HOWTO : Jak funguje sdílení ve windows

28.6.2011 22:45 | Přečteno: 15180× | windows | | poslední úprava: 1.7.2011 09:32

Hodně často narážím na lidi, kteří nemají vůbec ani páru, jak funguje sdílení ve windows. Někteří si říkají IT technici, jiní dokonce it správci. Takže šupky dupky velmi stručně pro úplný lajky.

Jeden z dalších důvodů, proč jsem píšu info o sdílení ve windows je i to, že bych rád uvolnil můj malý program v c++ (malý exáček, co nastavuje hafo věcí přes registry), kterým nejen toto nastavuji a tak se sluší a patří nejdříve uvést, jak vše funguje. Během zběžného infa budu předpokládat, že máme windows xp profíky, nebo servery (přecijen, pohybujeme se trochu v té správcovské úrovni).

Použité obrázky mohou obsahovat drobné nepřesnosti, berme je jen jako informativní ukázku. Nyní už jen drobné info, co nás čeká :

• Základ
• Nastavení práv na filesystému
• Nastavení práv sdílení
• Nastavení způsobu ověřování
• Nastavení firewallu
• Sdílení pro všechny bez hesla, aneb guest
• Zjednodušené sdílení souborů
• Sdílení Cé dolar, aneb C$
• Okolní síť ve windows
• Netbios
• Wins server
• DNS server
• DDNS server
• Nastavení search domény
• Ověřování uživatelů heslo/neheslo, aneb NTLM
• Přístup k sdíleným složkám
• Instalace síťových tiskáren
• Nasdílená tiskárna
• Síťová tiskárna
• Sdílení jako obezlička pro tisk (mapování na lpt)
• Porty SMB/CIFS/Netbios
• Závěr

Základ

Do začátku bychom měli zvládnout nastavit všechny níže zmíněné věci. Jsou to vskutku základy.

• Nastavení práv na filesystému
  

  Nejdříve musíme definovat práva uživatele, nebo skupiny, které mají fyzický přístup k souborům na filesystému. Tzn. lokální přístup (práva na souboru/složce). Měli bychom mít vypnuté zjednodušené sdílení souborů (viz sekce níže).

  Je třeba si uvědomit, že na Home verzích windows si práva na filesystému jednoduše nenastavíme. Jsou o tuto možnost ochuzeny. Lze jí doinstalovat / dobastlit, ale legálnost aj. aspekty nejsou příliš košér.

  Líní tzv. administrátoři nastavují lokální práva jako everyone standardně a přístup pomocí uživatele a hesla řeší až na úrovni sdílení. To bych taky jednoho zabil.

  Zmíněná sekce : pravé tl. myši na složku -> vlastnosti -> zabezpečení
  

• Nastavení práv sdílení
  

  Dále je potřeba nastavit práva pro sdílení jako takové. Tzn., jaký uživatel, nebo skupina má právo přistupovat na sdílenou složku po síti a zda má právo zápisu, či jen čtení.

  Zmíněná položka : pravé tl. myši na složku -> vlastnosti -> sdílení -> (název sdílené složky, oprávnění atd.)
  

• Nastavení způsobu ověřování
  

  Je potřeba nastavit způsob ověřování. Tedy, zda se mají všichni ověřovat jako guest, nebo jako sami sebe (tj. pomocí uživatele a hesla)

  Zmíněná položka : Start -> Ovládací panely -> Nástroje pro správu -> Místní zásady zabezpečení -> Místní zásady -> Možnosti zabezpečení
  

• Nastavení firewallu
  

  Je potřeba ve firewallu povolit sdílení souborů. V případě winxp je to triviální, v případě visty a win7 si dávejte bacha, pro jakou lokaci povolujete přístup (zda z domény, privátní sítě, nebo veřejné).

• Sdílení pro všechny bez hesla, aneb guest
  

  Aby složka mohla být sdílena pro všechny a bez hesla, je potřeba, aby byl lokální přístup povolen pro uživatele everyone, taktéž sdílení bylo povoleno pro everyone. Dále je potřeba, aby byl povolen účet guest (standardně je zablokován). Ve win7 musí být povoleno sdílení pro neověřené uživatele.

  Nejlépe se vše spravuje přes konzoli správce počítače : Buď pravé tl. myši na Tento počítač(né jeho zástupce) -> Spravovat
  Nebo : Start -> Ovládací panely -> Nástroje pro správu -> Správa počítače -> Místní uživatelé a skupiny -> Uživatelé
  

• Zjednodušené sdílení souborů
  

  Pokud máme zapnuté zjednodušení sdílení souborů (jediná možnost v Home verzích winxp), tak není vidět ve vlastnostech složky položka "zabezpečení", tj. nastavování práv na filesystému.

  Zjednodušené sdílení má ale i nějaké výhody (hlavně pokud chceme rychle nasdílet třeba tiskárnu):
  - automaticky povolí uživatele guest
  - automaticky nastaví sdílení pro každého
  - automaticky nastaví bránu firewall
  

  Shrnuto a podtrženo, zjednodušené sdílení je pro základní nastavení sdílení pro všechny, rychle a velmi jednoduše, což je případ nezkušených uživatelů, tedy majítelů winxp home verzí, kde je toto jediná možnost sdílení.

  Zjednodušené sdílení souborů se nastavuje : Start -> Ovládací panely -> Možnosti složky -> Zobrazení ->Použít zjednodušené sdílení souborů (doporučeno)
  

Sdílení Cé dolar, aneb C$

WinXP standardně sdílí rootovský "C:" oddíl (a nejen ten), jen není přístupný, pro nikoho (ani se správně zadaným uživatelským jménem a heslem administrátora). Sdílení přes C$ ani pořádně nerozumí administrátoři windows serverů a domén. Jednoduše proto, že při připojení počítače do domény se C$ automaticky zpřístupní administrátorovi domény, tudíž jeho sdílení nemusí řešit. Výhody a nevýhody tohoto přístupu snad ani říkat nemusím. Je to bezpečnostní riziko, které ovšem rád podstoupím, jelikož jako administrátorovi mi to ušetří hodně práce a uživateli počítače čas.

Všechny sdílené položky lze vidět ve správci počítače : Start -> Ovládací panely -> Nástroje pro správu -> Správce počítače -> Sdílené složky -> Sdílené položky

Podrobné informace o nastavení C$ na pc, který není v doméně, si probereme v příštím článku spolu s mocnou a záhadnou věcí, které se říká wmi.

Okolní síť ve windows

Když vidím administrátora, který když se chce dostat na nějaký počítač a vleze do okolní sítě, tak si občas něco pomyslím. Okolní síť je jen špatný vtip založený na netbiosu. Rozumněj, pofiderní protokol, který má za cíl prezentovat jména počítačů na síti. Tento způsob je pomalý, neefektivní a hlavně děsně nespolehlivý. Někdy trvá sto let načtení okolní sítě a většinou tam nejsou všechny počítače vidět (ač mají identické nastavení).

• Netbios
  

  Netbios je ve winxp standardně zapnut a slouží k získávání seznamu a jmen počítačů v sítí aniž by existoval nějaký statický seznam (třeba server na síti, který by tento seznam spravoval). Informace jsou získávány jak jinak, nežli broadcastem, což není úplně krásná věc. Netbios je hodně stará věc a dříve byl i nezbytnou mezivrstvou pro sdílení souborů ve windows, protože starší verze protokolu smb neuměla přímo pracovat nad tcp/ip. V dnešní době je podle mně netbios zbytečná nepotřebná zátěž, kterou není vhodné používat.

  Jen tak v rychlosti, zakazuje se/povoluje se zde : Start -> Ovládací panely -> Síťová připojení -> Vlastností síťového připojení (pravé tl. myši na připojení) -> Protokol sítě internet (TCP/IP) -> Vlastnosti -> Upřesnit -> Wins :
  

• Wins server
  

  Řešeních je několik. Někdo to začal řešit pomocí wins serveru, což je jen jakýsi server na síti, který udržuje názvy strojů a jejich ip adresy. Wins jde také do úpadku, máme přeci DNS!

