Блок сообщений сервера

ШАГ 5: Создать защищенную папку Samba доступную только по паролю

Теперь вы знаете, как создавать общедоступные общие ресурсы Samba. Теперь приступим к созданию частных и защищенных общих ресурсов.

Для того чтобы защитить открытую папку, вашего файлового сервер Samba, паролем достаточно изменить параметр guest ok на no и если вы хотите скрыть в обзоре сети вашу папку параметр browsable на no.

То есть настройка идентична ШАГ 4. Хорошо давайте повторю.

И так создаем новую директорию:

mkdir -p homehdd2backupsmbprotected

Пользователь тот же buhnasmb, напоминаю, что пароль для доступа к smb- ресурсам мы пользователю buhnasmb задали на .

Добавьте в конец файла /etc/samba/smb.conf следующие строки, buhnasmb замените на имя пользователя компьютера с Samba. Папка будет доступна по логину и паролю.

ProtectedSamba
comment = Samba Protected Share
path = homehdd2backupsmbprotected
guest ok = no
browsable =yes
writable = yes
read only = no
force user = buhnasmb
force group = buhnasmb

Задайте права на папку как в ШАГ 4:

sudo chmod ug+rwx homehdd2backupsmbprotected
sudo chown root:"пользователи домена" homehdd2backupsmbprotected

Перезапуск Samba:

sudo systemctl restart smbd.service

Как создать общую сетевую папку в Samba

Если в этой статье вы пропустили предыдущие части, так как вам нужно только настроить файловый сервер на Linux, то начните с установки пакета samba.

Следующая команда не сработает, если отсутствует файл /etc/samba/smb.conf. Если у вас тоже нет этого файла, то создаёте его заглушку — к настройке самого файла smb.conf мы вернёмся позже:

sudo touch /etc/samba/smb.conf

Теперь нужно добавить пароль для пользователя Samba. Действует следующее правило: имя пользователя должно быть таким же, как у вашего текущего пользователя, а пароль можно установить иной, отличный от вашего системного пароля.

Для установки пароля Samba, выполните следующую команду:

sudo smbpasswd -a $USER

Если вы хотите, чтобы у пользователя не было пароля, то укажите опцию -n.

Создайте папку, которая станет совместно используемой:

mkdir ~/linuxshare

Узнаем абсолютный путь до папки ~/linuxshare:

realpath ~/linuxshare

У меня это:

/home/mial/linuxshare

Откройте для редактирования файл /etc/samba/smb.conf:

sudo gedit /etc/samba/smb.conf

Добавьте туда строки вида:


comment = Samba на Linux
path = /home/ИМЯ_ПОЛЬЗОВАТЕЛЯ/ИМЯ_ПАПКИ
valid users = ИМЯ_ПОЛЬЗОВАТЕЛЯ
read only = no
browsable = yes

Обратите внимание, что все пробелы в строках выше являются обязательными.

Для моих данных это строки:


comment = Samba на Linux
path = /home/mial/linuxshare
valid users = mial
read only = no
browsable = yes

Теперь запустим службу SMB:

sudo systemctl start smb.service

Для добавления службы в автозагрузку выполните:

sudo systemctl enable smb.service

На самом деле, мы настроили не полноценную Samba, а только файловый сервер SMB. Одно из следствий этого — показанные выше способы обнаружения сетевых папок, такие как команда smbtree в Linux или переход во вкладку «Сеть» в проводнике Windows, не обнаружат нашу шару.

Для подключения к этой общей сетевой папке на Linux нужно использовать IP адреса компьютера Linux вместо имени компьютера, как это мы делали раньше. Кстати, поэтому нужно настроить статичный IP (смотрите статью «Как настроить Linux на использование статичного IP адреса»).

Создадим файл, чтобы сетевая папка не была пустой:

echo "Документ на Linux" > ~/linuxshare/document.txt

Посмотрите локальный IP адрес компьютера, на котором запущена Linux:

ip a

У меня этим IP является 192.168.0.89, а папку, как мы помним, я создал с именем linuxshare, тогда в Windows я перехожу в проводнике во вкладку «Сеть» и подключаюсь к этой папке следующим образом:

\\192.168.0.89\linuxshare

Вводим учётные данные (которые мы установили командой smbpasswd):

Видим содержимое совместно используемой папки, размещённой на Linux с помощью SMB:

Для подключения к сетевой папке из консоли Linux, запустите команду вида:

sudo smbclient //IP_АДРЕС/Папка -U ПОЛЬЗОВАТЕЛЬ

Для моего примера это:

sudo smbclient //192.168.0.89/linuxshare -U mial

После ввода пароля нам становится доступным содержимое сетевой папки.

