стороне Unix.

3. Запустите приведенную ниже команду, чтобы создать новый общий файловый
ресурс NFS:
PS С : > New-NfsShare -Narne «NFSshareOl» -Path «C: sharesNFSshareOl»
4. Для просмотра всех новых командлетов PowerShell, относящихся к NFS, кото­
рые доступны в Windows Server 2012 R2, выполните следующую команду:
PS С : > Get-Cornrnand -Module NFS
УСТАНОВКА СТАНДАРТНЫХ РАЗРЕШЕНИЙ
Теперь вы будете применять ряд стандартных разрешений к создаваемым файлам и
папкам и затем внесете небольшие изменения в настройки брандмауэра на сервере который используется для NFS. Помните, что этот сервер должен находиться за ос­новными брандмауэрами организации и быть защищенным. Для функционированияNFS вам понадобится открыть все перечисленные ниже порты.
Службы для компонента NFS Для чего открывается порт Протокол Порт
User Name Mappiпg (Отобра ж ение имен поль- Portmapper ТСР, UDP 1 1 1
зователе й ) и Server for NFS (Сервер для NFS) (Средство отобра ж ения портов)
Server for NFS (Сервер для NFS) Network Status Maпager ТСР, UDP 1039
(Диспетчер состояния сети)
Server for NFS (Сервер для NFS) Network Lock Maпager ТСР, UDP 1047
(Диспетчер блокировок сети)
Server for NFS (Сервер для NFS) NFS Mouпt (Монтирование NFS) ТСР, UDP 1048
Server for NFS (Сервер для NFS) Network File System ТСР, UDP 2049
(Сетевая фа й ловая система)
ТРЕБОВАНИЯ К ПОРТАМ
В зависимости от имеющихся требований, может понадобиться открыть порты ТСР
(Transmission Control Protocol — протокол упрамения передачей), порты UDP (User
Datagram Protocol — протокол дейтаграмм пользователя) либо те и другие. В целях
тестирования мы рекомендуем открыть транспорт ТСР и UDP для всех протоколов.
Чтобы открыть порты в брандмауэре, выполните следующие шаги.
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping или Server for NFS, нажмите комбинацию клавиш .
В окне Run (Выполнить) введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Port (Добавить порт).
3. В поле Name (Имя) введите имя открываемого порта, как упоминалось
выше во врезке «Установка стандартных разрешений».
4. В поле Port number (Номер порта) введите соответствующий номер порта.
5. Выберите переключатель ТСР или UDP и щелкните на кнопке ОК.

6. Повторите шаги 2-5 мя каждого открываемого порта и по завершении щелк­
ните на кнопке ОК.
Затем потребуется добавить программу mapsvc . ехе в список исключений бран­дмауэра.
МЕРЫ ПРЕДОСТОРОЖНОСТИ, КАСАЮЩИЕСЯ БРАНДМАУЭРА
Перед внесением изменений в настройки брандмауэра удостоверьтесь, что файловый сервер, применяемый для NFS, хорошо защищен и находится за основными произ­водственными брандмауэрами. Эти указания предполагают, что вы никогда не будете вносить такие изменения на пограничном сервере внутри демилитаризованной зоны
(DMZ).
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Program (Добавить программу).
3. Щелкните на кнопке Browse (Обзор), выберите файл mapsvc . ехе и затем
щелкните на кнопке Open (Открыть). По умолчанию этот файл находится в
%windir%System32.
4. В целях тестирования щелкните на кнопке Change scope (Изменить область
действия), в открывшемся диалоговом окне выберите переключатель Any com­
puter (Любой компьютер) и щелкните на кнопке ОК.
5. Щелкните на кнопке ОК еще два раза.
Процесс практически подошел к концу. Далее необходимо включить общий до­
ступ к файлам и принтерам на компьютере, выполняющем службы NFS. Вероятно,
вы уже знаете, как это сделать, раз уж дочитали до этого места, но ради завершен­ности ниже перечислены соответствующие шаги.
1 . Находясь в системе компьютера, на котором запущены службы Services for
N FS, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения), отметьте флажок File and
Printer Sharing (Общий доступ к файлам и папкам) и щелкните на кнопке ОК.
3. Повторите шаг 2 на каждом компьютере, выполняющем Services for NFS.
Перед тем, как предоставить результаты пользователям, вы наверняка захотите
провести тестирование, убедившись в работоспособности всей функциональности.
В следующей статье Microsoft TechNet описаны четыре теста, которые вы можете
выполнить: http: / /technet . microsoft . сот/ ru-ru/ library / сс7 53302 . aspx.
Для конфигурирования брандмауэра можно также использовать утилиту команд­
ной строки netsh. На рис. 14.38 показан список доступных команд.

