До того как мы начнем разговор о доступе к теневым копиям с клиентских компьютеров, я хочу подробнее остановится на вопросах разграничения доступа и его применению для доступа и восстановления теневых копий. Сначала необходимо уяснить себе, что теневое копирование использует те же разрешения на доступ, что были установлены при создании теневой копии. Это означает, что если вы сделали теневую копию, а затем добавили или удалили пользователя или группу из списков доступа к файлу/папке, то, хотя все текущие версии файлов/папок будут использовать новые разрешения, любые старые теневые копии файла/папки будут продолжать использовать ранее назначенные разрешения.
Например, пусть я хочу дать пользователю ddinicolo право на чтение и модификацию файла Important.doc, для чего изменю разрешения NTFS для этого файла. Теперь ddinicolo имеет доступ к текущей версии файла и любым теневым копиям, которые будут созданы позднее, но он не имеет этих прав для файлов, содержащихся в уже сделанных теневых копиях. Продолжая развивать этот пример, представим, что прошло две недели и пользователю ddinicolo больше не требуется доступ к этому файлу - я опять изменяю разрешения NTFS для файла, удаляя право доступа для ddinicolo. Теперь ddinicolo не имеет доступа к файлу, но его права на доступ к теневым копиям за предыдущие две недели сохраняются (обратите внимание - это означает, что ddinicolo имеет доступ к общей папке: если вы удалите доступ ddinicolo к общей папке, либо удалите доступ к этому ресурсу вообще, то он не сможет получить доступ к этим предыдущим версиям). Если ddinicolo продолжает иметь доступ к старым версиям Important.doc двухнедельной давности это, возможно, не будет большой проблемой – единственное, что вы можете делать с теневыми копиями, это читать файлы или копировать их в новое расположение, если у вас нет доступа к текущим версиям файлов. Однако существует одна ситуация, при которой вам необходимо сохранить доступ к старым теневым копиям – это происходит в случае, если кто-либо имеет разрешения на доступ к файлу, которых у него не должно было быть. Хотя очень просто запретить доступ к текущей версии файла или папки – это совсем не так для теневых копий. Поскольку теневые копии доступны только для чтения (т.е. вы не можете удалить определенный файл/папку из теневой копии или изменить их разрешения), то единственный способ лишить пользователя или группу права доступа к предыдущей версии файла, это удаление теневой копии(ий) или права доступа пользователя/группы к общей папке (обратите внимание, что я говорю о запрещении/удалении права доступа на чтение, используя общий доступ к ресурсу, а не разрешения NTFS).
Итак, чтобы просматривать предыдущую версию файла/папки, вам необходимо, как минимум, право доступа на чтение этого файла/папки на момент создания теневой копии. Для копирования предыдущих версий файла/папки вам необходимо, как минимум, право доступа на чтение к этому файлу/папке на момент создания теневой копии и, дополнительно, право доступа на запись к тому расположению, куда вы хотите скопировать его. Для того чтобы восстанавливать предыдущую версию файла/папки, вам необходимо, как минимум, право доступа на чтение к этому файлу/папке на момент создания теневой копии и, дополнительно, право доступа на запись к расположению, где файл/папка были первоначально расположены (т.е. куда файл будет восстанавливаться).
Поскольку разрешения для файлов следуют за операцией восстановления, то они сохраняют те разрешения, что были у них перед восстановлением. Это означает, что если вы восстанавливаете файл из предыдущей копии и существует свежая версия этого файла, то после перезаписи он унаследует свойства разрешения на доступ перезаписанного файла – а не разрешения предыдущей версии. Давайте представим, что текущая версия файла больше не разрешает доступ пользователю ddinicolo, в то время как предыдущая разрешала. Если мы восстановим предыдущую версию, то будут использоваться текущие разрешения для этого файла, не позволяющие доступ пользователю ddinicolo. Подобным образом, если мы восстанавливаем файл, который больше не существует, то файл/папка унаследуют разрешения своих родительских папок – а не разрешения, существовавшие на предыдущей версии. И снова, восстановление просто похоже на операцию копирования/вставки с предыдущей версии в текущую версию.
Теперь давайте поговорим о клиентах. Для того чтобы система, работающая не под ОС Windows Server 2003, имела бы доступ к теневым копиям, она должна иметь установленный SCSF-клиент. Однако важно отметить, что серверная часть SCSF будет работать с любым клиентом, имеющим доступ к общему ресурсу на Windows Server 2003 – поскольку их создание полностью выполняется на сервере. Другими словами, создание теневой копии – это задача сервера и она не требует наличия на клиенте специального программного обеспечения. Так, если пользователь не имеет установленного SCSF-клиента на своей машине, то ему понадобится использовать другую систему, на которой установлен SCSF-клиент (либо администратора, восстанавливающего файлы с сервера... но в этом случае не будет использоваться главное преимущество SCSF - "пусть пользователь делает все это" - вот почему рекомендуется установить клиента хотя бы на некоторых рабочих станциях).
Копия SCSF-клиента для Windows XP находится в папке %systemroot%\System32\Clients\Twclient\X86 на Windows Server 2003. Однако самая свежая версия этого клиента доступна на страничке http://www.microsoft.com/windowsserver2003/downloads/shadowcopyclient.mspx, поэтому я рекомендую посетить ее, скачать и использовать клиента с указанного адреса. На момент написания данной статьи клиент поддерживает Windows XP и Windows 2000 (В документации Microsoft также говорилось о поддержке Windows 98). Чтобы обеспечить совместимость с более ранними версиями Windows, чем Windows XP, вы должны сначала запустить установку SCSF-клиента на сервере. Процесс установки протекает быстро - запустите загруженный вами MSI-файл, нажмите next в окне Welcome, примите лицензионное соглашение и еще раз нажмите next, а после окончания установки - Finish.
Затем вы можете повторить установку на ваших рабочих станциях с Windows 2000 Pro и Windows XP Pro. В качестве альтернативы вы можете использовать ветвь Software installation в Group Policy (назначив ее компьютеру), если в вашей сети установлена Active Directory.
После установки клиента вкладка Previous Versions будет доступна в окне свойств файлов и папок для любых общих папок, помещенных на разделе с инициализированной функцией SCSF. Если вы читали часть 1 данной статьи, то помните, что в нашем примере раздел E: содержит папки My Documents перенаправленные в group policy (используя имя UNC).
И последнее замечание по поводу функции SCSF - она также поддерживает серверные кластеры. Вам необходимо ознакомится с документом "Using Shadow Copies of Shared Folders in a server cluster" из пакета документации Windows Server 2003 (запустите файл справки %systemroot%\Help\mscsconcepts.chm, а затем найдите "shadow copies" в предметном указателе), прежде чем настраивать SCSF на кластере. Хочется отметить, что эта статья предназначена не только для сетевых администраторов - SCSF это то, что может использоваться и обычными пользователями. Использование SCSF для восстановления или просмотра предыдущих версий файла это простая операция, которую может освоить каждый, как говорится, за пять щелчков мыши. Восстановление файлов из предыдущих версий папки чуть более сложная операция, но и она не будет проблемой для того, кто умеет перемещать файлы из одной папки в другую.
