27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade



Relevanta dokument
7 Microsofts grupphanteringsmodell i Windows NT-domäner

22 Användarnas hemmamappar

en översikt Användarkonton i Windows-familjen Användarkonton i Windows NT Workstation och Windows NT Server

25 Lokal behörighet//local Security (lokal säkerhet, NTFS-behörighet)

23 Användargrupper: lokala, globala och specialgrupper

21 De tre viktigaste kontona: Administratör//Administrator, Gäst/ /Guest och System//System

12 Sammankopplade domäner// Trusts

Användarhantering Windows 7 I denna laboration kommer vi att skapa nya användare och grupper och titta på hur man hantera dessa.

29 Operativsystem på användarnas maskiner (klienterna)

Grundkurs 1 IKT Filhantering

2 Arbetsgrupp eller Windows NTdomän: vilken passar bäst?

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

15 Granskning//Auditing

Innehåll. Installationsguide

24 Användarrättigheter//User Rights

Manual - Storegate Team

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Del 1: Skapa konto i Exchange

Författare Version Datum. Visi System AB

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Krav: * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

DELA DIN MAC MED FLERA ANVÄNDARE

11 Domän- och serverlistorna// Browse Lists

Om Mappar Uppgift 1: Skapa en mapp på Skrivbordet... 2 Om enheter... 3 Uppgift 2: Byt namn på din nya Höst -mapp till Vår...

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver 9.2w

FLEX Personalsystem. Uppdateringsanvisning

Handbok. Procapita Vård och Omsorg Drifthandledning Gallring ver

Sync Master startas via Task Scedule (schemaläggaren). Programmet kan köras på servern utan att någon är inloggad på servern.

Allmänt om programvaror och filer i Windows.

Administrationsmanual ImageBank 2

Lathund för BankID säkerhetsprogram

Filimport till Norstedts Byrå

Sync Master startas via Task Scedule (schemaläggaren). Programmet kan köras på servern utan att någon är inloggad på servern.

ENTRÉ DOKUMENTHANTERING...

Filsäkerhet i Windows NT (NTFS)

Använda Office 365 på en iphone eller en ipad

Instruktion: Trådlöst nätverk för privata enheter

Uppdatera Mobilus Professional till version * Filen MpUpdate.exe får inte köras när du startar denna uppdatering.

Manual för fjärrinloggning

13 Inbyggda verktyg för nätadministration

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Flytt av. Vitec Mäklarsystem

Installationsanvisningar VISI Klient

ONEDRIVE ÖVERBLICK Vad är OneDrive?... 2 Molnet?... 2 Två typer av OneDrive... 2 Hitta sin OneDrive för företag... 3

Installation/uppdatering av Hogia Personal fr.o.m. version 13.1

Manual - Storegate Team

Kom igång med Visma Byråpaket

Nils Byström, Avd f IT och inköp. Projekt AD-design Uppsala universitet DiarieNr: UFV 2009/413. Revision 1.0 Filnamn AD skyddade personuppgifter.

Ingenjörsfirman Stéen Windows NT Server Sida 1 av 1

Konvertering från Klients databas till Norstedts Byrå

FrontPage Express. Ämne: Datorkunskap (Internet) Handledare: Thomas Granhäll

Handledning för Installation av etikettskrivare

Startanvisning för Bornets Internet

BLI VÄN MED DIN DATOR ENHETER MAPPAR FILER

En handledning för studerande på Högskolan Kristianstad

INNEHÅLLS FÖRTECKNING

Användardokumentation för CuMaP-PC. Fleranvändarsystem och behörigheter

Lathund för Novell Filr

Introduktion till datorer och nätverk vid institutionen för naturgeografi och ekosystemvetenskap

28 Inloggningsskript, profiler och systemprinciper//system Policies

Detta dokument skall ge en kortfattad introduktion till Jasmine installationen vid DSV.

ANVÄNDARMANUAL, INTERAXO

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Labora&on 1 Introduk&on &ll utvecklingsmiljön övningar/uppgi<er

Installera SoS2000. Kapitel 2 Installation Innehåll

Konsolfönster i Windows Momentet ingår i kursen PDA DTR1206 Lab 1 DOS Konsolfönstret

Lathund. Joint Collaboration AB Korta Gatan Stockholm Tel interaxo@joint.se. Org.nr.

Felsökning av vanliga fel Kontrollera installera version Innehållsförteckning

Använda Outlook 2003 mot Exchange

ARX på Windows Vista, Windows 7 eller Windows 2008 server

Att skapa egna konferenser i FirstClass

1 Översikt Vad är kontokoder? Konto/Mapp uppbyggnad Tillgång till Kontokoder Område Kontokoder...5

E-post. A. Windows Mail. Öppna alternativ. Placera ikonen på skrivbordet.

Laboration 0. Enhetsbokstaven anges med ett kolon efter och man läser ofta ut detta, exempelvis C:(sekolon).

Uppdatering till Windows 8.1 steg för steg-guide

Innehåll. 7. Hur vet jag vilken storlek på licensen jag har?... 19

LEX INSTRUKTION LEX LDAP

Arbetshäfte Office 365 en första introduktion

Årsskiftesrutiner i HogiaLön Plus SQL

Installera nätverksversion av Hogia ART

Manual för din hemsida

version: Sidan 1 av 5

Bengans datorhörna WINDOWSTIPS

IT policy för elever vid

GUIDE TILL ANVÄNDARHANTERINGEN

- I Vitec Mäklarsystem når du Hjälpen via menyn Hjälp och valet Hjälp och Support.

Instruktion för konvertering av e-post i Lotus Notes med Swing PDF Converter

Filbeskrivningar Eller på särskild CD skiva

KOMMUNLEDNINGSKONTORET / IT-AVDELNINGEN. Office 365. Lathund

Användarhandledning för koppling av dokument

Manual - Storegate Team med synk

Mac OS X 10.6 Snow Leopard Installationshandbok

eller Övningar i filhantering Tema: Mappar och filer i Windows samt Lagringsenheterna OBS! Endast för medlemmar i SeniorNet, Klubb Södertälje!

Uppdatering till Windows 8.1 steg för steg-guide

Din guide till. Klientinstallation MS Driftservice

Välj bort om du vill. 96 Internet och e-post. 2. Mail-programmet finns i datorn. 1. Skriv mail i sökrutan. Windows Live Mail i Aktivitetsfältet.

