حماية المجلدات في بيئة ( الخادم - العميل )
صفحة 1 من اصل 1
حماية المجلدات في بيئة ( الخادم - العميل )
Admin الإثنين أكتوبر 19, 2009 10:17 pm
مع التسارع العلمي و العملي و احتياجات السوق اصبحت الشبكات في كل بيت و سوق و مصلحة تجارية او حكومية و مع تعدد الشبكات و انواعها ظهرت بظهورها مشاكل انتهاك الخصوصية و تم ابتداع الطرق المختلفه لحماية الملكة الفكرية و رفع المستوى الاخلاقي لمستخدمي الشبكات و غيرها من القضايا التي تطرق لها العلماء المتخصصون لحلها و علماء الدين الواعظون بمخاطرها و الؤسسات التشريعيه التي تسن القوانين لتجريم منتهكيها.
و تكمن المشكلة فعلا في وصول المنتهك الى معلومات لا يحق له الحصول عليها. هذه المعلومات عامة كما هو معروف تخزن في ملفات باختلاف انواعها و هذي الملفات تخزن في مجلدات و هذي المجلدات تخزن في اقراص التخزين المختلفه سواء كانت داخل الكومبيوتر Internal disks او خارجة يتم وصلها به عند الحاجه External disks
كذلك تختلف هذي المجلدات في طريقة الوصول لها هل فقط يمكن الوصول لها محليا locally اي من خلال الكومبيوتر التي هي متواجده عليه او كذلك يمكن الوصول لها عن طريق الكومبيوترات الاخرى الموصوله بالشبكة و ذلك لا يتم الا اذا المستخدم سمح بخاصية التشارك sharing المرفقه مع خصائص كل مجلد كما هو موضح في الشكل 1
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 1
و لكل طريقة وسيلة لحمايتها من الوصول الغير مرغوب فيه سواء المجلد كان مجلد مشترك ام لا و اذا كان مشترك هل هو موجود في جهاز موصول على شبكة من نوع (الخادم العميل) server – client network او شبكة (الند للند) peer to peer network كذلك يدخل في الحسبان نظام التشغيل المنصب على الكومبيوتر الذي يحتوي القرص المخزن عليه هذه المجلدات
و ما سوف اتطرق له في هذي المقاله هي الكيفية التي يمكن من خلالها حماية المجلدات الموجوده على اجهزة كمبيوتر موصوله على شبكة من نوع الخادم العميل اي المتواجده على خادم الملفات (خادم الملفات هو بكل بساطة الكومبيوتر الذي يستخدم كمستودع للملفات على هذه الشبكة ) مع الاخذ بالاعتبار ان نظام التشغيل هو windows server.
النقطه الاساسية في حماية المجلدات من الوصول الغير مرغوب فيه هي التحكم في قائمة المسموح لهم بالوصول للمجلد و ذلك من خلال قائمتان مرتبطتان في المجلد المشترك و هما:
اولا : قائمة السرية security permissions
الموضحه بالشكل 2
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 2
و هي القائمة التي تحتوي جميع من هم مسموح لهم بالوصول لهذا المجلد سواء حاولوا الوصول للمجلد محليا او من خلال الشبكة ( يمكن الاضافه لهذه القائمة عن طريق النقر على زر اضف Add او الحذف منها عن طريق النقر على زر احذف Remove).
حسب الشكل 2 المسموح لهم بالوصول هم مجموعة المدراء و مجموعة النظام و مجموعة منشئي الملكية و مجموعة المستخدمين كل مجموعة لها درجة من الصلاحية يمكن معرفتها من خلال استعراض الجزء السفلي من الشكل 2
ملاحظه: مجموعة النظام و مجموعة منشئي الملكية هي مجموعات تنشأ في نظام الشبكة ( الخادم العميل ) على الخادم المتحكم في المجال و شرحها خارج نطاق هذه المقاله
ثانيا: قائمة الاشتراك shared permissions
و التي يمكن الوصول لها من خلال الضغط على زر permissions الموجودة على لسان الاشتراك الموجود في نافذة خصائص المجلد كما هو موضح في الشكل 3
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 3
و هي القائمة التي تحوي المسموح لهم بالوصول عن طريق الشبكة فقط و لا ينظر لهذه القائمة ( اي لا تطبق )عند الوصول للمجلد محليا. ( يمكن الاضافه لهذه القائمة عن طريق النقر على زر اضف Add او الحذف منها عن طريق النقر على زر احذف Remove)
حسب القائمة السابقه مجموعة الجميع لها صلاحية الوصول لهذا المجلد
ملاحظه : مجموعة الجميع تختلف عن مجموعة المستخدمين حيث ان المستخدمين هم الاشخاص الذين لهم حساب على الشبكة اما الجميع فهي تشمل جميع الداخلين على الشبكة بغض النظر عن الكيفيه التي وصلوا بها و هل مسموح لهم الدخول للمجال domain المعرف على هذه الشبكة ام لا
هاتان القائمتان هم المحرك الرئيسي لتحديد من يعطى صلاحية للوصول لهذا المجلد. و السؤال الرئيسي الان هو كيف تعمل هاتان القائمتان مع بعضهما البعض لتحديد من يأذن له بالوصول للمجلد و باي درجة من الصلاحية ؟
دعونا ناخذ بالاعتبار هذا المثال:
لنفرض ان المستخدم احمد عضو في مجموعة المدراء و كذلك عضو في مجموعة النظام و حسب افتراضي المجال أحمد عضو في مجموعة المستخدمين و مجموعة الجميع
كيف نستطيع حساب الصلاحية النهائية لأحمد على المجلد sharedالموضح في الاشكال السابقه
1) نحسب الصلاحية المعطاة لأحمد من كل قائمة على حده
الصلاحية النهائية التي تحسب لأحمد من القائمة الواحده هي مجموع الصلاحيات المعطاه له بشكل مباشر او معطاه للمجموعات المختلفة التي احمد عضو فيها
فعند تطبيق ذلك على القائمة الاولى نجد أن مجموعة المدراء و مجموعة النظام الذي احمد عضو فيها لها صلاحية التحكم الكامل , مجموعة المستخدمين الذي أحمد ايضا عضو فيها لها صلاحية القراءة فالمجموع هو اكبر صلاحية معطاه اي ان احمد سوف يحصل على صلاحية التحكم الكامل من القائمة الاولى
ملاحظه: لم ناخذ الصلاحية المعطاه لمنشئي الملكية بالحسبان لأن أحمد ليس عضوا فيها
عند التطبيق على القائمة الثانيه نجد انه لايوجد غير مجموعة واحده هي مجموعة الجميع الذي احمد عضو فيها و لها صلاحية القراءة فقط.
