Laboratorium 15 (Zarządzanie dostępem do zasobów)
Transkrypt
Laboratorium 15 (Zarządzanie dostępem do zasobów)
ITA-107 Systemy operacyjne Radosław Frąckowiak Moduł 7 Wersja 1 Zarządzanie dostępem do zasobów Spis treści Zarządzanie dostępem do zasobów ..................................................................................................... 1 Informacje o module ............................................................................................................................ 2 Przygotowanie teoretyczne ................................................................................................................. 3 Przykładowy problem .................................................................................................................. 3 Podstawy teoretyczne.................................................................................................................. 3 Porady praktyczne ....................................................................................................................... 7 Uwagi dla studenta ...................................................................................................................... 7 Dodatkowe źródła informacji....................................................................................................... 8 Laboratorium podstawowe .................................................................................................................. 9 Problem 1 (czas realizacji 45 min)................................................................................................ 9 Laboratorium rozszerzone ................................................................................................................. 16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Informacje o module Opis modułu W module tym znajdziesz informacje na temat zarządzania dostępem do zasobów. Poznasz uprawnienia standardowe i specjalne, oraz dowiesz się, w jaki sposób nadawać je użytkownikom do obiektów. Zostanie wyjaśnione pojęcie dziedziczenia uprawnień oraz sposób, w jaki można je wykorzystać. Cel modułu Celem modułu jest zapoznanie z zagadnieniami dotyczącymi zarządzania dostępem do zasobów a w szczególności nadawanie uprawnień do folderów udostępnionych i na poziomie NTFS Uzyskane kompetencje Po zrealizowaniu modułu będziesz: • wiedział, co to są uprawnienia i jak z nich skorzystać definiując poziom dostępu do zasobu • potrafił stworzyć udostępniony folder i nadać do niego uprawnienia dla użytkowników i grup • rozumiał, na czym polega dziedziczenie uprawnień Wymagania wstępne Ten moduł nie ma żadnego wymagania wstępnego. Możesz od razu rozpocząć pracę z tym modułem Mapa zależności modułu Przed przystąpieniem do realizacji tego modułu nie jest wymagane zapoznanie się z materiałem zawartym w innych modułach. Strona 2/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Przygotowanie teoretyczne Przykładowy problem Twoim zadaniem jest stworzenie odpowiedniej struktury katalogów, w której użytkownicy z poszczególnych działów będą przechowywać swoje dokumenty, oraz przypisać dla nich odpowiednie uprawnienia w taki sposób, by tylko osoby z odpowiednich działów miały dostęp do odpowiadającym im folderów. Dodatkowo w jednym z folderów będą zainstalowane udostępnione aplikacje. Musisz odpowiednio nadać uprawnienia do niego. Podstawy teoretyczne Kontrola dostępu Kontrola dostępu jest procesem autoryzacji użytkowników, grup i komputerów podczas dostępu do obiektu w sieci lub na komputerze. Kluczowymi pojęciami z tym związanymi są uprawnienia, własność obiektu, dziedziczone uprawnienia, prawa