WINDOWS-BESTANDEN DELEN
Best practices voor het delen van Windows-bestanden
Traditioneel was het delen van bestanden in Windows beperkt tot het maken van shares op lokale servers, het instellen van machtigingen en het openen van bestanden via lokale netwerken of VPN's. Windows-bestandsdeling heeft veel voordelen, waaronder snelheid van toegang, eenvoud, onbeperkte opslagcapaciteit, integratie met active directory en de mogelijkheid om toegewezen schijven direct op duizenden machines te implementeren met behulp van aanmeldingsscripts of groepsbeleid. Om deze reden blijven de meeste ondernemingen aanzienlijke investeringen doen in een Windows-infrastructuur voor het delen van bestanden, waaronder servers, hogesnelheidsnetwerken, Storage Area Networks en netwerkopslagapparaten. Deze apparaten bieden de betrouwbaarheid, snelheid en redundantie die bedrijven eisen voor een zeer efficiënt personeelsbestand.
Inhoud
Windows-bestandsdeling
Het delen van bestanden met behulp van de actieve map van Windows is eenvoudig. Het is belangrijk om eerst de directorystructuur te plannen. Bedrijven maken doorgaans hoofdmappen die op hun beurt shares worden die kunnen worden toegewezen aan verschillende afdelingen (bijvoorbeeld: Financiën, Projecten, Executive, HR). In het verleden zouden bedrijven verschillende stationsletters toewijzen aan elke afdeling. Dit is niet langer nodig omdat Microsoft de toevoeging van de functie "Toegang gebaseerde opsomming" heeft geleverd, zoals hieronder wordt vermeld.
Het is ook belangrijk om toekomstige groei te plannen door voldoende schijfruimte voor bestanden toe te wijzen. Het is het beste om bestanden op een aparte stationsletter van de schijven van het besturingssysteem te zoeken om toekomstige problemen met schijfruimte of een storing in het besturingssysteem te voorkomen. Grotere organisaties slaan bestanden doorgaans op op Network Attached Storage-apparaten met ingebouwde failover en back-up en gebruiken DFS-naamruimte om gebruikers om te leiden naar redundante back-end-bestandsservers.
Windows File Server-shares kunnen worden gemaakt met Server Manager of door met de rechtermuisknop op een map te klikken en "Delen" te kiezen op het tabblad Delen om een share te maken die door pc's kan worden toegewezen. Microsoft heeft hier een geweldig artikel over het maken van een bestandsshare met Server Manager hier. Voor onze doeleinden zullen we een share maken met behulp van het handmatige proces, zodat we volledige controle hebben over machtigingen, de naam van de share en de machtigingen voor delen.
Nadat u de mapstructuur hebt gemaakt, klikt u met de rechtermuisknop op de map en kiest u eigenschappen, kiest u vervolgens voor delen om de gedeelde map te maken en om machtigingen in te stellen:
Meestal voegt u de verschillende groepen toe voor wie u toegang wilt hebben tot uw mappenstructuur. Met de vereenvoudigde interface worden de daadwerkelijke share-creatie en toestemmingsdetails voor u ingesteld. Met behulp van de Advanced Share-interface kunnen we de daadwerkelijke toestemming zien die is toegepast op zowel de share als NTFS.
Er zijn 2 componenten bij het delen van mappen in Windows. Eerst de daadwerkelijke Share-naam en machtiging op de share en de onderliggende NTFS-machtigingen. In de begindagen van Windows stonden bestandssystemen (fat en fat32) het instellen van machtigingen niet toe, dus stond Microsoft beheerders toe om machtigingen in te stellen op de share zelf in plaats van op de onderliggende mapstructuur. Gelukkig bestaat NTFS al vele jaren en is het niet langer nodig of raadzaam om permissies in te stellen op de bestand delen niveau en je zult zien dat wanneer je de easy share-interface gebruikt, de machtigingen op het share-niveau zijn ingesteld op de speciale groep "Iedereen" en volledige controle hebben.
Het is dus duidelijk dat we de machtiging voor de share altijd moeten instellen op "Iedereen" met volledige controle wanneer we de geavanceerde optie voor delen gebruiken om deze verouderde functie te omzeilen en alleen NTFS-machtigingen gebruiken om beveiliging toe te passen. Een extra opmerking over bestandsshares en naamgeving - om de share verborgen te maken (niet uitzenden op het netwerk om te browsen), voeg een $-teken toe aan het einde van de naam. Bijvoorbeeld: Finance$ kan worden gebruikt om te voorkomen dat de share wordt weergegeven wanneer gebruikers door het netwerk bladeren. Om een schijf eraan toe te wijzen, moeten gebruikers de naam weten, bijvoorbeeld \\server\finance$.
