شرح كيفية التحكم بالمستخدمين من حيث الصلاحيات المعطاة لهم من خلال السيرفر ..


مقدمة حول صلاحيات win2k3 :

.تكمن الصلاحيات في win2k3 على تهيئة القرص الصلب بنظام الملفات NTFS ، الذي يمكنك بإعطاء الحماية والصلاحيات لكل من حسابات المستخدمين User Account أو المجموعات Groups أو على الكمبيوترات Computers على مصادر الشبكة .

مبدأ عمل الصلاحيات :

يخزن نظام NTFS قائمة تحكم للوصول [ access control list (ACL) ] إلى كل مجلد وملف مخزن في القرص الصلب الذي هيئ بنظام ملفات NTFS ، الـ ACL تحتوي على قائمة بجميع حسابات المستخدمين و المجموعات و الكمبيوترات التي تمنحك الوصول إلى المجلدات أو الملفات ونوعية هذا الوصول ايضاً.

للتوضيح أكثر :

عند طلب مستخدم للوصول إلى مجلد أو ملف معين ، فان الـ ACL يجب أن تحتوي على متدخلات حسابات المستخدمين و المجموعات أو الكمبيوترات .. وتسمى هذه المدخلات بـ access control entry (ACE) ، المدخلات يجب أن تحدد نوعية الوصول للمستخدم الذي طلب فتح مجلد أو ملف وهل له الصلاحية بفتحه أو منعه ، يعني إذا لم ننشأ ACE داخل ACL فان ويندوز 2003 سوف يمنع المستخدم من الوصول إلى المصدر سواء كان مجلد أو ملف ، انظر الصور .


http://dc84.4shared.com/img/56246429/ab0a93c6/1_online.JPG?sizeM=3

اذونات الـNTFS :

في وحدات التخزين NTFS علىwin2k3 ، يمكنك ضبط الصلاحيات على المجلدات و الملفات و الطابعات و على وحدات التخزين وهذه المسميات يطلق علها اسم الكائنات Objects ، وسنتطرق بشرح كامل عن كل ما سبق .


اذونات المجلدات و الملفات :

يمكنك تطبيق اذونات على المجلدات و الملفات بتنفيذ الخطوط التالية:.
1- من مستكشف ويندوز ، انقر بزر الفارة اليمن على المجلد أو الملف الذي تريد العمل معه .
2- من القائمة المختصرة، اختر Properties، ثم من مربع الحوار اختار علامة التبويب Security.
3- من اللائحة Name ، اختر المستخدم أو المجموعة و الكمبيوتر الذي تريد تطبيق الاذونات عليه ، إذا كانت الاذونات خافتة فهذا يعني أنها مورثة من كائن أب (( سنتكل عن هذه الخاصية لاحقاً )) .
4- ستلاحظ في ويندوز 2003 سيرفر انه لا وجود للعضو Everyone ، الذي يمنح تحكم كامل بالملفات و المجلدات ، فلزيادة الأمان حذف هذا العضو وتركزت الإدارة على Administrators .

http://dc84.4shared.com/img/56246428/dc0da350/2_online.JPG?sizeM=3

فهم أذونات الملفات و المجلدات :

الاذونات الأساسية التي يمكنك تعينها للمجلدات و الملفات ملخصة بالجدول التالى :

http://dc84.4shared.com/img/56246427/4cb2bec1/3_online.JPG?sizeM=3


http://dc84.4shared.com/img/56246426/3bb58e57/4_online.JPG?sizeM=3


ملاحظة مهمة :

كلما عملت مع صلاحيات المجلدات و الملفات يجب أن تتذكر ما يلي :.
1- Read هو الإذن الوحيد المطلوب لتشغيل النصوص ، الإذن Execute غير مهم.
2- إعطاء الإذن بالكتابة في ملف ولكن بعدم حذفه لا يمنع المستخدم من حذف محتويات الملف.
3- إذا اخذ مستخدم تحكم كامل على مجلد، سيتمكن من حذف الملفات الموجودة داخل هذا المجلد بغض النظر عن الإذن المعطى له على الملفات.


- الاذونات الخاصة بالمجلدات :

سنشرح الاذونات الخاصة المستعملة في المجلدات ونسبها إلى الاذونات الأساسية

http://dc84.4shared.com/img/56246425/a2bcdfed/5_online.JPG?sizeM=3

ملاحظة مهمة :

1- عندما تضبط الاذونات للمجلدات الآباء (( سنتطرق بشرح هذه المجلدات لاحقاً )) يمكنك إجبار كل الملفات و المجلدات الفرعية ضمن المجلد على وراثة الاذونات ، وذالك بوضع إشارة أمام Reset permissions on child objects and enable propagation of inheritable permissions .
2- عندما تنشأ ملفات في المجلدات ، سترث تلك الملفات بعض إعدادات اذونات ، و إعدادات هذه الاذونات تظهر كالاذونات الافتراضية للملفات

- الاذونات الخاصة بالملفات :

الاذونات الخاصة المستعملة لإنشاء الاذونات الأساسية للملفات باستعمالك إعدادات الاذونات المتقدمة ، يمكنك تعيين تلك الاذونات فردياً إذا لزم الأمر . وفي الجدول التالي نوضح التناسق بين الاذونات الأساسية و الخاصة .

http://dc84.4shared.com/img/56246422/3cd84a4e/6_online.JPG?sizeM=3

ملاحظة مهمة :

1- إذا لم يتم منح Allow أو منع Deny إذن ما بالتحديد، سيمنع ذلك الإذن عن المستخدم.
2- الأعمال التي يستطيع المستخدمين تنفيذها ترتكز على مجموع كل الاذونات المعينة للمستخدم وكل المجموعات التي يكون المستخدم عضوا بها . مثلاً: إذ كان المستخدم User1 يملك الإذن Read وكان عضو بالمجموعة Group B التي تملك الإذن Write، سيملك User1 الإذن Read & Write. وإذا كانت المجموعة Dragon بدورها عضو بمجموعة Administrators التي تملك الإذن Full Control سيملك SAM تحكما كاملا على الملف

http://dc84.4shared.com/img/56246420/d2d62b62/7_online.JPG?sizeM=3

- معلومة يجب أن تتذكرها و تأخذها بعين الاعتبار :

صلاحية ( إذن ) المنع Deny تطغى على كل الصلاحيات، مثلاً : إذ كان المستخدم User1 يملك الإذن Deny write وكان عضو بالمجموعة Group B التي تملك الإذن Change ، سيملك User1 الإذن بالمنع من الوصول إلى المجلدات و الملفات. ( انظر الصورة )

http://dc84.4shared.com/img/56246418/f720f093/8_online.JPG?sizeM=3

ضبط اذونات الملفات و المجلدات :

لضبط اذونات الملفات و المجلدات ، نفذ الخطوات التالية :
1- بزر الفارة الأيمن على المجلد أو الملف الذي تريد تطبيق الاذونات عليه واختر Properties .
2- من مربع حوار الخصائص اختر التبويب Security (( كما في الشكل 01 )) .
3- المستخدمين أو المجموعات الذين يملكون وصولاً إلى الملف أو المجلد من قبل سيكونون مذكورين في اللائحة Name ، يمكنك تغيير اذونات أولئك المستخدمين و المجموعات بتنفيذ ما يلي :
• اختر المستخدم أو المجموعة الذي تريد تغيير صلاحياته.
• استعمل اللائحة Permissions لمنع أو منح اذونات الوصول .


ملاحظة :
الاذونات المورثة مظللة ،إذا كنت تريد تخطي إذن مورث فأختر الإذن المعاكس له .

4- ضبط صلاحيات الوصول لمستخدمين أو مجموعات أو كمبيوترات إضافية، انقر على الزر Add سيعرض مربع الحوار
? في اللائحة Enter the object…… ادخل اسم المستخدم أو المجموعة أو الكمبيوتر الذي تريد أن تطبق عليه الاذونات.
? إذا تم العثور على تطابق واحد ، يتم تحديث مربع الحوار و سيتم تسطير الإدخال.
* إذا لم يتم العثور على تطابق تكون إما كتبت جزاً من الاسم غير صحيح انك تعمل مع مكان غير صحيح، عدل الاسم وحاول مرة أخرى أو انقر على Location لانتقاء مكان جديد.

ملاحظة :
الزر Location يتيح لك الوصول إلى أسماء حسابات من Domain آخر، ولكن لا تستطيع الوصول إلى موارد هذا الدومين إلا إذا كانت هناك ثقة بين الدومينين.

* إذا تم العثور على عدة تطابقات، انتق الاسم ( الأسماء ) الذين تريد استعماله ثم OK.
* لإضافة مستخدمين أو مجموعات أو كمبيوترات إضافية، اكتب فاصلة منقوطة ( ; ) ثم كرر هذه الخطوة.

http://dc84.4shared.com/img/56246416/1098dd94/9_online.JPG?sizeM=3


* وإذا لم تكن تتذكر اسم هذا الكائن ( اقصد بالكائن هم المستخدمين أو المجموعات أو الكمبيوترات ) فضغط على Advanced فسيعرض لك مربع حوار

http://dc84.4shared.com/img/56246414/fe96bcb8/10_online.JPG?sizeM=3

لاختيار نوع الكائن الذي تريد تطبيق الصلاحيات عليه اضغط على Object Type… .
* إذا كان هناك عدة أماكن Domain لاختيار كائن اضغط على Location لانتقاء مكان جديد New Domain.
* اضغط على Find Now لبحث لك عن كل الكائنات الموجودة على الـDomain ، ثم ما عليك إلا أن تختار الكائن وتضيفه إلى اللائحة Name .
5- من اللائحة Name اختر المستخدم أو المجموعة أو الكمبيوتر الذي تريد ضبط الاذونات عليه . ثم استعمل الحقول في الـ Permission لمنع أو منح الاذونات، ثم كرر العملة مع كائنات أخرى .
6- انقر OK عندما تنتهي .

قوانين نسخ Copy نقل (قص) Move الملفات و المجلدات :

عندما تنسخ أو تنقل الملفات أو المجلدات ، الاذونات يمكن أن تتغير طريقة نقل الكائنات ، الشئ الذي على مدير الشبكة أن يفهمه هو ما الذي سوف يتغير في اذونات الملفات أو المجلدات بعد نقلها أو نسخها .


## نسخ Copy المجلدات و الملفات :

عندما تنسخ ملف أو مجلد من مجلد إلى مجلد أخر، أو من قسم إلى قسم آخر
( مثلاً.. من القسم C: إلى D: ) فان اذونات هذه الملفات أو المجلدات يمكن أن تتغير ، سنشرح اثر هذا النسخ على الملفات و المجلدات .

I. عندما تنسخ ملف أو مجلد من خلال قسم NTFS واحد ، فان الملف أو المجلد سوف يرث اذونات المجلد الذي انتقل إليه

http://dc84.4shared.com/img/56246424/d5bbef7b/11_online.JPG?sizeM=3


II. عندما تنسخ ملف أو مجلد بين أقسام NTFS فان الملف أو المجلد سوف يأخذ صلاحيات المجلد الذي انتقل إليه

http://dc84.4shared.com/img/56246421/a5d11bf4/12_online.JPG?sizeM=3

III. عندما تنسخ ملف أو مجلد إلى قسم نظام ملفاته غير NTFS ( مثل FAT أو FAT32 ) فان الملف أو المجلد سوف يخسر جمع الصلاحيات التي كانت عليه

http://dc84.4shared.com/img/56246419/8027c005/13_online.JPG?sizeM=3


## قص Move المجلدات و الملفات :

عندما تنقل (تقص) ملف أو مجلد من مجلد إلى مجلد أخر ، أو من قسم إلى قسم آخر فان اذونات هذه الملفات أو المجلدات يمكن أن تتغير ، سنشرح اثر هذا التنقل على الملفات و المجلدات
I. عندما تنقل ملف أو مجلد من خلال قسم NTFS واحد، فان الملف أو المجلد سوف يرث الصلاحيات الأصلة و لا بتغير بها شي.

http://dc84.4shared.com/img/56246417/679fed02/14_online.JPG?sizeM=3

II. عندما تنقل ملف أو مجلد بين أقسام NTFS فان الملف أو المجلد سو يأخذ صلاحيات المجلد الذي انتقل إليه، فعلياً أنت قمت بنسخ الملف أو المجلد إلى مكان جديد وحذفت المجلد أو الملف من المكان القديم

http://dc84.4shared.com/img/56246415/89918c2e/15_online.JPG?sizeM=3

III. عندما تنقل ملف أو مجلد إلى قسم نظام ملفاته غير NTFS ( مثل FAT أو FAT32 ) فان الملف أو المجلد سوف يخسر جمع الصلاحيات التي كانت عليه.

http://dc84.4shared.com/img/56246412/17f5198d/16_online.JPG?sizeM=3

ضبط اذونات الطابعة :