użytkownika i audyt obiektu. Uprawnienia Uprawnienia definiują typ dostępu przydzielany użytkownikowi lub grupie do obiektu lub do właściwości obiektu. Używając interfejsu kontroli dostępu, można nadawać uprawnienia NTFS do obiektów takich jak pliki i foldery, obiektów Active Directory, rejestrów lub obiektów systemu takich jak procesy. Uprawnienia mogą być przypisane do użytkownika, grupy lub komputera. Dobrą praktyką jest nadawanie uprawnień dla grup, ponieważ zwiększa to wydajność systemu podczas weryfikowania dostępu do obiektu. Do każdego obiektu można nadać uprawnienia dla: • grup, użytkowników i innych obiektów posiadających identyfikator zabezpieczeń (SID) w domenie • grup i użytkowników w domenie i domenach zaufanych • lokalnych użytkowników i grup na komputerach gdzie dany obiekt się znajduje Uprawnienia związane z obiektem zależą od jego typu. Np. uprawnienia, które mogą być związane z plikiem mogą być różne od uprawnień dotyczących klucza rejestru. Jednak niektóre uprawnienia są wspólne dla większości typów obiektów. Są to: • • • • Read Modify Change owner Delete Ustawiając uprawnienia definiujemy poziom dostępu dla grup lub użytkowników. Np. możemy pozwolić jednemu użytkownikowi czytać zawartość pliku, innemu robić w nim zmiany, a wszystkim innym zabronić do niego dostępu. Podobnie można ustawić uprawnienia do drukarki gdzie kilku użytkowników może ją konfigurować a pozostali używać tylko do drukowania. Właściciel obiektu Właściciel jest przypisywany w momencie, gdy obiekt jest tworzony. Domyślnie, właścicielem obiektu jest jego twórca. Nie ma znaczenia, jakie posiada on uprawnienia do obiektu, ponieważ zawsze może je zmienić. Dziedziczenie uprawnień Dziedziczenie ułatwia administratorom nadawanie uprawnień i zarządzanie nimi. Właściwość ta polega na tym, że obiekty znajdujące się w kontenerze automatycznie otrzymują wszystkie dziedziczone od niego uprawnienia. Np. wszystkie pliki w folderze w momencie tworzenia dziedziczą uprawnienia od tego folderu. Strona 3/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Prawa użytkownika Prawa użytkownika dają specyficzne przywileje dla użytkowników i grup w środowisku komputerów. Administrator może przypisywać określone prawa do grup lub kont indywidualnych użytkowników. Umożliwiają one użytkownikom wykonywanie specyficznych akcji takich jak interaktywne logowanie do systemu czy wykonywanie kopii zapasowej plików i folderów. Prawa użytkownika różnią się od uprawnień, ponieważ są przypisywane do kont użytkownika, a uprawnienia są połączone z obiektem. Mimo, że prawa użytkownika mogą być przypisywane do indywidualnych kont użytkowników, zalecane jest by nadawać je korzystając z grup. Do przypisywania praw użytkownikom wykorzystywana jest przystawka Local Security Settings. Audyt obiektu Posiadając prawa administratora można śledzić zakończone sukcesem lub porażką dostępy użytkowników do obiektów. Korzystając z interfejsu kontroli dostępu użytkownika można wybrać obiekt, który chcemy sprawdzać, lecz najpierw trzeba uruchomić tą funkcjonalność przy pomocy przystawki Local Security Settings włączając Audit object Access w Local Policy. Następnie można zobaczyć te powiązane z bezpieczeństwem zdarzenia w dzienniku Security w narzędziu Event Viewer. Zarządzanie uprawnieniami Każdy kontener i obiekt w sieci posiada połączony ze sobą zbiór informacji o kontroli dostępu. Informacje te służą do kontroli typu dostępu dla użytkowników i grup. Uprawnienia są zdefiniowane w deskryptorze bezpieczeństwa obiektu i są przypisane do użytkowników i grup. Typowym przykładem obiektu z deskryptorem zabezpieczeń jest plik. Np. dla