File Share Permission

เชื่อว่าแอดมินหลาย ๆ คนคงจะรู้จักกับ File Share Server เป็นอย่างดี เพราะมันมีไว้สำหรับแบ่งปันการใช้งานร่วมกันไม่ว่าจะเป็นเอกสาร รูปภาพ วีดีโอ หรืออะไรก็แล้วแต่ที่ถูกเก็บไว้จากศูนย์กลางที่เดียว คอยให้บริการกับ Client User เข้าไปใช้งานโดยที่ไม่ต้องเก็บไว้กับเครื่องตนเอง และยังสามารถกำหนดสิทธิ์การเข้าถึงไฟล์หรือโฟลเดอร์เหล่านั้นได้อีกด้วย แต่ปัญหาคือ หลายคนยังกำหนดสิทธิ์ไม่ถูกนั่นเอง

Permission ที่ถูกกำหนดให้กับโฟลเดอร์หรือไฟล์เพื่อป้องกันการเข้าถึง และกำหนดสิทธิ์ให้เฉพาะบุคคลหรือกลุ่มบุคคลสามารถเข้าถึงได้นั้น ปัจจุบันต้องยอมรับว่ามีหลายคนสับสน และกำหนด “มั่ว” แต่ก็นะ มันก็ยังทำงานได้ เพราะว่า Permission นั้นถูกเงื่อนไข แต่พอถึงเวลาที่ต้องปรับเปลี่ยนถึงกับสิ้นลมกันเลยทีเดียว เพราะต้องมานั่งไล่ว่า จะจับใครออก ใครเข้า Permission นี้ดี ทำไปทำมาถึงกับต้อง Set Permission กันใหม่ทั้งหมด

ขอเอาจากประสบการณ์ของผมเองละกันนะ ไม่ยึดติดอ้างอิงใด ๆ ทั้งสิ้น คือบน File Share Server เนี่ย การที่จะทำให้เครื่อง Client สามารถเข้าถึงทรัพยากรดังกล่าวได้ เราก็จะต้องสร้าง Share Folder ขึ้นมาก่อน จากนั้นนำไฟล์ต่างๆ ยัดใส่ Folder นั้นไว้ แล้วเราก็ตั้งค่า Permission ไว้ว่าใครสามารถเข้าได้ เข้าไม่ได้ อันนี้เคยทำกันใช่ไหมล่ะครับ, ความยุ่งยากเกิดขึ้นตรงที่ มันมี Permission ให้คุณเพิ่มอยู่ 2 จุด คือ จุดแรกที่แถบ Sharing และจุดที่สองคือแถบ Security คุณสงสัยไหมว่า 2 อันนี้มันมีผลต่างกันอย่างไร แล้วบางคนถึงกับต้องเพิ่ม User Account ลงในทั้ง 2 แถบเหมือนกันเสียด้วย กลายเป็นเพิ่มงาน 2 เท่า วันนี้จะทำให้ดูถึงความแตกต่างละกัน จะได้ใช้กันได้ง่ายขึ้นนะ

Tab Sharing คือ Security ในระดับ Network คำว่าระดับ Network นั่นก็หมายถึง การเข้าถึงจากเครือข่าย ไม่ใช่หน้าเครื่อง เช่น เครื่อง Client ทำการ Browse UNC Path ไปยังเครื่อง File Share แบบนี้ \\FileServer\Data ซึ่งการที่เราจะควบคุมว่าให้ใครสามารถเข้าถึง Sharing นี้ได้ผ่านทาง Network เราจะต้องมากำหนด Permission ในแถบ Sharing นี้ ซึ่งโดยส่วนตัวผมแนะนำให้เลือกการกำหนดแบบ Advanced Sharing, ยกตัวอย่างว่ามีโฟลเดอร์ Data อยู่ วิธีการกำหนด Permission คือ

คลิกขวาที่โฟลเดอร์ เลือก Properties, แล้วไปที่แถบ Sharing เลือก Advanced Sharing…

Check box ที่ Share this folder แล้วคลิกปุ่ม Permissions

หน้านี้แหล่ะ ที่เราจะ Add User Account เข้ามายัง Network Sharing ให้กับโฟลเดอร์นี้ได้ โดยทดสอบเพิ่ม user1 เข้ามาจากระบบ Active Directory โดยให้มีสิทธิ์ Change,Read

เมื่อทำเช่นนี้แล้ว Client ที่ Logon ด้วย user1 จะสามารถ Browse Path มายังโฟลเดอร์นี้ได้ และสามารถสร้างไฟล์หรือลบไฟล์ภายใต้โฟลเดอร์นี้ได้ แต่ถ้าหาก Logon จาก Client มาด้วย user อื่นจะไม่สามารถสร้าง ลบ หรือ แก้ไขไฟล์ใด ๆ ได้

จะเห็นว่าเมื่อ Logon จาก Client มาด้วย user2 แล้วลองลบไฟล์ที่ user1 ได้สร้างไว้ จะไม่สามารถลบได้, แต่เชื่อไหมว่า ถ้าทำให้ user2 สามารถ Logon จากหน้าเครื่อง File Server ได้ ก็จะสามารถลบไฟล์นี้ได้ทันที

ทำยังไงล่ะ ในเมื่อไม่ได้เพิ่ม Permission ในแถบ Sharing เลยด้วยซ้ำ คำตอบนั่นคือ ผมไปเพิ่ม user2 ในแถบ Security นั่นเอง

Tab Security คือ Security ในระดับ Object (ผมเรียกมันแบบนี้ละกัน) ซึ่งต้องอาศัย Partition ที่ถูกฟอแมตแบบ NTFS โดย Tab Security นั้นจะไม่ได้มองเรื่องระดับ Network คือไม่สนใจว่าจะเข้ามาผ่านเครือข่ายหรือผ่านมาทาง Client Logon แต่ถ้าสามารถเข้าถึงไฟล์นั้น ๆ ได้ ก็จะสามารถจัดการไฟล์นั้นได้ตามสิทธิ์ที่ถูกกำหนดไว้ในแถบ Security ทันที ซึ่งจากเหตุการณ์ที่ผมลบไฟล์ดังกล่าวได้นั้น ผมได้เพิ่ม Permission ไว้ดังนี้

อธิบายได้คือ ในระดับ Network นั้น Everyone (ทุกคน) มีสิทธิ์ที่จะเข้าอ่านได้ (Read) แต่ user1 นั้นมีสิทธิ์ในการ Change เพิ่มมาด้วย, แต่ คนอื่นที่ไม่ใช่ user1 ได้เข้ามาผ่านทาง Network นั้นจะไม่มีสิทธิ์แก้ไขไฟล์ได้ ยกเว้น user2 ที่ได้เพิ่มไว้

คราวนี้ก็ถึงบางอ้อแล้วว่า แม้ไม่เพิ่ม user2 ในแถบ Sharing แล้ว แต่พื้นฐานทุกคนก็ยังมีสิทธิ์ในการเข้าถึง File Share ผ่าน Network ด้วยสิทธิ์ Everyone ที่เป็น Read อยู่แล้ว แต่ไม่สามารถทำอะไรกับ File ได้ วิธีแก้ไข เราก็แค่เพียงเพิ่มสิทธิ์ของผู้ที่เกี่ยวข้องให้ในแถบ Security ก็เพียงพอ ไม่จำเป็นต้องเพิ่มในแถบ Sharing อีกก็ได้ ดังนั้นก็สามารถกำหนด Permission แบบง่ายได้ตามนี้

โดยพื้นฐานเราก็กำหนดให้ทุกคนสามารถเข้าถึงและแก้ไขเปลี่ยนแปลงไฟล์ใด ๆ ผ่าน Network ได้ โดยไม่ต้อง Logon หน้าเครื่อง File Share Server และคงไม่มีแอดมินคนใดอนุญาตให้ user ทำแบบนั้น จึงต้องเพิ่มสิทธิ์ Change ให้กับ Everyone ไปด้วย แต่เมื่อจะลงมือกับไฟล์ใด ๆ แล้ว สิทธิ์นั้นจะถูกตรวจสอบกับแถบ Security อีกทีว่าสามารถทำได้หรือไม่ ดังตัวอย่างภาพจะเห็นว่า user3 นั้นไม่สามารถแก้ไขไฟล์ใด ทั้ง ๆ ที่ Everyone เป็น Change

นั่นเป็นข้อสรุปได้ว่า การเข้าถึงผ่าน Network นั้น สิทธิ์จะถูกตรวจสอบจาก Tab Sharing แต่การกระทำกับ Object หรือไฟล์ โฟลเดอร์ สิทธิ์จะถูกตรวจสอบจากแถบ Security อีกที ดังนั้นต่อไปนี้ เพียงแค่เรากำหนดให้แถบ Sharing ให้สิทธิ์ Everyone เป็น Change, Read ก็พอ ไม่ต้องเพิ่มใครหรือ Group ใดเข้ามาอีกในแถบนี้ จากนั้นเราค่อยไปกำหนด Group หรือ User ที่จะใช้งานจริง ๆ ในแถบ Security แถบเดียวก็พอแล้วครับ จะช่วยลดความยุ่งยากและซับซ้อนของการกำหนด Permission ลงได้เยอะเลย เช่น กำหนด Permission ให้กับโฟลเดอร์ IT Data โดยให้สิทธิ์เฉพาะ IT Group เข้าได้เท่านั้น ผมก็จะทำแบบนี้