Эту папку можно смонтировать как это было показано в предыдущем разделе, либо подключать в Windows как , как это было показано в первой части.

Сервисы синхронизации и обмена файлами

Сервис	Описание
Яндекс.Диск	Бесплатный сервис для хранения файлов и папок с защитой и возможностью расширения облачного пространства. Яндекс.Диск, как и Google Drive, интегрирован с другими сервисами, в частности, с Яндекс-почтой, и имеет ряд полезных дополнений.
Облако Mail.Ru	Облачное хранилище файлов с доступом к виртуальному диску и необходимыми для такого сервиса функциями. Занимает одно из ведущих мест в рейтинге файловых хранилищ в России. По набору возможностей оно сопоставимо с Google Диск и Яндекс.Диск. Есть приложения для создания и редактирования документов, утилита для получения снимков экрана. Сервис интегрирован с другими проектами Mail.ru. Преимущества — высокая скорость загрузки и выгрузки данных для российских пользователей, есть клиенты практически под все платформы, включая мобильные операционные системы, поддержка выборочной синхронизации папок и файлов в папке.
OneDrive	Сервис Microsoft для хранения и синхронизации файлов между устройствами при подключении к интернету. Можно расширять емкость. В OneDrive удобно обмениваться документами Microsoft Office 365 и редактировать их через сервис Office Online. Особенностями сервиса можно считать интеграцию с почтой Hotmail и поисковиком Bing.
Google Диск	Облачное хранилище с опцией многопользовательского доступа к файлам и их совместного редактирования. Сервис интегрирован с офисным пакетом Google Docs, где можно редактировать документы с одной учетной записи или нескольких аккаунтов одновременно. Встроенный клиент для Windows имеет стандартные настройки, можно выбрать отдельные папки или жесткий диск для синхронизации, ограничить скорость загрузки и сменить аккаунт для пользования сервисами Google.
Dropbox	Сервис для автоматической синхронизации файлов любых размеров. Есть продвинутые настройки приложения для ПК, включая синхронизацию отдельных папок и настройку скорости загрузки и выгрузки файлов, инструменты для организации работы пользователей с данными в облаке. Отличие от большинства сервисов — хранение разных версий файлов без использования места в облаке, а также применение метода DeltaSync: на сервер передается не весь объект, а только измененная часть, что уменьшает трафик.
КРОК Диск	Удобный и безопасный сервис корпоративного класса для обмена файлами.
Brandquad	Централизованная система создания, хранения и распространения коммерческого контента.
iSpring Cloud	Просмотр презентаций PowerPoint онлайн с любых устройств.
Mega (Megasynk)	Облачное хранилище с большим объемом бесплатного дискового пространства — 50 Гб. Другие особенности — сквозное шифрование данных (ключ не хранится на сервере) и открытый исходный код. Приложение на ПК поддерживает слежение за любыми папками, настройку пропускной способности, исключения загружаемых файлов по типу и размеру.
Samsung Cloud	Сервис для владельцев смартфонов и планшетов Samsung. Предназначен для хранения резервных копий данных с мобильных устройств — мультимедийного контента, файлов ОС и пр.
Apple iCloud	Бесплатный сервис, интегрированный с другими службами Apple. Сервис предназначен для хранения резервных копий данных с iPhone, iPad и iPod, а также пользовательских медиафайлов, почты и документов (они автоматически синхронизируются с содержимым iCloud Drive).
Baidu Cloud	Для России не адаптирован, но предоставляет пользователям терабайт бесплатного дискового пространства. Требует установки мобильного приложения Baidu Cloud на телефон или планшет.
Yunpan.360	Этот сервис китайской компании Qihoo 360 Technology также предлагает 1 Тбайт для новых пользователей и еще 2,6 Тб при установке мобильного клиента. Для российских пользователей местонахождение серверов в Китае означает низкую скорость. Хорошо реализована русификация клиента. Есть сохранение историй версий, область, защищенная паролем, система обмена файлами, воспроизведение видео и аудио, ПО под разные ОС и мобильные платформы.
4shared	Сервис предназначен для обмена файлами общим объемом до 15 Гб при бесплатном подключении. Есть автоматизация загрузки файлов из GoogleDrive, DropBox и Gmail, развитые функции расшаривания файлов и поддержка протокола WebDev.
MediaFire	В бесплатном пакете предлагается 10 Гб. Есть версии для ПК на разные платформы и мобильные приложения. Интеграция с соцсетями (Facebook, Google+, Twitter) и почтой позволяет открывать доступ к объектам другим пользователям.
OziBox	Также дает 10 Гб в подарок. Есть клиент для ПК с минимумом настроек и Web-интерфейс.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление — Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

Службы хранения;
Файловый сервер;

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Нажимаем OK и Изменить.

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Требования к оборудованию

Для обеспечения прозрачной отказоустойчивости SMB необходимо соблюдать следующие требования.

Отказоустойчивый кластер под управлением Windows Server 2012 или Windows Server 2016 по крайней мере с двумя настроенными узлами. Кластер должен пройти проверочный тест для кластеров, входящий в состав мастера проверки.
Файловые ресурсы должны быть созданы со свойством «Постоянная доступность» (CA), что является настройкой по умолчанию.
Файловые ресурсы нужно создавать на путях к тому CSV, чтобы обеспечить масштабирование SMB.
Клиентские компьютеры должны работать под управлением Windows 8 или Windows Server 2012, которые содержат обновленный клиент SMB, поддерживающий постоянную доступность.

Примечание

Клиенты нижнего уровня могут подключаться к общим папкам со свойством «Постоянная доступность», но для таких клиентов прозрачная отказоустойчивость не поддерживается.

Для поддержки многоканальности SMB необходимо соблюдать следующие требования.

Требуются по меньшей мере два компьютера под управлением Windows Server 2012. Установки дополнительных компонентов не требуется — эта технология включена по умолчанию.
Сведения о рекомендуемых сетевых настройках см. в подразделе «Дополнительные сведения» в конце этого раздела.

Для поддержки прямой технологии SMB необходимо соблюдать следующие требования.

Требуются по меньшей мере два компьютера под управлением Windows Server 2012. Установки дополнительных компонентов не требуется — эта технология включена по умолчанию.
Сетевые адаптеры с поддержкой RDMA. На данный момент существует три типа таких адаптеров: iWARP, Infiniband и RoCE (RDMA over Converged Ethernet).

Команды SMB в Linux

Доступны следующие интерактивные команды:

help

Для показа справки по определённой команде, выполните

help КОМАНДА

cd ПАПКА

Переход в другую директорию на локальной системе:

lcd

Удаление файла в шаре:

del ИМЯ_ФАЙЛА

Имеется псевдоним этой команды:

rm ИМЯ_ФАЙЛА

И ещё одна команда со схожей функцией:

deltree ШАБЛОН_ИМЕНИ

Эта команда рекурсивно удалить все совпавшие с шаблоном имени файлы и директории.

dir

Имеется псевдоним этой команды:

ls

И ещё один, даже более короткий псевдоним:

Скачать файлы с общей папки:

get <ИМЯ_УДАЛЁННОГО_ФАЙЛА>

Для повторного скачивания файла:

reget <ИМЯ_УДАЛЁННОГО_ФАЙЛА>

Для скачивания всех файлов, чьём имя совпадает с шаблоном:

mget ШАБЛОН_ИМЕНИ

Например, чтобы скачать все файлы с файловым расширением .exe нужно запустить такую команду:

mget "*.exe"

Для каждого файла, совпавшего с шаблоном, будет выполнен запрос на скачивание. Если вы действительно хотите его скачать, то нажмите клавишу «y»:

Get file ChromeSetup.exe? y

Также имеется команда newer, которая скачивает файлы (mget), которые новее, чем указанный локальный файл. Используется она так:

newer ФАЙЛ

Выгрузка файла на общую папку:

put <ЛОКАЛЬНОЕ_ИМЯ>

Следующая команда скопирует локальный файл в шару:

print ИМЯ_ФАЙЛА

Повторная закачка файла:

reput <ЛОКАЛЬНОЕ_ИМЯ>

Для закачки всех файлов, чьём имя совпадает с шаблоном:

mput ШАБЛОН_ИМЕНИ

К примеру, чтобы закачать в шару все файлы (из локальной текущей рабочей директории), которые имеют расширение *.cap, нужно запустить команду:

mput "*.cap"

Для каждого файла, совпавшего с шаблоном, будет выполнен запрос подтверждения, если вы действительно хотите его закачать, то нажмите клавишу «y»:

Put file wpa.cap? y
putting file wpa.cap as \wpa.cap (335,2 kb/s) (average 277,8 kb/s)
Put file wep.cap? y
putting file wep.cap as \wep.cap (0,6 kb/s) (average 169,1 kb/s)

Используя команду:

recurse

Можно включать и отключать рекурсивный режим для mget и mput.