pliku raport.xls wbudowana grupa Administrators może posiadać uprawnienia Full Control, a grupa G Finanse tylko Read i Write. Każde przypisanie uprawnień do użytkownika lub grupy jest reprezentowane w systemie, jako zapis kontroli dostępu (ang. access control entry). Zbiór takich zapisów w deskryptorze zabezpieczeń obiektu jest znany, jako lista kontroli dostępu (ang. access control list). W ten sposób do pliku raport.xls lista ACL posiada dwa wpisy ACE, jeden dla grupy Administrators i drugi dla G Finanse (Rys. 1). Rys. 1 Okno interfejsu kontroli dostępu Strona 4/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Istnieją dwa typy uprawnień: • Uprawnienia przypisane bezpośrednio – nadawane bezpośrednio na obiekcie przez użytkownika. • Uprawnienia dziedziczone – propagowane do obiektu od obiektu nadrzędnego (rodzica). Ułatwiają zadania związane z zarządzaniem uprawnieniami i zapewniają spójność uprawnień dla wszystkich obiektów wewnątrz kontenera. Domyślnie, obiekty wewnątrz kontenera dziedziczą od niego uprawnienia w momencie, kiedy są tworzone. Na przykład, kiedy tworzymy folder o nazwie MojeRaporty, wszystkie tworzone w nim podfoldery i pliki automatycznie dziedziczą od niego uprawnienia. Folder MojeRaporty posiada uprawnienia przypisane bezpośrednio a podfoldery i pliki mają uprawnienia dziedziczone. Jeśli uprawnienia nie maja być dziedziczone należy w folderze nadrzędnym w ustawieniach uprawnień specjalnych w sekcji Apply onto wybrać opcję This folder only. Uprawnienia specjalne dostępne są poprzez zakładkę Permissions. W przypadku, gdy chcemy by tylko kilka plików lub folderów w kontenerze nie dziedziczyło uprawnień należy wybrać na każdym z nich polecenie Properties, następnie zakładkę Security, kliknąć przycisk Advanced a potem odznaczyć opcję Include inheritable permissions from this object’s parent. Jeśli check box Allow lub Deny powiązany z uprawnieniem jest wyszarzony, oznacza to uprawnienie jest dziedziczone z folderu nadrzędnego. Są trzy metody zmiany dziedziczonych uprawnień: • Zaznaczyć przeciwne uprawnienie (Allow lub Deny), aby nadpisać dziedziczone uprawnienie • Wyczyścić check box Include inheritable permissions from this object’s parent. Będzie wtedy można zmodyfikować dziedziczone uprawnienie lub usunąć użytkownika lub grupę z listy ACL. W takim wypadku uprawnienia plik lub folder nie będzie dłużej dziedziczył uprawnień od folderu nadrzędnego • Zrobić pożądaną zmianę na folderze nadrzędnym, a plik lub folder poniżej odziedziczy ustawienie W większości przypadkach ustawienie Deny nadpisuje Allow, nie dotyczy to sytuacji, kiedy folder dziedziczy konfliktowe ustawienia od różnych rodziców. W takim wypadku obiekt dziedziczy ustawienie od rodzica bliższego w drzewie folderów. Zarządzając dostępem możemy korzystać z uprawnień standardowych i specjalnych. Uprawnienia standardowe są zdefiniowanymi zastawami uprawnień wykorzystywanymi najczęściej przez administratorów w codziennym zarządzaniu. Uprawnienia specjalne są bardziej szczegółową listą uprawnień. Z nich budowane są uprawnienia standardowe. Tabela 1 Uprawnienia standardowe i wchodzące w ich skład uprawnienia szczegółowe Uprawnienia specjalne Full Modify Read & List Folder Control Execute Contents (tylko dla folderów) Read Write Traverse Folder/Execute File x x x x List Folder/Read Data x x x x x Read Attributes x x x x x Read Extended Attributes x x x x x Create Folders/Append Data x x x Create Folders/Append Data x x x Write Attributes x X x Strona 5/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Write Extended Attributes x x x Delete Subfolders and Files x Delete x x Read Permissions x x x x x x Change Permissions x Take Ownership x Synchronize x x x x x x Dostęp do folderu na serwerze plików może być określony na dwóch poziomach: uprawnień ustawionych na udostępnionym folderze i uprawnień NTFS zdefiniowanych na folderze (mogą być także na pliku). Uprawnienia udostępnienia często są wykorzystywane przy zarządzaniu dostępem do komputerów z systemem plików FAT32, lub innych komputerów nieobsługujących systemu NTFS. Uprawnienia udostępnienia i NTFS są niezależne w sensie ustawiania ich na folderze. Rzeczywiste uprawnienia do udostępnionego folderu zależą zarówno od uprawnień do udostępnionego folderu jak i od uprawnień NTFS – bardziej restrykcyjne są obowiązujące. Tabela (Tabela 2) przedstawia sugerowane uprawnienia dla różnych typów udostępnionych folderów. Jest to jedna z alternatyw, ponieważ niektórzy doświadczeni administratorzy preferują nadawanie uprawnień Full Control dla grupy Everyone, a ograniczanie dostępu dopiero na poziomie NTFS. Tabela 2 Sugerowane uprawnienia dla różnych typów folderów Typ folderu Uprawnienia udostępnionego Uprawnienia NTFS folder Folder Publiczny Folder dostępny dla wszystkich Nadane uprawnienie Nadane uprawnienie Modify Change do grupy Users dla grupy Users Folder do wrzucania Nadane uprawnienie Nadane uprawnienie Write Change dla grupy Users. zastosowane tylko do tego Folder gdzie użytkownicy folderu (ang. This folder only) mogą umieszczać tajne Nadane uprawnienie Full dla grupy Users (opcja raporty, które czytać Control dla grupy dostępna w Advanced). mogą tylko grupy kierowników kierowników Jeśli każdy z użytkowników potrzebuje pewnych uprawnień do plików, które umieścił w tym folderze, można stworzyć wpis uprawnień dla grupy Creator Owner i zasosować do do podfolderów i plików (ang. Subfolder and files Only Folder aplikacji Folder zawierający Nadane uprawnienie Nadane uprawnienie Read dla grupy Users. Read,Read and Execute i List folder Content dla grupy Strona 6/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów aplikacje uruchamiane z sieci Foldery domowe Indywidualny folder dla każdego użytkownika. Tylko użytkownik ma do niego dostęp Users. Nadane uprawnienie Full Control dla każdego użytkownika na odpowiadającym mu folderze. Nadane uprawnienie Full Control dla każdego użytkownika na odpowiadającym mu folderze. Każdy obiekt posiada zbiór połączonych z nim efektywnych uprawnień. Na zakładce Effective Permissions w opcjach Advanced Security Settings można wyświetlić uprawnienia nadane bezpośrednio użytkownikowi oraz uzyskiwane przez niego poprzez przynależność do grup. Podsumowanie W tym rozdziale przedstawione zostały zagadnienia związane z zarządzaniem dostępem do obiektów. Wyjaśnione zostały uprawnienia standardowe i specjalne, oraz zasady ich dziedziczenia. Omówiono, w jaki sposób nadawać uprawnienia do folderu udostępnionego i uprawnienia NTFS. Porady praktyczne • Dziedziczone uprawnienie, które jest zabronione (ang. Deny) nie uniemożliwia dostępu, jeśli obiekt ma bezpośrednio przypisane uprawnienie zezwalaj (ang. Allow). Uprawnienie nadane bezpośrednio ma pierwszeństwo nad uprawnieniem dziedziczonym. • W systemie Wndows Server 2008 i Windows Server 2003, domyślnie grupa Everyone nie zawiera w sobie grupy Anonymous, więc uprawnienia przypisane grupie Everyone nie dotyczą grupy Anonymous • Pomimo tego że uprawnienia List Folder Contents i Read & Execute mają takie same uprawnienia szczegółowe, to są one dziedziczone w różny sposób. Uprawnienie List Folder Contents jest dziedziczone przez foldery, ale nie przez pliki i powinno być widoczne tylko, kiedy widzimy uprawnienia folderu. Uprawnienie