Eu fiz várias pesquisas, aqui , aqui e aqui , incluindo muitas respostas no SE para tentar responder a uma pergunta simples:
Em um ambiente somente Windows NTFS, se eu quisesse usar o NTFS sozinho para compartilhar pastas em uma LAN, poderia fazer isso?
Nenhum dos resultados que encontrei parece abordar essa questão. A documentação da Microsoft também não aborda a questão - De permissões de compartilhamento e NTFS em um servidor de arquivos (ênfase minha):
O acesso a uma pasta em um servidor de arquivos pode ser determinado por meio de dois conjuntos de entradas de permissão: as permissões de compartilhamento definidas em uma pasta e as permissões NTFS definidas na pasta (que também podem ser definidas em arquivos). As permissões de compartilhamento geralmente são usadas para gerenciar computadores com sistemas de arquivos FAT32 ou outros computadores que não usam o sistema de arquivos NTFS.
As permissões de compartilhamento e as permissões NTFS são independentes no sentido de que nenhuma altera a outra . As permissões de acesso finais em uma pasta compartilhada são determinadas levando em consideração a permissão de compartilhamento e as entradas de permissão NTFS. As permissões mais restritivas são então aplicadas.
As frases em negrito são confusas. Por exemplo, se Share permissions are often used for managing computers with FAT32 file systemsisso não implica que, em um ambiente somente NTFS, eu não preciso de permissões de compartilhamento e posso contar apenas com permissões NTFS?
Uma pergunta semelhante foi postada no TechNet há 8 anos, mas a maioria das respostas reverte apenas para o documento da Microsoft acima , com exceção de uma resposta, que parece sugerir que é possível usar apenas o NTFS :
Com permissões ntfs, você precisa saber o caminho para o diretório e ter direitos para esse diretório. