Сетевая папка windows server 2012

Содержание

Создание общих папок
Создание общих ресурсов в проводнике Windows
Удаленное создание общих ресурсов с помощью консоли управления компьютером
Управление разрешениями
Создание разрешений общего доступа
Разрешения для файлов и каталогов
Работа со скрытыми общими ресурсами
Исследование распределенной файловой системы
Терминология, связанная с DFS
Выбор между автономной и доменной файловой системой
Создание корня DFS
Добавление ссылок в корень DFS
Конфигурирование репликации DFS
Понятие репликации DFS
Управление репликацией DFS
Исследование сетевой файловой системы

Возможно, вы еще помните те времена, когда данные, которыми вы хотели по­
делиться с коллегами, помещались на флоппи-диски. Потребность в общем
доступе к файлам и папкам является одной из самых важных причин, по кото­
рым были разработаны серверные технологии.

В операционной системе Microsoft Windows Server 201 2 R2 были предложены новые и усовершенствованные пути ор­ганизации общего доступа к файлам с помощью служб, подобных NFS (Network File System — сетевая файловая система), которые предоставляют решение общего доступа к файлам для предприятий, располагающих смесью разнообразных опера­ционных систем. Благодаря N FS, вы можете открывать общий доступ к файлам не только для других серверов Windows, но также и для клиентов Unix, Linux и Мае OS,
если они присутствуют в вашей организации. В этой главе мы погрузимся в NFS и
посмотрим, что появилось нового, а что изменилось в текущей редакции сервера.
В Windows Server 2012 R2 также модернизированы технологии распределенной
файловой системы (Distributed File System — DFS), которые продолжают предла­
гать дружественную к WAN репликацию для упрощения доступа к географически
разбросанным файлам и папкам. Общий доступ к файлам и папкам по сети мож­
но предоставлять на основе их группирования. Эта функция упрощает сложный
процесс, который был утомительным и затратным по времени в ранних выпусках
Windows Server.
В настоящей главе мы поможем вам разобраться в DFS и затем в NFS, предо­ставив пошаговые руководства по применению этой захватывающей функциональ­ности. Вы узнаете, что собой представляют указанные функции, как они работают и каким образом извлечь из них максимальную пользу.

В этой главе вы изучите следующие темы:
• добавление на сервер роли File and Storage Services (Службы файлов и храни­лища ) ;
+ добавление общей папки, используя NFS;
• добавление корня DFS.

Создание общих папок

Чтобы иметь возможность создать общую папку, вы должны располагать подхо­дящими правами. Для этого вы должны быть либо администратором, либо опытным
пользователем. Создавать общие ресурсы можно двумя способами: либо в провод­нике Windows, находясь на сервере, либо в диспетчере серверов на сервере или дистанционно.
НЕКОТОРЫЕ ОСНОВЫ ОБЩЕГО ДОСТУПА К ФАЙЛАМ
Одним из основных компонентов любого сервера является возможность общего до­
ступа к файлам. В действительности возможность организации общего доступа к файловым и принтерным ресурсам поддерживается службой Server (Сервер), которая вхо­дит в состав каждого члена семейства Windows NГ, включая Windows Server 2012 R2.
Но что именно она собой представляет и почему настолько важна?
По умолчанию один лишь факт наличия функционирующего сервера совершенно не означает до­ступность каких-либо ресурсов пользователям. Чтобы пользователи на самом деле
смогли обращаться к ресурсам на сервере, вы должны открыть общий доступ к этим
ресурсам. Предположим, что у вас на локальном диске I имеется папка APPS с трмн подпапками приложений, как показано ниже:

Когда вы открываете общий доступ к этой папке из сети под именем APPS, вы поз­воляете клиентам отображать на вашу лапку I : \APPS новые буквы дисков на своих
машинах. За счет отображения диска создаетсн виртуальный указатель непосредс­твенно на место подключения. Если вы отобразите диск М клиента на общий ресурс
APPS сервера, то диск м будет выглядеть идентично папке I : \APPS сервера

Создание общих ресурсов в проводнике Windows

Давайте возвратимся к открытию общего доступа к папке APPS. Если вы находи­тесь непосредственно на сервере, то для создания общего ресурса и управления все­ми его свойствами можете применять проводник Windows. Итак, вы хотите сделать
папку I : \APPS доступной в сети под именем APPS.
В окне проводника Windows щелкните правой кнопкой мыши на папке APPS и
выберите в контекстном меню пункт Sharing and Security (Общий доступ и безопасность). Откроется диалоговое окно свойств для папки APPS. Перейдите на вкладку Shariпg (Общий доступ). Чтобы открыть общий доступ к папке, можно щелкнуть
на кнопке Share (Общий доступ) или на кнопке Advanced Sharing (Расширенная на­
стройка общего доступа), как показано на рис. 14. 1 .
l . Итак, есть две кнопки для открытия общего доступа: Share и Advanced Sharing.
Щелкните на кнопке Advanced Sharing, чтобы воспользоваться дополнитель­
ными возможностями, предлагаемыми мастером. Первым делом понадобится
отметить флажок Share this folder (Открыть общий доступ к этой папке).
2. После открытия общего доступа ресурсу необходимо назначить имя. Это очень
важный шаг, поскольку под данным именем пользователи будут подключаться
к общему ресурсу. Укажите имя APPS.
3. После именования общего ресурса станет доступной область Comments
(Примечание), позволяя предоставить описание общего ресурса. Здесь также
можно установить лимит пользователей, что поможет управлять доступом к
общему ресурсу. Введите описание общего ресурса, укажите реалистичное чис­ло для максимального количества одновременных подключений и затем щел­кните на кнопке Permissions (Разрешения), чтобы открыть следующее диало­говое окно.

4. Группе Everyone (Все) автоматически предоставляется разрешение Read
(Чтение) для нового общего ресурса. Щелкните на кнопке Add (Добавить);
откроется диалоговое окно поиска, в котором можно разрешить доступ к об­
щему ресурсу другим пользователям и группам.
Всегда сначала добавляйте пользователя или группу административного уровня и затем выдавайте этому объекту разрешение Full Control (Полный доступ).
Это гарантирует, что адми­нистратор в любой момент сможет управлять и поддерживать общий ресурс.
Рекомендуется предоставлять разрешение Full Control только администрато­рам.
Вы же не хотите, чтобы кто угодно мог назначать и отзывать разрешения
по собственному желанию.
Только вообразите, насколько быстро все пойдет наперекосяк, когда пользователь удалит разрешения для группы администра­торов и возьмет под контроль ваш общий ресурс! Поскольку это общий ресурс APPS, который должны читать все, оставьте группу Everyone с разрешением Read.
Для продолжения щелкните на кнопках Apply (Применить) и ОК.
5. Последней опцией в окне Advanced Sharing (Расширенная настройка об­
щего доступа) является кнопка Caching (Кеширование).
Она позволяет вы­брать дополнительные настройки автономного режима, например, включить BranchCache — великолепное средство, которое обсуждалось в предыдущей
главе.
Просмотрите доступные варианты, сделайте необходимый выбор и
щелкните на кнопке ОК. Для получения дополнительной информации о ке­
шировании можете щелкнуть на гиперссылке Configure Offline Availabllity for
а Shared Folder (Настройка доступа к общей папке вне сети) в нижней части
диалогового окна.
6. Просмотрите все выбранные настройки общего доступа к папке и затем шел­
кните на кнопках Apply и ОК, чтобы завершить открытие общего доступа.
Общий ресурс APPS стал доступным через сеть.

Теперь, когда папка APPS открыта мя общего доступа пользователям, вы мо­жете перейти к этому общему ресурсу в проводнике Windows. Существует множес­тво путей мя просмотра общих дисков и папок. В следующем разделе мы пока­жем, как просматривать общие ресурсы с помощью консоли Computer Management
(Управление компьютером).
УСТАНОВКА ЛИМИТОВ ПОЛЬЗОВАТЕЛЕЙ
Вы можете сконфигурировать количество пользователей, которые могут одновре­менно подключаться к общему ресурсу, путем настройки опции User limit (Лимит
пользователей) в диалоговом окне свойств общего ресурса.
Если приложение внут­ри общего ресурса лицензировано мя 100 параллельных пользователей, вы можете сконфигурировать общий ресурс на сервере для поддержки этого лимита, несмотря на то, что в сети может быть 200 пользователей.
По мере того, как пользователи под­ключаются к общему ресурсу, их число приближается к лимиту пользователей.
При отключении от общего ресурса их количество уменьшается. Это означает возмож­ность установки лимита для общего ресурса, который не превышает сушествующие ограничения лицензирования, что поможет сохранить соответствие лицензионным соглашениям.
Однако будьте осторожны в отношении лицензирования. Не у всех приложений
имеется режим параллельных лицензий, хотя может существовать режим клиентских лицензий.

В режиме клиентских лицензий производитель не заботится о том, сколь­ко пользователей получают доступ к приложению в любой момент времени; играет роль только количество людей, в целом установивших приложение. В таких случаях лимит пользователей никак вас не защитит.
Наконец, вы должны принять во внимание, каким образом пользователи подклю­чаются к общему ресурсу для взаимодействия с приложениями, прежде чем ограни­чивать их на базе параллелизма. Если все пользователи подключаются к общему ре­сурсу при входе в систему и не отключаются вплоть до выхода из системы, то лимит параллелизма может в первую очередь расходоваться на вошедших в систему поль­зователей, достигая в итоге предела в 100 человек, хотя в действительности работать с приложением могла только небольшая группа пользователей. Если подключения осуществляются только при использовании приложения, то лимит пользователей бу­дет работать довольно хорошо.

Удаленное создание общих ресурсов с помощью консоли управления компьютером

В Windows Serveг 201 2 R2 были внесены замечательные усовершенствования
в способ применения диспетчера серверов. Из единственного сервера управления
можно создавать и управлять общими ресурсами на множестве серверов, при кла­дывая лишь небольшие усилия. До тех пор, пока удаленный сервер находится в он­
лайновом режиме и доступен через сеть, нет никаких причин входить в его систему
непосредственно на месте. Давайте посмотрим, как использовать новый интерфейс
диспетчера серверов мя подключения к удаленному серверу и создания на нем но­вого общего ресурса.
l . Запустите диспетчер серверов, шелкните на элементе All Servers (Все серверы)
и щелкните правой кнопкой мыши на сервере, которым необходимо управ­лять дистанционным образом.

В контекстном меню отобразится новый набор пунктов, одним из которых
является Computer Management (Управление компьютером)
Консоль Computeг Management (Управление компьютером) находится в программной
группе Administrative Tools (Администрирование). С помощью этого инструмента вы можете, помимо прочего, создавать и управлять общими ресурсами локально или же дистанционно. Если в проводнике Wmdows щелкнуть правой кнопкой мыши на пап­ке, которая не является локальной на вашей машине, в контекстном меню не поя­вится пункт для открытия общего доступа. Если же вы собираетесь создать общий ресурс, используя консоль Computer Management на своей локальной машине, то для этого все готово. Чтобы управлять общим ресурсом на удаленном сервере, к этому серверу сначала необходимо подключиться.
2. Выберите пункт Computer Mana­gement, после чего диспетчер серверов автоматически подклю­чится к удаленному серверу.
З. Выберите папку Computer Manage­ment\System Tools\Shared Folders\Shares (Управление компьюте­ром \ Системные инструменты \ Общие папки \ Общие ресурсы),
4. Теперь можете либо выбрать в меню Actions (Действия) пункт New Share (Новый общий ресурс),либо щелкнуть правой кнопкой мыши в окне со списком общих ресурсов и вы­брать в контекстном меню пункт New Share.
5. На начальном экране мастера создания общей папки (Create А Shared Folder
Wizard) щелкните на кнопке Next (Далее); появится экран, представленный на
рис. 14.4. Удостоверьтесь в корректности информации в поле Computer паmе
(Имя компьютера), чтобы общий ресурс был создан на нужном компьютере.
Чтобы создать общий ресурс, вы можете просмотреть исходные диски и папки
или же создать новую папку на лету, просто введя полное имя диска и папки в
поле Folder path (Путь к папке).
6. Для этого примера создайте новую папку по имени Graphics и откройте к ней
общий доступ как к I : \Graphics.
7. Завершив ввод пути к папке, щелкните на кнопке Next.
8. Появится экран, показанный на рис. 14.5. Введите здесь имя, которое долж­
но быть назначено этому общему ресурсу, и его краткое описание.
9. Для продолжения щелкните на кнопке Next.
На следующем экране (рис. 14.6) будут определяться разрешения общего до­
ступа, для чего предоставляются четыре переключателя.
• All Users Have Read-Only Access (Все пользователи имеют доступ только для
чтения). Эта опция позволяет группе Everyone иметь доступ только для чте­ния к содержимому папки. Она является стандартной настройкой в Windows
Server 2012 и хорошо демонстрирует повышенное внимание, уделяемое ком­панией Microsoft безопасности на протяжении последних нескольких лет.
В предшествующих редакциях сервера по умолчанию группа Everyone име­ла полный доступ (Full Control), включая анонимных пользователей, при­шедших из сети! С момента выхода версии Windows Server 2008 при созда­нии общего ресурса вам не придется начинать с широко открытых дверей.
Вы начинаете с закрытой двери и открываете ее согласно своим специфика­циям, когда вам будет удобно.

3. Запустите следующую команду, чтобы получить список существующих общих
ресурсов, в котором будет присутствовать только что созданный ресурс:
PS С : \> Get-SmbShare
4. Наконец, введите следуюшую команду, чтобы удалить только что созданный
общий ресурс:
PS С : \> Rernove-SmbShare -Name ИмяОбщегоРесурса

Управление разрешениями

Разрешения обшего доступа применяются, когда пользователь обращается к фай­лу или папке через сеть, но они не принимаются во внимание, если пользователь
получает доступ к данным ресурсам локально, как это было бы при его нахождении
непосредственно за компьютером либо при использовании ресурсов на терминаль­
ном сервере.
В противоположность этому, разрешения NTFS применяются независимо от того, каким образом пользователь обращается к тем же ресурсам, то ли он
подключается к ним дистанционно, то ли входит в них из консоли. Итак, когда до­ступ к файлам осуществляется локально, применяются только разрешения NTFS.
При дистанционном обрашении к тем же самым файлам применяется объединение
разрешений общего доступа и NTFS с вычислением наиболее ограничивающего
разрешения из этих двух типов.

Создание разрешений общего доступа

Разрешения общего доступа являются, пожалуй, простейшей формой управления
доступом, с которой вы будете иметь дело в Windows Server. Вспомните, что разреше­
ния общего доступа оказывают воздействие, только когда вы пытаетесь обратиться
к ресурсу через сеть. Считайте разрешения общего доступа разновидностью пропус­
ка в охраняемое здание. Когда вы подходите к входной двери и предъявляете свое
удостоверение, охранник просматривает вашу фамилию и выдает пропуск, который
указывает уровень доступа к внутренним помешениям. Если на пропуске написа­
но «доступ уровня 1 » , он позволит зайти в любую комнату с уровнем 1 , но нику­
да больше.
Если вы попытаетесь, оказавшись внутри, зайти в комнату с требуемым
уровнем доступа 2, пропуск не сработает.
Определяя разрешения общего доступа, вы безопасно упраnляете уровнем доступа для каждого лиuа у входной днери.
Однако имейте в виду, что упомянутая входная дверь — или разрешение уровня
обшего ресурса — это не полная картина.
Разрешение уровня общего ресурса пред­ставляет только максимальный уровень доступа, который вы получите внутри.
Если вы располагаете разрешением Read на общем ресурсе, то самое большее, что вы сможете делать после дистанционного подЮiючения к нему — это чтение. Подобным
образом, разрешение Change позволит в лучшем случает вносить изменения.
Если вы хотите иметь полный контроль над всем внутри общего ресурса, вам понадобит­ся разрешение Full Control на общем ресурсе.
Но поймите, что когда мы говорим о том, что разрешение общего доступа — это максимальный уровень доступа, кото­рый вы получите внутри общего ресурса, то имеем в виду возможность наличия до­полнительного ограничения внутри за счет применения разрешений уровня файлов(или NTFS).
Вы можете располагать полным доступом на общем ресурсе, но объект
внутри неrо может иметь разрешения NТFS, которые позволяют только читать его.
Определение разрешений общего доступа
Чтобы определить разрешения общего до­ступа, выполните следующие действия в кон­
соли Computer Management.
! . Щелкните правой кнопкой мыши на имени общего ресурса, который вы хо­тите защитить, и выберите в контекс­тном меню пункт Properties (Свойства).
В открывшемся диалоговом окне свойств перейдите на ВЮiадку Share Permissions
(Разрешения общего доступа).
Вы можете попасть в это место из про­водника Windows, щелкнув правой кноп­кой мыши на локальной общей папке, выбрав в контекстном меню пункт Shar­
ing and Security (Общий доступ и безопас­ность) и затем в открывшемся диалоговом окне шелкнув на кнопке Permissions (Разрешения).