Read & Execute jest dziedziczone zarówno przez pliki, jaki foldery i jest widoczne zawsze widoczne w podglądzie uprawnień plików i folderów. • Grupy i użytkownicy, którzy mają uprawnienie Full Control do folderu mogą usunąć dowolne pliki w folderze niezależnie od nadanych do nich uprawnień • Nadając użytkownikowi uprawnienie Full Control do folderu pozwala się jemu na przejęcie na własność tego folderu • Jeśli chcesz zarządzać dostępem do folderu tylko poprzez NTFS, nadaj uprawnienia do udostępnionego folderu, jako Full Control dka grupy Everyone. • Uprawnienia NTFS mają wpływ zarówno na dostęp lokalny jak i zdalny. Są wykorzystywane niezależnie od używanego protokołu. Uprawnienia udostępnionego folderu nie działają na użytkowników korzystających lokalnie z zasobu, oraz na użytkowników korzystających z serwera terminali, na którym jest udostępniony zasób. Uwagi dla studenta Jesteś przygotowany do realizacji laboratorium jeśli: • rozumiesz co to są uprawnienia • umiesz zarządzać uprawnieniami • potrafisz zarządzać dziedziczeniem uprawnień Strona 7/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów • wiesz, czym się różnią uprawnienia podstawowe od szczegółowych Pamiętaj o zapoznaniu się z uwagami i poradami zawartymi w tym module. Upewnij się, że rozumiesz omawiane w nich zagadnienia. Jeśli masz trudności ze zrozumieniem tematu zawartego w uwagach, przeczytaj ponownie informacje z tego rozdziału i zajrzyj do notatek z wykładów. Dodatkowe źródła informacji 1. Wiliam R.Stanek, Microsoft Windows Server 2008. Vedemecum administratora, Microsoft Press, 2008 Książka wielokrotnie nagradzanego autora wielu podręczników serii „Vedemecum administratora”. Wiliam R. Stanek ma za sobą ponad 20 lat owocnych wdrożeń i jest posiadaczem tytułu Microsoft Most Valuable Professional.. Informacje dotyczące tego modułu znajdują się w rozdziale trzecim Strona 8/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Laboratorium podstawowe Problem 1 (czas realizacji 45 min) Jesteś administratorem w firmie. Wraz z kolegami zaprojektowałeś strukturę folderów na dyskach serwerów Rys. 2 . Rys. 2 Projekt struktury folderów Musisz teraz stworzyć foldery, udostępnić je i przypisać uprawnienia do nich zgodnie z tabelą Tabela 3. Tabela 3 Uprawnienia do folderów Folder Grupa Uprawnienia NTFS Uprawnienia dla folderu udostępnionego E:\Public Authenticated Users Traverse Folder / Change Execute File List Folder / Read Data Read Permissions E:\Public\Accounting E:\Public\HR Nazwakomputera\Administrators Full Control DL NWTraders Accounting Personnel Full Control Full Control Nazwakomputera\Administrators Full Control DL NWTraders HR Personnel Full Full Control Control Nazwakomputera\Administrators E:\HR Reports Full Control DL NWTraders HR Personnel Full Control Full Control DL NWTraders Accounting Managers Read Read Należy również przeprowadzić testy, by mieć pewność, że użytkownicy mogą korzystać z folderów zgodnie z planem. Chcesz, by na zdalnym serwerze w centrali był stworzony folder NazwakomputeraFolder, udostępniony pod nazwą Nazwakomputera Admins Folder, w którym będzie przechowywana dokumentacja, z której korzystają wszyscy administratorzy przedsiębiorstwa. Usuń grupie Users uprawnienia NTFS do tego folderu, a grupie G NazwakomputeraAdmins daj uprawnienia Modify. Zabierz grupie Everyone uprawnienia do udostępnionego folderu i daj tylko dla G NazwakomputeraAdmins. Chcesz zezwolić na 15 jednoczesnych połączeń do tego folderu. Chcesz w przyszłości monitorować wykorzystanie przestrzeni dyskowej przez poszczególnych użytkowników. Po stworzeniu folderu HR skopiowałeś tam pliki działu Human Resources. Chcesz, by właścicielem ich był użytkownik HRManager. Strona 9/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Użytkownik NazwakomputeraUser zgłasza Tobie, że nie może zapisywać plików w folderze Public – sprawdź jego uprawnienia efektywne. Zadanie Tok postępowania 1. Uruchom maszynę wirtualną 2. Zaloguj się na konto z uprawnieniami administracyjnymi • Uruchom maszynę wirtualną 2008 Templ. 