اذا حسب القائمة الاولى أحمد له صلاحية التحكم الكامل و حسب القائمة الثانية أحمد له صلاحية القراءة
2) نقوم بحساب الصلاحية النهائية من القائمتين باخذ الصلاحية الاقل.
اذا بتطبيق ذلك على المستخدم احمد نجد أن الصلاحية النهائية المعطاه له هي صلاحية القراءة فقط لانها الاقل مع مقارنتها بالتحكم الكامل
لا بد من الاخذ بالاعتبار ان القانون الثاني لا يطبق الا في حال الدخول على المجلد عن طريق الشبكة و ليس الدخول المحلي عن طريق الكومبيوتر لان القائمة الثانيه لا تطبق حينئذن. لذلك عند الدخول المحلي احمد له صلاحية التحكم الكامل الذي هو مجموع صلاحيته من القائمة الاولى فقط.
الصلاحيات:
اولا : شرح الصلاحيات المذكوره في القائمة الاولى و هي قائمة السرية:
الصلاحية
الشرح
Full control
التحكم الكامل
يسمح للمستخدم صاحب الصلاحية التغيير الكلي على المجلد حتى لو كان تغيير خصائص المجلد من السماح بالاشتراك او لا و كذلك تغيير قائمة من يسمح لهم بالوصول
Modify
التغيير
المستخدم له الصلاحية المطلقه ما عدا حذف المجلدات الفرعيه و الملفات او تغيير قائمة من يسمح لهم بالوصول او تغيير ملكية المجلد
Read and Execute
القراءة و التشغيل
المستخدم له صلاحية القراءة المطلقه اي قراءة محتويات المجلد او مجلداته الفرعيه و ملفاته كذلك قراءة صفات المجلد ( للقراءة فقط , مخفي , للارشيف ) او الصفات الاضافيه ( تضاف من قبل البرامج – غير محدده و انما حسب البرنامج ) قراءة قائمة المسموح لهم بالوصول بالاضافه لصلاحية عبور المجلد الاب ( سوف يتم شرحها لاحقا). صاحب هذه الصلاحية تكون له صلاحية مماثله على المجلدات الفرعيه و الملفات
List Folder Contents
عرض محتويات المجلد
نفس الصلاحيه السابقة مع اختلاف ان صاحب هذه الصلاحية تكون له صلاحية مماثله على المجلدات الفرعيه فقط وليس على الملفات
Read
القراءة
نفس الصلاحيه القراءةو التشغيل ما عدا صلاحية عبور المجلد الاب كذلك صاحب هذه الصلاحية تكون له صلاحية مماثله على الملفات الفرعيه فقط و ليس المجلدات
Write
الكتابة
للمستخدم صاحب الصلاحية القدرة على انشاء الملفات او الملجدات الفرعيه داخل هذا المجلد , تغيير او اضافه بيانات على المجلد , تغيير صفات المجلد او صفاته الاضافيه
Special Permissions
الصلاحيات الخاصة
المستخدم معطى صلاحيات من القائمة الفرعيه ( سوف يتم شرحها لا حقا)
· يجب مراعاة اعطاء صلاحية القراءة مع الكتابة لان صلاحية الكتابه لا تشمل القراءة فاذا اعطيته الكتابه فقط لن يستطيع المستخدم الوصول للمجلد حتى يمارس الصلاحية المعطاه له بالتغيير.
· صلاحية عبور المجلد هي صلاحية من يملكها يستطيع الوصول للمجلد الفرعي ب من خلال المجلد أ حتى لو لم يكن يملك اي صلاحية على المجلد أ .أو بمعنى ادق يستطيع العبور من خلال المجلد الاب أ الذي لا يملك صلاحية عليه حتى يصل للمجلد الفرعي ب الذي يملك الصلاحية عليه.
تجدر الاشاره الى ان القائمة الرئيسية السابقه تشمل الصلاحيات بمفاهيم عامة هي بالحقيقه مجموعة صلاحيات اكثر تحديدا و ليس مجرد صلاحية واحده. يمكن معرفة تفاصيل هذه الصلاحيات الاكثر تحديدا من خلال القائمة الفرعيه التي يمكن الوصول لها من خلال النقر على زر متقدم advanced ثم اختيار المستخدم المراد تعديل الصلاحيات او استعراضها له ثم النقر على زر تعديل edit كما هو موضح في الشكل 4
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 4
هذة القائمة الفرعيه توضح الصلاحيات التي تشملها الصلاحية المحدده من القائمة الرئيسية مثلا حسب الشكل 4 الصلاحية (كتابه ) المعطاه للمستخدم مي تشمل ( انشاء ملفات و مجلدات فرعيه و تغيير بيانات الملفات و كذلك تغيير صفات الملف او الصفات الاضافيه له). نرجو ملاحظت ان الصلاحيات لا تشمل القراءة لذلك ذكرت الملاحظه السابقه ان صلاحية الكتابة تعطى مع القراءة.
