9.3. Souborové složky

9.3.1. Souborové složky na serveru

Novou složku v Administraci lze vytvořit tlačítkem Přidat. Tlačítko Přidat speciální složky slouží k vytvoření následujících složek, které jsou potřebné pro samotný provoz souborového serveru:

• netlogon – do této složky se ukládají přihlašovací skripty, které se automaticky spouští při přihlášení uživatele do domény,

• print$ – do této složky se ukládají ovladače pro síťové tiskárny,

• domain-users – v této složce se ukládají domovské adresáře všech uživatelů v doméně,

• local-users – v této složce se ukládají domovské adresáře uživatelů na lokálním pobočkovém VPN uzlu.

Tlačítkem Smazat odstraníte všechny složky, které jsou v seznamu označeny zaškrtávacím políčkem. kliknutím na název složky se zobrazí její nastavení:

Pole Název je povinné. Do pole Komentář se ukládá nepovinný popis složky, který je vidět i jako jeden z údajů složky ve Windows. Zaškrtávací pole Zobrazovat v seznamu udává, zda bude složka po připojení do domény viditelná. V poli Povolit současně uživatelů lze omezit počet uživatelů, kteří jsou aktuálně k dané složce připojeni s tím, že systém Windows složky jednotlivým uživatelům po určité době nečinnosti automaticky odpojuje. Dále jsou k dispozici tři režimy pro práci se soubory v případě, kdy dojde k přerušení spojení se serverem (režim offline):

• manuální – uživatel si manuálně označí soubory a ty se před odpojením od serveru zkopírují na lokální disk pro práci offline.

  Obrázek 9-17. Manuální zpřístupnění souboru pro režim offline

  

• automatický – soubory, které uživatel otevře, se automaticky synchronizují do složky na lokálním disku.

• automatický (pro programy) – tento mód je určen pro složky, které jsou pouze pro čtení a obsahují spustitelné programy. Ty se po zkopírování na lokální disk spouští přímo, bez přístupu k síťové verzi, což je rychlejší a snižuje to zatížení sítě.

• vypnutý – žádné soubory nejsou v režimu offline k dispozici.

Tlačítkem Smazat odstraníte sdílenou složku se všemi podsložkami a soubory, které v ní jsou. Tlačítkem Nový odkaz.. můžete vytvořit virtuální složku, kterou lze chápat jako jiné jméno nebo jako odkaz na původní složku. Potvrzením názvu se pohled přepne na nastavení této nové virtuální složky, kde je vyplněno jméno skutečné složky v položce Odkazuje na. Samotný odkaz může také směřovat pouze na podadresář zvolené složky. Jméno podadresáře můžete napsat do vstupního pole nebo jej vybrat ze seznamu podadresářů, když kliknete na ikonu knížky. V okně nastavení skutečné souborové složky je uveden seznam virtuálních složek, které do ní směřují v položce formuláře Odkazováno z. Smazáním virtuální složky nikdy nepřijdete o skutečná data, protože ta jsou pouze odkazována.

9.3.2. Nastavení přístupových práv souborových složek na serveru

V záložce Přístupová práva lze nastavit oprávnění pro manipulaci se složkou pro jednotlivé uživatele a skupiny uživatelů. Práva pro práci se samotnými daty ve složce se nastavují v horní části formuláře. Při přidávání většího množství uživatelů a skupin je můžete vybrat ze seznamu, pokud kliknete na ikonu knížky. Při psaní do vstupního pole se automaticky doplňují názvy existujících účtů nebo skupin.

Kromě běžných uživatelů a skupin je možné přidávat nebo vidět i některé speciální záznamy:

• * (Kdokoliv) – tento záznam zahrnuje a platí pro všechny uživatele, včetně anonymních.

• BUILTIN\jmeno – záznamy tohoto typy označují vestavěné skupiny uživatelů na souborovém serveru, které existují i ve Windows. Jsou to tyto skupiny:

  • Administrators – skupina uživatelů se všemi právy. Skupina BUILTIN\Administrators vždy obsahuje skupinu správců domény Domain Admins. Pokud je server nastaven jako PDC, BDC nebo nezávislý server, je tato skupina Domain Admins rovna skupině admins@domena, pokud je server člen domény, použije se skupina Domain Admins na PDC.

  • Users – skupina běžných uživatelů s omezenými právy. Skupina BUILTIN\Users vždy obsahuje skupinu všech uživatelů v doméně Domain Users. Pokud je server nastaven jako PDC, BDC nebo nezávislý server, je tato skupina Domain Users rovna skupině @domena, pokud je server člen domény, použije se skupina Domain Users na PDC.

  • Power Users – skupina běžných uživatelů s rozšířenými právy. V současnosti se tato skupina na serveru nepoužívá.

  Na obrázku výše jsou tedy práva složky testovani nastavena tak, že všichni běžní uživatelé v doméně ji mohou číst. Současně všichni doménoví administrátoři do ní mohou zapisovat. Výhoda používání konstrukce BUILTIN je v tom, že funguje jako proměnná, která se řídí doménou, která je aktuálně nastavená pro souborový server. Pokud tedy dojde k jejímu přenastavení, nebude potřeba měnit přístupová práva existujících souborových složek, které využívají právě BUILTIN.

• SID (Security identifier) – bezpečnostní identifikátor ve formátu např. S-1-5-12-7644816715-53789099348-030366813-1013, který jednoznačně označuje uživatele nebo skupinu na PDC. PDC také zajišťuje překlad těchto identifikátorů na skutečná jména. Při migraci domén nebo jiném technickém zásahu je možné tyto identifikátory vkládat jako záznamy přístupových práv ručně. Pokud se ovšem objeví v seznamu SID nečekaně, pak to znamená, že daný objekt byl smazán nebo je přerušeno spojení s PDC. Podrobnosti o těchto identifikátorech si můžete přečíst například na Wikipedii.

