Képzeljük el a következő helyzetet: van egy vállalat, amelyik autóalkatrész és utánfutó gyártással foglalkozik. Van egy külön tervező osztály, ahol a következő műszaki rajzokat készítik el: vonóhorog, utánfutó és ablaktörlő. Az első kettő kapcsolatban áll egymással, gyakran kell egyeztetniük. Minden dolgozónak van külön számítógépe és egy központi kiszolgálón tárolja az adatait. Alapvetően háromféle adatot különböztetünk meg: sajátot, amit csak az adott tervező láthat, megosztottat, amit csak az adott munkán dolgozó tervezők láthatnak és olyan megosztottat, amihez az összes tervező hozzáférhet függetlenül a munkakörétől. A tárolás szerkezete úgy néz ki, hogy a szerver merevlemezének egyetlen mappájába és az alatta található almappákban helyezkedek el a fájlok.
Ilyen és hasonló esetekben a legcélszerűbb megoldás, hogy lerajzoljuk a hierarchiát. A csúcson a szerver azon megosztott mappája található, amiben a cég összes tervezőjének anyaga helyet kap (pl.: c:\Tervezők). Ehhez értelemszerűen biztosítani kell minden tervező számára a hozzáférést ("Tervezők csoportja"). Ezen belül elhelyezkedő almappákhoz viszont már csak az adott csoport tagjai férhetnek hozzá ("Vonóhorog", "Utánfutó", "Ablaktörlő"). Van egy speciális mappa, amelyhez két csoport is hozzáférhet ("Vonóhorog", "Utánfutó"). A "Tervezők" csoportnak tartalmaznia kell mindhárom felhasználói csoportot, amelyben megtalálhatók a felhasználók. Az összes felhasználó két mappával (és ezeken belül tetszőleges számú almappával) rendelkezik. Az egyikhez csak ő maga férhet hozzá, a másikat viszont elérhetik a vele egy csoportban lévő más felhasználók is. Végül van még egy speciális mappa azzal a céllal, hogy az összes tervező függetlenül csoporttagságához fájlokat tudjon kapni vagy elhelyezni. Ez közvetlenül a gyökér alatt található, gyakorlatilag létre sem kell hozni, mert lehet maga a "Tervezők" mappa. Az egész szerkezet jogosultság kiosztása megoldható az NTFS fájlrendszer hozzáférési listájának (Access Control List - ACL) szerkesztésével. Fontos, hogy a "Rendszergazdák" ("Administrators") csoport teljes hozzáférést kapjon a hierarchia összes mappájához.
Nézzük a megvalósítás gyakorlati lépéseit:
Jelentkezzünk be a szerverre rendszergazdaként. Hozzunk létre az Intézőben (Explorer) egy mappát "Tervezők" néven. Ezen belül 6 db másikat, az egyszerűség kedvéért legyen a nevük A1 - A6. Az A1 és A2 mappák a "Vonóhorog" tervezők csoportjához fog tartozni, az A3 és A4 az "Utánfutó" tervezőkhöz, oly módon, hogy az A3-hoz minkét csoport hozzáférhet. Az A5 és A6 pedig az "Ablaktörlő"-ket tervezőké lesz. Minden mappán belül készítsünk további kettőt "Magán" és "Közös" névvel. Ezzel ki is alakítottuk a könyvtárszerkezetet.
Következő lépés a felhasználói csoportok létrehozása. Indítsuk el a Felügyeleti eszközök > Active Directory - felhasználók és számítógépek (Administrative Tools > Active Directory Users and Computers) MMC konzolt. Nyissuk meg a "Users" tárolót, kattintsunk rá a jobb oldali egérgombbal és válasszuk az Új > Csoport ("New > Group") menüt. A "Csoportnév" ("Group name") mezőbe írjuk be: "Tervezők". Mást nem kell változtatni, maradhat az alapértelmezett beállításon, tehát a hatókör "Globális" ("Global") és a típus "Biztonsági" ("Security"). Hozzuk létre ugyanezen az úton a további három csoportot ("Vonóhorog", "Utánfutó", "Ablaktörlő").
Most következik a csoportok egymásba ágyazása. Cél, hogy a "Tervezők" csoport tartalmazza a másik hármat. Kattintsunk a konzolban a "Tervezők" objektumra a jobb oldali egérgombbal és válasszuk a "Tulajdonságok" ("Properties") menüt. Lépjünk a megjelenő ablak "Tagok" ("Members") oldalára és a "Hozzáadás" ("Add") gombbal vegyük fel a "Vonóhorog", "Utánfutó" és "Ablaktörlő" elemeket, majd kattintsunk az "OK" gombra.
A konzol Új > Felhasználó (New > User) menüpontjával hozzunk létre 6 db új felhasználói fiókot szintén A1 - A6 elnevezéssel. Kattintsunk duplán a fiókokra a tulajdonság lap megjelenítéséhez és lépjünk "A következő csoportok tagja" ("Member Of") oldalra. Látható, hogy minden fiók a létrejöttét követően automatikusan tagja lesz a "Tartományfelhasználók" ("Domain Users") csoportnak. Ez maradhat is így, csak adjuk hozzá a mi csoportjainkat is: A1, A2 - "Vonóhorog", A3, A4 - "Utánfutó", A5, A6 - "Ablaktörlő".