Обновлено Обновлено: 05.10.2020
Опубликовано Опубликовано: 2016 год или раньше

В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

  • Процессор может быть самый простой;
  • Оперативная память также не сильно используется;
  • Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

  1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
  2. Сервер должен быть подключен к источнику бесперебойного питания;
  3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

  1. Проверяем правильность настройки времени и часового пояса;
  2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
  3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
  4. Для удаленного администрирования, включаем удаленный рабочий стол;
  5. Устанавливаем все обновления системы.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Запуск диспетчера серверов Windows Server 2012

Нажимаем УправлениеДобавить роли и компоненты.

Установка серверных компонентов в Windows 2012

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

Выбор установки ролей и компонентов в Windows Server

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

  • Службы хранения;
  • Файловый сервер;

Ставим галочки напротив нужных компонентов файлового сервера

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

Открываем свойства папки

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Открываем доступ к папке по сети

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Ставим галочку для включения общего доступа и переходим к управлению разрешениями

Предоставляем полный доступ всем пользователям:

Выставляем разрешения на доступ к папке по сети

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

Кнопка для назначения дополнительных прав безопасности на папку

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Отключаем наследование прав папкой

Нажимаем OK и Изменить

Кнопка для изменения прав на папку

Выставляем необходимые права на папку, например:

Пример прав безопасности для папки

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \fs1Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

  1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
  2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows. 

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Переходим к управлению локальным сервером в диспетчере управления

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИНачать проверку BPA:

Запуск проверки BPA

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Мониторинг

Мониторить стоит:

  1. Сетевую доступность сервера;
  2. Свободное дисковое пространство;
  3. Состояние жестких дисков.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

  1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
  2. Выполнить действия анализатора соответствий рекомендациям.
  3. Провести живой тест работы сервиса с компьютера пользователя.

Как отключить наследование разрешений?

Отключить унаследованные разрешения для файла или папки в Windows 10

  1. Откройте «Проводник».
  2. Найдите файл или папку, для которых вы хотите отключить унаследованные разрешения.
  3. Щелкните файл или папку правой кнопкой мыши, выберите «Свойства», а затем щелкните вкладку «Безопасность».
  4. Щелкните по кнопке Advanced. …
  5. Нажмите кнопку Отключить наследование.

Как мне перестать наследовать разрешения от родительской папки?

Чтобы прекратить наследование разрешений родительской папки, щелкните правой кнопкой мыши файл или папку в проводнике Windows и выберите «Свойства».. На вкладке «Безопасность» диалогового окна «Свойства» нажмите «Дополнительно», чтобы открыть диалоговое окно «Дополнительные параметры безопасности», показанное на рис. 21-17.

Как отключить наследование в Active Directory?

Вы можете отключить наследование от дочернего объекта или от родителя. Чтобы отключить наследование, откройте редактор ACL для объекта AD, затем снимите флажок Разрешить наследование. разрешения от родителя для распространения на этот объект флажок. После того, как вы нажмете «ОК», появится диалоговое окно «Безопасность».

Что будет, если я отключу наследование?

Отключение наследования часто является более безопасным и простым способом ограничить доступ к определенной подпапке внутри папки проекта (родительская папка), сохраняя при этом доступ к остальным подпапкам в папке проекта. Удаление разрешений полезно, когда вам нужно полностью отозвать доступ пользователя или групп.

Как отключить разрешения?

