Windows - Fájlhozzáférések szabályozása központilag

Az Active Directory lehetővé teszi, hogy központilag szabályozzuk a kliens gépek helyi merevlemezén lévő állományok és mappák hozzáférési jogosultságait. Nem kell a rendszergazdának egyenként végigjárnia a hálózat összes gépét és NTFS jogokat állítani, elég ha egyszer központilag meghatározza hogy ki, mihez és milyen jogokkal férhet hozzá. A számítógépek elindítása után letöltődnek és helyileg érvényre jutnak a beállítások.
A csoportházirendben lehet meghatározni az egyes fájlok vagy mappák hozzáférési jogosultságait. Amikor a kliens operációs rendszer elindul, letölti és érvényesíti a beállításokat még a felhasználók bejelentkezése előtt. Ebből a megállapításból két dolog következik: a csoportházirend számítógépekre vonatkozó konfigurációjában szerepel a házirend, tehát gépenként és nem felhasználónként érvényesülő beállításokról van szó. Másik, hogy csak olyan kliens operációs rendszer jöhet szóba, mely képes együttműködni az Active Directory-val. Ilyen a Windows 2000/XP, ne is kísérletezzünk Windows 95/98/Me/NT-vel. További feltétel, hogy minden kliensen NTFS fájlrendszer legyen azokon a köteteken, melyeken található központilag jogosított állomány. Mivel a kiszolgálóról csak azt lehet előírni, hogy például a c:\xyz.txt fájlhoz ki és milyen jogokkal férhet hozzá, ezért az összes kliensen meg kell lennie a c:\xyz.txt fájlnak, nem lehet másik helyen és néven, mert a rendszer nem fogja megkeresni.
Alkalmazási terület
Alapértelmezésben az összes fájlhoz és mappához hozzáférhet a "Mindenki" ("Everybody") felhasználói csoport, méghozzá teljes jogosultsággal. Ez egy olyan csoport, melynek a tagsága dinamikusan változik és automatikusan beletartozik mindenki, aki erőforrásokat használ az operációs rendszerben, legyen szó helyi, hálózaton keresztüli vagy akár Internetes hozzáférésről. A Windows ezen viselkedése a legtöbb rendszerben elégséges védelmet élvez, de ahol szigorúbban kell ügyelni a biztonságra, ott már élni kell az NTFS nyújtotta hozzáférés szabályozási lehetőségekkel. Például a felhasználó saját dokumentumaihoz (\Document and Settings\(felhasználói név)\Dokumentumok mappa) elég meghagyni, hogy a tulajdonosa és a rendszergazda kapjon jogokat. Utóbbit mindig hagyjuk meg vésztartaléknak, számos eset adódhat az életben, amikor a rendszergazda teljes fennhatósága a felhasználók állományai felett jelenti az utolsó szalmaszálat az adatvesztés megakadályozásához.
Szolgáltatás konfigurálása a csoportházirendben
Nyissuk meg a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt. Kattintsunk az egér jobboldali gombjával a gyökérpontban lévő tartománynévre és lépjünk a "Tulajdonságok" ("Properties") menüre, a megjelenő ablakban pedig a "Csoportházirend" ("Group Policy") oldalra. Így a tartományban lévő összes számítógépre ugyanazok a beállítások lesznek érvényesek. Ha csak a gépek egy csoportján akarjuk alkalmazni, akkor a szervezeti egységekbe kell őket csoportosítani.
A "Szerkesztés" ("Edit") gombra kattintás után nyílik meg a csoportházirend konzolja. Tallózzunk el a következő helyre:
Számítógép konfigurációja > Windows beállításai > Biztonsági beállítások > Fájlrendszer (Computer Configuration > Windows Settings > Security Settings > File System).
Kattintsunk a jobboldali egérgombbal a konzol jobb felén lévő üres területre és a megjelenő menüben válasszuk a "Új fájl" ("Add File") pontot. Kicsit megtévesztő, hogy fájlról van szó, mert mappa ugyanúgy lehet. Most a helyi kiszolgáló mapparendszerét látjuk. Jelöljük a jogosítandó fájlt vagy mappát és kattintsunk az "OK" gombra. Mi van, ha a kiszolgálón nem ugyanazok az állományok vannak, mint a klienseken? Semmi gond, a faszerkezet felett lévő mezőbe írjuk be az elérési utat. Nem kell helyileg létező fájlt megadni.
Következő lépésben beállíthatók az NTFS jogok, felhasználónként és csoportonként, majd válaszoljunk a megfelelő rádiógomb kiválasztásával arra, hogy alkalmazni akarjuk-e az almappákra is a beállításokat és milyen módon.
Ezután létrejön egy új bejegyzés a csoportházirendben. Látható, hogy sehol nem történik konkrét kötethivatkozás. Például az operációs rendszert tartalmazó kötet gyökérpontját a %SystemRoot% környezeti változó helyettesíti. Így nem kell az összes kliensen a Windows-t azonos mappába telepíteni, bizonyos mértékig kezelhetők az eltérések.
A már létrehozott bejegyzések utólag is módosíthatók, ha rákattintunk a jobboldali egérgombbal és a "Biztonság" ("Security") menüre lépünk. Az NTFS jogok a "Biztonság szerkesztése" ("Edit Security") gombra kattintás után módosíthatók.