Сетевое администрирование

 

Тема 2. Администрирование файлов и папок

 

1. Режимы доступа к папкам

 

К числу универсальных возможностей Windows 2000/XP относятся и такие, которые позволяют как на уровне локального компьютера, так и при использовании общедоступных сетевых ресурсов ограничивать доступ к файлам и папкам.

Управлением доступом к папкам можно осуществлять двумя способами:

1. управлять доступом, используя стандартный режим "Общий доступ" (в окне "Свойства" выбрать закладку "Доступ", а потом в появившемся окне нажать кнопку "Разрешение"),
2. управлять доступом, используя возможности файловой системы NTFS.

Каждый из методов имеет свои преимущества и недостатки.

Первый вариант удобен тем, что, используя его, можно ограничить в сети доступ к папкам на дисках, отформатированных под файловую систему FAT16 (FAT32). А к недостаткам этого способа относятся:

• доступ к папкам проверяется только для сетевых пользователей (т.е. локальные пользователи будут иметь полный доступ к папкам);
• все разрешения задаются только для папки целиком, а не для отдельных файлов;
• предоставляется небольшой набор параметров для конфигурирования (только полный доступ, изменение и чтение).

 

Использование разрешений NTFS

Для каждого объекта, который хранится в томе, отформатированном с помощью файловой системы NTFS, Windows поддерживает контрольный список доступа (access control list, ACL). Как следует из названия, этим списком определяется перечень пользователей, которым разрешен доступ к данному объекту (обычно идет речь о файле или папке), а также тех пользователей, доступ которых исключается. Индивидуальные пункты в ACL называются записями, контролирующими доступ (access control entries, АСЕ), и содержат следующую информацию:

• идентификатор SID пользователи или группы;
• список разрешений, формирующих право доступа, создаваемое на основе большого списка основных и специальных разрешений — Full Control, Read и Write,
• информация о наследовании, которая определяет, будет ли Windows использовать разрешения из родительской папки, и если будет, то каким образом;
• флаг, указывающий на разрешение/запрет доступа.

Для использования второго способа управления доступом к папкам нужно открыть у соответствующего объекта окно свойств и выбрать вкладку "Безопасность" (Security), на которой установить флажки для нужных параметров доступа.

Данный способ имеет следующие преимущества:

• Доступ к папкам проверяется абсолютно для всех пользователей.
• Предоставляется широкий набор параметров для конфигурирования. Запретить и разрешить можно следующую функции: смена владельца, смена и чтение разрешений, удаление, чтение и изменение атрибутов, запись и  дозапись данных, чтение данных, обзор папок и выполнение файлов и т.д.
• Для папок можно указывать, как применяются настройки: только внутри этой папки, для дочерних папок, для файлов и так далее.
• Если пользователь является владельцем файла, он может распоряжаться им по своему усмотрению, предоставляя права доступа другим пользователям.

В качестве недостатка, однако, можно отметить, что управлением доступом становится значительно сложнее. Все разрешения носят аддитивный характер, то есть, права складываются из прав группы, в которую входит пользователь, и прав, которыми наделен лично он. При этом нужно помнить, что запрещающие директивы всегда имеют больший приоритет, чем разрешающие, и использовать их надо с осторожностью. Так, если у пользователя есть, например, право на чтение некоторого файла, но он входит в группу, которой это делать запрещено, то он не сможет читать файл.

 

2. Права доступа

 

В системе NTFS для каждого файла (и папки) ведется список управления доступом ACE (Access control entry). Администраторы и владельцы файла могут модифицировать ACE, предоставляя или отказывая в правах доступа другим пользователям.

Если пользователь создает новую папку, то Windows присваивает права доступа Full Control пользователю, создавшему эту папку, встроенной группе Администраторы и учетной записи System. Пользователи с ограниченными учетными записями имеют полномочия Read & Execute.

Права доступа к папкам делятся на

1. базовые
2. расширенные.

 

К базовым правам доступа относятся следующие:

1. Полный контроль – позволяет просматривать содержимое папки, создавать новые файлы и папки, удалять файлы  и папки, читать и открывать файлы, изменять права доступа к файлам и внутренним папкам.
2. Изменение – позволяет читать, редактировать, создавать и удалять файлы, но не позволяет изменять права доступа к внутренним папкам и файлам.
3. Чтение и выполнение – позволяет просматривать содержимое файлов и вызывать программы на выполнение.
4. Просмотр содержимого папки – аналогично предыдущим правам, но это право доступа наследуется внутренними папками, но не файлами в этих папках.
5. Чтение – позволяет просматривать содержимое папки, атрибуты файлов, обеспечивает возможность чтения и синхронизации файлов.
6. Запись – позволяет создавать файлы, записывать данные, считывать значения атрибутов и права доступа, а также выполнять синхронизацию файлов.