ОтсутствиЕ полного ДОСТУПА У ГРУППЫ Everyone
Обратите внимание на то, что группа Everyone по умолчанию имеет разрешение
Read, что является великолепным шагом вперед в мире Windows в плане безопаснос­
ти. Вплоть до версии Wmdows Server 2003 группа Everyone по умолчанию получала
доступ Full Control. Еще одно удобное свойство в Windows Server 2012 связано с тем, что группа Everyone больше не добавляется к папке при открытии к ней общего
доступа.
В этом диалоговом окне вы видите область Group or user names (Имена групп
или пользователей) со списком пользователей и групп, назначенных обшему
ресурсу; для выбранного пользователя или группы в области, расположенной
ниже, отображаются разрешения на этом открытом ресурсе.
Разным пользова­телям и группам можно назначать разные уровни разрешений.
На уровне об­щего доступа имеются три типа разрешений, описанные в табл. 14.1.

Таблица 14.1. типы разрешений
Разрешение
Full Coпtrol
(Полный доступ)
Chaпge (Изменение)
Read (Чтение)
Уровень доступа
Группа, которой назначено это разрешение, может выполнять любые функ­ции над всеми файлами и папками внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать,
а также изменять и удалять файлы и папки внутри общего ресурса
Группа, которой назначено это разрешение, может читать и запускать файлы
и папки, но не модифицировать или удалять что-либо внутри общего ресурса
Пример на рис. 14.8 демонстрирует доступ Read для группы Everyone. Хотя
вы не видите здесь учетную запись Administrator с какими-то специальны­
ми правами, учтите, что локальные администраторы всегда имеют доступ Full
Control на общих ресурсах компьютера. Если вы хотите изменить разрешения,
предоставив доступ Full Control всем сетевым администраторам, то должны
добавить их группу и назначить ей эти права.
2. Щелкните на кнопке Add (Добавить), чтобы открыть диалоговое окно Select
Users, Computers, Service Accounts, or Groups (Выбор пользователей, компью­
теров, учетных записей служб или групп), представленное на рис. 14.9.

3. Либо введите имя пользователя или группы, подлежащей добавлению, либо
щелкните на кнопке Advanced (Дополнительно), что приведет к отображению
другого диалогового окна Select Users, Computers, Service Accounts, ог Groups
(рис. 14. 10), которое позволяет производить поиск в каталоге.
Можете либо воспользоваться функциями поиска в Active Directory на вклад­ке Common Queries (Общие запросы), чтобы сузить выбор, либо щелкнуть накнопке Find N o w (Найти сейчас), что обеспечит перечисление всех пользовате­лей и групп в каталоге.
4. Найдите желаемую группу (Domain Administrators (Администраторы доме­на) в настоящем примере) и щелкните на кнопке ОК и затем еще раз на кноп­ке ОК. Произойдет возврат обратно на вкладку Share Permissions с отображе­нием и вьщелением добавленной группы Domain Administrators.
5. Отметьте флажок Allow (Разрешить) для разрешения Full Control.
Опять-таки, имейте в виду, что разрешения уровня общего ресурса — это как раз
то, что вы сначала фильтруете для пользователей, обращающихся к файлам через
сеть. Независимо от разрешений, получаемых на уровне общего ресурса, это будет
наивысший уровень разрешений, который вы можете получить для файлов и папок
(как вы помните, применяется наиболее ограничивающий из них). Если вы имеете
права Read на общем ресурсе, но права Ful\ Control на файле, то общий ресурс не
позволит вам делать что-то кроме чтения.
Действия Allow и Deny
Отмечая флажок Allow (Разрешить) для разрешения Full Control, назначенного
группе Domain Administrators в предыдущем примере, вы наверняка замети­
ли, что для каждого перечисленного разрешения предусмотрен также флажок Deny
(Запретить). Разрешения общего доступа являются, наверное, простейшим набором
разрешений, с которыми вы будете иметь дело, поэтому они хорошо подходят для
объяснения действий Allow и Deny. Вот как они работают.
• Администратор общего ресурса, файла, учетной записи пользователя или че­
го-то еще может изменить разрешения на своем объекте. (На самом деле, это
почти полное определение администратора.)
Существует несколько видов разрешений — Full Control, Change или Read в
случае общих ресурсов. Для любого из них администратор может отметить
флажок Allow или Deny либо же решить снять отметку с обоих флажков, оста­
вив пользователя без Allow или Deny на этом разрешении.
• Если пользователь не имеет разрешения (другими словами, флажки Allow и
Deny не отмечены), то он не получит доступ к объекту.

• Если для разрешения отмечен флажок Allow, пользователь может применить
разрешение, а если флажок Deny, то нет. Мы знаем, что это очевидно, но да­вайте посмотрим, как это проявляется в более сложных ситуациях.

Разрешения для файлов и каталогов

Теперь, когда вы хорошо понимаете опции разрешений уровня общих ресурсов,
можно более детально рассмотреть наборы разрешений для файлов и каталогов.
Эти наборы разрешений, которые обычно называют разрешениями NTFS, позволяют
назначать особые разрешения папкам и файлам внутри общего ресурса.
Такие дополнительные разрешения делают возможным ограничение доступа вплоть до уров­ней папок и файлов общего каталога.
Рекомендуется содержать в актуальном состоянии документацию по разрешени­
ям, которыми вы управляете внутри общего ресурса.
Всякий раз, когда вы вносите изменения в разрешения для файлов и папок, фиксируйте эти изменения в доку­ментации для будущей ссылки и для использования в качестве руководства при уст­ранении проблем с разрешениями, которые возникают в среде.
Особые обстоятель­ства могут потребовать блокировки папок и файлов с ограничением работы с ними только определенными группами доступа или пользователями.
Попытка удержать в памяти все особые разрешения на папках и файлах в крупной среде может превра­титься в настоящий кошмар.
Качественная и ясная документация является настоя­тельной необходимостью, особенно в случае утери наборов настроенных, не унаследованных разрешений, примененных к папкам и файлам, которые должны быть восстановлены из-за повреждения или удаления. Документируйте абсолютно все.
типы разрешений
Прежде чем назначать разрешения файлам и папкам, вы должны хорошо разобраться в том, что собой представля­ют эти разрешения и как они работают.
Имеются два разных уровня разрешений.
Чтобы увидеть высший уровень, пе­рейдите в любую папку NTFS, щелкните на ее имени правой кнопкой мыши, выбе­рите в контекстном меню пункт Properties (Свойства) и в открывшемся диалоговом окне свойств папки щелкните на вкладке Security (Безопасность).
Например,высокоуровневое разрешение List Folder Contents (Список содержимого папки) заключает в себе пять разрешений более низкого уровня: Traverse Folder/Execute File (Траверс папки / Выполнение файла),

List Fo\der/Read Data (Список папки / Чтение данных), Read Attributes (Чтение атри­бутов), Read Extended Attributes (Чтение расширенных атрибуrов) и Read Permissions (Чтение разрешений). Можете думать о них, как о «молекулярных» и «атомарных» разрешениях. Существует 13 атомарных разрешений пля NTFS. (Другие виды объ­ектов Active Directory, такие как организационные единицы, могут иметь дочерние объекты, поскольку внуrри организационной единицы допускается создавать пользователей и другие организационные единицы.) Все типы объектов AD совместно
используют один и тот же набор атомарных разрешений, даже если они не имеют
к ним никакого отношения — попробуйте предоставить кому-то возможность со­
здания дочерних объектов для объекта групповой политики; польза от этого будет
примерно такой же, как поручение работнику кирпичного завода возможности уста­новки половой принадлежности кирпичей.

Мы начнем с атомарного уровня. Такие разрешения являются строительными
блоками для формирования разрешений, о которых мы обычно говорим — Read,
Modify и Full Control.
Возможно, вы никогда не увидите атомарные разрешения, и тем более не будете ссылаться на них как на самих по себе.
• ‘Iraverse Folder/Execute File (Траверс папки / Выполнение файла). Разрешение
Traverse Folder позволяет обойти все блокировки на более высоких уровнях и
по существу обеспечить себе права уровня 4.
Подобно Execute File, это поле’3-ное разрешение, однако оно ничего не делает в отношении файлов.
Вот что происходит: когда файловая система NTFS проверяет разрешение, она извле­
кает 13 битов.
При просмотре первого бита она выясняет, это файл или папка.
Если объект является файлом, то первый бит интерпретируется как разреше­ние Execute File. Если же это папка, то первый бит трактуется как разрешение Traverse Fo\der. Вы увидите аналогичное поведение, хотя и в менее экстремаль­ной форме, в ряде других разрешений.
• Ust Folder/Read Data (Список папки / Чтение данных). Разрешение List Folder
позволяет просматривать имена файлов и подпапок внутри папки. Разрешение
Read Data дает возможность просматривать содержимое файла. Это атомарное
право является основным компонентом разрешения Read.
Подумайте о разделении между указанными двумя атомарными разрешениями.
Действительно ли между ними есть много отличий? Да, но вероятно это ненадолго.
Помните те дни, когда мы называли все файлами и каталогами? Теперь обычными
стали термины файл и папка.
Сейчас мы начинаем привыкать к еще одному терми­ну, вступившему в игру: объект. Внутри файловой системы на машине объектами является все — и файлы, и папки. Это атомарное разрешение можно было бы пере­фразировать как чтение обьекта. Независимо от того, к чему оно применяется — к файлу или к папке, — оно дает право исследовать содержимое объекта.

• Read Attributes (Чтение атрибутов). Базовые атрибуты — это свойства файла, та­
кие как Read-Only (Только чтение), Hidden (Скрытый), System (Системный) и
Archive (Архивный). Атомарное разрешение Read Attributes позволяет просмат­
ривать такие атрибуты.
• Read Extended Attributes (Чтение расширенных атрибутов). Определенные про­
граммы поддерживают для своих типов файлов дополнительные атрибуты.
Например, если в вашей системе установлена программа Microsoft Word, и
вы просмотрите атрибуты файла DOC, то увидите все виды атрибутов: Author
(Автор), Subject (Тема). Т!tle (Название) и т.д. Они называются расширенными
атрибутами и варьируются от программы к программе. Атомарное разрешение
Read Extended Attributes позволяет просматривать эти атрибуты.
• Create FilesjWrite Data (Создание файлов / Запись да 1П1ЫХ ). Атомарное разрешение
Сгеаtе Files позволяет помешать новые файлы в папку. Разрешение Write Data
дает возможность перезаписывать существующие данные внутри файла. Это ато­
марное разрешение не позволяет добавлять данные в существующий файл.
• Create Folders/ Append Data (Создание папок / Добавление данных). Разрешение
Сгеаtе Folders дает возможность создавать подпапки внутри папок. Разрешение
Append Data позволяет добавлять данные в конец сушествуюшего файла, но не
изменять данные внутри этого файла.
• Write Attгibutes (Запись атрибутов). Это разрешение позволяет изменять базо­вые атрибуты файла.
• Write Extended Attributes (Запись расширенных атрибутов). Это разрешение позволяет изменять расширенные атрибуты файла.
• Delete Subfolders and Files (Удаление подпапок и файлов). Это довольно стран­ное разрешение. Только подумайте: располагая этим разрешением, вы може­те удалять подпапки и файлы, даже если не имеете разрешения Delete на этих
подпапк.ах и файлах.
Как такое могло стать возможным? Если, забежав вперед,оы почитаете о следующем атомарном разрешении, Delete, то увидите, что
оно позволяет удалять файл или папку.
В чем разница? Представляйте ситуа­цию следующим образом: если вы находитесь в файле или папке, то разреше­ние Delete позволяет удалить этот файл или папку. Но предположим, что вы находитесь в папке и хотите удалить ее содержимое. Атомарное разрешение Delete SuЬfo\ders and Fi\es дает вам такое право. Разница между Delete и Delete Subfolders and Files весьма расплывчата. Одно из них позволяет удалить конк­ретный объект, а другое — удалить содержимое этого объекта.
Если вы распола­гаете правом удаления содержимого папки, то не хотите терять это право толь­ко потому, что один объект внутри папки не желает выдавать вам разрешение.
В конце концов, это ваша папка, и вы вольны делать с ней все, что хотите.
• Delete (Удаление). На этот раз все просто и понятно.
Разрешение Delete позво­ляет удалить объект. Или все не так просто и понятно’? Если вы имеете только атомарное разрешение Delete на удаление папки, но не атомарное разрешение Delete Subfolders and Files на удаление подпапок и файлов, и если к одному файлу внутри папки доступ отсутствует, то сможете ли вы удалить эту пап­ку? Нет. Удалить папку не удастся до тех пор, пока она не будет пустой, а это значит, что вам потребуется удалить упомянутый файл.
Но вы не можете удалить этот файл, не имея либо прав Delete мя самого файла, либо прав Delete SuЬfo\ders апd Files мя родительской папки данного файла.
• Read Permissions (Чтение разрешений).
Атомарное разрешение Read Pennissions позволяет просматривать все разрешения NTFS, ассоциированные с файлом или папкой, но не изменять их.
• Change Permissions (Изменение разрешений). Это атомарное разрешение позАо­
ляет изменять разрешения, назначенные файлу или папке.
• Take Ownership (Получение права владения).
Мы поговорим более подробно о том, что представляет собой право владения и что оно делает, позже в главе, но это атомарное разрешение позволяет получить права владения файлом.
Будучи владельцем, вы имеете неотьемлемое право изменять разрешения. По
умолчанию администраторы всегда могут получать права владения каким-либо
файлом или папкой.
Молекулярные разрешения
Глубокое понимание работы атомарных разрешений, а также понимание того,
как они образуют молекулярные разрешения (см. табл. 14.2), обеспечивает исклю­
чительное осознание сути и функционирования этих молекулярных разрешений. В
настояшем разделе мы постараемся лучше прояснить объединение атомарных раз­
решений, но во время чтения вам придется периодически возвращаться к табл. 14.2.
Приведенная здесь информация сформирует прочную основу, которая поможет уп­
равлять разрешениями в будущем.
• Read (Чтение). Разрешение Read является наиболее базовыми правами. Оно
позволяет просматривать содержимое, разрешения и атрибуты, ассоциирован­ные с объектом. Если объект представляет собой файл, вы можете просматри­вать файл, что включает возможность запуска этого файла, если он оказывает­
ся исполняемой программой. Если объект является папкой, разрешение Read
позволяет просматривать ее содержимое.
А теперь рассмотрим сложную часть, касающуюся чтения папки. Предполо­
жим, что у вас имеется папка, которой вы назначили разрешение Read.
Эта папка содержит подпапку, к которой вы запретили любой доступ, в том чис­ле и чтение. Логично было бы предположить, что вы сможете вообще увидеть
эту подпапку. Однако подnапка, прежде чем вы обратитесь к ее собственным
атрибутам, является частью исходной папки. Поскольку вы можете читать со­держимое исходной папки, то сможете увидеть, что подпапка существует.
Если же вы попытаетесь перейти в эту подпапку, тогда — и только тогда — вы полу­чите сообщение о запрете доступа.
• Write (Запись). Разрешение Write, как бы просто оно не выглядело, таит в себе
ловушку. Для начала, разрешение Write на папке позволяет создавать новый
файл или подпапку внутри этой папки. А что можно сказать о разрешении Write
на файле? Означает ли оно возможность изменения файла? Подумайте, что про­
исходит, когда вы изменяете файл. Для изменения файла вы обычно должны
иметь возможность открыть файл или прочитать файл. Чтобы изменить файл,
разрешение Write должно сопровождаться разрешением Read. Хотя существует
одна лазейка: если вы просто добавляете данные в файл, без необходимости в
его открытии, то достаточно одного лишь разрешения Write. Тем не менее, если
программист написал приложение, открывающее файл в режиме только мя за­
писи, содержимое файла затем усекается без его чтения, после чего происходит
запись в файл, и все это не предполагает чтение файла; таким образом, файл
можно было бы изменить, не прибегая к процессу чтения вообще.
• Read & Execute (Чтение и вьшолнение).
Разрешение Read & Execute идентично
разрешению Read, но предоставляет дополнительную атомарную привилегию
обхода папки.
• Modify (Изменение). Выражаясь просто, разрешение Modify является объедине­
нием разрешений Read & Execute и Write с предоставлением дополнительной
роскоши в виде разрешения Delete. Даже располагая возможностью измене­
ния файла, вы никогда не сможете удалить его. При выборе разрешений для
файлов и папок вы заметите, что если выбрали только разрешение Modify, то
разрешения Read, Read & Execute и Write выбираются автоматически.
• Full Control (Полный доступ). Разрешение Full Control — это комбинация всех
ранее упомянутых разрешений с возможностями изменения разрешений и по­
лучения права владения объектами, к которым оно применено. Разрешение
Full Control также позволяет удалять подпапки и файлы, даже когда эти под­
папки и файлы спеuиально не разрешают их удалять.
• Ust FЬlder Contents (Список содержимого папки). Разрешение List Folder Contents
применяется аналогично разрешению Read & Execute, но предназначено толь­
ко для папок. Разрешение List Folder Contents позволяет просматривать содер­жимое папок. Что более важно, разрешение List Folder Contents наследуется
только папками, и оно видно, только когда просматриваются свойства безо­пасности папок. Это разрешение позволяет взглянуть, какие файлы существу­ют в папке (подобно Read), но не будет применять к этим файлам разрешение Read & Execute.
По сравнению с этим, если вы применили к папке разреше­ние Read & Execute, то будете располагать теми же возможностями просмот­
ра папок и их содержимого, но также сможете распространять права Read &
Execute на файлы внутри этих папок.
• Special Permissions (Особые разрешения). Особые разрешения — это прос­
то настроенная группа атомарных прав, которую вы можете создавать, когда
ни одно из рассмотренных выше стандартных молекулярных разрешений не
подходит в вашей конкретной ситуации. Хотя может показаться, что возмож­
ность Special Permissions было нововведением версии Windows Server 2003,
на самом деле оно существовало в Windows 2000 Server. Просто это средство
не было видимым как молекулярное разрешение. В Windows 2000 Server от­
сутствовал какой-нибудь способ сообщить о том, что папка имеет настро­
енные атомарные разрешения, если только вы не заглядывали на вкладку
Advanced (Дополнительно) диалогового окна свойств безопасности. В Windows
Server 201 2 это можно сделать, посмотрев на флажки Allow/Deny для возмож­
ности Special Permissions, чтобы понять, были ли модифицированы записи уп­
равления доступом (access control entry — АСЕ). Если флажки затенены, тогда
по щелчку на кнопке Advanced (Дополнительно) вы можете просмотреть и от­
редактировать изменения в записях АСЕ.

