Laboratorium 15 (Zarządzanie dostępem do zasobów)

Transkrypt

ITA-107 Systemy operacyjne
Radosław Frąckowiak
Moduł 7
Wersja 1
Zarządzanie dostępem do zasobów
Spis treści
Zarządzanie dostępem do zasobów ..................................................................................................... 1
Informacje o module ............................................................................................................................ 2
Przygotowanie teoretyczne ................................................................................................................. 3
Przykładowy problem .................................................................................................................. 3
Podstawy teoretyczne.................................................................................................................. 3
Porady praktyczne ....................................................................................................................... 7
Uwagi dla studenta ...................................................................................................................... 7
Dodatkowe źródła informacji....................................................................................................... 8
Laboratorium podstawowe .................................................................................................................. 9
Problem 1 (czas realizacji 45 min)................................................................................................ 9
Laboratorium rozszerzone ................................................................................................................. 16
Moduł 7
Informacje o module
Opis modułu
W module tym znajdziesz informacje na temat zarządzania dostępem do
zasobów. Poznasz uprawnienia standardowe i specjalne, oraz dowiesz się, w
jaki sposób nadawać je użytkownikom do obiektów. Zostanie wyjaśnione
pojęcie dziedziczenia uprawnień oraz sposób, w jaki można je wykorzystać.
Cel modułu
Celem modułu jest zapoznanie z zagadnieniami dotyczącymi zarządzania
dostępem do zasobów a w szczególności nadawanie uprawnień do
folderów udostępnionych i na poziomie NTFS
Uzyskane kompetencje
Po zrealizowaniu modułu będziesz:
• wiedział, co to są uprawnienia i jak z nich skorzystać definiując
poziom dostępu do zasobu
• potrafił stworzyć udostępniony folder i nadać do niego uprawnienia
dla użytkowników i grup
• rozumiał, na czym polega dziedziczenie uprawnień
Wymagania wstępne
Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu
rozpocząć pracę z tym modułem
Mapa zależności modułu
Przed przystąpieniem do realizacji tego modułu nie jest wymagane
zapoznanie się z materiałem zawartym w innych modułach.
Strona 2/16
Moduł 7
Przygotowanie teoretyczne
Przykładowy problem
Twoim zadaniem jest stworzenie odpowiedniej struktury katalogów, w której użytkownicy z
poszczególnych działów będą przechowywać swoje dokumenty, oraz przypisać dla nich
odpowiednie uprawnienia w taki sposób, by tylko osoby z odpowiednich działów miały dostęp do
odpowiadającym im folderów. Dodatkowo w jednym z folderów będą zainstalowane udostępnione
aplikacje. Musisz odpowiednio nadać uprawnienia do niego.
Podstawy teoretyczne
Kontrola dostępu
Kontrola dostępu jest procesem autoryzacji użytkowników, grup i komputerów podczas dostępu do
obiektu w sieci lub na komputerze. Kluczowymi pojęciami z tym związanymi są uprawnienia,
własność obiektu, dziedziczone uprawnienia, prawa użytkownika i audyt obiektu.
Uprawnienia
Uprawnienia definiują typ dostępu przydzielany użytkownikowi lub grupie do obiektu lub do
właściwości obiektu. Używając interfejsu kontroli dostępu, można nadawać uprawnienia NTFS do
obiektów takich jak pliki i foldery, obiektów Active Directory, rejestrów lub obiektów systemu
takich jak procesy. Uprawnienia mogą być przypisane do użytkownika, grupy lub komputera. Dobrą
praktyką jest nadawanie uprawnień dla grup, ponieważ zwiększa to wydajność systemu podczas
weryfikowania dostępu do obiektu.
