Как создать структуру папок на сетевом диске
По приходу в компанию сетевые папки были разбросаны по серверам, и админ только и занимался тем, что перенарезал права. Но логика в большинстве компаний одинаковая:
1. У каждого пользователя должна быть своя папка
2. Папка должна быть у каждого отдела
3. Есть общие папки для сотрудников разных отделов, для рабочих групп. 4. Должна быть общая папка помойка — это мнение сугубо только пользователей.
Для упрощения работы пользователей было принято решение, что это должна быть одна точка входа. Как правило, это что-то вроде SharePoint. Но кроме двух серверов с Windows Server 2012 больше не было ничего.
Вот как было решено поступить.
- user — поименные папки пользователей, создавались автоматически и с нужными правами;
- group — создавались вручную, параллельно с созданием рабочей группы, права для группы на изменение;
- send — папка для отправки документов в другие рабочие группы, чистим ежедневно.
1. Папки пользователей
Через GPO поменяли места хранения. Но т.к. после применения все добро из моих документов начинает копироваться на сервер, у некоторых это >20Gb, то мы прибегли к фильтру безопасности. Создали объект, связали со всем доменом, почистили фильтр безопасности и добавляли по одному пользователю. Так смогли разгрузить сеть.
2. Папки рабочих груп
Для этого в AD создали подразделение, для своего удобства. Внутри подразделения на создавали группы соответствующие нашим рабочим группам. Параллельно создавали одноименные папки в папке group и нарезали права. В каждой папке есть ссылка на папку из send где будут лежать входящие документы.
3. Единая точка входа через Мои документы
В моих документов у пользователей не только их файлы но и ярлыки на рабочие группы и папку отправку больших файлов. Вот листинг скрипта на создание ярлыков:
OU=Рабочие группы — объект где хранятся наши рабочие группы.
4. Отправка файлов
Папку send необходимо чистить ежедневно т.к. она очень быстро превратится в помойку. Мы перестраховались, ту папку что есть переносим на сервер резервных копий и создаем по новой папку.
Всё, задача решена, теперь для экономии места включаем дедубликацию, т.к. пользователи очень любят хранить одинаковые файлы. И после окончательного переноса всех пользователей можно настраивать квоты в Диспетчере ресурсов файлового сервера. У нас были грабли тут, мы изначально поставили жесткие квоты на типы файлов, и при переносе пользовательской папки у нас вываливался алярм и приходилось вручную докопировать файлы. Лучше в начале поставить просто уведомление на почту.
В следующей стать расскажу как мы организовали дальше резервное копирование и с использованием дедубликации храним историю файлов.
Важный момент при организации файлового сервера — обеспечить удобную для администрирования иерархию папок, чтобы удовлетворить потребности пользователей с минимумом исключений. Права должны быть достаточно жесткими, чтобы в случае запуска зловредов-шифровальщиков ущерб был минимальный.
В идеале иерархия должна обеспечивать простую реализацию сервиса самообслуживания, чтобы переложить управление правами на бизнес-папки на руководителей бизнес-пользователей.
Создание сетевой папки
Если у вас на компьютере есть два жёстких диска (ну или 2 локальных диска, например «диск C:» и «диск D:») то лучше использовать не тот на котором установлен Windows, и на котором больше свободного места. Не забудьте оценить сколько гигабайт памяти вам понадобится для работы в течение следующего года и позаботиться о том, чтобы на выбранном диске её было достаточно.
- На выбранном диске создаем обычную папку, ее можно назвать «Сетевая папка», «Сервер» или как вам вздумается.
- Нажимаем на ней правой кнопкой мыши и заходим в «Свойства».
- В открывшемся окне убираем галочку на пункте «Только для чтения» и переходим во вкладку «Доступ». Далее нажимаем на расширенная настройка.
Сетевая папка отрыта! Но как в нее попасть!?
Как узнать какая у вас версия Windows
Проверяем все компьютеры и если есть компьютер с версией Professional, то делаем сетевую папку на нем.
Ограничение доступа к части сетевой папки
Поясню. На каждом компьютере есть учетная запись. Вы можете сделать так, чтобы некоторые папки внутри сетевой папки были открыты для доступа только с определенных компьютеров (а точнее с конкретных учетных записей пользователей). Если кто-то подключится к вашей локальной сети, он не сможет в нее попасть. Или сотрудник (компьютер) которому вы не дали доступ к этой папке, тоже не сможет в нее попасть.
