Питер Нортон - Полное руководство по Microsoft Windows XP
• провайдер безопасности (Security Provider). Windows XP обеспечивает поддержку единого централизованного провайдера безопасности, который находится в файле SECURITY.DLL системного каталога SYSTEM32. Очевидно, с провайдером безопасности связаны и другие файлы. Например, файл KERBEROS.DLL предоставляет пакет защиты в соответствии с протоколом Kerberos, обеспечивающим проверку подлинности клиента или сервера. Провайдер безопасности вызывает пакет защиты Kerberos, когда объект запрашивает защиту по этому протоколу. Вы можете получить доступ к модулю регистрации пользователя (Login Module) Windows XP даже в случае, если сеть не работает. Его преимущество состоит в том, что модуль регистрации пользователя доступен всегда, в том числе при изменении сетевых настроек или их удалении. Провайдер безопасности выполняет две задачи: он запрашивает пароль и объединяет регистрационное имя пользователя и пароль для проверки любых сетевых запросов;
• драйвер файловой системы NTFS и драйверы других локальных файловых систем. Оба модуля подробно рассматривались в разделе «Принцип работы файловой системы» главы 13;
• администратор файловой системы IFS (IFSManager), сетевой драйвер файловой системы (Network FSD), сетевой транспорт и драйвер NIC. Я рассказывал о данных модулях ранее в этой главе.
С концептуальной точки зрения понять возможности по поддержке серверов операционной системой Windows XP несложно. Однако, закончив с теорией и перейдя к этапу реализации, вы столкнетесь совершенно с другими сложностями. Проблема состоит не столько в несовершенстве топологии сети, сколько в вопросах совместимости, которые выходят на передний план. К счастью для пользователей, создание дополнительных средств для поддержки сервера позволит легко решить эту проблему.Совместное использование файлов и принтеров
Совместное применение сетевых ресурсов является главной причиной создания сети. Сама концепция сети возникла благодаря необходимости совместного обращения к дорогостоящим периферийным устройствам и файлам. Windows XP обеспечивает удобный интерфейс, позволяющий вам совместно использовать почти все ресурсы путем нескольких щелчков мышью. Рассмотрим, каким образом можно совместно задействовать файлы и другие ресурсы, которые находятся на вашем компьютере.
Перед совместным использованием файлов я обычно проверяю, загружена ли необходимая поддержка. В Windows XP это очевидно, поскольку во время установки у вас нет выбора, загружать поддержку или нет. Тем не менее кто-нибудь мог удалить ее позднее, поэтому всегда лучше удостовериться. Откройте диалоговое окно Сетевые подключения (Network Connections), щелкнув правой кнопкой мыши по ярлыку Сетевое окружение (My Network Connection) и выбрав из контекстного меню пункт Свойства (Properties). Щелкните правой кнопкой мыши по ярлыку Подключение по локальной сети (Local Area Connection) в диалоговом окне Сетевые подключения и выберите из контекстного меню пункт Свойства. Найдите опцию Служба доступа к файлам и принтерам сетей Microsoft (File and Printer Sharing for Microsoft Networks) – рис. 21.3. Убедитесь в наличии данной опции и в том, что она включена.
Рисунок 21.3. Служба доступа к файлам и принтерам сетей Microsoft дает возможность совместного использования файлов и других ресурсов в Windows XP
После того как Служба доступа к файлам и принтерам сетей Microsoft будет запущена, необходимо выбрать объекты для совместного использования. Щелкнув правой кнопкой мыши по ярлыку любого диска или принтера и отметив в контекстном меню пункт Общий доступ и безопасность (Sharing and Security), можно вывести на экран дополнительную вкладку Доступ (Sharing) – рис. 21.4.
Рисунок 21.4. Вкладка Доступ диалогового окна свойств принтера или диска позволяет задать уровень и тип доступа к данному устройствуДва первых переключателя данной вкладки предоставляют доступ к разделяемым ресурсам. При выборе переключателя Отменить общий доступ к этой папке (Do Not Share This Folder) (недоступна для принтеров) никто не сможет увидеть данный ресурс, даже обладая другими типами доступа к вашей машине. Переключатель Открыть общий доступ к этой папке (Share This Folder) (доступна для принтеров) делает доступными некоторые дополнительные опции. В следующих разделах подробно описывается управление дисками в Windows XP.
...Правило Питера Нортона: поддержка управления доступом к сетевым ресурсам вашей системы
Легче обеспечить доступ ко всему диску, чем устанавливать необходимый уровень безопасности для каждого каталога. Однако первый вариант не является лучшим выбором, когда дело касается интересов вашей компании.
Многие из нас работают с информацией, конфиденциальность которой необходимо сохранить, однако мы взаимодействуем с другими людьми, которым нужна лишь часть данных. Допустим, бухгалтеру требуются для расчетов общие файлы рабочей группы. Однако можете ли вы представить себе, что будет, если он также получит доступ к файлам паролей? Что будет, если кто-нибудь получит доступ к новым маркетинговым планам компании?
Важно предоставить соответствующий уровень доступа каждому пользователю вашей рабочей группы. Я не рассматриваю здесь все аспекты безопасности (этому вопросу посвящена глава 22), однако, возможно, заставлю вас задуматься уже сейчас. Знаете ли вы потенциальные бреши в системе безопасности сети вашей компании? Хорошо известно, что пользователи имеют обыкновение жаловаться, если им предоставлен достаточно низкий уровень доступа. Вы когда-нибудь слышали, чтобы люди жаловались на слишком высокий его уровень?
Больше всего проблем у вас возникнет при поиске областей со слишком высоким приоритетом доступа в сети. Аудит и другие формы проверки безопасности являются не менее важными, чем сама организация доступа. Выполнение аудита занимает немало времени и требует предоставления ресурсов, для которых непросто создать необходимый уровень защиты, когда руководство потребует регистрации всех пользователей. Конечно, значительно сложнее обеспечить безопасность. Позвольте другим задействовать ваши ресурсы, но не разрешайте злоупотреблять ими. Поддержка соответствующего уровня безопасности вашей сети зависит и от вас.
Создание нового сетевого имени
В Windows XP допустимо создать одно или несколько имен для совместного доступа к определенному ресурсу. Каждое имя общего ресурса может иметь более одной группы или учетной записи пользователя, связанных с ним, и большое количество ограничений для этого набора групп или пользователей. Чтобы создать новое имя, щелкните по кнопке Новый общий ресурс (New Share). На экране появится одноименное диалоговое окно.
...Рекомендация
В Windows XP не существует ограничения на предоставление доступа ко всему диску или принтеру. Также разрешается задать доступ к отдельному каталогу. Кроме этого, можно изменять права доступа для разных пользователей к файлу или каталогу: таким образом, некоторые сотрудники будут иметь право добавлять записи в файл или каталог, а другие – лишь просматривать их. На моем компьютере имеется временная папка для совместного доступа к файлам. Пользователи загружают свои файлы в определенный каталог, что помогает избежать изменения содержимого остальной части диска. Этот принцип удобен и для других ресурсов. Главной задачей является сохранение контроля над вашей системой.
В поле Общий ресурс (Share Name) необходимо задать имя общего ресурса. Под этим именем Windows XP будет представлять его в диалоговых окнах, например в программе Проводник. Дополнительное поле Комментарий (Comment) дает возможность ввести дополнительную информацию для пользователя, который будет обращаться к данному ресурсу. Я обычно задаю имя, соответствующее типу сетевого ресурса, и свое имя для комментария. Это уменьшает вероятность того, что кто-либо случайно попытается задействовать ресурс моей системы.
Указав имя общего сетевого ресурса и добавив комментарий, щелкните по кнопке Разрешения (Permissions), чтобы вывести на экран диалоговое окно Разрешения для [имя общего ресурса] (Permissions for Resource), показанное на рис. 21.5. В верхнем окне имеется список пользователей, обладающих правом доступа к данному ресурсу. При выделении записи в верхнем окне внизу отобразится уровень доступа к ресурсу пользователя или группы.
Рисунок 21.5. Диалоговое окно Разрешения для [имя общего ресурса] показывает, какая группа пользователей или отдельный пользователь имеет доступ к диску или принтеру
Для добавления либо удаления пользователей или групп из верхнего списка применяются кнопки Добавить (Add) и Удалить (Remove). Установите или снимите флажок напротив прав, чтобы предоставить пользователю или группе соответствующий доступ к ресурсу. Существует четыре реальных уровня доступа:
• Нет доступа (No access) – все флажки сняты;