تجدر الاشاره الى أن القائمة الفرعيه ليست مجرد شرح للقائمة الرئيسية بل يمكن استخدامها لاعطاء الصلاحيات للمستخدمين او المجموعات, وذلك عندما ترى ان القائمة الرئيسية بصلاحياتها العامة لا تغطي احتياجاتك ( اما اكثر او اقل ) فيمكن استخدام القائمة الفرعيه لاعطاء الصلاحية بشكل اكثر تحديدا. عندما تقوم بذلك سوف تجد ان الصلاحية (الصلاحيات الخاصة special permissions ) الموجوده في القائمة الرئيسية محدده.
ثانيا: شرح صلاحيات المذكورة في القائمة الثانية و هي قائمة الاشتراك :
الصلاحية
الشرح
Full control
التحكم الكامل
يسمح للمستخدم صاحب الصلاحية التغيير الكلي على المجلد حتى لو كان تغيير خصائص المجلد من السماح بالاشتراك اولا و كذلك تغيير قائمة من يسمح لهم بالوصول
Change
التبديل
تشمل الصلاحية إنشاء او حذف الملفات و المجلدات الفرعيه تغيير البيانات داخل الملفات و كذلك قراءة قائمة المسموح له بالدخول
Read
القراءة
تشمل استعراض محتويات المجلد و مجلداته الفرعيه كذلك قراءة الملفات او تشغيل البرامج التي يشملها المجلد
تجدر الاشاره الى ان هذه القائمة لا تشمل قائمة فرعيه كسابقتها قائمة السرية لذلك فهي اقل مرونه .
نلاحظ في القوائم السابقه بانه توجد بجانب كل صلاحية مربعين للاختيار احدهما يقع تحت عمود السماح (allow) و المربع الثاني تحت عامود المنع (deny) . اي هل ترغب باعطاء الصلاحية المذكورة للمستخدم او المجموعة المذكوره او انك بالاصح تريد منعها منه.
يجب الحرص عند استخدام المنع للصلاحية حيث له الاولويه على اي صلاحية اخرى مثلا لو رجعنا لمثال أحمد السابق و كانت الصلاحيات المعطاة هي كالتالي :مجموعة المدراء و مجموعة النظام لها صلاحية التحكم الكامل كما سبق, و قمنا بتغيير صلاحية مجموعة المستخدمين الى منع القراءة فالمجموع سوف يصبح منع القراءة اي أن أحمد لن يسمح له بدخول المجلد و قراءته لانه عضو في مجموعة المستخدمين رغم ان له صلاحية التحكم الكامل لكونه عضو في مجموعات المدراء و النظام لأن المنع له الاولوية دائما على غيره في حساب الصلاحية النهائية للمستخدم.
الوراثة:
عامة الصلاحيات المعطاة لمستخدم على مجلد ترثها مجلداته الفرعيه و ملفاته ( اي يصبح للمستخدم نفس الصلاحية عليهم عن طريق خاصية التوارث ) و يمكنك التمييز بين الصلاحيات الموروثه و الصلاحيات الغير موروثة من ملاحظة قائمة الصلاحيات ( بغض النظر عن نوعها) فعندما تكون رمادية ولا يمكن التحكم بها او تغييرها فالمجلد وارث الصلاحية للمستخدم المذكور من المجلد الاب كالصلاحيات التي تظهر في الشكل 2 حيث مجموعة المدراء ظاهره في قائمة المجلد لانه ورثها من المجلد الاب اي ان المدراء بالحقيقه اعطيت لهم الصلاحية على المجلد الاب و ليس على المجلد التي تظهر نافذة خصائصه في الشكل 2 .
تجدر الاشارة الى ان قوة الصلاحية لا تتاثر كونها موروثه ام لا . بمعنى ان المدراء لهم فعلا صلاحية التحكم الكامل على المجلد الظاهر في الشكل 2 رغم كون الصلاحية وصلت اليهم على هذا المجلد عن طريق خاصية التوارث و لم تعطى لهم بشكل مباشر.
بالجانب الاخر تظهر القائمة للصلاحيات الغير موروثه غير رمادية و يمكن تغييرها و التحكم بها كما يظهر في الشكل 5
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 5
عندما تكون الصلاحية موروثة لا يمكن تغييرها بشكل مباشر اي لا يمكن حذف المستخدم من القائمة او تقليل درجة الصلاحية المعطاه له لكن يمكن الاضافه له مثلا لو كانت مجموعة المستخدمين تظهر في قائمة المسموح لهم بالوصول بصلاحية القراءة و ذلك لان المجلد ورث القائمة من المجلد الاب كما يظهر في الشكل 6 فانا لا استطيع حذف مجموعة المستخدمين من قائمة المجلد الابن و لا استطيع تقليل الصلاحيات المعطاه لها لكن استطيع ان اضيف لها صلاحية الكتابه مع صلاحية القراءة المعطاه لها سابقا كما في الشكل 6
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 6
خاصية التوراث تتم افتراضيا بين المجلد الاب و المجلد الابن لكن يمكن التحكم بتلك الخاصية بالغائها او التحكم بدرجتها اما بتغيير خصائص المجلد الاب او تغيير خصائص المجلد الابن
اولا : التحكم من خلال المجلد الابن:
و ذلك عن طريق الغاء خاصية السماح بالصلاحيات المعطاه على المجلد الاب ان يرثه هذا المجلد الابن . هذه الخاصية محدده تلقائيا ويمكن الوصول لها من خلال الزر متقدم advanced من نافذة خصائص المجلد الابن كما في الشكل 7
عند الغاء الخاصيه يظهر خيارين هل تريد نسخ الصلاحيات او تريد حذفها .
نسخها : يشمل الغاء خاصية التوارث و نسخ كل من لهم صلاحية على الاب الى قائمة الابن و بذلك تستطيع بعد ذلك من خلال قائمة الابن حذف هؤلاء المستخدمين او تغيير صلاحياتهم ( اي التحكم بهم ) و هو الامر الذي لا تستطيعه لو ان خاصية التوارث قائمة كما تم شرحه سابقا. عامة يتم اختيار هذا الخيار عندما لا نريد الغاء الصلاحيات الموروثه المقدمة للمستخدمين و انما احتاج الى تغييرها
حذفها: يشمل الغاء خاصية الوراثة و حذف جميع المستخدمين الظاهرين في القائمة بسبب خاصية الوراثة
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 7
ثانيا : التحكم من خلال المجلد الاب :
و ذلك من خلال التحكم في درجة التوراث و التي يمكن الوصول لها ايضا من خلال الزر متقدم advanced من نافذة خصائص المجلد الاب ثم تحديد المستخدم الذي تريد التحكم في خاصية التوراث للصلاحيات المعطاه له ثم النقر على زر التعديل edit و هي بالحقيقه نافذه القائمة الفرعيه لقائمة السرية التي تم الحديث عنها سابقا و بالتحديد الجزء الاعلى من النافذه كما يظهر في الشكل 8.
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 8
درجة التوراث الافتراضيه هي ( تطبيق الصلاحيات على المجلد و على مجلداته الفرعيه و ملفاته) و يمكن تغييرها الى احد الخيارات التاليه:
درجة التوارث
الشرح
This folder only
هذا المجلد فقط
المستخدم له الصلاحية على هذا المجلد فقط
This folder, subfolder and files
هذا المجلد , مجلداته الفرعيه و ملفاته
المستخدم له الصلاحية على هذا المجلد و كذلك له نفس الصلاحية عن طريق الوراثة للمجلدات الفرعية و الملفات
This folder and subfolder
هذا المجلد و مجلداته الفرعيه
المستخدم له الصلاحية على هذا المجلد و كذلك له نفس الصلاحية عن طريق الوراثة للمجلدات الفرعية لكن ليس للملفات
This folder and files
هذا المجلد و ملفاته
المستخدم له الصلاحية على هذا المجلد و كذلك له نفس الصلاحية عن طريق الوراثة للملفات لكن ليس للمجلدات الفرعية
subfolder and files only
المجلدات الفرعيه و الملفات فقط
المستخدم له الصلاحية المعطاة عن طريق الوراثة للمجلدات الفرعية و الملفات التي يحتويها هذا المجلد و لكن ليس على المجلد نفسه
subfolder only
المجلدات الفرعيه فقط
المستخدم له الصلاحية المعطاة على المجلدات الفرعية فقط التي يحتويها هذا المجلد
files only
الملفات فقط
المستخدم له الصلاحية المعطاة على الملفات فقط التي يحتويها هذا المجلد
يجب ملاحظة ان خاصية التوراث من المجلد الابن تشمل جميع المستخدمين التي اعطيت لهم الصلاحية عن طريق الوراثة لكن خاصية التوارث من المجلد الاب يمكن التحكم في درجتها لكل مستخدم على حده
المجلد الاب للمجلدات التي تقع تحت القرص "C:" هو "C:" نفسه و هذا ينطبق على اقراص التخزين المختلفه
ملاحظات عامة:
· من الضروري جدا التخطيط الصحيح المسبق للصلاحيات المراد اعطائها لكل مجموعة او مستخدم موجود على الشبكة بحيث يكون لديك تصور لكل قائمة وصول لاي مجلد مزمع انشاء على خادم الملفات.
· يجب الاخذ بالاعتبار الطريقة التي يحسب بها الكومبيوتر الصلاحية النهائية للمستخدم و التي تم شرحها سابقا بحيث لا يكون هناك تعارض بين قائمة السرية و الاشتراك.
· يجب الاخذ بالاعتبار جميع المجموعات التي تحوي المستخدم كعضو فيها و كم من الاخطاء وقعت باعطاء صلاحية نهائية غير المرغوبة بها و ذلك نتيجه اغفال بعض المجموعات التي تحوي العضو كعضو فيها
· يجب مرعات خاصية التوارث و كيف يمكن التحكم بها حتى تخدم الهدف الذي تريد تحقيقه
· ينصح عامة بحذف مجموعه الجميع لانها تسمح لجميع مستخدمي الشبكة بالوصول للمجلد التي تظهر في قائمته و استبدالها بمجموعة المستخدمين المصرح لهم
· احذر من ان تكون النتيجه النهائية لقائمة الوصول لمجلدك هي قائمة خاليه لانك بذلك تجعل المجلد مجلد لا يمكن الوصول او التحكم به من اي شخص حتى انت
· تجدر الاشاره بالنهاية ان القوائم المشروحه تنطبق على انظمة ويندوز الشخصيه مع تغيير طفيف فمثلا الشكل 9 يوضح القائمة من نظام ويندوز فيستا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 9
المصادر:
Hands-On Microsoft Windows Server 2003 Administration
Mastering Microsoft Windows Server 2003
Microsoft Windows Server 2003 Administrator's Pocket Consultant
Microsoft Windows Server 2003 Inside Out 2004
MCSA MCSE Managing And Maintaining A Microsoft Windows Server 2003 Environment Exam Cram 2 Exam 70-290
MCSE Windows 2000 Server Exam Cram 2 Exam 70-215
MCSA MCSE Windows Server 2003 Network Security Administration Study Guide 70-299
2004
و تكمن المشكلة فعلا في وصول المنتهك الى معلومات لا يحق له الحصول عليها. هذه المعلومات عامة كما هو معروف تخزن في ملفات باختلاف انواعها و هذي الملفات تخزن في مجلدات و هذي المجلدات تخزن في اقراص التخزين المختلفه سواء كانت داخل الكومبيوتر Internal disks او خارجة يتم وصلها به عند الحاجه External disks
كذلك تختلف هذي المجلدات في طريقة الوصول لها هل فقط يمكن الوصول لها محليا locally اي من خلال الكومبيوتر التي هي متواجده عليه او كذلك يمكن الوصول لها عن طريق الكومبيوترات الاخرى الموصوله بالشبكة و ذلك لا يتم الا اذا المستخدم سمح بخاصية التشارك sharing المرفقه مع خصائص كل مجلد كما هو موضح في الشكل 1
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 1
و لكل طريقة وسيلة لحمايتها من الوصول الغير مرغوب فيه سواء المجلد كان مجلد مشترك ام لا و اذا كان مشترك هل هو موجود في جهاز موصول على شبكة من نوع (الخادم العميل) server – client network او شبكة (الند للند) peer to peer network كذلك يدخل في الحسبان نظام التشغيل المنصب على الكومبيوتر الذي يحتوي القرص المخزن عليه هذه المجلدات
و ما سوف اتطرق له في هذي المقاله هي الكيفية التي يمكن من خلالها حماية المجلدات الموجوده على اجهزة كمبيوتر موصوله على شبكة من نوع الخادم العميل اي المتواجده على خادم الملفات (خادم الملفات هو بكل بساطة الكومبيوتر الذي يستخدم كمستودع للملفات على هذه الشبكة ) مع الاخذ بالاعتبار ان نظام التشغيل هو windows server.
النقطه الاساسية في حماية المجلدات من الوصول الغير مرغوب فيه هي التحكم في قائمة المسموح لهم بالوصول للمجلد و ذلك من خلال قائمتان مرتبطتان في المجلد المشترك و هما:
اولا : قائمة السرية security permissions
الموضحه بالشكل 2
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 2
و هي القائمة التي تحتوي جميع من هم مسموح لهم بالوصول لهذا المجلد سواء حاولوا الوصول للمجلد محليا او من خلال الشبكة ( يمكن الاضافه لهذه القائمة عن طريق النقر على زر اضف Add او الحذف منها عن طريق النقر على زر احذف Remove).
حسب الشكل 2 المسموح لهم بالوصول هم مجموعة المدراء و مجموعة النظام و مجموعة منشئي الملكية و مجموعة المستخدمين كل مجموعة لها درجة من الصلاحية يمكن معرفتها من خلال استعراض الجزء السفلي من الشكل 2
ملاحظه: مجموعة النظام و مجموعة منشئي الملكية هي مجموعات تنشأ في نظام الشبكة ( الخادم العميل ) على الخادم المتحكم في المجال و شرحها خارج نطاق هذه المقاله
ثانيا: قائمة الاشتراك shared permissions
و التي يمكن الوصول لها من خلال الضغط على زر permissions الموجودة على لسان الاشتراك الموجود في نافذة خصائص المجلد كما هو موضح في الشكل 3
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 3
و هي القائمة التي تحوي المسموح لهم بالوصول عن طريق الشبكة فقط و لا ينظر لهذه القائمة ( اي لا تطبق )عند الوصول للمجلد محليا. ( يمكن الاضافه لهذه القائمة عن طريق النقر على زر اضف Add او الحذف منها عن طريق النقر على زر احذف Remove)
حسب القائمة السابقه مجموعة الجميع لها صلاحية الوصول لهذا المجلد
ملاحظه : مجموعة الجميع تختلف عن مجموعة المستخدمين حيث ان المستخدمين هم الاشخاص الذين لهم حساب على الشبكة اما الجميع فهي تشمل جميع الداخلين على الشبكة بغض النظر عن الكيفيه التي وصلوا بها و هل مسموح لهم الدخول للمجال domain المعرف على هذه الشبكة ام لا
هاتان القائمتان هم المحرك الرئيسي لتحديد من يعطى صلاحية للوصول لهذا المجلد. و السؤال الرئيسي الان هو كيف تعمل هاتان القائمتان مع بعضهما البعض لتحديد من يأذن له بالوصول للمجلد و باي درجة من الصلاحية ؟
دعونا ناخذ بالاعتبار هذا المثال:
لنفرض ان المستخدم احمد عضو في مجموعة المدراء و كذلك عضو في مجموعة النظام و حسب افتراضي المجال أحمد عضو في مجموعة المستخدمين و مجموعة الجميع
كيف نستطيع حساب الصلاحية النهائية لأحمد على المجلد sharedالموضح في الاشكال السابقه
1) نحسب الصلاحية المعطاة لأحمد من كل قائمة على حده
الصلاحية النهائية التي تحسب لأحمد من القائمة الواحده هي مجموع الصلاحيات المعطاه له بشكل مباشر او معطاه للمجموعات المختلفة التي احمد عضو فيها
فعند تطبيق ذلك على القائمة الاولى نجد أن مجموعة المدراء و مجموعة النظام الذي احمد عضو فيها لها صلاحية التحكم الكامل , مجموعة المستخدمين الذي أحمد ايضا عضو فيها لها صلاحية القراءة فالمجموع هو اكبر صلاحية معطاه اي ان احمد سوف يحصل على صلاحية التحكم الكامل من القائمة الاولى
ملاحظه: لم ناخذ الصلاحية المعطاه لمنشئي الملكية بالحسبان لأن أحمد ليس عضوا فيها
عند التطبيق على القائمة الثانيه نجد انه لايوجد غير مجموعة واحده هي مجموعة الجميع الذي احمد عضو فيها و لها صلاحية القراءة فقط.
اذا حسب القائمة الاولى أحمد له صلاحية التحكم الكامل و حسب القائمة الثانية أحمد له صلاحية القراءة
2) نقوم بحساب الصلاحية النهائية من القائمتين باخذ الصلاحية الاقل.
اذا بتطبيق ذلك على المستخدم احمد نجد أن الصلاحية النهائية المعطاه له هي صلاحية القراءة فقط لانها الاقل مع مقارنتها بالتحكم الكامل
لا بد من الاخذ بالاعتبار ان القانون الثاني لا يطبق الا في حال الدخول على المجلد عن طريق الشبكة و ليس الدخول المحلي عن طريق الكومبيوتر لان القائمة الثانيه لا تطبق حينئذن. لذلك عند الدخول المحلي احمد له صلاحية التحكم الكامل الذي هو مجموع صلاحيته من القائمة الاولى فقط.
الصلاحيات:
اولا : شرح الصلاحيات المذكوره في القائمة الاولى و هي قائمة السرية:
الصلاحية
الشرح
Full control
التحكم الكامل
يسمح للمستخدم صاحب الصلاحية التغيير الكلي على المجلد حتى لو كان تغيير خصائص المجلد من السماح بالاشتراك او لا و كذلك تغيير قائمة من يسمح لهم بالوصول
Modify
التغيير
المستخدم له الصلاحية المطلقه ما عدا حذف المجلدات الفرعيه و الملفات او تغيير قائمة من يسمح لهم بالوصول او تغيير ملكية المجلد
Read and Execute
القراءة و التشغيل
المستخدم له صلاحية القراءة المطلقه اي قراءة محتويات المجلد او مجلداته الفرعيه و ملفاته كذلك قراءة صفات المجلد ( للقراءة فقط , مخفي , للارشيف ) او الصفات الاضافيه ( تضاف من قبل البرامج – غير محدده و انما حسب البرنامج ) قراءة قائمة المسموح لهم بالوصول بالاضافه لصلاحية عبور المجلد الاب ( سوف يتم شرحها لاحقا). صاحب هذه الصلاحية تكون له صلاحية مماثله على المجلدات الفرعيه و الملفات
List Folder Contents
عرض محتويات المجلد
نفس الصلاحيه السابقة مع اختلاف ان صاحب هذه الصلاحية تكون له صلاحية مماثله على المجلدات الفرعيه فقط وليس على الملفات
Read
القراءة
نفس الصلاحيه القراءةو التشغيل ما عدا صلاحية عبور المجلد الاب كذلك صاحب هذه الصلاحية تكون له صلاحية مماثله على الملفات الفرعيه فقط و ليس المجلدات
Write
الكتابة
للمستخدم صاحب الصلاحية القدرة على انشاء الملفات او الملجدات الفرعيه داخل هذا المجلد , تغيير او اضافه بيانات على المجلد , تغيير صفات المجلد او صفاته الاضافيه
Special Permissions
الصلاحيات الخاصة
المستخدم معطى صلاحيات من القائمة الفرعيه ( سوف يتم شرحها لا حقا)
· يجب مراعاة اعطاء صلاحية القراءة مع الكتابة لان صلاحية الكتابه لا تشمل القراءة فاذا اعطيته الكتابه فقط لن يستطيع المستخدم الوصول للمجلد حتى يمارس الصلاحية المعطاه له بالتغيير.
· صلاحية عبور المجلد هي صلاحية من يملكها يستطيع الوصول للمجلد الفرعي ب من خلال المجلد أ حتى لو لم يكن يملك اي صلاحية على المجلد أ .أو بمعنى ادق يستطيع العبور من خلال المجلد الاب أ الذي لا يملك صلاحية عليه حتى يصل للمجلد الفرعي ب الذي يملك الصلاحية عليه.
تجدر الاشاره الى ان القائمة الرئيسية السابقه تشمل الصلاحيات بمفاهيم عامة هي بالحقيقه مجموعة صلاحيات اكثر تحديدا و ليس مجرد صلاحية واحده. يمكن معرفة تفاصيل هذه الصلاحيات الاكثر تحديدا من خلال القائمة الفرعيه التي يمكن الوصول لها من خلال النقر على زر متقدم advanced ثم اختيار المستخدم المراد تعديل الصلاحيات او استعراضها له ثم النقر على زر تعديل edit كما هو موضح في الشكل 4
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 4
هذة القائمة الفرعيه توضح الصلاحيات التي تشملها الصلاحية المحدده من القائمة الرئيسية مثلا حسب الشكل 4 الصلاحية (كتابه ) المعطاه للمستخدم مي تشمل ( انشاء ملفات و مجلدات فرعيه و تغيير بيانات الملفات و كذلك تغيير صفات الملف او الصفات الاضافيه له). نرجو ملاحظت ان الصلاحيات لا تشمل القراءة لذلك ذكرت الملاحظه السابقه ان صلاحية الكتابة تعطى مع القراءة.
تجدر الاشاره الى أن القائمة الفرعيه ليست مجرد شرح للقائمة الرئيسية بل يمكن استخدامها لاعطاء الصلاحيات للمستخدمين او المجموعات, وذلك عندما ترى ان القائمة الرئيسية بصلاحياتها العامة لا تغطي احتياجاتك ( اما اكثر او اقل ) فيمكن استخدام القائمة الفرعيه لاعطاء الصلاحية بشكل اكثر تحديدا. عندما تقوم بذلك سوف تجد ان الصلاحية (الصلاحيات الخاصة special permissions ) الموجوده في القائمة الرئيسية محدده.
ثانيا: شرح صلاحيات المذكورة في القائمة الثانية و هي قائمة الاشتراك :
الصلاحية
الشرح
Full control
التحكم الكامل
يسمح للمستخدم صاحب الصلاحية التغيير الكلي على المجلد حتى لو كان تغيير خصائص المجلد من السماح بالاشتراك اولا و كذلك تغيير قائمة من يسمح لهم بالوصول
Change
التبديل
تشمل الصلاحية إنشاء او حذف الملفات و المجلدات الفرعيه تغيير البيانات داخل الملفات و كذلك قراءة قائمة المسموح له بالدخول
Read
القراءة
تشمل استعراض محتويات المجلد و مجلداته الفرعيه كذلك قراءة الملفات او تشغيل البرامج التي يشملها المجلد
تجدر الاشاره الى ان هذه القائمة لا تشمل قائمة فرعيه كسابقتها قائمة السرية لذلك فهي اقل مرونه .
نلاحظ في القوائم السابقه بانه توجد بجانب كل صلاحية مربعين للاختيار احدهما يقع تحت عمود السماح (allow) و المربع الثاني تحت عامود المنع (deny) . اي هل ترغب باعطاء الصلاحية المذكورة للمستخدم او المجموعة المذكوره او انك بالاصح تريد منعها منه.
يجب الحرص عند استخدام المنع للصلاحية حيث له الاولويه على اي صلاحية اخرى مثلا لو رجعنا لمثال أحمد السابق و كانت الصلاحيات المعطاة هي كالتالي :مجموعة المدراء و مجموعة النظام لها صلاحية التحكم الكامل كما سبق, و قمنا بتغيير صلاحية مجموعة المستخدمين الى منع القراءة فالمجموع سوف يصبح منع القراءة اي أن أحمد لن يسمح له بدخول المجلد و قراءته لانه عضو في مجموعة المستخدمين رغم ان له صلاحية التحكم الكامل لكونه عضو في مجموعات المدراء و النظام لأن المنع له الاولوية دائما على غيره في حساب الصلاحية النهائية للمستخدم.
الوراثة:
عامة الصلاحيات المعطاة لمستخدم على مجلد ترثها مجلداته الفرعيه و ملفاته ( اي يصبح للمستخدم نفس الصلاحية عليهم عن طريق خاصية التوارث ) و يمكنك التمييز بين الصلاحيات الموروثه و الصلاحيات الغير موروثة من ملاحظة قائمة الصلاحيات ( بغض النظر عن نوعها) فعندما تكون رمادية ولا يمكن التحكم بها او تغييرها فالمجلد وارث الصلاحية للمستخدم المذكور من المجلد الاب كالصلاحيات التي تظهر في الشكل 2 حيث مجموعة المدراء ظاهره في قائمة المجلد لانه ورثها من المجلد الاب اي ان المدراء بالحقيقه اعطيت لهم الصلاحية على المجلد الاب و ليس على المجلد التي تظهر نافذة خصائصه في الشكل 2 .
تجدر الاشارة الى ان قوة الصلاحية لا تتاثر كونها موروثه ام لا . بمعنى ان المدراء لهم فعلا صلاحية التحكم الكامل على المجلد الظاهر في الشكل 2 رغم كون الصلاحية وصلت اليهم على هذا المجلد عن طريق خاصية التوارث و لم تعطى لهم بشكل مباشر.
بالجانب الاخر تظهر القائمة للصلاحيات الغير موروثه غير رمادية و يمكن تغييرها و التحكم بها كما يظهر في الشكل 5
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 5
عندما تكون الصلاحية موروثة لا يمكن تغييرها بشكل مباشر اي لا يمكن حذف المستخدم من القائمة او تقليل درجة الصلاحية المعطاه له لكن يمكن الاضافه له مثلا لو كانت مجموعة المستخدمين تظهر في قائمة المسموح لهم بالوصول بصلاحية القراءة و ذلك لان المجلد ورث القائمة من المجلد الاب كما يظهر في الشكل 6 فانا لا استطيع حذف مجموعة المستخدمين من قائمة المجلد الابن و لا استطيع تقليل الصلاحيات المعطاه لها لكن استطيع ان اضيف لها صلاحية الكتابه مع صلاحية القراءة المعطاه لها سابقا كما في الشكل 6
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 6
خاصية التوراث تتم افتراضيا بين المجلد الاب و المجلد الابن لكن يمكن التحكم بتلك الخاصية بالغائها او التحكم بدرجتها اما بتغيير خصائص المجلد الاب او تغيير خصائص المجلد الابن
اولا : التحكم من خلال المجلد الابن:
و ذلك عن طريق الغاء خاصية السماح بالصلاحيات المعطاه على المجلد الاب ان يرثه هذا المجلد الابن . هذه الخاصية محدده تلقائيا ويمكن الوصول لها من خلال الزر متقدم advanced من نافذة خصائص المجلد الابن كما في الشكل 7
عند الغاء الخاصيه يظهر خيارين هل تريد نسخ الصلاحيات او تريد حذفها .
نسخها : يشمل الغاء خاصية التوارث و نسخ كل من لهم صلاحية على الاب الى قائمة الابن و بذلك تستطيع بعد ذلك من خلال قائمة الابن حذف هؤلاء المستخدمين او تغيير صلاحياتهم ( اي التحكم بهم ) و هو الامر الذي لا تستطيعه لو ان خاصية التوارث قائمة كما تم شرحه سابقا. عامة يتم اختيار هذا الخيار عندما لا نريد الغاء الصلاحيات الموروثه المقدمة للمستخدمين و انما احتاج الى تغييرها
حذفها: يشمل الغاء خاصية الوراثة و حذف جميع المستخدمين الظاهرين في القائمة بسبب خاصية الوراثة
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 7
ثانيا : التحكم من خلال المجلد الاب :
و ذلك من خلال التحكم في درجة التوراث و التي يمكن الوصول لها ايضا من خلال الزر متقدم advanced من نافذة خصائص المجلد الاب ثم تحديد المستخدم الذي تريد التحكم في خاصية التوراث للصلاحيات المعطاه له ثم النقر على زر التعديل edit و هي بالحقيقه نافذه القائمة الفرعيه لقائمة السرية التي تم الحديث عنها سابقا و بالتحديد الجزء الاعلى من النافذه كما يظهر في الشكل 8.
