[Windows Server 2012 basics] Урок 15 - Файловый сервер
Вставка
- Опубліковано 1 жов 2024
- В этом уроке мы рассмотрим структуру и организацию доступа к расшаренным папкам файловых серверов.
Сайт - trainithard.ru/
Группа ВК: trainithard
Донат WMR R968467889622
![[Windows Server 2012 basics] Урок 16 - FSRM](http://i.ytimg.com/vi/AwUQYdvmnaw/mqdefault.jpg)
![[Windows Server 2012 basics] Урок 16 - FSRM](/img/tr.png)
![[Windows Server 2012 basics] Урок 9 - Групповые политики](http://i.ytimg.com/vi/-hKi8qhDLkg/mqdefault.jpg)
![[Windows Server 2012 basics] Урок 5 - Основы Active Directory Domain Services](http://i.ytimg.com/vi/aytPzZ0djmQ/mqdefault.jpg)
![[Windows Server 2012 basics] Урок 4 - Основы DNS](/img/n.gif)
ОГРОМНОЕ СПАСИБО ВАМ! Я С РЕБЯТАМИ ДЕЛАЮ КУРСОВУЮ РАБОТУ ПО АДМИНИСТРИРОВАНИЮ ИС НА Windows Server 2012 R2 И ВАШ ГАЙД ОЧЕНЬ ПОМОГ! БЛАГОДАРИМ ВСЕМ ПОТОКОМ!!!!
Александр, спасибо вам огромное за ваши уроки! За 20 лет управления IT подразделением все это знаю, но смотрю с большим удовольствием, слушаю как аудиокнигу. Смотрю и знаю, что вы сейчас скажете и какой пример приведете, мысленно что-то добавляю из своей практики, но вы тут же поправляетесь и снимаете мысль с языка, это великолепно. Небольшое добавление, ABE появилось не в 2012, а было еще в Windows Server 2003, но ставилось отдельным пакетом. А восстановление из теневой копии НЕОБХОДИМО отдать пользователям, тогда HelpDesk скажет вам спасибо, так как не только отпадет необходимость разматывать бэкап, но и заявки на восстановление файлов не будут приходить на первую линию поддержки. Удачи вам и еще раз огромное спасибо за прекрасные лекции!
Спасибо, всегда приятно слышать оценку от компетентного человека! По поводу восстановления - не всегда требования бизнеса или отдела ИБ это позволяют, к сожалению. По ABE - не знал, с 2003 я работал не так много. :)
Не в пустую. Спасибо! Молодца =)
Не показал как восстанавливать файлы из теневой копии!
спасибо за уроки, только про проверку shadow copy не было в этом уроке)
Видео как всегда шикарное. Но столкнуляся с баг-фичей. Если использовать группу создатель-владелец, то когда пользователь создает файл (в папке к которой у него есть доступ по группам безопасности), дополнительно прописываются именные права в свойстве файла. То есть двайжды есть парва. И группой и свои
Спасибо за полезные уроки, для себя подчеркнул много полезного. Уважаю тех кто делится знаниями и опытом.
Спасибо за урок!!
Вот в ближайшее время надо запускать две сторожки )))
Молодец, всё понятно рассказал, без воды и тягомотины!
Очень грамотное объяснение. Все четко и по делу. Спасибо!
Спасибо , очень интересно! Надо применить у себя на практике.
Не рассмотрели восстановление файлов из теневой копии, кажется!
Да, забыл)) Очень просто все делается - правой кнопкой на нужную папку - предыдущие версии
Выражаю огромную благодарность, просмотрел все курсы от слова совсем. Есть такой вопрос, загорелся экзаменом MTA 98-365 Windows server administration fundamentals есть ли смысл его сдавать, ценятся вообще эти сертификаты ?
Привет! Как знания - нет. Все сертификаты MS легко дампятся. Однако наличие сертификата показывает работодателю, что вы стремитесь получать знания. Опять же, если сертификат есть, а знаний на него нет - это будет сразу видно после ваших ответов на пару технических вопросов. Можете использовать сертификат как роадмап тем, которые нужно изучить.
Я понял вас, спасибо за ответ !
когда лет 10 не работал админом самое то :) тем более за 10 лет уже не win2003server а win2021и много интересного появилось (правда если глючит стоит ли пользоваться) :)
Приветствую. Ого, серьёзный перерыв. Чем занимались?
@@sergei3965 бумажной работой :) иногда кому то и такой приходиться заниматься работой
Круто, спасибо за качественный изложенный контент. Выложите сюжет про FS to App for MS SQL ?)