Унаследованные разрешения
Начиная с ранних редакций Windows Server, существовало средство, которое на­
зывается унаследованными разрешениями. В настоящее время вполне вероятно, что
вы уже привыкли пользоваться этим великолепным средством. Если для файла
или папки установлено наследование разрешений, то сам по себе файл или папка в
действительности не имеет разрешений; просто применяются разрешения родитель­
ской папки. Если родительская папка также наследует разрешения, вы продолжаете
подниматься вверх по цепочке каталогов, пока не столкнетесь с папкой, которой
назначены жесткие разрешения. Не стоит и говорить, что корневой каталог не мо­
жет наследовать разрешения.
Например, предположим, что у вас есть папка по имени APPS, содержащая три
подпапки и файлы.
Все подпапки и файлы допускают наследуемые разрешения.
Если вы назначите папке APPS разрешение Read & Execute для пользователей, то все подпапки и файлы автоматически отразят это новое разрешение. Что если вы хоти­те настроить разрешения для первой подпапки, предоставив пользователям допол­нительную возможность записи? Щелкните на этой папке правой кнопкой мыши, выберите в контекстном меню пункт Properties (Свойства) и в открывшемся диало­говом окне свойств перейдите на вкладку Security (Безопасность), чтобы просмот­реть разрешения, назначенные папке. Если флажки для чего-нибудь, отличного от
Special Pennissions, затенены, вы можете утвержлать, что папка наследует разрешения
у своей родительской папки. Здесь вам понадобится перейти на вкладку Advaпced
(Дополнительно), чтобы увидеть опцию Allow iпheritaЫe permissioпs from pareпt to
propagate to this object апd all child objects (Позволить наследуемым разрешениям от родителя распространяться на этот объект и все
его дочерние объекты).
Эта опция показывает,наследует ли объект разрешения, и позволяет
указать, допускается ли наследование.
Назначение разрешений файлам и папкам
После того как вы поняли, что собой пред­ставляют различные разрешения, назначить
их файлам и папкам будет парой пустяков.
Откройте проводник Windows и выполните следующие шаги.
1. Найдите файл или папку, которой хо­тите назначить права, щелкните на ее
имени правой кнопкой мыши, выбери­те в контекстном меню пункт Properties
(Свойства) и в открывшемся диалого­вом окне перейдите на вкладку Security
(Безопасность). Взгляните на рис. 14. 12.
В верхней части окна показаны группы и пользователи, которым назначены разре­шения, а в нижней части — разрешения, назначенные выбранному пользователю
или группе.
В этом примере вы начинаете с папки APPS. В идеальном случае, т.к. папка предназначена для прило­жений, вы хотите, чтобы все пользователи имели разрешение Read & Execute и не могли изменять, добавлять или удалять что-либо. Также вы хотите оста­вить администраторам полный доступ, чтобы они имели возможность обслу­живать данные. Кроме того, есть группа администраторов базы данных, ко­торым необходимо предоставить права Modify.
Поскольку для групп Users (Пользователи) и Administrators (Администраторы) по умолчанию уже присутствуют записи, вы начнете с добавления группы Database Managers
(Администраторы базы данных) и выдачи ей прав Modify.
2. Щелкните на кнопке Edit (Редактировать) и затем на кнопке Add (Добавить),
в результате чего откроется диалоговое окно Select Users, Computers, Service
Accounts, ог Groups (Выбор пользователей, компьютеров, учетных записей
служб или групп), которое было показано на рис. 14.9.
Здесь вы можете ввести имя пользователя или группы, щелкнуть на кнопке
Advanced (Дополнительно) и затем на кнопке Find Now (Найти сейчас), либо
настроить запрос вручную, подготовив список учетных записей домена.
3. Так как вы знаете имя группы, которую нужно добавить в этом примере
(Database Managers ) , просто введите его в диалоговом окне Select Users,
Computers, Service Accounts, ог Groups и щелкните на кнопке Check Names
(Проверить имена). Выполнится перекрестная проверка на совпадение вруч­
ную введенной записи со списком имен.
4. Как только имя отобразится подчеркнутым, щелкните на кнопке ОК, чтобы
возвратиться на вкладку Security диалогового свойств папки APPS.
После добавления группы Database Managers диалоговое окно должно вы­
глядеть подобным приведенному на рис. 14.13.

БОЛЕЕ БЫСТРОЕ ДОБАВЛЕНИЕ ПОЛЬЗОВАТЕЛЕЙ И ГРУПП
Используя метод из предыдущего примера, можно добавлять сразу множество поль­
зователей и групп.
Когда вы набираете имена вручную, просто введите первое имя,
щелкните на кнопке Check Names и начинайте набирать следующее имя. Если вы
ввели неполное имя до щелчка на кнопке Check Names, вам будет предоставлено
ближайшее соответствие введенной записи.
Если вы решили применять интерфейс поиска в Active Directory, то можете выбрать несколько учетных записей.
Для этого щелкните на первой записи .и затем, удерживая нажатой клавишу , щелкайте на дополнительных записях.
Теперь все, что осталось — назначить корректное разрешение, которым явля­
ется право Modify.
5. Выделите группу Database Managers и отметьте флажок Allow (Разрешить)
для Modify.
Вкладка Security должна выглядеть примерно так, как показано на рис. 14.14.
Поскольку группы Users и Administrators были добавлены по умолчанию,
когда вы создавали общий ресурс, давайте посмотрим на стандартные разре­
шения, примененные к ним, чтобы выяснить, необходимы ли какие-нибудь
корректировки.
6. Щелкните на группе Users; вы увидите диалоговое окно, представленное на
рис. 14.15.
ПРЕДОСТЕРЕЖЕНИЕ ОТНОСИТЕЛЬНО УРОВНЕЙ РАЗРЕШЕНИЙ
Вы должны быть осмотрительны при выборе некоторых уровней разрешений. Выбор
Read & Execute включает все права Read, поэтому Read выбирается автоматически.
С другой стороны, если вы хотите очистить Read & Execute, снятие отметки с флаж­ка Allow для Read & Execute не приводит к автоматическому снятию отметки с тако­го флажка для Read.
На рис. 14. 1 5 видно, что группа Users уже имеет ряд стандартных разреше­
ний, в числе которых Read & Execute, List Folder Contents и Read. Вы также за­
метите, что эти разрешения унаследованы, потому что флажки в столбuе Allow
затенены.
Тем не менее, как вы можете помнить, затенение записи Special
Pennissions не означает, что разрешения являются унаследованными (хотя они
и могут быть таковыми).
Затенение здесь указывает лишь на то, что имеются дополнительные записи разрешений, которые можно просмотреть в этом кон­кретном диалоговом окне.
7. Щелкните на кнопке Advanced (Дополнительно), чтобы получить диалоговое
окно Advanced Security Settings for APPS (Расширенные настройки безопаснос­
ти для APPS). Взглянув на рис. 14.16, вы увидите намного более сложную вер­
сию записей разрешений по сравнению с той, что была показана на рис. 14. 15.
Правда, не совсем понятно, почему разработчики из Microsoft решили сначала
отображать своего рода оглавление по разрешениям, а не предоставлять сразу
подробную информаuию.

В списке Permission entries (Записи безопасности) перечислены выбранные груп­
пы и пользователи с описанием их прав. В этом диалоговом окне вы можете отклю­чать наследование, щелкая на кнопке DisaЫe inheritance (Отключить наследование), а также по-прежнему добавлять и удалять записи, щелкая на кнопках Add (Добавить) и Remove (Удалить). Так в чем же разниuа? В этом окне вы получаете больше деталей.

Прежде всего, вы заметите, что одна запись в предшествующем окне разрешений
может стать здесь двумя и более детализированными записями, позволяя четко ви­деть, какие есть права и откуда они унаследованы, и созданы ли записи для данного
ресурса специально вручную. Например, обратите внимание, что группа Users име­ет две записи, которые обе унаследованы от тома. Кроме того, в столбце Applies to
(Применяется к) четко видно, откуда происходят разрешения.
Разумеется, наличие всех этих деталей значительно помогает при поиске и устранении неполадок, т.к. вся необходимая информация собрана в одном месте (точнее, почти вся).
У вас есть возможность приспособить свои расширенные разрешения к атомар­ному уровню, выбрав запись и щелкнув на кнопке Edit (Редактировать). Однако
будьте осторожны. При таком большом количестве разрешений, поступающих из
множества разных мест (и здесь мы даже не учитывали разрешения общего досту­па!), этот процесс легко может привнести путаницу в процедуру устранения непо­ладок. Пытайтесь максимально упрощать свои ресурсы и пользователей, по томам,
по группам или по машинам, и вы существенно облегчите себе жизнь, имея дело с разрешениями.
Чтобы посмотреть, какие права имеет группа Users, и удостовериться в том, что
она получит корректный доступ к папке APPS, выполните следующие шаги.
1. Выберите запись для группы Users с разрешением Read & Execute.
2. Щелкните на кнопке View (Просмотреть) в диалоговом окне Advanced Security
Settings for APPS (Расширенные настройки безопасности для APPS).
3. Щелкните на кнопке Show advanced permissions (Показать расширенные
разрешения) и обратите внимание, что опции здесь затенены.
Если вы повторите те же самые шаги для группы Database Managers, то за­
метите, что теперь вместо кнопки View (Просмотреть) отображается кнопка Edit
(Редактировать).
Почему для группы Database Managers разрешения не затене­ны? Причина в том, что наследование применяется к группе Users, но не к группе
Database Managers. Если вы хотите редактировать разрешения для Users здесь, то
вам придется разорвать наследование и повторно добавить эту группу. На рис. 14.17
показаны атомарные разрешения для группы Users.
На основании точной информации выясняется, что конечным разрешением яв­
ляется Read & Execute. Н и больше и ни меньше; эти пять атомарных разрешений
образуют разрешение Read & Execute. Считайте, что это закон.
НАСЛЕДОВАНИЕ РАЗРЕШЕНИЙ
Вы могли заметить, что раскрывающийся список Applies to (Применяется к) тоже
не доступен для записи группы Users. Это еще один результат наследования.
Наследование удобно трактовать как указание свыше. Такие разрешения будут при­
меняться к данной папке, подпапкам и файлам, если только вы не отключите насле­
дование и не создадите собственные специальные разрешения. Или же вы могли бы
перейти прямо к источнику, поскольку, будучи администратором, вы устанавливаете
правила, когда дело доходит до наследования. Открывая диалоговое окно свойств
для тома и редактируя записи для группы Users, вы можете удалить или модифи­
цировать разрешения; затем вы можете точно указать, где они должны применяться
повсюду на томе, используя кнопку Apply Onto (Применить на).

Обратите внимание на наличие двух записей дЛЯ группы Users.
Стандартныеразрешения в Windows Server 201 2 являются более защищенными, чем в предшест­вующих редакциях сервера. Вспомните, что в Windows 2000 Server группа Everyone имела разрешение Full Control дЛЯ чего угодно!
Давайте исследуем атомарные разрешения мя другой записи группы Users.
1. Если вы по-прежнему видите диалоговое окно, показанное на рис. 14. 17, щел­
кните на кнопке Close (Закрыть) — вам не нужно изменять запись Read &
Execute, т.к. это именно то, что требуется дЛЯ папки APPS.
2. Возвратившись в диалоговое окно Advanced Security Settings for APPS
(Расширенные настройки безопасности мя APPS), шелкните на другой записи
мя группы Users и затем щелкните на кнопке Edit (Редактировать). Откроется
диалоговое окно, представленное на рис. 14. 18.
Стандартные разрешения для группы Users включают возможность создания
файлов и папок на томе, а также возможность записи и добавления данных в фай­
лы, содержащиеся внутри этого тома — конечно, если вы специально не запретите
такую возможность любым конкретным ресурсам на томе. Таким образом, вы име­ете здесь набор разрешений, находящийся между двумя обсуждаемыми ранее груп­пами атомарных разрешений. Первый набор атомарных разрешений, который вы видели мя группы Users, образует молекулярное разрешение Read & Execute. Если
вы добавили эти два атомарных разрешения, то молекулярное разрешение попадет
куда-то между Read & Execute и Modify. Вполне понятно, что разрешение Modify
также включает права Write Attributes, Write Extended Attributes и Delete Subfolders
and Files.

• Во-первых, вам не придется беспокоиться об остальных разрешениях, унасле­
дованных от тома, часть из которых понадобится сохранить. Когда вы удаляете
наследование, вам предоставляется право копировать существующие унаследо­ванные разрешения и затем редактиро­вать их по своему усмотрению.
• Во-вторых, удаляя наследование, вы уст­раняете возможность вывода разрешений
из тома в глобальную область действия,что является довольно удобным средством.
Как упоминалось ранее, если вы можете упростить разрешения, выполняя
работу в глобальной области действия, то сохраните немало времени и усилий.
Чтобы отключить для группы Users воз­можность создания файлов или папок либо записи или добавления данных в папку APPS, просто отметьте флажки Deny (Запретить)
для обеих записей атомарных разрешений(рис. 14. 19) и щелкните на кнопке ОК.
Удаление группы или пользователя
Чтобы удалить запись для группы или пользователя, просто щелкните на кнопке
Permissions for APPS формации для определения полной ис­тории разрешений на основе первона­чального диалогового окна разрешений