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 8
درجة التوراث الافتراضيه هي ( تطبيق الصلاحيات على المجلد و على مجلداته الفرعيه و ملفاته) و يمكن تغييرها الى احد الخيارات التاليه:
درجة التوارث
الشرح
This folder only
هذا المجلد فقط
المستخدم له الصلاحية على هذا المجلد فقط
This folder, subfolder and files
هذا المجلد , مجلداته الفرعيه و ملفاته
المستخدم له الصلاحية على هذا المجلد و كذلك له نفس الصلاحية عن طريق الوراثة للمجلدات الفرعية و الملفات
This folder and subfolder
هذا المجلد و مجلداته الفرعيه
المستخدم له الصلاحية على هذا المجلد و كذلك له نفس الصلاحية عن طريق الوراثة للمجلدات الفرعية لكن ليس للملفات
This folder and files
هذا المجلد و ملفاته
المستخدم له الصلاحية على هذا المجلد و كذلك له نفس الصلاحية عن طريق الوراثة للملفات لكن ليس للمجلدات الفرعية
subfolder and files only
المجلدات الفرعيه و الملفات فقط
المستخدم له الصلاحية المعطاة عن طريق الوراثة للمجلدات الفرعية و الملفات التي يحتويها هذا المجلد و لكن ليس على المجلد نفسه
subfolder only
المجلدات الفرعيه فقط
المستخدم له الصلاحية المعطاة على المجلدات الفرعية فقط التي يحتويها هذا المجلد
files only
الملفات فقط
المستخدم له الصلاحية المعطاة على الملفات فقط التي يحتويها هذا المجلد
يجب ملاحظة ان خاصية التوراث من المجلد الابن تشمل جميع المستخدمين التي اعطيت لهم الصلاحية عن طريق الوراثة لكن خاصية التوارث من المجلد الاب يمكن التحكم في درجتها لكل مستخدم على حده
المجلد الاب للمجلدات التي تقع تحت القرص "C:" هو "C:" نفسه و هذا ينطبق على اقراص التخزين المختلفه
ملاحظات عامة:
· من الضروري جدا التخطيط الصحيح المسبق للصلاحيات المراد اعطائها لكل مجموعة او مستخدم موجود على الشبكة بحيث يكون لديك تصور لكل قائمة وصول لاي مجلد مزمع انشاء على خادم الملفات.
· يجب الاخذ بالاعتبار الطريقة التي يحسب بها الكومبيوتر الصلاحية النهائية للمستخدم و التي تم شرحها سابقا بحيث لا يكون هناك تعارض بين قائمة السرية و الاشتراك.
· يجب الاخذ بالاعتبار جميع المجموعات التي تحوي المستخدم كعضو فيها و كم من الاخطاء وقعت باعطاء صلاحية نهائية غير المرغوبة بها و ذلك نتيجه اغفال بعض المجموعات التي تحوي العضو كعضو فيها
· يجب مرعات خاصية التوارث و كيف يمكن التحكم بها حتى تخدم الهدف الذي تريد تحقيقه
· ينصح عامة بحذف مجموعه الجميع لانها تسمح لجميع مستخدمي الشبكة بالوصول للمجلد التي تظهر في قائمته و استبدالها بمجموعة المستخدمين المصرح لهم
· احذر من ان تكون النتيجه النهائية لقائمة الوصول لمجلدك هي قائمة خاليه لانك بذلك تجعل المجلد مجلد لا يمكن الوصول او التحكم به من اي شخص حتى انت
· تجدر الاشاره بالنهاية ان القوائم المشروحه تنطبق على انظمة ويندوز الشخصيه مع تغيير طفيف فمثلا الشكل 9 يوضح القائمة من نظام ويندوز فيستا
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]
الشكل 9
المصادر:
Hands-On Microsoft Windows Server 2003 Administration
Mastering Microsoft Windows Server 2003
Microsoft Windows Server 2003 Administrator's Pocket Consultant
Microsoft Windows Server 2003 Inside Out 2004
MCSA MCSE Managing And Maintaining A Microsoft Windows Server 2003 Environment Exam Cram 2 Exam 70-290
MCSE Windows 2000 Server Exam Cram 2 Exam 70-215
MCSA MCSE Windows Server 2003 Network Security Administration Study Guide 70-299
2004
Admin- Admin
-
عدد المساهمات : 383
تاريخ التسجيل : 22/08/2009
العمر : 35 -
صفحة 1 من اصل 1
صلاحيات هذا المنتدى:
لاتستطيع الرد على المواضيع في هذا المنتدى
» ملفات حل الاتصالات العملي (1) (2)
» AddressBookONE: خدمة لإدارة جهات الاتصال الخاصه بك
» محاضرة قواعد البيانات (DataBase) العملي
» محاضرة #2 الاتصالات و الوظيفة
» سلايدات مادة الخوارزميات (2) بصيغة PDF
» محاضرة الاتصالات (1) و الوظيفة (عملي)
» محاضرة الاتصالات (1) و الوظيفة (عملي)
» محمد نور و fbinstant.net
» كتاب مادة الخوارزميات (introduction of algorithm)
» جديد مجموعات فيس بوك في الحدث الأخير
» جديد مجموعات فيس بوك في الحدث الأخير
» طالب سوري يطور موقعا للبحث الفوري في فيسبوك
» خلل في facebook و انقطاع عن الخدمة
» Intel ستجعلك تدفع 50 دولارا لتستفيد من كامل قوة معالج حاسوبك
» Intel ستجعلك تدفع 50 دولارا لتستفيد من كامل قوة معالج حاسوبك
» هاتف فيس بوك قريبا و بميزات ليست بقليلة
» تويتر بحلّة جديدة
» إنطباعات النسخة الكاملة من فيفا 11 لعبة كرة القدم الأشهر المنتظرة
» الكشف رسميا عن لعبة Dead or Alive: Dimensions للننتندو 3DS