Mimo rosnącej popularności usług typu Dropbox lub NextCloud nadal wiele firm preferuje przynajmniej część plików udostępniać wyłącznie w ramach sieci LAN. Czynników wpływających na taką decyzje może być mnóstwo i nie koniecznie jest nim zacofanie w obszarze IT - dla przykładu biura firm produkcyjnych często znajdują się na prowincji z niestabilnym połączeniem internetowym lub limitowanym transferem po sieci GSM. W komputerach z systemem Windows łatwo jest uruchomić udostępnianie folderu wszystkim komputerom w danej grupie roboczej. Problem pojawia się gdy chcemy wprowadzić bardziej złożone uprawnienia ograniczając kto z jakiego komputera może mieć dostęp do poszczególnych folderów. Naturalnym narzędziem rozwiązującym ten problem dla platformy Microsoftu jest Active Directory, które umożliwia nam scentralizowane zarządzanie użytkownikami i ich uprawnieniami. Wymaga to jednak postawienia serwera w firmie z systemem Windows Server i często okazuje się przysłowiową "armatą na wróbla" w mniejszych sieciach. W tym artykule przedstawimy prostą technikę na kontrolę dostępu do udostępnionych folderów w sieci LAN bez żadnego scentralizowanego serwera.

Konfiguracja współdzielonego folderu

Załóżmy, że mamy komputer o nazwie BAZA na którym jest katalog D:\Administracja do którego chcemy aby miał dostęp komputer Adam.

1.png

Najpierw na komputerze BAZA musimy utworzyć użytkownika Adam. W tym celu wchodzimy do ustawień Windows.

2.png

Następnie przechodzimy do sekcji Konta > Rodzina i inne osoby.

3.png

4.png

W rubryce Inne osoby klikamy przycisk Dodaj kogoś innego to tego komutera.

5.png

Windows bardzo uparcie będzie sugerował nam założenie konta internetowego. Omijamy to klikając na linki Nie mam informacji logowania tej osoby oraz Dodaj użytkownika bez konta Microsoft.

6.png

7.png

Następnie wprowadzamy login i hasło użytkownika, któremu będziemy chcieli udzielić dostępu do wybranych folderów na komputerze BAZA - w naszym przykładzie będzie to login Adam.

8.png

Po kliknięciu Dalej powinniśmy widzieć login Adam jako konto lokalne.

9.png

Wracamy teraz do katalogu D:\Administracja, klikamy na niego prawy przyciskiem myszy i wybieramy opcję Udostępnij > Określone osoby...

10a.png

W oknie dialogowym podajemy login Adam i klikamy Dodaj.

11a.png

W ostatnim kroku wybieramy czy Adam mam mieć dostęp tylko do odczytu czy również do modyfikowania zawartości katalogu D:\Administracja.

12.png

Konfiguracja dostępu do folderu

Przechodzimy teraz to komputera Adama. Obecnie próba wejścia z jakiegokolwiek komputera do foldera \\BAZA\Administracja zakończy się następującym komunikatem.

1.png

Aby uzyskać dostęp do tego musimy przejść do opcji Uruchom w menu startowym systemu Windows. 

ww1.png

Do wywołanego okna dialogowego wprowadzamy następującą komendę.

control keymgr.dll

Pojawi nam się wtedy dialog do zarządzania poświadczeniami. W nim wybieramy Poświadczenia systemu Windows i następnie opcję Dodaj poświadczenie systemu Windows.

w2a.png

Tam wprowadzamy login i hasło które uprzednio skonfigurowaliśmy na komputerze BAZA.

w3.png

Tym sposobem kolejna próba dostępu do folderu \\BAZA\Administracja z komputera Adam kończy się sukcesem.

elt3.png

Analogicznie możemy dodać kolejne kombinacje folderów i użytkowników na komputerze BAZA. Również inne komputery mogą współdzielić foldery w ten sposób. Gdybyśmy, np. na komputerze Adam chcieli udostępnić folder tylko dla komputera Marcin to na komputerze Adam musimy utworzyć użytkownika Marcin i upoważnić go do odopowiedniego folderu na komputerze Adam.

Podsumowanie

Czy da się zatem kontrolować dostęp do folderów w sieci LAN bez Active Directory? Tak. Czy powinno się? Jeżeli Twoja sieć LAN składa się z paru komputerów i nie przewidujesz jej rozbudowy to możesz sobie zaoszczędzić zakupu Windows Server z Active Directory. Jednak im bardziej skomplikowany będzie schemat uprawnień oraz im więcej komputerów w sieci LAN, tym bardziej zarządzanie dostępami w sugerowany przez nas sposób, stanie się karkołomne. Stosuj zatem naszą poradę tylko w sieciach które są małe i jesteś niemal pewny że takie pozostaną w przyszłości.


Loading Conversation