Windows server доступ пользователей к папкам

Содержание

Создание общих папок
Создание общих ресурсов в проводнике Windows
Удаленное создание общих ресурсов с помощью консоли управления компьютером
Управление разрешениями
Создание разрешений общего доступа
Разрешения для файлов и каталогов
Работа со скрытыми общими ресурсами
Исследование распределенной файловой системы
Терминология, связанная с DFS
Выбор между автономной и доменной файловой системой
Создание корня DFS
Добавление ссылок в корень DFS
Конфигурирование репликации DFS
Понятие репликации DFS
Управление репликацией DFS
Исследование сетевой файловой системы

Возможно, вы еще помните те времена, когда данные, которыми вы хотели по­
делиться с коллегами, помещались на флоппи-диски. Потребность в общем
доступе к файлам и папкам является одной из самых важных причин, по кото­
рым были разработаны серверные технологии.

В операционной системе Microsoft Windows Server 201 2 R2 были предложены новые и усовершенствованные пути ор­ганизации общего доступа к файлам с помощью служб, подобных NFS (Network File System — сетевая файловая система), которые предоставляют решение общего доступа к файлам для предприятий, располагающих смесью разнообразных опера­ционных систем. Благодаря N FS, вы можете открывать общий доступ к файлам не только для других серверов Windows, но также и для клиентов Unix, Linux и Мае OS,
если они присутствуют в вашей организации. В этой главе мы погрузимся в NFS и
посмотрим, что появилось нового, а что изменилось в текущей редакции сервера.
В Windows Server 2012 R2 также модернизированы технологии распределенной
файловой системы (Distributed File System — DFS), которые продолжают предла­
гать дружественную к WAN репликацию для упрощения доступа к географически
разбросанным файлам и папкам. Общий доступ к файлам и папкам по сети мож­
но предоставлять на основе их группирования. Эта функция упрощает сложный
процесс, который был утомительным и затратным по времени в ранних выпусках
Windows Server.
В настоящей главе мы поможем вам разобраться в DFS и затем в NFS, предо­ставив пошаговые руководства по применению этой захватывающей функциональ­ности. Вы узнаете, что собой представляют указанные функции, как они работают и каким образом извлечь из них максимальную пользу.

В этой главе вы изучите следующие темы:
• добавление на сервер роли File and Storage Services (Службы файлов и храни­лища ) ;
+ добавление общей папки, используя NFS;
• добавление корня DFS.

Создание общих папок

Чтобы иметь возможность создать общую папку, вы должны располагать подхо­дящими правами. Для этого вы должны быть либо администратором, либо опытным
пользователем. Создавать общие ресурсы можно двумя способами: либо в провод­нике Windows, находясь на сервере, либо в диспетчере серверов на сервере или дистанционно.
НЕКОТОРЫЕ ОСНОВЫ ОБЩЕГО ДОСТУПА К ФАЙЛАМ
Одним из основных компонентов любого сервера является возможность общего до­
ступа к файлам. В действительности возможность организации общего доступа к файловым и принтерным ресурсам поддерживается службой Server (Сервер), которая вхо­дит в состав каждого члена семейства Windows NГ, включая Windows Server 2012 R2.
Но что именно она собой представляет и почему настолько важна?
По умолчанию один лишь факт наличия функционирующего сервера совершенно не означает до­ступность каких-либо ресурсов пользователям. Чтобы пользователи на самом деле
смогли обращаться к ресурсам на сервере, вы должны открыть общий доступ к этим
ресурсам. Предположим, что у вас на локальном диске I имеется папка APPS с трмн подпапками приложений, как показано ниже:

Когда вы открываете общий доступ к этой папке из сети под именем APPS, вы поз­воляете клиентам отображать на вашу лапку I : APPS новые буквы дисков на своих
машинах. За счет отображения диска создаетсн виртуальный указатель непосредс­твенно на место подключения. Если вы отобразите диск М клиента на общий ресурс
APPS сервера, то диск м будет выглядеть идентично папке I : APPS сервера

Создание общих ресурсов в проводнике Windows

Давайте возвратимся к открытию общего доступа к папке APPS. Если вы находи­тесь непосредственно на сервере, то для создания общего ресурса и управления все­ми его свойствами можете применять проводник Windows. Итак, вы хотите сделать
папку I : APPS доступной в сети под именем APPS.
В окне проводника Windows щелкните правой кнопкой мыши на папке APPS и
выберите в контекстном меню пункт Sharing and Security (Общий доступ и безопасность). Откроется диалоговое окно свойств для папки APPS. Перейдите на вкладку Shariпg (Общий доступ). Чтобы открыть общий доступ к папке, можно щелкнуть
на кнопке Share (Общий доступ) или на кнопке Advanced Sharing (Расширенная на­
стройка общего доступа), как показано на рис. 14. 1 .
l . Итак, есть две кнопки для открытия общего доступа: Share и Advanced Sharing.
Щелкните на кнопке Advanced Sharing, чтобы воспользоваться дополнитель­
ными возможностями, предлагаемыми мастером. Первым делом понадобится
отметить флажок Share this folder (Открыть общий доступ к этой папке).
2. После открытия общего доступа ресурсу необходимо назначить имя. Это очень
важный шаг, поскольку под данным именем пользователи будут подключаться
к общему ресурсу. Укажите имя APPS.
3. После именования общего ресурса станет доступной область Comments
(Примечание), позволяя предоставить описание общего ресурса. Здесь также
можно установить лимит пользователей, что поможет управлять доступом к
общему ресурсу. Введите описание общего ресурса, укажите реалистичное чис­ло для максимального количества одновременных подключений и затем щел­кните на кнопке Permissions (Разрешения), чтобы открыть следующее диало­говое окно.

4. Группе Everyone (Все) автоматически предоставляется разрешение Read
(Чтение) для нового общего ресурса. Щелкните на кнопке Add (Добавить);
откроется диалоговое окно поиска, в котором можно разрешить доступ к об­
щему ресурсу другим пользователям и группам.
Всегда сначала добавляйте пользователя или группу административного уровня и затем выдавайте этому объекту разрешение Full Control (Полный доступ).
Это гарантирует, что адми­нистратор в любой момент сможет управлять и поддерживать общий ресурс.
Рекомендуется предоставлять разрешение Full Control только администрато­рам.
Вы же не хотите, чтобы кто угодно мог назначать и отзывать разрешения
по собственному желанию.
Только вообразите, насколько быстро все пойдет наперекосяк, когда пользователь удалит разрешения для группы администра­торов и возьмет под контроль ваш общий ресурс! Поскольку это общий ресурс APPS, который должны читать все, оставьте группу Everyone с разрешением Read.
Для продолжения щелкните на кнопках Apply (Применить) и ОК.
5. Последней опцией в окне Advanced Sharing (Расширенная настройка об­
щего доступа) является кнопка Caching (Кеширование).
Она позволяет вы­брать дополнительные настройки автономного режима, например, включить BranchCache — великолепное средство, которое обсуждалось в предыдущей
главе.
Просмотрите доступные варианты, сделайте необходимый выбор и
щелкните на кнопке ОК. Для получения дополнительной информации о ке­
шировании можете щелкнуть на гиперссылке Configure Offline Availabllity for
а Shared Folder (Настройка доступа к общей папке вне сети) в нижней части
диалогового окна.
6. Просмотрите все выбранные настройки общего доступа к папке и затем шел­
кните на кнопках Apply и ОК, чтобы завершить открытие общего доступа.
Общий ресурс APPS стал доступным через сеть.

Теперь, когда папка APPS открыта мя общего доступа пользователям, вы мо­жете перейти к этому общему ресурсу в проводнике Windows. Существует множес­тво путей мя просмотра общих дисков и папок. В следующем разделе мы пока­жем, как просматривать общие ресурсы с помощью консоли Computer Management
(Управление компьютером).
УСТАНОВКА ЛИМИТОВ ПОЛЬЗОВАТЕЛЕЙ
Вы можете сконфигурировать количество пользователей, которые могут одновре­менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит
пользователей) в диалоговом окне свойств общего ресурса.
Если приложение внут­ри общего ресурса лицензировано мя 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей.
По мере того, как пользователи под­ключаются к общему ресурсу, их число приближается к лимиту пользователей.
При отключении от общего ресурса их количество уменьшается. Это означает возмож­ность установки лимита для общего ресурса, который не превышает сушествующие ограничения лицензирования, что поможет сохранить соответствие лицензионным соглашениям.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.

В режиме клиентских лицензий производитель не заботится о том, сколь­ко пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение. В таких случаях лимит пользователей никак вас не защитит.
Наконец, вы должны принять во внимание, каким образом пользователи подклю­чаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограни­чивать их на базе параллелизма. Если все пользователи подключаются к общему ре­сурсу при входе в систему и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему поль­зователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей. Если подключения осуществляются только при использовании приложения, то лимит пользователей бу­дет работать довольно хорошо.

Удаленное создание общих ресурсов с помощью консоли управления компьютером

В Windows Serveг 201 2 R2 были внесены замечательные усовершенствования
в способ применения диспетчера серверов. Из единственного сервера управления
можно создавать и управлять общими ресурсами на множестве серверов, при кла­дывая лишь небольшие усилия. До тех пор, пока удаленный сервер находится в он­
лайновом режиме и доступен через сеть, нет никаких причин входить в его систему
непосредственно на месте. Давайте посмотрим, как использовать новый интерфейс
диспетчера серверов мя подключения к удаленному серверу и создания на нем но­вого общего ресурса.
l . Запустите диспетчер серверов, шелкните на элементе All Servers (Все серверы)
и щелкните правой кнопкой мыши на сервере, которым необходимо управ­лять дистанционным образом.

В контекстном меню отобразится новый набор пунктов, одним из которых
является Computer Management (Управление компьютером)
Консоль Computeг Management (Управление компьютером) находится в программной
группе Administrative Tools (Администрирование). С помощью этого инструмента вы можете, помимо прочего, создавать и управлять общими ресурсами локально или же дистанционно. Если в проводнике Wmdows щелкнуть правой кнопкой мыши на пап­ке, которая не является локальной на вашей машине, в контекстном меню не поя­вится пункт для открытия общего доступа. Если же вы собираетесь создать общий ресурс, используя консоль Computer Management на своей локальной машине, то для этого все готово. Чтобы управлять общим ресурсом на удаленном сервере, к этому серверу сначала необходимо подключиться.
2. Выберите пункт Computer Mana­gement, после чего диспетчер серверов автоматически подклю­чится к удаленному серверу.
З. Выберите папку Computer Manage­mentSystem ToolsShared FoldersShares (Управление компьюте­ром Системные инструменты Общие папки Общие ресурсы),
4. Теперь можете либо выбрать в меню Actions (Действия) пункт New Share (Новый общий ресурс),либо щелкнуть правой кнопкой мыши в окне со списком общих ресурсов и вы­брать в контекстном меню пункт New Share.
5. На начальном экране мастера создания общей папки (Create А Shared Folder
Wizard) щелкните на кнопке Next (Далее); появится экран, представленный на
рис. 14.4. Удостоверьтесь в корректности информации в поле Computer паmе
(Имя компьютера), чтобы общий ресурс был создан на нужном компьютере.
Чтобы создать общий ресурс, вы можете просмотреть исходные диски и папки
или же создать новую папку на лету, просто введя полное имя диска и папки в
поле Folder path (Путь к папке).
6. Для этого примера создайте новую папку по имени Graphics и откройте к ней
общий доступ как к I : Graphics.
7. Завершив ввод пути к папке, щелкните на кнопке Next.
8. Появится экран, показанный на рис. 14.5. Введите здесь имя, которое долж­
но быть назначено этому общему ресурсу, и его краткое описание.
9. Для продолжения щелкните на кнопке Next.
На следующем экране (рис. 14.6) будут определяться разрешения общего до­
ступа, для чего предоставляются четыре переключателя.
• All Users Have Read-Only Access (Все пользователи имеют доступ только для
чтения). Эта опция позволяет группе Everyone иметь доступ только для чте­ния к содержимому папки. Она является стандартной настройкой в Windows
Server 2012 и хорошо демонстрирует повышенное внимание, уделяемое ком­панией Microsoft безопасности на протяжении последних нескольких лет.
В предшествующих редакциях сервера по умолчанию группа Everyone име­ла полный доступ (Full Control), включая анонимных пользователей, при­шедших из сети! С момента выхода версии Windows Server 2008 при созда­нии общего ресурса вам не придется начинать с широко открытых дверей.
Вы начинаете с закрытой двери и открываете ее согласно своим специфика­циям, когда вам будет удобно.

3. Запустите следующую команду, чтобы получить список существующих общих
ресурсов, в котором будет присутствовать только что созданный ресурс:
PS С : > Get-SmbShare
4. Наконец, введите следуюшую команду, чтобы удалить только что созданный
общий ресурс:
PS С : > Rernove-SmbShare -Name ИмяОбщегоРесурса

Управление разрешениями

Разрешения обшего доступа применяются, когда пользователь обращается к фай­лу или папке через сеть, но они не принимаются во внимание, если пользователь
получает доступ к данным ресурсам локально, как это было бы при его нахождении
непосредственно за компьютером либо при использовании ресурсов на терминаль­
ном сервере.
В противоположность этому, разрешения NTFS применяются независимо от того, каким образом пользователь обращается к тем же ресурсам, то ли он
подключается к ним дистанционно, то ли входит в них из консоли. Итак, когда до­ступ к файлам осуществляется локально, применяются только разрешения NTFS.
При дистанционном обрашении к тем же самым файлам применяется объединение
разрешений общего доступа и NTFS с вычислением наиболее ограничивающего
разрешения из этих двух типов.

Создание разрешений общего доступа

Разрешения общего доступа являются, пожалуй, простейшей формой управления
доступом, с которой вы будете иметь дело в Windows Server. Вспомните, что разреше­
ния общего доступа оказывают воздействие, только когда вы пытаетесь обратиться
к ресурсу через сеть. Считайте разрешения общего доступа разновидностью пропус­
ка в охраняемое здание. Когда вы подходите к входной двери и предъявляете свое
удостоверение, охранник просматривает вашу фамилию и выдает пропуск, который
указывает уровень доступа к внутренним помешениям. Если на пропуске написа­
но «доступ уровня 1 » , он позволит зайти в любую комнату с уровнем 1 , но нику­
да больше.
Если вы попытаетесь, оказавшись внутри, зайти в комнату с требуемым
уровнем доступа 2, пропуск не сработает.
Определяя разрешения общего доступа, вы безопасно упраnляете уровнем доступа для каждого лиuа у входной днери.
Однако имейте в виду, что упомянутая входная дверь — или разрешение уровня
обшего ресурса — это не полная картина.
Разрешение уровня общего ресурса пред­ставляет только максимальный уровень доступа, который вы получите внутри.
Если вы располагаете разрешением Read на общем ресурсе, то самое большее, что вы сможете делать после дистанционного подЮiючения к нему — это чтение. Подобным
образом, разрешение Change позволит в лучшем случает вносить изменения.
Если вы хотите иметь полный контроль над всем внутри общего ресурса, вам понадобит­ся разрешение Full Control на общем ресурсе.
Но поймите, что когда мы говорим о том, что разрешение общего доступа — это максимальный уровень доступа, кото­рый вы получите внутри общего ресурса, то имеем в виду возможность наличия до­полнительного ограничения внутри за счет применения разрешений уровня файлов(или NTFS).
Вы можете располагать полным доступом на общем ресурсе, но объект
внутри неrо может иметь разрешения NТFS, которые позволяют только читать его.
Определение разрешений общего доступа
Чтобы определить разрешения общего до­ступа, выполните следующие действия в кон­
соли Computer Management.
! . Щелкните правой кнопкой мыши на имени общего ресурса, который вы хо­тите защитить, и выберите в контекс­тном меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перейдите на ВЮiадку Share Permissions
(Разрешения общего доступа).
Вы можете попасть в это место из про­водника Windows, щелкнув правой кноп­кой мыши на локальной общей папке, выбрав в контекстном меню пункт Shar­
ing and Security (Общий доступ и безопас­ность) и затем в открывшемся диалоговом окне шелкнув на кнопке Permissions (Разрешения).

ОтсутствиЕ полного ДОСТУПА У ГРУППЫ Everyone
Обратите внимание на то, что группа Everyone по умолчанию имеет разрешение
Read, что является великолепным шагом вперед в мире Windows в плане безопаснос­
ти. Вплоть до версии Wmdows Server 2003 группа Everyone по умолчанию получала
доступ Full Control. Еще одно удобное свойство в Windows Server 2012 связано с тем, что группа Everyone больше не добавляется к папке при открытии к ней общего
доступа.
В этом диалоговом окне вы видите область Group or user names (Имена групп
или пользователей) со списком пользователей и групп, назначенных обшему
ресурсу; для выбранного пользователя или группы в области, расположенной
ниже, отображаются разрешения на этом открытом ресурсе.
Разным пользова­телям и группам можно назначать разные уровни разрешений.
На уровне об­щего доступа имеются три типа разрешений, описанные в табл. 14.1.

Таблица 14.1. типы разрешений
Разрешение
Full Coпtrol
(Полный доступ)
Chaпge (Изменение)
Read (Чтение)
Уровень доступа
Группа, которой назначено это разрешение, может выполнять любые функ­ции над всеми файлами и папками внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать,
а также изменять и удалять файлы и папки внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать файлы
и папки, но не модифицировать или удалять что-либо внутри общего ресурса
Пример на рис. 14.8 демонстрирует доступ Read для группы Everyone. Хотя
вы не видите здесь учетную запись Administrator с какими-то специальны­
ми правами, учтите, что локальные администраторы всегда имеют доступ Full
Control на общих ресурсах компьютера. Если вы хотите изменить разрешения,
предоставив доступ Full Control всем сетевым администраторам, то должны
добавить их группу и назначить ей эти права.
2. Щелкните на кнопке Add (Добавить), чтобы открыть диалоговое окно Select
Users, Computers, Service Accounts, or Groups (Выбор пользователей, компью­
теров, учетных записей служб или групп), представленное на рис. 14.9.

3. Либо введите имя пользователя или группы, подлежащей добавлению, либо
щелкните на кнопке Advanced (Дополнительно), что приведет к отображению
другого диалогового окна Select Users, Computers, Service Accounts, ог Groups
(рис. 14. 10), которое позволяет производить поиск в каталоге.
Можете либо воспользоваться функциями поиска в Active Directory на вклад­ке Common Queries (Общие запросы), чтобы сузить выбор, либо щелкнуть накнопке Find N o w (Найти сейчас), что обеспечит перечисление всех пользовате­лей и групп в каталоге.
4. Найдите желаемую группу (Domain Administrators (Администраторы доме­на) в настоящем примере) и щелкните на кнопке ОК и затем еще раз на кноп­ке ОК. Произойдет возврат обратно на вкладку Share Permissions с отображе­нием и вьщелением добавленной группы Domain Administrators.
5. Отметьте флажок Allow (Разрешить) для разрешения Full Control.
Опять-таки, имейте в виду, что разрешения уровня общего ресурса — это как раз
то, что вы сначала фильтруете для пользователей, обращающихся к файлам через
сеть. Независимо от разрешений, получаемых на уровне общего ресурса, это будет
наивысший уровень разрешений, который вы можете получить для файлов и папок
(как вы помните, применяется наиболее ограничивающий из них). Если вы имеете
права Read на общем ресурсе, но права Ful Control на файле, то общий ресурс не
позволит вам делать что-то кроме чтения.
Действия Allow и Deny
Отмечая флажок Allow (Разрешить) для разрешения Full Control, назначенного
группе Domain Administrators в предыдущем примере, вы наверняка замети­
ли, что для каждого перечисленного разрешения предусмотрен также флажок Deny
(Запретить). Разрешения общего доступа являются, наверное, простейшим набором
разрешений, с которыми вы будете иметь дело, поэтому они хорошо подходят для
объяснения действий Allow и Deny. Вот как они работают.
• Администратор общего ресурса, файла, учетной записи пользователя или че­
го-то еще может изменить разрешения на своем объекте. (На самом деле, это
почти полное определение администратора.)
Существует несколько видов разрешений — Full Control, Change или Read в
случае общих ресурсов. Для любого из них администратор может отметить
флажок Allow или Deny либо же решить снять отметку с обоих флажков, оста­
вив пользователя без Allow или Deny на этом разрешении.
• Если пользователь не имеет разрешения (другими словами, флажки Allow и
Deny не отмечены), то он не получит доступ к объекту.

• Если для разрешения отмечен флажок Allow, пользователь может применить
разрешение, а если флажок Deny, то нет. Мы знаем, что это очевидно, но да­вайте посмотрим, как это проявляется в более сложных ситуациях.

Разрешения для файлов и каталогов

Теперь, когда вы хорошо понимаете опции разрешений уровня общих ресурсов,
можно более детально рассмотреть наборы разрешений для файлов и каталогов.
Эти наборы разрешений, которые обычно называют разрешениями NTFS, позволяют
назначать особые разрешения папкам и файлам внутри общего ресурса.
Такие дополнительные разрешения делают возможным ограничение доступа вплоть до уров­ней папок и файлов общего каталога.
Рекомендуется содержать в актуальном состоянии документацию по разрешени­
ям, которыми вы управляете внутри общего ресурса.
Всякий раз, когда вы вносите изменения в разрешения для файлов и папок, фиксируйте эти изменения в доку­ментации для будущей ссылки и для использования в качестве руководства при уст­ранении проблем с разрешениями, которые возникают в среде.
Особые обстоятель­ства могут потребовать блокировки папок и файлов с ограничением работы с ними только определенными группами доступа или пользователями.
Попытка удержать в памяти все особые разрешения на папках и файлах в крупной среде может превра­титься в настоящий кошмар.
Качественная и ясная документация является настоя­тельной необходимостью, особенно в случае утери наборов настроенных, не унаследованных разрешений, примененных к папкам и файлам, которые должны быть восстановлены из-за повреждения или удаления. Документируйте абсолютно все.
типы разрешений
Прежде чем назначать разрешения файлам и папкам, вы должны хорошо разобраться в том, что собой представля­ют эти разрешения и как они работают.
Имеются два разных уровня разрешений.
Чтобы увидеть высший уровень, пе­рейдите в любую папку NTFS, щелкните на ее имени правой кнопкой мыши, выбе­рите в контекстном меню пункт Properties (Свойства) и в открывшемся диалоговом окне свойств папки щелкните на вкладке Security (Безопасность).
Например,высокоуровневое разрешение List Folder Contents (Список содержимого папки) заключает в себе пять разрешений более низкого уровня: Traverse Folder/Execute File (Траверс папки / Выполнение файла),

List Foder/Read Data (Список папки / Чтение данных), Read Attributes (Чтение атри­бутов), Read Extended Attributes (Чтение расширенных атрибуrов) и Read Permissions (Чтение разрешений). Можете думать о них, как о «молекулярных» и «атомарных» разрешениях. Существует 13 атомарных разрешений пля NTFS. (Другие виды объ­ектов Active Directory, такие как организационные единицы, могут иметь дочерние объекты, поскольку внуrри организационной единицы допускается создавать пользователей и другие организационные единицы.) Все типы объектов AD совместно
используют один и тот же набор атомарных разрешений, даже если они не имеют
к ним никакого отношения — попробуйте предоставить кому-то возможность со­
здания дочерних объектов для объекта групповой политики; польза от этого будет
примерно такой же, как поручение работнику кирпичного завода возможности уста­новки половой принадлежности кирпичей.

Мы начнем с атомарного уровня. Такие разрешения являются строительными
блоками для формирования разрешений, о которых мы обычно говорим — Read,
Modify и Full Control.
Возможно, вы никогда не увидите атомарные разрешения, и тем более не будете ссылаться на них как на самих по себе.
• ‘Iraverse Folder/Execute File (Траверс папки / Выполнение файла). Разрешение
Traverse Folder позволяет обойти все блокировки на более высоких уровнях и
по существу обеспечить себе права уровня 4.
Подобно Execute File, это поле’3-ное разрешение, однако оно ничего не делает в отношении файлов.
Вот что происходит: когда файловая система NTFS проверяет разрешение, она извле­
кает 13 битов.
При просмотре первого бита она выясняет, это файл или папка.
Если объект является файлом, то первый бит интерпретируется как разреше­ние Execute File. Если же это папка, то первый бит трактуется как разрешение Traverse Foder. Вы увидите аналогичное поведение, хотя и в менее экстремаль­ной форме, в ряде других разрешений.
• Ust Folder/Read Data (Список папки / Чтение данных). Разрешение List Folder
позволяет просматривать имена файлов и подпапок внутри папки. Разрешение
Read Data дает возможность просматривать содержимое файла. Это атомарное
право является основным компонентом разрешения Read.
Подумайте о разделении между указанными двумя атомарными разрешениями.
Действительно ли между ними есть много отличий? Да, но вероятно это ненадолго.
Помните те дни, когда мы называли все файлами и каталогами? Теперь обычными
стали термины файл и папка.
Сейчас мы начинаем привыкать к еще одному терми­ну, вступившему в игру: объект. Внутри файловой системы на машине объектами является все — и файлы, и папки. Это атомарное разрешение можно было бы пере­фразировать как чтение обьекта. Независимо от того, к чему оно применяется — к файлу или к папке, — оно дает право исследовать содержимое объекта.

• Read Attributes (Чтение атрибутов). Базовые атрибуты — это свойства файла, та­
кие как Read-Only (Только чтение), Hidden (Скрытый), System (Системный) и
Archive (Архивный). Атомарное разрешение Read Attributes позволяет просмат­
ривать такие атрибуты.
• Read Extended Attributes (Чтение расширенных атрибутов). Определенные про­
граммы поддерживают для своих типов файлов дополнительные атрибуты.
Например, если в вашей системе установлена программа Microsoft Word, и
вы просмотрите атрибуты файла DOC, то увидите все виды атрибутов: Author
(Автор), Subject (Тема). Т!tle (Название) и т.д. Они называются расширенными
атрибутами и варьируются от программы к программе. Атомарное разрешение
Read Extended Attributes позволяет просматривать эти атрибуты.
• Create FilesjWrite Data (Создание файлов / Запись да 1П1ЫХ ). Атомарное разрешение
Сгеаtе Files позволяет помешать новые файлы в папку. Разрешение Write Data
дает возможность перезаписывать существующие данные внутри файла. Это ато­
марное разрешение не позволяет добавлять данные в существующий файл.
• Create Folders/ Append Data (Создание папок / Добавление данных). Разрешение
Сгеаtе Folders дает возможность создавать подпапки внутри папок. Разрешение
Append Data позволяет добавлять данные в конец сушествуюшего файла, но не
изменять данные внутри этого файла.
• Write Attгibutes (Запись атрибутов). Это разрешение позволяет изменять базо­вые атрибуты файла.
• Write Extended Attributes (Запись расширенных атрибутов). Это разрешение позволяет изменять расширенные атрибуты файла.
• Delete Subfolders and Files (Удаление подпапок и файлов). Это довольно стран­ное разрешение. Только подумайте: располагая этим разрешением, вы може­те удалять подпапки и файлы, даже если не имеете разрешения Delete на этих
подпапк.ах и файлах.
Как такое могло стать возможным? Если, забежав вперед,оы почитаете о следующем атомарном разрешении, Delete, то увидите, что
оно позволяет удалять файл или папку.
В чем разница? Представляйте ситуа­цию следующим образом: если вы находитесь в файле или папке, то разреше­ние Delete позволяет удалить этот файл или папку. Но предположим, что вы находитесь в папке и хотите удалить ее содержимое. Атомарное разрешение Delete SuЬfoders and Fies дает вам такое право. Разница между Delete и Delete Subfolders and Files весьма расплывчата. Одно из них позволяет удалить конк­ретный объект, а другое — удалить содержимое этого объекта.
Если вы распола­гаете правом удаления содержимого папки, то не хотите терять это право толь­ко потому, что один объект внутри папки не желает выдавать вам разрешение.
В конце концов, это ваша папка, и вы вольны делать с ней все, что хотите.
• Delete (Удаление). На этот раз все просто и понятно.
Разрешение Delete позво­ляет удалить объект. Или все не так просто и понятно’? Если вы имеете только атомарное разрешение Delete на удаление папки, но не атомарное разрешение Delete Subfolders and Files на удаление подпапок и файлов, и если к одному файлу внутри папки доступ отсутствует, то сможете ли вы удалить эту пап­ку? Нет. Удалить папку не удастся до тех пор, пока она не будет пустой, а это значит, что вам потребуется удалить упомянутый файл.
Но вы не можете удалить этот файл, не имея либо прав Delete мя самого файла, либо прав Delete SuЬfoders апd Files мя родительской папки данного файла.
• Read Permissions (Чтение разрешений).
Атомарное разрешение Read Pennissions позволяет просматривать все разрешения NTFS, ассоциированные с файлом или папкой, но не изменять их.
• Change Permissions (Изменение разрешений). Это атомарное разрешение позАо­
ляет изменять разрешения, назначенные файлу или папке.
• Take Ownership (Получение права владения).
Мы поговорим более подробно о том, что представляет собой право владения и что оно делает, позже в главе, но это атомарное разрешение позволяет получить права владения файлом.
Будучи владельцем, вы имеете неотьемлемое право изменять разрешения. По
умолчанию администраторы всегда могут получать права владения каким-либо
файлом или папкой.
Молекулярные разрешения
Глубокое понимание работы атомарных разрешений, а также понимание того,
как они образуют молекулярные разрешения (см. табл. 14.2), обеспечивает исклю­
чительное осознание сути и функционирования этих молекулярных разрешений. В
настояшем разделе мы постараемся лучше прояснить объединение атомарных раз­
решений, но во время чтения вам придется периодически возвращаться к табл. 14.2.
Приведенная здесь информация сформирует прочную основу, которая поможет уп­
равлять разрешениями в будущем.
• Read (Чтение). Разрешение Read является наиболее базовыми правами. Оно
позволяет просматривать содержимое, разрешения и атрибуты, ассоциирован­ные с объектом. Если объект представляет собой файл, вы можете просматри­вать файл, что включает возможность запуска этого файла, если он оказывает­
ся исполняемой программой. Если объект является папкой, разрешение Read
позволяет просматривать ее содержимое.
А теперь рассмотрим сложную часть, касающуюся чтения папки. Предполо­
жим, что у вас имеется папка, которой вы назначили разрешение Read.
Эта папка содержит подпапку, к которой вы запретили любой доступ, в том чис­ле и чтение. Логично было бы предположить, что вы сможете вообще увидеть
эту подпапку. Однако подnапка, прежде чем вы обратитесь к ее собственным
атрибутам, является частью исходной папки. Поскольку вы можете читать со­держимое исходной папки, то сможете увидеть, что подпапка существует.
Если же вы попытаетесь перейти в эту подпапку, тогда — и только тогда — вы полу­чите сообщение о запрете доступа.
• Write (Запись). Разрешение Write, как бы просто оно не выглядело, таит в себе
ловушку. Для начала, разрешение Write на папке позволяет создавать новый
файл или подпапку внутри этой папки. А что можно сказать о разрешении Write
на файле? Означает ли оно возможность изменения файла? Подумайте, что про­
исходит, когда вы изменяете файл. Для изменения файла вы обычно должны
иметь возможность открыть файл или прочитать файл. Чтобы изменить файл,
разрешение Write должно сопровождаться разрешением Read. Хотя существует
одна лазейка: если вы просто добавляете данные в файл, без необходимости в
его открытии, то достаточно одного лишь разрешения Write. Тем не менее, если
программист написал приложение, открывающее файл в режиме только мя за­
писи, содержимое файла затем усекается без его чтения, после чего происходит
запись в файл, и все это не предполагает чтение файла; таким образом, файл
можно было бы изменить, не прибегая к процессу чтения вообще.
• Read & Execute (Чтение и вьшолнение).
Разрешение Read & Execute идентично
разрешению Read, но предоставляет дополнительную атомарную привилегию
обхода папки.
• Modify (Изменение). Выражаясь просто, разрешение Modify является объедине­
нием разрешений Read & Execute и Write с предоставлением дополнительной
роскоши в виде разрешения Delete. Даже располагая возможностью измене­
ния файла, вы никогда не сможете удалить его. При выборе разрешений для
файлов и папок вы заметите, что если выбрали только разрешение Modify, то
разрешения Read, Read & Execute и Write выбираются автоматически.
• Full Control (Полный доступ). Разрешение Full Control — это комбинация всех
ранее упомянутых разрешений с возможностями изменения разрешений и по­
лучения права владения объектами, к которым оно применено. Разрешение
Full Control также позволяет удалять подпапки и файлы, даже когда эти под­
папки и файлы спеuиально не разрешают их удалять.
• Ust FЬlder Contents (Список содержимого папки). Разрешение List Folder Contents
применяется аналогично разрешению Read & Execute, но предназначено толь­
ко для папок. Разрешение List Folder Contents позволяет просматривать содер­жимое папок. Что более важно, разрешение List Folder Contents наследуется
только папками, и оно видно, только когда просматриваются свойства безо­пасности папок. Это разрешение позволяет взглянуть, какие файлы существу­ют в папке (подобно Read), но не будет применять к этим файлам разрешение Read & Execute.
По сравнению с этим, если вы применили к папке разреше­ние Read & Execute, то будете располагать теми же возможностями просмот­
ра папок и их содержимого, но также сможете распространять права Read &
Execute на файлы внутри этих папок.
• Special Permissions (Особые разрешения). Особые разрешения — это прос­
то настроенная группа атомарных прав, которую вы можете создавать, когда
ни одно из рассмотренных выше стандартных молекулярных разрешений не
подходит в вашей конкретной ситуации. Хотя может показаться, что возмож­
ность Special Permissions было нововведением версии Windows Server 2003,
на самом деле оно существовало в Windows 2000 Server. Просто это средство
не было видимым как молекулярное разрешение. В Windows 2000 Server от­
сутствовал какой-нибудь способ сообщить о том, что папка имеет настро­
енные атомарные разрешения, если только вы не заглядывали на вкладку
Advanced (Дополнительно) диалогового окна свойств безопасности. В Windows
Server 201 2 это можно сделать, посмотрев на флажки Allow/Deny для возмож­
ности Special Permissions, чтобы понять, были ли модифицированы записи уп­
равления доступом (access control entry — АСЕ). Если флажки затенены, тогда
по щелчку на кнопке Advanced (Дополнительно) вы можете просмотреть и от­
редактировать изменения в записях АСЕ.

Унаследованные разрешения
Начиная с ранних редакций Windows Server, существовало средство, которое на­
зывается унаследованными разрешениями. В настоящее время вполне вероятно, что
вы уже привыкли пользоваться этим великолепным средством. Если для файла
или папки установлено наследование разрешений, то сам по себе файл или папка в
действительности не имеет разрешений; просто применяются разрешения родитель­
ской папки. Если родительская папка также наследует разрешения, вы продолжаете
подниматься вверх по цепочке каталогов, пока не столкнетесь с папкой, которой
назначены жесткие разрешения. Не стоит и говорить, что корневой каталог не мо­
жет наследовать разрешения.
Например, предположим, что у вас есть папка по имени APPS, содержащая три
подпапки и файлы.
Все подпапки и файлы допускают наследуемые разрешения.
Если вы назначите папке APPS разрешение Read & Execute для пользователей, то все подпапки и файлы автоматически отразят это новое разрешение. Что если вы хоти­те настроить разрешения для первой подпапки, предоставив пользователям допол­нительную возможность записи? Щелкните на этой папке правой кнопкой мыши, выберите в контекстном меню пункт Properties (Свойства) и в открывшемся диало­говом окне свойств перейдите на вкладку Security (Безопасность), чтобы просмот­реть разрешения, назначенные папке. Если флажки для чего-нибудь, отличного от
Special Pennissions, затенены, вы можете утвержлать, что папка наследует разрешения
у своей родительской папки. Здесь вам понадобится перейти на вкладку Advaпced
(Дополнительно), чтобы увидеть опцию Allow iпheritaЫe permissioпs from pareпt to
propagate to this object апd all child objects (Позволить наследуемым разрешениям от родителя распространяться на этот объект и все
его дочерние объекты).
Эта опция показывает,наследует ли объект разрешения, и позволяет
указать, допускается ли наследование.
Назначение разрешений файлам и папкам
После того как вы поняли, что собой пред­ставляют различные разрешения, назначить
их файлам и папкам будет парой пустяков.
Откройте проводник Windows и выполните следующие шаги.
1. Найдите файл или папку, которой хо­тите назначить права, щелкните на ее
имени правой кнопкой мыши, выбери­те в контекстном меню пункт Properties
(Свойства) и в открывшемся диалого­вом окне перейдите на вкладку Security
(Безопасность). Взгляните на рис. 14. 12.
В верхней части окна показаны группы и пользователи, которым назначены разре­шения, а в нижней части — разрешения, назначенные выбранному пользователю
или группе.
В этом примере вы начинаете с папки APPS. В идеальном случае, т.к. папка предназначена для прило­жений, вы хотите, чтобы все пользователи имели разрешение Read & Execute и не могли изменять, добавлять или удалять что-либо. Также вы хотите оста­вить администраторам полный доступ, чтобы они имели возможность обслу­живать данные. Кроме того, есть группа администраторов базы данных, ко­торым необходимо предоставить права Modify.
Поскольку для групп Users (Пользователи) и Administrators (Администраторы) по умолчанию уже присутствуют записи, вы начнете с добавления группы Database Managers
(Администраторы базы данных) и выдачи ей прав Modify.
2. Щелкните на кнопке Edit (Редактировать) и затем на кнопке Add (Добавить),
в результате чего откроется диалоговое окно Select Users, Computers, Service
Accounts, ог Groups (Выбор пользователей, компьютеров, учетных записей
служб или групп), которое было показано на рис. 14.9.
Здесь вы можете ввести имя пользователя или группы, щелкнуть на кнопке
Advanced (Дополнительно) и затем на кнопке Find Now (Найти сейчас), либо
настроить запрос вручную, подготовив список учетных записей домена.
3. Так как вы знаете имя группы, которую нужно добавить в этом примере
(Database Managers ) , просто введите его в диалоговом окне Select Users,
Computers, Service Accounts, ог Groups и щелкните на кнопке Check Names
(Проверить имена). Выполнится перекрестная проверка на совпадение вруч­
ную введенной записи со списком имен.
4. Как только имя отобразится подчеркнутым, щелкните на кнопке ОК, чтобы
возвратиться на вкладку Security диалогового свойств папки APPS.
После добавления группы Database Managers диалоговое окно должно вы­
глядеть подобным приведенному на рис. 14.13.

БОЛЕЕ БЫСТРОЕ ДОБАВЛЕНИЕ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП
Используя метод из предыдущего примера, можно добавлять сразу множество поль­
зователей и групп.
Когда вы набираете имена вручную, просто введите первое имя,
щелкните на кнопке Check Names и начинайте набирать следующее имя. Если вы
ввели неполное имя до щелчка на кнопке Check Names, вам будет предоставлено
ближайшее соответствие введенной записи.
Если вы решили применять интерфейс поиска в Active Directory, то можете выбрать несколько учетных записей.
Для этого щелкните на первой записи .и затем, удерживая нажатой клавишу , щелкайте на дополнительных записях.
Теперь все, что осталось — назначить корректное разрешение, которым явля­
ется право Modify.
5. Выделите группу Database Managers и отметьте флажок Allow (Разрешить)
для Modify.
Вкладка Security должна выглядеть примерно так, как показано на рис. 14.14.
Поскольку группы Users и Administrators были добавлены по умолчанию,
когда вы создавали общий ресурс, давайте посмотрим на стандартные разре­
шения, примененные к ним, чтобы выяснить, необходимы ли какие-нибудь
корректировки.
6. Щелкните на группе Users; вы увидите диалоговое окно, представленное на
рис. 14.15.
ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УРОВНЕЙ РАЗРЕШЕНИЙ
Вы должны быть осмотрительны при выборе некоторых уровней разрешений. Выбор
Read & Execute включает все права Read, поэтому Read выбирается автоматически.
С другой стороны, если вы хотите очистить Read & Execute, снятие отметки с флаж­ка Allow для Read & Execute не приводит к автоматическому снятию отметки с тако­го флажка для Read.
На рис. 14. 1 5 видно, что группа Users уже имеет ряд стандартных разреше­
ний, в числе которых Read & Execute, List Folder Contents и Read. Вы также за­
метите, что эти разрешения унаследованы, потому что флажки в столбuе Allow
затенены.
Тем не менее, как вы можете помнить, затенение записи Special
Pennissions не означает, что разрешения являются унаследованными (хотя они
и могут быть таковыми).
Затенение здесь указывает лишь на то, что имеются дополнительные записи разрешений, которые можно просмотреть в этом кон­кретном диалоговом окне.
7. Щелкните на кнопке Advanced (Дополнительно), чтобы получить диалоговое
окно Advanced Security Settings for APPS (Расширенные настройки безопаснос­
ти для APPS). Взглянув на рис. 14.16, вы увидите намного более сложную вер­
сию записей разрешений по сравнению с той, что была показана на рис. 14. 15.
Правда, не совсем понятно, почему разработчики из Microsoft решили сначала
отображать своего рода оглавление по разрешениям, а не предоставлять сразу
подробную информаuию.

В списке Permission entries (Записи безопасности) перечислены выбранные груп­
пы и пользователи с описанием их прав. В этом диалоговом окне вы можете отклю­чать наследование, щелкая на кнопке DisaЫe inheritance (Отключить наследование), а также по-прежнему добавлять и удалять записи, щелкая на кнопках Add (Добавить) и Remove (Удалить). Так в чем же разниuа? В этом окне вы получаете больше деталей.

Прежде всего, вы заметите, что одна запись в предшествующем окне разрешений
может стать здесь двумя и более детализированными записями, позволяя четко ви­деть, какие есть права и откуда они унаследованы, и созданы ли записи для данного
ресурса специально вручную. Например, обратите внимание, что группа Users име­ет две записи, которые обе унаследованы от тома. Кроме того, в столбце Applies to
(Применяется к) четко видно, откуда происходят разрешения.
Разумеется, наличие всех этих деталей значительно помогает при поиске и устранении неполадок, т.к. вся необходимая информация собрана в одном месте (точнее, почти вся).
У вас есть возможность приспособить свои расширенные разрешения к атомар­ному уровню, выбрав запись и щелкнув на кнопке Edit (Редактировать). Однако
будьте осторожны. При таком большом количестве разрешений, поступающих из
множества разных мест (и здесь мы даже не учитывали разрешения общего досту­па!), этот процесс легко может привнести путаницу в процедуру устранения непо­ладок. Пытайтесь максимально упрощать свои ресурсы и пользователей, по томам,
по группам или по машинам, и вы существенно облегчите себе жизнь, имея дело с разрешениями.
Чтобы посмотреть, какие права имеет группа Users, и удостовериться в том, что
она получит корректный доступ к папке APPS, выполните следующие шаги.
1. Выберите запись для группы Users с разрешением Read & Execute.
2. Щелкните на кнопке View (Просмотреть) в диалоговом окне Advanced Security
Settings for APPS (Расширенные настройки безопасности для APPS).
3. Щелкните на кнопке Show advanced permissions (Показать расширенные
разрешения) и обратите внимание, что опции здесь затенены.
Если вы повторите те же самые шаги для группы Database Managers, то за­
метите, что теперь вместо кнопки View (Просмотреть) отображается кнопка Edit
(Редактировать).
Почему для группы Database Managers разрешения не затене­ны? Причина в том, что наследование применяется к группе Users, но не к группе
Database Managers. Если вы хотите редактировать разрешения для Users здесь, то
вам придется разорвать наследование и повторно добавить эту группу. На рис. 14.17
показаны атомарные разрешения для группы Users.
На основании точной информации выясняется, что конечным разрешением яв­
ляется Read & Execute. Н и больше и ни меньше; эти пять атомарных разрешений
образуют разрешение Read & Execute. Считайте, что это закон.
НАСЛЕДОВАНИЕ РАЗРЕШЕНИЙ
Вы могли заметить, что раскрывающийся список Applies to (Применяется к) тоже
не доступен для записи группы Users. Это еще один результат наследования.
Наследование удобно трактовать как указание свыше. Такие разрешения будут при­
меняться к данной папке, подпапкам и файлам, если только вы не отключите насле­
дование и не создадите собственные специальные разрешения. Или же вы могли бы
перейти прямо к источнику, поскольку, будучи администратором, вы устанавливаете
правила, когда дело доходит до наследования. Открывая диалоговое окно свойств
для тома и редактируя записи для группы Users, вы можете удалить или модифи­
цировать разрешения; затем вы можете точно указать, где они должны применяться
повсюду на томе, используя кнопку Apply Onto (Применить на).

Обратите внимание на наличие двух записей дЛЯ группы Users.
Стандартныеразрешения в Windows Server 201 2 являются более защищенными, чем в предшест­вующих редакциях сервера. Вспомните, что в Windows 2000 Server группа Everyone имела разрешение Full Control дЛЯ чего угодно!
Давайте исследуем атомарные разрешения мя другой записи группы Users.
1. Если вы по-прежнему видите диалоговое окно, показанное на рис. 14. 17, щел­
кните на кнопке Close (Закрыть) — вам не нужно изменять запись Read &
Execute, т.к. это именно то, что требуется дЛЯ папки APPS.
2. Возвратившись в диалоговое окно Advanced Security Settings for APPS
(Расширенные настройки безопасности мя APPS), шелкните на другой записи
мя группы Users и затем щелкните на кнопке Edit (Редактировать). Откроется
диалоговое окно, представленное на рис. 14. 18.
Стандартные разрешения для группы Users включают возможность создания
файлов и папок на томе, а также возможность записи и добавления данных в фай­
лы, содержащиеся внутри этого тома — конечно, если вы специально не запретите
такую возможность любым конкретным ресурсам на томе. Таким образом, вы име­ете здесь набор разрешений, находящийся между двумя обсуждаемыми ранее груп­пами атомарных разрешений. Первый набор атомарных разрешений, который вы видели мя группы Users, образует молекулярное разрешение Read & Execute. Если
вы добавили эти два атомарных разрешения, то молекулярное разрешение попадет
куда-то между Read & Execute и Modify. Вполне понятно, что разрешение Modify
также включает права Write Attributes, Write Extended Attributes и Delete Subfolders
and Files.

• Во-первых, вам не придется беспокоиться об остальных разрешениях, унасле­
дованных от тома, часть из которых понадобится сохранить. Когда вы удаляете
наследование, вам предоставляется право копировать существующие унаследо­ванные разрешения и затем редактиро­вать их по своему усмотрению.
• Во-вторых, удаляя наследование, вы уст­раняете возможность вывода разрешений
из тома в глобальную область действия,что является довольно удобным средством.
Как упоминалось ранее, если вы можете упростить разрешения, выполняя
работу в глобальной области действия, то сохраните немало времени и усилий.
Чтобы отключить для группы Users воз­можность создания файлов или папок либо записи или добавления данных в папку APPS, просто отметьте флажки Deny (Запретить)
для обеих записей атомарных разрешений(рис. 14. 19) и щелкните на кнопке ОК.
Удаление группы или пользователя
Чтобы удалить запись для группы или пользователя, просто щелкните на кнопке
Permissions for APPS формации для определения полной ис­тории разрешений на основе первона­чального диалогового окна разрешений

Remove (Удалить) в любом диалоговом окне свойств, которые были рассмотрены
ранее. Если пользователь или группа присутствует по причине наследования, кноп­
ка Remove будет недоступной, и вам придется отключить наследование, щелкнув на кнопке DisaЫe inheritance (Отключить наследование).
Использование детализированноrо интерфейса для получения полной истории
Взгляните на рис. 14. 19. Помните это диалоговое окно? Мы напомним вам кое­
что, о чем говорилось ранее касательно интерфейсов, применяемых для управления
разрешениями NTFS: это окно не предоставляет достаточного объеiа информации,
из-за чего возникают затруднения. Если вы решили отключить наследование, чтобы
избавиться разрешения Write для группы Users, и для этого щелкнули на кнопке
Remove (Удалить) в данном диалоговом окне, то тем самым вы удалили обе записи
для группы Users, которые видели на рис. 14. 16.
К тому же, если вы используете это окно для добавления учетной записи пользователя или группы, то будете иметь возможность отметки только флажков для молекулярных разрешений, которые здесь видны — вы не сможете точно указать, где эти разрешения должны применяться с использованием наследования. Чтобы сделать это, вам пришлось бы перейти в диа­логовое окно, показанное на рис. 14.16. Лучше всего пропустить это излишнее диа­логовое окно и перейти непосредственно к детализированному представлению.
Это позволит получить полную историю с самого начала.
Конфликтующие разрешения
Разрешения можно назначать файлам, а также папкам.
Точно так же, как разре­шения общего доступа могут вступать в противоречие с разрешениями для файлов и папок, разрешения для файлов могут конфликтовать с разрешениями для папок.
В конфликтах на уровне общего доступа преимущество получают разрешения об­щего доступа; если же в противоречие вступают разрешения для файлов и папок,
то предпочтение отдается разрешениям для файлов. Разрешения общего доступа
устанавливают максимально допустимый доступ, так что если разрешением обще­
го доступа является Read, а разрешением NTFS — Write, то результатом окажется
разрешение Read. Если вы назначите папке права только для чтения, но какому-то
файлу внутри этой папки — права на изменение, то все равно будете иметь возмож­
ность изменять этот файл.
Множество разрешений
А теперь поговорим о еще одной проблеме. Вы предоставили группе
Administrators полный контроль над папкой APPS, а группа Everyone имеет
только разрешение Read & Execute. Вот где разрешения снова вступают в конфликт.
Группа Everyone содержит пользователей, не так ли? Даже а)Iминистраторы явля­
ются пользователями. Хм. Как же это работает? Дело в том, что при наличии не­
скольких разрешений преимущество получит наименее ограничивающее разрешение
при условии, что в игру не вовлечены разрешения общего доступа.
Предположим,что у вас есть администратор Боб. Он входит в состав группы Users, которая име­ет права доступа только для чтения к какому-то файлу. Боб также является членом группы Administrators, имеющей полный доступ. В таком случае Боб получит
полный доступ, т.к. это разрешение наименее ограничивающее.
Разрешения Deny
Ранее мы говорили о разрешениях Deny в связи с общими ресурсами и кратко
рассматривали последствия наследования разрешений в отношении к действиям
Alow и Deny. То же самое применимо к разрешениям файлов и папок, но чуть более
сложным способом из-за большего количества параметров безопасности. Подумайте
о файле электронной таблиuы с назначением премий внутри корпорашш. кото­рый вы пытаетесь зашитить.
Вы хотите, чтобы все видели этот файл. но изменять его содержимое могли только менеджеры. Это имеет смысл: предоставьте группе Employees (Сотрудники) права на чтение, а группе Managers (Менеджеры) — пол­ный доступ. Предположим, что где-то по пути какой-то руководитель низшего звена попадает в обе группы.
По одним меркам эта персона должна быть частью группы Иanagers, тогда как по другим — входить в состав группы Employees.
Если вы ос­тавите только что описанные разрешения, данный руководитель получит лучшее из двух миров в отношении файла электронной таблицы — полный доступ. По этой
причине вы принимаете решение о том, что члены группы Employees не должны
явно иметь полный доступ. И как теперь поступить?
Все довольно просто: запретите это чрезмерное разрешение.
Вам потребуется определить, какие разрешения не должны иметь сотрудники, и отметить для этих разрешений флажки в столбце Deny (Запретить); таким методом вы можете гаранти­ровать, что сотрудники будут располагать только правами Read. Чтобы сделать это, выполните следующие шаги.
1. Щелкните на имени файла правой кнопкой мыши и выберите в контекстном
меню пункт Properties (Свойства).
2. В открывшемся диалоговом окне свойств перейдите на вкладку Security
(Безопасность) и щелкните на кнопке Advanced (Дополнительно). (Вспомнили
интерфейс, представленный на рис. 14.15?)
3. Выделите запись для группы Employees (Сотрудники) и щелкните на кноп­
ке Edit (Редактировать), что позволит модифиuировать атомарные разрешения
для файла электронной таблицы.
4. В раскрывающемся списке Туре (Тип) выберите элемент Deny (Запретить) и
затем щелкните на ссылке Show advanced permissions (Показать расширенные
разрешения).
5. Отметьте флажки для разрешений, как показано на рис. 14.20.
Вы должны отдельно отметить флажки для каждого разрешения. Однако если
вы отметите флажок Full Control (Полный доступ), то отметятся все остальные
флажки, т.к. Full Control включает все разрешения. В этом примере нас интере­
сует включение разрешения Read и отключение разрешения Write.
6. Щелкните на кнопке ОК, чтобы новые разрешения вступили в силу.
Вы получите предупреждение, сообщающее о том, что разрешения Deny перео­
пределят разрешения Allow. Теперь в сuенарии с несколькими разрешениями пре­
имущества получают разрешения Dепу, и даже с учетом того, что упомянутый ранее руководитель имеет членство в обеих группах Managers и Employees, его права бу­дут ограничены посредством Deny.

В диалоговом окне Advanced Security Settings обратите внимание на наличие двух
записей для группы Employees: одна для разрешения Deny и одна для разрешения
Allow. Они больше не объединяются в единое целое, как вы привыкли видеть в вы­
пусках Windows Server, предшествующих Windows Server 2008.
Действующие разрешения
Что будет конечным результатом всех этих разрешений, если одни из них насле­
дуются, другие — нет, некоторые применяются к пользователям, а некоторые — к
группам? Кто и что сможет делать с теми или иными файлами? Как выяснить, ка­
ким будет результат всех имеющихся разрешений для любой группы, пользователя
или объекта? В состав Windows Server 2012 включен инструмент, который позволяет
вычислить действующий доступ для любого отдельного пользователя или группы
на заданном объекте. Взгляните на диалоговое окно, представленное на рис. 14.21 .
И снова это диалоговое окно расширенных настроек безопасности для папки APPS,
которое к настоящему времени вы должны хорошо знать.
Вспомните, что администраторы имеют разрешение Full Control, администраторы базы данных — разрешениеModify, а пользователи — разрешение Read & Execute.
Чтобы увидеть, как в точности работают все эти разрешения, перейдите на вклад­
ку Effective Access (Действующий доступ), которая показана на рис. 14.22. В выпуске
Windows Server 2012 R2 эта вкладка порядком изменилась.
Новая вкладка Effective Access теперь позволяет легко просматривать уровень доступа пользователя илигруппы к любым локальным или присоединенным к домену машинам или группам.
Вы можете выбрать локального или сетевого пользователя, включить в запрос членс­тво в группах этого пользователя и просмотреть действующий доступ в отношении другой группы или сервера.
В следующем примере можно видеть действующие раз­решения для группы Database Managers на тестовом сервере BFl.
Действующим_доступом является Modify, как было установлено в предшествующих упражнениях.
Конечно, для просмотра разрешений на любом проверяемом ресурсе необходимо
располагать соответствующими правами, и существуют ограничения в плане фак­
торов, которые используются для определения действующего доступа. Например,
вы можете не иметь возможности просмотра разрешений для каждого пользователя или группы. Рассмотрим локальную группу Users на сервере по имени Storage,
на котором находится общий ресурс APPS. Из-за того, •по этот сервер является
членом домена Active Directory, глобальная группа под названием Doma in Users
(Пользователи домена) автоматически вкладывается внутрь локальной группы
Users. Чтобы просмотреть действующие разрешения на локальной группе Users,
понадобится выполнить перечисленные ниже действия на вкладке Effective Access
диалогового окна Advanced Security Settings for APPS (Расширенные настройки безо­
пасности для APPS).
1. Щелкните на ссылке Select а user (Выбрать пользователя) или Select а
device (Выбрать устройство) и затем щелкните на кнопке Location (Место­
положение).
2. Выберите локальное местоположение по имени Storage (в отличие от ката­
лога).
Поскольку группа Domain Users вложена в локальную группу Users, пользова­
тели домена имеют те же самые права для папки за исключением существования
любого другого набора разрешений, который конфликтовал бы с ними. Но когда вы
попытаетесь получить действующие разрешения для группы Domain Users с помо­
щью этого инструмента, обнаружится отсутствие доступа, т.к. данный инструмент
не умеет вычислять действующие разрешения для групп домена, вложенных в ло­
кальные группы.
Безусловно, это ограничивает эффективность инструмента, но вы по-прежнему
можете применять его при вычислении множества записей АСЕ для пользователя
или группы, как было продемонстрировано в предыдушем примере.
право владения
В процессе назначения и отзыва разрешений вы обязательно столкнетесь с про­
блемой, когда никто, включая администраторов, не может получить доступ к фай­
лу. И вы не можете изменить разрешения файла, потому что для этого необходимы
определенные разрешения. Ситуация зачастую оказывается действительно трудной.
К счастью, помочь здесь может право владения.
Каждый объект имеет атрибут, который называется владелец (owner). Владелец
полностью отделен от разрешений. Для каждого объекта всегда будет существовать
некоторый владелец. Но чем это может помо•1ь? Дело в том, что владелец объекта
обладает специальной привилегией — возможностью назначения разрешений.
Получение права владения файлом или папкой — относительно простая задача
при условии, что учетная запись, используемая для изменения права владения, име­
ет полный доступ на желаемом ресурсе. Возвратившись обратно к рис. 14. 16, вы за­метите поле Owner (Владелец}, расположенное ниже поля Name (Имя). Вы также об­наружите рядом ссылку Change (Изменить); если она недоступна, значит, вы вошли с учетной записью, которая не имеет привилегии на изменение права владения. По щелчку на ссылке Change откроется диалоговое окно Select User (Выбор пользовате­ля}, позволяющее назначить право владения другому пользователю или группе.
На корпоративном общем ресурсе в производственной среде имеет смысл обес­печить права владения всеми его файлами и папками для учетной записи с повы­шенными полномочиями, контролируемой персоналом из IТ-отдела, или точ­нее — учетной записи службы уровня хранилища. Наиболее интенсивно такая конфигурация применяется целей резервного копирования и восстановления.
Некоторые файловые системы не позволяют восстанавливать файлы, для которых
отсуствуют разрешения на это действие.
Представьте себе попытку восстановления общего ресурса, на котором пользователи сделали себя владельцами папок и файлов, удалив весь остальной доступ. Такие папки или файлы окажутся невосстановимы­ми никем кроме своего владельца. Это укрепляет хорошую стратегию подпержания строгих и управляемых разрешений повсеместно в среде из одного контролируемого централизованного места.

Работа со скрытыми общими ресурсами

После открытия общего доступа к папке из
сети она становится видимой сооб­ществу пользователей. Но что, если вы не хотите, чтобы общий ресурс могли ви­деть абсолютно все? Например, мы создали на сервере общий ресурс с исходными
дистрибутивами, чтобы всякий раз, когда мы находимся на рабочей станции пользователя, была возможность устанавливать любые приложения без необходимости
в захватывании с собой компакт-дисков.
На самом деле это сделано для удобства, но в то же время мы не хотим, чтобы пользователи могли заходить на данный об­щий ресурс и устанавливать любые приложения, которые им попадутся на глаза.
Несомненно, мы могли бы ограниt1ить общий ресурс, предоставив разрешения на
доступ к нему только себе, но это также требует определенных усилий.
Мы вовсе не хотим выходить из системы пользователя и заходить под своей учетной записью при каждом выполнении установки, особенно когда задействуются профили поль­зователей.
В такой ситуации может помочь создание скрытых общих ресурсов.
Мы хотим, чтобы общий ресурс существовал и был доступным, но просто не так легко
обнаруживался. Хотя это и не полностью защищенное решение, оно является сдер­живающим фактором против чрезмерно любопытных пользователей.
Чтобы создать скрытый обший ресурс, откройте общий доступ к папке обычным
образом, но добавьте в конец имени нового общего ресурса знак доллара.
Вот и все.
Теперь, когда сервер регистрирует информацию для списка доступных ресурсов, он
просто не будет включать в него этот скрытый общий ресурс.
Давайте посмотрим, как создать общий ресурс по имени INSTALL$, который со­
ответствует папке I : Install.
1 . Создайте общий ресурс, как это делается обычно, но назовите его INSTALL$, а
не INSTALL (рис. 14.2 3 ).
2. Выберите разрешения, чтобы позволить доступ только администраторам

Теперь из клиентских рабочих станций вы не увидите общего ресурса INSTALL$
в списке доступных ресурсов, но по-прежнему сможете вручную отображать
диск на ресурс INSTALL$ с целью дальнейшего подключения к нему.
3. Выберите имя общего ресурса в консоли Computer Management
Хотя скрытый общий ресурс не будет отображаться в списке доступных ресурсов
внуrри проводника Windows, он будет видимым через консоль Computer Management.
Это помогает помнить о том, какие скрытые общие ресурсы были созданы.

Исследование распределенной файловой системы

Что собой представляет распределенная файловая система (Distributed File
System — DFS)? Благодаря DFS вы можете создавать единственный общий ресурс,
который заключает в себе каждый ресурс, основанный на файловом общем ресурсе,
внутри сети. Думайте о нем, как о доме для всех общих файловых ресурсов в сети со
страницей «ссылок», указывающих клиентам на отдельный сервер или серверы, где
действительно размещены эти общие ресурсы. Вы можете иметь общие ресурсы, ко­торые охватывают целый мир.
Сгруппируйте всех их вместе под одним пространством
имен и откройте пользовательской базе общий доступ к этому пространству имен.
чтобы сделать возможным дружественный к пользователям, централизованный метод
общего доступа к ресурсам.
Продвигаясь на шаг дальше, файловая система DFS мо­жет реплицировать изменения в общие ресурсы на любых серверах, которые ямяются членами группы репликации, сохраняя все эти серверы в актуальном состоянии.
В Windows Server 2012 применяются две технологии.
• DFS Namespaces (Пространства имен DFS). Компонент DFS Namespaces пре­
доставляет возможность группировать общие папки, находящиеся на разных
сайтах и серверах, в одно или несколько логически структурированных про­
странств имен. Пространство имен затем представляется пользователю в виде
единой общей папки, состоящей из множества подпапок, как если бы все они
располагались в локальном катаге.
Это великолепная функциональность,
которая делает возможным централизованный метод управления и использо­
вания общих ресурсов на большом числе физически отдельных серверов или
местоположений сайтов. Такая структура повышает готовность и автоматичес­
ки подключает пользователей к общим папкам внутри того же самого сайта
Active Directory Domain Services, когда они доступны, вместо их маршрутиза­
ции по каналам WAN.
• DFS Replication (Репликация DFS). Компонент DFS Replication — это эффек­тивный механизм репликации с несколькими хозяевами, который можно
применять ДЯ поддержания папок в синхронизированном состоянии между
серверами через сетевые подключения с ограниченной пропускной способностью. Репликация DFS может происходить среди множества сайтов и серверов,
находящихся внутри одного и того же леса. Компонент DFS Replication ис­
пользует удаленное разностное сжатие (remote ditТerential compression — RDC)
ДЛЯ определения и репликации только изменившихся блоков данных файла.
Компонент DFS Replication работает рука об руку с новыми средствами дедуп­ликации данных (Data Deduplication), премагаемыми в Windows Server 2012 R2.
Будучи интегрированным с той же самой технологией хранилища уровня бло­ков, компонент DFS Replication поддерживает репликацию папок и файлов, расположенных на томах, ДЯ которых включена дедупликация.
Применение дедупликации ДЯ снижения требований к хранилищу в файловой системе
NTFS не оказывает никакого неблагоприятного влияния на репликацию DFS.
Прежде чем можно будет пользоваться этими средствами, на сервер понадобится
добавить новые роли — DFS Namespaces и DFS Replication. Добавьте их с помощью
мастера добавления ролей и компонентов (Add Roles and Features Wizard) в диспет­чере серверов (рис. 14.26).
Существует несколько дополнительных требований, которые необходимо при­
нять во внимание до запуска DFS. Чтобы можно было успешно развернуть DFS
Replication в имеющейся среде, серверы должны быть сконфигурированы так, как
описано ниже.
• Все серверы, которые вы хотите сделать членами группы репликации, должны
иметь установленную роль DFS Replication.
• Вы должны удостовериться, что применяемое антивирусное программное
обеспечение совместимо с DFS Replication.

• Все серверы-члены должны находиться внутри одного и того же леса. Компо­
нент DFS Repication хорошо работает между доменами, но пока что не подде­
рживает репликацию между лесами.
• Удостоверьтесь в том, что схема АО DS актуальна и соответствует всем подхо­
дящим дополнениям схемы в данной редакции сервера. В Windows Server 2012
R2 такая актуальность соблюдена.
• Учтите, что компонент DFS Replication не поддерживает файловые системы
FAT и Resilient File System (ReFS), а также не работает с данными, которые хра­
нятся на кластеризированных общих томах. Чтобы репликация между сервера­ми поддерживалась, данные должны находиться в файловой системе NTFS.