Vervolgens moeten we machtigingen voor mappen instellen met behulp van NTFS-beveiliging. Als we kijken naar de beveiligingsmachtigingen voor de gedeelde map die we in ons voorbeeld hebben gemaakt, zien we dat de gebruikersgroepen die we hebben gekozen machtigingen hebben gekregen voor die gedeelde map:
Vanuit deze interface kunnen we extra gebruikers en groepen toevoegen of overname uitschakelen, zodat we alleen aangepaste machtigingen op deze map kunnen toepassen. Deze interface is ook waar we het eigendom van bestanden en mappen gaan nemen. In de beveiligingsresultaten van de Easy Share-wizard kunnen we zien dat beide groepen die we hebben toegevoegd "Volledig beheer" hebben voor alle bestanden en mappen. Hoewel Volledig beheer zinvol is voor beheerders, is het niet aan te raden voor gewone gebruikersgroepen. Door reguliere gebruikers volledige controle te geven, hebben we hen ook het recht "Take Ownership" verleend, wat op de weg problemen zal veroorzaken. Bestanden die "eigendom" zijn van een gebruiker kunnen onbeschikbaar worden voor andere gebruikers, wat resulteert in ondersteuningsverzoeken en de noodzaak om de beheerder "Eigendom te nemen", zodat deze bestanden weer beschikbaar zijn voor iedereen met rechten op de share. In ons voorbeeld willen we de groep "Domeingebruikers" instellen op alle rechten behalve "Volledig beheer" met behulp van de eigenschappen van het tabblad Beveiliging in de map. Deze eenvoudige stap voorkomt in de toekomst problemen met het oplossen van problemen met bestandseigendom.
Microsoft heeft een ingebouwd hulpprogramma op Windows om eigendomsproblemen op te ruimen, genaamd "takeown". We adviseren klanten om bestaande eigendomsproblemen op te ruimen voordat ze MyWorkDrive implementeren. Deze opdracht wordt eigenaar van de map of het station en alle bestanden en submappen in de map of het station.
Open een verhoogde opdrachtprompt (beheerder).
Eigendom toekennen aan beheerdersgroep:
takeown /F "volledig pad van map of station" /A /R /DY
Een andere optie om eigendomsrechten op te schonen, is door de opdracht icacls te gebruiken.
Eigendom toekennen aan beheerdersgroep:
icacls "volledig pad van map of station" /setowner "Beheerders" /T /C
Toegang op basis van inventarisatie met Windows Bestandsdeling
Access-based enumeration (ABE) geeft alleen de bestanden en mappen weer waartoe een gebruiker toegangsrechten heeft. Als een gebruiker geen leesrechten (of gelijkwaardige) machtigingen heeft voor een map, verbergt Windows de map voor het zicht van de gebruiker. Deze functie is alleen actief bij het bekijken van bestanden en mappen in een gedeelde map; het is niet actief bij het bekijken van bestanden en mappen in het lokale bestandssysteem. Door deze functie te gebruiken en de juiste machtigingen in te stellen, kunnen netwerkbeheerders het aantal benodigde shares verminderen en ABE gebruiken om alleen bestanden en mappen weer te geven waarvoor de gebruiker machtigingen heeft wanneer ze worden geopend via UNC-paden.
ABE vereist CPU-cycli om bestanden en mappen te berekenen die moeten worden weergegeven, dus het is belangrijk om de servers op de juiste manier te dimensioneren om de vereiste belasting te verwerken op basis van het aantal gebruikers dat toegang heeft tot bestandsshares en het aantal bestanden en mappen dat moet worden weergegeven.
Schakel ABE in op elke Windows-bestandsshare met behulp van de handleiding van Microsoft: Op toegang gebaseerde opsomming inschakelen voor een naamruimte. Microsoft heeft een compleet guild-artikel over best practices voor het delen van bestanden en mappen met behulp van op toegang gebaseerde opsomming hier.
DFS-naamruimten
DFS-naamruimten is een rol in Windows Server waarmee u gedeelde mappen op verschillende servers kunt groeperen in een of meer logisch gestructureerde naamruimten. Dit maakt het mogelijk om gebruikers een virtuele weergave te geven van gedeelde mappen, waarbij een enkel pad leidt naar bestanden die zich op meerdere servers bevinden. Het voordeel van DFS is dat schijven kunnen worden toegewezen aan één DFS-naamruimte en automatisch worden omgeleid naar de dan geldende live bestandsshare. Dit maakt het migreren naar nieuwe bestandsservers in de toekomst heel eenvoudig, omdat er op elk moment naar een nieuwe bestandsserver kan worden omgeleid.
Back-up en retentie
De eerste verdedigingslinie voor elke organisatie zijn effectieve, geteste en redundante back-ups. Naast het plannen van back-ups op uur-, dagelijkse, wekelijkse of andere tijdstippen kunnen IT-beheerders profiteren van de "Volume Shadow Copy"-service die in Windows Server is ingebouwd. Door elk uur snapshots in te schakelen, kunnen bestanden en mappen onmiddellijk worden teruggedraaid naar eerdere versies zonder dat u naar back-upsystemen hoeft te gaan. Volume Copy Snapshots zijn op zichzelf geen back-upstrategie, maar ze kunnen een extra beschermingsniveau bieden.
Back-up en retentie zijn ook van groot belang om te beschermen tegen gegevensverlies, corruptie en om te voldoen aan wettelijke vereisten. Doorgaans moeten de meeste bedrijven tot 7 jaar aan back-ups bewaren die in de toekomst gemakkelijk kunnen worden hersteld. Om deze reden zijn bedrijven terughoudend om hun bestanden lokaal of in de cloud op te slaan in databasegestuurde bestandssystemen, waaronder Document Management Systems (DMS) en Enterprise File Sync & Share (EFSS)-systemen. Met traditionele op NTFS gebaseerde Windows-bestandsdeling kunnen back-ups van archieven worden opgeslagen op back-up harde schijven, waardoor herstel net zo eenvoudig wordt als het kopiëren van bestanden - zelfs enkele jaren later. Met DMS- of EFSS-systemen is het herstellen van archiefgegevens aanzienlijk complexer. Herstel vereist het maken van een back-up en het herstellen van volledige besturingssystemen, het opnieuw installeren van SQL-databases die op dat moment in gebruik zijn (die mogelijk niet meer beschikbaar zijn), het herstellen van back-ups van SQL-gegevens en het opnieuw integreren van servers in Active Directory. Op de cloud gebaseerde EFSS of systemen vereisen back-upabonnementen van derden die voor onbepaalde tijd moeten worden onderhouden om verlies en verwijdering van back-upbestandsgegevens door de cloudleverancier te voorkomen.
Alle soorten bedrijven wenden zich tot MyWorkDrive voor ondersteuning Afstandswerk met behoud van de snelheid en eenvoud van traditioneel delen van Windows-bestanden met behulp van onze hybride cloud-add-on. Met MyWorkDrive kunnen IT-afdelingen eenvoudig de MyWorkDrive Windows-serversoftware instellen, verwijzen naar bestaande Windows-bestandsshares en dit binnen enkele minuten Veilig delen van bestanden functionaliteit voor externe toegang wordt beschikbaar gesteld aan gebruikers zonder VPN, waaronder:
Web File Manager browsertoegang tot bestandsshares
Office Online documentbewerking (met bestanden die zijn opgeslagen op de lokale bestandsservers)
Mapped Drive van overal zonder VPN
Mobiele app-bestanden openen en bewerken met Microsoft Office Mobile Apps
Openbaar en privé delen van bestanden
Twee-factorenbeveiliging (2FA)
Eenmalig inloggen
Traditioneel Windows-bestandsdeling met gigabit-snelheid blijft beschikbaar naast MyWorkDrive. Gebruikers maken eenvoudig gebruik van het delen van bestanden met behulp van traditionele methoden op het lokale netwerk en gebruiken MyWorkDrive wanneer cloudfunctionaliteit of externe toegang nodig is. Voor IT-afdelingen hoeven geen SQL-databases te worden onderhouden of gelicentieerd, waardoor back-up en herstel van bestanden eenvoudig is - op NTFS gebaseerde bestandsshares blijven op hun plaats.
Het delen van en samenwerken aan bestanden met gebruikers buiten het bedrijf is essentieel voor een productief personeelsbestand. Met MyWorkDrive kunnen interne bestanden moeiteloos openbaar worden gemaakt met onze OneDrive-integratie. Door gebruik te maken van onze OneDrive-integratie kunnen bedrijven gevoelige gegevens beschermen door openbare bestanden indien nodig naar OneDrive over te dragen zonder interne systemen voor externe partijen open te stellen of onveilige koppelingen voor het delen van bestanden in te schakelen die bedrijfsservers kunnen blootstellen aan gegevensinbreuken.
Met MyWorkDrive alle soorten bedrijven kunnen cloudmogelijkheden toevoegen aan Windows-bestandsshares en tegelijkertijd hun gegevens beschermen en beheren om hun investeringen in de bestandsserverinfrastructuur toekomstbestendig te maken.