Az NTFS jogok kiosztásához térjünk vissza a Windows Intézőhöz (Windows Explorer). Kattintsunk a "Tervezők" mappára ismét a jobb oldali egérgombbal, hívjuk elő a "Tulajdonságok" ("Properties") ablakot és lépjünk a "Biztonság" ("Security") oldalra. Itt található a hozzáférési lista. Alapértelmezésben a "Mindenki" ("Everyone") csoport teljes hozzáféréssel rendelkezik. Ez a csoport a számítógépre hálózaton és helyileg bejelentkezett összes felhasználót magában foglalja, ezért tagsága dinamikusan változik. Nyilvánvaló, hogy céljainknak ez nem felel meg de, ha törölni akarjuk nem fog sikerülni, mert a könyvtárszerkezet felsőbb pontjairól öröklődik. Ezért kapcsoljuk ki az "Engedélyek öröklésének engedélyezése a szülőtől" ("Allow inheritable permission from parent to propagate to this object") jelölőnégyzetet. Megjelenik egy ablak, ahol választhatunk az engedélyek átmásolása vagy törlése között. Válasszuk az "Eltávolítás" ("Remove") lehetőséget a tiszta lappal indulás érdekében. Ekkor az ACL lista üressé válik. Kattintsunk a "Hozzáadás" ("Add") gombra. A következő ablakban válasszuk ki a megjelenő listából a "Tervezők" csoportot és ismét kattintsunk a "Hozzáadás" ("Add") gombra. Tegyük meg ugyanezt a "Rendszergazdák" ("Administrators") objektummal is, végül nyomjuk le az "OK"-t. Az ACL listában megjelent a két a csoport, kattintsunk rá az egyikre és kapcsoljuk be az "Engedélyezés" ("Allow") oszlopban a "Teljes hozzáférés" ("Full Control") jelölőnégyzetet. Automatikusan kiválasztottá válik az összes jog. Tegyük ezt meg a másik csoportnál is. Ha kész vagyunk kattintsunk az "OK" gombra. Ténykedéseink eredménye, hogy minden felhasználó, aki a "Rendszergazdák" ("Administrators") vagy a "Tervezők" csoportjának a tagja teljes hozzáféréssel rendelkezik a mappához.
Hajtsuk végre ugyanezeket a lépéseket az A1 - A6 mappákon úgy, hogy az A1-hez és az A2-höz a "Vonóhorog" és a "Rendszergazdák" ("Administrators") csoport tagjai férhetnek hozzá. Az A3-hoz a "Vonóhorog", "Utánfutó" és a "Rendszergazdák" ("Administrators"). Az A4-hez az "Utánfutó" és a "Rendszergazdák" ("Administrators"). Az A5 és A6-hoz pedig az "Ablaktörlő" és a "Rendszergazdák" ("Administrators"). Ne felejtsük el minden alkalommal a teljes hozzáférést beállítani, különben az ablak bezárása után már nem leszünk képesek módosítani a listát. Az is fontos, hogy mindenhol szüntessük meg az öröklődést.
A hierarchia legalacsonyabb pontján a "Magán" és "Közös" mappák találhatók. A "Magán" mappákhoz a rendszergazdákon kívül a mappa tulajdonosa (A1 -A6 felhasználók) kapjon teljes hozzáférést és más ne (csoport sem). A "Közös"-nél más a helyzet: biztosítani kell, hogy a felhasználó csoportjának minden tagja számára elérhető legyen, ezért itt engedélyezett állapotba hagyjuk az öröklődést szabályozó jelölőnégyzetet. Mert hiszen ugyanazoknak a jogosítására van szükség, mint a szülőmappában. Tehát a "Közös" mappával nincs dolgunk.
Ezzel végeztünk a jogosultság állítással. Ha ettől kezdve a létrehozott könyvtárszerkezet bármelyik mappájába bemásolunk egy fájlt, az automatikusan felveszi a tároló mappa jogait. Osszuk meg a hálózaton a "Tervezők" mappát (jobb egérgomb > Megosztás > Megosztva az alábbi néven > OK ("Sharing > Share this folder").
Végére maradt a próba:
Jelentkezzünk be egy munkaállomásról a szerverre az A1 - A6 felhasználói nevek egyikével és ellenőrizzük, hogy valóban a fenti kívánalmaknak megfelelően működik-e a rendszer. Mivel két részre bontottuk a jogosultsági szinteket (teljes vagy semmi) ezért azokat a mappákat, ahol nem szerepel fiók az ACL listában (személyesen vagy csoportján keresztül) megnyitni sem fogja tudni. Ennek megfelelően a tartomány egyéb felhasználói (Vendégek, stb.) a "Tervezők" könyvtárszerkezet egyik alkönyvtárával sem tudnak semmit kezdeni. Így a fájlrendszer szintjén elvégeztük a rendszer védelmét.