Remove (Удалить) в любом диалоговом окне свойств, которые были рассмотрены
ранее. Если пользователь или группа присутствует по причине наследования, кноп­
ка Remove будет недоступной, и вам придется отключить наследование, щелкнув на кнопке DisaЫe inheritance (Отключить наследование).
Использование детализированноrо интерфейса для получения полной истории
Взгляните на рис. 14. 19. Помните это диалоговое окно? Мы напомним вам кое­
что, о чем говорилось ранее касательно интерфейсов, применяемых для управления
разрешениями NTFS: это окно не предоставляет достаточного объе\iа информации,
из-за чего возникают затруднения. Если вы решили отключить наследование, чтобы
избавиться разрешения Write для группы Users, и для этого щелкнули на кнопке
Remove (Удалить) в данном диалоговом окне, то тем самым вы удалили обе записи
для группы Users, которые видели на рис. 14. 16.
К тому же, если вы используете это окно для добавления учетной записи пользователя или группы, то будете иметь возможность отметки только флажков для молекулярных разрешений, которые здесь видны — вы не сможете точно указать, где эти разрешения должны применяться с использованием наследования. Чтобы сделать это, вам пришлось бы перейти в диа­логовое окно, показанное на рис. 14.16. Лучше всего пропустить это излишнее диа­логовое окно и перейти непосредственно к детализированному представлению.
Это позволит получить полную историю с самого начала.
Конфликтующие разрешения
Разрешения можно назначать файлам, а также папкам.
Точно так же, как разре­шения общего доступа могут вступать в противоречие с разрешениями для файлов и папок, разрешения для файлов могут конфликтовать с разрешениями для папок.
В конфликтах на уровне общего доступа преимущество получают разрешения об­щего доступа; если же в противоречие вступают разрешения для файлов и папок,
то предпочтение отдается разрешениям для файлов. Разрешения общего доступа
устанавливают максимально допустимый доступ, так что если разрешением обще­
го доступа является Read, а разрешением NTFS — Write, то результатом окажется
разрешение Read. Если вы назначите папке права только для чтения, но какому-то
файлу внутри этой папки — права на изменение, то все равно будете иметь возмож­
ность изменять этот файл.
Множество разрешений
А теперь поговорим о еще одной проблеме. Вы предоставили группе
Administrators полный контроль над папкой APPS, а группа Everyone имеет
только разрешение Read & Execute. Вот где разрешения снова вступают в конфликт.
Группа Everyone содержит пользователей, не так ли? Даже а)Iминистраторы явля­
ются пользователями. Хм. Как же это работает? Дело в том, что при наличии не­
скольких разрешений преимущество получит наименее ограничивающее разрешение
при условии, что в игру не вовлечены разрешения общего доступа.
Предположим,что у вас есть администратор Боб. Он входит в состав группы Users, которая име­ет права доступа только для чтения к какому-то файлу. Боб также является членом группы Administrators, имеющей полный доступ. В таком случае Боб получит
полный доступ, т.к. это разрешение наименее ограничивающее.
Разрешения Deny
Ранее мы говорили о разрешениях Deny в связи с общими ресурсами и кратко
рассматривали последствия наследования разрешений в отношении к действиям
Al\ow и Deny. То же самое применимо к разрешениям файлов и папок, но чуть более
сложным способом из-за большего количества параметров безопасности. Подумайте
о файле электронной таблиuы с назначением премий внутри корпорашш. кото­рый вы пытаетесь зашитить.
Вы хотите, чтобы все видели этот файл. но изменять его содержимое могли только менеджеры. Это имеет смысл: предоставьте группе Employees (Сотрудники) права на чтение, а группе Managers (Менеджеры) — пол­ный доступ. Предположим, что где-то по пути какой-то руководитель низшего звена попадает в обе группы.
По одним меркам эта персона должна быть частью группы Иanagers, тогда как по другим — входить в состав группы Employees.
Если вы ос­тавите только что описанные разрешения, данный руководитель получит лучшее из двух миров в отношении файла электронной таблицы — полный доступ. По этой
причине вы принимаете решение о том, что члены группы Employees не должны
явно иметь полный доступ. И как теперь поступить?
Все довольно просто: запретите это чрезмерное разрешение.
Вам потребуется определить, какие разрешения не должны иметь сотрудники, и отметить для этих разрешений флажки в столбце Deny (Запретить); таким методом вы можете гаранти­ровать, что сотрудники будут располагать только правами Read. Чтобы сделать это, выполните следующие шаги.
1. Щелкните на имени файла правой кнопкой мыши и выберите в контекстном
меню пункт Properties (Свойства).
2. В открывшемся диалоговом окне свойств перейдите на вкладку Security
(Безопасность) и щелкните на кнопке Advanced (Дополнительно). (Вспомнили
интерфейс, представленный на рис. 14.15?)
3. Выделите запись для группы Employees (Сотрудники) и щелкните на кноп­
ке Edit (Редактировать), что позволит модифиuировать атомарные разрешения
для файла электронной таблицы.
4. В раскрывающемся списке Туре (Тип) выберите элемент Deny (Запретить) и
затем щелкните на ссылке Show advanced permissions (Показать расширенные
разрешения).
5. Отметьте флажки для разрешений, как показано на рис. 14.20.
Вы должны отдельно отметить флажки для каждого разрешения. Однако если
вы отметите флажок Full Control (Полный доступ), то отметятся все остальные
флажки, т.к. Full Control включает все разрешения. В этом примере нас интере­
сует включение разрешения Read и отключение разрешения Write.
6. Щелкните на кнопке ОК, чтобы новые разрешения вступили в силу.
Вы получите предупреждение, сообщающее о том, что разрешения Deny перео­
пределят разрешения Allow. Теперь в сuенарии с несколькими разрешениями пре­
имущества получают разрешения Dепу, и даже с учетом того, что упомянутый ранее руководитель имеет членство в обеих группах Managers и Employees, его права бу­дут ограничены посредством Deny.

В диалоговом окне Advanced Security Settings обратите внимание на наличие двух
записей для группы Employees: одна для разрешения Deny и одна для разрешения
Allow. Они больше не объединяются в единое целое, как вы привыкли видеть в вы­
пусках Windows Server, предшествующих Windows Server 2008.
Действующие разрешения
Что будет конечным результатом всех этих разрешений, если одни из них насле­
дуются, другие — нет, некоторые применяются к пользователям, а некоторые — к
группам? Кто и что сможет делать с теми или иными файлами? Как выяснить, ка­
ким будет результат всех имеющихся разрешений для любой группы, пользователя
или объекта? В состав Windows Server 2012 включен инструмент, который позволяет
вычислить действующий доступ для любого отдельного пользователя или группы
на заданном объекте. Взгляните на диалоговое окно, представленное на рис. 14.21 .
И снова это диалоговое окно расширенных настроек безопасности для папки APPS,
которое к настоящему времени вы должны хорошо знать.
Вспомните, что администраторы имеют разрешение Full Control, администраторы базы данных — разрешениеModify, а пользователи — разрешение Read & Execute.
Чтобы увидеть, как в точности работают все эти разрешения, перейдите на вклад­
ку Effective Access (Действующий доступ), которая показана на рис. 14.22. В выпуске
Windows Server 2012 R2 эта вкладка порядком изменилась.
Новая вкладка Effective Access теперь позволяет легко просматривать уровень доступа пользователя илигруппы к любым локальным или присоединенным к домену машинам или группам.
Вы можете выбрать локального или сетевого пользователя, включить в запрос членс­тво в группах этого пользователя и просмотреть действующий доступ в отношении другой группы или сервера.
В следующем примере можно видеть действующие раз­решения для группы Database Managers на тестовом сервере BFl.
Действующим_доступом является Modify, как было установлено в предшествующих упражнениях.
Конечно, для просмотра разрешений на любом проверяемом ресурсе необходимо
располагать соответствующими правами, и существуют ограничения в плане фак­
торов, которые используются для определения действующего доступа. Например,
вы можете не иметь возможности просмотра разрешений для каждого пользователя или группы. Рассмотрим локальную группу Users на сервере по имени Storage,
на котором находится общий ресурс APPS. Из-за того, •по этот сервер является
членом домена Active Directory, глобальная группа под названием Doma in Users
(Пользователи домена) автоматически вкладывается внутрь локальной группы
Users. Чтобы просмотреть действующие разрешения на локальной группе Users,
понадобится выполнить перечисленные ниже действия на вкладке Effective Access
диалогового окна Advanced Security Settings for APPS (Расширенные настройки безо­
пасности для APPS).
1. Щелкните на ссылке Select а user (Выбрать пользователя) или Select а
device (Выбрать устройство) и затем щелкните на кнопке Location (Место­
положение).
2. Выберите локальное местоположение по имени Storage (в отличие от ката­
лога).
Поскольку группа Domain Users вложена в локальную группу Users, пользова­
тели домена имеют те же самые права для папки за исключением существования
любого другого набора разрешений, который конфликтовал бы с ними. Но когда вы
попытаетесь получить действующие разрешения для группы Domain Users с помо­
щью этого инструмента, обнаружится отсутствие доступа, т.к. данный инструмент
не умеет вычислять действующие разрешения для групп домена, вложенных в ло­
кальные группы.
Безусловно, это ограничивает эффективность инструмента, но вы по-прежнему
можете применять его при вычислении множества записей АСЕ для пользователя
или группы, как было продемонстрировано в предыдушем примере.
право владения
В процессе назначения и отзыва разрешений вы обязательно столкнетесь с про­
блемой, когда никто, включая администраторов, не может получить доступ к фай­
лу. И вы не можете изменить разрешения файла, потому что для этого необходимы
определенные разрешения. Ситуация зачастую оказывается действительно трудной.
К счастью, помочь здесь может право владения.
Каждый объект имеет атрибут, который называется владелец (owner). Владелец
полностью отделен от разрешений. Для каждого объекта всегда будет существовать
некоторый владелец. Но чем это может помо•1ь? Дело в том, что владелец объекта
обладает специальной привилегией — возможностью назначения разрешений.
Получение права владения файлом или папкой — относительно простая задача
при условии, что учетная запись, используемая для изменения права владения, име­
ет полный доступ на желаемом ресурсе. Возвратившись обратно к рис. 14. 16, вы за­метите поле Owner (Владелец}, расположенное ниже поля Name (Имя). Вы также об­наружите рядом ссылку Change (Изменить); если она недоступна, значит, вы вошли с учетной записью, которая не имеет привилегии на изменение права владения. По щелчку на ссылке Change откроется диалоговое окно Select User (Выбор пользовате­ля}, позволяющее назначить право владения другому пользователю или группе.
На корпоративном общем ресурсе в производственной среде имеет смысл обес­печить права владения всеми его файлами и папками для учетной записи с повы­шенными полномочиями, контролируемой персоналом из IТ-отдела, или точ­нее — учетной записи службы уровня хранилища. Наиболее интенсивно такая конфигурация применяется целей резервного копирования и восстановления.
Некоторые файловые системы не позволяют восстанавливать файлы, для которых
отсуствуют разрешения на это действие.
Представьте себе попытку восстановления общего ресурса, на котором пользователи сделали себя владельцами папок и файлов, удалив весь остальной доступ. Такие папки или файлы окажутся невосстановимы­ми никем кроме своего владельца. Это укрепляет хорошую стратегию подпержания строгих и управляемых разрешений повсеместно в среде из одного контролируемого централизованного места.

Работа со скрытыми общими ресурсами

После открытия общего доступа к папке из
сети она становится видимой сооб­ществу пользователей. Но что, если вы не хотите, чтобы общий ресурс могли ви­деть абсолютно все? Например, мы создали на сервере общий ресурс с исходными
дистрибутивами, чтобы всякий раз, когда мы находимся на рабочей станции пользователя, была возможность устанавливать любые приложения без необходимости
в захватывании с собой компакт-дисков.
На самом деле это сделано для удобства, но в то же время мы не хотим, чтобы пользователи могли заходить на данный об­щий ресурс и устанавливать любые приложения, которые им попадутся на глаза.
Несомненно, мы могли бы ограниt1ить общий ресурс, предоставив разрешения на
доступ к нему только себе, но это также требует определенных усилий.
Мы вовсе не хотим выходить из системы пользователя и заходить под своей учетной записью при каждом выполнении установки, особенно когда задействуются профили поль­зователей.
В такой ситуации может помочь создание скрытых общих ресурсов.
Мы хотим, чтобы общий ресурс существовал и был доступным, но просто не так легко
обнаруживался. Хотя это и не полностью защищенное решение, оно является сдер­живающим фактором против чрезмерно любопытных пользователей.
Чтобы создать скрытый обший ресурс, откройте общий доступ к папке обычным
образом, но добавьте в конец имени нового общего ресурса знак доллара.
Вот и все.
Теперь, когда сервер регистрирует информацию для списка доступных ресурсов, он
просто не будет включать в него этот скрытый общий ресурс.
Давайте посмотрим, как создать общий ресурс по имени INSTALL$, который со­
ответствует папке I : \Install.
1 . Создайте общий ресурс, как это делается обычно, но назовите его INSTALL$, а
не INSTALL (рис. 14.2 3 ).
2. Выберите разрешения, чтобы позволить доступ только администраторам

Теперь из клиентских рабочих станций вы не увидите общего ресурса INSTALL$
в списке доступных ресурсов, но по-прежнему сможете вручную отображать
диск на ресурс INSTALL$ с целью дальнейшего подключения к нему.
3. Выберите имя общего ресурса в консоли Computer Management
Хотя скрытый общий ресурс не будет отображаться в списке доступных ресурсов
внуrри проводника Windows, он будет видимым через консоль Computer Management.
Это помогает помнить о том, какие скрытые общие ресурсы были созданы.

Исследование распределенной файловой системы

Что собой представляет распределенная файловая система (Distributed File
System — DFS)? Благодаря DFS вы можете создавать единственный общий ресурс,
который заключает в себе каждый ресурс, основанный на файловом общем ресурсе,
внутри сети. Думайте о нем, как о доме для всех общих файловых ресурсов в сети со
страницей «ссылок», указывающих клиентам на отдельный сервер или серверы, где
действительно размещены эти общие ресурсы. Вы можете иметь общие ресурсы, ко­торые охватывают целый мир.
Сгруппируйте всех их вместе под одним пространством
имен и откройте пользовательской базе общий доступ к этому пространству имен.
чтобы сделать возможным дружественный к пользователям, централизованный метод
общего доступа к ресурсам.
Продвигаясь на шаг дальше, файловая система DFS мо­жет реплицировать изменения в общие ресурсы на любых серверах, которые ямяются членами группы репликации, сохраняя все эти серверы в актуальном состоянии.
В Windows Server 2012 применяются две технологии.
• DFS Namespaces (Пространства имен DFS). Компонент DFS Namespaces пре­
доставляет возможность группировать общие папки, находящиеся на разных
сайтах и серверах, в одно или несколько логически структурированных про­
странств имен. Пространство имен затем представляется пользователю в виде
единой общей папки, состоящей из множества подпапок, как если бы все они
располагались в локальном катаге.
Это великолепная функциональность,
которая делает возможным централизованный метод управления и использо­
вания общих ресурсов на большом числе физически отдельных серверов или
местоположений сайтов. Такая структура повышает готовность и автоматичес­
ки подключает пользователей к общим папкам внутри того же самого сайта
Active Directory Domain Services, когда они доступны, вместо их маршрутиза­
ции по каналам WAN.
• DFS Replication (Репликация DFS). Компонент DFS Replication — это эффек­тивный механизм репликации с несколькими хозяевами, который можно
применять ДЯ поддержания папок в синхронизированном состоянии между
серверами через сетевые подключения с ограниченной пропускной способностью. Репликация DFS может происходить среди множества сайтов и серверов,
находящихся внутри одного и того же леса. Компонент DFS Replication ис­
пользует удаленное разностное сжатие (remote ditТerential compression — RDC)
ДЛЯ определения и репликации только изменившихся блоков данных файла.
Компонент DFS Replication работает рука об руку с новыми средствами дедуп­ликации данных (Data Deduplication), премагаемыми в Windows Server 2012 R2.
Будучи интегрированным с той же самой технологией хранилища уровня бло­ков, компонент DFS Replication поддерживает репликацию папок и файлов, расположенных на томах, ДЯ которых включена дедупликация.
Применение дедупликации ДЯ снижения требований к хранилищу в файловой системе
NTFS не оказывает никакого неблагоприятного влияния на репликацию DFS.
Прежде чем можно будет пользоваться этими средствами, на сервер понадобится
добавить новые роли — DFS Namespaces и DFS Replication. Добавьте их с помощью
мастера добавления ролей и компонентов (Add Roles and Features Wizard) в диспет­чере серверов (рис. 14.26).
Существует несколько дополнительных требований, которые необходимо при­
нять во внимание до запуска DFS. Чтобы можно было успешно развернуть DFS
Replication в имеющейся среде, серверы должны быть сконфигурированы так, как
описано ниже.
• Все серверы, которые вы хотите сделать членами группы репликации, должны
иметь установленную роль DFS Replication.
• Вы должны удостовериться, что применяемое антивирусное программное
обеспечение совместимо с DFS Replication.

• Все серверы-члены должны находиться внутри одного и того же леса. Компо­
нент DFS Rep\ication хорошо работает между доменами, но пока что не подде­
рживает репликацию между лесами.
• Удостоверьтесь в том, что схема АО DS актуальна и соответствует всем подхо­
дящим дополнениям схемы в данной редакции сервера. В Windows Server 2012
R2 такая актуальность соблюдена.
• Учтите, что компонент DFS Replication не поддерживает файловые системы
FAT и Resilient File System (ReFS), а также не работает с данными, которые хра­
нятся на кластеризированных общих томах. Чтобы репликация между сервера­ми поддерживалась, данные должны находиться в файловой системе NTFS.