3. Запустите следующую команду для создания отдельного пространства имен DFS:
PS С : > New-DfsnRoot -TargetPath «\Test-FSSoftware» -Туре Standalone
-EnaЬleSiteCosting -Path «\TestSoftware»
4. Чтобы просмотреть доступные новые командлеты PowerShell в Windows
Server 2012 R2, предназначенные для DFS, выполните такую команду:
PS С: > Get-Command -Module DFS

Терминология, связанная с DFS

Прежде чем двигаться дальше, необходимо освоить терминологию, связанную с
DFS. Как и в случае Active Directory, здесь в игру вступает целый новый набор кон­цепций.
Вы начинаете с корня (root). Его можно приблизительно трактовать как общий
ресурс, который будет видимым для сети. В нашем примере корнем является APPS.
Внутри сайта можно иметь много корней, и в Windows Server 2012 один сервер мо­
жет содержать более одного корня подобно тому, как это было в Windows Server 2008.
Корень открывается для общего доступа из сети и в действительности функциони­
рует подобно любому другому общему ресурсу. Внутри общей папки можно иметь
дополнительные файлы и папки.
Под корнем вы добавляете ссылки DFS (DFS link). Ссылка — это другой общий
ресурс где-то в сети, который помещен под корень.
Термин ссылка является частьюбесконечного смешения терминологии. В этом случае, похоже, мы сместились в сторону терминологии Интернета.
Представляйте корень DFS как домашнюю веб­-страницу, содержащую ничего кроме имени и множества ссьшок на другие веб-стра­ницы. Ссылки внутри иерархии DFS подобны гиперссылкам на веб-странице, ко­торые автоматически направляют в новое местоположение. Вы, как пользователь,
не обязаны знать, куда ведут эти ссылки, до тех пор, пока вы получаете искомую
веб-страницу. После нахождения домашней страницы (корня DFS) посредством
этих rиперссьшок (ссылок DFS) вы будете направлены на любой желаемый веб-сайт
(общий ресурс).
Цель (target) или реплика (replica) может направляться либо на корень, ,1ибо на
ссьшку. При наличии в сети двух идентичных обших ресурсов, обычно нахоляшихся
на разных серверах, их можно сгруппировать вместе внутри одной и той же ссыл­
ки в виде целей DFS. Вы также можете реплицировать целый корень — т.е. оглавле­
ние — в качестве члена реплики корня. После того как цели сконфигурированы для
реГLJiикации, служба репликации файлов (File Replication Service) поддерживает со­
держимое корней в синхронизированном состоянии.

Выбор между автономной и доменной файловой системой DFS

Перед тем, как приступать к созданию системы DFS, вы должны решить, какой
вид файловой системы DFS вам необходим. Это решение главным образом будет
основано на том, имеется ли Active Directory. Большое отличие будет касаться корня
DFS. В файловой системе DFS, основанной на Active Directory или на домене, сам
корень может иметь реплики. Другими словами, единая точка отказа — корень —
рассредоточивается по Active Directory.
Если используются реплики корня, то при наличии, скажем, 27 серверов, размещающих Active Directory, вы будете иметь 27 мест, где будет находиться информация DFS.
Надо заметить, что это не вся инфор­мация но ее вполне достаточно для указания клиентам на одну из реплик корня
DFS. Благодаря этому, до тех пор, пока служба Active Directory функционирует и до­ступна, доступной будет также и файловая система DFS. Кроме того, будучи интег­
рированными в Active Directory, реплики ссылок могут быть сконфигурированы для
применения автоматической репликации.

DFS и вы
Мы начали эту главу с совета насчет того, что вы должны взглянуть или начать поль­
зоваться файловой системой DFS. Ладно, позвольте нам поведать короткую историю
о том, как однажды сервер прекратил свое существование. Просто почитайте и осоз­
найте, почему применение DFS может сберечь критически важные файлы и сокра­
тить время, требуемое для восстановления файлов и/или папок.
Как-то раз несколько лет назад один из авторов этой книги в завершение рабо•1его
дня исследовал журналы событий на своих серверах. Казалось, что все было в поряд­
ке, поэтому он поехал в направлении к дому, до которого было около 45 миль. Когда
до дома оставалось минут 1 5, он получил на пейджер сообщение от лица, занимаю­
щегося поддержкой во второй половине дня, которое гласило, что главный сервер на
одной из площадок прекратил работу и не удается войти в систему или увидеть его с
помощью команды ping.
Опасаясь худшего, автор развернул машину обратно лишь для того, чтобы по прибытии увидеть, что производственная деятельность продолжа­ется и ничего не требуется предпринимать. Критически важные файлы, необходи­мые для работы в ту ночь, были позаимствованы из другого сервера.
На следующий день сервер был восстановлен (как оказалось, причиной бьша пробле­
ма с материнской платой) и компания не подверглась простою. Время, которое пот­ребовалось бы для восстановления из резервной копии, вдвое бы превышало среднее время для восстановления (шеаn tiшe to restore — MTTR) и стоило бы миллионов долларов производственных потерь.
Эта цена включала бы людей, которые не смогли работать на предприятии из-за отсутствия данных. Если вы хотите сохранить данные в деле, освойте, как следует, функционирование файловой системы DFS.
При автоматической репликации служба репликации файлов (File Replication
Service) принимает на себя задачу синхронизации содержимого реплицированных
файлов, обеспечивая наличие во всех репликах одной и той же информации. Можно
с уверенностью утверждать, что если вы имеете домен Active Directory, то должны
выбрать файловую систему DFS, основанную на домене.
Но у файловой системы DFS, основанной на домене, есть действительно инте­
ресная особенность. Если вы размещаете DFS в домене Active Directory под назва­
нием test . com, то помимо того, что пользователи не обязаны знать, на каком сер­
вере находится конкретный общий ресурс, они даже не нуждаются в информации
о том, на каком сервере располагается сама файловая система DFS.
Вместо отобра­жения диска на \имя_ сервера имя_ DFS пользователи могли бы отображать диск на test . comимя_DFS.
Теперь, используя ту же самую логику, которую клиент применял для нахождения доступного контроллера домена Active Directory, клиент может искать хает DFS. Если один хает отказал, клиент просто обращается к друго­му хосту.
Файловая система DFS, основанная на домене, автоматически публикует свою
топологию в Active Directory.
Это означает, что действительная иерархия DFS — корни, ссьшки и цели — публикуется в Active Directory, так что все контроллеры до­мена будут знать, где находится DFS, как она выглядит и каким образом перейти к ней. Это вовсе не значит, что каждый контроллер домена является сервером реплик корня DFS.

Если вы добрались до этого места, то вероятно не располагаете Active Directory,
чтобы публикация стала возможной. А как насчет сетей, не основанных на AD?
Большинство компаний перешли на Active Diгectory. Большинство из них устано­
вили местами, по меньшей мере, несколько серверов-членов. Для тех компаний,
которые не прошли через процесс миграции, технология DFS предЛагает расшире­
ние базового файлового сервера, которое позволяет предприятию выйти за пределы
физических границ и перейти в более дружественное к пользователю и управляемое
состояние.
Автономная файловая система DFS является крупным шагом вперед в направ­
лении мира файловых общих ресурсов из предшествующих версий Windows Server,
не требуя предварительного развертывания Active Directory. В автономной файловой
системе DFS вы не получите высокой отказоустойчивости самого корня, автомати­
ческой репликации и опубликования DFS в Active Directory. Но вы все равно полу­
чите в свое распоряжение остальные удобства, такие как объединение всех сетевых
обших ресурсов в единое пространство имен и в конечном итоге устранение зави­
симости от имен физических серверов и местоположений, когда пользователи на­
чнут обращаться к своим ресурсам. Чуть позже мы обсудим, как извлечь пользу от
привносимых DFS преимуществ в практической среде с или без Active Directory, но
сначала давайте посмотрим, как все это построить.
Предположим, что в сети имеется следующий набор общих ресурсов.
Путь UNC
\DClAPPS
\RC::SOURCElAPPS
\STORAGESALES
\STORAGE2USERS
\STORAGEFINANCE
\RESOURCE2APP2
От об ражение
у пол ьз ователей
G :
G :
S :
Н :
Q :
Р :
Описание ресурса
Все общие приложения
Те же приложения, что и в DCl APPS
Корпоративные данные о продажах
Все пользовательские каталоги
Корпоративные данные о финансах
Смешанные приложения
Это может вызвать настоящую головную боль у пользователей (не говоря уже
об администраторах), которым придется помнить, куда необходимо переходить для
подключения ко всем перечисленным ресурсам. Ресурсы размешены на пяти раз­
ных серверах. Вдобаоок, если клиенту нужно получит доступ одновременно к ре­
сурсам APPS, SALES, USERS и FINANCE, ему потребуется сделать четыре разных
подключения. Да, четыре подключения зоучит не так уж устрашаюше, но мы имели
дело с крупными сетями, где клиентам попросту не хватало доступных букв дис­
ков дЛЯ отображения на очередной общий ресурс; каждая буква от А до z была на
что-то отображена. Вам также придется помнить, какие клиенты подключаются к
DCl APPS, а какие — к RESOURCEl APPS, которые представляют собой иден­
тичные общие ресурсы, размещенные на двух разных серверах. Опять-таки, это не
является большой проблемой в данном конкретном примере, но при наличии, ска­
жем, 50 серверов, содержащих тот же самый набор APPS, их отслеживание станет
настоящим кошмаром.

ПРЕИМУЩЕСТВА DFS
Как вы, вероятно, уже поняли, файловая система DFS наиболее выгодна на крупных
предприятиях, и ее развертывание в небольших сетях может не стоить приложенных
усилий.
А теперь давайте рассмотрим этот же сценарий, но в DFS. Вы будете иметь один
корень DFS (под названием Corp) с перечисленными внутри него всеми корпора­
тивными общими ресурсами.

Создание корня DFS

В качестве типа корня DFS можно выбрать доменный корень или автономный ко­
рень. Доменный корень опубликует себя в Active Directory, в то время как автономный
корень — нет. Это фундаментальное отличие является решающим фактором того, ка­
кой объем функциональности вы получите. Имейте в виду, что доменный корень DFS
должен располагаться на контроллере домена, поэтому предполагается наличие Active
Directory. Одно из наиболее важных преимуществ возможности публикации в Active
Directory заключается в том, что доменные корни моrут иметь реплики, а реплика
корня позволяет хранить этот корень на любом контроллере домена, что значи­
тельно повышает отказоустойчивость. Поскольку корни требуют для реплик такого
уровня наличие среды Active Directory, автономные корни не могут иметь реплики.
В следующем упражнении мы будем использовать тестовый сервер BFl в качестве
сервера пространства имен, и выберем эту опцию на соответствующем этапе.
Начнем с открытия окна DFS Management (Управление DFS), показанного на
рис. 14.27, чтобы приступить к работе с функциями DFS, которые мы вскоре опи­шем.

Создать новое пространство имен в окне DFS Management можно двумя путями.
Можно выбрать в меню Actioп (Действие) пункт New Namespace (Создать пространс­
тво имен) или же можно щелкнуть правой кнопкой мыши на элементе Namespaces
(Пространства имен) и выбрать в контекстном меню такой же пункт. В результате
запустится мастер создания пространства имен (New Namespace Wizard), который
проведет вас через весь проuесс.
1 . Щелкнув на кнопке Browse (Обзор), найдите нужный сервер или введите его
имя напрямую
Мы рекомендуем пользоваться мастерами до тех пор, пока вы не освоитесь с процессом ; эта рекомендация справемива для всех редакций Windows Server 2012.
2. Назначьте имя пространству имен, как показано на рис. 14.29. Это имя будет
появляться после имени сервера, и вдобавок применяться в качестве имени
для коллекuии файлов и папок, добавленных в пространство имен.
Теперь необходимо указать тип создаваемого пространства имен.
На выбор до­ступно пространство имен, основанное на домене, и автономное пространство
имен. Пространство имен, основанное на домене, допускает хранение на од­ном и более серверов пространств имен. Автономное пространство имен пред­полагает его размещение на единственном сервере пространств имен.
3. В данном примере выберите на экране Namespace Туре (Тип пространство
имен) автономное пространство имен (рис. 14.30). Позже вы сможете добавить
в него файлы и папки.

На последнем экране, Review Settings and Create Namespace (Просмотр настро­ек и создание пространства имен), отображаются все настройки, которые не­обходимо подтвердить, чтобы пространство имен было создано (рис. 14.31 ).
4. Если настройки выбраны правильно, щелкните на кнопке Create (Создать),
чтобы создать пространство имен. Отобразится экран Confirmation (Под­тверждение), приведенный на рис. 14.32.

Процесс создания пространства имен может занять некоторое время; однако,
после его завершения вы уже довольно далеко продвинулись в решении задачи
сбора файлов и папок в одном логически общем месте внутри серверной среды с
единственным именем, упрощающим к нему доступ. В области Shares (Общие ре­
сурсы) окна диспетчера серверов вы увидите созданную папку Corp с локальным
путем с : DFSRoots Corp

добавление ссылок в корень DFS

Внутрь одного общего корня можно добавлять ссылки или файлы и папки.
Для этого понадобится щелкнуть на пункте контекстного меню Add Folder Target
(Добавить конечный объект папки) и добавить все желаемые файлы и папки. Итак,
давайте создадим новую папку и добавим в нее конечные файлы и папки.
В качестве демонстрации создадим новую папку внутри пространства имен
Corp.
1 . Находясь в консоли DFS Management, щелкните на пункте New Folder (Создать
папку) в области Actions (Действия) справа и назначьте ей имя.
2. Теперь добавьте конечные объекты папок. Для этого щелкните на новой пап­
ке правой кнопкой мыши и выберите в контекстном меню пункт Add Folder
Target (Добавить конечный объект папки). В открывшемся диалоговом окне
Add Folder Target (Добавление конечного объекта папки) щелкните на кноп­
ке Browse (Обзор), укажите нужную папку и щелкните на кнопке ОК. На
рис. 14.34 показано диалоговое окно Browse for Shared Folders (Просмотр от­
крытых папок). В случае использования разных серверов их имена будут изме­
няться после ; тем не менее, в этом примере мы имеем дело только с одним
сервером, т.к. выбрали автономный режим. Если применяется режим, осно­
ванный на домене, мы указали бы только один конечный объект папки.

Рис. 14.34. Диалоговое окно Browse for Shared Folders
3. Щелкните на кнопке ОК. Поскольку для новой папки еще не создана группа
репликации, сделайте это сейчас.
Однако учтите, что DFS не является новым типом файлового сервера.
В опреде­ленном смысле это вообще не файловый сервер — напротив, это метод размещения
своего рода «оглавления» дЛЯ группы существующих общих файловых ресурсов и
указание клиентам на этот источник информации, когда они нуждаются в подклю­чении к общему ресурсу, на который есть ссылка в данном оглавлении.
Файловая система DFS вовсе не создает самостоятельно общие файловые ресурсы; сначала вы должны создать все общие файловые ресурсы на различных серверах и только за­тем использовать DFS дЛЯ привнесения в них определенного порядка.
Чтобы под­черкнуть этот момент, вот еще один факт о DFS: общие файловые ресурсы не обя­зательно должны быть общими файловыми ресурсами Windows NТ, Windows Seiver
2003 или Windows Seiver 2008.
При наличии на компьютере клиентского програм­много обеспечения для Unix NFS, Banyan VINES и Novell NetWare вы могли бы со­здать «общий ресурс» DFS, указывающий только на тома NFS, VINES и NetWare!
Файловая система NFS будет рассматриваться следующей, но прежде нужно закон­чить с DFS.
Но не значит ли это, что новый корень DFS, т.е. «оглавление», образует новую
единую точку отказа? Если один сервер, на котором находится корень — место, куда
все пользователи обращаются за своими ресурсами — перестанет функционировать,
то и пользователи утратят возможность работы, не так ли? Не обязательно.
В соче­тании с Active Directory корни DFS можно сделать отказоустойчивыми. Вместо размещения реального, физического корня на одном сервере он может быть сохранен
в среде Active Directory, поддерживаемой всеми контроллерами домена. После этого,
если один из серверов, содержащих корень — в Active Directory — потерпит отказ,
пользователи будут автоматически направлены в другое местоположение дЛЯ извле­чения информации корня безо всякой заминки.

Мы еще раз подчеркиваем функцию DFS. Отказоустойчивость DFS не означает
резервное копирование данных в общих файловых ресурсах. Она лишь означает ре­зервное копирование «оглавления», предлагаемого корнем DFS. Если компьютер,
на котором размещен корень DFS, перестанет работать (приносим свои извинения
за постоянное акцентирование внимания на этом моменте, но вполне реально, что
машина, хранящая корень DFS, не содержит ни единого байта из общих файлов, а
только указатели на серверы, где размещены такие файлы), то найдется другой компьютер, который возьмет на себя роль «сервера оглавления» или, выражаясь языком
Windows Server 2012, корня DFS.

конфигурирование репликации DFS

Можете ли вы как-то защитить общие файловые ресурсы и их данные путем
внедрения определенного вида отказоустойчивости? Да, это можно сделать с помо­щью репликации.
1. Откройте консоль DFS Management и щелкните на узле Replication (Реплика­ция) внутри узла Namespaces (Пространства имен), как показано на рис. 14.35.

2. В области Actions (Действия) щелкните на пункте New Replication Group
(Создать группу репликации). Одной из замечательных особенностей Windows
Server 2012, которую мы пока специально не отмечали, является применение
мастеров и их внешний вид. Открыв окно мастера, обратите внимание, что все
шаги четко перечислены в колонке слева.
Это помогает планировать действия,
поскольку вы знаете, чего ожидать следующим — больше не бывает так, что
после щелчка на кнопке ОК или Next (Далее) обнаруживается нечто совершен­но неожиданное. Кроме того, эти шаги снабжены гораздо лучшими пояснениями, чем в предшествующих версиях сервера.

Как бы то ни было, давайте возвратимся к работе. На первом экране масте­ра создания группы репликации (New Replication Group Wizard) доступы два
переключателя — Multipurpose replication group(Многоцелевая группа реплика­ции) и Replication group for data collectioп (Группа репликации для сбора дан­ных).
Если вы используете пространство имен, основанное на домене, или
автономное пространство имен, то должны оставить без изменений переклю­чатель, выбранный по умолчанию, т.е. Multipurpose replication group. Если же вы
хотите реплицировать данные для их резервного копирования или «собирать»
данные, скажем, на сервере концентратора, то выберите переключатель Repli­
cation group for data collection.
3. Оставьте выбранным переключатель Multipurpose replication group.
4. На экране Name and Domain (Имя и домен) необходимо назначить имя группе
репликации. Укажите в качестве имени CorpRep (рис. 14.36).
5. Далее понадобится добавить серверы, которые будут членами группы репли­
кации. Выбор серверов должен быть обдуманным, потому что вы увеличиваете
объем данных, циркулирующих между такими серверами.
ОЖИДАНИЕ РЕПЛИКАЦИИ
Изменения конфигурации не применяются немедленно ко всем членам. Новая кон­
фигурация должна быть реплицирована на все контроллеры домена, и каждый член
группы репликации должен опросить ближайший к нему контроллер домена, чтобы
получить эти изменения. Сколько времени потребует данные действия, зависит от
задержки репликации AD DS и длительности интервала опроса (60 минут) в каждом
члене. Чтобы обеспечить немедленный опрос изменений конфигурации, откройте
окно командной строки и введите следующую команду на каждом компьютере, яв­ляющемся членом группы репликации: df srdiag.ехе pollad.

6. Продолжите работу в мастере и сделайте выбор для топологии, сервера кон­
центратора, целевой папки на сервере концентратора и реплицируемых папок,
расписания и полосы пропускания группы репликации.
7. Просмотрите все настройки и щелкните на кнопке Create (Создать), чтобы со­
здать группу репликации.
Используя службу репликации DFS (DFS Replication Service — DFSR), файловая
система DFS может поддерживать все копии реплицированных целевых объектов в
синхронизированном друг с другом состоянии. Если по ссылке у вас есть полностью
динамические данные (под динамическими мы понимаем любые данные, которые
изменяются по мере доступа к ним пользователями, например, документы Word,
электронные таблицы, базы данных или что-то еще, что требует для изменения взаимодействия с пользователями), то вполне вероятно, что они не должны реплицироваться.
Предположим, что Джейн и Боб редактируют один и тот же документ, но
делают это в разных копиях на двух отдельных общих ресурсах.
Джейн вносит свои изменения и закрывает документ, а затем Боб вносит другие изменения и сохраняет свою версию.
Кто выиграет? Выиграет Боб, т.к. он сохранил документ последним.
После сохранения документ реплицируется на другой общий ресурс, перезаписывая
изменения, сделанные Джейн.
Таким образом, помните, что если пользователь ре­дактирует документ, получая к нему доступ по ссьшке, которая ведет к реплике, товнесенные изменения будут перезаписаны при следующей репликации.
Соблюдайте осторожность при применении ссьшок на реплики и репликации.

Понятие репликации DFS

Сама по себе репликация проста. В автономной версии DFS репликация является.
ручной, и одна ссьшка на реплику является хозяином. Другими словами, изменения
от конкретного сервера-хозяина распространяются всем остальным сервера реплик.
Если физический общий ресурс, который вы хотите удерживать в синхронизирован­
ном состоянии, находится внутри тома NTFS на машине Windows Server 201 2, то
репликация автоматически основывается на расписании репликации Active Directory
и используется репликация с несколькими хозяевами.
При репликации с несколь­кими хозяевами вы можете изменять файлы по любой одной ссылке на реплику, а изменения будут автоматически копироваться на другие члены. Действительно, в автоматической репликации нет такого понятия, как хозяин, после проведения на­чальной репликации. Первой репликации будет нужен хозяин, чтобы гарантировать, что все общие ресурсы имеют одну и ту же стартовую точку. Тем не менее, советуют не смешивать автоматическую и ручную репликацию внутри одного набора реплик.
ОТСУТСТВУЮЩАЯ ССЫЛКА
Теперь, когда раскрыт []роцесс репликации, мы должны обратить внимание на то,
что Active Directшy и DFS реплицируются в одно и то же время. Они не совпадают,
но дублируют метод своего выполнения. Однажды мы имели проблемы с реплика­
цией и обнаружили, что после того, как скорректировали процесс репликации Active
Directory, репликация FRS, или DFS в этом случае, также восстановила работоспо­
собность. Если это не исправляет репликацию DFS, то придется провести более де­
тальный лоиск и устранение неполадок.

Управление репликацией DFS

После конфигурирования DFS потребуется пройти через несколько шагов для
надлежащего управления корнями, ссылками и клиентами, которые к ним подклю­
чены. Настроив группы репликации, можете приступать к внесению необходимых
изменений.
Редактирование расписания и полосы пропускания для репликации
Выполните описанные ниже задачи, чтобы внести изменения в расписание и по­
лосу пропускания для группы репликации.
Чтобы отредактировать расписание и полосу пропускания для группы реплика­
ции, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните пра­
вой кнопкой мыши на группе репликации, расписание которой необходимо
отредактировать, и выберите в контекстном меню пункт Properties (Свойства).
В открывшемся диалоговом окне щелкните на кнопке Edit Schedule
(Редактировать расписание).
2. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, когда
репликация должна происходить, а также установите максимальный объем по­
лосы пропускания, который она может потреблять.
Чтобы отредактировать расписание и полосу пропускания для конкретного под­
ключения, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, выберите со­
ответствующую группу репликации.
2. Выберите папку Connections (Подключения), щелкните правой кнопкой мыши
на подключении, которое необходимо отредактировать, и выберите в контекс­
тном меню пункт Properties (Свойства).
3. В открывшемся диалоговом окне свойств подключения перейдите на вкладку
Schedule (Расписание), выберите Custom connection schedule (Специальное
расписание для подключения) и щелкните на кнопке Edit Schedule (Редакти­
ровать расписание).
4. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, ког­
да репликация должна происходить, а также установите максимальный объем
полосы пропускания, который она может потреблять.
Включение и отключение репликации
Временами возникает необходимость во включении и отключении групп репли­
кации.
Чтобы отключить или включить репликацию дпя конкретного подключения, вы­
полните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, выберите
группу репликации, содержащую подключение, которое вы хотите отредакти­
ровать.

РЕПЛИЦИРОВАТЬ ИЛИ НЕ РЕПЛИЦИРОВАТЬ
Если вы обновляете свою сеть и хотите управлять полосой пропускания, то может
понадобиться отключить репликацию. Всякий раз, когда мы модернизируем серверы
или сетевые устройства, мы отключаем репликацию и изменяем время репликации
Active Directory. Вряд ли вы захотите создать себе проблемы, если после добавления
оборудования серверы попытаются провести репликацию и потерпят неудачу. Это не
только переполнит журналы ошибок, но также быстро приведет к возникновению
проблем. При внесении изменений в архитектуру сети самое лучшее, что можно сде­
лать — отклю’!Ить репликацию.
3. Щелкните на папке Connections (Подключения).
4. Выполните одно из указанных ниже действий.
• Чтобы отключить репликацию для подключения, щелкните правой кноп­
кой мыши на подключении и выберите из контекстного меню пункт DisaЫe
(Отключить).
• Чтобы включить репликацию для подключения, щелкните правой кноп­
кой мыши на подключении и выберите из контекстного меню пункт ЕnаЫе
(Включить).
ПОДДЕРЖКА ПОДКЛЮЧЕНИЙ
В Microsoft не поддерживают однонаправленные подключения для репликации DFS.
Создание однонаправленного подключения для репликации может вызвать м но­
жество проблем, в числе которых ошибки топологии проверки работоспособности,
проблемы со ступенчатыми изменениями, а также проблемы с базой данных реп- .
ликации DFS. Чтобы создать однонаправленное подключение, вместо этого сделай­
те реплицируемую папку на соответствующем члене группы репликации доступной
только для чтения.
Включение и отключение репликации на конкретном члене
Иногда может понадобиться включить или отключить репликацию для конкретных
членов группы репликации. На повестке дня должно стоять особое внимание. После
включения ранее отключенный член должен выполнить начальную репликацию реп­лицируемой папки. Начальная репликация приводит к передаче около 1 Кбайт дан­ных для каждого файла или папки в реплицируемой папке, и любые модифицирован­ные или новые файлы, появившиеся в члене группы репликации, будут перемещены
на нем в папку DfsrPrivatePreExisting и впоследствии заменены авторитетны­
ми файлами из другого члена. Если все члены отключены, тогда главным членом ста­
новится первый включенный член, что может оказаться не тем, что требуется.
ОБЩИЙ ДОСТУП или ПУБЛИКАЦИЯ
Изменения ‘IЛенства не применяются немедленно. Изменения членства должны реп­лицироваться на все контроллеры домена, и членам группы репликации понадобится
опрашивать ближайший контроллер домена, чтобы получить изменения. Количество
времени, сколько это может занять, зависит от задержки репликации AD DS и ко­
роткого интервала опроса (пять минут) на члене.

Общий доступ или публикация реплицированной папки
После того как мастер New Replication Group Wizard завершен, может понадо­
биться открыть общий доступ или опубликовать реплицированную папку. Для этого
папка должна быть добавлена в существующее или новое пространство имен.
Чтобы открыть общий доступ к реплицированной папке без ее публикации в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти­
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел­
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Repicated Foder Wizard) выберите переключатель Share the
replicated folder (Открыть общий доступ к реплицированной папке) и затем
следуйте всем указаниями мастера.
Чтобы открыть общий доступ к реплицированной папке и опубликовать ее в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти­
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел­
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Replicated Foder Wizard) выберите переключатель Share and
puЫish the replicated folder in а namespace (Открыть общий доступ и опубли­
ковать реплицированную папку в пространстве имен) и затем следуйте всем
указаниями мастера.
ПРОВЕРКА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ
Для выполнения этой процедуры вы должны удовлетворить требования безопаснос­
ти для управления репликацией и пространствами имен DFS. Если общий доступ к
палкам открывается с помощью мастера Share and Publish Replicated Folder Wizard,
то вы должны иметь членство в локальной группе Administrators на серверах, где
открывается общий доступ к каждой папке.

Случаи практического использования
Перед тем, как приступать к настройке корня, созданию ссылок и реорганизации
методов доступа пользователей к своим ресурсам, давайте кратко рассмотрим не­
сколько случаев, когда DFS действительно повышает ценность сети. Помните, что
речь не идет о работе с какими-то новыми средствами, а только о том, чтобы упрос­
тить жизнь, повысить эффективность и увеличить продуктивность.
Объединенные ресурсы предприятия
Пример DFS, с которым мы работали в этой главе, является хорошей демонстра­
цией объединения ресурсов предприятия. Вы можете взять все общие ресурсы сети и поместить их в один логический общий ресурс. Тогда вместо того, чтобы помнить, на каком логическом диске находится тот или иной ресурс, необходимо знать толь­ко папку. Важно также то, что настройка DFS в действительности не оказывает ни­какого влияния на конфигурацию сети. Вы можете строить и экспериментировать с конфигурациями DFS целый день в производственной среде, и никто даже не за­подозрит о ее существовании. Все старые общие ресурсы сети остануrся на своих местах, данные не будут затронуты, а пользователи не увидят ничего отличающе­гося. Как только новая конфигурация DFS станет готовой, наступит трудная часть
процесса — изменение у пользователей отображений дисков с одного диска для од­
ного общего ресурса на один диск для всех общих ресурсов. Не стоит недооuенивать
такую задачу. Это больше, чем просто отображение новой буквы диска на корень
DFS. Все приложения должны будуr знать, что они больше не находятся на диске х,
например, а вместо этого располагаются на диске У.
Управление жизненнь1м циклом
Хорошая новость заключается в том, что с DFS вы в последний раз будете иметь
дело с изменением отображений дисков. Когда возникнет потребность переместить данные из одного сервера на другой, чтобы вывести из эксплуатации старый сервер и ввести вместо него новый, вам не придется заниматься резервным копированием данных, очисткой сервера, построением нового сервера с тем же именем и восстанов­лением данных с целью воссоздания прежней физической машины. С помощью DFS вы можете установить новый сервер и сконфигурировать его как отключенную ссыл­ку на реплику для общего ресурса, который вы хотите «переместить». Убедившись,
что все данные были успешно перемещены, переведите новый сервер в онлайновый режим и отключите старый сервер. Пользователи даже не узнают, что они уже попада­ют на новый сервер. Файловая система DFS обрабатывает все безо всяких усилий.

Исследование сетевой файловой системы

Мы рассмотрели DFS, так что теперь вам известно, насколько удобным может
быть указание на единственное логическое местоположение для нахождения множес­
тва файлов и папок. Теперь вы можете разговаривать с животными — или открывать
общий доступ к файлам для всяких липовых операционных систем. Конечно, это
шутка — вам нужна возможность общего доступа к файлам в рамках всей организа­
ции, и если в ней присуrствуют машины с другими операционными системами, то
в Windows Server 2012 предлагается для этого соответствующий инструмент. Данный
раздел будет иметь несколько технический характер, и вы должны учитывать, что можете в этом не нуждаться; тем не менее, если вы все же испытываете потребность в
такой работе, то должны следовать приведенным здесь указаниям. При добавлении
роли File and Storage Services к серверу понадобится выбрать N FS. Вы должны были
сделать это в предьщущем разделе, посвященном DFS. В противном случае возврати­
тесь к роли File and Storage Services и добавьте компонент NFS, отметив связанный с
ним флажок. Итак, мы начнем обсуждение с того, что собой представляет файловая
система N FS, и что может предоставить Windows Server 2012 в этом отношении.
Сетевая файловая система (Network File System — NFS) является решением об­
щего доступа к файлам для организаций, которые имеют смешанные среды машин
с Windows и Unix/Linux. Файловая система NFS дает возможность открывать общий
доступ к файлам между указанными разными платформами при функционирую­
щей операционной системе Windows Server 2012. Службы N FS в Windows Server 2012
включают следующие возможности и усовершенствования.
• Поиск в Active Directory. Вы имеете возможность применять Windows Active
Directory для доступа к файлам. Расширение схемы Jdentity Management for
Unix (Управление удостоверениями для Unix) для Active Directory содержит
поля идентификатора пользователя Unix (Unix user identifier — UID) и иден­
тификатора группы (group identifier — G 1 D). Это позволяет службам Server
for NFS (Сервер для NFS) и Client for NFS (Клиент для NFS) просматривать
отображения учетных записей пользователей Windows на Unix прямо из служб
домена Active Directory (Active Directory Domain Services). Компонент ldentity
Management for Unix упрощает управление отображением учетных записей
пользователей Windows на Unix в Active Directory Domain Services.
• Улучшенная производительность сервера. Службы для NFS включают драйвер
фильтра файлов, который значительно сокращает общие задержки при досту­
пе к файлам на сервере.
• Поддержка специальных устройств Unix. Службы для NFS поддерживают спе­
циальные устройства Unix (rnknod).
• Расширенная поддержка Unix. Службы для NFS поддерживают следующие вер­
сии Unix: Sun Microsystems Solaris версии 9, Red Hat Linux версии 9, IBM AIX
версии 5L 5.2 и Hewlett Packard HP-UX версии 1 1 i. Однако более новые вер­
сии, несомненно, будут поддерживаться в будущем.
Вы можете пользоваться и нструментами командной строки, но в Windows
Server 2012 доступна также консоль Services for Network File System (Службы для се­
тевой файловой системы), окно которой показано на рис. 14.37. Инструменты ко­
мандной строки будут демонстрироваться далее в этой главе.
Один из наиболее распространенных сценариев, который создает необходи­
мость в применении NFS, предусматривает открытие доступа пользователям в сре­
де Windows к системе планирования ресурсов предприятия (enterprise resource plan­
ning — ERP), основанной на Unix. Находясь в системе ERP, пользователи могут
создавать отчеты и/или экспортировать финансовые данные в Microsoft Excel для
дальнейшего анализа. Файловая система NFS позволяет обращаться к этим файлам,
по-прежнему находясь в среде Windows, что сокращает потребность в наличии спе­
циальных технических навыков и снижает временные затраты на экспорт файлов с
использованием сценария Unix и последующий их импорт в определенное приложение Windows. Может также возникнуть ситуация, когда у вас имеется система Unix,
которая применяется для хранения файлов в какой-то сети хранения данных (stor­
age area network — SAN). Запуск служб NFS на машине Windows Server 2012 позво­
ляет пользователям в организации получать доступ к сохраненным там файлам безо
всяких накладных расходов, связщшых со сценариями на стороне Unix.

3. Запустите приведенную ниже команду, чтобы создать новый общий файловый
ресурс NFS:
PS С : > New-NfsShare -Narne «NFSshareOl» -Path «C: sharesNFSshareOl»
4. Для просмотра всех новых командлетов PowerShell, относящихся к NFS, кото­
рые доступны в Windows Server 2012 R2, выполните следующую команду:
PS С : > Get-Cornrnand -Module NFS
УСТАНОВКА СТАНДАРТНЫХ РАЗРЕШЕНИЙ
Теперь вы будете применять ряд стандартных разрешений к создаваемым файлам и
папкам и затем внесете небольшие изменения в настройки брандмауэра на сервере который используется для NFS. Помните, что этот сервер должен находиться за ос­новными брандмауэрами организации и быть защищенным. Для функционированияNFS вам понадобится открыть все перечисленные ниже порты.
Службы для компонента NFS Для чего открывается порт Протокол Порт
User Name Mappiпg (Отобра ж ение имен поль- Portmapper ТСР, UDP 1 1 1
зователе й ) и Server for NFS (Сервер для NFS) (Средство отобра ж ения портов)
Server for NFS (Сервер для NFS) Network Status Maпager ТСР, UDP 1039
(Диспетчер состояния сети)
Server for NFS (Сервер для NFS) Network Lock Maпager ТСР, UDP 1047
(Диспетчер блокировок сети)
Server for NFS (Сервер для NFS) NFS Mouпt (Монтирование NFS) ТСР, UDP 1048
Server for NFS (Сервер для NFS) Network File System ТСР, UDP 2049
(Сетевая фа й ловая система)
ТРЕБОВАНИЯ К ПОРТАМ
В зависимости от имеющихся требований, может понадобиться открыть порты ТСР
(Transmission Control Protocol — протокол упрамения передачей), порты UDP (User
Datagram Protocol — протокол дейтаграмм пользователя) либо те и другие. В целях
тестирования мы рекомендуем открыть транспорт ТСР и UDP для всех протоколов.
Чтобы открыть порты в брандмауэре, выполните следующие шаги.
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping или Server for NFS, нажмите комбинацию клавиш .
В окне Run (Выполнить) введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Port (Добавить порт).
3. В поле Name (Имя) введите имя открываемого порта, как упоминалось
выше во врезке «Установка стандартных разрешений».
4. В поле Port number (Номер порта) введите соответствующий номер порта.
5. Выберите переключатель ТСР или UDP и щелкните на кнопке ОК.

6. Повторите шаги 2-5 мя каждого открываемого порта и по завершении щелк­
ните на кнопке ОК.
Затем потребуется добавить программу mapsvc . ехе в список исключений бран­дмауэра.
МЕРЫ ПРЕДОСТОРОЖНОСТИ, КАСАЮЩИЕСЯ БРАНДМАУЭРА
Перед внесением изменений в настройки брандмауэра удостоверьтесь, что файловый сервер, применяемый для NFS, хорошо защищен и находится за основными произ­водственными брандмауэрами. Эти указания предполагают, что вы никогда не будете вносить такие изменения на пограничном сервере внутри демилитаризованной зоны
(DMZ).
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Program (Добавить программу).
3. Щелкните на кнопке Browse (Обзор), выберите файл mapsvc . ехе и затем
щелкните на кнопке Open (Открыть). По умолчанию этот файл находится в
%windir%System32.
4. В целях тестирования щелкните на кнопке Change scope (Изменить область
действия), в открывшемся диалоговом окне выберите переключатель Any com­
puter (Любой компьютер) и щелкните на кнопке ОК.
5. Щелкните на кнопке ОК еще два раза.
Процесс практически подошел к концу. Далее необходимо включить общий до­
ступ к файлам и принтерам на компьютере, выполняющем службы NFS. Вероятно,
вы уже знаете, как это сделать, раз уж дочитали до этого места, но ради завершен­ности ниже перечислены соответствующие шаги.
1 . Находясь в системе компьютера, на котором запущены службы Services for
N FS, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения), отметьте флажок File and
Printer Sharing (Общий доступ к файлам и папкам) и щелкните на кнопке ОК.
3. Повторите шаг 2 на каждом компьютере, выполняющем Services for NFS.
Перед тем, как предоставить результаты пользователям, вы наверняка захотите
провести тестирование, убедившись в работоспособности всей функциональности.
В следующей статье Microsoft TechNet описаны четыре теста, которые вы можете
выполнить: http: / /technet . microsoft . сот/ ru-ru/ library / сс7 53302 . aspx.
Для конфигурирования брандмауэра можно также использовать утилиту команд­
ной строки netsh. На рис. 14.38 показан список доступных команд.