А ещё DFS и FSRM, а по поводу полных доменных имён в ярлыках, должен dns суффикс помочь, раздать можно dhcp.
Приветы.
1. CREATOR OWNER всегда удалял к чертям, не понимаю зачем этонадо, от него только проблемы. Постоянный гемор с удалением и вообще доступом к файлу как у администратора, так и у пользователей из-за того, что меняется владелец.
2. Галку полного доступа давать нельзя, ибо в таком случае пользователь может самостоятельно менять права на папку. Это параноидальный сценарий, но я предпочитаю все делать по науке, а это RW как максимальные права для пользователя. Полный доступ только у администратора.
3. ABЕ я реализовывал и в 2008 винде, но исключительно средствами NTFS, сейчас не помню как, то я точно игрался с сеткой прав (там либо list folders, либо travers folders галки за это отвечают.)Может ошибаюсь, но делал точно.
Впрочем, есть и "легальные" средства" :)
tekrecipes.com/2014/03/02/access-based-enumeration-windows-2008-windows-2008-r2/
ABE "родная" фича с 2003 сервера support.microsoft.com/en-us/help/907458/how-to-implement-windows-server-2003-access-based-enumeration-in-a-dfs
Отличный урок!
Как всегда очень доходчиво! Хотелось бы послушать от тебя информацию по кластеризации или по серверам на Linux) Спасибо за урок!
насколько я знаю, мапить диски не очень хорошо. в случае заражения вирусом шифровальщиком. то сетевой диск зашифруется. а если открывать через ярлык.то этого не происходит
Скажите пжлста!!! Сделал всё как на видео, но при правах fullcontrol создавать и редактировать файлы можно, а вот закидывать документы с рабочего стола или откуда то ещё не получается, пишет диск не доступен! В чём может быть проблема? Делал всё как у вас!
Добрый день, подскажите настроил все как на видео. Возникла одна проблема. На клиентской машине введенной в домен при заходе на замапленный диск, могу там создавать файлы и папки все хорошо. Но стоит начать туда что-то копировать, с рабочего стола например, он пишет файл y:\недоступен. Такое ощущение что он отваливается но крест на нем не появляется. Если же зайти на него вот таким образом \\IP-адрес\шара, то все прекрасно копируется. Подскажите куда копать в чем проблема. Заранее спасибо.
Групповая политика применяется только на сомом домене после gpupdate /force
На хосте не применяется.
Спасибо за видео!
1) Есть вопрос по добавлению пользователей в группы. Как я понимаю, на системе требуется обновление групповой политики что бы винда поняла, что у пользователя появился доступ. Как-то можно удаленно ускорить или автоматизировать этот процесс что бы сотрудникам не нужно было перезагружаться?
2) Хотелось бы поподробнее посмотреть на Shadow copies. Сам процесс восстановления, если можно.
3) Увидел вопрос по поводу шифровальщиков. Где-то читал, что как раз с ярлыков файлы и шифруются, а с сетевых дисков - нет. Что думаете по этому поводу? и можно ли считать Shadow copies хорошим средством защиты?
1) Если меняется членство в группе, нужно перелогиниться юзеру. Обновление политики не поможет.
2) Восстановление писал уже в комментах - правой кнопкой на папку - предыдущие версии.
3) От шифровальщиков нет полной защиты (частично помогут антивирус + своевременные обновления). Если вовремя не заметили - пиши пропало. Единственная 100% защита, делать бекап, который недоступен для изменения с самой машины, кроме как во время бекапа, предварительно следя, что ничего не зашифровано. Ну и как вариант - использовать ПО, которое отслеживает высокую активность по файловой системе (например когда файлы шифруются).
Тоже бэкап делается от отдельного пользователя у которого на целевую папку только чтение. Зато на папку с бэкапом доступ только у лок админа и этого пользователя. Думаю такое хранение достаточно надёжное в случае заражения шифровальщиками
Кстати, в группы добавлять можно не перетаскиванием а - выделить нужных юзеров , правой кнопкой на них и эд ту э групп =)
ну еще в идеальном мире делают так, в GPO ставят на каждый отдел правило которое маунтит ту шару к которой он имеет доступ не давая даже смотреть что там в общей шаре.
В результате всех этих политик, при наличии сетевых дисков люди сидящие рядом посылают друг другу файлы по электронной почте. Никогда не знаешь, какой файл кому понадобится завтра. Геморой - то коллега файла не видит, то не может сохранить изменения.
Если коллеге нужно работать с файлом принадлежащим другому отделу, то при согласовании с руководителем другого отдела, создаётся оговоренный каталог в этом самом другом отделе, на который есть права изменения для вашего коллеги и для него туда и кидают файлы для отработки. Это именно так делается. Для редких данных используется папка обмен. Это гарант того что никакой негодяй из одного отдела не сможет саботировать работу другого.
@@nekto1101 Ага, и постепенно вся файлопомойка переезжает в эту папку (оговоренный каталог) с удобными юзверям правами.
@@romanbelyaev4543 Помойка да, туда и уезжает, желательно её ещё и очищать скриптами, чтобы диск не засирали мусором. Суть в том что всё должно быть стандартизировано, чтобы например новый сотрудник смог прочитать инструкцию и знать где можно достать нужные ему данные, что очень маловероятно в помойке, где все друг другу фиг пойми как что то перекидывают. Ну например, как правило есть некие проекты, над которыми работает несколько отделов, соответственно создаётся папочка "Проекты" в ней каталог с номером или названием проекта и в этот каталог закидываются уже готовые файлы, а готовят эти файлы каждый отдел у себя в своём обособленном каталоге(куда вообще нет смыла соваться другим отделам, но кроме отдела шифровальщиков). После того как проект сдан, его папка закидывается в подпапку архив, в которую у всех доступ только на чтение, кроме специального человека, отвечающего за архив. Таким образом мы получаем чёткую иерархию, без мусора и каждый новый сотрудник в ней легко разберётся, при этом не мешая работе других. Это конечно очень упрощённый пример, так как в реальности есть ещё стадии разработки, нормоконтроль или проверка юристами, данные заказчика, корректировки при возврате от юристов заказчика и прочая требуха, но в целом суть такова что важные файлы к которым обращаются отделы должны лежать в одном месте и быть строго регламентированы в плане названий и прочего, а всякая требуха, которая появляется у отделов по мере разработки, должна быть у них в их каталогах и в обменнике. Разграничение прав помогает защищает файлы от удаления и затирания (к тебе гораздо реже будут ходит с просьбами восстановить удалённый или неправильно изменённый файл) и от вирусни.
Для обмена проще создать общую шару для временного размещения файлов либо с правами удаления либо с автоудалением раз в сутки
@@SysAdmin-mo8xr Мой файл увидит только ограниченный круг лиц и я не увижу файлы сохраненные для меня. Но есть whatsapp, он спасет
Вот на моменте когда Мапятся диски, вроде все сделано, Диски у юзеров замапились нормально, но с периодичностью папки открытые сами закрываются...
Топ видосик - адекватно, точно, быстро, без излишества и с отсылками.
На 2008 r2 тоже есть перечисление каталогов на основе доступа.
Уважаемый автор, здравствуйте! Работает ли эта ОС с wi-fi адаптером, чтобы был резервный вариант доступа в интернет, через роутер, если вдруг перебои с проводным доступом. У меня стационарный ПК именно с ОС Виндоус Сервер 2012 R2. Заранее благодарен:) Я купил usb вф-адаптер, а при установке на ПК не разобрался, пока не доступа по wi-fi через роутер:(
если драйвера от вашего адаптера встанут на эту ось тогда ноупроблем.
Спасибо! Очень нравятся твои объяснения.
так долго жевать теорию это тухло. лучше всего будет усваиваться если сказал теорию и тут же показал пример.
ABE еще с 2008 винды был точно.
Александр, ещё раз спасибо за уроки.
Такой вопрос.
Повторил вашу структуру, с той лишь разницей, что политикой создаётся ярлык на расшаренную папку на раб. столе. Если пользователь (пусть он будет из HR_users, с правами _modify) открывает эту папку (т.е. шару "HR") через ярлык, а затем перейдёт уровнем выше (т.е. в папку Share), он увидит две папки - своего отдела (т.е. HR) и OBMEN. При этом у него будут права на удаление этих папок, чего, конечно не хотелось бы.
У меня сработал такой способ этого избежать: удаляем CreatorOwner из разрешений на папке Share, добавляем Deny на Delete для DomainUsers в разрешения на все папки внутри Share.
Но, мне почему-то кажется, что это костыль.
Собственно вопрос - как правильно?
надо убрать с Share право delete и с вышележащей папки право delete subfolders and files (это в advanced разрешениях)
Друг уроки просто супер. Очень помогает в дополнение к курсам. Сможешь объяснить как будет канечно время, про такую новую фикчу в 2012 - Dynamic Access Control. Тема сложная, но нужная в безопасности информации
Пока планов нет. На практике пока не видел использование DAC :)
Все показано и рассказано очень понятно и доступно.