3. Запустите следующую команду для создания отдельного пространства имен DFS:
PS С : \> New-DfsnRoot -TargetPath «\\Test-FS\Software» -Туре Standalone
-EnaЬleSiteCosting -Path «\\Test\Software»
4. Чтобы просмотреть доступные новые командлеты PowerShell в Windows
Server 2012 R2, предназначенные для DFS, выполните такую команду:
PS С: \> Get-Command -Module DFS

Терминология, связанная с DFS

Прежде чем двигаться дальше, необходимо освоить терминологию, связанную с
DFS. Как и в случае Active Directory, здесь в игру вступает целый новый набор кон­цепций.
Вы начинаете с корня (root). Его можно приблизительно трактовать как общий
ресурс, который будет видимым для сети. В нашем примере корнем является APPS.
Внутри сайта можно иметь много корней, и в Windows Server 2012 один сервер мо­
жет содержать более одного корня подобно тому, как это было в Windows Server 2008.
Корень открывается для общего доступа из сети и в действительности функциони­
рует подобно любому другому общему ресурсу. Внутри общей папки можно иметь
дополнительные файлы и папки.
Под корнем вы добавляете ссылки DFS (DFS link). Ссылка — это другой общий
ресурс где-то в сети, который помещен под корень.
Термин ссылка является частьюбесконечного смешения терминологии. В этом случае, похоже, мы сместились в сторону терминологии Интернета.
Представляйте корень DFS как домашнюю веб­-страницу, содержащую ничего кроме имени и множества ссьшок на другие веб-стра­ницы. Ссылки внутри иерархии DFS подобны гиперссылкам на веб-странице, ко­торые автоматически направляют в новое местоположение. Вы, как пользователь,
не обязаны знать, куда ведут эти ссылки, до тех пор, пока вы получаете искомую
веб-страницу. После нахождения домашней страницы (корня DFS) посредством
этих rиперссьшок (ссылок DFS) вы будете направлены на любой желаемый веб-сайт
(общий ресурс).
Цель (target) или реплика (replica) может направляться либо на корень, ,1ибо на
ссьшку. При наличии в сети двух идентичных обших ресурсов, обычно нахоляшихся
на разных серверах, их можно сгруппировать вместе внутри одной и той же ссыл­
ки в виде целей DFS. Вы также можете реплицировать целый корень — т.е. оглавле­
ние — в качестве члена реплики корня. После того как цели сконфигурированы для
реГLJiикации, служба репликации файлов (File Replication Service) поддерживает со­
держимое корней в синхронизированном состоянии.

Выбор между автономной и доменной файловой системой DFS

Перед тем, как приступать к созданию системы DFS, вы должны решить, какой
вид файловой системы DFS вам необходим. Это решение главным образом будет
основано на том, имеется ли Active Directory. Большое отличие будет касаться корня
DFS. В файловой системе DFS, основанной на Active Directory или на домене, сам
корень может иметь реплики. Другими словами, единая точка отказа — корень —
рассредоточивается по Active Directory.
Если используются реплики корня, то при наличии, скажем, 27 серверов, размещающих Active Directory, вы будете иметь 27 мест, где будет находиться информация DFS.
Надо заметить, что это не вся инфор­мация но ее вполне достаточно для указания клиентам на одну из реплик корня
DFS. Благодаря этому, до тех пор, пока служба Active Directory функционирует и до­ступна, доступной будет также и файловая система DFS. Кроме того, будучи интег­
рированными в Active Directory, реплики ссылок могут быть сконфигурированы для
применения автоматической репликации.

DFS и вы
Мы начали эту главу с совета насчет того, что вы должны взглянуть или начать поль­
зоваться файловой системой DFS. Ладно, позвольте нам поведать короткую историю
о том, как однажды сервер прекратил свое существование. Просто почитайте и осоз­
найте, почему применение DFS может сберечь критически важные файлы и сокра­
тить время, требуемое для восстановления файлов и/или папок.
Как-то раз несколько лет назад один из авторов этой книги в завершение рабо•1его
дня исследовал журналы событий на своих серверах. Казалось, что все было в поряд­
ке, поэтому он поехал в направлении к дому, до которого было около 45 миль. Когда
до дома оставалось минут 1 5, он получил на пейджер сообщение от лица, занимаю­
щегося поддержкой во второй половине дня, которое гласило, что главный сервер на
одной из площадок прекратил работу и не удается войти в систему или увидеть его с
помощью команды ping.
Опасаясь худшего, автор развернул машину обратно лишь для того, чтобы по прибытии увидеть, что производственная деятельность продолжа­ется и ничего не требуется предпринимать. Критически важные файлы, необходи­мые для работы в ту ночь, были позаимствованы из другого сервера.
На следующий день сервер был восстановлен (как оказалось, причиной бьша пробле­
ма с материнской платой) и компания не подверглась простою. Время, которое пот­ребовалось бы для восстановления из резервной копии, вдвое бы превышало среднее время для восстановления (шеаn tiшe to restore — MTTR) и стоило бы миллионов долларов производственных потерь.
Эта цена включала бы людей, которые не смогли работать на предприятии из-за отсутствия данных. Если вы хотите сохранить данные в деле, освойте, как следует, функционирование файловой системы DFS.
При автоматической репликации служба репликации файлов (File Replication
Service) принимает на себя задачу синхронизации содержимого реплицированных
файлов, обеспечивая наличие во всех репликах одной и той же информации. Можно
с уверенностью утверждать, что если вы имеете домен Active Directory, то должны
выбрать файловую систему DFS, основанную на домене.
Но у файловой системы DFS, основанной на домене, есть действительно инте­
ресная особенность. Если вы размещаете DFS в домене Active Directory под назва­
нием test . com, то помимо того, что пользователи не обязаны знать, на каком сер­
вере находится конкретный общий ресурс, они даже не нуждаются в информации
о том, на каком сервере располагается сама файловая система DFS.
Вместо отобра­жения диска на \\имя_ сервера \имя_ DFS пользователи могли бы отображать диск на \ \test . com\имя_DFS.
Теперь, используя ту же самую логику, которую клиент применял для нахождения доступного контроллера домена Active Directory, клиент может искать хает DFS. Если один хает отказал, клиент просто обращается к друго­му хосту.
Файловая система DFS, основанная на домене, автоматически публикует свою
топологию в Active Directory.
Это означает, что действительная иерархия DFS — корни, ссьшки и цели — публикуется в Active Directory, так что все контроллеры до­мена будут знать, где находится DFS, как она выглядит и каким образом перейти к ней. Это вовсе не значит, что каждый контроллер домена является сервером реплик корня DFS.

Если вы добрались до этого места, то вероятно не располагаете Active Directory,
чтобы публикация стала возможной. А как насчет сетей, не основанных на AD?
Большинство компаний перешли на Active Diгectory. Большинство из них устано­
вили местами, по меньшей мере, несколько серверов-членов. Для тех компаний,
которые не прошли через процесс миграции, технология DFS предЛагает расшире­
ние базового файлового сервера, которое позволяет предприятию выйти за пределы
физических границ и перейти в более дружественное к пользователю и управляемое
состояние.
Автономная файловая система DFS является крупным шагом вперед в направ­
лении мира файловых общих ресурсов из предшествующих версий Windows Server,
не требуя предварительного развертывания Active Directory. В автономной файловой
системе DFS вы не получите высокой отказоустойчивости самого корня, автомати­
ческой репликации и опубликования DFS в Active Directory. Но вы все равно полу­
чите в свое распоряжение остальные удобства, такие как объединение всех сетевых
обших ресурсов в единое пространство имен и в конечном итоге устранение зави­
симости от имен физических серверов и местоположений, когда пользователи на­
чнут обращаться к своим ресурсам. Чуть позже мы обсудим, как извлечь пользу от
привносимых DFS преимуществ в практической среде с или без Active Directory, но
сначала давайте посмотрим, как все это построить.
Предположим, что в сети имеется следующий набор общих ресурсов.
Путь UNC
\\DCl\APPS
\\RC::SOURCEl\APPS
\\STORAGE\SALES
\\STORAGE2\USERS
\\STORAGE\FINANCE
\\RESOURCE2\APP2
От об ражение
у пол ьз ователей
G :
G :
S :
Н :
Q :
Р :
Описание ресурса
Все общие приложения
Те же приложения, что и в \ \DCl \APPS
Корпоративные данные о продажах
Все пользовательские каталоги
Корпоративные данные о финансах
Смешанные приложения
Это может вызвать настоящую головную боль у пользователей (не говоря уже
об администраторах), которым придется помнить, куда необходимо переходить для
подключения ко всем перечисленным ресурсам. Ресурсы размешены на пяти раз­
ных серверах. Вдобаоок, если клиенту нужно получит доступ одновременно к ре­
сурсам APPS, SALES, USERS и FINANCE, ему потребуется сделать четыре разных
подключения. Да, четыре подключения зоучит не так уж устрашаюше, но мы имели
дело с крупными сетями, где клиентам попросту не хватало доступных букв дис­
ков дЛЯ отображения на очередной общий ресурс; каждая буква от А до z была на
что-то отображена. Вам также придется помнить, какие клиенты подключаются к
\ \DCl \APPS, а какие — к \ \RESOURCEl \APPS, которые представляют собой иден­
тичные общие ресурсы, размещенные на двух разных серверах. Опять-таки, это не
является большой проблемой в данном конкретном примере, но при наличии, ска­
жем, 50 серверов, содержащих тот же самый набор APPS, их отслеживание станет
настоящим кошмаром.

ПРЕИМУЩЕСТВА DFS
Как вы, вероятно, уже поняли, файловая система DFS наиболее выгодна на крупных
предприятиях, и ее развертывание в небольших сетях может не стоить приложенных
усилий.
А теперь давайте рассмотрим этот же сценарий, но в DFS. Вы будете иметь один
корень DFS (под названием Corp) с перечисленными внутри него всеми корпора­
тивными общими ресурсами.

Создание корня DFS

В качестве типа корня DFS можно выбрать доменный корень или автономный ко­
рень. Доменный корень опубликует себя в Active Directory, в то время как автономный
корень — нет. Это фундаментальное отличие является решающим фактором того, ка­
кой объем функциональности вы получите. Имейте в виду, что доменный корень DFS
должен располагаться на контроллере домена, поэтому предполагается наличие Active
Directory. Одно из наиболее важных преимуществ возможности публикации в Active
Directory заключается в том, что доменные корни моrут иметь реплики, а реплика
корня позволяет хранить этот корень на любом контроллере домена, что значи­
тельно повышает отказоустойчивость. Поскольку корни требуют для реплик такого
уровня наличие среды Active Directory, автономные корни не могут иметь реплики.
В следующем упражнении мы будем использовать тестовый сервер BFl в качестве
сервера пространства имен, и выберем эту опцию на соответствующем этапе.
Начнем с открытия окна DFS Management (Управление DFS), показанного на
рис. 14.27, чтобы приступить к работе с функциями DFS, которые мы вскоре опи­шем.

Создать новое пространство имен в окне DFS Management можно двумя путями.
Можно выбрать в меню Actioп (Действие) пункт New Namespace (Создать пространс­
тво имен) или же можно щелкнуть правой кнопкой мыши на элементе Namespaces
(Пространства имен) и выбрать в контекстном меню такой же пункт. В результате
запустится мастер создания пространства имен (New Namespace Wizard), который
проведет вас через весь проuесс.
1 . Щелкнув на кнопке Browse (Обзор), найдите нужный сервер или введите его
имя напрямую
Мы рекомендуем пользоваться мастерами до тех пор, пока вы не освоитесь с процессом ; эта рекомендация справемива для всех редакций Windows Server 2012.
2. Назначьте имя пространству имен, как показано на рис. 14.29. Это имя будет
появляться после имени сервера, и вдобавок применяться в качестве имени
для коллекuии файлов и папок, добавленных в пространство имен.
Теперь необходимо указать тип создаваемого пространства имен.
На выбор до­ступно пространство имен, основанное на домене, и автономное пространство
имен. Пространство имен, основанное на домене, допускает хранение на од­ном и более серверов пространств имен. Автономное пространство имен пред­полагает его размещение на единственном сервере пространств имен.
3. В данном примере выберите на экране Namespace Туре (Тип пространство
имен) автономное пространство имен (рис. 14.30). Позже вы сможете добавить
в него файлы и папки.

На последнем экране, Review Settings and Create Namespace (Просмотр настро­ек и создание пространства имен), отображаются все настройки, которые не­обходимо подтвердить, чтобы пространство имен было создано (рис. 14.31 ).
4. Если настройки выбраны правильно, щелкните на кнопке Create (Создать),
чтобы создать пространство имен. Отобразится экран Confirmation (Под­тверждение), приведенный на рис. 14.32.

Процесс создания пространства имен может занять некоторое время; однако,
после его завершения вы уже довольно далеко продвинулись в решении задачи
сбора файлов и папок в одном логически общем месте внутри серверной среды с
единственным именем, упрощающим к нему доступ. В области Shares (Общие ре­
сурсы) окна диспетчера серверов вы увидите созданную папку Corp с локальным
путем с : \DFSRoots \Corp

добавление ссылок в корень DFS

Внутрь одного общего корня можно добавлять ссылки или файлы и папки.
Для этого понадобится щелкнуть на пункте контекстного меню Add Folder Target
(Добавить конечный объект папки) и добавить все желаемые файлы и папки. Итак,
давайте создадим новую папку и добавим в нее конечные файлы и папки.
В качестве демонстрации создадим новую папку внутри пространства имен
Corp.
1 . Находясь в консоли DFS Management, щелкните на пункте New Folder (Создать
папку) в области Actions (Действия) справа и назначьте ей имя.
2. Теперь добавьте конечные объекты папок. Для этого щелкните на новой пап­
ке правой кнопкой мыши и выберите в контекстном меню пункт Add Folder
Target (Добавить конечный объект папки). В открывшемся диалоговом окне
Add Folder Target (Добавление конечного объекта папки) щелкните на кноп­
ке Browse (Обзор), укажите нужную папку и щелкните на кнопке ОК. На
рис. 14.34 показано диалоговое окно Browse for Shared Folders (Просмотр от­
крытых папок). В случае использования разных серверов их имена будут изме­
няться после \ \; тем не менее, в этом примере мы имеем дело только с одним
сервером, т.к. выбрали автономный режим. Если применяется режим, осно­
ванный на домене, мы указали бы только один конечный объект папки.

Рис. 14.34. Диалоговое окно Browse for Shared Folders
3. Щелкните на кнопке ОК. Поскольку для новой папки еще не создана группа
репликации, сделайте это сейчас.
Однако учтите, что DFS не является новым типом файлового сервера.
В опреде­ленном смысле это вообще не файловый сервер — напротив, это метод размещения
своего рода «оглавления» дЛЯ группы существующих общих файловых ресурсов и
указание клиентам на этот источник информации, когда они нуждаются в подклю­чении к общему ресурсу, на который есть ссылка в данном оглавлении.
Файловая система DFS вовсе не создает самостоятельно общие файловые ресурсы; сначала вы должны создать все общие файловые ресурсы на различных серверах и только за­тем использовать DFS дЛЯ привнесения в них определенного порядка.
Чтобы под­черкнуть этот момент, вот еще один факт о DFS: общие файловые ресурсы не обя­зательно должны быть общими файловыми ресурсами Windows NТ, Windows Seiver
2003 или Windows Seiver 2008.
При наличии на компьютере клиентского програм­много обеспечения для Unix NFS, Banyan VINES и Novell NetWare вы могли бы со­здать «общий ресурс» DFS, указывающий только на тома NFS, VINES и NetWare!
Файловая система NFS будет рассматриваться следующей, но прежде нужно закон­чить с DFS.
Но не значит ли это, что новый корень DFS, т.е. «оглавление», образует новую
единую точку отказа? Если один сервер, на котором находится корень — место, куда
все пользователи обращаются за своими ресурсами — перестанет функционировать,
то и пользователи утратят возможность работы, не так ли? Не обязательно.
В соче­тании с Active Directory корни DFS можно сделать отказоустойчивыми. Вместо размещения реального, физического корня на одном сервере он может быть сохранен
в среде Active Directory, поддерживаемой всеми контроллерами домена. После этого,
если один из серверов, содержащих корень — в Active Directory — потерпит отказ,
пользователи будут автоматически направлены в другое местоположение дЛЯ извле­чения информации корня безо всякой заминки.

Мы еще раз подчеркиваем функцию DFS. Отказоустойчивость DFS не означает
резервное копирование данных в общих файловых ресурсах. Она лишь означает ре­зервное копирование «оглавления», предлагаемого корнем DFS. Если компьютер,
на котором размещен корень DFS, перестанет работать (приносим свои извинения
за постоянное акцентирование внимания на этом моменте, но вполне реально, что
машина, хранящая корень DFS, не содержит ни единого байта из общих файлов, а
только указатели на серверы, где размещены такие файлы), то найдется другой компьютер, который возьмет на себя роль «сервера оглавления» или, выражаясь языком
Windows Server 2012, корня DFS.

конфигурирование репликации DFS

Можете ли вы как-то защитить общие файловые ресурсы и их данные путем
внедрения определенного вида отказоустойчивости? Да, это можно сделать с помо­щью репликации.
1. Откройте консоль DFS Management и щелкните на узле Replication (Реплика­ция) внутри узла Namespaces (Пространства имен), как показано на рис. 14.35.

2. В области Actions (Действия) щелкните на пункте New Replication Group
(Создать группу репликации). Одной из замечательных особенностей Windows
Server 2012, которую мы пока специально не отмечали, является применение
мастеров и их внешний вид. Открыв окно мастера, обратите внимание, что все
шаги четко перечислены в колонке слева.
Это помогает планировать действия,
поскольку вы знаете, чего ожидать следующим — больше не бывает так, что
после щелчка на кнопке ОК или Next (Далее) обнаруживается нечто совершен­но неожиданное. Кроме того, эти шаги снабжены гораздо лучшими пояснениями, чем в предшествующих версиях сервера.

