SERWER PLIKÓW I UDOSTĘPNIANIE ZASOBÓW

Wprowadzenie do lekcji

1. Definicja serwera plików.
To rola serwera, która umożliwia stworzenie centralnego repozytorium do przechowywania i udostępniania danych użytkownikom w sieci.

2. Najważniejsze funkcje serwera plików:
- łatwiejsze zarządzanie udostępnianymi udziałami
- możliwość określania limitów nakładanych na użytkownika
- usługa indeksowania – pliki wyszukiwane są znacznie szybciej
- możliwość włączenia Volume Shadow Copy – dzięki temu można uzyskać dostęp do poprzednich wersji plików zapisanych na serwerze
- usługa DFS - można w jednym miejscu zintegrować wiele różnych udziałów w tzw. obszar nazw

3. System plików NTFS.
To system plików stosowany w rodzinie systemów Windows, następca FAT32 cechujący się głównie większym bezpieczeństwem na poziomie plików i katalogów.

4. Najważniejsze cechy systemu plików NTFS:
- większe bezpieczeństwo danych (zarządzanie prawami dostępu)
- szyfrowanie danych (funkcja EFS)
- lepsze wykorzystanie przestrzeni na dysku (JAP mniejsza niż w FAT)
- możliwość kompresji danych i dysków
- możliwość ustalenia limitów na dysku dla każdego użytkownika
- mechanizm zapobiegający znacznej fragmentacji dysku
- większa odporność na błędy (teoretycznie system wykrywa uszkodzone sektory i je odznacza)
- możliwość obsługi dużych partycji (powyżej 32 GB)
- możliwość obsługi plików większych niż 4GB

5. Uprawnienia do zasobów udostępnionych:
pełna kontrola - można wszystko
zmiana - to samo co pełna kontrola poza prawem do zmiany uprawnień i przejmowania na własność
odczyt - odczytywanie i uruchamianie plików i katalogów

6. Edytor listy ACL (Access Control List).
Edytor ACL to narzędzie, które umożliwia elastyczną i silniejszą kontrolę dostępu do zasobów.

7. Praktyczne funkcje edytora ACL.
- zarządzanie własnością
- konfigurowanie inspekcji.
- określanie czynnych uprawnień

8. Dziedziczenie uprawnień.
Dziedziczenie uprawnień oznacza, że uprawnienia zastosowane do folderu nadrzędnego będą się również stosowały do plików i folderów znajdujących się poniżej danego obiektu (dotyczy ustawień domyślnych). Włączamy lub wyłączamy je w zaawansowanych opcjach obiektu.

9. Mapowanie dysku.
Mapowanie dysku odnosi się do udziału sieciowego i pozwala uzyskać do niego bezpośredni dostęp z poziomu Eksploratora plików, bez konieczności wyszukiwania czy też wpisywania ścieżki sieciowej za każdym razem.

I. Instalacja serwera plików.

Generalnie podczas podnoszenia serwera do poziomu kontrolera domeny, mechanizm udostępniania zasobów automatycznie się instaluje. Niemniej jednak zapewnia on tylko podstawowe możliwości związane z udostępnianiem plików i katalogów. Jeśli chcielibyśmy np. narzucić przydziały dyskowe, to musimy zainstalować opcję "File Server Resource Manager".


Uruchamiamy "Menedżer serwera" i wybieramy "Dodaj role i funkcje"

Uruchamia się "Kreator dodawania ról i funkcji" - naciskamy "Dalej"

Pozostawiamy pierwszą opcję i naciskamy "Dalej"

Wybieramy nasz serwer (innego nie mamy) i naciskamy "Dalej"

Zaznaczamy "Usługi plików i magazynowania". Jak już wcześniej wspomniałem, mamy już zainstalowaną tę funkcję, ale musimy jeszcze dorzucić "Menedżer zasobów serwera plików". Dodatkowo (opcjonalnie) dodajemy dwie opcje związane z funkcją DFS

Pojawią nam się podczas zaznaczania dwa okna z informacją jakie funkcje zostaną dołączone do tych ról. Naciskamy "Dodaj funkcje"

Mamy już wszystko zaznaczone co trzeba - naciskamy "Dalej"

Możemy jeszcze coś dodać do instalacji, ale my tego nie robimy i naciskamy "Dalej"

Zaznaczamy restart komputera jeśli zaistnieje taka konieczność, naciskamy "Tak" i "Zainstaluj"

