COMPARTILHAMENTO DE ARQUIVOS DO WINDOWS
Práticas recomendadas de compartilhamento de arquivos do Windows
Tradicionalmente, o compartilhamento de arquivos do Windows limita-se a criar compartilhamentos em servidores locais, definir permissões e acessar arquivos em redes locais ou VPNs. O Compartilhamento de Arquivos do Windows tem muitos benefícios, incluindo velocidade de acesso, simplicidade, capacidades de armazenamento ilimitadas, integração com o diretório ativo e a capacidade de implantar unidades mapeadas em milhares de máquinas instantaneamente usando scripts de login ou políticas de grupo. Por esse motivo, a maioria das empresas continua a manter investimentos significativos em uma infraestrutura de compartilhamento de arquivos do Windows, incluindo servidores, redes de alta velocidade, redes de área de armazenamento e dispositivos de armazenamento de rede. Esses dispositivos fornecem a confiabilidade, velocidade e redundância que as empresas exigem para uma força de trabalho altamente eficiente.
Conteúdo
- Compartilhamento de arquivos do Windows
- Criando um compartilhamento de arquivos do Windows (fácil)
- Criando um compartilhamento de arquivos do Windows (avançado)
- Enumeração baseada em acesso usando o compartilhamento de arquivos do Windows
- Namespaces DFS
- Backup e retenção
- Acesso remoto de compartilhamento seguro de arquivos
Compartilhamento de arquivos do Windows
Compartilhar arquivos usando o diretório ativo do Windows é fácil. É importante primeiro planejar a estrutura de diretórios. As empresas normalmente criam pastas raiz que, por sua vez, se tornam compartilhamentos que podem ser mapeados para vários departamentos (por exemplo: Finanças, Projetos, Executivo, RH). No passado, as empresas mapeavam diferentes letras de unidade para cada departamento. Isso não é mais necessário, pois a Microsoft lançou a adição do recurso “Enumeração baseada em acesso”, conforme observado abaixo.
Também é importante planejar o crescimento futuro alocando espaço em disco suficiente para o arquivo. É uma prática recomendada localizar arquivos em uma letra de unidade separada das Unidades do sistema operacional para evitar que problemas futuros com espaço em disco ou uma falha do sistema operacional corrompam os arquivos. Organizações maiores normalmente armazenam arquivos em dispositivos Network Attached Storage com failover e backup integrados e utilizam namespace DFS para redirecionar usuários para servidores de arquivos redundantes de back-end.
Os compartilhamentos do Windows File Server podem ser criados usando o Gerenciador do Servidor ou clicando com o botão direito do mouse em qualquer pasta e escolhendo “Compartilhamento” na guia de compartilhamento para criar um compartilhamento que pode ser mapeado pelos PCs. A Microsoft tem um ótimo artigo aqui sobre como criar um compartilhamento de arquivos usando o Server Manager aqui. Para nossos propósitos, criaremos um compartilhamento usando o processo manual para que possamos ter controle total sobre permissões, nome do compartilhamento e permissões de compartilhamento.
Depois de criar a estrutura de pastas, clique com o botão direito do mouse na pasta e escolha propriedades, depois escolha compartilhar para criar o compartilhamento e definir as permissões:
Normalmente, você adicionaria os vários grupos para os quais deseja ter acesso à sua estrutura de pastas. Com a interface simplificada, a criação de compartilhamento real e os detalhes de permissão são definidos para você. Usando a interface Advanced Share, podemos ver a permissão real aplicada ao compartilhamento e ao NTFS.
Existem 2 componentes ao compartilhar pastas no Windows. Primeiro, o nome e a permissão reais do compartilhamento no compartilhamento e as permissões NTFS subjacentes. Nos primeiros dias dos sistemas de arquivos do Windows (fat e fat32) não permitiam a configuração de permissões, então a Microsoft permitia que os administradores definissem permissões no próprio compartilhamento, em vez da estrutura de pastas abaixo. Felizmente, o NTFS existe há muitos anos e não é mais necessário ou aconselhável definir permissões no compartilhamento de arquivo nível e você verá que quando você usa as permissões da interface de compartilhamento fácil no nível de compartilhamento são definidas para o grupo especial “Todos” e controle total.