Как бы то ни было, давайте возвратимся к работе. На первом экране масте­ра создания группы репликации (New Replication Group Wizard) доступы два
переключателя — Multipurpose replication group(Многоцелевая группа реплика­ции) и Replication group for data collectioп (Группа репликации для сбора дан­ных).
Если вы используете пространство имен, основанное на домене, или
автономное пространство имен, то должны оставить без изменений переклю­чатель, выбранный по умолчанию, т.е. Multipurpose replication group. Если же вы
хотите реплицировать данные для их резервного копирования или «собирать»
данные, скажем, на сервере концентратора, то выберите переключатель Repli­
cation group for data collection.
3. Оставьте выбранным переключатель Multipurpose replication group.
4. На экране Name and Domain (Имя и домен) необходимо назначить имя группе
репликации. Укажите в качестве имени CorpRep (рис. 14.36).
5. Далее понадобится добавить серверы, которые будут членами группы репли­
кации. Выбор серверов должен быть обдуманным, потому что вы увеличиваете
объем данных, циркулирующих между такими серверами.
ОЖИДАНИЕ РЕПЛИКАЦИИ
Изменения конфигурации не применяются немедленно ко всем членам. Новая кон­
фигурация должна быть реплицирована на все контроллеры домена, и каждый член
группы репликации должен опросить ближайший к нему контроллер домена, чтобы
получить эти изменения. Сколько времени потребует данные действия, зависит от
задержки репликации AD DS и длительности интервала опроса (60 минут) в каждом
члене. Чтобы обеспечить немедленный опрос изменений конфигурации, откройте
окно командной строки и введите следующую команду на каждом компьютере, яв­ляющемся членом группы репликации: df srdiag.ехе pollad.

6. Продолжите работу в мастере и сделайте выбор для топологии, сервера кон­
центратора, целевой папки на сервере концентратора и реплицируемых папок,
расписания и полосы пропускания группы репликации.
7. Просмотрите все настройки и щелкните на кнопке Create (Создать), чтобы со­
здать группу репликации.
Используя службу репликации DFS (DFS Replication Service — DFSR), файловая
система DFS может поддерживать все копии реплицированных целевых объектов в
синхронизированном друг с другом состоянии. Если по ссылке у вас есть полностью
динамические данные (под динамическими мы понимаем любые данные, которые
изменяются по мере доступа к ним пользователями, например, документы Word,
электронные таблицы, базы данных или что-то еще, что требует для изменения взаимодействия с пользователями), то вполне вероятно, что они не должны реплицироваться.
Предположим, что Джейн и Боб редактируют один и тот же документ, но
делают это в разных копиях на двух отдельных общих ресурсах.
Джейн вносит свои изменения и закрывает документ, а затем Боб вносит другие изменения и сохраняет свою версию.
Кто выиграет? Выиграет Боб, т.к. он сохранил документ последним.
После сохранения документ реплицируется на другой общий ресурс, перезаписывая
изменения, сделанные Джейн.
Таким образом, помните, что если пользователь ре­дактирует документ, получая к нему доступ по ссьшке, которая ведет к реплике, товнесенные изменения будут перезаписаны при следующей репликации.
Соблюдайте осторожность при применении ссьшок на реплики и репликации.

Понятие репликации DFS

Сама по себе репликация проста. В автономной версии DFS репликация является.
ручной, и одна ссьшка на реплику является хозяином. Другими словами, изменения
от конкретного сервера-хозяина распространяются всем остальным сервера реплик.
Если физический общий ресурс, который вы хотите удерживать в синхронизирован­
ном состоянии, находится внутри тома NTFS на машине Windows Server 201 2, то
репликация автоматически основывается на расписании репликации Active Directory
и используется репликация с несколькими хозяевами.
При репликации с несколь­кими хозяевами вы можете изменять файлы по любой одной ссылке на реплику, а изменения будут автоматически копироваться на другие члены. Действительно, в автоматической репликации нет такого понятия, как хозяин, после проведения на­чальной репликации. Первой репликации будет нужен хозяин, чтобы гарантировать, что все общие ресурсы имеют одну и ту же стартовую точку. Тем не менее, советуют не смешивать автоматическую и ручную репликацию внутри одного набора реплик.
ОТСУТСТВУЮЩАЯ ССЫЛКА
Теперь, когда раскрыт []роцесс репликации, мы должны обратить внимание на то,
что Active Directшy и DFS реплицируются в одно и то же время. Они не совпадают,
но дублируют метод своего выполнения. Однажды мы имели проблемы с реплика­
цией и обнаружили, что после того, как скорректировали процесс репликации Active
Directory, репликация FRS, или DFS в этом случае, также восстановила работоспо­
собность. Если это не исправляет репликацию DFS, то придется провести более де­
тальный лоиск и устранение неполадок.

Управление репликацией DFS

После конфигурирования DFS потребуется пройти через несколько шагов для
надлежащего управления корнями, ссылками и клиентами, которые к ним подклю­
чены. Настроив группы репликации, можете приступать к внесению необходимых
изменений.
Редактирование расписания и полосы пропускания для репликации
Выполните описанные ниже задачи, чтобы внести изменения в расписание и по­
лосу пропускания для группы репликации.
Чтобы отредактировать расписание и полосу пропускания для группы реплика­
ции, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните пра­
вой кнопкой мыши на группе репликации, расписание которой необходимо
отредактировать, и выберите в контекстном меню пункт Properties (Свойства).
В открывшемся диалоговом окне щелкните на кнопке Edit Schedule
(Редактировать расписание).
2. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, когда
репликация должна происходить, а также установите максимальный объем по­
лосы пропускания, который она может потреблять.
Чтобы отредактировать расписание и полосу пропускания для конкретного под­
ключения, выполните следующие шаги.
1. Находясь внутри узла Replication (Репликация) дерева консоли, выберите со­
ответствующую группу репликации.
2. Выберите папку Connections (Подключения), щелкните правой кнопкой мыши
на подключении, которое необходимо отредактировать, и выберите в контекс­
тном меню пункт Properties (Свойства).
3. В открывшемся диалоговом окне свойств подключения перейдите на вкладку
Schedule (Расписание), выберите Custom connection schedule (Специальное
расписание для подключения) и щелкните на кнопке Edit Schedule (Редакти­
ровать расписание).
4. В диалоговом окне Edit Schedule (Редактирование расписания) укажите, ког­
да репликация должна происходить, а также установите максимальный объем
полосы пропускания, который она может потреблять.
Включение и отключение репликации
Временами возникает необходимость во включении и отключении групп репли­
кации.
Чтобы отключить или включить репликацию дпя конкретного подключения, вы­
полните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, выберите
группу репликации, содержащую подключение, которое вы хотите отредакти­
ровать.

РЕПЛИЦИРОВАТЬ ИЛИ НЕ РЕПЛИЦИРОВАТЬ
Если вы обновляете свою сеть и хотите управлять полосой пропускания, то может
понадобиться отключить репликацию. Всякий раз, когда мы модернизируем серверы
или сетевые устройства, мы отключаем репликацию и изменяем время репликации
Active Directory. Вряд ли вы захотите создать себе проблемы, если после добавления
оборудования серверы попытаются провести репликацию и потерпят неудачу. Это не
только переполнит журналы ошибок, но также быстро приведет к возникновению
проблем. При внесении изменений в архитектуру сети самое лучшее, что можно сде­
лать — отклю’!Ить репликацию.
3. Щелкните на папке Connections (Подключения).
4. Выполните одно из указанных ниже действий.
• Чтобы отключить репликацию для подключения, щелкните правой кноп­
кой мыши на подключении и выберите из контекстного меню пункт DisaЫe
(Отключить).
• Чтобы включить репликацию для подключения, щелкните правой кноп­
кой мыши на подключении и выберите из контекстного меню пункт ЕnаЫе
(Включить).
ПОДДЕРЖКА ПОДКЛЮЧЕНИЙ
В Microsoft не поддерживают однонаправленные подключения для репликации DFS.
Создание однонаправленного подключения для репликации может вызвать м но­
жество проблем, в числе которых ошибки топологии проверки работоспособности,
проблемы со ступенчатыми изменениями, а также проблемы с базой данных реп- .
ликации DFS. Чтобы создать однонаправленное подключение, вместо этого сделай­
те реплицируемую папку на соответствующем члене группы репликации доступной
только для чтения.
Включение и отключение репликации на конкретном члене
Иногда может понадобиться включить или отключить репликацию для конкретных
членов группы репликации. На повестке дня должно стоять особое внимание. После
включения ранее отключенный член должен выполнить начальную репликацию реп­лицируемой папки. Начальная репликация приводит к передаче около 1 Кбайт дан­ных для каждого файла или папки в реплицируемой папке, и любые модифицирован­ные или новые файлы, появившиеся в члене группы репликации, будут перемещены
на нем в папку DfsrPrivate\PreExisting и впоследствии заменены авторитетны­
ми файлами из другого члена. Если все члены отключены, тогда главным членом ста­
новится первый включенный член, что может оказаться не тем, что требуется.
ОБЩИЙ ДОСТУП или ПУБЛИКАЦИЯ
Изменения ‘IЛенства не применяются немедленно. Изменения членства должны реп­лицироваться на все контроллеры домена, и членам группы репликации понадобится
опрашивать ближайший контроллер домена, чтобы получить изменения. Количество
времени, сколько это может занять, зависит от задержки репликации AD DS и ко­
роткого интервала опроса (пять минут) на члене.

Общий доступ или публикация реплицированной папки
После того как мастер New Replication Group Wizard завершен, может понадо­
биться открыть общий доступ или опубликовать реплицированную папку. Для этого
папка должна быть добавлена в существующее или новое пространство имен.
Чтобы открыть общий доступ к реплицированной папке без ее публикации в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти­
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел­
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Rep\icated Fo\der Wizard) выберите переключатель Share the
replicated folder (Открыть общий доступ к реплицированной папке) и затем
следуйте всем указаниями мастера.
Чтобы открыть общий доступ к реплицированной папке и опубликовать ее в
пространстве DFS, выполните следующие шаги.
1 . Запустите диспетчер серверов и выберите в меню Tools (Сервис) пункт DFS
Management (Управление DFS).
2. Находясь внутри узла Replication (Репликация) дерева консоли, щелкните на
группе репликации, содержащей реплицированную папку, к которой вы хоти­
те открыть общий доступ.
3. На вкладке Replicated Folders (Реплицированные папки) панели деталей щел­
кните правой кнопкой мыши на реплицированной папке, к которой вы хотите
открыть общий доступ, и выберите в контекстном меню пункт Share and PuЫish
in Namespace (Открыть общий доступ и опубликовать в пространстве имен).
4. В мастере открытия общего доступа и публикации реплицированной папки
(Share and PuЫish Replicated Fo\der Wizard) выберите переключатель Share and
puЫish the replicated folder in а namespace (Открыть общий доступ и опубли­
ковать реплицированную папку в пространстве имен) и затем следуйте всем
указаниями мастера.
ПРОВЕРКА ТРЕБОВАНИЙ БЕЗОПАСНОСТИ
Для выполнения этой процедуры вы должны удовлетворить требования безопаснос­
ти для управления репликацией и пространствами имен DFS. Если общий доступ к
палкам открывается с помощью мастера Share and Publish Replicated Folder Wizard,
то вы должны иметь членство в локальной группе Administrators на серверах, где
открывается общий доступ к каждой папке.

Случаи практического использования
Перед тем, как приступать к настройке корня, созданию ссылок и реорганизации
методов доступа пользователей к своим ресурсам, давайте кратко рассмотрим не­
сколько случаев, когда DFS действительно повышает ценность сети. Помните, что
речь не идет о работе с какими-то новыми средствами, а только о том, чтобы упрос­
тить жизнь, повысить эффективность и увеличить продуктивность.
Объединенные ресурсы предприятия
Пример DFS, с которым мы работали в этой главе, является хорошей демонстра­
цией объединения ресурсов предприятия. Вы можете взять все общие ресурсы сети и поместить их в один логический общий ресурс. Тогда вместо того, чтобы помнить, на каком логическом диске находится тот или иной ресурс, необходимо знать толь­ко папку. Важно также то, что настройка DFS в действительности не оказывает ни­какого влияния на конфигурацию сети. Вы можете строить и экспериментировать с конфигурациями DFS целый день в производственной среде, и никто даже не за­подозрит о ее существовании. Все старые общие ресурсы сети остануrся на своих местах, данные не будут затронуты, а пользователи не увидят ничего отличающе­гося. Как только новая конфигурация DFS станет готовой, наступит трудная часть
процесса — изменение у пользователей отображений дисков с одного диска для од­
ного общего ресурса на один диск для всех общих ресурсов. Не стоит недооuенивать
такую задачу. Это больше, чем просто отображение новой буквы диска на корень
DFS. Все приложения должны будуr знать, что они больше не находятся на диске х,
например, а вместо этого располагаются на диске У.
Управление жизненнь1м циклом
Хорошая новость заключается в том, что с DFS вы в последний раз будете иметь
дело с изменением отображений дисков. Когда возникнет потребность переместить данные из одного сервера на другой, чтобы вывести из эксплуатации старый сервер и ввести вместо него новый, вам не придется заниматься резервным копированием данных, очисткой сервера, построением нового сервера с тем же именем и восстанов­лением данных с целью воссоздания прежней физической машины. С помощью DFS вы можете установить новый сервер и сконфигурировать его как отключенную ссыл­ку на реплику для общего ресурса, который вы хотите «переместить». Убедившись,
что все данные были успешно перемещены, переведите новый сервер в онлайновый режим и отключите старый сервер. Пользователи даже не узнают, что они уже попада­ют на новый сервер. Файловая система DFS обрабатывает все безо всяких усилий.

Исследование сетевой файловой системы

Мы рассмотрели DFS, так что теперь вам известно, насколько удобным может
быть указание на единственное логическое местоположение для нахождения множес­
тва файлов и папок. Теперь вы можете разговаривать с животными — или открывать
общий доступ к файлам для всяких липовых операционных систем. Конечно, это
шутка — вам нужна возможность общего доступа к файлам в рамках всей организа­
ции, и если в ней присуrствуют машины с другими операционными системами, то
в Windows Server 2012 предлагается для этого соответствующий инструмент. Данный
раздел будет иметь несколько технический характер, и вы должны учитывать, что можете в этом не нуждаться; тем не менее, если вы все же испытываете потребность в
такой работе, то должны следовать приведенным здесь указаниям. При добавлении
роли File and Storage Services к серверу понадобится выбрать N FS. Вы должны были
сделать это в предьщущем разделе, посвященном DFS. В противном случае возврати­
тесь к роли File and Storage Services и добавьте компонент NFS, отметив связанный с
ним флажок. Итак, мы начнем обсуждение с того, что собой представляет файловая
система N FS, и что может предоставить Windows Server 2012 в этом отношении.
Сетевая файловая система (Network File System — NFS) является решением об­
щего доступа к файлам для организаций, которые имеют смешанные среды машин
с Windows и Unix/Linux. Файловая система NFS дает возможность открывать общий
доступ к файлам между указанными разными платформами при функционирую­
щей операционной системе Windows Server 2012. Службы N FS в Windows Server 2012
включают следующие возможности и усовершенствования.
• Поиск в Active Directory. Вы имеете возможность применять Windows Active
Directory для доступа к файлам. Расширение схемы Jdentity Management for
Unix (Управление удостоверениями для Unix) для Active Directory содержит
поля идентификатора пользователя Unix (Unix user identifier — UID) и иден­
тификатора группы (group identifier — G 1 D). Это позволяет службам Server
for NFS (Сервер для NFS) и Client for NFS (Клиент для NFS) просматривать
отображения учетных записей пользователей Windows на Unix прямо из служб
домена Active Directory (Active Directory Domain Services). Компонент ldentity
Management for Unix упрощает управление отображением учетных записей
пользователей Windows на Unix в Active Directory Domain Services.
• Улучшенная производительность сервера. Службы для NFS включают драйвер
фильтра файлов, который значительно сокращает общие задержки при досту­
пе к файлам на сервере.
• Поддержка специальных устройств Unix. Службы для NFS поддерживают спе­
циальные устройства Unix (rnknod).
• Расширенная поддержка Unix. Службы для NFS поддерживают следующие вер­
сии Unix: Sun Microsystems Solaris версии 9, Red Hat Linux версии 9, IBM AIX
версии 5L 5.2 и Hewlett Packard HP-UX версии 1 1 i. Однако более новые вер­
сии, несомненно, будут поддерживаться в будущем.
Вы можете пользоваться и нструментами командной строки, но в Windows
Server 2012 доступна также консоль Services for Network File System (Службы для се­
тевой файловой системы), окно которой показано на рис. 14.37. Инструменты ко­
мандной строки будут демонстрироваться далее в этой главе.
Один из наиболее распространенных сценариев, который создает необходи­
мость в применении NFS, предусматривает открытие доступа пользователям в сре­
де Windows к системе планирования ресурсов предприятия (enterprise resource plan­
ning — ERP), основанной на Unix. Находясь в системе ERP, пользователи могут
создавать отчеты и/или экспортировать финансовые данные в Microsoft Excel для
дальнейшего анализа. Файловая система NFS позволяет обращаться к этим файлам,
по-прежнему находясь в среде Windows, что сокращает потребность в наличии спе­
циальных технических навыков и снижает временные затраты на экспорт файлов с
использованием сценария Unix и последующий их импорт в определенное приложение Windows. Может также возникнуть ситуация, когда у вас имеется система Unix,
которая применяется для хранения файлов в какой-то сети хранения данных (stor­
age area network — SAN). Запуск служб NFS на машине Windows Server 2012 позво­
ляет пользователям в организации получать доступ к сохраненным там файлам безо
всяких накладных расходов, связщшых со сценариями на стороне Unix.

3. Запустите приведенную ниже команду, чтобы создать новый общий файловый
ресурс NFS:
PS С : \> New-NfsShare -Narne «NFSshareOl» -Path «C: \shares\NFSshareOl»
4. Для просмотра всех новых командлетов PowerShell, относящихся к NFS, кото­
рые доступны в Windows Server 2012 R2, выполните следующую команду:
PS С : \> Get-Cornrnand -Module NFS
УСТАНОВКА СТАНДАРТНЫХ РАЗРЕШЕНИЙ
Теперь вы будете применять ряд стандартных разрешений к создаваемым файлам и
папкам и затем внесете небольшие изменения в настройки брандмауэра на сервере который используется для NFS. Помните, что этот сервер должен находиться за ос­новными брандмауэрами организации и быть защищенным. Для функционированияNFS вам понадобится открыть все перечисленные ниже порты.
Службы для компонента NFS Для чего открывается порт Протокол Порт
User Name Mappiпg (Отобра ж ение имен поль- Portmapper ТСР, UDP 1 1 1
зователе й ) и Server for NFS (Сервер для NFS) (Средство отобра ж ения портов)
Server for NFS (Сервер для NFS) Network Status Maпager ТСР, UDP 1039
(Диспетчер состояния сети)
Server for NFS (Сервер для NFS) Network Lock Maпager ТСР, UDP 1047
(Диспетчер блокировок сети)
Server for NFS (Сервер для NFS) NFS Mouпt (Монтирование NFS) ТСР, UDP 1048
Server for NFS (Сервер для NFS) Network File System ТСР, UDP 2049
(Сетевая фа й ловая система)
ТРЕБОВАНИЯ К ПОРТАМ
В зависимости от имеющихся требований, может понадобиться открыть порты ТСР
(Transmission Control Protocol — протокол упрамения передачей), порты UDP (User
Datagram Protocol — протокол дейтаграмм пользователя) либо те и другие. В целях
тестирования мы рекомендуем открыть транспорт ТСР и UDP для всех протоколов.
Чтобы открыть порты в брандмауэре, выполните следующие шаги.
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping или Server for NFS, нажмите комбинацию клавиш .
В окне Run (Выполнить) введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Port (Добавить порт).
3. В поле Name (Имя) введите имя открываемого порта, как упоминалось
выше во врезке «Установка стандартных разрешений».
4. В поле Port number (Номер порта) введите соответствующий номер порта.
5. Выберите переключатель ТСР или UDP и щелкните на кнопке ОК.

6. Повторите шаги 2-5 мя каждого открываемого порта и по завершении щелк­
ните на кнопке ОК.
Затем потребуется добавить программу mapsvc . ехе в список исключений бран­дмауэра.
МЕРЫ ПРЕДОСТОРОЖНОСТИ, КАСАЮЩИЕСЯ БРАНДМАУЭРА
Перед внесением изменений в настройки брандмауэра удостоверьтесь, что файловый сервер, применяемый для NFS, хорошо защищен и находится за основными произ­водственными брандмауэрами. Эти указания предполагают, что вы никогда не будете вносить такие изменения на пограничном сервере внутри демилитаризованной зоны
(DMZ).
1. Находясь в системе компьютера, на котором запущена служба User Name
Mapping, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения) и щелкните на кнопке Add
Program (Добавить программу).
3. Щелкните на кнопке Browse (Обзор), выберите файл mapsvc . ехе и затем
щелкните на кнопке Open (Открыть). По умолчанию этот файл находится в
%windir%\System32.
4. В целях тестирования щелкните на кнопке Change scope (Изменить область
действия), в открывшемся диалоговом окне выберите переключатель Any com­
puter (Любой компьютер) и щелкните на кнопке ОК.
5. Щелкните на кнопке ОК еще два раза.
Процесс практически подошел к концу. Далее необходимо включить общий до­
ступ к файлам и принтерам на компьютере, выполняющем службы NFS. Вероятно,
вы уже знаете, как это сделать, раз уж дочитали до этого места, но ради завершен­ности ниже перечислены соответствующие шаги.
1 . Находясь в системе компьютера, на котором запущены службы Services for
N FS, нажмите комбинацию клавиш . В окне Run (Выполнить)
введите firewall . cpl и щелкните на кнопке ОК.
2. Перейдите на вкладку Exceptions (Исключения), отметьте флажок File and
Printer Sharing (Общий доступ к файлам и папкам) и щелкните на кнопке ОК.
3. Повторите шаг 2 на каждом компьютере, выполняющем Services for NFS.
Перед тем, как предоставить результаты пользователям, вы наверняка захотите
провести тестирование, убедившись в работоспособности всей функциональности.
В следующей статье Microsoft TechNet описаны четыре теста, которые вы можете
выполнить: http: / /technet . microsoft . сот/ ru-ru/ library / сс7 53302 . aspx.
Для конфигурирования брандмауэра можно также использовать утилиту команд­
ной строки netsh. На рис. 14.38 показан список доступных команд.

Windows Server 2012 предоставляет возможность создать и настроить сетевую папку для организации общего доступа к файлам и папкам в сети. Сетевая папка позволяет группе пользователей работать с одними и теми же документами, обмениваться файлами и совместно редактировать информацию. В этой статье мы рассмотрим пошаговое руководство по созданию сетевой папки на Windows Server 2012.

Шаг 1: Установка роли Файловые службы

Перед тем, как создавать сетевую папку, необходимо установить на сервер роль Файловые службы. Для этого откройте Серверный менеджер и перейдите в раздел Управление. В разделе Установка ролей и компонентов нажмите кнопку Добавить роли и компоненты. В появившемся окне выберите сервер, на котором будет создана сетевая папка, и стандартный сервер файлов (File Server) из списка ролей. Следуйте инструкциям мастера установки ролей для завершения процесса.

Шаг 2: Создание нового шары сетевой папки

После успешной установки роли Файловые службы необходимо создать новый шару для сетевой папки. Для этого откройте Менеджер файлов и перейдите в раздел Роли файловых служб. В разделе Управление шарами нажмите кнопку Создать шару… и выберите папку, которую хотите сделать доступной в сети. Укажите имя шары и прочие параметры, такие как разрешение на запись и чтение, а также права доступа для пользователей. По завершении настройки нажмите кнопку Создать для создания сетевой папки.

Шаг 3: Настройка доступа к сетевой папке

После создания сетевой папки необходимо настроить доступ к ней для группы пользователей. Для этого откройте Менеджер файлов и перейдите в раздел Роли файловых служб. В разделе Управление корневыми шарами выберите созданную ранее шару и нажмите кнопку Свойства. В появившемся окне перейдите на вкладку Разрешения на общий доступ и задайте нужные права доступа для группы пользователей. Нажмите кнопку ОК для сохранения настроек.

Поздравляю! Теперь вы знаете, как создать сетевую папку на Windows Server 2012. Сетевая папка позволяет организовать совместную работу группы пользователей над одними и теми же файлами, обмен информацией и упрощает управление общим доступом к данным в сети.

Содержание

  1. Установка Windows Server 2012
  2. Подключение к серверу
  3. Создание новой папки
  4. Настройка доступа к папке
  5. Установка прав доступа
  6. Предоставление доступа пользователям

Установка Windows Server 2012

Перед началом установки Windows Server 2012 убедитесь, что ваш компьютер соответствует минимальным требованиям системы. При установке операционной системы будут выполнены следующие шаги:

  1. Вставьте установочный диск с Windows Server 2012 в привод CD/DVD или подключите USB-флешку с образом операционной системы.
  2. Перезагрузите компьютер и выберите загрузку с установочного носителя. Для этого может потребоваться изменить настройки загрузки в BIOS.
  3. После загрузки установочного диска выберите язык установки и нажмите «Далее».
  4. Примите лицензионное соглашение и нажмите «Далее».
  5. Выберите тип установки — «Новая установка» и нажмите «Далее».
  6. Выберите жесткий диск, на котором будет установлена операционная система, и нажмите «Далее».
  7. Дождитесь завершения процесса установки Windows Server 2012.
  8. После завершения установки система будет перезагружена.
  9. Настройте основные параметры сервера, такие как имя компьютера, пароль администратора и прочие настройки.
  10. Установите необходимые обновления операционной системы.

Поздравляю, вы успешно установили Windows Server 2012! Теперь вы готовы создать сетевую папку и настроить доступ к ней.

Подключение к серверу

Прежде чем создавать сетевую папку на Windows Server 2012, необходимо подключиться к серверу. Для этого выполните следующие шаги:

Шаг 1: Откройте меню «Пуск», найдите раздел «Сеть» и щелкните на нем.
Шаг 2: В открывшемся окне «Сеть» выберите пункт «Обозреватель сети».
Шаг 3: В разделе «Сеть» найдите сервер, к которому вы хотите подключиться.
Шаг 4: Щелкните правой кнопкой мыши на сервере и выберите пункт «Подключиться к сетевому диску».
Шаг 5: В открывшемся окне выберите букву диска, которая будет представлять сетевую папку на вашем компьютере.
Шаг 6: Отметьте опцию «Переподключиться при входе в систему», если вы хотите автоматически подключаться к сетевой папке при каждом входе в систему.
Шаг 7: Нажмите кнопку «Готово», чтобы завершить процесс подключения к серверу.

Теперь вы успешно подключились к серверу и готовы создавать сетевую папку на Windows Server 2012.

Создание новой папки

Чтобы создать новую папку на Windows Server 2012, выполните следующие шаги:

  1. Откройте проводник, щелкнув правой кнопкой мыши на значке «Проводник» на панели задач и выбрав «Проводник» из контекстного меню.
  2. Выберите место, где вы хотите создать новую папку.
  3. Щелкните правой кнопкой мыши по этому месту и выберите «Новый» из контекстного меню.
  4. В выпадающем меню выберите «Папка».
  5. Введите название новой папки и нажмите клавишу «Enter».

Теперь у вас есть новая папка, которую можно использовать для организации файлов и данных на Windows Server 2012.

Настройка доступа к папке

После создания сетевой папки на Windows Server 2012 необходимо настроить доступ к ней, чтобы разрешить или запретить доступ различным пользователям или группам.

Для настройки доступа выполните следующие шаги:

  1. Щелкните правой кнопкой мыши на созданной сетевой папке и выберите «Свойства» из контекстного меню.
  2. На вкладке «Общий доступ» нажмите кнопку «Дополнительно».
  3. Нажмите кнопку «Добавить», чтобы открыть окно выбора объектов.
  4. Введите имя пользователя или группы, которым нужно разрешить доступ, в поле «Введите имя объекта для выбора» и нажмите «Проверить имена».
  5. Выберите нужного пользователя или группу из списка и нажмите «ОК».
  6. В окне «Дополнительные разрешения для» выберите нужные разрешения для указанного пользователя или группы.
  7. Нажмите «ОК» во всех окнах свойств, чтобы сохранить настройки доступа.

После этих шагов выбранный пользователь или группа получат необходимые права доступа к сетевой папке на Windows Server 2012.

Установка прав доступа

После создания сетевой папки на сервере Windows Server 2012 необходимо установить права доступа для пользователей и групп, чтобы определить, кто может получить доступ к этой папке и какой уровень доступа им предоставляется.

Для установки прав доступа к сетевой папке выполните следующие шаги:

  1. Щелкните правой кнопкой мыши на созданной сетевой папке и выберите пункт меню «Свойства».
  2. На вкладке «Общий доступ» щелкните кнопку «Расшаривание».
  3. В появившемся окне «Доступ» выделите группу или пользователя, для которого необходимо установить права доступа.
  4. Настройте уровень доступа для выбранной группы или пользователя:
  • Полный доступ — пользователь или группа может просматривать, создавать, изменять и удалять файлы в сетевой папке.
  • Чтение — пользователь или группа может только просматривать содержимое сетевой папки без возможности создания, изменения или удаления файлов.
  • Запись — пользователь или группа может создавать, изменять и удалять файлы в сетевой папке, но не может просматривать ее содержимое.
  • Не доступно — пользователь или группа не имеют доступа к сетевой папке.

После настройки прав доступа нажмите кнопку «Применить» и «ОК», чтобы сохранить изменения.

Теперь выбранный пользователь или группа имеют определенный уровень доступа к созданной сетевой папке на Windows Server 2012.

Предоставление доступа пользователям

После создания сетевой папки на сервере Windows Server 2012 необходимо предоставить доступ пользователям для работы с этой папкой. Для этого следуйте следующим шагам:

Шаг Действие
1 Выберите папку, для которой вы хотите предоставить доступ.
2 Щелкните правой кнопкой мыши на выбранной папке и выберите «Свойства» в контекстном меню.
3 В открывшемся окне «Свойства» перейдите на вкладку «Общий доступ».
4 Нажмите на кнопку «Дополнительно».
5 В открывшемся окне «Дополнительные разрешения» нажмите на кнопку «Добавить».
6 Введите имя пользователя или группы, которым вы хотите предоставить доступ.
7 Нажмите на кнопку «Проверить имена», чтобы убедиться, что имя пользователя или группы введены корректно.
8 Выберите уровень доступа для пользователя или группы.
9 Нажмите на кнопку «ОК», чтобы сохранить изменения.

Теперь выбранные пользователи или группы имеют доступ к сетевой папке на сервере Windows Server 2012. Они смогут просматривать, создавать и редактировать файлы в этой папке в соответствии с предоставленными им уровнем доступа правами.

Обновлено Обновлено:
Опубликовано Опубликовано:

В качестве примера используется Windows Server 2012 R2 (2016, 2019). Инструкция разбита на несколько шагов и представляет из себя полный цикл настройки файлового хранилища для использования в малых и средних компаниях.

Выбор оборудования и подготовка сервера
Установка Windows и настройка системы
Базовые настройки файлового сервера
Тюнинг файлового сервера или профессиональные советы
Настройка средств обслуживания
Тестирование

Шаг 1. Выбор оборудования и подготовка сервера

В качестве сервера, желательно, выбрать профессиональное оборудование. Системные требования для файлового сервера не высокие:

  • Процессор может быть самый простой;
  • Оперативная память также не сильно используется;
  • Дисковая система — самый основной компонент. Ее объем зависит от специфики бизнеса. Примерная формула — не менее 15 Гб на пользователя и не менее 1 Тб на сервер. До 50 пользователей можно рассматривать диски SATA, после — SAS или SSD.

Например, для компании в 300 пользователей подойдет сервер с процессором Xeon E3, 8 Гб ОЗУ и 5 Тб дискового пространства на дисках SAS 10K.

Дополнительные требования

  1. Для обеспечения сохранности информации при выходе из строя жесткого диска, необходим RAID-контроллер. Настройка последнего выполняется из специального встроенного программного обеспечения, которое запускается при загрузке сервера;
  2. Сервер должен быть подключен к источнику бесперебойного питания;
  3. Необходимо предусмотреть резервное копирование. Для этого нужен дисковый накопитель (внешний жесткий диск) или другой сервер.

Подробнее о выборе оборудования читайте статью Как выбрать сервер.

Шаг 2. Установка Windows и настройка системы

Установка системы

На этом шаге все стандартно, за исключением одного нюанса: разбивая во время установки Windows жесткий диск, стараемся выделить небольшую часть (70 — 120 Гб) для системы и все остальное под данные. Если выделить много дискового пространства для системного раздела, увеличится время его обслуживания и фрагментация, что негативно скажется на производительности и надежности системы в целом.

Настройка системы

  1. Проверяем правильность настройки времени и часового пояса;
  2. Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
  3. Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
  4. Для удаленного администрирования, включаем удаленный рабочий стол;
  5. Устанавливаем все обновления системы.

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Запуск диспетчера серверов Windows Server 2012

Нажимаем УправлениеДобавить роли и компоненты.