Показ всей возможной информации о файле:

allinfo ФАЙЛ

Пример:

allinfo all-databases.sql
altname: ALL-DA~1.SQL
create_time:    Чт авг 29 12:29:51 2019 MSK
access_time:    Вс янв  5 23:31:47 2020 MSK
write_time:     Ср авг  1 09:51:25 2018 MSK
change_time:    Вс янв  5 19:48:36 2020 MSK
attributes: A (20)
stream: , 381945262 bytes

В выводимой информации можно увидеть альтернативное (DOS) имя, временные метки (дата создания, доступа, записи и изменения файла), атрибуты.

md ДИРЕКТОРИЯ

Псевдоним:

mkdir ДИРЕКТОРИЯ

rd ДИРЕКТОРИЯ

Псевдоним команды:

rmdir ДИРЕКТОРИЯ

Удаление файлов

Следующая команда удалит все совпавшие с МАСКОЙ файлы:

rm МАСКА

Псевдоним команды для удаления файлов:

del МАСКА

С помощью команды wdel можно удалить все совпавшие файлы по подстановочным символам:

wdel АТРИБУТЫ МАСКА

Ссылки

Создание жёсткой ссылки Windows:

hardlink ИСТОЧНИК НАЗНАЧЕНИЕ

Создание жёсткой ссылки UNIX:

link СТАРОЕ_ИМЯ НОВОЕ_ИМЯ

Создание символьной ссылки UNIX:

symlink СТАРОЕ_ИМЯ НОВОЕ_ИМЯ

Псевдоним:

quit

Второй псевдоним:

exit

Показ текущей рабочей директории:

pwd

Пример вывода:

Current directory is \\HACKWARE-MIAL\Share\

Другой вариант показа текущей рабочей директории — это команда cd без аргументов:

cd

Пример вывода:

Current directory is \

Создание и извлечение архивов tar

Программа tar используется для объединения нескольких файлов в один файл. Объединение происходит без сжатия. Для того, чтобы несколько файлов из сетевой папки объединить в архив и скачать на локальную систему запустите команду вида:

tar c АРХИВ.tar ФАЙЛ1 ФАЙЛ2 ФАЙЛ3

К примеру, я хочу скачать файлы all-databases.sql besside.log ChromeSetup.exe из совместной папки и объединить их в архив all.tar, тогда моя команда следующая:

tar c all.tar all-databases.sql besside.log ChromeSetup.exe

Если нужно разархивировать файл на локальной системе и всё его содержимое отправить на удалённую общую папку, то запустите команду вида:

tar x АРХИВ.tar

К примеру, я хочу отправить содержимое архива all.tar в общую папку:

tar x all.tar

Для установления режимов tar используется команда

tarmode <full|inc|reset|noreset>

timeout <ЧИСЛО>

Таймаут устанавливается в секундах и по умолчанию равен 20.

Выполнение команд в локальной системе:

!КОМАНДА

Чтобы команда выполнялась не на удалённой системе, а на локальной, поставьте перед ней ! (восклицательный знак), например^

!ls -l

Методы совместного использования папок.

Windows 7 предоставляет два способа совместного использования папок непосредственно на вашем ПК:

Доступ к любой папке: позволяет совместное использование фотографий, музыки и других файлов в любой папке на вашем ПК без необходимости перемещения их из текущего местоположения. Существует два типа совместного использования любой папки — базовый и продвинутый.
Доступ к общим папкам: общие папки служат открытым ящиком. Копирование файла в общую папку немедленно делает его доступным для других пользователей компьютера или сети.

Любые общие папки – базовый режим.

Базовые общие папки являются простейшей формой любых общих папок, потому что позволяют быстрое и лёгкое совместное использование этой папки. Для создания базового общего доступа к нужной папке, щёлкните по ней правой кнопкой мыши и выберите пункт «Общий доступ».