Автоматически удалять разрешения для неиспользуемых приложений

  1. На телефоне откройте приложение «Настройки».
  2. Коснитесь Приложения и уведомления.
  3. Коснитесь приложения, которое хотите изменить. Если вы не можете его найти, сначала нажмите «Просмотреть все приложения» или «Информация о приложении».
  4. Коснитесь Разрешения.
  5. Включите Удалить разрешения, если приложение не используется.

Защищены ли правила доступа?

Правила защищенного доступа не могу изменяться родительскими объектами посредством наследования. Значение true для защиты правил доступа, связанных с этим объектом ObjectSecurity, от наследования; false, чтобы разрешить наследование. true, чтобы сохранить унаследованные правила доступа; false, чтобы удалить унаследованные правила доступа.

Как изменить разрешения для всех дочерних объектов?

В нижней части Расширенные настройки безопасности для окно, установите флажок Заменить все записи разрешений дочернего объекта наследуемыми записями разрешений от этого объекта. Примечание. Если вы используете старую операционную систему, этот флажок сформулирован несколько иначе, но имеет тот же эффект. Щелкните ОК.

Как включить наследование для всех вложенных папок?

Как включить наследование прав доступа

  1. Откройте диалоговое окно «Безопасность» для папки, для которой вы хотите включить наследование.
  2. Нажмите Дополнительно.
  3. Откроется диалоговое окно «Дополнительные параметры безопасности»:
  4. Щелкните Включить наследование.

Первоначальный ответ: Как мне удалить «разрешения» из Windows 10? Уважаемый, Для разрешений приложений: Перейдите в Пуск> Настройки> Конфиденциальность. Выберите функцию (например, Календарь) и выберите, какие разрешения для приложений включены или отключены.

Как мне запретить Windows запрашивать разрешение?

Перейдите в группу настроек «Система и безопасность», нажмите «Безопасность и обслуживание» и разверните параметры в разделе «Безопасность». Прокрутите вниз, пока не увидите раздел Windows SmartScreen. Нажмите под ним «Изменить настройки». Для внесения этих изменений вам потребуются права администратора.

Что такое наследование безопасности?

Наследование безопасности относится к передаче разрешений от родительского объекта к дочернему объекту. Например, папка может быть родительской для вложенной папки или документа; документ может быть родительским для аннотации. Дочерний объект может наследовать разрешения безопасности от своего родительского объекта.

Как остановить наследование групповой политики?

Шаги:

  1. Щелкните вкладку «Управление».
  2. В «Управление GPO» щелкните «Управление ссылками на GPO».
  3. Выберите требуемый домен / подразделение / сайт с помощью кнопки «Выбрать».
  4. Нажмите «Заблокировать наследование» или «Разблокировать наследование» в опции «Управление», чтобы заблокировать или разблокировать наследование GPO.

Содержание

  1. Просмотр разрешений
  2. Назначение разрешений для файлов
  3. Назначение разрешений для папок
  4. Наследование разрешений

Просмотр разрешений

Назначение, просмотр и изменение разрешений производится на вкладке Безопасность диалогового окна Свойства. Чтобы его вызвать, необходимо нажать на файле или папке правой кнопкой мыши и в контекстном меню выбрать Свой­ства.

Также диалоговое окно Свойства можно вызвать нажав клавишу Alt на клавиатуре и сделать двойной щелчок левой кнопкой мыши по нужному файлу или папке.

В открывшемся диалоговом окне Свойства выбираем вкладку Безопасность.

На вкладке Безопасность можно увидеть, каким пользовате­лям и группам доступ определен и какие им предоставлены разрешения. Информацию о дополнительных параметрах доступа (в том числе и о специальных разрешениях) можно получить, нажав кнопку Дополнительно.

Может так случиться, что вкладка Безопасность в окне Свойства у вас не отображается. Убедитесь, что файл или папка располагается на NTFS-разделе.

Назначение разрешений для файлов

Задание разрешений для какого-либо файла производится следующим образом:

1. Нажимаем пра­вой кнопкой мыши по нужному файлу и в контекстном меню выбираем Свой­ства, а в появившемся диалоговом окне переходим на вкладку Безопасность.

2. Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данного файла. Вы можете либо выбрать пользо­вателя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). В любом случае необходимо нажать кнопку Изменить.., а потом выбрать нужное действие: кнопки Добавить.. и Удалить.

3. При добавлении пользователя после нажатия на кнопку Добавить появится диалоговое окно Выбор: «Пользователи» или «Группы». В нем можно либо сразу ввести имя пользователя (или группы) в поле Введите имена выбираемых объектов — но ввести его нужно правильно, либо воспользоваться инструментом поиска, нажав на кнопку Дополнительно.

В первом случае (при ручном вводе имени) нужно будет нажать на кнопку Проверить имена, чтобы проверить пра­вильность введенных имен. Кстати говоря, тип вводимых объек­тов (Пользователь, Группа пользователей, Встроенные участники безопасности) выбирается нажатием кнопки Типы объектов.

Во втором случае при проведении поиска, перед нами появится еще одно диалоговое окно, в котором нужно сразу нажать на кнопку Поиск. После этого внизу окна появится список всех групп и пользователей, имеющихся на компьютере. Остается лишь выбрать необходимые.

4. Закончив задание имен пользователей и групп, закройте окно Выбор: «Пользователи» или «Группы» нажатием на кнопку ОК.

5. Сам процесс задания разрешений производится следующим образом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения, путем проставления флажков назначаете или запрещаете то или иное стандартное разрешение. Чтобы установить разрешение, нужно напротив него установить флажок в столбце Разрешить, а чтобы отказать в данном разрешении — установить флажок в столбце Запретить. Всего доступно 5 стандартных разрешений — Полный доступ, Изменение, Чтение и выполнение, Чтение, Запись.

6. Если вы хотите более детально назначить разрешения, в том числе и специальные разрешения, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность.

При задании разрешений обратите внимание на две существенные осо­бенности. Во-первых, установка или запрет какого-либо разрешения может автоматически влиять на другие разрешения. Например, уста­новив разрешение «Полный доступ», вы автоматически установите все остальные возможные разрешения.

Второе, на что необходимо обращать внимание — это то, что отсутствие какого-либо разрешения (флажок не стоит ни в столбце Разрешить ни в столбце Запретить) не эквивалентно запрету этого разрешения (флажок стоит в столбце Запретить).

Если разрешение не определено, то оно, как правило, наследуется от родительской папки, в которой содержится файл. А в этом случае могут возникать неприятные ситуации. Например, доступ к папке предостав­лен, а к файлу он должен быть запрещен. Так вот, если явно этого зап­рета не задать, то разрешение будет унаследовано от папки — то есть доступ будет разрешен.

Если вы захотите более «тонкой» настройки разрешений и на вкладке Безопасность нажмите на кнопку Дополнительно, перед вами откроется диалоговое окно Дополнительные параметры безопасности. В этом диалоговом окне имеется несколько вкладок.

На вкладке Разрешения отображается перечень элементов управления доступом для данного файла. При этом указыва­ются имена пользователей и групп, которым установлены разрешения для данного файла, а также сами эти разрешения. Стоит обратить внимание на столбец Унаследовано от. В нем можно увидеть, от ка­кого объекта данный файл унаследовал разрешение для данного конк­ретного пользователя или группы. Как правило, файлы наследуют раз­решения от родительской папки, в которой они расположены.

Доступ к настройке специальных разрешений можно получить, нажав на кнопку Изменить на вкладке Разрешения.

После этого появится окно Элемент разрешения для» «, в котором нужно нажать на Отображение дополнительных разрешений.

В следующем диалоговом окне Элемент разрешения для» «, путем проставления/снятия флажков как раз и можно установить или отменить какие-либо специальные разрешения для файла.

Назначение разрешений для папок

Последовательность действий по назначению и изменению разрешений для папки повторяет вышеописанную последовательность для файлов. Однако есть небольшие дополнительные настройки, присущие только папкам, как контейнерам, вмещающим другие объекты. Для большей ясности приведено полное описание процедуры назначения разреше­ний для папки:

1. Выбираем нужную папку и щелкаем по ней правой кнопкой мыши. Затем в контекстном меню выбираем Свойства, а в появившемся диалоговом окне переходим на вкладку Безопасность.

Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данной папки. Вы можете либо выбрать пользователя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). Для этого, соответственно, предназначены кнопки Добавить и Удалить. Эти действия аналогичны действиям при настройке разрешений для файлов. Единственное, что нужно отметить — список стандартных разрешений для папок несколько отличает­ся от списка стандартных разрешений для файлов.

2. Сам процесс задания разрешений производится следующим обра­зом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения, путем проставления флажков назначаете или запрещаете то или иное стандартное раз­решение. Если вы хотите более детально назначить разрешения, в том числе и специальные, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность.

Стоит только помнить, что разрешения папок передаются вложенным в них объектам — файлам и папкам. Как запретить наследование разре­шений, сказано чуть ниже в этой статье.

Чтобы перейти к настройке специальных разрешений, так же, как и в случае с файлами, необходимо нажать на кнопку Дополнительно. Далее в появившемся диалоговом окне Дополнительные параметры безопасности вы увидите перечень элементов управления доступом к папке.

Чтобы изменить разрешения для какого-либо пользо­вателя или группы, нажмите на кнопку Изменить разрешения.

Далее выделяем нужную нам запись, если кнопка Изменить не доступна, то вы не сможете изменить дополнительные разрешения, потому что в окне Элемент разрешения, элементы управления будут не активны, для того чтобы они стали активными нажимаем кнопку Отключение наследования.

В появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта.

После этого кнопка Изменить стала доступной.

Далее выделяем нужную нам запись и нажимаем кнопку Изменить, или делаем двойной щелчок левой кнопкой мыши по нужной нам записи, откроется окно Элемент разрешения, где элементы управления будут активны и в нем нажимаем Отображение дополнительных разрешений.

Теперь можно установить специальные разрешения для папки, а также указать область их действия.

Область действия специальных разрешений папки задается в раскрыва­ющемся списке Применяется к. При этом возможны следующие варианты:

  1. Только для этой папки.
  2. Для этой папки, ее подпапок и файлов.
  3. Для этой папки и ее подпапок.
  4. Для этой папки и ее файлов.
  5. Только для подпапок и файлов.
  6. Только для подпапок.
  7. Только для файлов.

Если НЕ установить флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера, то заданные вами разре­шения будут распространяться не только на вложенные папки, но и на вложенные в них папки и так далее на все объекты, находящиеся ниже по дереву.

Примечание. Дерево папок (или дерево каталогов) — это образ, который обычно используют для визуального представления структуры папок. Именно в виде древовидной структуры отображаются папки в левой секции Проводника.

Если кнопки Изменить разрешения и Изменить не доступны, и элементы управления в окне Элемент разрешения не активны то также как в примере выше нажимаем кнопку Отключение наследования, в появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта. После этого кнопка Изменить будет доступна и элементы управления в окне Элемент разрешения станут активны, где вы и сможете установить дополнительные разрешения.

Если вы хотите добавить пользователя или группу пользователей и назначить им разрешения, нажмите кнопку Добавить.

Далее откроется окно Элемент разрешения, нажимаем Выберите субъект.

Далее в окне Выбор: «Пользователи» или «Группы» чтобы не вводить имена объектов вручную, воспользуемся поиском, для этого нажимаем кнопку Дополнительно.

В следующем окне нажимаем кнопку Поиск и внизу окна в результатах поиска выбираем пользо­вателя или группу для которого нужно задать или изменить разрешения, нажимаем кнопку OK.

Еще раз нажимаем кнопку OK.

Далее в окне Элемент разрешения нажимаем Отображение дополнительных разрешений.

Теперь можно установить дополнительные разрешения для добавленного пользователя или группы.

Наследование разрешений

В Windows 8, Windows 8.1 вложенные папки и файлы могут наследовать разрешения от родительской папки. По умолчанию так и происходит. При этом изменение разрешений родительской папки мгновенно передается на вложенные папки и файлы.

Однако если вы хотите установить для вложенных файлов и папок раз­решения, отличающиеся от разрешений родительской папки, то вы мо­жете отключить наследование разрешений. При этом возможны два варианта:

  1. Вы хотите отменить наследование разрешений родительской папки для всех вложенных файлов и папок.
  2. Вы хотите отменить наследование разрешений родительской папки лишь для некоторых вложенных файлов и/или папок.

В первом случае вы должны перейти на вкладку Безопасность для дан­ной папки, а затем нажать на кнопку Дополнительно. Далее переходите в режим редактирования разрешений для какого-либо пользователя или группы и в списке Применяется к указываете Только для этой папки.

Во втором случае необходимо перейти на вкладку Безопасность для дан­ного конкретного файла или папки, щелкнуть по кнопке Дополнительно и в появившемся окне Дополнительные параметры безопасности нажать кнопку Изменить разрешения.

Далее нажимаем кнопку Отключение наследования.

Затем в появившемся окне Блокировать наследование нажимаем Удалить все унаследованные разрешения из этого объекта.

Нажимаем кнопку ОК.

Кстати говоря, ниже предусмотрен флажок Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта, название которого говорит само за себя.

Иногда при попытке удаления или изменения папки Windows 10 заявляет о том, что для таких действий недостаточно прав, и нужно запросить разрешение у «Система» или «Администраторы».

Это может вызвать удивление у многих владельцев компьютера, которые являются единоличными пользователями, но логика системы такова: ей почти на все требуется подтверждение. После этого логичным решением становится проверка учетных записей. Самый простой вариант: зайти в «Пуск», выбрать «Параметры», открыть раздел «Учетные записи» и нажать «Ваши данные».

1563023905_2.jpg

Имя учетной записи может быть разным, главное, чтобы под ним было указано «Администратор». Это важный момент, хотя, к сожалению, всей проблемы он не решает. Вернувшись к прежней папке и попытавшись ее снова удалить, пользователь увидит уже знакомое сообщение от Windows.

1563025188_33.jpg

Чтобы выйти из этого замкнутого круга, нужно выполнить два пункта:

  1. Стать «хозяином» папки;
  2. Получить полноценное право на любые действия с ней.

Как стать владельцем

Сначала вызываем контекстное меню и нажимаем «Свойства». В открывшемся окне выбираем «Безопасность». Внизу окна появится раздел «Разрешения для группы «Пользователи», а под ним — кнопка «Дополнительно».

1563025478_4.jpg

Во второй строке сверху указано имя владельца «Администраторы», справа от имени — ссылка «Изменить».

1563025530_5.jpg

Откроется окно выбора, где потребуется снова нажать на «Дополнительно» (в левом нижнем углу)

1563025490_6.jpg

Теперь справа есть кнопка «Поиск», которая открывает возможность выбрать пользователя из появившегося списка. Даже если у компьютера имеется один-единственный хозяин, который никого больше не подпускает к своему имуществу, все равно в этом списке будет несколько строк.

1563025475_7.jpg

Теперь выбираем имя своей учетной записи, которое отображено в параметрах («Пуск» — «Параметры» — «Учетные записи»). В примере это «Admin».

Автоматически возвращаемся во вкладку параметров безопасности. Теперь в строке имени владельца отображается выбранный пользователь. Под строкой нужно отметить галочкой следующий пункт.

1563025500_10.jpg

Если этого не сделать, то придется совершать всю процедуру заново с внутренними папками для их изменения. Завершаем все это командой «ОК».

Как задать владельцу разрешения на все действия с папкой

Дотошной системе проделанных действий все еще мало, и нужно установить разрешения для своей учетной записи. Для этого снова заходим в отвечающие за безопасность свойства папки. Под строкой с именем владельца есть 3 вкладки: «Разрешение», «Аудит» и «Действующие права доступа». Нас интересуют «Разрешения».

1563025461_11.jpg

Есть три варианта:

  1. В списке есть имя хозяина папки, и у него полный доступ;
  2. Нужное имя отсутствует;
  3. Имя пользователя есть, но доступ у него частичный.

Если имени нет, то придется его добавить, нажав на соответствующую ссылку внизу.

