Permissões de Compartilhamento
e NTFS
Segurança, sem dúvidas, é um dos temas mais
debatidos hoje, no mundo da informática. Nesse tutorial vou
apresentar algumas opções do Windows 2000 (e também
do Windows XP Professional) que ajudam a manter os seus arquivos
mais protegidos, longe do alcance de intrusos.
Trataremos sobre as permissões de compartilhamento e também
permissões NTFS. Veremos como a correta configuração
dessas permissões pode tornar o acesso aos seus arquivos
bem mais seguro e protegido, com o acesso permitido apenas para
os usuários habilitados através das permissões.
É importante salientar que com o Windows 95/98 ou Me não
existe como configurar permissões de acesso, ou seja, não
temos como proteger os arquivos do computador. Qualquer pessoa que
tenha acesso ao computador poderá ligá-lo e acessar,
alterar ou excluir qualquer arquivo que esteja no disco rígido.
Com as permissões NTFS do Windows 2000 (e também do
Windows XP Professional) podemos resolver esse problema.
Neste tutorial veremos como compartilhar uma Pasta, disponibilizando
o seu conteúdo, para que seja acessado através da
rede. Também aprenderemos a atribuir permissões de
segurança – permissões NTFS, para que somente
usuários autorizados possam acessar as pastas compartilhadas.
Veremos alguns detalhes importantes sobre Sistemas de Arquivos suportados
pelo Windows 2000 Server.
Compartilhando Pastas e Definição
de Permissões - Teoria.
Primeiro vamos ver alguns detalhes sobre compartilhamento de pastas
e permissões de compartilhamento.
Quando compartilhamos uma pasta, estamos permitindo que o seu conteúdo
seja acessado através da rede. Quando uma pasta é
compartilhada, os usuários podem acessá-la através
da rede, bem como o todo o conteúdo da pasta que foi compartilhada.
Por exemplo, poderíamos criar uma pasta compartilhada onde
seriam colocados documentos, orientações e manuais,
de tal forma que estes possam ser acessados por qualquer estação
conectada a rede.
Ao compartilharmos uma pasta todo o conteúdo dessa pasta
passa a estar disponível para ser acessada através
da rede. Todas as subpastas da pasta compartilhada também
estarão disponíveis para acesso através da
rede. Considere o exemplo da Figura 1. Se a pasta C:\Documentos
for compartilhada, todo o seu conteúdo e também o
conteúdo das subpastas C:\Documentos\Ofícios e C:\Documentos\Memorandos
estarão disponíveis para acesso através da
rede.
Porém quando uma pasta é compartilhada, não
significa que o seu conteúdo deva ser acessado por todos
os usuários da rede. Podemos restringir o acesso, de tal
maneira que somente usuários autorizados tenham acesso à
pasta compartilhada, isso é feito através de "Permissões
de compartilhamento".
Figura 1 Ao compartilhar uma pasta, todo
o seu conteúdo estará disponível.
Com o uso de permissões, podemos definir quais os usuários
poderão acessar o conteúdo da pasta compartilhada.
Para isso, é criada uma lista com o nome dos usuários
e grupos que terão permissão de acesso. Além
disso é possível limitar o que os usuários
com permissão de acesso podem fazer. Pode haver situações
em que alguns usuários devam ter permissão apenas
para ler o conteúdo da pasta compartilhada, podem haver outras
situações em que alguns usuários devem ter
permissão de leitura e escrita, enquanto outros devem ter
permissões totais, tais como leitura, escrita e até
exclusão de arquivos.
Na Figura 2, temos um exemplo, em que o grupo Gerentes possui permissões
de "Controle total", enquanto o grupo "Usuários"
possui permissões apenas para leitura.
Figura 2 Grupos diferentes com permissões
diferentes.
Conforme pode ser visto na Figura 2, o Windows 2000 Server indica
que uma pasta está compartilhada através da figura
de uma "mãozinha" , segurando a pasta.
IMPORTANTE: As permissões definem o que
o usuário pode fazer com o conteúdo de uma pasta compartilhada,
desde somente leitura, até um controle total sobre o conteúdo
da pasta compartilhada.
Na seqüência desse tutorial aprenderemos a compartilhar
uma pasta e atribuir permissões de acesso.
JAMAIS ESQUEÇA O SEGUINTE DETALHE: Permissões
de compartilhamento, não impedem o acesso ao conteúdo
da pasta localmente, isto é, se um usuário fizer o
logon no computador onde está a pasta compartilhada, este
usuário terá acesso a todo o conteúdo da pasta,
a menos que as "Permissões NTFS" estejam configurados
de acordo. Permissões NTFS é assunto para daqui a
pouco. Vamos falar de um jeito diferente: Permissões de compartilhamento
somente tem efeito quando o usuário está acessando
a pasta através da rede, para acesso local, no próprio
computador onde está a pasta, as permissões de compartilhamento
não tem nenhum efeito, é como se não existissem.
Ao criarmos um compartilhamento em uma pasta, por padrão
o Windows 2000 Server atribui a permissão "Controle
total" para o grupo "Todos",
que conforme o nome sugere, significa qualquer usuário com
acesso ao computador, seja localmente, seja pela rede. Por isso
ao criar um compartilhamento, já devemos configurar as permissões
necessárias, a menos que estejamos compartilhando uma pasta
de domínio público, onde todos os usuários
possam ter Controle total sobre os arquivos e subpastas da pasta
compartilhada..
Existem três níveis de permissões de
compartilhamento, conforme descrito a seguir:
Leitura: Permite ao usuário exibir
a listagem de pastas e arquivos, ler o conteúdo de arquivos
e executar programas. O usuário também pode verificar
os atributos dos arquivos e navegar através das pastas
e subpastas. O usuário não pode alterar nem eliminar
arquivos ou pastas. Também não é permitido
criar novos arquivos ou pastas.
OBS.: Pastas e arquivos possuem atributos,
que o Windows 2000 Server utiliza para gerenciamento. Por exemplo,
existe um atributo "Leitura", que uma vez marcado
torna o arquivo somente leitura, isto é, não podem
ser feitas alterações no arquivo. Para ver os
atributos de um arquivo ou pasta, basta dar um clique com o
botão direito do mouse sobre o arquivo ou pasta, e no
menu que surge dê um clique na opção "Propriedades",
e o Windows 2000 Server exibe uma janela onde é possível
verificar e modificar os atributos do arquivo ou pasta, desde
que o usuário tenha as devidas permissões.
Alteração: Permite ao usuário
criar pastas, criar novos arquivos, alterar arquivos, alterar
os atributos dos arquivos, eliminar arquivos e pastas, mais
todas as ações para a permissão de Leitura.
Não permite que sejam alteradas permissões dos
arquivos nem alterações no usuário "dono"
dos arquivos e pastas.
OBS.: No Windows 2000 Server, objetos como
pastas e arquivos possuem um "dono", o qual normalmente
é o usuário que cria a pasta ou arquivo. Falaremos
mais sobre o dono do arquivo mais adiante.
Controle total: Permite ao usuário alterar
as permissões dos arquivos e tornar-se dono de pastas e
arquivos criados por outros usuários, além de todas
as ações para a permissão Alteração.
As permissões de compartilhamento Leitura, Alteração
e Controle total, podem ser
Permitidas ou
Negadas.
Vamos considerar um exemplo prático. Vamos supor que todos
os usuários do grupo Gerentes deve ter acesso de Leitura
a uma pasta compartilhada, com exceção de um gerente
cuja conta de usuário é jsilva. Para simplificar a
atribuição de permissões fazemos o seguinte:
Permissão de Leitura para o grupo Gerentes –
Permitir
Permissão de Leitura para o usuário jsilva
– Negar
Com isso todos os usuários do grupo Gerentes terão
permissão de leitura, com exceção do usuário
"jsilva", o qual teve a permissão de leitura
negada.
Outra recomendação é que sempre devemos atribuir
permissões para grupos de usuários, ao invés
de atribuir para usuários individuais, pois isso facilita
a administração. É a famosa estratégia
AGLP – Account -> Global -> Local -> Permission.
Em um dos próximos tutoriais irei detalhar a estratégia
AGLP.
O que acontece quando um usuário pertence
a mais de um grupo??
Quando um usuário pertence, por exemplo, a dois grupos e
os dois grupos recebem permissão para acessar um compartilhamento,
sendo que os dois grupos possuem permissões diferentes, por
exemplo, um tem permissão de Leitura e o outro de Alteração,
como é que ficam as permissões do usuário que
pertence aos dois grupos?
Para responder a esta questão, considere o seguinte: "Quando
um usuário pertence a mais de um grupo, cada qual com diferentes
níveis de permissões para uma pasta compartilhada,
o nível de permissão para o usuário que pertence
a mais de um grupo, é a combinação das permissões
atribuídas aos diferentes grupos".
No nosso exemplo, o usuário pertence a dois grupos, um com
permissão de somente leitura e outro com permissão
de alterações. A nível de permissão
do usuário é de alterações, pois é
a soma das permissões dos dois grupos, conforme indicado
na Figura 3.
Figura 3 Usuário que pertence a
mais de um grupo.
Negar têm precedência sobre quaisquer outras
permissões: Vamos considerar o exemplo do usuário
que pertence a três grupos. Se em um dos grupos ele tiver
permissão de leitura e em outro grupo permissão de
alteração. Mas se para o terceiro grupo, for "negado"
o acesso à pasta compartilhada, o usuário terá
o acesso negado, uma vez que "Negar" tem precedência
sobre quaisquer outras permissões, conforme indicado pela
Figura 4.
Figura 4 Negar tem precedência sobre
permitir.
IMPORTANTE: Quando copiamos uma pasta compartilhada,
a pasta original permanece compartilhada, porém a cópia
não é compartilhada. Quando movemos uma pasta compartilhada,
esta deixa de ser compartilhada.
Algumas orientações para a criação
de pastas compartilhadas:
Todo compartilhamento, obrigatoriamente, deve ter um nome,
para que ele possa ser acessado pela rede, conforme veremos
mais adiante. O nome do compartilhamento pode ser diferente
do nome da pasta. Uma recomendação importante
é para que seja escolhido um nome descritivo do conteúdo
da pasta, de tal maneira que esta seja mais facilmente localizada
na rede. Você não colocaria um nome "Projetos"
em uma pasta com documentos contábeis? Após compartilhada,
a pasta passa a ter um caminho na rede. O caminho segue o padrão
UNC –Universal Name Convection. No padrão UNC,
um caminho e formado por duas barras invertidas, depois o nome
do computador, mais uma barra invertida e, por último,
o nome do compartilhamento. Por exemplo, o caminho UNC da pasta
Documentos, compartilhada no servidor SRV01 é o seguinte:
\\SRV01\Documentos; o caminho da pasta Projetos (nome de compartilhamento),
compartilhada no servidor SRV02 é o seguinte: \\SRV02\Projetos
e assim por diante.
Organize os recursos, de tal maneira que todos os pastas
que devam ser acessadas pelo mesmo grupo de usuários,
com o mesmo nível de permissão, estejam dentro
da mesma pasta compartilhada. Por exemplo, se você possui
sete pastas com documentos e programas, os quais devem ser acessados
pelos grupos Contabilidade e Marketing. Coloque estas pastas
dentro de uma pasta principal e compartilhe a pasta principal,
ao invés de criar sete compartilhamentos individuais.
Configure o nível de permissão mínimo
necessário para que os usuários realizem o seu
trabalho. Por exemplo se os usuários precisam apenas
ler os documentos em uma pasta compartilhada, atribua permissão
de Leitura e não de Alteração ou Controle
total.
Sempre que possível, atribua permissões para
grupos de usuários e não para usuários
individuais, pois isso facilita a administração
das permissões.
Determine quais grupos necessitam acesso a quais pastas compartilhadas
e com quais níveis de permissão. Documente bem
todo esse processo, para que você possa ter um bom controle
sobre os recursos compartilhados e as permissões atribuídas.
Sistemas de Arquivos e Permissões
NTFS - Teoria
Agora vamos ver alguns detalhes sobre os sistemas de arquivos que
o Windows 2000 Server reconhece e também sobre permissões
NTFS.
Um sistema de arquivos determina a maneira como o Windows 2000 Server
organiza e recupera as informações no Disco rígido
ou em outros tipos de mídia. O Windows 2000 Server reconhece
os seguintes sistemas de arquivos:
FAT
FAT32
NTFS
NTFS 5
O sistema FAT vem desde a época do bom e velho MS-DOS e tem
sido mantido por questões de compatibilidade. Além
disso se você tiver instalado mais de um Sistema Operacional
no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x
e as primeiras versões do Windows 95) somente reconhecem
o sistema FAT. Com o sistema de arquivos FAT, a única maneira
de restringir o acesso ao conteúdo de uma pasta compartilhada,
é através das permissões de compartilhamento,
as quais, conforme descrito anteriormente, não terão
nenhum efeito se o usuário estiver logado localmente, na
máquina onde a pasta foi criada. Com a utilização
do sistema FAT, alguns recursos avançados, tais como compressão,
criptografia, auditoria e definição de cotas não
estarão disponíveis.
O sistema FAT32 apresenta algumas melhorias em relação
ao sistema FAT. Existe um melhor aproveitamento do espaço
no disco, com conseqüente menor desperdício. Um grande
inconveniente do sistema FAT32 é que ele não é
reconhecido pelo Windows NT 4.0 – Server ou Workstation. Com
o sistema de arquivos FAT32, a única maneira de restringir
o acesso ao conteúdo de uma pasta compartilhada, é
através das permissões de compartilhamento, as quais,
conforme descrito anteriormente, não terão nenhum
efeito se o usuário estiver logado localmente, na máquina
onde a pasta foi criada. Com a utilização do sistema
FAT32, alguns recursos avançados, tais como compressão,
criptografia, auditoria e definição de cotas não
estarão disponíveis.
O sistema de arquivos NTFS é utilizado no Windows NT Server
4.0 e foi mantido no Windows 2000 Server por questões de
compatibilidade. É um sistema bem mais eficiente do que FAT
e FAT32, além de permitir uma série de recursos avançados,
tais como:
Permissões de acesso para arquivos e pastas
Compressão
Auditoria de acesso
Partições bem maiores do que as permitidas com
FAT e FAT32
Desempenho bem superior do que com FAT e FAT32
Uma das principais vantagens do NTFS é que ele permite que
sejam definidas permissões de acesso para arquivos e pastas,
isto é, posse ter arquivos em uma mesma pasta, com permissões
diferentes para usuários diferentes. Além disso, as
permissões NTFS têm efeito localmente, isto é,
mesmo que o usuário faça o logon no computador onde
um determinado arquivo existe, se o usuário não tiver
as permissões NTFS necessárias, ele não poderá
acessar o arquivo. Isso confere um alto grau de segurança,
desde que as permissões NTFS sejam configuradas corretamente.
No Windows 2000 Server, temos também o NTFS 5, o qual apresenta
diversas melhorias em relação ao NTFS, tais como:
Criptografia de arquivos e pastas: (a criptografia
é uma maneira de "embaralhar" a informação
de tal forma que mesmo que um arquivo seja copiado, ele se torna
ilegível, a não ser para a pessoa que possui a
"chave" para descriptografar o arquivo).
Cotas de usuário: Com o uso de cotas
é possível limitar o espaço em disco que
cada usuário pode utilizar.
Gerenciamento e otimização melhorados.
Nota: Um inconveniente do NTFS 5 , é que
ele não é reconhecido pelas versões anteriores,
tais como o Windows NT Server 4.0.
Conforme descrito anteriormente, podemos definir permissões
de acesso a nível da pasta ou arquivo, mas somente em unidades
formatadas com o sistema de arquivos NTFS (seja na versão
do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server). Por isso que
é aconselhável instalar o Windows 2000 Server sempre
em unidades formatadas com NTFS, pois isso melhora a segurança.
Com relação as permissões NTFS, temos um conjunto
diferente de permissões quando tratamos de pastas ou arquivos.
Nas Tabelas 1(para pastas) e 2 (para arquivos) , são apresentadas
as permissões e o nível de acesso para cada uma delas.