Установка серверных компонентов в Windows 2012

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

Выбор установки ролей и компонентов в Windows Server

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

  • Службы хранения;
  • Файловый сервер;

Ставим галочки напротив нужных компонентов файлового сервера

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

Открываем свойства папки

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Открываем доступ к папке по сети

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Ставим галочку для включения общего доступа и переходим к управлению разрешениями

Предоставляем полный доступ всем пользователям:

Выставляем разрешения на доступ к папке по сети

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

Кнопка для назначения дополнительных прав безопасности на папку

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Отключаем наследование прав папкой

Нажимаем OK и Изменить

Кнопка для изменения прав на папку

Выставляем необходимые права на папку, например:

Пример прав безопасности для папки

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Шаг 4. Тюнинг файлового сервера или профессиональные советы

Данные настройки, по сути, представляют секреты того, как сделать файловый сервер лучше, надежнее и безопаснее. Применяя их, администраторы создают более правильную и профессиональную среду ИТ.

DFS

С самого начала стоит создавать общие папки в пространстве имен DFS. На это есть две основные причины:

  1. При наличии или появлении нескольких файловых серверов пользователям будет удобнее находить общие папки в одном месте.
  2. Администратор легко сможет создать отказоустойчивую систему при необходимости.

Как создать и настроить DFS читайте в статьях Как установить и настроить DFS и Как установить и настроить DFS с помощью Powershell.

Теневые копии

Позволят вернуться к предыдущим версиям файлов. Это очень полезная функция позволит не только восстановить некорректно отредактированный документ, но и вернуть случайно удаленный файл или папку.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Аудит

Аудит позволит вести протокол доступа к данным — понять, кто и когда удалил важные данные или внес в них изменения.

О том, как настроить данную возможность читайте статью Как включить аудит доступа к файлам Windows. 

Анализатор соответствия рекомендациям

В диспетчер управления серверами Windows встроен инструмент для проверки конфигурации сервера — анализатор соответствия рекомендациям. Чтобы им воспользоваться переходим в диспетчере в Локальный сервер:

Переходим к управлению локальным сервером в диспетчере управления

Находим раздел «Анализатор соответствия рекомендациям» и справа кликаем по ЗАДАЧИНачать проверку BPA:

Запуск проверки BPA

Рассмотрим решения некоторых рекомендаций.

1. Для XXX должно быть задано рекомендованное значение.

Это набор однотипных рекомендаций, для выполнения которых нужно обратить внимание на описание и задать значение параметро, которое в нем указано. Например, для CachedOpenLimit в описании проблемы есть описание решения — «Задайте для CachedOpenLimit рекомендуемое значение 5». Чтобы это сделать, открываем Powershell от администратора и вводим команду:

Set-SmbServerConfiguration -CachedOpenLimit 5

* мы задаем параметру CachedOpenLimit значение 5, как это и рекомендовано анализатором.

На запрос, уверены ли мы, что хотим выполнить команду, отвечаем утвердительно.

Остальные параметры задаем аналогичными действиями.

2. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

3. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Шаг 5. Настройка средств обслуживания

Ни одна инфраструктура не может полноценно существовать без мониторинга и резервного копирования. Предупредить о возможной проблеме, узнать о последней раньше пользователей или иметь возможность восстановить данные — показатели высокой ответственности и профессионализма системного администратора.

Резервное копирование

Для файлового сервера все просто — необходимо резервировать все рабочие папки и файлы. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создавать полный архив.

Мониторинг

Мониторить стоит:

  1. Сетевую доступность сервера;
  2. Свободное дисковое пространство;
  3. Состояние жестких дисков.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

  1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
  2. Выполнить действия анализатора соответствий рекомендациям.
  3. Провести живой тест работы сервиса с компьютера пользователя.

Windows Server 2012 предоставляет возможность создавать общие папки, которые могут быть доступны для всех пользователей в сети. Общие папки позволяют эффективно организовывать работу с файлами, обеспечивая удобный доступ и совместное использование информации.

Для настройки общих папок на Windows Server 2012 необходимо выполнить несколько простых шагов. Сначала необходимо создать новую общую папку, затем настроить права доступа для пользователей и групп, которые должны иметь к ней доступ. После этого можно приступить к использованию общей папки.

При создании общей папки необходимо задать название и путь к папке, а также указать разрешения на чтение, запись и выполнение для конкретных пользователей и групп. Важно правильно настроить права доступа, чтобы обеспечить безопасность данных и ограничить доступ к конфиденциальной или важной информации.

Для удобства управления общими папками на Windows Server 2012 рекомендуется использовать специальные группы пользователей, которым выделяются определенные права доступа. Таким образом, можно быстро изменить или отозвать права доступа для всех пользователей, входящих в указанную группу.

Содержание

  1. Общие папки Windows Server 2012: как настроить их использование
  2. Создание общих папок на Windows Server 2012
  3. Установка прав доступа к общим папкам Windows Server 2012
  4. Как организовать сетевой доступ к общим папкам на Windows Server 2012
  5. Использование общих папок Windows Server 2012 для централизованного хранения данных

Общие папки Windows Server 2012: как настроить их использование

Настройка общих папок позволяет организовать удобную структуру файловой системы и предоставить доступ к нужным данным всем пользователям сети. Кроме того, общие папки упрощают процесс совместной работы над проектами и обмена информацией.

Для настройки общих папок в Windows Server 2012 необходимо выполнить следующие действия:

Шаг Действие
1 Открыть «Панель управления» и выбрать раздел «Сеть и Интернет».
2 Выбрать пункт меню «Центр общего доступа».
3 Нажать на ссылку «Доменная сеть».
4 В разделе «Общий доступ» выбрать пункт «Настроить общие папки».
5 Выбрать папку, которую вы хотите сделать общей, и нажать кнопку «Делить».
6 Установить необходимые права доступа для пользователей сети.
7 Нажать кнопку «Применить» для сохранения настроек.

После выполнения указанных шагов выбранная папка будет доступна всем пользователям сети. Они смогут добавлять, изменять и удалять файлы в общей папке в соответствии с установленными правами доступа.

Кроме того, в Windows Server 2012 можно настроить дополнительные параметры общих папок, такие как скрытие папки, установка квоты на размер хранилища и т.д.

Настройка общих папок Windows Server 2012 позволяет создать удобное пространство для совместной работы и обмена информацией в локальной сети. Она помогает улучшить производительность и организовать эффективное совместное использование файлов и папок.

Создание общих папок на Windows Server 2012

Для создания общей папки на Windows Server 2012 необходимо выполнить следующие шаги:

  1. Откройте «Проводник» на сервере.
  2. Выберите диск или раздел, на котором вы хотите создать общую папку.
  3. Щелкните правой кнопкой мыши на выбранном диске или разделе и выберите пункт «Создать папку».
  4. Введите имя для новой папки и нажмите клавишу «Enter».
  5. Выберите созданную папку, щелкните правой кнопкой мыши на нее и выберите пункт «Свойства».
  6. В открывшемся окне «Свойства» перейдите на вкладку «Общий доступ».
  7. Нажмите на кнопку «Общий доступ» и выберите нужные параметры для общей папки, например, установите флажок «Разрешить сетевым пользователям изменять файлы» или «Разрешить сетевым пользователям загружать файлы».
  8. Нажмите кнопку «Применить», а затем «ОК».

Теперь вы создали общую папку на Windows Server 2012. К ней можно обратиться с других компьютеров в сети, используя общие папки.

Установка прав доступа к общим папкам Windows Server 2012

Настройка прав доступа к общим папкам в Windows Server 2012 позволяет контролировать, кто может получить доступ к файлам в этих папках и какие операции с ними может выполнять. Для установки прав доступа нужно выполнить следующие действия:

  1. Откройте Проводник Windows и найдите папку, к которой вы хотите установить права доступа.
  2. Щелкните правой кнопкой мыши на выбранной папке и выберите «Свойства».
  3. В открывшемся окне «Свойства» перейдите на вкладку «Безопасность».
  4. На вкладке «Безопасность» нажмите кнопку «Редактировать».
  5. В окне «Редактор доступа» нажмите кнопку «Добавить».
  6. Введите имя пользователя или группы, к которым вы хотите предоставить доступ к папке.
  7. Нажмите «Проверить имена», чтобы убедиться, что имя пользователя или группы введено правильно.
  8. Выберите нужный пользователь или группу из списка и нажмите «ОК».
  9. На странице «Редактор доступа» вы увидите новую запись для выбранного пользователя или группы.
  10. Выберите разрешенные вам доступы для пользователя или группы, используя флажки «Разрешить» или «Запретить» для каждой категории доступа.
  11. После завершения настройки прав доступа нажмите «ОК» для закрытия всех открытых окон.

Теперь выбранный пользователь или группа имеют доступ к общей папке с установленными разрешениями. Это позволяет эффективно управлять доступом к файлам на сервере и защитить их от несанкционированного доступа.

Как организовать сетевой доступ к общим папкам на Windows Server 2012

Windows Server 2012 предоставляет возможность организовать сетевой доступ к общим папкам, что позволяет пользователям работать с файлами, расположенными на сервере, через локальную сеть. Для этого необходимо выполнить следующие шаги:

Шаг Описание
1 Откройте «Панель управления» на сервере.
2 Выберите «Система и безопасность», затем «Администрирование» и «Службы файлов», чтобы открыть «Управление папками.»
3 Создайте новую общую папку, кликнув правой кнопкой мыши на желаемом месте и выбрав «Создать новую общую папку».
4 Внесите необходимые настройки доступа для пользователей, выбрав «Свойства» папки. Установите разрешения в соответствии с требованиями и желаниями.
5 При необходимости, настройте дополнительные параметры доступа, такие как квоты дискового пространства, пароли и т. д.
6 Поделитесь информацией о новой общей папке пользователям, предоставив им имя сервера и пути к папке.

После выполнения всех указанных шагов пользователи смогут получить доступ к общим папкам на Windows Server 2012 через локальную сеть. Это облегчит совместную работу над файлами и обеспечит удобство в организации рабочих процессов.

Использование общих папок Windows Server 2012 для централизованного хранения данных

Windows Server 2012 предоставляет возможность создания и настройки общих папок, которые позволяют централизованно хранить и управлять данными в сети. Общие папки облегчают доступ и совместное использование файлов и папок между пользователями и различными устройствами.

Использование общих папок позволяет организовать и структурировать данные в сети, централизованно хранить файлы и обеспечивать доступ к ним только определенным пользователям или группам пользователей. Это повышает безопасность и контроль над данными.

Для создания общей папки в Windows Server 2012 необходимо выполнить следующие шаги:

  1. Открыть «Панель управления» и выбрать «Учетные записи пользователей».
  2. Выбрать «Менеджер компьютеров» и перейти в раздел «Общие папки».
  3. Нажать правой кнопкой мыши и выбрать «Создать новую общую папку».
  4. Указать путь к новой папке и настроить права доступа для пользователей и групп.
  5. Сохранить настройки.

После создания общей папки, пользователи смогут подключаться к ней через сеть и работать с файлами внутри папки. Администратор сможет контролировать и настраивать права доступа к папке, добавлять или удалять пользователей.

Использование общих папок Windows Server 2012 позволяет упростить работу с данными в сети, обеспечить их безопасность и совместное использование. Централизованное хранение данных облегчает резервное копирование и упрощает процесс администрирования системы.

В итоге, настройка общих папок Windows Server 2012 является важным шагом в обеспечении эффективного совместного использования данных в сети.

bigro.ru

Информация о материале
Категория: Система

Создание и подключение общего сетевого ресурса является одной из задач для комфортной работы в сети для пользователей домена. При создании общего ресурса пользователи смогут спокойно использовать созданный ресурс, обмениваться различными файлами, документами и другими ресурсами, которые нужны для полноценной работы в сети.

Процесс создания ресурса не сложный, занимает не так много времени. Конечно же надо определить место, где будет развернут ресурс. В дальнейшем необходимо настроить права и квоты для пользователей, а также определить правила взаимодействия с вновь созданным каталогом.

Создание и подключение общего доменного ресурса.

  1. Нажимаем на соответствующий ярлык для запуска Диспетчера серверов.
    windows server create share1
  2. В открывшемся окне проматываем ползунок вниз.
    windows server create share2
  3. Выбираем вкладку «Файловые службы и службы хранилища» и нажимаем на эту вкладку.
    windows server create share3
  4. В открывшемся окне «Общие ресурсы«, выбираем «ЗАДАЧИ«, затем «Новый общий ресурс…«.
    windows server create share4
  5. В окне выбора профиля для общего ресурса производим выбор «Общий ресурс SMB — дополнительные параметры«. Затем нажимаем «Далее«.
    windows server create share5
  6. В новом окне указываем сервер и путь к общему ресурсу. В данном случае выбран диск «D» и каталог общего ресурса назван «Distrib» (D:\Distrib). Снова «Далее«.
    windows server create share6
  7. Затем задаём имя и описание для общего ресурса. Проверяем локальный и удалённый путь к общему ресурсу, нажимаем «Далее«.
    windows server create share7
  8. В связи с тем, что по указанному пути нет каталога «Distrib«, система выдаст соответствующее предупреждение и предложит создать ресурс. После этого нажимаем «ОК«.
    windows server create share8
  9. В следующем окне ставим чекбокс напротив «Включить перечисление на основе доступа«. Затем «Далее«.
    windows server create share9
  10. Если есть необходимость, то в новом окне можно настроить разрешения на доступ к файлам общего ресурса. Но также эти разрешения можно настроить и после создания и подключения общего ресурса.
    windows server create share10
  11. В окне с «Указанием свойств управления папкой» ставим чекбокс напротив «Файлы пользователя». Нажимаем «Далее«.
    windows server create share11
  12. Применение квоты к папке или тому — здесь можно сразу настроить квоту на основе шаблона или оставляем «Не применять квоту«. Затем «Далее«.
    windows server create share12
  13. В окне «Подтверждение выбора» проверяем все настройки и нажимаем клавишу «Создать«.
    windows server create share13
  14. В результате всех этих действий будет создан на сервере общий ресур на диске «D«, имя каталога «Distrib«.
    windows server create share14


  15. Для проверки создадим в каталоге «Distrib» текстовый файл с любым именем.
    windows server create share15
  16. Теперь настала очередь сделать так, чтобы общий ресурс был виден на компьютерах пользователей. Делаем это с помощью групповых политик. Для этого в «Диспетчере серверов» выбираем «Средства«, далее «Управление групповой политикой«.
    windows server create share16
  17. В новом окне раскрываем домен и выбираем политику, которую нужно изменить для подключения общего ресурса. Лучше всего создать новую политику и править уже её. Но можно править и дефолтную политику. Рекомендуется всегда документировать все изменения, произведенные на сервере.
    В данном случае выбираем «Default Domain«. Нажимаем на политике правой клавишей мыши и нажимаем «Изменить«.
    windows server create share17
  18. В открывшейся политике выбираем «Конфигурация пользователя» — «Настройка» — «Конфигурация Windows«. Нажимаем правой клавишей мыши на «Сопоставления дисков«, далее «Создать» — «Сопоставленный диск«.
    windows server create share18
  19. В новом окне заполняем:
    Действие: «Обновить«.
    Размещение: \\srv1\Distrib
    Повторное подключение: чекбокс «Подпись«: Distrib
    Использовать: Y (задаём букву диска для общего ресурса)
    Затем нажимаем «Применить«.
    windows server create share19
  20. Таким образом создастся сопоставленный диск, который будет показываться у пользователей.
    windows server create share20
  21. Для применения групповой политики открываем командную строку и выполняем команду: gpupdate /force.
    windows server create share21
  22. Если зайти на пользовательский компьютер под доменным пользователем, то в проводнике мы увидим новый диск с назначенной ему буквой «Y«. Этот диск является созданным общим ресурсом.
    windows server create share22
  23. Если открыть этот сетевой ресурс, то мы увидим текстовый документ, который мы создали на сервере в каталоге «Distrib» для проверки.
    windows server create share23

Таким образом мы создали общий ресурс на сервере и подключили его для пользователей домена с помощью групповой политики.

Видео по созданию и подключению общего сетевого ресурса в домене можно посмотреть здесь:

 Также читайте:

Установка Windows server 2012
Windows server 2012 — установка роли Active Directory
Архивирование и восстановление GPO Windows Server 2012
Создание пользователя в домене Windows Server 2012
WSUS — удаление ненужных обновлений
Создание архива сервера Windows 2012
Windows server 2019 — установка и настройка WSUS, создание и настройка GPO
Windows server 2019 — добавление и удаление компьютера в домене
Windows server 2019 — переименование администратора домена, изменение формата выводимого имени пользователя
Windows server 2019 — установка и настройка Active Directory, DNS, DHCP 
Windows server 2019 — создание и удаление пользователя, группы, подразделения в домене
Windows server 2019 — GPO изменение экранной заставки, отключение монитора, изменение политики паролей

bigro.ru

©
2015 — 2023
Все права защищены. Копирование материала без ссылки на сайт запрещено.

  • Сертификат совместимости с microsoft windows 10
  • Сетевая папка windows 10 для восстановления
  • Серый экран при загрузке windows 10
  • Серый экран при включении компьютера windows 10
  • Сетевая папка ubuntu для windows