 

Кроме прав доступа, устанавливаемых пользователем или программой, файлы и папки могут наследовать права доступа от родительских папок. По умолчанию, заданные права доступа для текущей папки передаются создаваемым внутренним папкам.

 

Права доступа при копировании (перемещении) файлов.

При копировании или перемещении файлов происходит изменение прав доступа, т.е. файлы получают новые права доступа и прежний пользователь может уже не получить доступ к файлам, с которым работал прежде.

Когда происходит копирование или перемещение файлов (папок), вновь созданный объект получает права доступа так, словно объект создается с самого начала. При этом:

1. Когда копируется или перемещается файл (папка), вновь созданный объект получает права доступа той папки, в которой теперь будет располагаться.
2. Пользователь, который осуществляет перемещение или копирование объекта, становится создателем и владельцем этого объекта.

С этим и связано возможное изменение прав доступа.

 

При администрировании важно еще учитывать следующий момент. Каждый файл или папка в разделе NTFS имеют владельца. Владелец файла (папки) имеет право предоставлять или отказывать в правах доступа к файлам или папкам другим пользователям.

В качестве владельца пользователь может заблокировать доступ всех остальных пользователей, включая и членов группы Администраторы. Таким образом, доступ к файлу (папке) может быть закрыт, даже если администратор установил полный доступ к объекту.

 

 

Тема 3. Сервисы сетей NCP/IP

 

1. Протокол динамической конфигурации  клиентских машин

 

DHCP обозначает Dynamic Host Configuration Protocol - то есть протокол динамической конфигурации клиентских машин. Это один из наиболее важных и полезных протоколов семейства TCP/IP, помогающий автоматически конфигурировать десятки и сотни машин одновременно. Многие технологии напрямую зависят от этого протокола: например, протокол удаленной загрузки PXE ищет сервер DHCP для получения дальнейших указаний по получению загрузочного образа.

В принципе DHCP относится к числу "безпроблемных" протоколов, то есть все операционные системы корректно поддерживают его функции.

DHCP обладает следующими преимуществами:

1. При динамическом распределении адресов DHCP-сервер выдает адрес клиенту на ограниченное время, что дает возможность впоследствии повторно использовать IP-адреса другими компьютерами. Динамическое разделение адресов позволяет строить IP-сеть, количество узлов в которой намного превышает количество имеющихся в распоряжении администратора IP-адресов.
2. DHCP обеспечивает надежный и простой способ конфигурации сети TCP/IP, гарантируя отсутствие конфликтов адресов за счет централизованного управления их распределением.

 

Рассмотрим DHCP на примере реализации DHCP Turbo фирмы Weird Solutions. При необходимости получить IP-адрес хост посылает запрос на резервацию IP-адреса, на который серверы отвечают на протяжении некоторого времени. На этом этапе сервер может проверить наличие свободного IP-адреса, пропинговать его на предмет отсутствия конфликтов или проверить MAC-адрес данного хоста.

Первое, что нужно сделать при настройке DHCP, это определить диапазон раздаваемых адресов и маску подсети. Часто используются подсети категории "D" Первый адрес в подсети всегда обозначает саму подсеть, последний - адрес групповой рассылки (broadcasting). Количество компьютеров в подсети определяется количеством нулей в конце маски. Возведите двойку в эту степень, вычтите два - и получите потенциальное количество доступных вам адресов.

Пример расчета подсети

Для примера возьмем произвольную подсеть: адрес сервера 10.0.0.97, маска 255.255.255.224, в бинарном виде - 11111111.1111111.1111111.11100000.

Число нулей в конце маски - пять, то есть два в пятой степени дает 32. Следовательно, возможность наших подсетей категории D - 32 адреса. Можно представить, что первая подсеть начинается с адреса 10.0.0.0, вторая - 10.0.0.32, третья - 10.0.0.64, четвертая - 10.0.0.96.

Будем работать в адресном пространстве от 10.0.0.96 до 10.0.0.127 и, если требуется, чтобы наши хосты после запуска попали в одну подсеть с сервером, то выделять адреса следует только из этого диапазона. Как уже было сказано, первый адрес - это адрес подсети как целого, последний - броадкастинг, так что они исключаются. Пусть будет три хоста, которые будем конфигурировать через данный сервер, так что достаточно только трех адресов. Возьмем адреса в диапазоне от 10.0.0.124 до 10.0.0.126. Диапазон адресов и подмаска сети называется scope (видимость) и является одним из основных понятий DHCP, с которым связаны все остальные настройки. То есть любая настройка относится к той или иной области.