Musimy trochę poczekać aż się rola zainstaluje. Można okno z procesem instalacji "zamknąć", a u menedżera góry i tak będzie widać, że instalacja nadal trwa. Po zainstalowaniu usługi klikamy "Zamknij"

II. Podstawowa konfiguracja udziału sieciowego.

Z "Menedżera serwera" wybieramy teraz "Usługi plików i magazynowania", a następnie zaznaczamy "Udziały" i z menu "Zadania" wybieramy "Nowy udział"

Uruchamia się "Kreator nowego udziału" i wybieramy najprostszy sposób udostępniania zasobów, czyli protokół SMB w wersji "szybki" i naciskamy "Dalej"

Następnie podajemy konkretną ścieżkę dostępu do folderu. Wybieramy "Wpisz ścieżkę niestandardową", a następnie klikamy "Przeglądaj..."

Wybieramy "Nowy folder", podajemy jego nazwę (u nas Zasoby) i naciskamy "Wybierz folder"

Widząc, że wybrany przez nas folder jest właściwy, ponownie naciskamy "Wybierz folder"

Teraz zatwierdzamy nasz wybór, klikając "Dalej"

Następnie podajemy jakąś nazwę, pod którą nasz folder będzie widoczny w sieci lub pozostawiamy tę zgodną z jego właściwą nazwą na serwerze. Możemy także dorzucić jakiś opis. Zwracamy uwagę na ścieżkę zdalną do udziału, z której będziemy korzystać i naciskamy "Dalej"

W kolejnym kroku możemy włączyć np. ukrywanie zasobów niedostępnych dla danego użytkownika (1 opcja) lub dostęp do plików w trybie offline lub jeszcze szyfrowanie. My zaznaczamy opcję drugą i naciskamy "Dalej"

W kolejnym oknie możemy określić uprawnienia kontrolujące dostęp. Klikamy więc "Dostosowywanie uprawnień"

A następnie wyłączymy dziedziczenie, klikając w opcję "Wyłącz dziedziczenie"

W kolejnym oknie możemy dokonać konwersji dziedziczonych uprawnień na jawne lub całkowicie usunąć wszystkie wpisy. My wybierzemy tę pierwszą opcję

Następnie usuwamy zbędne wpisy, pozostawiając tylko właściciela oraz grupę Administratorzy. Teraz możemy określić kto oprócz nich ma mieć dostęp do tego folderu. Naciskamy więc "Dodaj"

Następnie klikamy "Wybierz podmiot zabezpieczeń"

I podajemy użytkownika (lub grupę), któremu chcemy nadać dostęp do naszego folderu. U nas będzie to bondj. Najpierw wpisujemy go, a potem sprawdzamy czy taki użytkownik znajduje się w AD. Jeśli tak to klikamy "OK"

Zezwalamy naszemu użytkownikowi na:
- odczyt i wykonywanie
- wyświetlanie zawartości folderu
- odczyt
Uprawnienia te będą dotyczyć tego folderu, podfolderów i plików. Jeśli mamy powyższe uprawnienia to naciskamy "OK"

Widzimy, że nasz użytkownik został dodany do listy uprawnionych i jeśli zgadzamy się z tym, to klikamy "Zastosuj" i "OK"

Sprawdzamy jeszcze, czy nasze uprawnienia są właściwie i klikamy "Dalej"

Na koniec mamy potwierdzenie poprawności naszych ustawień i klikamy "Utwórz"

Mamy potwierdzenie utworzenia udziału i klikamy "Zamknij"

I widzimy w "Menedżerze serwera", że nasz folder jest już udostępnionym udziałem sieciowym. Jest to proste udostępnienie, bez np. określonego przydziału dyskowego (limitu)

Teraz sprawdzamy dostęp do naszego zasobu z poziomu klienta. Logujemy się użytkownikiem bondj i w "Eksploratorze plików" w pasku adresu, wpisujemy naszą ścieżkę sieciową. Można bezpośrednio do zasobu (\\server00\zasoby) lub do serwera (\\server00)

Następnie przechodzimy do folderu Zasoby i sprawdzamy czy działają uprawnienia. Widzimy, że przy próbie dodania pliku uzyskujemy odmowę dostępu, czyli wszystko jest OK

III. Konfiguracja przydziału.

Dzięki temu, że zainstalowaliśmy na serwerze przystawkę "File Server Resource Manager" możemy naszym udziałom narzucać przydziały dyskowe. Możemy to zrobić na dwa sposoby. Pierwszy z nich uwzględnia szablony przydziału, domyślnie udostępnione przez Windows Server, natomiast drugi sposób pozwala na dowolne konfigurowanie limitów.


Najpierw wykorzystamy gotowe szablony i ustawimy przydział dla naszego folderu. Z poziomu "Menedżera serwera" klikamy PPM na udziale "Zasoby" i wybieramy "Konfiguruj przydział"

Z dostępnych szablonów można wybrać określoną ilość miejsca dla tego folderu. My wybieramy 100 MB i klikamy "OK"

I widzimy ustawiony przydział, z pełną informacją ile miejsca jeszcze zostało. U nas folder jest pusty więc mamy pełną ilość 100 MB

W kolejnym kroku utworzymy sobie swój własny przydział. Na początek utworzymy nowy zasób sieciowy, który do tego wykorzystamy. Powninien on mieć następujące parametry:
- nazwa udziału: Spike
- uprawnienia: pełna kontrola dla: grupy Administratorzy, właściciela i użytkownika bondj
Należy to wykonać w analogiczny sposób jak w punkcie II, a efekt końcowy powinien być taki jak wyżej

Teraz utworzymy swój własny przydział (np. 1,5 GB). Mając uruchomiony "Menedżer serwera" z "Narzędzi" wybieramy przystawkę "File Server Resource Manager"

Następnie rozwijamy "Zarządzanie przydziałami", zaznaczamy "Przydziały", klikamy PPM i wybieramy "Utwórz przydział"

Klikamy "Przeglądaj" i wskazujemy nasz folder Spike i naciskamy OK

Gdy nasz folder jest już wybrany, wybieramy opcję "Zdefiniuj właściwości niestandardowe przydziału" i klikamy "Właściwości niestandradowe"

W polu "Limit" ustawiamy odpowiednią wartość (u nas 1.5 GB), pozostawiamy przydział sztywny i klikamy "Dodaj", aby ustawić próg powiadomień. W nowym oknie wpisujemy np. 90 i naciskamy OK

Mamy więc już odpowiednią pojemność (1.5 GB) i określony próg powiadomień (90%), więc możemy nacisnąć OK

Sprawdzamy czy wszystkie parametry wprowadzone są poprawnie, jeśli tak to naciskamy "Utwórz"

Możemy jeszcze z naszego przydziału utworzyć szablon lub z tego zrezygnować. My chcemy go zachować, więc podajemy nazwę Nowy_1.5 GB i naciskamy OK

Widzimy, że nasz przydział został utworzony ze szczegółową informacją

Wracamy do "Menedżera serwera", odświeżamy ustawienia i widzimy ustawiony przydział do zasobu Spike, z pełną informacją ile wolnego miejsca jeszcze zostało. U nas folder jest pusty więc mamy pełną ilość 1.5 GB

IV. Publikacja w AD i limit użytkowników.

Zarządzanie sieciowymi udziałami może się także odbywać z poziomu "Zarządzania komputerem". Mając uruchomione to narzędzie dostajemy możliwość wglądu do takich opcji jak:
- Udziały
- Sesje
- Otwarte pliki


Aby uruchomić to narzędzie, wystarczy w polu "Wyszukaj" wpisać "Zarządzanie komputerem". Z menu po lewej stronie zaznaczamy "Foldery udostępnione", a następnie "Udziały". Widzimy udostępnione foldery, a do udziału "Spike" jest aktualnie podłączony jeden klient

W zakładce "Sesje" mamy informacje na temat kto jest podłączony do naszego udziału i z jakiego komputera

Natomiast w zakładce "Otwarte pliki" widzimy z jakich obecnie klient korzysta plików. Niemniej jednak nie zawsze w tym miejscu ilość otwartych plików jest zgodna ze stanem faktycznym

Chcielibyśmy jednak teraz opublikować nasz udział w AD oraz ustawić limit użytkowników jednocześnie korzystających z zasobu. Warto dodać, że sama publikacja w obecnych systemach niewiele daje, ale już limit użytkowników jest opcją bardzo przydatną. Zaznaczamy więc zakładkę "Udziały", następnie klikamy folder "Spike", naciskamy PPM i klikamy "Właściwości"

W kolejnym kroku w zakładce "Ogólne" wybieramy opcję "Zezwalaj tylu użytkownikom", a następnie podajemy jakąś wartość (u nas 5). Oczywiście pamiętajmy o tym, żeby zaakceptować to poprzez kliknięcie "Zastosuj"

Aby opublikować nasz folder w AD, wystarczy wybrać zakładkę "Publikowanie" i zakliknąć opcję "Publikuj ten udział w usłudze AD". Na koniec klikamy "Zastosuj" i OK

Dodatkowo możemy sobie ułatwić życie i stworzyć dostęp do folderu udostępnionego z poziomu AD. Uruchamiamy więc przystawkę "Użytkownicy i komputery usługi AD" i dowolnym miejscu (u nas w jednostce organizacyjnej "Informatycy") klikamy PPM, a następnie "Nowy" i wybieramy "Folder udostępniony"

Podajemy nazwę udziału Spike, ścieżkę sieciową \\server00\Spike i naciskamy OK

I widzimy nasz folder dostępny z poziomu AD. Wystarczy go zaznaczyć, kliknąć PPM, wybrać opcję "Eksploruj" i mamy jego zawartość

V. Tworzenie zasobu ukrytego.

Zarządzając zasobami sieciowymi z poziomu "Zarządzania komputerem", możemy zauważyć, że niektóre nasze udziały mają znak $ na końcu. Oznacza to, że taki udział jest niewidoczny w sieci, ale po wpisaniu pełnej ścieżki uzyskujemy do niego dostęp. W tym punkcie utworzymy właśnie taki udział.


Tym razem utworzymy sobie folder sieciowy z tego poziomu. W menu z lewej strony zaznaczamy "Udziały", klikamy PPM i wybieramy "Nowy udział"

Uruchamia nam się "Kreator tworzenia folderu udostępnionego", więc klikamy "Dalej"

Następnie podajemy nazwę naszego folderu i ścieżkę dostępu (u nas c:\Ukryty). Klikamy "Dalej", a ponieważ takiego folderu nie ma na naszym dysku, to potwierdzamy jego utworzenie, klikając "Tak"

W kolejnym oknie wykonujemy najważniejszą czynność tego punktu, a mianowicie ukrywamy nasz zasób poprzez dodanie znaku $ na końcu nazwy udziału. Dodajemy jeszcze opcjonalnie opis "Folder ukryty" i naciskamy "Dalej"

Moglibyśmy jeszcze nadać jakieś konkretne uprawnienia do naszego folderu, ale ponieważ potrafimy już to robić, to na potrzeby tego ćwiczenia pozostawimy opcje domyślne i klikamy "Zakończ"

W ostatnim kroku kończymy pracę kreatora klikając "Zakończ"

Widzimy, że nasz folder został utworzony, z charakterystycznym znakiem dolara na końcu: Ukryty$

Teraz będąc zalogowanym na kliencie użytkownikiem bondj, wpisujemy w "Eksploratorze Windows" ściezkę sieciową \\server00. Oczywiście naszego folderu nie widzimy

Ale gdy tylko podamy pełną ścieżkę \\server00\Ukryty$, to okazuje się, że mamy dostęp do folderu Ukryty$

Zadanie do wykonania na lekcji

  1. Utwórz na serwerze j.o. (Zasoby_2), a w niej dwóch użytkowników.
  2. Utwórz na serwerze (dysk C) folder o nazwie "PSO", udostępnij go z limitem 5 użytkowników i nadaj opis "Zajęcia lekcyjne".
  3. Opublikuj folder "PSO" w AD oraz utwórz przekierowanie do udziału w j.o. Zasoby_2.
  4. Jeden z tych użytkowników ma mieć prawo do odczytu do tego folderu, a drugi nie powinien mieć do niego dostępu.
  5. Sprawdź nadane uprawnienia z poziomu klienta.
  6. Utwórz na serwerze w j.o. "Zasoby_2" jeszcze czterech użytkowników oraz folder o nazwie "PSO1".
  7. Wykonaj czynności z punktu 2-3 stosując je do folderu "PSO1".
  8. Utwórz dwie lokalne grupy zabezpieczeń: "Informatycy" i "Elektronicy".
  9. Przypisz użytkowników do tych grup, tak aby trzech z nich miało pełną kontrolę do obydwu folderów, a trzech pozostałych pełną kontrolę do folderu "PSO", a do "PSO1" brak dostępu.
  10. Sprawdź nadane uprawnienia z poziomu klienta.
  11. Utwórz jeden ukryty folder o dowolnej nazwie z prawami odczytu tylko dla użytkowników tych dwóch grup.
  12. Sprawdź nadane uprawnienia z poziomu klienta.