Скажите пожалуйста, почему не действуют правила? что-то можно делать с папкой только после того как добавишь группу "все" для этой папки, ее подпапок и файлов. А с этой группой теряется вообще весь смысл правил!!!
Без контекста вопрос непонятен.
Александр, добрый день. Настроил сервер по вашей инструкции. Столкнулся с проблемой открытия PDF файлов. При открытии Acrobat Reader выдает ошибку: Произошла ошибка при открытии данного документа. Не удается найти файл. С чем это может быть связано? Файлы MS Office открываются и редактируются.
разрешения проверьте)
Добрый день! Все понятно, все супер. У меня такая проблема: сделал доступ к папке, через GPO мапятся сетевые диски: если зайти под пользователем у которого есть доступ только к определенной папке - через "мой пк - сетевой диск" при создании какого-либо добра пишет - расположение недоступно, ссылается на недопустимое расположение. Если зайти через win+r - набрать адрес - то все прекрасно. На win 10 все работает прекрасно. Такая ошибка только на win 7 pro, подскажите куда капать?
Написал примерно такую же проблему. Только у меня все создается на замапленном диске, но скопировать туда не получается. Клиент 10 Про
Интересно, а как же быть, если, в отделе нужно нескольким людям разные права раздать, как тогда структура групп будет выглядеть?
Alexander Fedorov Я делал так создавал на кажду шару или папку группу чтения и группу записи а потом просто добавлял в эти группы нужного юзера, сначала тяжко но потом зато конфигурируеться проще надо на запись перенёс юзера в нужную группу и все
Подскажите, как запрещать пользователям редактирование файлов прямо на обменнике, чтобы заставить их копировать сначала файлы! Спасибо!
ua-cam.com/video/4b6ypDbGW3c/v-deo.html посмотрите это видео, можно сделать с помощью разрешений
Подскажи, а почему именно Domain Local для групп задаешь?
не понял вопрос, но вероятно вам стоит погуглить, что такое AGDLP (кстати я об этом рассказывал в каком то из уроков)
Искал информацию по настройке сетевых шар. Очень понравилось. Обязательно пересмотрю все уроки! Качественно, сжато, без слов паразитов. Выражаю огромную благодарность и уважение автору сего контента !) Мед в мои уши :)
Подписался, лайкнул
Добрый день) Столкнулся тут с интересной штукой, интересно знать, известная ли эта проблема. Итак, значит есть шара на Win 2019 std., для нее по группам даны права, пользователям, все хорошо работает до включения ABE, после включения ABE некоторые пользователи не могут войти в шару, точнее входят в нее на 15 раз. Интересно что, допустим шару подключили как диск, через командную строку в диск заходит и вообще нет проблем, мало того, у других пользователей в этой же группе никаких проблем не наблюдается. Возможно кто-то сталкивался с этим и есть решение, спасибо.
Сталкивался с проблемами ABE - у некоторых юзеров рвались сессии к шаре. Выяснить причину так и не удалось, отключение ABE помогло. 12 винда)
@@TrainITHard Александр, подскажите в чем может быть загвоздка - пользователи создают в папке файлы/папки, но не могут туда ничего скопировать.
Лучшие создавать не сетевые диски, а ярлыки к шарам т.к. большая активность вирусов шифровальшиков которые могут и шару зашифровать.
помогает?
Сергей Ефимов не знаю, пока не ловил не одним ярлыками защита настраиваться
я на HyperV уже раза 3 ловил. Помогают BackUp
Если словите современные шифровальщики - вам только бэкапы помогут и то, те что на ленте, так как бэкапы в локальной сети у вас тоже зашифрует)
FTP до FreeBSD и всё ок ;)
Подскажите пожалуйста, какой смысл в ntfs разрешениях, если при расшаривании папки на "Все - полный доступ" в любом случае всем есть доступ везде? Поясню: нужно сделать доступ к определенной папке определенным юзерам. Ставлю share-разрешения "Все - полный", и эта папка уже доступна всем. Хотя в ntfs разрешено только админам домена и овнеру.
Возможно вы поставили Share разрешения после NTFS через стандартный визард. Стандартный визард выдает не только share, но и меняет NTFS разрешения на аналогичные.
@@TrainITHard спасибо за ответ! У меня были ntfs разрешения на локальных пользователях чтение и выполнение. А в эту группу входят и все доменные юзеры. Поэтому все и могли заходить куда угодно) Спасибо за ваши уроки! Отличные курсы для дилетантов)
Спасибо
Спасибо, Александр. Как раз во время для меня.