Принцип такой-же, как и при создании обычной сетевой папки. В случае с открытой сетевой папкой мы открываем доступ для группы СЕТЬ, в которую входят все компьютеры. В данном случае мы открываем доступ только для конкретных пользователей. Начнем.
Папки отделов
Название папок верхнего уровня по названию отделов. Например: IT, АДМИНИСТРАЦИЯ, КОММЕРЧЕСКИЙ ОТДЕЛ, HR и т.п.
На папке отдела даны полные права для группы в которую входят сотрудники отдела и права на чтения для всех сотрудников компании. В папках отдела следующие подпапки:
Сегодня я хотел бы с вами поделиться информацией как можно достаточно легко и быстро с помощью технологии Group Policy Preferences (GPP) (Она доступна с Windows Server 2008) создавать и мапить пользовательские личные папки на сервере.
- Создание и настройка прав на корневую папку в которой будут храниться папки пользователей
- Создание папки для пользователя
- Мапинг сетевого диска для пользователей
Первым делом, нам необходимо создать папку в которой будут храниться все папки пользователя.
Для нее необходимо установить следующие настройки безопасности:
Sharing доступ:
Autentication User — Full Control
NTFS доступ:
SYSTEM = Full Control
CREATOR OWNER = Full Control
Domain Administrtors = Full Control
Authenticaton Users = только эти атрибутыTraverse folder; Create folder; Write attributes; Write extended attributes; Read permissions; Change permissions
В итоге должно получится как указано на рисунках приведенных ниже
Для того, чтобы создать папки для пользователей в директории Users, мы переходим во вкладку
«User Configuration» — «Preferences — »Windows Settings" – «Folders» и в ней мы создаем папку %Logonuser% как указано на рисунке ниже.
Создадим групповою политику для пользователя и в разделе «User Configuration» — «Preferences» — «Windows Settings» — Drive Maps" создадим новый сетевой диск и дадим ему имя, например HomeFolder
Публикуем вторую часть перевода статьи File Server Management with Windows PowerShell. В первой части мы рассматривали как с помощью PowerShell строить отчеты о сетевых папках.
На этот раз в зоне нашего внимания находятся такие вопросы как создание сетевой папки, делегирование прав доступа к ней и прекращение совместного доступа.
Создаем новые папки
Теперь давайте взглянем на то, как можно использовать PowerShell для создания файлов и папок и управления ими. Все, что я продемонстрирую, Вы можете использовать в PS 2.0 и 3.0 (хотя в PS 3.0 приводимые мною примеры можно упростить). Управление файловым сервером в PowerShell 2.0 требует обращения к WMI и написанию сложных скриптов. В PowerShell 3.0, особенно если у вас Windows Server 2012, этот тип управления значительно упрощен. Именно его я и собираюсь рассмотреть.
Все, что нам необходимо, уже имеется в модуле SMBShare, который по умолчанию установлен на моей машине Windows 8. Команды в этом модуле позволят нам локально и удаленно управлять папками. Я не собираюсь останавливаться на каждой команде подробно – они довольно однотипны; рекомендую прочитать справку и примеры. Мы же начнем с использования команды New-SMBShare, чтобы создать новую папку.
Сделать это нужно за пару шагов. Так как папка должна быть на удаленном сервере, я установлю удаленную сессию PowerShell:
Я, конечно, могу использовать интерактивную сессию, однако передо нами стоит задача автоматизации, так что использую команду Invoke-Command. Для начала я создам новую папку:
А сейчас сложная часть. Я хочу установить такие NTFS разрешения, чтобы JDHLAB\Domain Users имела разрешения на изменения (Change). Для этого необходимо создать новое правило доступа, изменяющего список правил доступа и заново применяющих их к папке. В примере 6 приведен пример скрипта:
Пример 6: Создание, изменение и применение правила доступа
В примере 6 я сделал так, чтобы параметр пути можно было заново использовать.
Существует способы упростить этот процесс, но для целей ясности мы сохраним все так как есть. Сейчас мы готовы создать новую папку.