  Nastavení wins je na stejném místě jako nastavení netbios.

• DNS server
  

  DNS je velmi správné řešení. Proč mít několik různých rozjetých serverů, když mají vlastně dělat totéž? Tzn., překládat jména na ip, popř. obráceně.

• DDNS server
  

  DDNS je ještě lepší řešení. To je vlastně, velmi jednoduše řečeno, dhcp server na síti, který přiděluje IP strojům a jakmile nějakému stroji přidělí IP, tak informuje DNS server o jeho názvu a ip adrese, a dns server automaticky přidá příslušný záznam, takže je hned daný stroj dostupný pod dns jménem.

  Ve finále tedy máme rozjetou třeba doménu "firma.local" a stroje jsou vidět jako "stroj.firma.local". A to je další z neznalostí tzv. administrátorů win stanic. Když je totiž počítač v doméně, tak na něj lze přistupovat, resp. ho překládat voláním názvu bez domény, tzn : "stroj", né jen "stroj.firma.local". Finta je v tom, že ve win je standardně nastavená proměnná search, která umožňuje vyhledávání domény a standardně je vyhledávána doména v AD, jinak žádná, pokud si jí ručně nenastavíme . Když tedy není pc v AD doméně a my nevíme, jak nastavit ručně proměnnou search, tak nám nebude fungovat překlad stroje voláním jen jeho názvu, ale musíme volat celé jeho doménové jméno, což je opruz.

• Nastavení search domény
  

  Provedeme jednoduše přes registry : Start -> Spustit -> regedit a příslušný klíč je :
  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" (položky "Domain" a "SearchList")
  

  Pokud toto nastavíme, tak se nám příslušná doména přidá za název pc, což můžeme ověřit ve vlastnostech počítače (po restartu by mělo vše fungovat):
  

  V linuxu se toto nastavuje v /etc/resolv.conf, viz příklad :

  search firma.local
  nameserver 192.168.0.1
  nameserver 192.168.0.2
  

Ověřování uživatelů heslo/neheslo, aneb NTLM

Uživatel je přihlášen na klientském pc pod jménem : "franta" a heslem : "vopice". Pokud na serveru vytvoříme stejného uživatele se stejným heslem a nasdílíme složku jen pro tohoto uživatele, popř. pro skupinu, ve kterém daný uživatel je, tak při přístupu klientského pc na server do oné sdílené složky nemusí uživatel zadávat heslo (jsou na obou místech shodná). Tomuto se říká ověřování pomocí NTLM. Uživatel tedy nemusí všude zadávat hesla jak splašenej, resp. jen tam, co podporuje ověřování pomocí NTLM a je tam vytvořený shodný uživatel se shodným heslem.

Přístup k sdíleným složkám

Většinou stačí jen otevřít třeba tento počítač a do adresního řádku naťukat IP adresu stroje a jméno sdílené složky :

\\192.168.1.1\dokumenty

Další možností je, namapovat onu sdílenou složku na nějaké písmeno :

net use X: \\192.168.1.1\dokumenty

V KDE3/4 se dá třeba lehce využít kioslave, tzn., že v konqueroru, nebo v krusaderu se naťuká do adresního řádku :

smb://192.168.1.1/dokumenty

UPDATE : Tady bych zmínil ještě jednu zajímavou věc. Když někdo má winxp a snaží se takto k někomu přistupovat, tak to většinou trvá dost dlouho. WinXP apod. mají totiž miliony věcí kolem a testují a kontrolují různé blbosti a bůh ví, co všechno. Ve finále tedy kolegové s winxp stanicemi čekají, třeba 10-20s, než se k někomu dostanou na C$ a já z linuxu přes kio-slave jsem na daném stroji za vteřinku (prostě mi okamžitě vyběhne nabídka k loginu a heslu a jsem tam). Z win serverů je to rychlejší, ale na linux to v některých případech stejně nemá. Samozřejmě jsem se u winxp pokoušel různě s těmito věcmi laborovat, vypínat zbytečně fce apod., ale k rychlosti na linuxu jsem se nedostal.

Instalace síťových tiskáren

• Nasdílená tiskárna
  

  Lze použít několik způsobů. Prvním z nich je, že si otevřeme tento počítač a do adresního řádku naťukáme ip adresu stroje, který tiskárnu sdílí "\\192.168.1.1\", poté se nám zobrazí seznam všech sdílení (sdílené složky i sdílené tiskárny), které ten danný počítač má. Poté už jen stačí ťuknout pravým tl. myši na tiskárnu a dát připojit. Tím se stáhnou a nainstalují ovladače z počítače, který onu tiskárnu sdílí. Vše probíhá téměř automaticky a vše je velmi jednoduché. Ovšem někdy není toto řešení úplně ok, třeba některé starší aplikace ztrácejí své nastavení ohledně takto připojené síťové tiskárny, což není moc vyhovující. Další problém může být třeba různorodost systémů a jejich ovladačů atd.

  Nejlepším řešením je vytvoření tzv. local portu. Tzn : nabídka start -> ovládací panely -> Tiskárny a faxy -> přidat tiskárnu -> další -> Místní připojená k tomuto počítači (odškrtneme Automaticky rozpoznat a nainstalovat tiskárnu ...) -> další -> Vytvořit nový port -> typ portu : local port -> nabušíme celou sdílenou cestu : "\\192.168.1.1\HP3015". Poté už si jen vybereme adresář s ovladačem pro tiskárnu a vualá, tiskárna se nainstaluje a vše sviští.

  

  Takto lze použít i jiný ovladač, lze použít třeba nějaký univerzální (v případě laserových tiskáren hp to bývá windows driver "HP Laserjet III"), vše se tváří jako lokální tiskárna a aplikace s tím nemají problémy a celé je to stabilnější.

• Síťová tiskárna
  

  Tato tiskárna má svojí vlastní síťovou kartu a tudíž i svojí IP. V dialogu pro přidání tiskárny můžeme postupovat obdobně jako v předchozím případě, tj. vytvoříme nový port, ale tentokrát né local port, ale "Standard TCP/IP Port" a v následujícím dialogu jen do prvního řádku naťukáme ip adresu tiskárny, nic víc, druhý řádek se sám doplní, poté dáme další a vybere příslušnou složku s ovladačem a vualá, je to tam. Toto je nejlepší způsob, jak síťovou tiskárnu přidat.

  

Sdílení jako obezlička pro tisk (mapování na lpt)

Máme starou dosáckou aplikaci, která umí tisknout jen na LPT port. Máme novou laserovou tiskárnu, která nemá LPT port, jen USB. Co teď? Tiskárnu nainstalujeme, nasdílíme jí a namapujeme na LPT port pomocí příkazu :

net use lpt1: \\127.0.0.1\nazevsdilenitiskarny

Nu a nyní když dosácká aplikace pošle tisk na lpt port, tak se přesměruje na sdílenou tiskárnu, která to přehodí na usb port.

Porty SMB/CIFS/Netbios

Jaké porty se používají a k čemu jsou? Tyto :

Port / protokol	K čemu je	Poznámka
137/udp	NETBIOS name service	Zjištění seznamu pc v síti pomocí netbios
138/udp	NETBIOS datagram service	Prohlížení počítačů v síti pomocí netbios
139/tcp	NETBIOS session service	Vlastní sdílení souborů pomocí netbios
445/tcp	SMB Direct (SMB over TCP)	Sdílení souborů SMB/CIFS bez netbios

Závěr

Vše zmíněné by mělo platit i pro win7, jen počítejte s tím, že se asi 2x víc naklikáte (bezesrandy) a některé drobnosti budou na trochu jiných místech.
Pro dnes by to bylo vše. Snad se mi povedlo velmi polopaticky a snad i úspěšně vysvětlit tuto základní problematiku a doufám, že jsem na nic nezapomněl, nebo se někde blbě nepřežblept (psal jsem to z hlavy). Příště tedy podrobně C$ a tajemné WMI. Poté už nás jen čeká amatérský zbastlený C++ program, který je i takovým seznamem pěkných klíčů a hodnot v registrech.

Zdar Max        

Anketa

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru