Neste tutorial veremos como compartilhar uma Pasta, disponibilizando o seu conteúdo, para que seja acessado através da rede. Também aprenderemos a atribuir permissões de segurança - permissões NTFS, para que somente usuários autorizados possam acessar as pastas compartilhadas. Veremos alguns detalhes importantes sobre Sistemas de Arquivos suportados pelo Windows 2000 Server.

Compartilhando Pastas e Definição de Permissões - Teoria

Primeiro vamos ver alguns detalhes sobre compartilhamento de pastas e permissões de compartilhamento.

Quando compartilhamos uma pasta, estamos permitindo que o seu conteúdo seja acessado através da rede. Quando uma pasta é compartilhada, os usuários podem acessá-la através da rede, bem como o todo o conteúdo da pasta que foi compartilhada. Por exemplo, poderíamos criar uma pasta compartilhada onde seriam colocados documentos, orientações e manuais, de tal forma que estes possam ser acessados por qualquer estação conectada à rede.

Ao compartilharmos uma pasta todo o conteúdo desta passa a estar disponível para ser acessada através da rede. Todas as subpastas da pasta compartilhada também estarão disponíveis para acesso através da rede. Considere o exemplo da Figura 1. Se a pasta C:\Documentos for compartilhada, todo o seu conteúdo e também o conteúdo das subpastas C:\Documentos\Ofícios e C:\Documentos\Memorandos estarão disponíveis para acesso através da rede.

Porém quando uma pasta é compartilhada, não significa que o seu conteúdo deva ser acessado por todos os usuários da rede. Podemos restringir o acesso, de tal maneira que somente usuários autorizados tenham acesso à pasta compartilhada, isso é feito através de "Permissões de compartilhamento".

Figura 1 Ao compartilhar uma pasta, todo o seu conteúdo estará disponível.

Com o uso de permissões, podemos definir quais os usuários poderão acessar o conteúdo da pasta compartilhada. Para isso, é criada uma lista com o nome dos usuários e grupos que terão permissão de acesso. Além disso, é possível limitar o que os usuários com permissão de acesso podem fazer. Pode haver situações em que alguns usuários devam ter permissão apenas para ler o conteúdo da pasta compartilhada, podem haver outras situações em que alguns usuários devem ter permissão de leitura e escrita, enquanto outros devem ter permissões totais, tais como leitura, escrita e até exclusão de arquivos.

Na Figura 2, temos um exemplo, em que o grupo Gerentes possui permissões de "Controle total", enquanto o grupo "Usuários" possui permissões apenas para leitura.

Figura 2 Grupos diferentes com permissões diferentes.

Conforme pode ser visto na Figura 2, o Windows 2000 Server indica que uma pasta está compartilhada através da figura de uma "mãozinha", segurando a pasta.

IMPORTANTE: As permissões definem o que o usuário pode fazer com o conteúdo de uma pasta compartilhada, desde somente leitura, até um controle total sobre o conteúdo da pasta compartilhada.

Na seqüência desse tutorial aprenderemos a compartilhar uma pasta e atribuir permissões de acesso.

JAMAIS ESQUEÇA O SEGUINTE DETALHE: Permissões de compartilhamento, não impedem o acesso ao conteúdo da pasta localmente, isto é, se um usuário fizer o logon no computador onde está a pasta compartilhada, este usuário terá acesso a todo o conteúdo da pasta, a menos que as "Permissões NTFS" estejam configurados de acordo. Permissões NTFS é assunto para daqui a pouco. Vamos falar de um jeito diferente: Permissões de compartilhamento somente tem efeito quando o usuário está acessando a pasta através da rede. Para acesso local, no próprio computador onde está a pasta, as permissões de compartilhamento não tem nenhum efeito, é como se não existissem.

Ao criarmos um compartilhamento em uma pasta, por padrão o Windows 2000 Server atribui a permissão "Controle total" para o grupo "Todos", que conforme o nome sugere, significa qualquer usuário com acesso ao computador, seja localmente, seja pela rede. Por isso, ao criar um compartilhamento, já devemos configurar as permissões necessárias, a menos que estejamos compartilhando uma pasta de domínio público, onde todos os usuários possam ter Controle total sobre os arquivos e subpastas da pasta compartilhada.