Installationsguide, Marvin Midi Server

Skapa ett paket av TI-Nspire programvara med Microsoft SMS 2003

Transkript:

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar Lokal behörighet och delningsbehörighet motverkar varandra När du delar ut mappar på en NTFS-volym för åtkomst via nätverket måste du alltid tänka på att lokal behörighet och delningsbehörighet samverkar på sådant sätt att den sammanvägda blir den av lokal behörighet och delningsbehörighet som är minst tillåtande. Behörigheter tilldelas globala (och lokala) användargrupper När man delar ut resurser och skyddar NTFS-volymer i Windows NT skall man alltid tilldela användargrupper nödiga behörigheter både delnings- och lokala behörigheter tilldelas grupper. Beroende på vilken metod du valt för grupphantering tilldelas globala grupper eller lokala grupper behörighet. Globalgruppsmetoden använder globala grupper. I Microsofts grupphanteringsmodell används lokala grupper (globala grupper görs till medlemmar av lokala grupper). Vilka användargrupper används för att tilldela behörigheter I Windows NT kan man använda alla tre olika grupptyper för att tilldela dem behörigheter. Det föreslagna är att använda globala grupper. Använder vi Microsoft grupphanteringsmodell kommer vi endast att använda lokala grupper (samt, i båda metoderna, specialgrupperna Skapare Ägare//Creator Owner och System/ /System). Skapare ägare//creator Owner kommer att översättas till det konto som upprättade filen (ägarinnan av filen). När någon annan 961

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar tar ägandeskap av filen eller mappen kan behörigheter ändras av Windows NT, men endast om den nya ägarinnan inte har nödiga behörigheter till filen. Behörighetsposten för den gamla ägarinnan kommer att finnas kvar om Windows NT inte ansåg sig behöva ändra behörighetslistan. Använd aldrig Fullständig behörighet//full Control som delningsbehörighet, då kan ägarinnan förstöra för sig själv och andra genom oavsiktlig ändring av behörighetslistor. Felsöka behörighetsproblem Att felsöka behörighetsproblem låter sig göra på två sätt: uppifrån och ned eller nedifrån och upp. Jag förutsätter nedan att användaren är inloggad i en domän med ett fungerande användarkonto och att användaren inte kan utnyttja en viss resurs på avsett sätt (kan inte lägga till filer i en mapp i vilken hon borde kunna lägga till filer, m.m.). Denna resurs är dessutom utdelad på en Windows NT Workstation eller Windows NT Server vilken är medlem av domänen. Innan man börjar felsöka något måste man ha nödiga insikter, låt mig därför bara upprepa några saker som du redan känner till. För att göra det hela något mindre torftigt tänkte jag att vi som exempel skulle ge oss på att förklara varför kontot ceciliac inte kan upprätta nya filer i mappen D:\Projekt\Kvalitet- 2000\Standard (på Windows NT-datorn \\Draupner). Mappen D:\Projekt\ Kvalitet-2000 är utdelad som \\Draupner\Kval2000. Eftersom Microsofts grupphanteringsmodell är svårare att felsök än den rekommenderade globalgruppsmetoden har jag använt Microsofts grupphanteringsmodell nedan. Bakgrundsfakta Flera typer av objekt kan tilldelas behörighet till en resurs När vi åsätter behörighet till en resurs (vi begränsar oss just nu till mappar och filer) kan man göra detta till flera olika typer av objekt i Windows NT: q Lokala grupper på den dator som resursen finns q Globala grupper från egna domänen 962

Felsöka behörighetsproblem q Globala grupper från domäner till vilka den egna har domänkoppling q Specialgrupper (Skapare ägare//creator Owner, System//System, m.fl.) q Enskilda användarkonton från kontodatabasen på den resursbärande datorn (om den inte är domänkontrollant) q Enskilda domänkonton från den egna domänen q Enskilda domänkonton från domäner till vilka den egna domänen har domänkoppling I Microsofts värld borde endast lokala grupper och specialgrupper användas för resursåtkomst, men listan ovan omfattar alla de objektstyper som kan användas. En av mina invändningar mot Microsoft modell är att det inte är bekvämt att göra rätt: det är inte enklare att begränsa sig till lokala grupper och specialgrupper än något annat sätt. Behörighet inom samma familj läggs till varandra När ett viss användarkonto försöker komma åt en resurs kommer Windows NT att gå igenom listan över åsatta behörigheter och jämföra denna med de grupper som användarkontot är medlem av (direkt eller genom medlemskap i en global grupp). I de fall där Windows NT hittar flera behörighetsposter för användaren eller grupper som användaren är med i läggs dessa poster till varandra (behörigheterna plussas på) så länge vi talar om antingen delningsbehörighet eller lokal behörighet. Delningsbehörighet och lokal behörighet motverkar varandra När Windows NT har sammanställt sammanlagd lokala behörighet för sig och delningsbehörighet för sig kommer lokal behörighet och delningsbehörighet att sammanvägas så att den minst tillåtande kommer att gälla. Felsöka uppifrån och ned Vilka globala grupper är domänkontot medlem av När vi felsöker uppifrån och ned börjar vi med att undersöka vilka globala grupper som användarens domänkonto är medlem av. Till 963

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar vår hjälp tar vi då Kontohanteraren för domäner//user Manager for Domains. Du kan starta Kontohanteraren för domäner//user Manager for Domains från valfri dator med Windows NT Server i domänen alla Windows NT Server i en domän kommer att ansluta till den Windows NT Server som just nu är primär domänkontrollant (PDC) när du startar Kontohanteraren för domäner//user Manager for Domains. Kontohanteraren för domäner//user Manager for Domains: genom att dubbelklicka på ett enskilt kontonamn och sedan välja Grupper//Groups visas en lista över de grupper ett konto är med i. Vilka lokala grupper på den resursbärande datorn är kontot (indirekt) medlem av Nästa steg är att inrikta vår uppmärksamhet på den Windows NT-dator på vilken resursen finns (jag kallar denna dator resursbärande). Denna gång vill vi veta vilka lokala grupper som finns och vilka globala grupper som är medlemmar i dessa lokala grupper. (Det är naturligtvis möjligt att enskilda användarkonton är med i lokala grupper.) Eftersom jag begränsar mig till resurser på Windows NTdatorer finns det nu två möjligheter: resursen är utdelad på en domänkontrollant eller den finns på en icke-domänkontrollant. Det blir i stort samma sak, men det spelar roll för vilken kontodatabas vi skall studera härnäst. Om resursen finns på en domänkontrollant I de fall då resursen finns på en domänkontrollant stannar du kvar i samma kontodatabas, alltså den på domänens primära domänkontrollant (PDC). Oavsett vilken av domänkontrollanterna 964

Felsöka behörighetsproblem som resursen finns på är det samma lokala grupp som används på dem alla (jag kallar ibland dessa grupper kontrollantlokala som en hjälp att minnas). Om resursen finns på en icke-domänkontrollant Antag att den aktuella resursen finns på en Windows NT-dator som är icke-domänkontrollant (alla Windows NT Workstation i domänen och alla de Windows NT Server i domänen som inte är domänkontrollanter). I detta fall kan du också använda Kontohanteraren för domäner//user Manager for Domains för att ansluta till kontodatabasen på den datorn. Kom bara ihåg att skriva två omvända snedstreck framför datornamnet (läs i kapitel 13 om användning av Kontohanteraren för domäner//user Manager for Domains.) Har reservdomänkontrollanterna en egen kontodatabas Förmodligen kommer du att prova metoden ovan för att ansluta Kontohanteraren för domäner//user Manager for Domains till en reservdomänkontrollant (BDC) när du gör det kommer Kontohanteraren för domäner//user Manager for Domains att ansluta till den primära den domänkontrollanten (PDC) i stället. Tidigare skedde detta utan något meddelande av något slag vare sig varning eller fel. Numera (jag använder Windows NT Server 4.0 med Service Pack 3) visas detta meddelande: Meddelande som visas om man försöker ansluta till en domänkontrollant genom att skriva datornamnet på domänkontrollanten direkt i Välj domän//select Domain. När du tryckt på knappen OK kommer Kontohanteraren för domäner//user Manager for Domains att ansluta till den primära domänkontrollanten (PDC). Trots att jag är litet förtjust i meddelandet ovan kan jag inte låta bli att anmärka: det borde ha stått att datorn är en domänkontrollant//domain controller i domänen Utgard alla Windows NT-datorer är ju med i domänen (vi har själva gjort dem till domänmedlemmar). 965