Do każdego obiektu można nadać uprawnienia dla:
• grup, użytkowników i innych obiektów posiadających identyfikator zabezpieczeń (SID) w
domenie
• grup i użytkowników w domenie i domenach zaufanych
• lokalnych użytkowników i grup na komputerach gdzie dany obiekt się znajduje
Uprawnienia związane z obiektem zależą od jego typu. Np. uprawnienia, które mogą być związane z
plikiem mogą być różne od uprawnień dotyczących klucza rejestru. Jednak niektóre uprawnienia są
wspólne dla większości typów obiektów. Są to:
•
•
•
•
Read
Modify
Change owner
Delete
Ustawiając uprawnienia definiujemy poziom dostępu dla grup lub użytkowników. Np. możemy
pozwolić jednemu użytkownikowi czytać zawartość pliku, innemu robić w nim zmiany, a wszystkim
innym zabronić do niego dostępu. Podobnie można ustawić uprawnienia do drukarki gdzie kilku
użytkowników może ją konfigurować a pozostali używać tylko do drukowania.
Właściciel obiektu
Właściciel jest przypisywany w momencie, gdy obiekt jest tworzony. Domyślnie, właścicielem
obiektu jest jego twórca. Nie ma znaczenia, jakie posiada on uprawnienia do obiektu, ponieważ
zawsze może je zmienić.
Dziedziczenie uprawnień
Dziedziczenie ułatwia administratorom nadawanie uprawnień i zarządzanie nimi. Właściwość ta
polega na tym, że obiekty znajdujące się w kontenerze automatycznie otrzymują wszystkie
dziedziczone od niego uprawnienia. Np. wszystkie pliki w folderze w momencie tworzenia
dziedziczą uprawnienia od tego folderu.
Strona 3/16
Moduł 7
Prawa użytkownika
Prawa użytkownika dają specyficzne przywileje dla użytkowników i grup w środowisku
komputerów. Administrator może przypisywać określone prawa do grup lub kont indywidualnych
użytkowników. Umożliwiają one użytkownikom wykonywanie specyficznych akcji takich jak
interaktywne logowanie do systemu czy wykonywanie kopii zapasowej plików i folderów. Prawa
użytkownika różnią się od uprawnień, ponieważ są przypisywane do kont użytkownika, a
uprawnienia są połączone z obiektem. Mimo, że prawa użytkownika mogą być przypisywane do
indywidualnych kont użytkowników, zalecane jest by nadawać je korzystając z grup. Do
przypisywania praw użytkownikom wykorzystywana jest przystawka Local Security Settings.
Audyt obiektu
Posiadając prawa administratora można śledzić zakończone sukcesem lub porażką dostępy
użytkowników do obiektów. Korzystając z interfejsu kontroli dostępu użytkownika można wybrać
obiekt, który chcemy sprawdzać, lecz najpierw trzeba uruchomić tą funkcjonalność przy pomocy
przystawki Local Security Settings włączając Audit object Access w Local Policy. Następnie można
zobaczyć te powiązane z bezpieczeństwem zdarzenia w dzienniku Security w narzędziu Event
Viewer.
Zarządzanie uprawnieniami
Każdy kontener i obiekt w sieci posiada połączony ze sobą zbiór informacji o kontroli dostępu.
Informacje te służą do kontroli typu dostępu dla użytkowników i grup.
Uprawnienia są
zdefiniowane w deskryptorze bezpieczeństwa obiektu i są przypisane do użytkowników i grup.
Typowym przykładem obiektu z deskryptorem zabezpieczeń jest plik. Np. dla pliku raport.xls
wbudowana grupa Administrators może posiadać uprawnienia Full Control, a grupa G Finanse tylko
Read i Write.
Każde przypisanie uprawnień do użytkownika lub grupy jest reprezentowane w systemie, jako zapis
kontroli dostępu (ang. access control entry). Zbiór takich zapisów w deskryptorze zabezpieczeń
obiektu jest znany, jako lista kontroli dostępu (ang. access control list). W ten sposób do pliku
raport.xls lista ACL posiada dwa wpisy ACE, jeden dla grupy Administrators i drugi dla G Finanse
(Rys. 1).
Rys. 1 Okno interfejsu kontroli dostępu
Strona 4/16
Moduł 7
Istnieją dwa typy uprawnień:
• Uprawnienia przypisane bezpośrednio – nadawane bezpośrednio na obiekcie przez
użytkownika.
• Uprawnienia dziedziczone – propagowane do obiektu od obiektu nadrzędnego (rodzica).
Ułatwiają zadania związane z zarządzaniem uprawnieniami i zapewniają spójność uprawnień
dla wszystkich obiektów wewnątrz kontenera.
Domyślnie, obiekty wewnątrz kontenera dziedziczą od niego uprawnienia w momencie, kiedy są
tworzone. Na przykład, kiedy tworzymy folder o nazwie MojeRaporty, wszystkie tworzone w nim
podfoldery i pliki automatycznie dziedziczą od niego uprawnienia. Folder MojeRaporty posiada
uprawnienia przypisane bezpośrednio a podfoldery i pliki mają uprawnienia dziedziczone.
Jeśli uprawnienia nie maja być dziedziczone należy w folderze nadrzędnym w ustawieniach
uprawnień specjalnych w sekcji Apply onto wybrać opcję This folder only. Uprawnienia specjalne
dostępne są poprzez zakładkę Permissions. W przypadku, gdy chcemy by tylko kilka plików lub
folderów w kontenerze nie dziedziczyło uprawnień należy wybrać na każdym z nich polecenie
Properties, następnie zakładkę Security, kliknąć przycisk Advanced a potem odznaczyć opcję
Include inheritable permissions from this object’s parent.
Jeśli check box Allow lub Deny powiązany z uprawnieniem jest wyszarzony, oznacza to uprawnienie
jest dziedziczone z folderu nadrzędnego. Są trzy metody zmiany dziedziczonych uprawnień:
• Zaznaczyć przeciwne uprawnienie (Allow lub Deny), aby nadpisać dziedziczone uprawnienie
• Wyczyścić check box Include inheritable permissions from this object’s parent. Będzie wtedy
można zmodyfikować dziedziczone uprawnienie lub usunąć użytkownika lub grupę z listy
ACL. W takim wypadku uprawnienia plik lub folder nie będzie dłużej dziedziczył uprawnień
od folderu nadrzędnego
• Zrobić pożądaną zmianę na folderze nadrzędnym, a plik lub folder poniżej odziedziczy
ustawienie
W większości przypadkach ustawienie Deny nadpisuje Allow, nie dotyczy to sytuacji, kiedy folder
dziedziczy konfliktowe ustawienia od różnych rodziców. W takim wypadku obiekt dziedziczy
ustawienie od rodzica bliższego w drzewie folderów.
Zarządzając dostępem możemy korzystać z uprawnień standardowych i specjalnych. Uprawnienia
standardowe są zdefiniowanymi zastawami uprawnień wykorzystywanymi najczęściej przez
administratorów w codziennym zarządzaniu. Uprawnienia specjalne są bardziej szczegółową listą
uprawnień. Z nich budowane są uprawnienia standardowe.
Tabela 1 Uprawnienia standardowe i wchodzące w ich skład uprawnienia szczegółowe
Uprawnienia specjalne
Full
Modify
Read & List Folder
Control
Execute Contents
(tylko
dla
folderów)
Read
Write
Traverse Folder/Execute File x
x
x
x
List Folder/Read Data
x
x
x
x
x
Read Attributes
x
x
x
x
x
Read Extended Attributes
x
x
x
x
x
Create Folders/Append Data x
x
x
Create Folders/Append Data x
x
x
Write Attributes
x
X
x
Strona 5/16
Moduł 7
Write Extended Attributes
x
x
x
Delete Subfolders and Files
x
Delete
x
x
Read Permissions
x
x
x
x
x
x
Change Permissions
x
Take Ownership
x
Synchronize
x
x
x
x
x
x
Dostęp do folderu na serwerze plików może być określony na dwóch poziomach: uprawnień
ustawionych na udostępnionym folderze i uprawnień NTFS zdefiniowanych na folderze (mogą być
także na pliku). Uprawnienia udostępnienia często są wykorzystywane przy zarządzaniu dostępem
do komputerów z systemem plików FAT32, lub innych komputerów nieobsługujących systemu
NTFS.