Portanto, fica claro que devemos sempre definir a permissão no compartilhamento como “Todos” com controle total ao usar a opção de compartilhamento avançado para contornar esse recurso herdado e usar apenas permissões NTFS para aplicar a segurança. Uma observação adicional sobre compartilhamentos e nomes de arquivos – para tornar o compartilhamento oculto (não transmiti-lo na rede para navegação), acrescente um sinal $ ao final do nome. Por exemplo: Finance$ pode ser usado para ocultar o compartilhamento de aparecer quando os usuários navegam na rede. Para mapear uma unidade para ela, os usuários precisam saber o nome – por exemplo, \\server\finance$.
Em seguida, precisamos definir permissões em pastas usando a segurança NTFS. Se observarmos as permissões de segurança para a pasta compartilhada que criamos em nosso exemplo, veremos que os grupos de usuários que escolhemos receberam permissões nessa pasta compartilhada:
A partir desta interface, podemos adicionar usuários e grupos adicionais ou desabilitar a herança para que possamos aplicar permissão personalizada apenas nesta pasta. Essa interface também é onde vamos nos apropriar de arquivos e pastas. Nos resultados de segurança do assistente de compartilhamento fácil, podemos ver que ambos os grupos que adicionamos têm “Controle total” para todos os arquivos e pastas. Embora o Controle Total faça sentido para Administradores, não é aconselhável para grupos de usuários comuns. Ao conceder controle total aos usuários regulares, também concedemos a eles o direito "Tomar propriedade", que causará problemas no futuro. Arquivos “de propriedade” de um usuário podem ficar indisponíveis para outros usuários, resultando em solicitações de suporte e na necessidade de que o administrador “Tome propriedade” para que esses arquivos estejam novamente disponíveis para todos com direitos ao compartilhamento. Em nosso exemplo, queremos definir o grupo "Usuários do domínio" para todos os direitos, exceto "Controle total", usando as propriedades da guia de segurança na pasta. Esta etapa simples evitará problemas de resolução de problemas de propriedade de arquivos no futuro.
A Microsoft tem um utilitário integrado no Windows para limpar problemas de propriedade chamado “takeown”. Aconselhamos os clientes a limpar os problemas de propriedade existentes antes de implantar o MyWorkDrive. Este comando se apropriará da pasta ou unidade e de todos os arquivos e subpastas na pasta ou unidade.
Abra um prompt de comando elevado (administrador).
Para conceder propriedade ao grupo de administradores:
takeown /F “caminho completo da pasta ou unidade” /A /R /DY
Outra opção para limpar as permissões de propriedade é usar o comando icacls.
Para conceder propriedade ao grupo de administradores:
icacls “caminho completo da pasta ou unidade” /setowner “Administradores” /T /C
Enumeração baseada em acesso usando o compartilhamento de arquivos do Windows
A enumeração baseada em acesso (ABE) exibe apenas os arquivos e pastas que um usuário tem permissão para acessar. Se um usuário não tiver permissões de leitura (ou equivalentes) para uma pasta, o Windows ocultará a pasta da exibição do usuário. Este recurso está ativo apenas ao visualizar arquivos e pastas em uma pasta compartilhada; ele não está ativo ao visualizar arquivos e pastas no sistema de arquivos local. Ao utilizar esse recurso e definir as permissões adequadas, os administradores de rede podem reduzir o número de compartilhamentos necessários e usar o ABE para exibir apenas arquivos e pastas para os quais o usuário tem permissão quando acessado por caminhos UNC.
O ABE requer ciclos de CPU para calcular os arquivos e pastas a serem exibidos, portanto, é importante dimensionar adequadamente os servidores para lidar com a carga necessária com base no número de usuários que acessam os compartilhamentos de arquivos e no número de arquivos e pastas a serem exibidos.
Habilite o ABE em cada compartilhamento de arquivos do Windows usando o guia da Microsoft: Habilitar enumeração baseada em acesso em um namespace. A Microsoft tem um artigo completo da guilda sobre as melhores práticas para compartilhar arquivos e pastas usando enumeração baseada em acesso aqui.
Namespaces DFS
Namespaces DFS é uma função no Windows Server que permite agrupar pastas compartilhadas localizadas em servidores diferentes em um ou mais namespaces estruturados logicamente. Isso possibilita dar aos usuários uma visão virtual de pastas compartilhadas, onde um único caminho leva a arquivos localizados em vários servidores. A vantagem do DFS é que as unidades podem ser mapeadas para um espaço de nome DFS e redirecionadas automaticamente para o compartilhamento de arquivos ativo atual. Isso torna a migração para novos servidores de arquivos no futuro muito simples, pois um novo servidor de arquivos pode ser redirecionado a qualquer momento.
