Записки ремесленника

Александр Приходько

Спецвыпуск: Хакер, номер #061, стр. 061-108-1

(sanprih@mail.ru)

Восставший из диска

Готов поспорить, что после моей первой статьи ты уже освоился со своим новым сервером и понял, что за красивыми XP'шными "наворотами" встречается не так уж мало. Среди них, если хорошенько покопаться, можно выловить целую уйму настроек.

Куда пойдем сегодня?

- Создадим папки для пользователей, файл "не убий";

- Поднимем домен;

- Развернем Active Directory;

- Создадим группы;

- Разрулим NTFS-разрешения;

- Понятие доменной политики безопасности, квотируем диск;

- Теневое копирование - зачем оно и с чем его едят.

День второй

Итак, день второй. Ты пришел на работу, полез посмотреть, что творит твой сервер. Вроде бы стоит, работает, но толку от него не дождешься до тех пор, пока не населишь его тварями разумными, папками и правами.

Пойдем по пути наименьшего сопротивления. Диск С:\ уже настроен, теперь займемся вторым, девственно чистым диском Е:\. Для тех, кто только что включил телевизор, напомню, что диск Е:\ представляет собой массив из четырех SCSI-дисков (RAID 5) и создан только для хранения файлов пользователей, программ, фильмов, музыки и т.д.

Прежде чем создавать пользователей, создадим структуру нашего хранилища. Все будет просто и логично. Достаем из широких штанин черновик, где предварительно прикинута структура предприятия, и переносим ее на диск. Условимся, что в предполагаемой конторе есть три подразделения: начальство (группа HEAD), бухгалтерия (группа "Бухгалтерия"), экономисты (группа "Экономисты"). Вот такая странная контора. Итак, создаем на диске Е:\ папку USERS, внутри нее три папки по именам групп: НЕАD, "Бухгалтерия" и "Экономисты".

Внутри каждой групповой папки создаем папки по фамилиям пользователей, входящих в эту группу. Сделать это просто, а объяснить понятно - сложно, но надеюсь, ты еще не потерял нить повествования, все правильно сделал и уже имеешь в корне на диске Е:\ всего одну папку USERS, зато внутри нее целый куст (дерево) папок. Пользователей пока нет, но про будущую политику безопасности мы подумаем сразу. Требуется, чтобы пользователь мог творить что угодно со своей личной папкой, но только не удалять ее. Реализуем это довольно простым способом. Откроем блокнот (в смысле Notepad) и сохраним файл под именем nokill.txt, пусть пока он полежит в корне диска Е:\ - еще пригодится.

Теперь я объясню идею построения корпоративной политики безопасности на уровне разрешений NTFS. Имеется групповая папка, внутри которой - папки пользователей. В корне групповой папки всем членам группы не запрещено ничего, кроме просмотра папок других пользователей. Также всем гарантируется, что до их личных папок не доберутся чужие глаза (ну ты не говори им, что остаешься ты - администратор). Пользователи группы могут видеть только свою групповую папку, в чужие группы они не попадают.

Однако нашей организации необходима папка, в которую может залезть любой желающий. Предоставим же ей такое счастье.

Создаем в корне диска Е:\ папку с громким именем "Обмен". Далее предоставить всем пользователям полные права на нее (надеюсь, ты не забыл, что пользователей пока нет и их права распределяем только в уме). Потратить еще некоторое количество времени и каждому пользователю в его личную папку поместить файл nokill.txt, выставить ему атрибут "Скрытый", права на него пока не трогать. В принципе, пока разрешениями NTFS мы не занимались совсем. Время, затраченное на создание файловой структуры, с лихвой окупится после поднятия домена.