Хотя Windows создаёт имя общего ресурса автоматически, необходимо вручную определить NTFS и разрешить общий доступ. Windows 7 позволяет выбрать не только кто может просмотреть файл, но и что пользователь может с ним делать. Это называется права доступа.

Любые общие папки – расширенный режим.

Для улучшения контроля над любой папкой, в процессе обмена используется расширенный общий доступ.

Если для общего доступа к папке используются расширенные настройки общего доступа, необходимо указать следующую информацию:

Название общего ресурса
Максимальное число одновременных подключений к папке
Право доступа к общим папкам
Параметры кэширования.

Чтобы использовать дополнительные параметры доступа, нажмите правой кнопкой на папке и кликнете кнопку «Свойства», перейдите там, на вкладку «Доступ» и щёлкните по строке «Расширенная настройка общего доступа».

Что такое права доступа к NTFS.

Права доступа — разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

Существует два уровня прав доступа:

Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

Существует два типа доступа по NTFS:

Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Отключение SMBv2 или SMBv3 для устранения неполадок

Мы рекомендуем оставить SMBv2 и SMBv3 включенными, но может оказаться полезным временно отключить один из них для устранения неполадок. Дополнительные сведения см. в статье .

В Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 и Windows Server 2012 отключение SMBv3 позволяет отключить следующие функции:

Прозрачная отработка отказа — клиенты повторно подключались без прерывания работы с узлами кластера во время обслуживания или отработки отказа
Scale Out — одновременный доступ к общим данным на всех узлах файлового кластера
Multichannel — агрегирование пропускной способности сети и отказоустойчивости, если между клиентом и сервером доступно несколько путей.
SMB Direct — добавляет поддержку сети RDMA для обеспечения высокой производительности с низкой задержкой и низкой загрузкой ЦП.
Шифрование — обеспечивает сквозное шифрование и защищает от перехвата в ненадежных сетях.
Аренда каталогов — увеличение времени отклика приложений в филиалах за счет кэширования
Оптимизация производительности — оптимизация для небольших случайных операций чтения и записи

В Windows 7 и Windows Server 2008 R2 отключение SMBv2 приводит к отключению следующих функций:

Составное управление запросами — позволяет отправлять несколько запросов SMBv2 в виде одного сетевого запроса.
Более крупные операции чтения и записи — более эффективное использование более быстрых сетей
Кэширование свойств папок и файлов — клиенты сохраняют локальные копии папок и файлов.
Устойчивые дескрипторы — позволяют прозрачно повторно подключаться к серверу при временном отключении.
Улучшенное подписывание сообщений — HMAC SHA-256 заменяет MD5 в качестве алгоритма хэширования.
Улучшенная масштабируемость общего доступа к файлам — количество пользователей, общих папок и открытых файлов на сервер значительно увеличилось
Поддержка символьных ссылок
Модель аренды клиента oplock — ограничивает передачу данных между клиентом и сервером, повышая производительность в сетях с высокой задержкой и увеличивая масштабируемость сервера SMB.
Поддержка больших MTU — для полного использования 10 Gigabit Ethernet (GbE)
Улучшенная энергоэффективность — клиенты с открытыми файлами на сервере могут переходить в спящий режим

Протокол SMBv2 появился в Windows Vista и Windows Server 2008, а протокол SMBv3 появился в Windows 8 и Windows Server 2012. Дополнительные сведения о возможностях SMBv2 и SMBv3 см. в следующих статьях:

Общие сведения о протоколе SMB
Новые возможности SMB

Что нам готовит день грядущий: Samba 4.0

Проект Samba4 более пяти лет развивается параллельно с Samba3 и содержит почти полную переработку кода в контексте реализации работы в качестве Active Directory Domain Controller (совместимый с Win2k и выше) и приведения поддерживаемого SMB-протокола к полной совместимости с продуктами Microsoft. Реализованы встроенный LDAP-сервер, поддерживающий Active Directory правила; встроенный Kerberos KDC (Key Distribution Center) сервер; ACL в базе пользователей; виртуальная файловая система (Microsoft VFS) и так далее.

Основным нововведением разрабатываемой версии 4.0 станет возможность использования Samba-сервера в качестве контроллера домена Active Directory. Данная возможность реализована в версиях 3.x, но в сильно урезанном виде. После трех лет разработки первый технический релиз 4.0.0TP1 был выпущен в январе 2006 года. Впоследствии альфа-релизы появляются регулярно. Последняя версия 4.0.0-alpha14 выпущена 24 декабря 2010 года.