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar Studera de lokala grupperna Åter till Kontohanteraren för domäner//user Manager for Domains. I dess huvudfönster kan du studera användarkonton, globala grupper (om vi studerar domänens kontodatabas på den primära domänkontrollanten) och lokala grupper. Lokala och globala grupper på domänens PDC de lokala i fetstil. I bilden syns endast två lokala grupper utöver de inbyggda. Bilden är från en domänkontrollant. Genom att dubbelklicka på varje lokal grupp kommer du att se vilka som är medlemmar av gruppen. De möjliga medlemmarna av en lokal grupp på en Windows NT-dator i en Windows NT-domän är: q Globala grupper från den egna domänen q Globala grupper från domäner till vilka denna domän har en domänkoppling q Domänkonton från den egna domänen q Domänkonton från domäner till vilka denna domän har en domänkoppling Låt oss som ett exempel studera vilka objekt som är medlemmar av den lokala gruppen lckvalitet2000. 966

Felsöka behörighetsproblem Medlemmar av den lokala gruppen lckvalitet2000. Vilken lokal behörighet är åsatt mappen, filer i mappen och undermappar (samt deras filer) När vi klarat ut alla de lokala grupper som kontot är med i (genom medlemskap i globala grupper) kan vi lämna Kontohanteraren för domäner//user Manager for Domains. Lokal behörighet studerar vi i Den här datorn//my Computer (eller Windows NT-utforskaren//Windows NT Explorer om du föredrar den). Markera mappen och välj antingen Dela ut//sharing eller Egenskaper//Properties i snabbmenyn. Visa fliken Säkerhet//Security och tryck till sist på knappen Behörighet//Permissions. Lokal behörighet för mappen D:\Projket\Kvalitet-2000\Standard. Vi ser att den som upprättar/gör en ny undermapp och/eller filer kommer tilldelas behörigheten Ändra//Change till dessa genom behörighetsposten för Skapare ägare//creator Owner. 967

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar Den sista posten gör oss litet misstänksamma: namnet lckvalitet2000 skulle antyda att vi velat ge gruppen behörigheten Ändra//Change eller att det är fel lokal grupp det skulle kanske varit gruppen lrkvalitet2000. Detta kan vara vårt fel eftersom ingen, utom Administratörer//Administrators, faktiskt ges möjlighet att lägga till nya filer och mappar i denna mapp. Sammanlagd lokal behörighet för kontot ceciliac Den behörighetslista för lokal behörighet till mappen d:\projekt\kvalitet-2000\standard vi studerade ovan innebär att kontot ceciliac ges denna sammanlagda lokal behörighet: Administratörer//Administrators: Kontot ceciliac är inte med i Fullständig behörighet//full Control denna grupp inga behörigheter från denna post Skapare ägare//creator Owner: Lägga till och läsa//add & Read lckvalitet2000: Läsa//Read Sammanlagd lokal behörighet: (R, X) (R, X) Läsa//Read Denna behörighetspost gäller endast nya undermappar och filer. Den globala gruppen Kvalitet- 2000 är med i lckvalitet2000. Kontot ceciliac är med i den globala gruppen Kvalitet-2000 vilket gör att denna behörighetspost kommer att gälla: (R, X) (R, X) Det är som synes en enda behörighetspost som påverkar kontot ceciliac och den ger henne behörigheten Läsa//Read, vilken alltså inte innefattar möjligheten att upprätta nya mappar och filer. Studera delningsbehörighet för den utdelade mappen Det är modermappen till d:\projekt\kvalitet-2000\standard som är utdelad låt oss studera dess behörighetslista. På samma ställe som fliken Säkerhet//Security finner du även fliken Dela ut//sharing vars knapp Behörighet//Permissions visar delningsbehörigheter. 968

Felsöka behörighetsproblem Delningsbehörighet för resursen \\Draupner\Kval2000. Som du ser är det enklast möjliga delningsbehörighet utan att ge avkall på säkerheten. Gruppen Användare//Users har endast den globala gruppen Domänanvändare//Domain Users som medlem (du kan fritt ändra medlemskap i dem båda), vilket betyder att denna resurs är åtkomlig för våra domänanvändare med delningsbehörigheten Ändra//Change. Vi försäkrade oss tidigare om att den globala gruppen Domänanvändare//Domain Users verkligen är medlem av denna dators (minns var kontodatabasen och resursen finns) lokala grupp Användare//Users. Kom ihåg att delningsbehörigheter fungerar från den utdelade mappen och sedan oförändrade ned genom hela mappträdet. Sammanfattningsvis finns det inget i delningsbehörigheterna som skulle ställa till problem i detta fall. Sammanlagd delningsbehörighet Den behörighetslistan för delningsbehörighet ger detta resultat: Användare//Users: Ändra//Change Den globala gruppen Domänanvändare//Domain Users är med i Användare//Users. Kontot ceciliac är med i den globala gruppen Domänanvändare//Domain Users vilket gör att denna behörighetspost 969

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar Sammanlagd delningsbehörighet: Ändra//Change kommer att gälla:r, X, W, D R, X, W, D Sammanvägd lokal behörighet och delningsbehörighet Det sista som återstår är att väga samman lokal behörighet och delningsbehörighet. Sammanlagd lokal behörighet: Läsa//Read (R, X) (R, X) Sammanlagd delningsbehörighet: Ändra//Change R, X, W, D Sammanvägd lokal behörighet och R, X delningsbehörighet Som du ser av den sammanvägda behörigheten finns det inget sätt för kontot ceciliac att upprätta undermappar eller filer i mappen D:\Projekt\Kvalitet-2000\Standard. Problemets lösning När väl alla fel är funna och vi kan förklara alla rapporterade fel är det dags att rätta till problemet. Den lösning du bestämmer dig för måste uppfylla flera krav: q Lösa hela problemet för alla påverkade användare. Om du bara löser just de problem som rapporterats till dig kan du lätta hamna i ett läge där din lösning inte omfattar hela det egentliga problemet användaren kommer strax tillbaka med ytterligare felrapporter. q Skapa inga nya problem. Om du har otur kan en lösning som verkar bra för ett eller några konton göra att andra får utökad eller minskad behörighet (Murphys lag säger att det blir det som orsakar störst skada). q Följa den standard ni lagt fast. Speciallösningar blir problem i sig. Som alltid har vi flera val, varav några passar bättre med våra rutiner än andra. Det är viktigt, tycker jag, att det alltid finns ägarinnor i organisationen för resurser. Ägarinnor i detta fall betyder dem som kan avgöra vilka medarbetare som skall ges tillgång till resurserna. Dem måste vi tala med när i ändrar behörighet till resurser i nätverket så att det blir som organisa- 970

Felsöka behörighetsproblem tionen tänkt. För att lösa problemet kan vi: q Ändra behörigheten för den lokala gruppen lckvalitet2000 från Läsa//Read till Ändra//Change (som lokal behörighet) q Lägga till kontot ceciliac i behörighetslistan och tilldela kontot den lokala behörigheten Ändra//Change. q Upprätta en ny lokal grupp, göra kontot ceciliac till medlem, och sedan tilldela denna lokala grupp den lokala behörigheten Ändra//Change. q Upprätta en ny global grupp, göra kontot ceciliac till medlem, och sedan tilldela denna globala grupp den lokala behörigheten Ändra//Change. I detta fall är vi frestade att ändra lokal behörighet för den lokala gruppen från Läsa//Read till Ändra//Change. För att kunna göra detta måste vi först informera den som äger resursen och fråga om det är så resursen är tänkt att användas. Uppifrån och ned i sammanfattning 1. Bestäm vilka globala grupper kontot är medlem av. 2. Bestäm vilka lokala grupper som användarens globala grupper är medlem av. 3. Studera delningsbehörighet på den resursbärande datorn och gör en sammanlagd delningsbehörighet. Delningsbehörigheten är densamma genom hela mappträdet, den sätts för en enda nivå. 4. Studera lokal behörighet på den resursbärande datorn och gör en sammanlagd lokal behörighet. Tänk på att mappar och filer kan ha olika lokal behörighet. 5. Jämför sammanlagd lokal behörighet med sammanlagd delningsbehörighet för att få en sammanvägd behörighet. Felsöka nedifrån och upp När vi felsöker nedifrån och upp använder vi samma verktyg som ovan. Skillnaden är att vi börjar i omvänd ordning: 1. Studera lokal behörighet på den resursbärande datorn och gör 971

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar en sammanlagd lokal behörighet. Tänk på att mappar och filer kan ha olika lokal behörighet. 2. Studera delningsbehörighet på den resursbärande datorn och gör en sammanlagd delningsbehörighet. Delningsbehörigheten är samma genom hela mappträdet, den anges för en enda nivå. 3. Jämför sammanlagd lokal behörighet med sammanlagd delningsbehörighet för att få en sammanvägd behörighet. 4. Bestäm vilka lokala grupper som användarens globala grupper är medlem av jämför med resursens sammanvägda behörighetslista. 5. Bestäm vilka globala grupper kontot är medlem av jämför med de lokala grupper som förekommer i resursens sammanvägda behörighetslista. Använd ena metoden eller båda När du bestämt dig för vilken av metoderna ovan som passar dig bäst är det bara att börja använda den jag garanterar framgång. Det råkar nämligen vara så fint i Windows NT att detta med behörigheter alltid fungerar som beskrivet. (Jag hävdar att jag alltid kan reda ut behörighetsproblem kontakta mig gärna om du hittar ett svårlöst fall.) Jag gissar att du kommer att använda båda metoderna det går väldigt snabbt att studera behörighetslistan för resursen för att se om det finns något uppenbart problem redan där. Om problemet är något mer klurigt tror jag att det vara av värde att börja med kontots medlemskap i globala grupper. Varför det är viktigt med metodik Om du använder den av dig valda metoden varje gång minskar risken för missar i felsökandet. Missar under felsökandet kan leda till desperata åtgärder (som att tilldela den förhatliga gruppen Alla//Everyone behörigheten Fullständig behörighet/ /Full Control) för att man inte kunnat reda ut det egentliga problemet. En annan orsak är att man aldrig skall stanna vid ett enda problem. En levnadsregel för utvecklare när man avlusar program, men den är minst lika tillämplig på nätverksdrift. Om du minns det konstruerade problemet ovan så rapporterade användaren bara 972

Några exempel på användning av lokal behörighet och delningsbehörigheter att hon inte kunde upprätta nya mappar i mappen hon visste kanske inte ens om att hon inte kunde upprätta varken mappar eller filer. Hade vi bara löst det ena problemet hade vi snart fått ta itu med det andra. Olika grupphanteringsmetoder och felsökning Som jag skrev tidigare: detta förslag till felsökning använde sig av Microsofts grupphanteringsmodell. Du såg säkert var du kan hoppa över steg om du använder någon annan modell. En sak är säker: genom att alltid använda samma sätt att hantera användare, grupper och resursåtkomst behöver du inte felsöka så ofta. Några exempel på användning av lokal behörighet och delningsbehörigheter Nedan ger jag några exempel på lösningar du kan åstadkomma genom en lämplig användning av lokal behörighet tillsammans med delningsbehörighet. I något fall kan du genomföra lösningen även utan lokal behörighet (på en FAT-volym), men i de flesta fall medför lokal behörighet en enkel, elegant och lättadministrerad lösning. För att göra exemplen enklare att förstå har jag utelämnat behörighet för gruppen Domänadministratörer//Administrators (med andra). Du kan själv avgöra vilka övriga grupper som skall tilldelas behörighet när du läst exemplen nedan. Jag använder dessutom förkortningen DU för gruppen Domänanvändare//Domain Users (eller Användare//Users). Mapp för standarddokument, endast ägarinnan kan ändra dokumentets innehåll Om det passar era behov finns det ett elegant sätt att upprätta en mapp för standarddokument genom lämplig lokal behörighet. Mappens behörighet kommer att tillåta alla i gruppen Domän användare//domain Users att upprätta dokument i mappen, men endast den som upprättat ett dokument tillåts ändra det. Fördelen med denna metod är att den inte kräver att administratörerna upprättar nya globala och lokala grupper vi använder specialgruppen Skapare ägare//creator Owner. Vi åsätter lokal behörighet enligt: Skapare ägare//creator Owner: Ändra//Change R, X, W, D 973

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar DU: Läsa//Read R, X I de flesta fall kommer det konto som upprättat filen vara medlem av Domänanvändare//Domain Users, för detta konto gäller en sammanlagd lokal behörighet av (RXWD) + (RX) = RXWD. Delningsbehörigheten gör vi enkel: DU: Ändra//Change R, X, W, D, F Sammanvägd behörighet för Skapare ägare//creator Owner Den sammanvägda behörigheten för Skapare ägare//creator Owner blir: Lokal behörighet: Ändra//Change R, X, W, D Delningsbehörighet: Ändra//Change R, X, W, D, F Sammanvägd behörighet (den minst tillåtande) R, X, W, D Sammanvägd behörighet för Skapare ägare//creator Owner. Sammanvägd behörighet för Domänanvändare//Domain Users Den sammanvägda behörigheten för Domänanvändare//Domain Users blir: 974

Några exempel på användning av lokal behörighet och delningsbehörigheter Lokal behörighet: Läsa//Read Delningsbehörighet: Ändra//Change Sammanvägd behörighet (den minst tillåtande) R, X R, X, W, D, F R, X En bild av de sammanvägda behörigheterna för gruppen Domänanvändare//Domain Users: Sammanvägd behörighet för Domänanvändare//Domain Users. En stor nackdel med detta tillvägagångssätt är att det endast är just det konto som upprättat filen som är dess ägarinna och alltså ingår i behörighetsposten (där Skapare ägare//creator Owner tidigare listades) personen bör inte bli sjuk. En administratör kan visserligen alltid ta över ägandeskapet om det skulle behövas, men vi använde ju Skapare ägare//creator Owner för att slippa administration. Ett alternativ till att göra gruppen Administratörer//Administrators till ägarinna är att använda verktyget SubInACL för att göra godtyckligt konto till ägarinna av dokumentet. Mapp för standarddokument med en grupp som kan ändra standarddokumenten I en större organisationen är det inte en enda person som hanterar standarddokument, det kan vara flera personer i varje avdelning/division. I det fallet är det inte någon fördel att använda specialgruppen Skapare ägare//creator Owner. Vi upprättar en global grupp (och en lokal grupp i Microsofts modell) för varje mapp med standarddokument. Den globala 975