Tabela 1 Permissões NTFS para pastas
| Permissão |
Nível de Acesso |
| Leitura |
Permite ao usuário listar as pastas e arquivos dentro
da pasta, permite que sejam exibidas as permissões,
donos e atributos.
|
| Gravar |
Permite
ao usuário criar novos arquivos e subpastas dentro
da pasta, alterar os atributos da pasta e visualizar o dono
e as permissões da pasta. |
| Listar |
Conteúdo de pastas Permite ao usuário ver
o nome dos arquivos e subpastas |
| Ler e executar |
Permite
ao usuário navegar através das subpastas para
chegar a outras pastas e arquivos, mesmo que o usuário
não tenha permissão de acesso às pastas
pelas quais está navegando, além disso possui
os mesmos direitos que as permissões Leitura e Listar
Conteúdo de pastas.
|
| Modificar |
Permite ao usuário eliminar a pasta, mais todas as
ações permitidas pela permissão Gravar
e pela permissão Ler e executar. |
| Controle total |
Permite que sejam alteradas as permissões,
permite ao usuário tornar-se dono da pasta, eliminar
subpastas e arquivos, mais todas as ações permitidas
por todas as outras permissões NTFS.
|
Tabela 2 Permissões NTFS para arquivos.
| Permissão |
Nível de Acesso |
| Leitura |
Permite ao usuário ler o arquivo, permite que sejam
exibidas as permissões, dono e atributos. |
| Gravar |
Permite ao usuário gravar um arquivo
com o mesmo nome sobre o arquivo, alterar os atributos da
pasta e visualizar o dono e as permissões da pasta. |
| Ler e executar |
Permite ao usuário executar aplicativos (normalmente
programas .exe, .bat ou .com), mais todas os direitos da permissão
Leitura. |
| Modificar |
Permite ao usuário modificar e
eliminar o arquivo, mais todas as ações permitidas
pela permissão Gravar e pela permissão Ler e
executar. |
| Controle total |
Permite que sejam alteradas as permissões, permite
ao usuário tornar-se dono do arquivo, mais todas as
ações permitidas por todas as outras permissões
NTFS.
|
Todo arquivo ou pasta em uma unidade formatada com NTFS, possui
uma "Lista de controle de acesso (Access control list) –
ACL. Nessa ACL ficam uma lista de todas as contas de usuários
e grupos para os quais foi garantido acesso para pasta/arquivo,
bem como o nível de acesso de cada um deles.
Existem alguns detalhes que devemos observar sobre permissões
NTFS:
Permissões NTFS são cumulativas, isto
é , se um usuário pertence a mais de um grupo, o
qual tem diferentes níveis de permissão para um
recurso, a permissão efetiva do usuário é
a soma das permissões.
Permissões NTFS para um arquivo têm prioridade sobre
permissões NTFS para pastas: Por exemplo se um usuário
têm permissão NTFS de escrita em uma pasta, mas somente
permissão NTFS de leitura para um arquivo dentro desta
pasta, a sua permissão efetiva será somente a de
leitura, pois a permissão para o arquivo tem prioridade
sobre a permissão para a pasta.
Negar uma permissão NTFS tem prioridade sobre permitir:
Por exemplo, se um usuário pertence a dois grupos diferentes.
Para um dos grupos foi dado permissão de leitura para um
arquivo e para o outro grupo foi Negada a permissão de
leitura, o usuário não terá o direito de
leitura, pois Negar tem prioridade sobre Permitir.
Agora que já vimos a teoria necessária, vamos praticar
um pouco. Nos próximos tópicos iremos aprender a compartilhar
pastas, atribuir permissões de compartilhamento. Iremos aprender
a acessar pastas compartilhadas através da rede. Depois vamos
trabalhar um pouco com as permissões NTFS. Veremos como atribuir
permissões NTFS e testar uma série de situações
práticas.
Em caso de dúvidas, sobre o conteúdo deste tutorial
ou para enviar sugestões sobre novos tutoriais que você
gostaria de ver publicados neste site, entre com contato através
do e-mail: webmaster@juliobattisti.com.br
| Livros
Indicados Pelo Autor |
 |
 |
 |
Clique aqui para voltar ao início
da página
|
|
|
Uma verdadeira especialização em Office, com 6208 páginas de conteúdo que vai do básico ao avançado, detalhadamente explicado e exemplificado. Desde os recursos básicos, passando pelos recursos avançados, pela criação de macros e pela automação de tarefas usando programação VBA.
Apenas: R$ 195,00 (valor do frete já incluído)
CLIQUE AQUI PARA SABER COMO COMPRAR ESTE CD |
|
A Importância de um Controlador de Domínio Adicional