الطابعات الشبكية هي احد المواد المشتركة ،وبالتالي يمكنك ضبط اذونات الوصول لها .
1- استعمل خصائص الطابعة التي تريد أن تضبط تكوينها لضبط اذونات الوصول .
2- افتح مربع الحوار ثم اختار علامة التبويب Security.

http://dc84.4shared.com/img/56246411/8efc4837/17_online.JPG?sizeM=3

3- اختر المستخدم الذي تريد تطبيق الاذونات عليه ، وإذا لم يكن موجود في اللائحة اضغط على Add وأضف كائن جديد (لزيادة معلومات راجع ضبط اذونات الملفات و المجلدات - الفقرة رقم 4 )
4- ثم OK .


فهم اذونات الوصول إلى الطابعة :

الاذونات الأساسية التي يمكن منحها أو منعها للطابعات هي Print (طباعة) و Manage Documents (إدارة المستندات) و Manage Printers (إدارة الطابعات) ، سوف اشرح قدرات كل من هذه الصلاحيات

http://dc84.4shared.com/img/56246410/f9fb78a1/18_online.JPG?sizeM=3


الاذونات الخاصة للطابعات ...


http://dc84.4shared.com/img/56246409/993cf144/19_online.JPG?sizeM=3


سوف نبين الإعدادات الافتراضية لمربع الحوار Print Permissions التي تستعمل لأي طابعة شبكية جديدة تنشئها :.
يمكنك Administrator و Printer Operators و Server Operators تحكماً كاملاً على الطابعات بشكل افتراضي، هذا يتيح لك إدارة الطابعة و أعمال طباعتها.
منشئ (Creator) أو مالك (Owner) المستند يملك إدارة مستنده، هذا يتيح للشخص التي طبع بإدارة مستنداته كتغييرها أو حذفها .
يستطيع Everyone الطباعة على الطابعة، هذا يمكن كل المستخدمين على الشبكة من الوصول إلى الطابعة.



اذونات الوصول لـ Removable Storage

كالكائنات الأخرى في ويندوز سيرفر 2003 ، تملك Removable Storage اذونات وصول محددة , يمكنك ضبط اذونات الوصول لكل من Removable Storage وكذلك Media الوسائط و Libraries المكتبات و الوسائط الفردية , يلخص الجدول التالي اذونات المستخدم المتوفرة من الأدنى إلى الأعلى .

http://dc84.4shared.com/img/56246407/7e84dc43/20_online.JPG?sizeM=3


ملاحظة مهمة :
الاذونات التي تنطبق على نظام Removable Storage لا تنطبق على الملفات التي تكون مخزنة في الوسائط، أي لا تزال اذونات الوصول NTFS تنطبق على الملفات دون تأثير بصلاحيات Removable Storage .



ضبط اذونات Removable Storage :

في البدء تكون Removable Storage مضبوطة لكي يديرها نظام التشغيل وأعضاء Administrators وBackup Operators ، يمنح المستخدمون العاديون وصولاً محدوداً فقط وهذا يكون ضرورياً عندما يعملون مع Removable Storage و مع Remote Storage لكن فقط أعضاء Administrators وBackup Operators يملكون الاذونات الضرورية لنسخ الملفات احتياطياً واستعادتها في الكمبيوترات، لذا حتى لو منحت شخا ما تحكما قد لا يستطيع نسخ الملفات احتياطياً أو استعادتها .
ولضبط هذه الصلاحيات قم بتنفيذ الخطوات التالية :.

1- بزر الفأرة الأيمن على My Computer واختر Manage .
2- من مربع حوار Computer Management انقر باليمين على العنصر الذي تريد العمل معه واختر Properties .

http://dc84.4shared.com/img/56246431/bcca2ab5/21_online.JPG?sizeM=3

3- من مربع حوار Properties اختر التبويب Security

http://dc84.4shared.com/img/56246430/cbcd1a23/22_online.JPG?sizeM=3

4- المستخدمين أو المجموعات التي يمكنها الوصول إلى العنصر مذكورة في اللائحة Group or user name غير الاذونات باستخدام Permissions for…. لمنح أو منع اذونات الوصول لإضافة مستخدم أو مجموعة في اللائحة اضغط على Add وأضف كائن جديد
5- عندما تنتهي اضغط OK .

انتهينا بعونه تعالى ...

الله معكم ....