Active Directory - szybki start - Udostępnianie i uprawnienia
Wstęp
Udostępnianie i uprawnienia są to bardzo ważne tematy które są obecne w codziennej pracy każdego administratora AD.
Trochę teorii...
Udostępnianie jest to zezwalanie na wykorzystywanie danych zasobów.
Uprawnienia - są to pozwolenia lub odmowy do wykonywania konkretnego działania na zasobie.
Te dwa zagadnienia dzisiaj przećwiczymy na przykładach. Aby lepiej wszystko to zrozumieć, zróbmy założenia i wymagania następnie przejdźmy do wykonywania zadań.
Założenia
W naszej firmie powstały następujące potrzeby:
- utworzenie udostępnionego folderu z którego będą mogły korzystać wszystkie osoby z Księgowości, natomiast wszyscy z Administracji będą mogli tylko podejrzeć co tam jest bez możliwości zapisu ani usuwania.
- zainstalowanie drukarki po stronie serwera oraz udostępnienie jej dla Administracji (tylko wydruk).
Tak jak widać nie mamy dużo do zrobienia ale są to tematy szerokie więc zwrócę uwagę na trochę istotnych szczegółów. A więc zaczynamy.
Instalacja drukarki
Logujemy się na serwer i od razu przechodzimy do "Urządzeń i drukarek". Klikamy "Add Printer".
Niestety nie posiadam żadnej drukarki sieciowej ani też żadnej nie mam podłączonej do serwera dlatego, też zainstaluję drukarkę podłączoną do nieistniejącego portu tylko dla testów. Jeżeli macie jakąś drukarkę to warto z niej skorzystać - testy na żywo zawsze są lepsze. Także wybieramy "The printer that I want isn't listed". Wybieramy drukarkę lokalną jak poniżej.
Wybieramy domyślny port LPT1: tak jak poniżej.
W kolejnym kroku wybieramy dowolną drukarkę, ja wybieram HP LJ 1600 :)
W kolejnym kroku kreator pyta nas od razu czy drukarkę udostępniamy.
Ok na tym kroku się zatrzymam. Możemy nie udostępniać drukarki albo udostępnić ją. Możemy również zdefiniować nazwę udziału, lokalizację, oraz komentarze. Uzupełniam wszystko tak jak widać niżej.
Nie ma żadnych wymagań co do nazewnictwa albo jakiś szczególnych zaleceń co do uzupełniania tych pól. Natomiast od siebie dodam, że o wiele łatwiej jest potem wykorzystywać taki udział w skryptach jeżeli w nazwie udziału nie ma polskich znaków ani spacji (printer_ksiegowosc). Warto również dodać przedrostek "printer_" lub podobny. Pozostałe to kwestie organizacyjne. Przechodzimy dalej. Drukarka zainstalowana i to nawet domyślna.
Co dalej? W zasadzie udostępniona drukarka jest i można ją instalować już po stronie użytkowników ale jak zrobić, żeby nasze wymagania były spełnione? Musimy ustawić uprawnienia.
Ustawianie uprawnień do drukarki
Ok w takim razie wchodzimy W "printer properties" (właściwości drukarki) i od razu przechodzimy do zakładki "security" (zabezpieczenia).
Kurczę widać tutaj jakieś skomplikowane rzeczy... A więc omówię kolejne wpisy w części poniżej (są to działania które ktoś może wykonać na drukarce). Mamy takie uprawnienia jak:
- Print (drukuj) - umożliwia nam drukowanie na tej drukarce,
- Manage this printer (zarządzaj drukarką) - umożliwia nam zmianę ustawień, wyłączenia i włączenia drukarki (tryb offline) itd.
- Manage dokuments (zarządzanie zadaniami drukowania) - to chyba jasne, wywalanie z kolejki wznawianie oraz wstrzymywanie zadań drukowania.
- Special permissions - pomijamy są to zaawansowane ustawienia
Ok teraz szybkie omówienie wpisów w "Group or user names" Tutaj mamy wpisane osoby które mają jakieś uprawnienia do tej drukarki (uprawnienia omówiliśmy przed chwilą). Dla każdej z tych osób możemy włączyć lub wyłączyć konkretne uprawnienie. Przy każdym z uprawnień mamy jeszcze Allow (zezwól) lub Deny (odmów). O co tutaj chodzi?
Zaznaczenie w kolumnie allow lub deny włącza nadawanie lub odmawianie konkretnego uprawnienia - zawsze jest brane pod uwagę bardziej surowe. To w zasadzie wszystko. Bardzo ważna reguła warta zapamiętania!
Ok to teraz obiecane omówienie osób tutaj już wymienionych.
Everyone - to wszyscy, każdy się łapie pod tą osobę. Jak widać wszyscy mają prawo drukować na tej drukarce - taka sytuacja jest niedopuszczalna dla nas więc odznaczamy przy Print / Allow.
ALL APPLICATION PACKAGES - zostawiamy jak jest, jest to potrzebne do drukowania z aplikacji MODERN Win8/8.1
CREATOR OWNER (twórca / właściciel) - jest to osoba która utworzyła obiekt (w tym przypadku drukarkę) - zostawiamy jak jest
Administrator - jest to administrator domenowy - zostawiamy jak jest
Administrators - grupa użytkowników w której są wszyscy administratorzy domenowi - zostawiamy jak jest.
Server operators - grupa użytkowników - operatorzy serwera - zostawiamy jak jest.
Print Operators - grupa użytkowników - operatorów drukowania - zostawiamy jak jest
Ok! To w takim razie jak dodać tutaj użytkowników z Administracji? Przyciskiem Add oczywiście. Ale między czasie zerknijmy kto tam w ogóle w tej Administracji pracuje... Odpalamy Active Directory Users and Computers z Server Manager i zaglądamy do Administracji...
Aha to jak tak to dodajemy tych dwóch Panów do listy w uprawnieniach drukarki i zaznaczamy im allow przy print.
No to super, zatwierdzamy i mamy to! Hehe. Ok to teraz jak z tego skorzystać? Odpalamy PC01 i logujemy się na jnowak albo jkowalski oczywiście zmieniając hasło jeżeli jeszcze się nie logował. Wchodzimy w mój komputer i klikamy nasz serwer. Jeżeli nie mamy włączonego wyszukiwania komputerów w otoczeniu sieciowym to możemy też skorzystać ze scieżki UNC
\\sdc01\
Jest nasza drukarka! Klikamy połącz i zaczynamy instalację... Powinna przejść bez najmniejszego problemu... Sprawdzamy czy się zainstalowała...
Jest! Ok teraz możemy sprawdzić czy na użytkowniku innym niż Ci których dodaliśmy możemy drukować. To już sprawdźcie we własnym zakresie.
Jedziemy dalej...
Udostępnianie folderu
Zakładamy folder na serwerze na dysku C:\ nazywamy go udzial_księgowosc. Klikamy na nim prawym klawiszem myszy i wchodzimy we właściwości. Od razu przechodzimy do zakładki sharing (udostępnianie) i klikamy Advanced sharing (zaawansowane udostępnianie). Zaznaczamy Share this folder (udostępnij ten folder).
W tym okienku możemy ustawić nazwę, na ile jednoczesnych połączeń pozwalamy, możemy dodać komentarz - i najważniejsze ustawić uprawnienia. Ok więc wchodzimy w Permissions (uprawnienia) i zaznaczamy jak poniżej.
Ok a dlaczego tak? Przecież tutaj dostęp miał być nadany księgowości oraz administracji. A tutaj mamy na liście "Wszyscy" i im dajemy pełną kontrolę... coś chyba tutaj jest nie tak. Już tłumaczę o co tutaj chodzi.
Trochę teorii jak są sprawdzane uprawnienia.
Przyjmijmy, że użytkownik który chce skorzystać z udostępnionego folderu wchodzi na ten folder na serwerze. Wtedy to serwer sprawdza czy może wejść na udział (okienko powyżej), mamy ustawione, że każdy może więc wpuszcza użytkownika na udział. Następnie są sprawdzane uprawnienia NTFS (dyskowe) do tego konkretnego folderu, jeżeli tam nie ma uprawnień dla użytkownika który próbuje wejść to odczyt zawartości folderu jest niemożliwy. Ok rozumiemy w takim razie, że tutaj zezwalamy na wszystko wszystkim a ograniczać będziemy gdzieś w innym miejscu. Tak! Tutaj zatwierdzamy tak jak ustawiliśmy. Przechodzimy zatem we właściwościach folderu do zakładki "security" (zabezpieczenia).