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar gruppen tilldelas behörighet direkt (eller görs till medlem av den lokala gruppen vilken i sin tur tilldelas lokal behörighet till mappen). Låt oss kalla den globala gruppen gcfineditors (de hanterar Ekonomiavdelningens standarddokument). Lokal behörighet De lokala behörigheterna sätts upp enligt: gcfineditors: Ändra//Change DU: Läsa//Read R, X, W, D R, X De användarkonton som är med i gcfineditors är även med i Domänanvändare//Domain Users: för dem kommer en sammanvägd lokal behörighet av (RXWD) + (RX) = RXWD att gälla. Delningsbehörighet Delningsbehörigheten gör vi enkel: DU: Ändra//Change R, X, W, D, F Sammanvägd behörighet för gcfineditors Den sammanvägda behörigheten för gcfineditors blir: Lokal behörighet: Ändra//Change R, X, W, D Delningsbehörighet: Ändra//Change R, X, W, D, F Sammanvägd behörighet (den minst tillåtande) R, X, W, D Sammanvägd behörighet för gcfineditors är Ändra//Change. 976

Några exempel på användning av lokal behörighet och delningsbehörigheter Sammanvägd behörighet för Domänanvändare//Domain Users En bild av de sammanvägda behörigheterna för gruppen Domänanvändare//Domain Users: Lokal behörighet Läsa//Read och delningsbehörighet Ändra//Change för gruppen Domänanvändare//Domain Users ger en resulterande behörighet av Läsa//Read. En nackdel med denna metod är att administratörerna måste tillverka en global (och en lokal grupp i Microsofts modell) för varje mapp med standarddokument man vill säkert inte att de som arbetar med standarddokument på utvecklingsavdelningen skall kunna ändra ekonomiavdelningens standarddokument. Brevlåde-mapp (write-only folder) Ett inte ovanligt behov är en mapp till vilken användare kan lägga till filer, men inte lista mappens innehåll (d.v.s. vilka filer som finns i mappen). Lokal behörighet Denna typ av mapp är mycket enkel att upprätta med den lokala behörigheten Lägga till//add: DU: Lägga till//add (X, W) (Icke angiven//not specified) Delningsbehörighet Delningsbehörigheten hanterar vi som vanligt: 977

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar DU: Ändra//Change R, X, W, D, F Sammanvägd behörighet för Domänanvändare//Domain Users mappar Den sammanvägda behörigheten för Domänanvändare//Domain Users till själva mappen: Lokal behörighet: Lägga till//add Delningsbehörighet: Ändra//Change Sammanvägd behörighet (den minst tillåtande) X, W R, X, W, D, F X, W Sammanvägd behörighet för Domänanvändare//Domain Users filer i mappen Den sammanvägda behörigheten för Domänanvändare//Domain Users till filer i mappen: Lokal behörighet: Lägga till//add Delningsbehörighet: Ändra//Change Sammanvägd behörighet (den minst tillåtande) Icke angiven//not specified R, X, W, D, F Icke angiven//not specified Behörigheten Icke angiven//not specified innebär att ingen åtkomst medges. Detta är ett exempel på den viktiga regeln om att all åtkomst måste anges uttryckligen. Brevlåde-mapp där ägarinnan kan ändra i sitt eget dokument, men inte se andras filer Jag känner till åtminstone ett fall där man önskade sig en brevlådemapp med litet speciella egenskaper. Alla skulle kunna lägga till filer i mappen, men endast den som lagt dit en fil skulle kunna ändra dess innehåll. Behovet var dessutom att man inte skulle kunna se andra filer (och inte heller deras innehåll). Det var på en skola man vill ha en sådan mapp tanken var att eleverna skulle använda ordbehandlare vid skrivningar och spara provsvaren i mappen. Självklart skulle inte en elev kunna se vad andra elever skrivit i sina provsvar, men man ville tillåta eleverna att ändra i filen sedan den sparats. Även dessa krav är lätta att tillgodose med lokal behörighet och specialgruppen Skapare ägare//creator Owner. Lösningen 978

Några exempel på användning av lokal behörighet och delningsbehörigheter ställer dock vissa krav på det program som används för att spara filerna i mappen, vilket gås igenom nedan. Dessutom är det viktigt att användarna inte lånar varandras konton och lösenord. Lokal behörighet till mappen och filer i mappen Lokal behörighet anges till två grupper Skapare ägare//creator Owner och Domänanvändare//Domain Users: Skapare ägare//creator Owner: Ändra//Change (R, X, W, D) (R, X, W, D) DU: Lägga till//add (X, W) (Icke angiven//not specified) Delningsbehörighet Delningsbehörigheten känner du igen: DU: Ändra//Change R, X, W, D, F Sammanvägd behörighet för Skapare ägare//creator Owner filer Den sammanvägda behörigheten för specialgruppen Skapare ägare//creator Owner till egna filer i mappen: Lokal behörighet: Ändra//Change R, X, W, D Delningsbehörighet: Ändra//Change R, X, W, D, F Sammanvägd behörighet (den minst tillåtande) R, X, W, D Den som upprättat en fil/ett dokument har alltså möjlighet att ändra och även ta bort filen/dokumenten. Sammanvägd behörighet för Domänanvändare//Domain Users mappar Den sammanvägda behörigheten för Domänanvändare//Domain Users till själva mappen: Lokal behörighet: Lägga till//add X, W Delningsbehörighet: Ändra//Change R, X, W, D, F Sammanvägd behörighet (den minst tillåtande) X, W 979

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar Den sammanvägda behörigheten för Domänanvändare//Domain Users till mappen blir alltså att de har möjlighet att lägga till filer i mappen. De kan inte se vilka filer som finns i mappen (detta kräver R). Sammanvägd behörighet för Domänanvändare//Domain Users filer i mappen Den sammanvägda behörigheten för Domänanvändare//Domain Users till filer i mappen: Lokal behörighet: Lägga till//add Delningsbehörighet: Ändra//Change Sammanvägd behörighet (den minst tillåtande) Icke angiven//not specified R, X, W, D, F Icke angiven//not specified Med en sammanvägd behörighet av Icke angiven//not specified kommer ingen som helst åtkomst till filerna medges. Sammanlagd lokal behörighet för den medlem i Domänanvändare//Domain Users som äger filen Den enskilda medlem i Domänanvändare//Domain Users som äger filen (som upprättade filen) får följande sammanlagd lokal behörighet: Från Skapare ägare//creator Owner: Ändra//Change R, X, W, D DU: Icke angiven//not specified Sammanlagd lokal behörighet R, X, W, D Gruppen Domänanvändare//Domain Users har ingen angiven lokal behörighet (inte samma sak som Ingen behörighet//no Access). Detta kopplat med att Skapare ägare//creator Owner har behörigheten Ändra//Change ger en sammanlagd lokal behörighet av Ändra//Change för just den enskilda medlem av Domänanvändare//Domain Users som äger filen. Det blir litet konstigt när man ansluter till mappen via nätverket trots domänkonto När man försöker komma åt en utdelad mapp via Nätverket/ /Network Neighbourhood (med behörigheter enligt ovan) kommer 980

