Home folders

Sljedeća korisna funkcionalnost domenskog okruženja je Home folder - dijeljena mrežna mapa namijenjena spremanju korisničkih podataka na udaljenu mrežnu lokaciju. Nakon što u Active Directoryju aktiviramo ovu funkcionalnost, korisniku će se u File Exploreru pojaviti jedan dodatni mrežni disk na koji može spremati podatke. Korisnik može Home mapu iskoristiti za pohranu podataka za koje nema prostora na lokalnim diskovima, za pohranu važnijih podataka koji trebaju biti sigurnosno pohranjivani ili, suprotno tome, manje bitnih podataka koji su potrebni vrlo rijetko i nepotrebno bi zauzimali prostor na lokalnom disku. Moguće je i politikom tvrtke definirati da svi podaci moraju biti spremljeni na mrežnim resursima.

Prednost Home foldera je u tome što se korisnički podaci ne nalaze lokalno na računalu, već na udaljenoj lokaciji za koju pretpostavljamo da se svakodnevno sigurnosno pohranjuje. U slučaju havarije diska na klijentskom računalu, podaci su sigurni i dostupni su nakon oporavka računala. Mana Home foldera je što računalo mora biti online i u mreži koja ima pristup do lokacije Home foldera. O ovome treba voditi računa ako vam trebaju podaci kad ste izvan radnog mjesta spojeni na neku svoju privatnu ili neku javnu mrežu.

Pokazat ćemo kako domenskom korisniku pridijeliti ovu funkcionalnost.

 

Prije nego krenemo u postupak, trebamo analizirati trenutačnu količinu korisničkih podataka i na to dodati projekciju prirasta koju ćemo imati u budućnosti. Ovisno o toj analizi trebamo napraviti kalkulaciju kojom ćemo doći do ukupne veličine diskovnog prostora na kojem ćemo stvoriti Home mape. Nakon što to definiramo, osiguravamo da na neki od Windows servera u domeni priključimo potreban diskovni prostor. Radi jednostavnosti prikaza, mi ćemo diskovni prostor definirati na domenskom kontroleru.

 

Zatim krećemo u stvaranje Home foldera. Napravit ćemo jednu vršnu dijeljenu mapu imena Home, a pojedinačne korisničke mape će se ispod vršne mape stvarati automatski nakon što napravimo podešavanje u korisničkom profilu. Odredit ćemo Share dozvole i NTFS dozvole na vršnoj mapi, a ovisno o tom podešavanju podesit će se i prava za niže mape.

Na virtualnom serveru (Windows Server 2012 R2) na kojem radimo imamo samo jedan (sistemski) disk pa ćemo Home folder stvoriti na njemu, ali u praksi preporučamo da ta mapa bude na zasebnom disku.

Prvo stvorite jednu vršnu mapu proizvoljnog imena. Mi ćemo joj dati ime Home i podesiti da je dostupna preko mreže:

Desni klik na ime mapePropertiesSharingAdvanced Sharing... – kvačica na Share this folderShare name: "Home$"

Iza imena dijeljene mape stavili smo znak $ kako bi mapa bila skrivena na mreži.

Home folders – Share dozvole

Zatim ćemo podesiti prava pristupa za tu vršnu dijeljenu mapu tako da maknemo sve defaultno definirane grupe i korisnike te dodamo samo Authenticated Users kojima ćemo pridijeliti Change i Read prava.

Na prozoru Advanced Sharing kliknemo na tipku Permissions, selektiramo grupu Everyone i kliknemo Remove. Nakon toga kliknemo na Add...Advanced...Find Now. Tu pronađite grupu  Authenticated Users, selektirajte je i kliknite na OK – OK – izaberite opcije Change i Read.

Na kraju to sve potvrdite i zatvorite otvorene prozore klikom na OK – OK.

Ako ste već i prije ovog članka istraživali upute za podešavanje Home foldera, vjerojatno ste na većini, ako ne i u svim uputama, vidjeli da za ovo podešavanje piše kako treba selektirati Full Control, što je po našem mišljenu jako površno i prilično neodgovorno podešavanje! Naime, ako stavite Full Control, tada krajnji korisnik može bez ikakvih ograničenja podešavati prava pristupa toj svojoj dijeljenoj mapi editirajući dozvole te u krajnjem slučaju može na primjer sam sebe izbrisati kao korisnika s pravima na mapu ili dodati nekog drugog, što nikako ne želimo. Korisnik treba imati pristup toj mapi tako da mu služi kao lokacija za spremanje podataka bez ikakvih daljih podešavanja koja bi zadirala u područje administracije. Znači ukratko: kombinacija Change + Read je dovoljna za normalno korištenje mape, dok Full Control dodaje još neka prava koja ulaze u zonu administrativnih, a to ne želimo.

Možda se pitate i zašto baš Authenticated Users, a ne nešto drugo, recimo Everyone? Razlog je taj što je Authenticated Users nešto uža grupa u kojoj su korisnički računi s korisničkim imenom i zaporkom, dok u Everyone grupi imamo i korisničke račune bez zaporke (Guest, LOCAL_SERVICE...) pa time pojačavamo sigurnost. Možete stvoriti i svoju posebnu grupu pa u nju staviti korisnike s pravima na Home mapu i nju upotrijebiti umjesto gore navedene.

Na donjoj slici sad pod "Network Path" vidimo da je mrežni disk stvoren s putanjom \\imeservera\Home$

Home Folders – NTFS dozvole

Kod sigurnosnih postavki bitno je spomenuti da ne postoje, pod navodnicima, "ispravne" sigurnosne postavke za Home mapu. Bitno je jedino da ih složimo tako da svaki korisnik ima pravo pristupa u svoju mapu, da je ne može obrisati, ali da može dodavati i brisati datoteke, stvarati i brisati mape... Također, jedino što stvarno treba osigurati je da korisnik ima pravo pristupa samo svojoj mapi i da nema nikakvu mogućnost pristupa mapi nekog drugog korisnika.

U prozoru koji imamo, otvorenom od podešavanja dozvola dijeljenja, kliknemo na karticu Security pa Advanced.

Na donjoj slici možemo vidjeti osnovne postavke kakve su naslijeđene od vršne mape, odnosno samog vrha C diska.

Klikom na Disable inheritance ulazimo u postavke za micanje nasljeđivanja prava s vršne mape. Pri tome imamo dvije opcije:

  • Convert inherited permissions into explicit permissions on this object
  • Remove all inherited permissions from this object.

Izabrat ćemo drugu opciju pa ćemo nakon toga "od nule" podesiti prava. Izborom prve opcije bi nam ostala naslijeđena prava koja bi nakon toga podešavali.

Donja slika pokazuje situaciju nakon što smo maknuli sva prava s mape:

Podesit ćemo dozvole za nekoliko korisnika/grupa: CREATOR OWNER, Authenticated Users, SYSTEM, Administrator.

Dozvole podešavamo za sve korisnike istim postupkom. Kako smo u prethodnom koraku maknuli sve korisnike i grupe, sad ih dodajemo jednog po jednog istim postupkom:

  • klik na AddSelect a principalAdvancedFind Now te pronađite i selektirajte korisnika ili grupu, koje ćemo malo niže navesti, i kliknite OKOK.

U prozoru u kojem vidimo sigurnosne postavke izabranog računa podesite za svaki od niže navedenih računa ili grupa:

CREATOR OWNER

Type: Allow

Applies to: Subfolders and files only

Advanced permissions: Full control

Authenticated Users

Type: Allow

Applies to: Subfolders and files only

Advanced permissions: Traverse folder / execute file, List folder / read data, Create folders / append data

Da korisnik ne bi mogao mapirati vršnu Home mapu u svom File manageru, stavljamo Subfolders and files only za Authenticated Users. Da stavimo This folder only, tada bi korisnik mogao vidjeti popis svih mapa (što ne želimo).

System:

Type: Allow

Applies to: This folder, subfolders and files

Advanced permissions: Full control

home10.jpg

Administrator:

Type: Allow

Applies to: This folder only

Advanced permissions: Full control

Nakon što smo to podesili, zatvorimo prozor i potvrdimo postavke klikom na OKClose.

Home Folders - korisnik

Na kraju dolazi najjednostavniji dio, podešavanje Home mape u korisničkom profilu. Prijavite se na AD kontroler, pokrenite konzolu "Active Directory Users And Computers", nađite korisnika kojem želite pridijeliti Home mapu, desni klik na korisnika, Properties, kartica Profile, stavimo kvačicu na Home folder, označimo Connect, izaberemo slovo pod kojim će se Home mapa vidjeti u File Exploreru i napišemo putanje do dijeljene mape u obliku:

 \\server\djeljenamapa$\%username%

Odmah nakon što podešavanje potvrdimo klikom na OK, sustav će automatski stvoriti korisničku mapu imena jednakog korisničkom i "CREATOR OWNER", te mape će biti korisnički račun pod kojim smo prijavljeni na server, u ovom slučaju domenski administrator.

Korisnik kojem stvaramo Home folder imat će Full control prava na tu mapu sa svojim imenom.

Ostaje još samo da korisnik napravi ponovnu prijavu na računalo i Home mapa će mu biti dostupna kao mrežni disk u File Exploreru.