Вопрос: существует ли инструмент оперативно собрать сведения к каким ресурсам отрыт доступ пользователю. Бывает такая необходимость и нигде пока такого не видел. Спасибо.
Сторонний софт только, либо скрипты :) Именно поэтому нужно делать файловый сервер и выдачу прав по феншуйной модели - это в разы упростит такую задачу.
Согласен, но иногда приглашают в контору в которой уже бардак и надо быстро навести порядок.
Сергей Сафин я использую утилиту Dumpasl, показывает шары и пермишины пользователей!
AD - Windows Server 2012R2, FS - Windows Server 2016, добавил сетевой диск через gpo, на клиентах все отлично работает, включаю на FS "перечисление на основе доступа", как и положено на в сетевом диске остаются только папки к которым есть доступ, но внутри папок при создании чего либо появляется ошибка "Расположение недоступно", при этом если заходить на FS \\dc6-fs.domain.ru\share то так же видно только папки к которым есть доступ, но внутри все хорошо работает
Не хватает деталей, но скорее всего не выдали права traverse folder
@@TrainITHard эта ошибка вылазит на windows 7, если ввести в домен windows 10 то все работает, клиенты проверял через hyper-v
@@Serikov1985 такая же фигня. На 7-ке ошибка. Есть способ победить?
Создаю папку share, делаю всё по инструкции, дале создаю внутри нее любую папку, иду в Безопасность и вуаля, Пользователи домена имеют право на Изменение!, унаследовано от share. Даже не знаю......
для пользователей домена нужно область действия установить "this folder only" в нтфс разрешениях папке "share"
@@dimanevidemskiy2790
так и делал, но создавая папку внутри share в их разрешениях пользователи уже имеют права и на изменения (унаследовано от share, хотя в share у поьзователей только "Траверс папок/выполнение файлов" и "Содержание папки/чтение данных". Откуда оно берется - ума не приложу.
@@dimanevidemskiy2790
я думаю это у меня какой-то глюк на вируталке.
папка где лежит? смотрите родительские разрешения - они могут с диска подтягиваться
Я несколько не в тему возможно, но тут задали вопрос на собеседовании, а что собственно происходит когда на file сервере дают тебе доступ к отделу например, т.е. понятно что нужно либо перезайти или перезагрузиться, но как это работает? Сам механизм не могу допереть, пользователю дают по сути ntfs права на папку, но почему папка отдела появляется только после перезагрузки? С gpo понятно всё, тут gpupdate \force сделал, sysvol подгрузился и всё... а вот с ntfs не допру
Права появляются сразу. А вот если права выданы группе, а не напрямую пользователю, и пользователя добавили в эту группу - то так и будет. Это связано с тем, что пользователь при первом входе получает kerberos тикет, в котором, в том числе, прописано членство в группах. И нужно либо дождаться его автообновления, либо получить новый перезайдя в систему. Перезагружаться не надо. Перезагрузка нужна только в случае, если членство изменилось у объекта компьютера.
TrainIT Hard во, спасибо большое, а то гуглил и не смог ответа найти, насчёт перезагрузки понятно что не нужно ;)... А где об этом почитать можно? Может какие книжки хорошие или курсы?
Гуглить статьи по теме :) Насчет книжек по такой теме - хз
Последний вопрос, а схемы agdlp 1 домен, agudpl 1 лес, много доменов это какой то стандарт? Правило хорошего тона? Откуда это вообще взялось? У меня для одного домена в фирме используются просто универсальные группы, без добавления глобальных групп в локальные)...
Просто в глобальную группы вы не сможете добавить глобальную группу из другого домена этого же леса, а в универсальную - сможете.
Все круто как всегда 👍🏻👍🏻👍🏻
большое спасибо. данную информацию уже в целом знал и применял на практике. но после просмотра все более упорядоченно улеглось в голове ))
Вот вы ставите для СОЗДАТЕЛЯ ВЛАДЕЛЬЦА область действия "Для этой папки подпапок и файлов" и когда вы создаёте структуру папок то владельцем становитесь вы как как конкретная учетная запись а не группа Администраторы в которую входят Администраторы домена и остальные. Так вот вы уволились, пришёл новый администратор и вашу учётную запись отключил, а вы по сути владелец всех созданных папок. Как быть? Может лучше было б если бы владельцем были группа Администраторы а не конкретный пользователь?
Да, вполне возможно. В целом ничего критичного - любой администратор может потом сменить владельца на себя.
Сколько можно мышкой дергать?