Uprawnienia udostępnienia i NTFS są niezależne w sensie ustawiania ich na folderze. Rzeczywiste
uprawnienia do udostępnionego folderu zależą zarówno od uprawnień do udostępnionego folderu
jak i od uprawnień NTFS – bardziej restrykcyjne są obowiązujące.
Tabela (Tabela 2) przedstawia sugerowane uprawnienia dla różnych typów udostępnionych
folderów. Jest to jedna z alternatyw, ponieważ niektórzy doświadczeni administratorzy preferują
nadawanie uprawnień Full Control dla grupy Everyone, a ograniczanie dostępu dopiero na
poziomie NTFS.
Tabela 2 Sugerowane uprawnienia dla różnych typów folderów
Typ folderu
Uprawnienia udostępnionego Uprawnienia NTFS
folder
Folder Publiczny
Folder dostępny dla
wszystkich
Nadane
uprawnienie Nadane uprawnienie Modify
Change do grupy Users
dla grupy Users
Folder do wrzucania
Nadane
uprawnienie Nadane uprawnienie Write
Change dla grupy Users.
zastosowane tylko do tego
Folder gdzie użytkownicy
folderu (ang. This folder only)
mogą umieszczać tajne
Nadane uprawnienie Full
dla grupy Users (opcja
raporty, które czytać
Control
dla
grupy
dostępna w Advanced).
mogą tylko grupy
kierowników
kierowników
Jeśli każdy z użytkowników
potrzebuje
pewnych
uprawnień do plików, które
umieścił w tym folderze,
można
stworzyć
wpis
uprawnień dla grupy Creator
Owner i zasosować do do
podfolderów i plików (ang.
Subfolder and files Only
Folder aplikacji
Folder zawierający
Nadane
uprawnienie Nadane
uprawnienie
Read dla grupy Users.
Read,Read and Execute i List
folder Content dla grupy
Strona 6/16
Moduł 7
aplikacje uruchamiane z
sieci
Foldery domowe
Indywidualny folder dla
każdego użytkownika.
Tylko użytkownik ma do
niego dostęp
Users.
Control
dla
każdego
użytkownika
na
odpowiadającym
mu
folderze.
Control
dla
każdego
użytkownika
na
odpowiadającym mu folderze.
Każdy obiekt posiada zbiór połączonych z nim efektywnych uprawnień. Na zakładce Effective
Permissions w opcjach Advanced Security Settings można wyświetlić uprawnienia nadane
bezpośrednio użytkownikowi oraz uzyskiwane przez niego poprzez przynależność do grup.
Podsumowanie
W tym rozdziale przedstawione zostały zagadnienia związane z zarządzaniem dostępem do
obiektów. Wyjaśnione zostały uprawnienia standardowe i specjalne, oraz zasady ich dziedziczenia.
Omówiono, w jaki sposób nadawać uprawnienia do folderu udostępnionego i uprawnienia NTFS.
Porady praktyczne
• Dziedziczone uprawnienie, które jest zabronione (ang. Deny) nie uniemożliwia dostępu, jeśli
obiekt ma bezpośrednio przypisane uprawnienie zezwalaj (ang. Allow). Uprawnienie nadane
bezpośrednio ma pierwszeństwo nad uprawnieniem dziedziczonym.
• W systemie Wndows Server 2008 i Windows Server 2003, domyślnie grupa Everyone nie
zawiera w sobie grupy Anonymous, więc uprawnienia przypisane grupie Everyone nie
dotyczą grupy Anonymous
• Pomimo tego że uprawnienia List Folder Contents i Read & Execute mają takie same
uprawnienia szczegółowe, to są one dziedziczone w różny sposób. Uprawnienie List Folder
Contents jest dziedziczone przez foldery, ale nie przez pliki i powinno być widoczne tylko,
kiedy widzimy uprawnienia folderu. Uprawnienie Read & Execute jest dziedziczone zarówno
przez pliki, jaki foldery i jest widoczne zawsze widoczne w podglądzie uprawnień plików i
folderów.
• Grupy i użytkownicy, którzy mają uprawnienie Full Control do folderu mogą usunąć dowolne
pliki w folderze niezależnie od nadanych do nich uprawnień
• Nadając użytkownikowi uprawnienie Full Control do folderu pozwala się jemu na przejęcie na
własność tego folderu
• Jeśli chcesz zarządzać dostępem do folderu tylko poprzez NTFS, nadaj uprawnienia do
udostępnionego folderu, jako Full Control dka grupy Everyone.
• Uprawnienia NTFS mają wpływ zarówno na dostęp lokalny jak i zdalny. Są wykorzystywane
niezależnie od używanego protokołu. Uprawnienia udostępnionego folderu nie działają na
użytkowników korzystających lokalnie z zasobu, oraz na użytkowników korzystających z
serwera terminali, na którym jest udostępniony zasób.
Uwagi dla studenta
Jesteś przygotowany do realizacji laboratorium jeśli:
• rozumiesz co to są uprawnienia
• umiesz zarządzać uprawnieniami
• potrafisz zarządzać dziedziczeniem uprawnień
Strona 7/16
Moduł 7
• wiesz, czym się różnią uprawnienia podstawowe od szczegółowych
Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że
rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego
w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów.
Dodatkowe źródła informacji
1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press,
2008
Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum
administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest
posiadaczem tytułu Microsoft Most Valuable Professional.. Informacje dotyczące tego modułu
znajdują się w rozdziale trzecim
Strona 8/16
Moduł 7
Laboratorium podstawowe
Problem 1 (czas realizacji 45 min)
Jesteś administratorem w firmie. Wraz z kolegami zaprojektowałeś strukturę folderów na dyskach
serwerów Rys. 2 .
Rys. 2 Projekt struktury folderów
Musisz teraz stworzyć foldery, udostępnić je i przypisać uprawnienia do nich zgodnie z tabelą
Tabela 3.
Tabela 3 Uprawnienia do folderów
Folder
Grupa
Uprawnienia NTFS
Uprawnienia
dla
folderu
udostępnionego
E:\Public
Authenticated Users
Traverse Folder /
Change
Execute File
List Folder /
Read Data
Read Permissions
E:\Public\Accounting
E:\Public\HR
Nazwakomputera\Administrators
Full Control
DL NWTraders Accounting Personnel
Full Control
Full Control
Full Control
DL NWTraders HR Personnel Full
Full Control
Control
E:\HR Reports
Full Control
DL NWTraders HR Personnel Full
Control
Full Control
DL NWTraders Accounting Managers
Read
Read
Należy również przeprowadzić testy, by mieć pewność, że użytkownicy mogą korzystać z folderów
zgodnie z planem. Chcesz, by na zdalnym serwerze w centrali był stworzony folder
NazwakomputeraFolder, udostępniony pod nazwą Nazwakomputera Admins Folder, w którym
będzie przechowywana dokumentacja, z której korzystają wszyscy administratorzy
przedsiębiorstwa. Usuń grupie Users uprawnienia NTFS do tego folderu, a grupie G
NazwakomputeraAdmins daj uprawnienia Modify. Zabierz grupie Everyone uprawnienia do
udostępnionego folderu i daj tylko dla G NazwakomputeraAdmins. Chcesz zezwolić na 15
jednoczesnych połączeń do tego folderu. Chcesz w przyszłości monitorować wykorzystanie
przestrzeni dyskowej przez poszczególnych użytkowników. Po stworzeniu folderu HR skopiowałeś
tam pliki działu Human Resources. Chcesz, by właścicielem ich był użytkownik HRManager.
Strona 9/16
Moduł 7
Użytkownik NazwakomputeraUser zgłasza Tobie, że nie może zapisywać plików w folderze Public –
sprawdź jego uprawnienia efektywne.
Zadanie
Tok postępowania
1. Uruchom
maszynę
wirtualną
2. Zaloguj się na
konto z
uprawnieniami
administracyjnymi
• Uruchom maszynę wirtualną 2008 Templ.
3. Stwórz
strukturę
folderów
i przypisz im
uprawnienia
• Na dysku E: stwórz folder Public.
• Kliknij na nim prawy przycisk myszy i z menu kontekstowego wybierz
Properties.
• W oknie Public Properties wybierz zakładkę Sharing.
• Kliknij przycisk Advanced Sharing.
• W oknie User Account Control wybierz Continue.
• W oknie Advanced Sharing zaznacz pole wyboru Share this folder.
• Wybierz przycisk Permissions.
• W oknie Permissions for Public w sekcji Group or user names zaznacz
Everyone i naciśnij przycisk Remove.
• Kliknij przycisk Add.
• W oknie Select Users, Computers, or Groups wpisz Authenticated
Users i naciśnij OK.
• W sekcji Permissions for Authenticated Users zaznacz pole Change w
kolumnie Allow.
• Naciśnij OK.
• Naciśnij OK.
• W oknie Public Properties wybierz zakładkę Security.
• Wybierz przycisk Advanced.
• W oknie Advanced Security Settings for Public wybierz przycisk Edit.
• Odznacz opcję Include inheritable permissions from this object’s
parents.
• W oknie Windows Security wybierz Copy.
• W sekcji Permision entries zaznacz System i kliknij przycisk Remove.
• Powtórz czynność dla innych wpisów z pominięciem Administrators
(Nazwakomputera\Administrators).
• Kliknij przycisk Add.
• W oknie Select User, Computers, or Group wpisz Authenticated User
i naciśnij OK.
• W oknie Permission Entry for Public w sekcji Apply to wybierz This
folder only.
• W sekcji Permissions zaznacz w kolumnie Allow:
•
•
•
•
•
Naciśnij na klawiaturze prawy Alt+Delete.
Naciśnij przycisk Switch User.
Naciśnij przycisk Other User.
W polu User Name wpisz NazwakomputeraAdmin.
W polu Password wpisz P@ssw0rd i naciśnij Enter.
— Traverse folder / execute file
— List folder / read data
— Read permissions
• Naciśnij OK.
Strona 10/16
•
•
•
•
Moduł 7
Naciśnij OK.
Naciśnij OK.
Naciśnij Close.
W folderze Public stwórz dwa foldery:
— Accounting
— HR
W trakcie tworzenia folderów pojawi się okno User Account Control.
Należy wybrać przycisk Continue.
• Kliknij prawym przycisk myszy folder
fo
Accounting i z menu
kontekstowego wybierz Properties.
• W oknie Accounting Properties wybierz zakładkę Security.
• Wybierz
W
przycisk Continue.
• W oknie User Account Control wybierz Continue..
• W oknie Permissions for Accounting kliknij Add.
• W oknie Select User, Computers, or Group wpisz DL NWTraders
Accounting Personnel Full Controli naciśnij OK.
• W oknie Permissions for Accounting zaznacz Full Control w kolumnie
Allow i naciśnij OK.
• Naciśnij OK.
• Kliknij prawym przyciskiem
przycisk
myszy folder HR i z menu kontekstowego
wybierz Properties.
• W oknie HR Properties wybierz zakładkę Security.
• Wybierz przycisk Continue.
• W oknie User Account Control wybierz Continue..
• W oknie Permissions for Accounting kliknij Add.
• W oknie Select User, Computers, or Group wpisz DL NWTraders HR
Personnel Full Control i naciśnij OK.
• W oknie Permissions for Accounting zaznacz Full Control w kolumnie
Allow i naciśnij OK.
• Naciśnij OK.
• Wyloguj się.
4. Testowanie
uprawnień do
folderów
udostępnionych
•
•
•
•
•
•
W polu User Name wpisz HRUser.
Enter
W
Wybierz
Start i w polu Start Search wpisz:
\\
\Nazwakomputera\Public\Accounting
Powinno pojawić się okno Network Error,
Error w którym wybierz
Diagnose. W oknie Windows Network Diagnostics zapoznaj się z
komunikatem i naciśnij Cancel.
• Wybierz
W
E:
:\Public\Accounting
Powinno pojawić się okno Accounting z informacją o braku uprawnień
- naciśnij Cancel.
• Wybierz
W
Strona 11/16
Moduł 7
\\Nazwakomputera\Public\HR
• Stwórz w folderze HR plik tekstowy.
• Wybierz Start i w polu Start Search wpisz:
E:\Public\HR
• Stwórz w folderze HR plik tekstowy.
• Wyloguj się.
5. Stworzenie
i udostępnienie
folderu HR
Reports
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
W polu User Name wpisz NazwakomputeraAdmin.
Na dysku E: stwórz folder HR Reports.
Kliknij na nim prawy przycisk myszy i menu kontekstowego wybierz
Properties.
W oknie HR Reports Properties wybierz zakładkę Sharing.
Kliknij przycisk Advanced Sharing.
W oknie User Account Control wybierz Continue.
W oknie Advanced Sharing zaznacz pole wyboru Share this folder.
W oknie Comments wpisz Raporty działu Human Resources.
Wybierz przycisk Permissions.
W oknie Permissions for HR Reports w sekcji Group or user names
zaznacz Everyone i naciśnij przycisk Remove.
Kliknij przycisk Add.
W oknie Select Users, Computers, or Groups wpisz DL NWTraders HR
Personnel Full Control i naciśnij OK.
W sekcji Permissions for DL NWTraders HR Personnel Full Control
zaznacz pole Full Control w kolumnie Allow.
Kliknij przycisk Add.
W oknie Select Users, Computers, or Groups wpisz DL NWTraders
Accounting Managers Read i naciśnij OK.
W sekcji Permissions for DL NWTraders Accounting Managers Read
sprawdź czy jest zaznaczone pole Read w kolumnie Allow.
Naciśnij OK.
Naciśnij OK.
W oknie HR Reports Properties wybierz zakładkę Security.
Naciśnij przycisk Edit.
W sekcji Group or user names zaznacz Users.
W sekcji Permisions for Users zaznacz Modify w kolumnie Allow.
Naciśnij OK.
Naciśnij Close.
Wyloguj się
•
•
•
•
•
•
W polu User Name wpisz AccountingManager.
Wybierz Start i w polu Start Search wpisz:
•
•
•
•
•
•
•
•
•
•
•
•
•
6. Testowanie
udostępnionego
folderu
\\Nazwakomputera\HR Reports
Strona 12/16
Moduł 7
• Stwórz w folderze nowy plik tekstowy.
Powinno pojawić się okno Destination Folder Access Denied.
Denied Jeżeli
nie, to oznacza, że nadano nieprawidłowe uprawnienia dla grup naciśnij Cancel.
•
•
•
•
•
•
•
Wyloguj się.
W polu User Name wpisz HRUser.
Enter
W
Wybierz
\\
\Nazwakomputera\HR Reports
• Stwórz w folderze nowy plik tekstowy.
Wylogu się
Wyloguj
7. Tworzenie
i udostępnianie
folderu na
zdalnym
komputerze
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
W polu User Name wpisz [email protected].
[email protected]
Enter
Wybierz menu Start -> Administrative Tools ->
- Share and Storage
Management
Management.
W oknie Share and Storage Management wybierz menu Action
i polecenie Connect to another Computer.
W oknie Connect to Another computer zaznacz Another computer
i wpisz London.
Naciśnij Ok.
Wybierz menu Action -> Provision Share.
W oknie Shared Folder Location w polu Location wpisz
E:
E:\NazwakomputeraFolder
i naciśnij Next.
W oknie informującym o braku folderu i pytaniu o jego stworzenie
naciśnij OK.
W oknie Provision a Shared Folder Wizard naciśnij Yes.
W oknie NTFS Permission zaznacz Yes, change NTFS permissions
i naciśnij przycisk Edit Permissions.
W oknie Permissions for NazwakomputeraFolder naciśnij przycisk
Advanced
Advanced.
W oknie Advanced Security Settings for NazwacomputeraFolder
Nazwacomputera
odznacz opcje Include inheritable permissions from this object’s
parent
parent.
W oknie Windows Security naciśnij Copy.
Naciśnij OK.
W oknie Permissions for NazwakomputeraFolder zaznacz grupę Users
i naciśnij przycisk Remove.
Naciśnij przycisk Add.
W oknie Select Users, Computers, or Groups wpisz G
NazwakomputeraAdmins i naciśnij OK.
W oknie Permissions for NazwakomputeraFolder w sekcji Permissions
for G NazwakomuteraAdmins zaznacz uprawnienie Modify w kolumnie
Strona 13/16
Moduł 7
Allow
Allow.
• Naciśnij OK.
• W oknie NTFS Permission wybierz Next.
• W oknie Share Protocols w polu Share name wpisz Nazwakomputera
Admins Folder i naciśnij Next.
• W oknie SMB Settings w polu Description wpisz Folder
Administratorow miasta Nazwakomputera.
• Wybierz przycisk Advanced.
• W oknie Advanced na zakładce User Limits zaznacz Allow this number
users i wpisz wartość 15.
• Zaznacz pole Enable access-based enumeration i naciśnij OK.
• W oknie SMB Settings naciśnij Next.
• W oknie SMB Permissions zaznacz opcję Users and groups have custom
share permissions i naciśnij przycisk Permissions.
Permissions
• W oknie Permissions for Nazwakomputera Admins Folder zaznacz
grupę Everyone i naciśnij przycisk Remove.
• Naciśnij przycisk Add.
• W oknie Select Users, Computers, or Groups wpisz G
NazwakomputeraAdmins i naciśnij OK.
• W sekcji Permisions for G NazwakomputeraAdmins zaznacz Change w
kolumnie Allow
• Naciśnij przycisk Add.
• W oknie Select Users, Computers, or Groups wpisz Administrators
i naciśnij OK.
• W sekcji Permisions for Administrators zaznacz Full Control w kolumnie
Allow
Allow.
• Nacisnij OK.
• W oknie SMB Permissions naciśnij Next.
• W oknie DFS Namespace Publishing naciśnij Next.
Next
• W oknie Review Settings and Create Share naciśnij Create.
• W oknie Confirmation naciśnij Close.
• Wybierz Start i w polu Start Search wpisz \\London
London.
Zobacz, że wśród dostępnych udziałów na serwerze London jest
stworzony przez Ciebie folder Nazwakomputera Admins Folder.
Folder
• Otwórz udział i stwórz w nim plik tekstowy.
8. Zmiana
właściciela
folderu
• Otwórz folder E:\Public.
• Kliknij prawym przyciskiem myszy naa folderze HR i z menu
• Wybierz zakładkę Security.
• Kliknij przycisk Advanced.
• Wybierz zakładkę Owner.
• Kliknij przycisk Edit.
• Kliknij przycisk Other users or groups.
• W oknie Select Users, Computers, or Groups wpisz HRManager i
naciśnij OK.
• Zaznacz opcję Replace owner on subcontainers and objects.
objects
• W sekcji Change owner to zaznacz HRManager.
• Kliknij przycisk Apply.
• W oknie Windows Security naciśnij OK.
Strona 14/16
Moduł 7
Sprawdź, że w polu Current owner jest wyświetlene HRManager
([email protected]).
• Naciśnij OK.
• Naciśnij OK.
• Naciśnij OK.
9. Sprawdzenie
uprawnień do
folderu
• Kliknij prawym przyciskiem myszy na folderze E:\Public i z menu
• Wybierz zakładkę Security.
• Kliknij przycisk Advanced.
• Wybierz
Wybi zakładkę Effective Permissions.
• Kliknij przycisk Select
• W oknie Select Users, Computers, or Groups wpisz
NazwakomputeraUser i naciśnij OK.
awdź jakie uprawnienia posiada
W sekcji Effective permissions sprawdź
użytkownik NazwakomputeraUser.
• Naciśnij OK.
• Naciśnij OK.
Strona 15/16
Moduł 7
Laboratorium rozszerzone
Strona 16/16

Laboratorium 15 (Zarządzanie dostępem do zasobów)

Transkrypt

Podobne dokumenty

INSTRUKCJA INSTALACJI OPROGRAMOWANIA SUNBIRD 1

instrukcja

serializacja PC-Market Lite

Instalacja sterowników kamer Point Grey

Jak znaleźć adres MAC w systemie Windows 8

REJESTRACJA URZĄDZENIA