1563025535_12.jpg

В новом окне выбрать имя субъекта, в поле «Тип» указать «Разрешить», в строке «Применяется к» пометить, что разрешение должно распространяться на эту папку, а также на все ее подпапки и файлы.

Внизу поставить галочку напротив «Полный доступ». Жмем «ОК» и снова автоматически попадаем в параметры безопасности.

1563025473_18.jpg

Если имя уже имеется, но разрешения у него есть только на некоторые действия, то нужно выделить строку и нажать внизу «Изменить».

1563025527_19.jpg

Как и в предыдущем варианте, задать ему полный доступ. Теперь, когда в списке разрешений видно имя владельца, осталась финальная стадия — отметить пункт в нижней части окна. И разумеется, нажать «ОК».

1563025513_20.jpg

Теперь можно менять или удалять эту злополучную папку. Если вдруг система сообщит что-то вроде «папку нельзя удалить, она все еще используется», то следует перезагрузить компьютер.

Следующая2019-07-13КатеринаКомпьютеры / Windows

Как и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

4219301_1.png

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share, наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.

4219301_3.png

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию — всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

4219301_2.png

Первая колонка содержит уникальный идентификатор пользователя (SID), вторая — описание прав (read, write и т.д.), третья — флаг, указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет).

Основных прав доступа в NTFS четыре:

Read разрешает только чтение файла. • Write разрешает чтение и запись. • Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов. • Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL. Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control.

Наследование

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование.

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А», а в ней папку «Б», то папка «Б» будет иметь те же разрешения, что и папка «А». Следовательно, все файлы в папке «Б» получат разрешения папки «А».

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет2. Явное разрешение3. Неявный запрет4. Неявное разрешение

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются.

• При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

• При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL, изменяется только ссылка на него в таблице MFT.

• При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

Задайте вопрос Быстрый доступ

Администрирование клиентских ОС Windows > Администрирование Windows Vista

  • Вопрос

  • Появилась неизвестная неучетная запись. При удалении просит отключить параметр наследования разрешений и повторить попытку… Где это находиться. OC Windows Vista Home Premium 32-bit SP2. Что подскажете?9 октября 2011 г. 19:39 Ответить | Цитировать

Все ответы

  • Появилась неизвестная неучетная запись. При удалении просит отключить параметр наследования разрешений и повторить попытку… Где это находиться. OC Windows Vista Home Premium 32-bit SP2. Что подскажете?

    Что за учетная запись? Приведите ее наименование.Microsoft Certified Desktop Support Technician10 октября 2011 г. 5:13 Ответить | Цитировать

  • Появилась неизвестная неучетная запись. При удалении просит отключить параметр наследования разрешений и повторить попытку… Где это находиться. OC Windows Vista Home Premium 32-bit SP2. Что подскажете?

    Что за учетная запись? Приведите ее наименование. Microsoft Certified Desktop Support Technician

    В кладке безопасность в свойствах ярлыков рабочего стола.

    11 октября 2011 г. 15:29 Ответить | Цитировать

  • Это — идентификатор пользователя, ныне в системе не существующего. Захватите для своей учетной записи права владельца на папку «Рабочий стол», в свойствах безопасности поставьте «Заменить владельца подконтейнеров и объектов» ,после чего удалите данного пользователя из списков безопасности. Владельца «Рабочего стола» потом вернете обратноМнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется «как есть» без каких-либо гарантийt_small-c.png Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html12 октября 2011 г. 15:58 Ответить | Цитировать

Используемые источники:

  • https://dsi777.ru/main/windows/92-razreshenie-ot-sistema-ili-administratory-na-izmenenie-papki-v-windows-10.html
  • https://www.white-windows.ru/sekrety-ntfs-prava-razresheniya-i-ih-nasledovanie/
  • https://social.technet.microsoft.com/forums/ru-ru/d3adc889-9871-4512-8f21-3a031ee65c83/105010721082-108610901082108311021095108010901100

Like this post? Please share to your friends:
  • Отключить превью в панели задач windows 10
  • Отключить параметр наследования разрешений windows server 2008
  • Отключить политику паролей windows server 2019
  • Отключить папки в проводнике windows 10
  • Отключить показ последних файлов windows 10