1. Приготування.
2. Доступ по мережі.
3. Користувачі і групи безпеки.
4. Права доступу.
5. Підсумок.

На просторах Росії багато фірм і дрібних підприємств не мають в штаті свого системного адміністратора на постійній основі або приходить час від часу. Фірма росте і рано чи пізно однієї расшаренной папки в мережі, де кожен може робити що захоче, стає мало. Потрібно розмежування доступу для різних користувачів або груп користувачів на платформі MS Windows. Линуксоидов і досвідчених адміністраторів прохання не читати статтю.

Але дана стаття написана для тих, хто вирішив поки мучитися самостійно, не застосовуючи сучасні програмні рішення. Спробую пояснити хоча б як правильно реалізовувати розмежування прав.

Перш ніж почати хотілося б розжувати пару моментів:

• Будь-яка операційна система "дізнається" і "розрізняє" реальних людей через їх облікові записи. Повинно бути так: одна людина = одна обліковий запис.
• У статті описується ситуація, що в фірмі немає свого адміна і не куплений, наприклад, MS Windows Server. Будь-яка звичайна MS Windows одночасно обслуговує по мережі не більше 10 для WinXP і 20 осіб для Win7. Це зроблено фірмою Microsoft спеціально, щоб клієнтські системі Windows не перебігали дорогу серверів Windows і ви не псували бізнес Microsoft. Пам'ятайте число 10-20 і коли у вашій фірмі буде більше 10-20 чоловік, вам доведеться задуматися про покупку MS Windows Server або попросити кого-небудь підняти вам безкоштовний Linux Samba сервер, у якого немає таких обмежень.
• Раз у вас немає грамотного адміна, то ваш звичайний комп з клієнтської MS Windows буде вдавати з себе файловий сервер. Ви змушені будете продублювати на ньому облікові записи користувачів з інших комп'ютерів, щоб отримувати доступ до расшаренним файлів. Іншими словами, якщо є в фірмі ПК1 бухгалтера Олі з обліковим записом olya, то і на цьому "сервері" (називаю його в подальшому як WinServer) потрібно створити обліковий запис olya з таким же паролем, як і на ПК1.
• Люди приходять і йдуть. Плинність кадрів є скрізь і якщо ви, той бідний людина, яка не адмін і призначений (змушений) підтримувати ІТ питання фірми, то ось вам порада. Робіть облікові записи, не прив'язані до особистості. Створюйте для менеджерів - manager1, manager2. Для бухгалтерів - buh1, buh2. Або щось подібне. Пішов чоловік? Інший не образиться, якщо буде використовувати manager1. Погодьтеся це краще, ніж Семену використовувати обліковий запис olya, так як влом або нікому переробляти і вже все працює 100 років.
• Забудьте такі слова як: "зробити пароль на папку". Ті часи, коли на ресурси накладався пароль давним давно пройшли. Змінилася філософія роботи з різними ресурсами. Зараз користувач входить в свою систему за допомогою облікового запису (ідентифікація), підтверджуючи себе своїм паролем (аутентифікація) і йому надається доступ до всіх дозволеним ресурсів. Один раз увійшов в систему і отримав доступ до всього - ось що потрібно пам'ятати.
• Бажано виконувати нижчеперелічені дії від вбудованої облікового запису Адміністратор або від першої облікового запису в системі, яка за замовчуванням входить в групу Адміністратори.

Приготування.

У Провіднику приберіть спрощений доступ до потрібних нам речей.

• MS Windows XP. Меню Сервіс - Властивості папки - Вид. Зняти галочку Використовувати майстер загального доступу
• MS Windows 7. Натисніть Alt. Меню Сервіс - Параметри папок - Вид. Зняти галочку Використовувати простий спільний доступ до файлів.

Створіть на вашому комп'ютері WinServer папку, яка буде зберігати ваше багатство у вигляді файлів наказів, договорів і так далі. У мене, як приклад, це буде C: \ dostup \. Папка обов'язкове повинна бути створена на розділі з NTFS.

Доступ по мережі.

На даному етапі потрібно видати в доступ по мережі (розшарити - share) папку для роботи з нею іншими користувачами на своїх комп'ютерах даної локальної мережі.

І найголовніше! Видати папку в доступ з повним дозволом для всіх! Так Так! Ви не помилилися. А як же розмежування доступу?

Ми дозволяємо по локальній мережі всім приєднуватися до папки, АЛЕ розмежовувати доступ будемо засобами безпеки, які зберігаються в файлової системі NTFS, на якій розташована наш каталог.