Kurcze czy to okienko nie jest podobne do tego w którym ustawiamy uprawnienia użytkownikom na udostępnionej drukarce? Tak! Jest identyczne, różni się tylko zestawem uprawnień. Klikamy Edit...
I okazuje się, że nie możemy usunąć Users ani nic im wyłączyć a udział nie ma być dostępny dla wszystkich. Co zatem zrobić? Dlaczego tak jest? W systemie NTFS jest coś takiego jak dziedziczenie uprawnień z folderów wyżej. Oznacza to, że jeżeli mamy ustawione uprawnienia na dany folder to inne foldery w środku również mają takie same uprawnienia bo je dziedziczą od rodzica. Tak jest też w tym przypadku. Folder dziedziczy uprawnienia po dysku C:\ który też ma swój komplet uprawnień. Musimy więc wyłączyć dziedziczenie w tym folderze, żeby ustawić uprawnienia po swojemu. Pod przyciskiem advanced (zaawansowane) mamy taką możliwość. Klikamy Disable inheritance (wyłącz dziedziczenie).
Ok a teraz o co tu chodzi? Kreator pyta czy ma ustawić ręcznie uprawnienia takie jak folder miał jak dziedziczenie było włączone czy ma usunąć wszystkie uprawnienia jakie były odziedziczone. Wybieramy dla bezpieczeństwa zawsze tą pierwszą opcję a potem ustawiamy po swojemu. Klikamy "Convert...." Co dalej?
Hm... jakoś to inaczej wygląda niż wcześniej prawda? Tak bo jesteśmy w zaawansowanym widoku w którym widać o wiele więcej. Ale też musimy się nauczyć w nim poruszać. Ok co robimy? Po pierwsze usuwamy Users. Zostaną nam SYSTEM (potrzebny - nigdy nie usuwamy - potrzebny np. do zrobienia kopii zapasowej), Administrators - grupa administratorów domenowych - zostawiamy bo inaczej nie będziemy mogli zarządzać tym folderem, oraz CREATOR OWNER - twórca właściciel - zostawiamy jak jest. Ok teraz dodajemy Add... i wybieramy użytkowników z Księgowości...
Jak widać możemy bardzo szczegółowo tutaj wszystko poustawiać. Po pierwsze mamy Typ zabezpieczenia wybrany na Allow, mamy również wybrany zakres obowiązywania naszego ustawienia na "ten folder, podfoldery i pliki". Z uprawnień zaznaczamy "Modify". Zestaw uprawnień dla tej Pani mamy ustalony. Nie dajemy Full control - pełna kontrola służy tylko to zmiany uprawnień a tego nikt poza administratorami domenowymi nie powinien mieć. Ok zatwierdzamy i dodajemy drugą Panią z księgowości. Następnie dodajemy kolegów z Administracji ale nie dajemy im "Modify" więc nie będą mogli nic zmieniać w folderze. Ok to super. Efekty poniżej.
Kurczę ale to fajne! Naprawdę mamy kontrolę nad tymi uprawnieniami bardzo szczegółową. No klasa sama w sobie. Klikamy ok zatwierdzamy i możemy testować z różnych użytkowników co kto może i jestem pewny, że sami to już posprawdzacie. Serwer nam będzie pilnował co kto może i będzie to działać dobrze. W sumie osiągnęliśmy to co chcieliśmy.
Podsumowanie
Udostępniliśmy drukarkę temu komu mieliśmy udostępnić, udostępniliśmy folder zgodnie z założeniami ustawiliśmy uprawnienia. Ogólnie działa nam wszystko dobrze fajnie i prosto. Ale czy napewno? Jak gdyby się zastanowić to tak. Jednak zwróćcie uwagę na to, że nie zrobiliśmy uprawnień tak jak powinniśmy... Ale jak to zapytacie? W założeniach mieliśmy, że wszyscy pracownicy księgowości mieli mieć udostępnioną drukarkę a zrobiliśmy tylko dla dwóch użytkowników z księgowości - ale przecież tylko dwóch mamy! No tak ale jak jutro będzie trzeci? To znowu mamy tak wyklikiwać uprawnienia na wszystkie drukarki i foldery które mamy? Jak mamy tego mało to ok możemy tak zrobić ale jeżeli mamy tego całą masę to po prostu nic innego w pracy nie będziemy robić tylko ustawiać uprawnienia. Musimy to sobie jakoś ułatwić... W następnym odcinku. Zapraszam.
Brak komentarzy:
Prześlij komentarz