Práva v dolní části formuláře slouží k manipulaci se složkou v Administraci podle obecných pravidel práce s přístupovými právy. Při zadávání nových práv lze zadávat pouze existující uživatele nebo skupiny – jejich seznam lze zobrazit kliknutím na ikonu knížky. Tlačítkem + Kdokoliv lze do tabulky přidat řádek přístupových práv společných pro všechny uživatele, včetně anonymních (jsou označeni znakem *). Smazání řádku se provede odznačením všech práv kliknutím na červené zaškrtávací políčko, v případě duplicitního nebo neexistujícího názvu ještě vymazáním vstupního pole, a uložením nastavení formuláře.

9.3.3. Nastavení přístupových práv z pracovní stanice

Přístupová práva k souborovým složkám lze nastavovat ve dvou vrstvách – v Administraci a na pracovní stanici ve Windows. Výsledná práva ke složce jsou průnikem těchto dvou vrstev, což znamená, že pro uživatele, pro které se práva z obou vrstev nějak překrývají, budou platit ta "menší". Práva nastavená přímo na v Administraci se na pracovních stanicích nezobrazují.

Na pracovních stanicích lze pro adresáře a soubory nastavovat celou řadu přístupových práv. Na obrázku níže je vidět, jak může například vypadat nastavení přístupových práv se skupinou Info náležící do domény priklad.cz. Každý soubor nebo složka na serveru má povinně nastavena práva pro tři typy uživatelů:

• vlastník – uživatel, který daný objekt vytvořil, v našem příkladě to je Zdeněk Vytočil,

• skupina – skupina uživatelů, do které vlastník patří (implicitní skupina). Na souborovém serveru je implicitní vždy skupina Domain Users, obsahující všechny uživatele v doméně,

• ostatní – všichni ostatní uživatelé respektive každý uživatel, pro kterého neplatí jiná přístupová práva. V popisu práv ve Windows jsou označeni jako Everyone.

Mějme nyní sdílenou složku projekty na serveru server. Pak cesta k této složce je \\server\projekty. Nastavení kořenových složek na serveru lze měnit pouze v Administraci serveru. Nyní nastavíme práva složce test, která je podsložkou složky projekty. Nejprve zvolíme Vlastnosti.

V ní v záložce Zabezpečení je vidět seznam uživatelů a skupin, kteří mají definovaná nějaká práva. Kliknutím na jméno v seznamu se v tabulce níže zobrazí základní nastavení přístupových práv. Po jejich úpravě pomocí zaškrtávacích políček je vhodné odeslat nové nastavení na server tlačítkem Použít a pak teprve kliknout na OK.

Pokročilé nastavení práv zobrazíte kliknutím na Upřesnit. Zobrazí se úplný výpis všech subjektů, které mají definována nějaká práva. Pokud je dole zaškrtnuto políčko Povolit šíření dědičných oprávnění..., je potřeba ho odškrtnout, jinak nebude možné modifikovat přístupová práva subjektů v seznamu. Následně vám bude nabídnuta možnost práva buď zkopírovat nebo odebrat, zvolte možnost Kopírovat.

Uživatelé a skupiny v seznamu přístupových práv se dělí na známé, kteří existují v doméně a lze je do seznamu přidávat, a na převzaté ze serveru označované jako Unix user a Unix group, kteří mají svá práva přednastavena. Tato práva obvykle není potřeba měnit.

Každý soubor nebo složka na souborovém serveru má přiřazena implicitní práva pro uživatele, který ji vytvořil a povinně také práva pro implicitní skupinu, což je skupina Domain Users. Jména CREATOR OWNER a CREATOR GROUP označují šablony těchto přístupových práv pro nově přidaný soubor nebo složku. Tlačítkem Přidat... můžete do seznamu vložit novou skupinu nebo uživatele v doméně. Aby všechno správně fungovalo, je potřeba v nastavení práv ve výběrovém menu Použít pro... ponechat respektive nastavit hodnotu Tato složka, podsložky a soubory.

Pokud chcete definovat přístupová práva pro jinou než implicitní skupinu v doméně, je nejprve potřeba odebrat práva pro šablonu skupiny CREATOR GROUP, protože z té se dědí práva pro implicitní skupinu, ve které jsou všichni uživatelé, ne jen ti ve zvolené skupině.

V nabídce Windows je k dispozici mnoho různých oprávnění, ale samotný souborový server ukládá pouze tři: čtení, zápis a spouštění pro soubor a výpis, zápis a vstup do pro složky. Každou změnu v nastavení práv je potřeba potvrdit tlačítkem Použít, kdy se požadavek nastavení práv odešle na server, který zpět zašle skutečné nastavení. Na obrázku níže je vidět nastavení práv v nabídce Windows, která zleva doprava odpovídají hodnotám čtení, zápis a spouštění. Tato nastavení jsou již výsledkem překladu nastavení práv ve Windows, který zaslal server. Před odesláním stačí zaškrtnout jen jednu položku týkající se čtení a ze serveru se vrátí zaškrtnutá všechna práva, která se čtením přímo souvisí.

Systém Windows vyhodnocuje nastavení práv tak, že dává největší přednost nastavení pro ostatní uživatele (Everyone). Proto je nutno nechat všechna práva pro ostatní uživatele vypnutá, pokud potřebujete mít aktivní speciální nastavení práv jiných subjektů.