مقدمه :
هدف از راه اندازی یک فایل سرور در حقیقت اینست که کاربران شبکه بتوانند تحت شرایطی که مدیر شبکه تعیین می کند ، فایل ها و اطلاعات خود را در شبکه به شکل متمرکز به اشتراک بگذارند. اگرچه در حالت عادی کاربران می توانند با استفاده از Tab (سر برگ) Sharing در هر پوشه بر روی کامپیوتر خود آن را به راحتی در یک شبکه به اشتراک بگذارند. ولی اجازه دادن به کاربران برای انجام این کار یک اشکال عمده برای مدیر شبکه ایجاد می کند . شما باید خود را به عنوان یک مدیر و طراح شبکه در یک شرکت بزرگ با هزاران کامپیوتر تصور کنید ، حالا فرض کنید که شما این اختیار را به کاربران عادی شبکه می دهید که بتوانند هر پوشه ای را درون کامپیوتر خود بدون هیچ محدودیتی در شبکه به اشتراک بگذارند! در اینصورت شما به عنوان مدیر در شبکه دهها هزار پوشه به اشتراک گذاری شده دارید که دیگر هیچ کنترولی بر روی آنها ندارید و اینجاست که مصیبت واقعی شما در شبکه نمایان می شود؟؟؟
بعد از گذشت چند روز کارمندان و کاربران محترم شرکت ، شبکه سازمان را عملا تبدیل به یک اینترنت داخلی با دهها هزار فایل پراستفاده (از قبیل فیلم ، عکس ، mp3 ، ویروس ،....) می کنند!! ( این مورد را در کشور عزیز خودمان تصور کنید و فکر کنید چه اتفاقاتی که در شبکه نخواهد افتاد !؟؟ بعد به ادامه ماجرا بپردازید... ) از این به بعد کاربران عملا وقت شریف اداری خود را تبدیل به اوقات خوش اداری همراه با استفاده از اینترنت داخلی رایگان!!! می کنند و بعد از چند وقت درخواست نصب بازی تحت شبکه هم به شما خواهد رسید . حالا شما دیگر هر کاری که لازم است ( خواهش ، تهدید ، تطمیع ، نذر و نیاز و ...) انجام دهید. اگر پلیس فدرال آمریکا (FBI) توانست اینترنت را کنترول کند ، شما هم می توانید شبکه شرکت را کنترول کنید. ( البته یک راه اینست که کل شبکه را روی کاربران ببندید و خود را از این همه دردسر راحت کنید !!!) همه این مشکلات به دلیل اینست که ما یک شعار همیشگی را در شبکه فراموش کرده ایم و آن اینکه مدیر ( admin ) هر کاری باید بتواند انجام دهد و کاربر هر کاری نباید بتواند انجام دهد. ( البته این محترمانش بود... ) پس ما برای محقق شدن این شعار حداقل برای مورد به اشتراک گذاری پوشه ها ( و انشاالله در سایر موارد شبکه ) گام به گام مراحل طراحی یک فایل سرور مناسب را توضیح می دهیم باشد که مورد توجه شما قرار بگیرد .
نکته : باید توجه کرد که اگر شبکه یک سازمان بر اساس اکتیو دایرکتوری باشد . کاربران عادی شبکه (Domain Users) در حالت عادی نمی توانند پوشه ای را در شبکه به اشتراک بگذارند . ولی ممکن است در یک سازمان لازم باشد به کاربران فنی آن سازمان این امکان را بدهیم که بتوانند خود بر روی سیستم هایشان نرم افزار های مورد نیاز خود را نصب کنند (عضویت یک اکانت کاربری در گروه Local Administrator) و یا یک سازمان کوچک داریم و شبکه آن به شکل Workgroup می باشد و کاربران آن ممکن است عضو گروه Administrators باشند . که در این صورت بی نظمی های گفته شده در شبکه ممکن است به وجود بیاید.
گام اول - بررسی نیازهای کاربران و طراحی بر اساس ساختار اکتیودایرکتوری :
اولین گام برای طراحی یک فایل سرور ، بررسی نیازهای واقعی کاربران از فایل سرور می باشد. که در نتیجه آن به کاربران بر اساس نقشی که در شرکت به عهده دارند ، مجوزهای دسترسی مناسب به پوشه های فایل سرور داده می شود. از آنجایی که طراحی ما احتمالا بر اساس چارچوب اکتیودایرکتوری می باشد ، برای اینکه بتوانیم مراحل کار را به شکل عملی دنبال کنیم ، طراحی را بر اساس یک شرکت فرضی انجام می دهیم .
فرض کنید که یک شرکت فعال در زمینه کامپیوتر و IT داریم که شبکه آن بر اساس اکتیودایرکتوری طراحی شده است و نام دامین شرکت itpro.ir می باشد (البته شما همیشه برای نامگذاری دامین شبکه داخلی خود از پسوند local. استفاده کنید) . این شرکت دارای دو سرور می باشد که یکی به عنوان دامین کنترولر ( DC ) است و دیگری راه اندازی برخی از نقشها (مثلا DHCP server وWeb server) را به عهده دارد و فقط عضو دامین می باشد. و همچنین شرکت دارای سه نوع گروه کاربری به قرار زیر می باشد :
• کاربران بخش خدمات و کاربران فنی (گروه karmandan )
• کاربران بخش حسابداری و مالی ( گروه hesabdaran )
• دستیاران مدیر شبکه ( گروه helpdesks )
مدیریت شرکت تصمیم می گیرد که فایل سرور دارای سه پوشه خاص ( به نامهای Public ، Accounting، Administrator ) برای به اشتراک گذاری در شبکه باشد و از هر دو سرور شبکه به عنوان فایل سرور استفاده شود .
• Public : برای کلیه کاربران شبکه
• Accounting : برای قرار دادن فایل های مالی و حسابداری شرکت توسط حسابداران شرکت
• Administrator : برای مدیریت شبکه و کاربران دستیار مدیر
ساختار اکتیودایرکتوری و فایل سرور شرکت همانند شکل های زیر می باشد :
گام دوم - ایجاد یک ساختار حجم مناسب برای هارد دیسک های فایل سرور :
ما قرار است که فایل سرور را بر روی هر دو سرور شبکه ( server1و server2) ایجاد کنیم . فرض کنید که ما بر روی این کامپیوتر های سرور ، تعدادی هارد دیسک با ظرفیت زیاد داریم که می توان از آن به عنوان یک منبع ذخیره سازی قابل اطمینان داده استفاده کنیم . کاری که حالا باید انجام دهیم اینست که این هارد دیسک ها را با یک ساختار حجم مناسب پیکربندی نماییم. چندین معیار برای پیکربندی هارد دیسک ها برای استفاده در یک فایل سرور وجود دارد که از جمله داشتن قابلیت تحمل پذیری در مقابل خرابی ، کارایی مناسب و داشتن ساختار فایل NTFS برای دادن مجوزهای دسترسی به پوشه ها می باشد . پیشنهاد می شود که این هارد دیسک ها بر روی هر دو سرور از ساختار Stripped volume with parity) RAID-5) تبعیت کنند . زیرا هر دو قابلیت تحمل پذیری در مقابل خرابی و کارایی مناسب و ... را همزمان دارد . باید توجه کرد که برای داشتن ساختار RAID-5 ، ما حداقل به سه عدد هارد هم اندازه نیاز داریم. برای پیکربندی هارد دیسک ها شما می توانید از فرمان diskmgmt.msc در Run یا از Server Manager استفاده کنید . برای آشنایی بیشتر با شیوه پیکربندی هارد دیسک ها و دلایل استفاده از آنها می توانید به مقالات خانم قرباوی در لینک های زیر مراجعه نمایید :
مدیریت دیسک ها در ویندوز 7
مدیریت دیسکها در ویندوز - ایجاد و اضافه کردن هارد دیسک در ویندوز
گام سوم - به اشتراک گذاری پوشه های مورد نظر بر روی سرورها و دادن سطوح دسترسی مناسب به آنها :
هدف ما از بکاربردن هر دو سرور شبکه به عنوان فایل سرور ، تقسیم پوشه های به اشتراک گذاری شده میان دو سرور و از این طریق کم کردن ترافیک شبکه بر روی سرورها می باشد . در ضمن با انجام این کار در صورتی که یکی از سرورها دچار مشکلی شود ، شما می توانید به راحتی بخشی از فایل سرور را جابجا کرده و بر روی سرور دیگر قرار دهید. ما در این مورد در جای مناسب خود بیشتر صحبت می کنیم. پس ما دو پوشه Administrator و Accounting را بر روی سرور دامین کنترولر (Server1 ) و پوشه Public را بر روی سرور دوم ( Server2 ) قرار می دهیم. ( توصیه می شود آن پوشه هایی که مراجعه بیشتری دارند را بر روی سروی بگذارید که ترافیک کمتری از شبکه بر روی آن قرار دارد. )
در به اشتراک گذاری پوشه ها نکته بسیار مهم اینست که ، مجوز های دسترسی که به پوشه ها می دهیم باید دقیقا مطابق با نیازهای کاربران باشد ( نه کمتر و نه بیشتر ) و همچنین باید میان NTFS Permissions و Share Permissions توازن برقرار باشد و گرنه در صورت عدم توازن ، پوشه ها کمترین دسترسی داده شده را به خود می گیرند .
برای دادن مجوزهای NTFS Permissions و Share Permissions باد بر روی پوشه مورد نظر کلیک راست کرده و برای دادن مجوز NTFS از برگه Security و برای دادن مجوز اشتراک از برگه Sharing استفاده می کنیم . برای آشنایی بیشتر با شیوه بکارگیری NTFS Permissions و Share Permissions می توانید به مقالات آقای نصیری در لینک های زیر مراجعه نمایید :
مبانی شبکه قسمت بیستم - سطوح دسترسی به فایل یا File Level Permissions
مبانی شبکه قسمت نوزدهم - سطوح دسترسی اشتراک یا Share Level Permissions
3-1. مجوزهای پوشه Administrator :
• مدیرشبکه کنترل کاملی بر روی آن دارد.
• helpdesk ها ( دستیاران مدیر ) می توانند در آن فایل و پوشه بریزند ولی نمی توانند از آن چیزی حذف کنند.
• Karmandan و hesabdaran هیچگونه دسترسی به این پوشه ندارند.
مجوزهای NTFS Permissions و Share Permissions اعمال شده به پوشه Administrator همانند شکل های زیر می باشد :
توجه1: نکته ای که در دادن NTFS Permissions باید توجه کرد اینست که هنگامی که می خواهید مجوزهای جدید را به یک پوشه اعمال کنید باید ابتدا خاصیت ارث بری پوشه مورد نظر را از پوشه بالاسری خود ( پوشه والد خود ) برداریم . ما اینکار را مانند شکل زیر انجام می دهیم ( توجه کنید که اینکار را برای هر سه پوشه انجام دهید ) :
- NTFS Permissions :
توجه 2 : بعد از اعمال مجوزهای NTFS Permissions شما باید کاری کنید که این مجوزها به فایل ها و پوشه های درون پوشه مورد نظر ( پوشه های فرزند ) نیز اعمال شوند . ما اینکار را مانند شکل زیر انجام می دهیم :
- Share Permissions :
3-2. مجوزهای پوشه Accounting :
• مدیرشبکه و helpdesk ها ( دستیاران مدیر ) کنترل کاملی بر روی آن دارند.
• کاربران گروه hesabdaran می توانند در آن فایل و پوشه قرار دهند و ویرایش کنند ولی نمی توانند چیزی را درون آن حذف کنند.
• کاربران گروه karmandan هیچگونه دسترسی به این پوشه ندارد.
مجوزهای NTFS Permissions و Share Permissions اعمال شده به پوشه Accounting همانند شکل های زیر می باشد : ( باید توجه کرد که مجوزهای گروه Administrators با helpdesks یکسان می باشند. )
- NTFS Permissions :
توجه : برای اینکه کاربران گروه hesabdaran نتوانند فایل هایی که خود ایجاد کرده اند حذف کنند ، شما می توانید گروه CREATOR OWNER را در برگه Security حذف کنید یا مجوز Delete را در این گروه بردارید . البته این کار باید بنا بر نیازهای امنیتی و مدیریتی انجام شود .
- Share Permissions :
3-3. مجوزهای پوشه Public :
• مدیرشبکه و helpdesk ها ( دستیاران مدیر ) کنترل کاملی بر روی آن دارند.
• کاربران گروه hesabdaran و karmandan می توانند در آن فایل و پوشه قرار دهند و ویرایش کنند ولی نمی توانند چیزی را درون آن حذف کنند.
مجوزهای NTFS Permissions و Share Permissions اعمال شده به پوشه Public همانند شکل های زیر می باشد : ( باید توجه کرد که مجوزهای گروه Administrators با helpdesks و مجوز های گروه hesabdaran با karmandan یکسان می باشند. )
- NTFS Permissions :
توجه : برای اینکه کاربران گروه hesabdaran و karmandan نتوانند فایل هایی که خود ایجاد کرده اند حذف کنند ، شما می توانید گروه CREATOR OWNER را در برگه Security حذف کنید یا مجوز Delete را در این گروه بردارید . البته این کار باید بنا بر نیازهای امنیتی و مدیریتی انجام شود .
- Share Permissions :
پس از به اشتراک گذاری پوشه ها درون ویندوز سرورهایتان چنانچه در شکل زیر مشخص است ، نقش File Server نیز به صورت خودکار اضافه می شود و برای دسترسی به هر پوشه از طریق شبکه می توانید آدرس UNC پوشه را در RUN ویندوزتان وارد نمایید . مثلا برای دسترسی به پوشه Public ، به شکل server2\ Public \\ عمل می نماییم .