Existem três níveis de permissões de compartilhamento, conforme descrito a seguir:

Leitura: Permite ao usuário exibir a listagem de pastas e arquivos, ler o conteúdo de arquivos e executar programas. O usuário também pode verificar os atributos dos arquivos e navegar através das pastas e subpastas. O usuário não pode alterar nem eliminar arquivos ou pastas. Também não é permitido criar novos arquivos ou pastas.

OBS.: Pastas e arquivos possuem atributos, que o Windows 2000 Server utiliza para gerenciamento. Por exemplo, existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto é, não podem ser feitas alterações no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o botão direito do mouse sobre o arquivo ou pasta, e no menu que surge dê um clique na opção "Propriedades", e o Windows 2000 Server exibe uma janela onde é possível verificar e modificar os atributos do arquivo ou pasta, desde que o usuário tenha as devidas permissões.

Alteração: Permite ao usuário criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos, eliminar arquivos e pastas, mais todas as ações para a permissão de Leitura. Não permite que sejam alteradas permissões dos arquivos nem alterações no usuário "dono" dos arquivos e pastas.

OBS.: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente é o usuário que cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante.

Controle total: Permite ao usuário alterar as permissões dos arquivos e tornar-se dono de pastas e arquivos criados por outros usuários, além de todas as ações para a permissão Alteração.

As permissões de compartilhamento Leitura, Alteração e Controle total, podem ser Permitidas ou Negadas. Vamos considerar um exemplo prático. Vamos supor que todos os usuários do grupo Gerentes devem ter acesso de Leitura a uma pasta compartilhada, com exceção de um gerente cuja conta de usuário é jsilva. Para simplificar a atribuição de permissões fazemos o seguinte:

• Permissão de Leitura para o grupo Gerentes - Permitir
• Permissão de Leitura para o usuário jsilva - Negar
  

Com isso todos os usuários do grupo Gerentes terão permissão de leitura, com exceção do usuário "jsilva", o qual teve a permissão de leitura negada.

Outra recomendação é que sempre devemos atribuir permissões para grupos de usuários, ao invés de atribuir para usuários individuais, pois isso facilita a administração. É a famosa estratégia AGLP - Account -> Global -> Local -> Permission.

O que acontece quando um usuário pertence a mais de um grupo??

Quando um usuário pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para acessar um compartilhamento, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de Leitura e o outro de Alteração, como é que ficam as permissões do usuário que pertence aos dois grupos?

Para responder a esta questão, considere o seguinte: "Quando um usuário pertence a mais de um grupo, cada qual com diferentes níveis de permissões para uma pasta compartilhada, o nível de permissão para o usuário que pertence a mais de um grupo, é a combinação das permissões atribuídas aos diferentes grupos".

No nosso exemplo, o usuário pertence a dois grupos, um com permissão de somente leitura e outro com permissão de alterações. A nível de permissão do usuário é de alterações, pois é a soma das permissões dos dois grupos, conforme indicado na Figura 3.

Figura 3 Usuário que pertence a mais de um grupo.

Negar têm precedência sobre quaisquer outras permissões: Vamos considerar o exemplo do usuário que pertence a três grupos. Se em um dos grupos ele tiver permissão de leitura e em outro grupo permissão de alteração. Mas se para o terceiro grupo, for "negado" o acesso à pasta compartilhada, o usuário terá o acesso negado, uma vez que "Negar" tem precedência sobre quaisquer outras permissões, conforme indicado pela Figura 4.

Figura 4 Negar tem precedência sobre permitir.

IMPORTANTE: Quando copiamos uma pasta compartilhada, a pasta original permanece compartilhada, porém a cópia não é compartilhada. Quando movemos uma pasta compartilhada, esta deixa de ser compartilhada.

Algumas orientações para a criação de pastas compartilhadas:

• Todo compartilhamento, obrigatoriamente, deve ter um nome, para que ele possa ser acessado pela rede, conforme veremos mais adiante. O nome do compartilhamento pode ser diferente do nome da pasta. Uma recomendação importante é para que seja escolhido um nome descritivo do conteúdo da pasta, de tal maneira que esta seja mais facilmente localizada na rede. Você não colocaria um nome "Projetos" em uma pasta com documentos contábeis? Após compartilhada, a pasta passa a ter um caminho na rede. O caminho segue o padrão UNC - Universal Name Convection. No padrão UNC, um caminho é formado por duas barras invertidas, depois o nome do computador, mais uma barra invertida e, por último, o nome do compartilhamento. Por exemplo, o caminho UNC da pasta Documentos, compartilhada no servidor SRV01 é o seguinte: \\SRV01\Documentos; o caminho da pasta Projetos (nome de compartilhamento), compartilhada no servidor SRV02 é o seguinte: \\SRV02\Projetos e assim por diante.
• Organize os recursos, de tal maneira que todos os pastas que devam ser acessadas pelo mesmo grupo de usuários, com o mesmo nível de permissão, estejam dentro da mesma pasta compartilhada. Por exemplo, se você possui sete pastas com documentos e programas, os quais devem ser acessados pelos grupos Contabilidade e Marketing. Coloque estas pastas dentro de uma pasta principal e compartilhe a pasta principal, ao invés de criar sete compartilhamentos individuais.
• Configure o nível de permissão mínimo necessário para que os usuários realizem o seu trabalho. Por exemplo, se os usuários precisam apenas ler os documentos em uma pasta compartilhada, atribua permissão de Leitura e não de Alteração ou Controle total.
• Sempre que possível, atribua permissões para grupos de usuários e não para usuários individuais, pois isso facilita a administração das permissões.
• Determine quais grupos necessitam acesso a quais pastas compartilhadas e com quais níveis de permissão. Documente bem todo esse processo, para que você possa ter um bom controle sobre os recursos compartilhados e as permissões atribuídas.

Sistemas de Arquivos e Permissões NTFS - Teoria

Agora vamos ver alguns detalhes sobre os sistemas de arquivos que o Windows 2000 Server reconhece e também sobre permissões NTFS.

Um sistema de arquivos determina a maneira como o Windows 2000 Server organiza e recupera as informações no Disco rígido ou em outros tipos de mídia. O Windows 2000 Server reconhece os seguintes sistemas de arquivos:

• FAT
• FAT32
• NTFS
• NTFS 5
  

O sistema FAT vem desde a época do bom e velho MS-DOS e tem sido mantido por questões de compatibilidade. Além disso se você tiver instalado mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95) somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão, criptografia, auditoria e definição de cotas não estarão disponíveis.

O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor aproveitamento do espaço no disco, com conseqüente menor desperdício. Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT 4.0 - Server ou Workstation. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, criptografia, auditoria e definição de cotas não estarão disponíveis.

O sistema de arquivos NTFS é utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questões de compatibilidade. É um sistema bem mais eficiente do que FAT e FAT32, além de permitir uma série de recursos avançados, tais como:

• Permissões de acesso para arquivos e pastas
• Compressão
• Auditoria de acesso
• Partições bem maiores do que as permitidas com FAT e FAT32
• Desempenho bem superior do que com FAT e FAT32
  

Uma das principais vantagens do NTFS é que ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, possa ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente.

No Windows 2000 Server, temos também o NTFS 5, o qual apresenta diversas melhorias em relação ao NTFS, tais como:

• Criptografia de arquivos e pastas: (a criptografia é uma maneira de "embaralhar" a informação de tal forma que mesmo que um arquivo seja copiado, ele se torna ilegível, a não ser para a pessoa que possui a "chave" para descriptografar o arquivo).
• Cotas de usuário: Com o uso de cotas é possível limitar o espaço em disco que cada usuário pode utilizar.
• Gerenciamento e otimização melhorados.
  

Nota: Um inconveniente do NTFS 5 , é que ele não é reconhecido pelas versões anteriores, tais como o Windows NT Server 4.0.
Conforme descrito anteriormente, podemos definir permissões de acesso a nível da pasta ou arquivo, mas somente em unidades formatadas com o sistema de arquivos NTFS (seja na versão do NT Server 4.0 ou o NTFS 5 do Windows 2000 Server). Por isso que é aconselhável instalar o Windows 2000 Server sempre em unidades formatadas com NTFS, pois isso melhora a segurança.

Com relação as permissões NTFS, temos um conjunto diferente de permissões quando tratamos de pastas ou arquivos. Nas Tabelas 1(para pastas) e 2 (para arquivos), são apresentadas as permissões e o nível de acesso para cada uma delas.

Tabela 1 Permissões NTFS para pastas

Permissão	Nível de Acesso
Leitura	Permite ao usuário listar as pastas e arquivos dentro da pasta, permite que sejam exibidas as permissões, donos e atributos.
Gravar	Permite ao usuário criar novos arquivos e subpastas dentro da pasta, alterar os atributos da pasta e visualizar o dono e as permissões da pasta.
Listar	Conteúdo de pastas Permite ao usuário ver o nome dos arquivos e subpastas
Ler e executar	Permite ao usuário navegar através das subpastas para chegar a outras pastas e arquivos, mesmo que o usuário não tenha permissão de acesso às pastas pelas quais está navegando, além disso possui os mesmos direitos que as permissões Leitura e Listar Conteúdo de pastas.
Modificar	Permite ao usuário eliminar a pasta, mais todas as ações permitidas pela permissão Gravar e pela permissão Ler e executar.
Controle total	Permite que sejam alteradas as permissões, permite ao usuário tornar-se dono da pasta, eliminar subpastas e arquivos, mais todas as ações permitidas por todas as outras permissões NTFS.

Tabela 2 Permissões NTFS para arquivos

Permissão	Nível de Acesso
Leitura	Permite ao usuário ler o arquivo, permite que sejam exibidas as permissões, dono e atributos.
Gravar	Permite ao usuário gravar um arquivo com o mesmo nome sobre o arquivo, alterar os atributos da pasta e visualizar o dono e as permissões da pasta.
Ler e executar	Permite ao usuário executar aplicativos (normalmente programas .exe, .bat ou .com), mais todas os direitos da permissão Leitura.
Modificar	Permite ao usuário modificar e eliminar o arquivo, mais todas as ações permitidas pela permissão Gravar e pela permissão Ler e executar.
Controle total	Permite que sejam alteradas as permissões, permite ao usuário tornar-se dono do arquivo, mais todas as ações permitidas por todas as outras permissões NTFS.

Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso (Access control list) - ACL. Nessa ACL ficam uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nível de acesso de cada um deles.

Existem alguns detalhes que devemos observar sobre permissões NTFS:

• Permissões NTFS são cumulativas, isto é, se um usuário pertence a mais de um grupo, o qual tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das permissões.
• Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas: Por exemplo se um usuário têm permissão NTFS de escrita em uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a permissão para o arquivo tem prioridade sobre a permissão para a pasta.
• Negar uma permissão NTFS tem prioridade sobre permitir: Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi dado permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois Negar tem prioridade sobre Permitir.
  

Agora que já vimos a teoria necessária, vamos praticar um pouco. Nos próximos tópicos iremos aprender a compartilhar pastas, atribuir permissões de compartilhamento. Iremos aprender a acessar pastas compartilhadas através da rede. Depois vamos trabalhar um pouco com as permissões NTFS. Veremos como atribuir permissões NTFS e testar uma série de situações práticas.

Parte 2 | Parte 3

Sobre o autor: Júlio Battisti é profissional certificado da Microsoft, tendo sido aprovado em 30 Exames da Microsoft, com os quais obteve certificações como: MCP, MCP+I, MCSE 2000, MCSA-2000, MCSA-2003, MCSE-2003, MCSE+I, MCDBA 2000, MCDST e MCSD. É Técnico da Receita Federal, trabalha na Delegacia de Santa Maria - RS, e é autor de oito livros, todos publicados pela Axcel Books. Também é autor de artigos sobre TI, Carreira, Trabalho, Vida e Felicidade, publicados no site do autor: www.juliobattisti.com.br. Atua como instrutor de cursos de informática tanto na Secretaria da Receita Federal como para turmas em Universidades e outros cursos. Colunista de diversos sites da Internet e da revista Developers Magazine. Você pode entrar em contato com o autor pelo email: webmaster@juliobattisti.com.br.