Права доступа.

Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.

Вот и добрались до этапа, где непосредственно и происходит магия разграничения прав доступа для различных групп, а через них и пользователям (точнее их учётным записям).

Итак, у нас есть директория по адресу C:\dostup\, которую мы уже выдали в доступ по сети всем сотрудникам. Внутри каталога C:\dostup\ ради примера создадим папки Договора, Приказы, Учёт МЦ. Предположим, что есть задача сделать:

папка Договора должна быть доступна для Бухгалтеров только на чтение. Чтение и запись для группы Менеджеров.
папка УчётМЦ должна быть доступна для Бухгалтеров на чтение и запись. Группа Менеджеров не имеет доступа.
папка Приказы должна быть доступна для Бухгалтеров и Менеджеров только на чтение.

На папке Договора правой клавишей и там Свойства — вкладка Безопасность. Мы видим что какие-то группы и пользователи уже имеют к ней доступ. Эти права были унаследованы от родителя dostup\, а та в свою очередь от своего родителя С:

Мы прервём это наследование прав и назначим свои права-хотелки.

Жмём кнопку Дополнительно — вкладка Разрешения — кнопка Изменить разрешения.

Сначала прерываем наследование прав от родителя. Снимаем галочку Добавить разрешения, наследуемые от родительских объектов. Нас предупредят, что разрешения от родителя не будут применяться к данному объекту (в данном случае это папка Договора). Выбор: Отмена или Удалить или Добавить. Жмём Добавить и права от родителя останутся нам в наследство, но больше права родителя на нас не будут распространяться. Другими словами, если в будущем права доступа у родителя (папка dostup) изменить — это не скажется на дочерней папке Договора. Заметьте в поле Унаследовано от стоит не унаследовано. То есть связь родитель — ребёнок разорвана.

Теперь аккуратно удаляем лишние права, оставляя Полный доступ для Администраторов и Система. Выделяем по очереди всякие Прошедшие проверку и просто Пользователи и удаляем кнопкой Удалить.

Кнопка Добавить в данном окне Дополнительные параметры безопасности предназначена для опытных админов, которые смогут задать особые, специальные разрешения. Статья же нацелена на знания опытного пользователя.

Мы ставим галочку Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта и жмём Ок. Возвращаемся назад и снова Ок, чтобы вернуться к простому виду Свойства.

Данное окно позволит упрощённо достигнуть желаемого. Кнопка Изменить выведет окно «Разрешения для группы».

Жмём Добавить. В новом окне пишем Бухгалтеры и жмём «Проверить имена» — Ок. По умолчанию даётся в упрощённом виде доступ «на чтение». Галочки в колонке Разрешить автоматически выставляются «Чтение и выполнение», «Список содержимого папки«, «Чтение». Нас это устраивает и жмём Ок.

Теперь по нашему техническому заданию нужно дать права на чтение и запись для группы Менеджеры. Если мы в окне Свойства, то снова Изменить — Добавить — вбиваем Менеджеры — Проверить имена. Добавляем в колонке Разрешить галочки Изменение и Запись.

Теперь нужно всё проверить!

Следите за мыслью. Мы приказали, чтобы папка Договора не наследовала права от свого родителя dostup. Приказали дочерним папкам и файлам внутри папки Договора наследовать права от неё.

На папку Договора мы наложили следующие права доступа: группа Бухгалтеры должна только читать файлы и открывать папки внутри, а группа Менеджеры создавать, изменять файлы и создавать папки.

Следовательно, если внутри директории Договора будет создаваться файл-документ, на нём будут разрешения от его родителя. Пользователи со своими учётными записями будут получать доступ к таким файлам и каталогам через свои группы.

Зайдите в папку Договора и создайте тестовый файл договор1.txt

На нём щелчок правой клавишей мыши и там Свойства — вкладка Безопасность — Дополнительно — вкладка Действующие разрешения.

Жмём Выбрать и пишем учётную запись любого бухгалтера, к примеру buh1. Мы видим наглядно, что buh1 получил права от своей группы Бухгалтеры, которые обладают правами на чтение к родительской папке Договора, которая «распространяет» свои разрешения на свои дочерние объекты.

Пробуем manager2 и видим наглядно, что менеджер получает доступ на чтение и запись, так как входит в группу Менеджеры, которая даёт такие права для данной папки.