3. Stwórz strukturę folderów i przypisz im uprawnienia • Na dysku E: stwórz folder Public. • Kliknij na nim prawy przycisk myszy i z menu kontekstowego wybierz Properties. • W oknie Public Properties wybierz zakładkę Sharing. • Kliknij przycisk Advanced Sharing. • W oknie User Account Control wybierz Continue. • W oknie Advanced Sharing zaznacz pole wyboru Share this folder. • Wybierz przycisk Permissions. • W oknie Permissions for Public w sekcji Group or user names zaznacz Everyone i naciśnij przycisk Remove. • Kliknij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz Authenticated Users i naciśnij OK. • W sekcji Permissions for Authenticated Users zaznacz pole Change w kolumnie Allow. • Naciśnij OK. • Naciśnij OK. • W oknie Public Properties wybierz zakładkę Security. • Wybierz przycisk Advanced. • W oknie Advanced Security Settings for Public wybierz przycisk Edit. • Odznacz opcję Include inheritable permissions from this object’s parents. • W oknie Windows Security wybierz Copy. • W sekcji Permision entries zaznacz System i kliknij przycisk Remove. • Powtórz czynność dla innych wpisów z pominięciem Administrators (Nazwakomputera\Administrators). • Kliknij przycisk Add. • W oknie Select User, Computers, or Group wpisz Authenticated User i naciśnij OK. • W oknie Permission Entry for Public w sekcji Apply to wybierz This folder only. • W sekcji Permissions zaznacz w kolumnie Allow: • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. — Traverse folder / execute file — List folder / read data — Read permissions • Naciśnij OK. Strona 10/16 Radosław Frąckowiak ITA-107 Systemy operacyjne • • • • Moduł 7 Zarządzanie dostępem do zasobów Naciśnij OK. Naciśnij OK. Naciśnij Close. W folderze Public stwórz dwa foldery: — Accounting — HR W trakcie tworzenia folderów pojawi się okno User Account Control. Należy wybrać przycisk Continue. • Kliknij prawym przycisk myszy folder fo Accounting i z menu kontekstowego wybierz Properties. • W oknie Accounting Properties wybierz zakładkę Security. • Wybierz W przycisk Continue. • W oknie User Account Control wybierz Continue.. • W oknie Permissions for Accounting kliknij Add. • W oknie Select User, Computers, or Group wpisz DL NWTraders Accounting Personnel Full Controli naciśnij OK. • W oknie Permissions for Accounting zaznacz Full Control w kolumnie Allow i naciśnij OK. • Naciśnij OK. • Kliknij prawym przyciskiem przycisk myszy folder HR i z menu kontekstowego wybierz Properties. • W oknie HR Properties wybierz zakładkę Security. • Wybierz przycisk Continue. • W oknie User Account Control wybierz Continue.. • W oknie Permissions for Accounting kliknij Add. • W oknie Select User, Computers, or Group wpisz DL NWTraders HR Personnel Full Control i naciśnij OK. • W oknie Permissions for Accounting zaznacz Full Control w kolumnie Allow i naciśnij OK. • Naciśnij OK. • Wyloguj się. 4. Testowanie uprawnień do folderów udostępnionych • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz HRUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter W Wybierz Start i w polu Start Search wpisz: \\ \Nazwakomputera\Public\Accounting Powinno pojawić się okno Network Error, Error w którym wybierz Diagnose. W oknie Windows Network Diagnostics