COMPARTILHAMENTO DE ARQUIVOS DO WINDOWS

Práticas recomendadas de compartilhamento de arquivos do Windows

Compartilhamento de arquivos

Tradicionalmente, o compartilhamento de arquivos do Windows limita-se a criar compartilhamentos em servidores locais, definir permissões e acessar arquivos em redes locais ou VPNs. O Compartilhamento de Arquivos do Windows tem muitos benefícios, incluindo velocidade de acesso, simplicidade, capacidades de armazenamento ilimitadas, integração com o diretório ativo e a capacidade de implantar unidades mapeadas em milhares de máquinas instantaneamente usando scripts de login ou políticas de grupo. Por esse motivo, a maioria das empresas continua a manter investimentos significativos em uma infraestrutura de compartilhamento de arquivos do Windows, incluindo servidores, redes de alta velocidade, redes de área de armazenamento e dispositivos de armazenamento de rede. Esses dispositivos fornecem a confiabilidade, velocidade e redundância que as empresas exigem para uma força de trabalho altamente eficiente.

Compartilhamento de arquivos do Windows

Compartilhar arquivos usando o diretório ativo do Windows é fácil. É importante primeiro planejar a estrutura de diretórios. As empresas normalmente criam pastas raiz que, por sua vez, se tornam compartilhamentos que podem ser mapeados para vários departamentos (por exemplo: Finanças, Projetos, Executivo, RH). No passado, as empresas mapeavam diferentes letras de unidade para cada departamento. Isso não é mais necessário, pois a Microsoft lançou a adição do recurso “Enumeração baseada em acesso”, conforme observado abaixo.

Também é importante planejar o crescimento futuro alocando espaço em disco suficiente para o arquivo. É uma prática recomendada localizar arquivos em uma letra de unidade separada das Unidades do sistema operacional para evitar que problemas futuros com espaço em disco ou uma falha do sistema operacional corrompam os arquivos. Organizações maiores normalmente armazenam arquivos em dispositivos Network Attached Storage com failover e backup integrados e utilizam namespace DFS para redirecionar usuários para servidores de arquivos redundantes de back-end.

Os compartilhamentos do Windows File Server podem ser criados usando o Gerenciador do Servidor ou clicando com o botão direito do mouse em qualquer pasta e escolhendo “Compartilhamento” na guia de compartilhamento para criar um compartilhamento que pode ser mapeado pelos PCs. A Microsoft tem um ótimo artigo aqui sobre como criar um compartilhamento de arquivos usando o Server Manager aqui. Para nossos propósitos, criaremos um compartilhamento usando o processo manual para que possamos ter controle total sobre permissões, nome do compartilhamento e permissões de compartilhamento.

Criando um compartilhamento de arquivos do Windows (fácil)

Depois de criar a estrutura de pastas, clique com o botão direito do mouse na pasta e escolha propriedades, depois escolha compartilhar para criar o compartilhamento e definir as permissões:

Criar compartilhamento do Windows

Normalmente, você adicionaria os vários grupos para os quais deseja ter acesso à sua estrutura de pastas. Com a interface simplificada, a criação de compartilhamento real e os detalhes de permissão são definidos para você. Usando a interface Advanced Share, podemos ver a permissão real aplicada ao compartilhamento e ao NTFS.

Criando um compartilhamento de arquivos do Windows (avançado)

Existem 2 componentes ao compartilhar pastas no Windows. Primeiro, o nome e a permissão reais do compartilhamento no compartilhamento e as permissões NTFS subjacentes. Nos primeiros dias dos sistemas de arquivos do Windows (fat e fat32) não permitiam a configuração de permissões, então a Microsoft permitia que os administradores definissem permissões no próprio compartilhamento, em vez da estrutura de pastas abaixo. Felizmente, o NTFS existe há muitos anos e não é mais necessário ou aconselhável definir permissões no compartilhamento de arquivo nível e você verá que quando você usa as permissões da interface de compartilhamento fácil no nível de compartilhamento são definidas para o grupo especial “Todos” e controle total.

Compartilhar permissões

Portanto, fica claro que devemos sempre definir a permissão no compartilhamento como “Todos” com controle total ao usar a opção de compartilhamento avançado para contornar esse recurso herdado e usar apenas permissões NTFS para aplicar a segurança. Uma observação adicional sobre compartilhamentos e nomes de arquivos – para tornar o compartilhamento oculto (não transmiti-lo na rede para navegação), acrescente um sinal $ ao final do nome. Por exemplo: Finance$ pode ser usado para ocultar o compartilhamento de aparecer quando os usuários navegam na rede. Para mapear uma unidade para ela, os usuários precisam saber o nome – por exemplo, \\server\finance$.

Em seguida, precisamos definir permissões em pastas usando a segurança NTFS. Se observarmos as permissões de segurança para a pasta compartilhada que criamos em nosso exemplo, veremos que os grupos de usuários que escolhemos receberam permissões nessa pasta compartilhada:

A partir desta interface, podemos adicionar usuários e grupos adicionais ou desabilitar a herança para que possamos aplicar permissão personalizada apenas nesta pasta. Essa interface também é onde vamos nos apropriar de arquivos e pastas. Nos resultados de segurança do assistente de compartilhamento fácil, podemos ver que ambos os grupos que adicionamos têm “Controle total” para todos os arquivos e pastas. Embora o Controle Total faça sentido para Administradores, não é aconselhável para grupos de usuários comuns. Ao conceder controle total aos usuários regulares, também concedemos a eles o direito "Tomar propriedade", que causará problemas no futuro. Arquivos “de propriedade” de um usuário podem ficar indisponíveis para outros usuários, resultando em solicitações de suporte e na necessidade de que o administrador “Tome propriedade” para que esses arquivos estejam novamente disponíveis para todos com direitos ao compartilhamento. Em nosso exemplo, queremos definir o grupo "Usuários do domínio" para todos os direitos, exceto "Controle total" usando as propriedades da guia de segurança na pasta. Esta etapa simples evitará problemas de resolução de problemas de propriedade de arquivo no futuro.

A Microsoft tem um utilitário integrado no Windows para limpar problemas de propriedade chamado “takeown”. Aconselhamos os clientes a limpar os problemas de propriedade existentes antes de implantar o MyWorkDrive. Este comando se apropriará da pasta ou unidade e de todos os arquivos e subpastas na pasta ou unidade.

Abra um prompt de comando elevado (administrador).

Para conceder propriedade ao grupo de administradores:

takeown /F “caminho completo da pasta ou unidade” /A /R /DY

Outra opção para limpar as permissões de propriedade é usar o comando icacls.

Para conceder propriedade ao grupo de administradores:

icacls “caminho completo da pasta ou unidade” /setowner “Administradores” /T /C

Enumeração baseada em acesso usando o compartilhamento de arquivos do Windows

A enumeração baseada em acesso (ABE) exibe apenas os arquivos e pastas que um usuário tem permissão para acessar. Se um usuário não tiver permissões de leitura (ou equivalentes) para uma pasta, o Windows ocultará a pasta da exibição do usuário. Este recurso está ativo apenas ao visualizar arquivos e pastas em uma pasta compartilhada; ele não está ativo ao visualizar arquivos e pastas no sistema de arquivos local. Ao utilizar esse recurso e definir as permissões adequadas, os administradores de rede podem reduzir o número de compartilhamentos necessários e usar o ABE para exibir apenas arquivos e pastas para os quais o usuário tem permissão quando acessado por caminhos UNC.

O ABE requer ciclos de CPU para calcular os arquivos e pastas a serem exibidos, portanto, é importante dimensionar adequadamente os servidores para lidar com a carga necessária com base no número de usuários que acessam os compartilhamentos de arquivos e no número de arquivos e pastas a serem exibidos.

Habilite o ABE em cada compartilhamento de arquivos do Windows usando o guia da Microsoft: Habilitar enumeração baseada em acesso em um namespace. A Microsoft tem um artigo completo da guilda sobre as melhores práticas para compartilhar arquivos e pastas usando enumeração baseada em acesso aqui.

Namespaces DFS

Namespaces DFS é uma função no Windows Server que permite agrupar pastas compartilhadas localizadas em servidores diferentes em um ou mais namespaces estruturados logicamente. Isso possibilita dar aos usuários uma visão virtual de pastas compartilhadas, onde um único caminho leva a arquivos localizados em vários servidores. A vantagem do DFS é que as unidades podem ser mapeadas para um espaço de nome DFS e redirecionadas automaticamente para o compartilhamento de arquivos ativo atual. Isso torna a migração para novos servidores de arquivos no futuro muito simples, pois um novo servidor de arquivos pode ser redirecionado a qualquer momento.

Backup e retenção

A primeira linha de defesa para qualquer organização são backups eficazes, testados e redundantes. Além de agendar backups de hora em hora, diariamente, semanalmente ou em outros intervalos, os administradores de TI podem aproveitar o serviço “Volume Shadow Copy” integrado ao Windows Server. Ao habilitar instantâneos de hora em hora, arquivos e pastas podem ser revertidos para versões anteriores instantaneamente sem ter que ir para sistemas de backup. Os instantâneos de cópia de volume não são uma estratégia de backup em si, mas podem fornecer um nível adicional de proteção.

Backup and retention is also of great concern to protect from data loss, corruption and to comply with legal requirements. Typically, most businesses must retain up to 7 years of backups that can easily be restored in the future. For this reason, businesses are reluctant to store their files in database driven file systems either locally or in the cloud including Document Management Systems (DMS) and Enterprise File Sync & Share (EFSS) systems. With traditional NTFS based Windows file sharing archive backups can be stored on backup hard disks making restoration as simple as copying over files – even several years later. With DMS or EFSS systems the restoration of archive data is significantly more complex. Restoration requires backing up and restoring entire operating systems, reinstallation of SQL databases in use at that time (which may no longer be available), restoring backups of SQL data and reintegration of servers back into active directory. Cloud based EFSS or systems require 3rd party backup subscriptions which must be maintained indefinitely to prevent loss and removal of backup file data by the cloud vendor.

Acesso remoto de compartilhamento seguro de arquivos

Empresas de todos os tipos estão recorrendo ao MyWorkDrive para oferecer suporte Trabalho remoto while retaining the speed and simplicity of traditional Windows file sharing using our hybrid cloud add-on. With MyWorkDrive IT departments simply setup MyWorkDrive Windows server software, point to existing Windows file shares and in minutes Compartilhamento seguro de arquivos remote access functionality is made available to users without VPN including:

Acesso do navegador do Web File Manager a compartilhamentos de arquivos

Edição de documentos do Office Online (com arquivos armazenados nos servidores de arquivos locais)

Unidade mapeada de qualquer lugar sem VPN

Acesso e edição de arquivos de aplicativos móveis usando os aplicativos móveis do Microsoft Office

Compartilhamento de arquivos públicos e privados

Segurança de dois fatores (2FA)

Logon único

O Compartilhamento de Arquivos do Windows tradicional em velocidade gigabit continua disponível em paralelo ao MyWorkDrive. Os usuários simplesmente aproveitam o compartilhamento de arquivos usando métodos tradicionais na rede local e usam o MyWorkDrive quando a funcionalidade da nuvem ou o acesso remoto são necessários. Para os departamentos de TI, nenhum banco de dados SQL precisa ser mantido ou licenciado, simplificando o backup e a restauração de arquivos – os compartilhamentos de arquivos baseados em NTFS permanecem em vigor.

Compartilhar e colaborar em arquivos com usuários fora da empresa é essencial para uma força de trabalho produtiva. Com o MyWorkDrive, os arquivos internos podem ser tornados públicos sem esforço com nossa integração OneDrive. Ao alavancar nossa integração do OneDrive, as empresas podem proteger dados confidenciais transferindo arquivos públicos conforme necessário para o OneDrive sem abrir sistemas internos para terceiros ou habilitar links de compartilhamento de arquivos inseguros que podem expor os servidores da empresa a violações de dados.

Com MyWorkDrive empresas de todos os tipos podem adicionar recursos de nuvem aos compartilhamentos de arquivos do Windows enquanto protegem e controlam seus dados para garantir o futuro de seus investimentos em infraestrutura de servidor de arquivos.