Настраиваем общие ресурсы и сетевые диски в локальной сети
Общими ресурсами в сети являются папки и принтеры. Даже если игнорировать остальные возможности сети, служба общего доступа к файлам и принтерам пригодится в любом случае. Компьютер, на котором находится общий ресурс, выступает сервером (соответствующая служба Windows так и называется — сервер, LanmanServer). Компьютер, обращающийся к папкам и принтерам по сети, является клиентом.
Как уже сказано, в ОС Windows действуют два вида разрешений на обращение к объектам: локальные (разрешения NTFS) и сетевые (разрешения Share). При этом для файлов существуют только разрешения NTFS, для принтеров — только разрешения Share, а для папок — оба рода разрешений. Разрешения для общего ресурса (Share) и разрешения NTFS друг от друга никак не зависят. Однако окончательные разрешения на доступ к общей папке определяются с учетом и тех, и других. В результате любые прямые запреты перекрывают любые разрешения.
«Игра разрешениями» — удел опытных системных администраторов, которые, например, могут одному пользователю предоставить полный доступ к какой-либо папке, другому — разрешить только чтение ее содержимого, а третьему — позволить все, кроме удаления находящихся в этой папке файлов. На практике такая детальная настройка нужна далеко не всегда, чаще бывает достаточно предоставить всем либо полный доступ к папке, либо доступ только для чтения.
В Windows 7 одна папка с общим сетевым доступом предусмотрена по умолчанию: папка ПользователиОбщие (UsersPublic). Вложенные в нее папки Общие документы, Общие изображения и т. д. включены в соответствующие библиотеки. Любой объект, помещенный туда, станет доступен по сети. При желании доступ по сети можно открыть к любой папке. На примере Windows 7 это делается так:
- В контекстном меню выберите команду Общий доступ. Во вложенном меню доступно несколько команд.
- Первая, Никому из пользователей, запрещает доступ всем, кроме владельца папки, даже если такой доступ ранее был открыт.
- Две следующих команды касаются домашней группы — об этом чуть позже.
- Выберите последнюю команду — Конкретные пользователи… Откроется диалоговое окно Общий доступ к файлам.
- Из раскрывающегося списка выберите пользователя или группу, которым следует открыть доступ. Нажмите кнопку Добавить, и этот пользователь или группа добавятся в список.
- В списке, в столбце Уровень разрешений, выберите один из вариантов: Чтение или Чтение и запись (рис. 8.9).
- Нажмите кнопку Общий доступ, и папка станет сетевым ресурсом.
Всегда ли открытие сетевого доступа к папке означает, что пользователи из сети на самом деле получат к ней доступ? Вовсе не обязательно! Принципиальное влияние на работу компьютера с общими ресурсами оказывает локальная политика безопасности Сетевой доступ: модель совместного доступа и безопасности для локальных учетных записей. Существуют две модели сетевого доступа: обычная и гостевая.
Если выбрана обычная модель, то все пользователи, обращающиеся к компьютеру из сети, проверяются на предмет совпадения с учетными записями, существующими на локальном компьютере. Если на компьютере-«сервере» такой записи нет — операционная система вообще отказывает пользователю в доступе. Если же такая учетная запись есть, то обратившемуся из сети пользователю даются полномочия доступа, определенные для этой учетной записи. В результате можно открыть доступ к определенной папке одному пользователю, но закрыть другому. Более того, одному дается полный доступ, другому — право на чтение и изменение, третьему — только на чтение, и т. д. Основное условие: на «сервере» должна существовать учетная запись с таким же именем и паролем, как та, под которой пользователь работает на «клиенте».
Гостевая модель подразумевает, что любой пользователь из сети рассматривается системой как гость. Неважно, есть такая же учетная запись на компьютере или нет — всякий пользователь из сети получает права, предусмотренные учетной записью Гость. При этом учетная запись Гость на «сервере» должна быть включена — иначе сетевому пользователю в доступе будет отказано.
Напрямую политиками безопасности управляют через оснастки консоли MMC. Это самый мощный инструмент системного администрирования. Однако простым пользователям в хитросплетения политик лучше не вникать, а действовать только через обычный интерфейс — для этого в Windows предусмотрено несколько простых настроек.
В Windows XP по умолчанию принята гостевая модель. За эту настройку отвечает флажок Использовать простой общий доступ к файлам (рекомендуется) на вкладке Вид диалогового окна Свойства папки (Панель управления → Свойства папки). По умолчанию он установлен, если же его снять, в действие вступает обычная модель совместного доступа. Одновременно начинают учитываться разрешения NTFS, а в диалогах свойств каждой папки отображается вкладка Безопасность.
В Windows Vista и Windows 7, напротив, по умолчанию принята обычная модель. Переключение между обычной и гостевой моделью «спрятано» в Центре управления сетями и общим доступом. В левой части окна Центра управления сетями и общим доступом выберите ссылку Изменить дополнительные параметры общего доступа. В открывшемся окне почти в самом низу длинного списка находится переключатель Общий доступ с парольной защитой (рис. 8.10). Когда он установлен в положение Включить общий доступ с парольной защитой, работает обычная модель, в противном случае — гостевая.
В Windows 7 для совместного доступа рекомендуется использовать домашнюю группу. В чем ее смысл и как домашняя группа вписывается в модели сетевого доступа? Как только компьютер создает домашнюю группу или присоединяется к уже существующей, на нем задействуется особая учетная запись HomeGroupUser. Она входит в группу HomeUsers и служит исключительно для авторизации при совместном доступе к папкам и принтерам.
Такая схема избавляет от необходимости создавать одинаковые учетные записи пользователей, как если бы использовалась гостевая модель, но при этом обеспечивает безопасность, свойственную обычной модели доступа. Можно сказать, что это третья, комбинированная модель доступа. Заметим, что она доступна только в том случае, если в свойствах сетевого подключения задействован протокол TCP/IPv6. Кроме того, в домашней группе могут участвовать только компьютеры под управлением Windows 7.