zapoznaj się z komunikatem i naciśnij Cancel. • Wybierz W Start i w polu Start Search wpisz: E: :\Public\Accounting Powinno pojawić się okno Accounting z informacją o braku uprawnień - naciśnij Cancel. • Wybierz W Start i w polu Start Search wpisz: Strona 11/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów \\Nazwakomputera\Public\HR • Stwórz w folderze HR plik tekstowy. • Wybierz Start i w polu Start Search wpisz: E:\Public\HR • Stwórz w folderze HR plik tekstowy. • Wyloguj się. 5. Stworzenie i udostępnienie folderu HR Reports • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz NazwakomputeraAdmin. W polu Password wpisz P@ssw0rd i naciśnij Enter. Na dysku E: stwórz folder HR Reports. Kliknij na nim prawy przycisk myszy i menu kontekstowego wybierz Properties. W oknie HR Reports Properties wybierz zakładkę Sharing. Kliknij przycisk Advanced Sharing. W oknie User Account Control wybierz Continue. W oknie Advanced Sharing zaznacz pole wyboru Share this folder. W oknie Comments wpisz Raporty działu Human Resources. Wybierz przycisk Permissions. W oknie Permissions for HR Reports w sekcji Group or user names zaznacz Everyone i naciśnij przycisk Remove. Kliknij przycisk Add. W oknie Select Users, Computers, or Groups wpisz DL NWTraders HR Personnel Full Control i naciśnij OK. W sekcji Permissions for DL NWTraders HR Personnel Full Control zaznacz pole Full Control w kolumnie Allow. Kliknij przycisk Add. W oknie Select Users, Computers, or Groups wpisz DL NWTraders Accounting Managers Read i naciśnij OK. W sekcji Permissions for DL NWTraders Accounting Managers Read sprawdź czy jest zaznaczone pole Read w kolumnie Allow. Naciśnij OK. Naciśnij OK. W oknie HR Reports Properties wybierz zakładkę Security. Naciśnij przycisk Edit. W sekcji Group or user names zaznacz Users. W sekcji Permisions for Users zaznacz Modify w kolumnie Allow. Naciśnij OK. Naciśnij Close. Wyloguj się • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz AccountingManager. W polu Password wpisz P@ssw0rd i naciśnij Enter. Wybierz Start i w polu Start Search wpisz: • • • • • • • • • • • • • 6. Testowanie udostępnionego folderu \\Nazwakomputera\HR Reports Strona 12/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów • Stwórz w folderze nowy plik tekstowy. Powinno pojawić się okno Destination Folder Access Denied. Denied Jeżeli nie, to oznacza, że nadano nieprawidłowe uprawnienia dla grup naciśnij Cancel. • • • • • • • Wyloguj się. Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz HRUser. W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter W Wybierz Start i w polu Start Search wpisz: \\ \Nazwakomputera\HR Reports • Stwórz w folderze nowy plik tekstowy. Wylogu się Wyloguj 7. Tworzenie i udostępnianie folderu na zdalnym komputerze • • • • • • • • • • • • • • • • • • • • • • Naciśnij na klawiaturze prawy Alt+Delete. Naciśnij przycisk Switch User. Naciśnij przycisk Other User. W polu User Name wpisz [email protected]. [email protected] W polu Password wpisz P@ssw0rd i naciśnij Enter. Enter Wybierz menu Start -> Administrative Tools -> - Share and Storage Management Management. W oknie Share and Storage Management wybierz menu Action i polecenie Connect to another Computer. W oknie Connect to Another computer zaznacz Another computer i wpisz London. Naciśnij Ok. Wybierz menu Action -> Provision Share. W oknie Shared Folder Location w polu Location wpisz E: E:\NazwakomputeraFolder i naciśnij Next. W oknie informującym o braku folderu i pytaniu o jego stworzenie naciśnij OK. W oknie Provision a Shared Folder Wizard naciśnij Yes. W oknie NTFS Permission zaznacz Yes, change NTFS permissions i naciśnij przycisk Edit Permissions. W oknie Permissions for NazwakomputeraFolder naciśnij przycisk Advanced Advanced. W oknie Advanced Security Settings for NazwacomputeraFolder Nazwacomputera odznacz opcje Include inheritable permissions from this object’s parent parent. W oknie Windows Security naciśnij Copy. Naciśnij OK. W oknie Permissions for NazwakomputeraFolder zaznacz grupę Users i naciśnij przycisk Remove. Naciśnij przycisk Add. W oknie Select Users, Computers, or Groups wpisz G NazwakomputeraAdmins i naciśnij OK. W oknie Permissions for NazwakomputeraFolder w sekcji Permissions for G NazwakomuteraAdmins zaznacz uprawnienie Modify w kolumnie Strona 13/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Allow Allow. • Naciśnij OK. • W oknie NTFS Permission wybierz Next. • W oknie Share Protocols w polu Share name wpisz Nazwakomputera Admins Folder i naciśnij Next. • W oknie SMB Settings w polu Description wpisz Folder Administratorow miasta Nazwakomputera. • Wybierz przycisk Advanced. • W oknie Advanced na zakładce User Limits zaznacz Allow this number users i wpisz wartość 15. • Zaznacz pole Enable access-based enumeration i naciśnij OK. • W oknie SMB Settings naciśnij Next. • W oknie SMB Permissions zaznacz opcję Users and groups have custom share permissions i naciśnij przycisk Permissions. Permissions • W oknie Permissions for Nazwakomputera Admins Folder zaznacz grupę Everyone i naciśnij przycisk Remove. • Naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz G NazwakomputeraAdmins i naciśnij OK. • W sekcji Permisions for G NazwakomputeraAdmins zaznacz Change w kolumnie Allow • Naciśnij przycisk Add. • W oknie Select Users, Computers, or Groups wpisz Administrators i naciśnij OK. • W sekcji Permisions for Administrators zaznacz Full Control w kolumnie Allow Allow. • Nacisnij OK. • W oknie SMB Permissions naciśnij Next. • W oknie DFS Namespace Publishing naciśnij Next. Next • W oknie Review Settings and Create Share naciśnij Create. • W oknie Confirmation naciśnij Close. • Wybierz Start i w polu Start Search wpisz \\London London. Zobacz, że wśród dostępnych udziałów na serwerze London jest stworzony przez Ciebie folder Nazwakomputera Admins Folder. Folder • Otwórz udział i stwórz w nim plik tekstowy. 8. Zmiana właściciela folderu • Otwórz folder E:\Public. • Kliknij prawym przyciskiem myszy naa folderze HR i z menu kontekstowego wybierz Properties. • Wybierz zakładkę Security. • Kliknij przycisk Advanced. • Wybierz zakładkę Owner. • Kliknij przycisk Edit. • Kliknij przycisk Other users or groups. • W oknie Select Users, Computers, or Groups wpisz HRManager i naciśnij OK. • Zaznacz opcję Replace owner on subcontainers and objects. objects • W sekcji Change owner to zaznacz HRManager. • Kliknij przycisk Apply. • W oknie Windows Security naciśnij OK. Strona 14/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Sprawdź, że w polu Current owner jest wyświetlene HRManager ([email protected]). • Naciśnij OK. • Naciśnij OK. • Naciśnij OK. 9. Sprawdzenie uprawnień do folderu • Kliknij prawym przyciskiem myszy na folderze E:\Public i z menu kontekstowego wybierz Properties. • Wybierz zakładkę Security. • Kliknij przycisk Advanced. • Wybierz Wybi zakładkę Effective Permissions. • Kliknij przycisk Select • W oknie Select Users, Computers, or Groups wpisz NazwakomputeraUser i naciśnij OK. awdź jakie uprawnienia posiada W sekcji Effective permissions sprawdź użytkownik NazwakomputeraUser. • Naciśnij OK. • Naciśnij OK. Strona 15/16 Radosław Frąckowiak ITA-107 Systemy operacyjne Moduł 7 Zarządzanie dostępem do zasobów Laboratorium rozszerzone Strona 16/16