Några exempel på användning av lokal behörighet och delningsbehörigheter detta inte att fungera. Windows for Workgroups/Windows 95/98 och Windows NT kommer att klaga på att du inte har behörighet. Detta även om du använder ett domänkonto som är medlem av Domänanvändare//Domain Users. Du kan använda Anslut nätverksenhet//map Network Drive Du kan dock använda Anslut nätverksenhet//map Network Drive, visserligen kommer det att klagas även denna gång, men kopplingen upprättas verkligen. Vad du kan, och inte kan, göra i mappen Jag antar att du anslutit X: till mappen ovan. Listorna nedan är några exempel på vad du kan och inte kan göra i mappen. Detta kan du göra från en Kommandotolk//Command Prompt Detta kan du göra från en Kommandotolk//Command Prompt (motsvarande): q Använda copy för att kopiera filer till mappen (X:) q Använda copy för att skriva över en fil som du själv äger i mappen (X:) q Använda edit för att ändra filers innehåll endast dina egna filer Detta kan du göra från Windows Detta kan du göra från den grafiska miljön i Windows-familjen: q Använda Notepad, WordPad för att hantera dina egna dokument/filer på X: båda kan öppna filen på X: om du anger filens namn q Använda Word för Windows eller annan ordbehandlare för att hantera dina egna dokument/filer på X: Detta kan du inte göra från en Kommandotolk//Command Prompt Några exempel på vad du inte kan göra från en Kommandotolk/ /Command Prompt q Använda copy för att kopiera filer från mappen (X:), inte ens dina egna filer q Använda type för att läsa innehållet i filer i mappen (X:), 981

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar inte ens dina egna filer q Använda något enda verktyg, utom edit för att hantera filers innehåll, deras attribut, eller något annan egenskap Detta kan du inte göra från Windows q Använda Den här datorn//my Computer för att lista innehållet i mappen q Använda Windows NT-utforskaren//Windows NT Explorer för att lista innehållet i mappen Vad händer om det redan finns en fil med samma namn När du försöker spara en fil till mappen där det redan finns en fil med samma namn är det viktigt vilket konto som äger filen. q Om du inte äger filen som redan finns i mappen kan du inte spara din nya fil till mappen q Om du är ägarinna av den fil som redan finns i mappen beror utgången på vilket verktyg du använder. Kommandot copy från Kommandotolken//Command Prompt raderar glatt den fil som redan finns, andra verktyg kan vägra åtkomst (så sker i Word för Windows, m.fl.). Rent allmänt är det viktigt att tänka på filnamn så de inte krockar med dem som andra använder. Ibland är det inget problem om du är ägarinna av en befintlig fil och försöker skriva över den, men beroende på vilket verktyg du använder kan felmeddelanden förvirra. Egenheter i några program Samtliga Office-program (Word för Windows, Excel, Access och PowerPoint) fungerar på samma sätt vad gäller att spara och öppna filer. Gemensamt för dem alla är att det inte går att använda Arkiv.Öppna//File.Open eftersom de kräver att få lista innehållet i mappen. Det går inte heller att skriva hela sökvägen till filen Office-programmen kräver att få vara användarvänliga och lista innehållet i mappen ändå. Ett annat gemensamt drag är att de inte tillåter att du skriver över en av dina egna, befintliga, filer med en ny (samma filnamn) de kommer att klaga på att du inte har nödiga behörigheter till mappen. 982

Några exempel på användning av lokal behörighet och delningsbehörigheter Den här dialogrutan dyker upp om du försöker öppna en fil i en brevlådemapp trots att du skriver hela sökvägen till filen. Samma meddelande visas också om du försöker skriva över en befintlig fil (oavsett om du äger den eller inte). För att allt skall fungera bör du göra så här (jag förutsätter nya filer): 1. Starta programmet 2. Upprätta ett nytt dokument/en ny kalkyl/databas/presentation 3. Spara filen genom att ange hela sökvägen: X:filnamn.ext 4. Gör vad som skall göras med filen 5. Spara filen en sista gång och avsluta programmet din fil finns nu i X: Skulle du behöva göra ändringar i filen är det bara att starta verktyget igen och välja filen i listan i menyn Arkiv//File. Detta går bra om du använder samma dator, men vad göra om du behöver komma åt dina filer från en annan dator? Stanna kvar, det skall vi genast titta på. Nå dina filer med Office-program från en annan dator Behöver du nå dina filer på X: med ett Office-program från en annan dator behöver du endast ange namnet på din fil när du startar Office-programmen. Du kan med andra ord inte starta programmet på vanligt sätt. Använd Start.Kör//Start.Run, peka ut Office-programmet (de finns ofta i mappen \Program Files\Microsoft Office\Office) och ange namnet på den fil du vill läsa in på samma rad: 983

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar Office-programmet Excel startas med en kalkyl som argument på kommandoraden. Har du inte Windows 95/98 eller Windows NT 4.0 använder du Programhanteraren//Program Manager eller Filhanteraren//File Manager vilka båda kan starta program på detta sätt. Excel kommer nu att starta och ladda in filen X:ceciliac.xls. De flesta Office-programmen kräver inte att du anger filtillägget (om det är standard) utom PowerPoint (vilket annars?). Hemmamappar Hemmamappar är det gamla vanliga undantaget från regeln att alla resurser och alla behörighet endast skall tilldelas grupper. Det blir alltid (de nätverk jag sett) så att endast användarens eget konto (av alla i gruppen Domänanvändare//Domain Users) ges behörighet till den egna hemmamappen: D:\Hemmamappar\enskild hemmamapp Administratörer//Administrators Varje användares hemmamapp Fullständig behörighet//full Control Serveransvariga//Server Operators Fullständig behörighet//full Control Kontoansvariga//Account Operators Ändra//Change Enskilt användarkonto Ändra//Change Ett sätt att kanske hantera hemmamappar kunde vara att sätta denna behörighet på nivån ovanför (d:\hemmamappar): D:\Hemmamappar Varje användares hemmamapp Administratörer//Administrators Fullständig behörighet//full Control 984

Metoder för att tilldela lokala behörigheter och delningsbehörigheter Serveransvariga//Server Operators Fullständig behörighet//full Control Kontoansvariga//Account Operators Administratör//Administrator Ändra//Change Ändra//Change När man sedan upprättar ett nytt användarkonto använder man SubInACL.Exe för att byta ut posten med Administratör//Administrator mot det nya kontots namn: subinacl /file namn på hemmamappen /replace="administrator"=kontonamn Byta kontonamn i många behörighetsposter samtidigt Om du följer den vanliga regeln att ge användarnas hemmamappar samma namn som användarkontot finns det ett elegant sätt att byta kontonamn för många hemmamappar samtidigt. För att göra detta öppnar du Kommandotolk//Command Prompt i mappen d:\hemmamappar. Skriv sedan följande kommandorad: for /f "delims=\" %i in ('dir /b /ad') do subinacl /file %i /replace="administrator"=%i For-satsen gör att alla undermappars namn i d:\hemmamappar skickas i argumentet %i till SubInACL. För varje undermapp som har samma namn som ett kontonamn kommer kontots namn att ersätta namnet Administratör//Administrator i behörighetslistan. Skulle du vilja använda detta kommando i en kommandofil måste du sätta på ett extra procenttecken på %i så att det blir %%i. Mer om hemmamappar Du kan läsa mer om hemmamappar i kapitel 22. Metoder för att tilldela lokala behörigheter och delningsbehörigheter Vid det här laget har du klart för dig hur lokala behörigheter och delningsbehörigheter samverkar genom att den minst tillåtande behörigheten kommer att gälla. I min erfarenhet är det viktigt att systematisera hanteringen av 985