Я могу использовать эту сессию, но я хочу продемонстрировать, как можно использовать команду New-SmbShare, чтобы удаленно подключиться к файловому серверу:
Право доступа к папке по умолчанию стоит “Только чтение” (ReadOnly). Я выдал доменным админам Полный контроль (Full Control) на папку, и всем остальным выдал права на изменение (Change). Этот путь относителен к удаленному компьютеру, который должен работать под PS 3.0.
Расширенные настройки папки
Получить информацию о папке можно в любое время, использовав команду Get-SMBShare, как вы можете видеть на рисунке 9. Можно сделать еще парочку вещей с нашими папками, например, зашифровать SMB соединение, какой режим перечисления (enumeration mode) и тип кеширования использовать для папки. Я собираюсь использовать Set-SMBShare, чтоб осуществить гибкую настройку для только что созданной папки. Посмотрим это на примере 7.
Пример 7: Гибкая настройка папки
Указанное выше применяется к одной единственной папке, но вы с легкостью можете использовать Get-SMBShare для извлечение всех папок и их последующей передачи в Set-SMBShare и применения изменений к ним всем:
Эта команда извлечет все папки (кроме административных папок) на компьютере SRV2K12RC и установим свойство EncryptData в значении True. Мне не хочется подтверждать каждое действие, поэтому переключатель Confirm установлен в значение False. Set-SMBshare не запишет ничего в конвейер, в том случае если вы не используете –Passthru. Как видите, я смог изменить все с помощью одной единственной команды.
Удаление сетевых папок
Напоследок удалим сетевую папку. Код в примере 8 полностью отключает совместный доступ к папке, которую я только что создал. Можно ли это сделать проще? Конечно, структура папок до сих пор на файловом сервере.
Пример 8: Удаляем сетевую папку
Сводим воедино
А теперь давайте сведем все в одном скрипте. Не вдаваясь с детали кода, отмечу, что команды могут быть запущены параллельно. Например, после создания папки, создаю сетевую папку и устанавливаю NTFS разрешения в то же время, см. пример 9.
Пример 9: Создаем сетевую папку и устанавливаем NTFS разрешения
Этот скрипт создает новую сетевую папку, присваивает разрешения пользователю или группе. Я могу запустить ее из-под Windows 8 или на файловом сервере Windows Server 2012, использовав следующую команду (которая должна быть введена в одну строчку):
Процесс займет пару секунд. Результаты на скриншоте ниже.
Нет ничего плохого в том, чтобы использовать обыкновенный графический интерфейс для того же самого. Однако если Вам нужны специализированные отчеты или же вы желаете автоматизировать этот процесс, PowerShell подойдет как нельзя лучше.
Сперва следует решить на каком компьютере стоит делать сетевую папку. Если вы планируете открыть доступ для 20 или менее компьютеров, то можете переходить к следующему шагу.
Если в вашей сети больше 20 компьютеров, то вам стоит поискать может у вас есть Professional версия.
Поясню, MS Windows Home edition позволяет предоставлять доступ к сетевой папке не больше 20 компьютерам (пользователям). Для большего количества требуется версия Professional или Server.
Дополнительные параметры для выбора компьютера:
- Это должен быть компьютер с самым большим объёмом оперативной памяти. Как ее проверить? Выполняем все пункты из раздела как узнать какая у вас версия Windows, но в открывшемся окне смотрим чуть ниже пункт «Установленная память (ОЗУ)»
Создаем учетные записи пользователей на компьютере с сетевой папкой
Первое что нам надо сделать, это переписать на листок бумаги имена учетных записей и пароли с компьютеров, которым мы хотим дать доступ к защищенной папке.
-
Включаем компьютер, на котором должен быть доступ к этой папке. Нажимаете на клавиатуре комбинацию Win+R, вбиваете команду кnetplwiz и нажимаете на «ОК».
Пароль обязательно надо проверить, выйдя из системы и войдя при помощи этого пароля.
Если на этом шаге вы добавили учетную запись Microsoft (в качестве пользователя у вас e-mail) , то вам обязательно необходимо произвести вход в эту учетную запись на этом компьютере, иначе у этого пользователя (на другом компьютере, которому вы открываете доступ) не появится прав зайти в секретную сетевую папку.
Доступ к дискам
Группы в AD
Для распределения прав доступа создаются следующие группы (названия групп произвольные):
- Все пользователи (All) — в ней все сотрудники работающие в компании.
- Уволенные (Fired) — в неё переносятся сотрудники, которые покинули компанию.
- Группы с названиями соответствующими названиям отделов:
- В эту группу входят все сотрудники отдела.
- Для группы в AD задан менеджер и ему делегировано право (галка «Менеджер может изменять членов группы») предоставления прав на добавление сотрудников в группу.
Папка «Private» (диск P:)
Для всех пользователей компании на файловом сервере создается личная папка:
- Название: латиницей ФИО.
- Доступ: полный для самого пользователя и группы администраторов домена.
- Папка монтируется на диск P:
- В случае с терминальным серверами профиль пользователя редиректится в эту папку.
Подключение сетевого диска
В сетевую папку вы можете попасть, перейдя в любую папку, далее в левом боковом меню найти иконку сеть, нажать на нее из появившегося списка компьютеров найти компьютер на котором находится наша сетевая папка, открыть его, и перейти в сетевую папку. Можно даже сделать ярлык этой сетевой папки на рабочем столе. Но работать она будет не очень стабильно.
Для стабильной работы сетевой папки рекомендую на всех компьютера, где должен быть доступ к ней, подключить сетевой диск от этой папки. Это обеспечит более надежное соединение.
-
Заходим в мой компьютер.
Сетевой диск готов!
Теперь вы найдете ярлык сетевой папки на рабочем столе.
Процедуру повторяем на всех компьютерах, у которых должен быть доступ к папке.
Если кто-то подключит свой компьютер к вашей сети, он будет иметь доступ к этой сетевой папке. Для этого ему надо будет воткнуть провод в ваш сетевой коммутатор.
Отменяем наследование правил защищенной сетевой папки в Win 10
Мы открыли доступ для нашей новой паки конкретным пользователям, но наша папка финансы находится внутри сетевой папки, в которой мы дали разрешение всем пользователям сети (группой «СЕТЬ») на чтение и редактирование вложенных в нее папок и файлов. Таким образом наша папка «Финансы» наследует все правила от папки «Сетевая папка». Надо отключить это наследование.
-
В окне свойства нашей сетевой папки переходим во вкладку Безопасность. Нажимаем на кнопку дополнительно.
Защищенная сетевая папка готова! Вы можете попасть в нее войдя в подключенный сетевой диск нашей обычной сетевой папки, или подключить отдельный сетевой диск для более быстрого доступа.
Синхронизация
Папка проектов (Projects/Teams)
Папки верхнего уровня с доступом для нескольких сотрудников работающих над одной задачей (проектом):
- Название: произвольное, по запросу инициатора.
- Создание: по запросу.
- Доступ: назначается индивидуально по запросу пользователей. Запрос подтверждается владельцем папки, после чего назначаются соответствующие права.
- В папке находится файл owner.txt в котором содержится информация:
- Владелец папки (логин), ФИО, дата начала и дата окончания.
- В самой верхней строчке — последний владелец. Далее все предыдущие владельцы папок.
- Доступ на изменение файла только у группы администраторов.
- Доступ на просмотр — у всех пользователей.
Создаем защищенную сетевую папку и открываем доступ пользователям
- В сетевой папке создаем обычную папку . В нашем случае назовем ее «Финансы».
- После того как мы создали всех необходимых пользователей на компьютере с секретной сетевой папкой, надо раздать этим пользователям права на посещение и редактирование секретной папки. Переходим к нашей папке, в моем случае это «Финансы». Нажимаем на ней правой кнопкой мыши и выбираем пункт «Свойства» .
- Переходим во вкладку доступ, нажимаем на кнопку расширенная настройка. В открывшемся окне включаем галочку «Открыть общий доступ к этой папке» и нажимаем на кнопку «Разрешения». В окне «Разрешения для группы…» нажимаем на кнопку добавить.
Папка «Файлообмен» (Exchange)
Папка верхнего уровня для обмена файлами между любыми сотрудниками. Операции обмена через эту папку должны быть минимизированы по соображениям безопасности. Пользователь может ошибочно выложить в неё документ с конфиденциальной информацией, а получатель не успеет его оперативно забрать и удалить. Кроме того возможна фальсификация данных.
- Доступ: на чтение/запись у всех пользователей.
- Ежедневное удаление всех данных из этой папки по scheduler. Это необходимо для обеспечения безопасности на случай, если пользователь не забрал переданный ему файл.
Читайте также: