ColoMax
November 13th, 2015, 21:13
برای انجام Sharing و استفاده از Share های دیگران باید به ترتیب پروتکل*های Files&Printer Sharing و Clients For Microsoft Networks فعال باشند.
برخی اوقات می*بینیم که در اتصال به یک منبع Share شده خطای Network Path Not Foundدریافت می*کنیم. این خطا به سه دلیل می*تواند رخ دهد :
1- فعال نبودن پروتکل Files and Printer Sharing
2- فعال نبودن پروتکل Clients For Microsoft Networks
3- مشکل در پروتکل NetBEUI یا Netbios Over TCP/IP
حال چند نکته :
- در ویندوز 2000 یک مساله امنیتی احمقانه وجود داشت. هنگامی که فولدری را Shareمی*کردیم مجوز پیش*فرض همه به آن در حد Full بود ولی در نسخه*های بعدی این مجوز برای Everyone به صورت پیش*فرض فقط خواندن یا Read است.
- عمل Sharing فقط در سطح شاخه قابل انجام است نه فایل
- یوزرهای عادی نمی*توانند Share کنند. این توانایی به طور پیش فرض برای Administrator ها و گروه Power Users وجود دارد.
- وقتی روی شاخه کلیک راست کرده و آن را Share می*کنیم از ما یک Share Nameمی*خواهد. این نام همان نامی است که بقیه در شبکه آن را مشاهده می*کنند (نام اصلی شاخه را نمی*بینند)
مجوزهای کلی موجود برای منابع سه مورد زیر هستند :
1- Read : مشاهده محتویات یک فایل یا شاخه
2- Change : مشاهده و تغییر محتویات فایل*ها و شاخه*ها و حذف کردن آنها
3- Full Control : بسیاری گمان می*کنند این مجوز با Change فرقی ندارد. اما دو فرق اساسی بین آنها وجود دارد. کسی که مجوز Change دارد اولا نمی*تواند مالکیت را عوض کند (Take Ownership) و ثانیا خود نمی*تواند مجوزها را تغییر دهد. در مورد Ownership بعدا صحبت خواهیم کرد. پس Change را به کسی می*دهیم که هر کاری خواست با فایل*ها بکند اما خودش مجوزها را تغییر ندهد و سطوح دسترسی دیگری تعریف نکند.
همانطور که می*دانید این مجوزها را می*توان Allow یا Deny کرد. اگر خواستیم کاربر هیچ دسترسی حتی مشاهده هم نداشته باشد کافیست Read را برای او Deny کنیم.
در ادامه یک مثال ساده مطرح می*کنیم :
شاخه*ای داریم که می*خواهیم همه کاربران آن را ببینند. محمد بتواند آنها را تغییر دهد و حمید هیچ کاری نتواند بکند. مجوزها اینگونه تنظیم می*شوند :
Mohammad: Change: Allow Everyone: Read: Allow
Hamid: Read: Deny
دقت کنید یک اشتباه بزرگ را مرتکب نشوید. برخی می*گویند خوب Read را اصلا برای Hamidتیک نمی*زنیم بنابراین دسترسی خواندن ندارد. اما این اشتباه است. چرا ؟ بله درست است. چون حمید خودش عضو گروه Everyone است و بنابراین مجوز Read را از این گروه می*گیرد (به ارث می*برد). پس حمید حتما باید Deny شود. به عبارت دیگر :
وقتی مجوزی به یک گروه می*دهیم، این مجوز به همه اعضای آن به ارث می*رسد که اصطلاحا آن را خاصیت ارث*بری یا Inheritance گوییم. بنابراین اگر خواستیم کسی از آن گروه را مستثنی کنیم، وی را جداگانه Add کرده و مجوز لازمه را به وی می*دهیم.
حال این مثال را ببینید. دقت کنید. نکته مهمی در آن نهفته است.
در مورد فولدری مجوزها به این صورت تنظیم شده*اند. نتیجه چیست ؟
Mohammad: Read, Change: Allow Everyone: Read: Deny
Admins: Ful Control
شاید در نگاه اول بگویید خوب درست است همه Deny شده*اند اما Mohammad جداگانه دسترسی دارد بنابراین استثناست. اما اشتباه نکنید. در این حالت هیچ کس حتی Admin ها هم به این شاخه دسترسی ندارند چون :
*** در Permission های Share، همیشه Deny بر Allow برتری دارد و بر آن غلبه می*کند. ***
پس مثال بالا را چگونه انجام می*دهیم.
پاسخ ساده است. بعد از Share کردن فولدر، گروه Everyone را کلا از لیست دسترسی*ها پاک می*کنیم. حال Mohammad را Add کرده و دسترسی Change به وی می*دهیم.
حال سوال این است که اگر بخواهیم این مجوزها را در سطح فایل تعیین کنیم چه باید کرد. مثلا سه فایل در یک شاخه داریم اما دسترسی افراد به این سه فایل با هم فرق می*کند.
پاسخ این است که Permission های معمولی Sharing برای انجام این کار کافی نیستند و در اینجا باید به سراغ Security Permission ها برویم. نکته مهم اینکه این دسترسی*ها فقط در درایو*های NTFS قابل انجام هستند.
مجوزهای بخش Security هم بسیار ریزتر و کامل*تر هستند و هم اینکه می*توان از آنها برای فایل*ها هم استفاده کرد. حال به سراغ حل مثال خود می*رویم. گفتیم یک شاخه داریم که داخل آن سه فایل f1,f2,f3 هستند. می*خواهیم کاربران به فایل f2 دسترسی نداشته باشند :
ابتدا شاخه را Share کرده و به Everyone مجوز Change می*دهیم.
در این حالت f2 هم این مجوز را از شاخه به ارث می*برد. بنابراین بایئ کاری کنیم که اولا این وراثت انجام نشود و ثانیا از دسترسی به f2 جلوگیری شود. برای این کار از f2، Propertiesمی*گیریم. به بخش Security و سپس Advenced می*رویم و تیک Inherit From Parents … را برمی*داریم. یعنی وراثت از بین می*رود. سپس در بخش Security برای آن فقط Read و Read, Execute را تیک می*زنیم.
نکته بسیار مهم. اگر بین مجوزهای Sharing و NTFS Security تعارض وجود داشته باشد چه اتفاقی می*افتد. مثلا برای شاخه*ای مجوز به صورت زیر تنظیم شده است.
Security: Read
Sharing: Full Control
برای این شاخه فقط دسترسی خواند وجود خواهد داشت چون :
بین Sharing و NTFS Security مجور پایین*تر و محدودتر همیشه اعمال می*شود
برخی اوقات می*بینیم که در اتصال به یک منبع Share شده خطای Network Path Not Foundدریافت می*کنیم. این خطا به سه دلیل می*تواند رخ دهد :
1- فعال نبودن پروتکل Files and Printer Sharing
2- فعال نبودن پروتکل Clients For Microsoft Networks
3- مشکل در پروتکل NetBEUI یا Netbios Over TCP/IP
حال چند نکته :
- در ویندوز 2000 یک مساله امنیتی احمقانه وجود داشت. هنگامی که فولدری را Shareمی*کردیم مجوز پیش*فرض همه به آن در حد Full بود ولی در نسخه*های بعدی این مجوز برای Everyone به صورت پیش*فرض فقط خواندن یا Read است.
- عمل Sharing فقط در سطح شاخه قابل انجام است نه فایل
- یوزرهای عادی نمی*توانند Share کنند. این توانایی به طور پیش فرض برای Administrator ها و گروه Power Users وجود دارد.
- وقتی روی شاخه کلیک راست کرده و آن را Share می*کنیم از ما یک Share Nameمی*خواهد. این نام همان نامی است که بقیه در شبکه آن را مشاهده می*کنند (نام اصلی شاخه را نمی*بینند)
مجوزهای کلی موجود برای منابع سه مورد زیر هستند :
1- Read : مشاهده محتویات یک فایل یا شاخه
2- Change : مشاهده و تغییر محتویات فایل*ها و شاخه*ها و حذف کردن آنها
3- Full Control : بسیاری گمان می*کنند این مجوز با Change فرقی ندارد. اما دو فرق اساسی بین آنها وجود دارد. کسی که مجوز Change دارد اولا نمی*تواند مالکیت را عوض کند (Take Ownership) و ثانیا خود نمی*تواند مجوزها را تغییر دهد. در مورد Ownership بعدا صحبت خواهیم کرد. پس Change را به کسی می*دهیم که هر کاری خواست با فایل*ها بکند اما خودش مجوزها را تغییر ندهد و سطوح دسترسی دیگری تعریف نکند.
همانطور که می*دانید این مجوزها را می*توان Allow یا Deny کرد. اگر خواستیم کاربر هیچ دسترسی حتی مشاهده هم نداشته باشد کافیست Read را برای او Deny کنیم.
در ادامه یک مثال ساده مطرح می*کنیم :
شاخه*ای داریم که می*خواهیم همه کاربران آن را ببینند. محمد بتواند آنها را تغییر دهد و حمید هیچ کاری نتواند بکند. مجوزها اینگونه تنظیم می*شوند :
Mohammad: Change: Allow Everyone: Read: Allow
Hamid: Read: Deny
دقت کنید یک اشتباه بزرگ را مرتکب نشوید. برخی می*گویند خوب Read را اصلا برای Hamidتیک نمی*زنیم بنابراین دسترسی خواندن ندارد. اما این اشتباه است. چرا ؟ بله درست است. چون حمید خودش عضو گروه Everyone است و بنابراین مجوز Read را از این گروه می*گیرد (به ارث می*برد). پس حمید حتما باید Deny شود. به عبارت دیگر :
وقتی مجوزی به یک گروه می*دهیم، این مجوز به همه اعضای آن به ارث می*رسد که اصطلاحا آن را خاصیت ارث*بری یا Inheritance گوییم. بنابراین اگر خواستیم کسی از آن گروه را مستثنی کنیم، وی را جداگانه Add کرده و مجوز لازمه را به وی می*دهیم.
حال این مثال را ببینید. دقت کنید. نکته مهمی در آن نهفته است.
در مورد فولدری مجوزها به این صورت تنظیم شده*اند. نتیجه چیست ؟
Mohammad: Read, Change: Allow Everyone: Read: Deny
Admins: Ful Control
شاید در نگاه اول بگویید خوب درست است همه Deny شده*اند اما Mohammad جداگانه دسترسی دارد بنابراین استثناست. اما اشتباه نکنید. در این حالت هیچ کس حتی Admin ها هم به این شاخه دسترسی ندارند چون :
*** در Permission های Share، همیشه Deny بر Allow برتری دارد و بر آن غلبه می*کند. ***
پس مثال بالا را چگونه انجام می*دهیم.
پاسخ ساده است. بعد از Share کردن فولدر، گروه Everyone را کلا از لیست دسترسی*ها پاک می*کنیم. حال Mohammad را Add کرده و دسترسی Change به وی می*دهیم.
حال سوال این است که اگر بخواهیم این مجوزها را در سطح فایل تعیین کنیم چه باید کرد. مثلا سه فایل در یک شاخه داریم اما دسترسی افراد به این سه فایل با هم فرق می*کند.
پاسخ این است که Permission های معمولی Sharing برای انجام این کار کافی نیستند و در اینجا باید به سراغ Security Permission ها برویم. نکته مهم اینکه این دسترسی*ها فقط در درایو*های NTFS قابل انجام هستند.
مجوزهای بخش Security هم بسیار ریزتر و کامل*تر هستند و هم اینکه می*توان از آنها برای فایل*ها هم استفاده کرد. حال به سراغ حل مثال خود می*رویم. گفتیم یک شاخه داریم که داخل آن سه فایل f1,f2,f3 هستند. می*خواهیم کاربران به فایل f2 دسترسی نداشته باشند :
ابتدا شاخه را Share کرده و به Everyone مجوز Change می*دهیم.
در این حالت f2 هم این مجوز را از شاخه به ارث می*برد. بنابراین بایئ کاری کنیم که اولا این وراثت انجام نشود و ثانیا از دسترسی به f2 جلوگیری شود. برای این کار از f2، Propertiesمی*گیریم. به بخش Security و سپس Advenced می*رویم و تیک Inherit From Parents … را برمی*داریم. یعنی وراثت از بین می*رود. سپس در بخش Security برای آن فقط Read و Read, Execute را تیک می*زنیم.
نکته بسیار مهم. اگر بین مجوزهای Sharing و NTFS Security تعارض وجود داشته باشد چه اتفاقی می*افتد. مثلا برای شاخه*ای مجوز به صورت زیر تنظیم شده است.
Security: Read
Sharing: Full Control
برای این شاخه فقط دسترسی خواند وجود خواهد داشت چون :
بین Sharing و NTFS Security مجور پایین*تر و محدودتر همیشه اعمال می*شود