Группы пользователей
Операционная система Novell NetWare версии 3.11 имеет удобную и сильно развитую систему разграничения прав доступа к различным сетевым ресурсам. Все пользователи сети разделяются по своим полномочиям на группы. Каждая группа может отвечать за выполнение тех или иных задач.
Возможно такое определение прав групп пользователей, при котором пользователи имеют все права, необходимые им для выполнения своих функций, но не более того. Полностью все права должны быть только у одного пользователя - системного администратора сети (он же супервизор сети).
Для нормальной работы сети в ней необходимо выделить несколько групп пользователей, выполняющих те или иные функции. Войдя в сеть под именем SUPERVISOR, вы стали системным администратором. У вас имеются все права, в том числе вы можете создавать группы пользователей и определять права, которыми они обладают.
Если ваша сеть небольшая и вы сможете сами заниматься такими вопросами, как добавление новых пользователей, разграничение доступа к дискам сервера, сетевым принтерам и другим сетевым ресурсам, вы можете создать только одну группу пользователей - группу обычных пользователей.
Если в сети много рабочих станций, которые находятся в разных помещениях и принадлежат разным отделам или лабораториям, имеет смысл создать группу администраторов сети. Права администраторов сети определяются системным администратором.
Не следует предоставлять администраторам сети всех прав системного администратора. Вполне достаточно, если в каждом отделе или лаборатории будет один-два администратора, которые обладают правами управления только работающими в данном отделе или лаборатории пользователями. Если в отделе или лаборатории имеется сетевой принтер или какие-либо другие сетевые ресурсы, у администратора должны быть права на управление этими устройствами.
Однако вовсе ни к чему, чтобы администратор одной лаборатории мог управлять сетевым принтером, принадлежащим другой лаборатории.
Правильным разграничением прав доступа среди администраторов сети системный администратор (супервизор сети) может добиться полного исключения влияния друг на друга разных групп пользователей.
Это в конечном счете повысит надежность работы системы в целом.
Если ваш непосредственный начальник не будет заниматься вопросами, находящимися исключительно в ведении супервизора сети, не следует сообщать ему пароль пользователя SUPERVISOR. Выполнение функций супервизора требует специальной подготовки, например подробного ознакомления с документацией, поставляемой вместе с Novell NetWare. Знание пароля супервизора само по себе не делает человека системным администратором.
Наибольшую трудность вызывает определение прав доступа к томам и каталогам файл-сервера. Операционная система NetWare версии 3.11 предоставляет широкие возможности - вы можете разрешить только чтение файлов для данного каталога или только просмотр содержимого каталога. Можно разрешить создание файлов в каталоге и запись в эти файлы, но не чтение или просмотр содержимого каталога - это аналог почтового ящика, в который вы можете опускать письма (файлы), но не можете посмотреть, что лежит в почтовом ящике. Можно задать права доступа к отдельным файлам.
Мы придерживаемся мнения, что пользователи должны иметь минимально необходимые им для нормальной работы права доступа к дискам сервера.
В NetWare версии 3.11 пользователи могут быть членами одновременно нескольких групп. Этим можно воспользоваться для облегчения управления доступом к каталогам и файлам сервера.
Создайте группу с минимально необходимыми всем пользователям правами доступа к томам сервера и сделайте всех членами этой группы (можно использовать группу EVERYBODY, которая появляется сама после установки NetWare 3.11). Тогда все пользователи будут иметь доступ к тем каталогам, которые нужны всем, например к каталогам, содержащим программы, нужные всем пользователям в сети. По возможности запретите для этой группы пользователей запись в любые каталоги файл-сервера.
Изменяя права доступа этой группы пользователей, вы сможете влиять на минимальные права доступа всех пользователей сети. Можно, например, создать новый каталог и разрешить к нему доступ сразу для всех пользователей сети.При этом вам придется изменять права доступа не для всех пользователей (их может быть несколько десятков), а только для одной группы, что существенно легче.
Если у вас есть пользователи, которым требуются дополнительные права (например, права доступа к каким-либо каталогам или сетевым принтерам), создайте соответствующие группы пользователей и предоставьте им эти права. Для каждой лаборатории или отдела имеет смысл создать свою группу пользователей. Выделите для каждой лаборатории или отдела администратора и предоставьте ему права по управлению своей группой пользователей.
Вы можете выделить всех администраторов сети в отдельную группу и определить общие права для всех администраторов. При этом вы будете заниматься только группой администраторов, а администраторы сами будут выполнять все функции, связанные с управлением своими группами в пределах полномочий, предоставленных супервизором.