Backup e retenção
A primeira linha de defesa para qualquer organização são backups eficazes, testados e redundantes. Além de agendar backups de hora em hora, diariamente, semanalmente ou em outros intervalos, os administradores de TI podem aproveitar o serviço “Volume Shadow Copy” integrado ao Windows Server. Ao habilitar instantâneos de hora em hora, arquivos e pastas podem ser revertidos para versões anteriores instantaneamente sem ter que ir para sistemas de backup. Os instantâneos de cópia de volume não são uma estratégia de backup em si, mas podem fornecer um nível adicional de proteção.
O backup e a retenção também são uma grande preocupação para proteger contra perda de dados, corrupção e para cumprir os requisitos legais. Normalmente, a maioria das empresas deve reter até 7 anos de backups que podem ser facilmente restaurados no futuro. Por esse motivo, as empresas relutam em armazenar seus arquivos em sistemas de arquivos baseados em banco de dados localmente ou na nuvem, incluindo sistemas de gerenciamento de documentos (DMS) e sistemas Enterprise File Sync & Share (EFSS). Com o compartilhamento tradicional de arquivos do Windows baseado em NTFS, os backups de arquivos podem ser armazenados em discos rígidos de backup, tornando a restauração tão simples quanto copiar arquivos - mesmo vários anos depois. Com sistemas DMS ou EFSS, a restauração de dados de arquivo é significativamente mais complexa. A restauração requer backup e restauração de sistemas operacionais inteiros, reinstalação de bancos de dados SQL em uso naquele momento (que podem não estar mais disponíveis), restauração de backups de dados SQL e reintegração de servidores de volta ao diretório ativo. EFSS ou sistemas baseados em nuvem exigem assinaturas de backup de terceiros que devem ser mantidas indefinidamente para evitar perda e remoção de dados de arquivo de backup pelo fornecedor de nuvem.
Empresas de todos os tipos estão recorrendo ao MyWorkDrive para oferecer suporte Trabalho remoto mantendo a velocidade e a simplicidade do compartilhamento tradicional de arquivos do Windows usando nosso complemento de nuvem híbrida. Com o MyWorkDrive, os departamentos de TI simplesmente configuram o software do servidor Windows MyWorkDrive, apontam para compartilhamentos de arquivos existentes do Windows e em minutos Compartilhamento seguro de arquivos a funcionalidade de acesso remoto é disponibilizada para usuários sem VPN, incluindo:
Acesso do navegador do Web File Manager a compartilhamentos de arquivos
Edição de documentos do Office Online (com arquivos armazenados nos servidores de arquivos locais)
Unidade mapeada de qualquer lugar sem VPN
Acesso e edição de arquivos de aplicativos móveis usando os aplicativos móveis do Microsoft Office
Compartilhamento de arquivos públicos e privados
Segurança de dois fatores (2FA)
Logon único
O Compartilhamento de Arquivos do Windows tradicional em velocidade gigabit continua disponível em paralelo ao MyWorkDrive. Os usuários simplesmente aproveitam o compartilhamento de arquivos usando métodos tradicionais na rede local e usam o MyWorkDrive quando a funcionalidade da nuvem ou o acesso remoto são necessários. Para os departamentos de TI, nenhum banco de dados SQL precisa ser mantido ou licenciado, simplificando o backup e a restauração de arquivos – os compartilhamentos de arquivos baseados em NTFS permanecem em vigor.
Compartilhar e colaborar em arquivos com usuários fora da empresa é essencial para uma força de trabalho produtiva. Com o MyWorkDrive, os arquivos internos podem ser tornados públicos sem esforço com nossa integração OneDrive. Ao alavancar nossa integração do OneDrive, as empresas podem proteger dados confidenciais transferindo arquivos públicos conforme necessário para o OneDrive sem abrir sistemas internos para terceiros ou habilitar links de compartilhamento de arquivos inseguros que podem expor os servidores da empresa a violações de dados.
Com MyWorkDrive empresas de todos os tipos podem adicionar recursos de nuvem aos compartilhamentos de arquivos do Windows enquanto protegem e controlam seus dados para garantir o futuro de seus investimentos em infraestrutura de servidor de arquivos.