Поражение в правах — еще не репрессии

Поражение в правах - еще не репрессии



Разумное ограничение прав - основа спокойного сосуществования ярких личностей в рамках компактного сообщества. Эта гражданско-социальная истина применима и для группы компьютерных пользователей, силой производственных или иных обстоятельств загнанных в тесные рамки локальной сети.

За пафосом этой фразы кроется простая житейская платформа. Конечно, приятно, когда имеешь неограниченный и практически бесконтрольный доступ к ресурсам соседского компьютера, но если кто-то будет так же хозяйничать на вашей машине... И проблема не только и не столько в конфиденциальности части ваших файлов. Ограничение доступа к информации диктуют соображения безопасности, эффективности и комфортности работы.

Возьмем для примера компьютер сотрудника, отвечающего за переписку с клиентами некоторой абстрактной фирмы. На винчестере этой машины, помимо по непонятному никому, кроме хозяина (хозяйки), принципу раскиданных по директориям файлов с полученными, отправленными и недописанными до конца письмами, есть еще масса полезных вещей. Во-первых, игрушки, скрашивающие суровые офисные будни, когда начальник отъедет на часок в банк или на переговоры. Во-вторых, личные документы, файлы с курсовыми и дипломными работами, подборки анекдотов от армянского радио, разные другие забавные, интересные и полезные вещицы. В-третьих, большую часть винчестера оккупировала система Windows и приложения к ней - Word, Excel и прочая ерунда. Есть еще какие-то программки-утилиты, неизвестно кем, когда и с какой целью принесенные, но выкидывать которые жаль - вдруг пригодятся. Также как и обширная коллекция всевозможных DOS'овских архиваторов и антивирусов, просто полный набор DOS'а и разнообразные русификаторы клавиатуры и экрана, оставшиеся со времен 286-х машин и представляющие большую ностальгическую ценность. А может, они на черный день хранятся? В любом случае, если задуматься о предоставлении прав доступа к этому хозяйству посторонним, то бишь коллегам по работе, окажется, что им тут делать вообще нечего. Система, приложения и утилиты у них и свои есть, нечего в чужие лазить. Личные файлы, как и любимые игрушки, не терпят чужого глаза, не говоря уже о руках. Рабочие директории - можно, конечно, только без помощи хозяина в них все равно никто ничего не найдет. А напортить, разрушить сложившийся механизм "я помню, где что лежит, и кладу туда, где мне удобнее" могут. И не со злобы, а просто так, в силу дурного воспитания и невнимательности.

Как быть? Сосед-то, пока не откроешь свой диск, волком глядит, когда к нему за договором залезешь. Придется, наверное, навести порядок. Кстати, неплохо, чтобы и сосед в своем сметнике разобрался и хоть как-нибудь упорядочил документы, а то час провозишься, все подряд открывая, пока найдешь нужный.

Итак, начнем. В первую очередь попробуем навести порядок в рабочих файлах. Для простоты картины предположим, что письма в данной организации не делятся по темам. А вот по стадии работы с ними - ради Бога. Во-первых, есть только что полученные, еще не прочитанные или не обработанные. Во-вторых, имеются письма от сторонних организаций зарегистрированные, подшитые и хранящиеся в архиве, организованном по хронологическому признаку (поквартально и по годам). Кроме чужой, есть и собственная корреспонденция. Она состоит из еще не до конца доработанных писем, писем, находящихся на утверждении руководством, утвержденных, но пока еще не отправленных адресату, и, понятно, архива переписки.

Нет смысла придумывать, как все это добро могло лежать на винчестере до наведения порядка, так же как и нельзя утверждать, что предложенная в качестве примера схема организации директорий - оптимальная и универсальная. Она не предназначена для дословного воспроизведения на вашей машине, так как может страдать неточностями (я не силен в делопроизводстве) и не подходить из-за характера ведущейся вами переписки. Это просто пример, призванный продемонстрировать те основные подходы, которые я хочу вам предложить.

Для начала создадим на диске структуру папок-директорий, соответствующую характеру писем. Чтобы не перегружать корневую директорию винчестера и не путать работу с более интересными вещами, поместим все письма в директорию, которую так и назовем - "Письма". Внутри нее организуем папки "Входящие", "Требующие ответа", "Архив входящих", "Готовящиеся", "На подписи", "К отправке", "Архив исходящих". Внутри каждой из этих папок возможно создание уточняющих (тематических или других) директорий. Например, архивные папки следует разбить по годам, включая текущий, а уже внутри каждого года завести отдельные папки на каждый квартал, что и соответствует принятой в нашей абстрактной организации схеме архивирования документов.

Теперь пару слов о доступе к ресурсам в Windows 95. Эта система предлагает на выбор два механизма - на уровне пользователей и на уровне ресурсов. Первый подразумевает, что для каждого пользователя создается профайл, в котором перечисляется, к каким ресурсам, когда и как он может обратиться, в какую группу пользователей он входит и каким паролем сейчас пользуется. Похожие профайлы создаются для групп пользователей, обладающих одинаковыми правами, что избавляет от необходимости подробно перечислять все диски и директории в профайле конкретного пользователя. Схема достаточно гибкая и удобная, позволяющая точно настроить систему на принятие в информационное пространство каждого сотрудника и обладающая высокой степенью защиты от несанкционированного доступа. В Windows 95 она не работает. Точнее, ее нет в самой Windows 95, а задействовать ее можно при условии, что в сети используется сервер под управлением более мощной системы - Windows NT или NetWare. Чего у нас нет.

Поэтому переходим к доступу на уровне ресурсов. Как следует из названия, объектами для описания прав доступа в сети в этом случае являются не пользователи, а машинные ресурсы - области дисковой памяти и принтеры. Для каждого дискового ресурса, к которому открывается совместный доступ, можно ограничить права абсолютно всех пользователей в сети (за исключением, конечно, работающего на этом компьютере) только чтением или предоставить полный доступ, включающий и чтение, и запись. Все можно подкрепить паролями. Для принтеров нет доступа по чтению/записи, что не удивительно, но есть пароль, позволяющий избежать растранжиривания дорогих расходников кем ни попадя.

Давайте вернемся к нашему примеру. Имена директорий, если вы пользуетесь русскими версиями Windows 5 и приложений, можно смело давать на русском языке. Однако избегайте слишком длинных фраз ("Письма, полученные по электронной почте"), старайтесь обойтись парой слов и не повторяйте одно и то же слово по нескольку раз ("Архив входящих"/"Архив за 1997 год"/"Архив за II квартал"). В то же время не упустите из виду, что не всегда виден полный путь доступа к файлу, так что имя открытой директории должно однозначно определять, что в ней лежит (пример - окно "Открыть" в любом приложении).

В зависимости от количества документов и интенсивности обращения к ним можно открыть доступ как к папке "Письма" в целом, так и к отдельным ее частям. Например, отдельно декларировать доступ к директориям "Входящие", "Исходящие" и "Архив". (Это не совсем совпадает с нашим примером, но главное - принцип, не так ли?) Чтобы открыть сетевой доступ к папке, надо пометить ее курсором и вызвать окно "Свойства", в котором есть страничка "Доступ". Это можно сделать в "Проводнике" через меню, кнопкой на панели инструментов или через контекстное меню, для вызова которого следует щелкнуть правой кнопкой мышки.

В окне "Свойства" на страничке "Доступ" для папки, которую надо открыть для сетевого пользования, переключите "Локальный ресурс" на "Общий ресурс". Система сама предложит вариант сетевого имени, но он может вас не устроить, поэтому не бойтесь исправить его на более удобный и наглядный. Не поленитесь написать пару слов в поле "Заметки", слишком много там не напишешь, но коротко пояснить назначение ресурса можно.

Разобравшись с именами, определите тип доступа. По умолчанию система предлагает доступ только для чтения. Это хорошо, но мало. Скорее всего вам подойдет полный доступ или определяемый паролем. В чем смысл использования паролей? Пароль для записи позволяет ограничить права тех сослуживцев, которым надо по долгу службы читать корреспонденцию, но которые не имеют права в ней что-либо менять, удалять или составлять новые письма без вашего ведома и участия. Так как пароль сообщается ограниченному кругу пользователей и по идее не должен стать достоянием гласности за его пределами, пароль для записи предохранит вашу работу от несанкционированного и летального вмешательства.

Пароль для чтения служит обеспечению конфиденциальности информации. Например, если в переписке, находящейся на вашем винчестере, есть документы, содержание которых не должен знать никто, кроме вас и начальника, установите для папки с ними пароль для чтения и пользуйтесь им только вдвоем с шефом.

К сожалению, обеспечение секретности и безопасности информации с помощью паролей не заканчивается на стадии их назначения отдельным ресурсам. Понятно, что имеющие право доступа к защищенным паролями ресурсам пользователи не должны ни в коем случае передавать свои полномочия другим сотрудникам, даже временно. Но и это еще не все. При обращении к диску или директории с ограниченным доступом Windows 95 запросит у вас пароль и ненавязчиво спросит, не стоит ли запомнить его на будущее. Это, очевидно, связано с представлениями Microsoft, что персональный компьютер в чужие руки не попадает. Забавно, не так ли? У нас (думаю, что и у них тоже) его клавиатуры касаются не только пальцы хозяина. Стоит один раз согласиться на запоминание пароля и не сбросить услужливо взведенный системой флажок, как в дальнейшем пароль лишится смысла, так как Windows 95 будет его всегда подставлять самостоятельно, он уже никого из работающих на этой машине не остановит. Выход - сменить пароль, но это связано с затратами времени и сил на его доведение до всех посвященных пользователей.

Предоставление сетевого доступа к отдельным директориям, а не к диску в целом, позволяет повысить эффективность обращений к рабочей информации и предохраняет от повреждения остальные данные. Однако следует помнить, что права доступа, заданные для данной папки, распространяются и на все в нее входящие. Так что если вы стремитесь обеспечить еще и конфиденциальность, придется тщательнее продумать структуру директорий, чтобы секретная папка не оказалась внутри общедоступной. Проследить за этим помогает и появляющееся в окне "Свойства" перед переключением типа ресурса сообщение "Совместный доступ уже открыт посредством имени...".

Одним словом, задача планирования доступа к дисковому пространству даже в одноранговой сети под Windows 95 не такая простая, как кажется. Вам придется как следует повозиться, организуя и выстраивая папки по разным критериям, таким как тематика или функциональная направленность, конфиденциальность и степень доступности остальным сотрудникам, соблюдение на диске маршрута прохождения файлов, соответствующего принятому в вашем делопроизводстве обращению с документами. Но наведя в сети порядок, вы обнаружите, что теперь намного легче и приятнее обращаться с файлами, перестали самопроизвольно исчезать и теряться документы, появилась возможность четко контролировать работу сотрудников и подразделений, да и сама их работа стала эффективнее.

Роман Соболенко


Компьютерная газета. Статья была опубликована в номере 20 за 1997 год в рубрике разное :: страна советов

©1997-2024 Компьютерная газета