• MS Windows XP. На потрібній папці (C: \ dostup \) правою клавішею миші і там Властивості. Вкладка Доступ - Відкрити спільний доступ до цієї папки. Заповнюємо Примітка. Тиснемо Дозвіл. Група Всі повинна мати по мережі право Повний доступ.
• MS Windows 7. На потрібній папці (C: \ dostup \) правою клавішею миші і там Властивості. Вкладка Доступ - Розширена настройка. Ставимо галочку Відкрити спільний доступ до цієї папки. Заповнюємо Примітка. Тиснемо Дозвіл. Група Всі повинна мати по мережі право Повний доступ.

Користувачі і групи безпеки.

Потрібно створити необхідні облікові записи користувачів. Нагадую, що якщо на численних ваших персональних комп'ютерах використовуються різні облікові записи для користувачів, то всі вони повинні бути створені на вашому "сервері" і з тими ж самими паролями. Цього можна уникнути, тільки якщо у вас грамотний адмін і комп'ютери в Active Directory. Ні? Тоді ретельно створюйте облікові записи.

• MS Windows XP. Панель Управління - Адміністрування - Управління комп'ютером.
  Локальні користувачі та групи - Користувачі. Дія - Останній зареєстрований учасник.
• MS Windows 7. Панель Управління - Адміністрування - Управління комп'ютером.
  Локальні користувачі та групи - Користувачі. Дія - Створити користувача.

Тепер черга за найголовнішим - групи! Групи дозволяють включати в себе облікові записи користувачів і спрощують маніпуляції з видачею прав і розмежуванням доступу.

Трохи нижче буде пояснено "накладення прав" на каталоги і файли, але зараз головне зрозуміти одну думку. Права на папки або файли будуть надаватися групам, які образно можна порівняти з контейнерами. А групи вже "передадуть" права включеним в них облікових записів. Тобто потрібно мислити на рівні груп, а не на рівні окремих облікових записів.

• MS Windows XP. Панель Управління - Адміністрування - Управління комп'ютером.
  Локальні користувачі та групи - Групи. Дія - Створити групу.
• MS Windows 7. Панель Управління - Адміністрування - Управління комп'ютером.
  Локальні користувачі та групи - Групи. Дія - Створити групу.

Потрібно включити в потрібні групи потрібні облікові записи. Для прикладу, на групі Бухгалтери правою клавішею миші і там Додати в групу або Властивості і там кнопка Додати. В поле Введіть імена вибраних об'єктів впишіть ім'я необхідної облікового запису і натисніть Перевірити імена. Якщо все вірно, то обліковий запис зміниться на увазі ІМЯСЕРВЕРА \ учётная_запісь. На малюнку вище, обліковий запис buh3 була приведена до WINSERVER \ buh3.

Отже, потрібні групи створені і облікові записи користувачів включені в потрібні групи. Але до етапу призначення прав на папках і файлах за допомогою груп хотілося б обговорити пару моментів.

Чи варто морочитися з групою, якщо в ній буде одна обліковий запис? Вважаю, що варто! Група дає гнучкість і маневреність. Завтра вам знадобиться ще одній людині Б дати ті ж права, що і певній людині з його обліковим записом А. Ви просто додасте обліковий запис Б до групи, де вже є А і все!

Набагато простіше, коли права доступу видані групам, а не окремим персонам. Вам залишається лише маніпулювати групами і включенням в них потрібних облікових записів.

Права доступу.

Бажано виконувати нижчеперелічені дії від вбудованої облікового запису Адміністратор або від першої облікового запису в системі, яка за замовчуванням входить в групу Адміністратори.

Ось і дісталися до етапу, де безпосередньо і відбувається магія розмежування прав доступу для різних груп, а через них і користувачам (точніше їх облікових записів).

Отже, у нас є директорія за адресою C: \ dostup \, яку ми вже видали в доступ по мережі всім співробітникам. Усередині каталогу C: \ dostup \ заради прикладу створимо папки Договору, Накази, Облік МЦ. Припустимо, що є завдання зробити:

• папка Договору повинна бути доступна для Бухгалтерів тільки на читання. Читання і запис для групи Менеджерів.
• папка УчётМЦ повинна бути доступна для Бухгалтерів на читання і запис. Група Менеджерів не має доступу.
• папка Накази повинна бути доступна для Бухгалтерів та Менеджерів тільки на читання.

На папці Договори правою клавішею і там Властивості - вкладка Безпека. Ми бачимо що якісь групи і користувачі вже мають до неї доступ. Ці права були успадковані від батька dostup \, а та в свою чергу від свого батька З:

Ми перервемо це успадкування прав і призначимо свої права-забаганки.

Тиснемо кнопку Додатково - вкладка Дозволи - кнопка Змінити дозволи.

Спочатку перериваємо успадкування прав від батька. Знімаємо галочку Додати дозволу, успадковані від батьківських об'єктів. Нас попередять, що дозволу від батьків не будуть застосовуватися до даного об'єкта (в даному випадку це папка Договору). Вибір: Скасування або Видалити або Додати. Тиснемо Додати і права від батька залишаться нам у спадок, але більше права батьків на нас не будуть поширюватися. Іншими словами, якщо в майбутньому права доступу у батька (папка dostup) змінити - це не позначиться на дочірньої папці Договори. Зауважте в поле успадкував від стоїть не успадковано. Тобто зв'язок батько - дитина розірвана.

Тепер акуратно видаляємо зайві права, залишаючи Повний доступ для Адміністраторів та Система. Виділяємо по черзі всякі Автентифіковані і просто Користувачі і видаляємо кнопкою Видалити.

Кнопка Додати в даному вікні Додаткові параметри безпеки призначена для досвідчених адміністраторів, які зможуть задати особливі, спеціальні дозволи. Стаття ж націлена на знання досвідченого користувача.

Ми ставимо галочку Замінити всі дозволи дочірнього об'єкта на вирішення, успадковані від цього об'єкта і тиснемо Ок. Повертаємося назад і знову Ок, щоб повернутися до простого виду Властивості.

Дане вікно дозволить спрощено досягти бажаного. Кнопка Змінити виведе вікно "Дозволи для групи".

Тиснемо Додати. У новому вікні пишемо Бухгалтери і тиснемо "Перевірити імена" - Ок. За замовчуванням дається в спрощеному вигляді доступ "на читання". Галочки в колонці Дозволити автоматично виставляються "Читання і виконання", "Список вмісту папки", "Читання". Нас це влаштовує і тиснемо Ок.

Тепер на нашу технічним завданням потрібно дати права на читання і запис для групи Менеджери. Якщо ми в вікні Властивості, то знову Змінити - Додати - вбиваємо Менеджери - Перевірити імена. Додаємо в колонці Дозволити галочки Зміна та Запис.

Тепер потрібно все перевірити!

Слідкуйте за думкою. Ми наказали, щоб папка Договору не успадковувала права від свого батька dostup. Наказали дочірнім папок і файлів всередині папки Договору успадковувати права від неї.

На папку Договору ми наклали такі права доступу: група Бухгалтери повинна тільки читати файли і відкривати папки всередині, а група Менеджери створювати, змінювати файли і створювати папки.

Отже, якщо всередині директорії Договору буде створюватися файл-документ, на ньому будуть дозволу від його батька. Користувачі зі своїми обліковими записами будуть отримувати доступ до таких файлів і каталогів через свої групи.

Зайдіть в папку Договору і створіть тестовий файл договор1.txt

На ньому клацання правою клавішею миші і там Властивості - вкладка Безпека - Додатково - вкладка Діючі дозволу.

Тиснемо Вибрати й пишемо обліковий запис будь-якого бухгалтера, наприклад buh1. Ми бачимо наочно, що buh1 отримав права від своєї групи Бухгалтери, які володіють правами на читання до батьківської папці Договори, яка "поширює" свої дозволу на свої дочірні об'єкти.

Пробуємо manager2 і бачимо наочно, що менеджер отримує доступ на читання і запис, так як входить в групу Менеджери, яка дає такі права для даної папки.

Абсолютно так само, по аналогії з папкою Договору, накладаються права доступу і для інших папок, слідуючи вашим технічним завданням.

Підсумок.

• Використовуйте розділи NTFS.
• Коли розмежовувати доступ на папки (і файли), то маніпулюйте групами.
• Створюйте облікові записи для кожного користувача. 1 людина = 1 обліковий запис.
• Облікові записи включайте в групи. Обліковий запис може входити одночасно в різні групи. Якщо обліковий запис знаходиться в декількох групах і будь-яка група щось дозволяє, то це буде дозволено облікового запису.
• Колонка Заборонити (які забороняють права) мають пріоритет перед Дозволом. Якщо обліковий запис знаходиться в декількох групах і будь-яка група щось забороняє, а інша група це дозволяє, то це буде заборонено облікового запису.
• Видаляйте обліковий запис з групи, якщо хочете позбавити доступу, якого дана група дає.
• Задумайтесь про наймання адміна і не ображайте його грошима.

Задавайте питання в коментарях і питайте, виправляйте.

Відеоматеріал показує окремий випадок, коли потрібно всього лише заборонити доступ до папки, користуючись тим, що забороняють правила мають пріоритет перед вирішальними правила.

Додаткові матеріали:
Як зв'язати Microsoft Access з MySQL.