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar behörigheter så att vi utnyttjar dem till fullo utan att för den skull skjuta oss själva (eller våra användare) i foten. Du minns säkert att jag tidigare nämnde tre olika metoder för att hantera behörigheter: q NetWare-metoden q MS-NET-metoden (MSNet-metoden) q Samma-överallt-metoden Notera: namnen NetWare-metoden och MSNet-metoden är mina egna påfund de är inte allmänt vedertagna och du bör inte diskutera dem utan att förklara deras innebörd. Som så ofta när det gäller nätverk finns det en koppling mellan hur stort ditt nätverk är och hur mycket administration som krävs och hur säkerhetsmedveten man behöver vara. I den mycket lilla Windows NT-domänen skall man som (deltids-) administratör försöka göra det så enkelt som möjligt både för användarna och för sig själv. Ingen kommer att tacka dig om du bygger upp en mycket genomtänkt och fin nätverksadministration om den medför långt mer besvär än vad som är påkallat av säkerhetsskäl. Med detta i ryggen tänkte jag förklara vad jag menar med de tre metoderna för behörighetshantering. Alla tre handlar om att använda både lokala behörigheter och delningsbehörigheter Sist i detta kapitel kommer du att se hur Microsoft tycker att vi skall använda lokala behörigheter och för den delen även delningsbehörigheter. De anser att behörigheten Fullständig behörighet//full Control tilldelad gruppen Alla//Everyone är en bra start i nätverkshanteringen. Problemet med denna inställning är att man faktiskt då inte över huvudtaget använder lokal behörighet. Vi får, med denna inställning, samma skydd på en NTFS-volym som vi har på en FAT-volym. Jag tror att Microsoft rekommenderar Fullständig behörighet/ /Full Control tilldelad gruppen Alla//Everyone därför att de själva krånglat till det genom att ha två olika uppsättningar behörigheter. I NetWare, ex., finns det en enda uppsättning behörigheter (som liknar lokal behörighet). Dessutom har Microsoft själva en snygg lösning vad gäller behörigheter till skrivare. För att göra det bästa av situationen föreslår jag att du 986

Metoder för att tilldela lokala behörigheter och delningsbehörigheter systematiserar ditt arbete med lokala behörigheter och delningsbehörigheter. När du gör det kan du välja att betrakta en av lokal behörighet och delningsbehörighet som ditt föredragna medel att genomföra olika behörighet för olika användare i ert nätverk. Om du har tidigare erfarenhet av Microsoft-nätverk/MS-NET (3+Share, 3+Open, LAN Manager, LAN Server, Windows for Workgroups, Windows 95/98, PATHworks, SAMBA, m.fl.) kanske du föredrar att jobba på som du alltid gjort och betraktar delningsbehörighet som ditt huvudinstrument. Kommer du från NetWare-världen eller är helt ny i MS-NETvärlden kanske du föredrar och finner det naturligt att arbeta med lokala behörigheter som huvudinstrument för att styra resursåtkomst. För den som är något lat vad gäller dokumentation av nätverkshanteringen kanske Samma-överallt-metoden är tilltalande. Men bestäm dig inte direkt både NetWare-metoden och MSNet-metoden är mycket lättdokumenterade. NetWare-metoden q Finmaskig lokal behörighet q Grovmaskig delningsbehörighet Finmaskig lokal behörighet innebär att man tänker igenom vilken behörighet serverns diskar skall ha och sedan åsätter man mappar och filer denna behörighet m.h.a. lokal behörighet. Typiskt är att man arbetar med flera globala grupper och flera typer av behörighet, både Fullständig behörighet, Ändra, Läsa och även grundbehörigheter (Läsa, Ändra behörighet, m.fl.). Grovmaskig delningsbehörighet innebär att resurser delas ut till gruppen Domänanvändare//Domain Users med delningsbehörigheten Ändra//Change (i Microsofts grupphanteringsmodell används gruppen Användare//Users i stället). En stor fördel med denna metod är att man är garanterad en viss behörighet även för den som loggar in lokalt på datorn. En ytterligare fördel är att lokal behörighet är ett ypperligt medel att säkra användares Windows NT Workstation-datorer eftersom NTFS även finns i Windows NT Workstation. Vidare blir det lätt med NetWare-metoden att dela upp den administrativa bördan i nätverket. Ena delen är att åsätta lämplig 987

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar lokal behörighet på alla diskar på alla servrar en grannlaga uppgift som måste utföras av en kunnig och ansvarskännande person. Den andra delen är att dela ut lämplig mapp för åtkomst till lämplig lokal grupp. Eftersom utdelningen alltid sker till samma grupp med samma behörighet är det snabbt och enkelt att se att det blivit rätt (och även när det inte blivit rätt). Även om utdelningen av resurser skulle ske till fel grupp med alltför omfattande delningsbehörighet så är det ändå lokal behörighet som står för det egentliga skyddet. Lokal behörighet som främsta medel för att styra resursåtkomst I NetWare-metoden är det lokal behörighet vi använder som främsta medel för att styra tillgång till resurser. Innan vi börjar detaljstyra lokal behörighet lägger vi en grund tanken med grunden är att ingen användare, administratör eller operatör någonsin skall ha behov av mer omfattande sammanvägd behörighet än denna grund. Grunden vi lägger är identisk med hur lokal behörighet används i MSNet-metoden. Vad gäller en Windows NT-domäns servrar finns det olika behov av åtkomst till olika datorer och också beroende på hur stor Windows NT-domänen är. I en liten Windows NT-domän måste gruppen Domänadministratörer//Domain Admins försäkras om tillgång till servrarna (kunna logga in på dem lokalt och nå alla diskar över nätverket). Det stora nätverket, och därmed Windows NT-domänen, har flera personer med olika roller i nätverkadministrationen Serveransvariga//Server Operators och Kontoansvariga//Account Operators kan behöva logga in lokalt på servarna för att sköta sina uppgifter. För enkelhets skull antar vi att alla servrar har en likartad partitionering där C:-disken endast innehåller Windows NT-systemet, D:-disken innehåller användarnas datafiler och extraprogram som SQL Server och Lotus Notes är installerade på E:-disken. Lokal behörighet på Cystemdisken På Cystemdisken anger vi samma lokal behörighet från C:\ och nedåt. Detta förutsätter att medlemmar av gruppen Domänanvändare//Domain Users aldrig loggar in lokalt på servern. Självklart kan din organisation ha andra behov, men detta förslag kan tjäna som en utgångspunkt. 988

Metoder för att tilldela lokala behörigheter och delningsbehörigheter C:\ Domänadministratörer/- /Domain Admins Cystem Fullständig behörighet//full Control Serveransvariga//Server Operators Fullständig behörighet//full Control Ansvariga för säkerhetskopiering/- Ändra//Change /Backup Operators Kontoansvariga//Account Operators Ändra//Change Skrivaransvariga//Print Operators Ändra//Change Ansvariga för duplicering/- Ändra//Change /Replicator System//System Ändra//Change Genom att använda Domänadministratörer//Domain Admins i stället för Administratörer//Administrators kringgås problemet med System//System, vilken ju är livstidsmedlem i Administratörer/ /Administrators. Lokal behörighet på Datadisken På datadisken kommer alla användares data att finnas, däribland deras hemmamappar. Vi måste alltså se till användarna alltid kan nå data och ensamma kan hantera sina hemmamappar. Tänk också igenom de fall då program som är installerade på Extraprogramsdisken lagrar data på Datadisken. D:\ Data Domänadministratörer/- Fullständig behörighet//full /Domain Admins Control Serveransvariga//Server Operators Fullständig behörighet//full Control Kontoansvariga//Account Operators Ändra//Change System//System Ändra//Change Domänanvändare//Domain Users Ändra//Change D:\Hemmamappar\enskild Varje användares hemmamapp 989

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar hemmamapp Domänadministratörer/- /Domain Admins Fullständig behörighet//full Control Serveransvariga//Server Operators Fullständig behörighet//full Control Kontoansvariga//Account Operators Ändra//Change Enskilt användarkonto Ändra//Change Tidigare i detta kapitel hittar du en alternativ metod att hantera hemmamappar. Lokal behörighet på Extraprogramsdisken På Extraprogramsdisken installerar vi alla program som inte är del av Windows NT Server, såsom SQL Server och Lotus Domino. Programmens data skall finnas på Datadisken. E:\ Extraprogram Domänadministratörer/- Fullständig behörighet//full /Domain Admins Control Serveransvariga//Server Operators Fullständig behörighet//full Control Kontoansvariga//Account Operators Ändra//Change Skrivaransvariga//Print Operators Ändra//Change Ansvariga för duplicering//replicator Ändra//Change System//System Ändra//Change Standardbehörighet för utdelade mappar Vi använder lokal behörighet för att styra åtkomst till utdelade mappar delningsbehörigheten använder vi endast för att vi måste. En och samma delningsbehörighet används vid all utdelning av mappar till nätverket: Domänanvändare//Domain Users Ändra//Change Nu blir de väldigt enkelt att snabbt se nät utdelning blivit felaktig står det något annat än denna behörighetspost är det fel. 990

Metoder för att tilldela lokala behörigheter och delningsbehörigheter Annan standardbehörighet för utdelade mappar Om ni skall använda Ändra//Change eller Fullständig behörighet/ /Full Control som standardbehörighet för delningsbehörigheterna beror på två saker: q Behöver användare ändra behörighetslistor och/eller ägarinna via nätverket? q Har ni behov att låta File Delete Child verka över nätverket? Om svaret är ja på någon av dessa frågor kan det vara anledning att använda Fullständig behörighet//full Control som standardbehörighet för delningsbehörigheterna. MSNet-metoden q Grovmaskig lokal behörighet q Finmaskig delningsbehörighet Grovmaskig lokal behörighet innebär att man åsätter disken en grundbehörighet vad gäller lokal behörighet. Denna grundbehörighet kommer sedan att ärvas av nya mappar och filer. Finmaskig delningsbehörighet innebär att alla resurser delas ut till just de globala grupper vi väljer ut för varje enskild resurs och med den typ av behörighet som är lämplig. En fördel med denna metod är att gammal erfarenhet av Microsofts olika nätverksprodukter direkt kan användas. Ange lämplig grundläggande lokal behörighet MSNet-metoden innebär att du väljer delningsbehörighet som ditt huvudsakliga medel att styra åtkomst till resurser. För den skull skall vi inte helt avhända oss det utmärkta styrmedel som lokal behörighet innebär. Lokal behörighet kan användas för att lägga en grund tanken är att de olika grupperna aldrig skall behöva mer omfattande behörighet än vad den lokala behörigheten ger. Delningsbehörighet används sedan för att ytterligare strypa åtkomst. Den grundläggande lokala behörigheten i MSNet-metoden är samma som i NetWare-metoden (se ovan). Delningsbehörigheter Med en grundläggande lokal behörighet på plats är det dags att 991

27 Samspel mellan lokal behörighet och delningsbehörighet för utdelade mappar göra vissa mappar tillgängliga för åtkomst via nätverket. Några exempel på utdelade resurser och globala grupper som tilldelas olika delningsbehörighet till resurserna: Användning Global grupp Delningsbehörighet Gemensamma Domänanvändare/- Ändra//Change mappar för hela /Domain Users eller Läsa//Read organisationen Mappar för olika Global grupp med Ändra//Change avdelningar endast avdelningens egna konton Domänanvändare/- Läsa//Read (för att låta /Domain Users alla läsa alla andras dokument/filer) Mappar för Global grupp med upp- Ändra//Change standarddokument gift att vårda standarddokumenten Domänanvändare/- Läsa//Read /Domain Users Hemmamappar D:\hemmamappar Enskilt användarkonto Varje användares hemmamapp Ändra//Change Det är endast den enskilda användaren som har behov att komma åt sin mapp via nätverket, administratörer kan alltid ta sig in genom D$ eller genom att gå till servern och logga in lokalt Samma-överallt-metoden Samma-överallt-metoden innehåller inga överraskningar tanken är att man använder samma lokal behörighet som delningsbehörighet. En stor nackdel med detta sätt är att man inte tillåter sig använda några av de fördelar som endast finns i lokal behörighet, såsom möjligheten att blanda olika grundbehörigheter och möjligheten att använda specialgruppen Skapare ägare//creator Owner. En annan nackdel är att den förutsätter att det är samma personer (eller åtminstone personer med lika stort kunnande) som 992

Vad föreslår Microsoft sköter nätverkshanteringen det finns inget bra sätt att dela upp administrationsbördan efter på kunskap och ansvar. Dess stora fördel är att den är lättdokumenterad. Vad föreslår Microsoft Nu skall jag vara riktigt elak mot Microsoft och visa vad de skriver i bruksanvisningen (Windows NT 4.0) Begrepp och Planering//Concepts and Planning om behörigheter. På sidan 126//116 finner vi följande visdomsord: Obs! Behörigheten Fullständig behörighet för Alla till alla delade NTFS-kataloger [-mappar] är det enklaste sättet att hantera filsäkerhet i NTFS. Du kan använda katalog- [mapp-] och filbehörigheter, och tillämpa resursåtkomst för Alla via resursbehörighet. Note Using Full Control permission for Everyone for all NTFS shared directories is the easiest way to manage NTFS file security. You can apply directory and file permissions, and allow share access to Everyone through share permissions. Om du lyckas lista ut vad de menar finner du att de strängt taget faktiskt har rätt. Detta är den överlägset enklaste metoden att åsätta behörigheter både lokalt och för delningsbehörigheter. Att det samtidigt är ett sätt att totalt öppna nätverket så att användare, oftast omedvetet, kan ställa till stora problem både för sig själva och andra verkar inte betyda någonting för den stackars Microsoft-anställde som tänkt ut metoden. Dessutom, om ert nät har koppling till Nätet är det en inbjudan till varje nätbuse med tillgång till en ansluten dator att ta sig en titt i ert nätverk. Jag har fler än en gång känt att Microsoft sätter användarna i centrum och gärna vill göra det lätt för dem. I riktigt svarta stunder tänker jag att Microsoft står för: Lätt att använda svårt att administrera, men det varar inte länge. 993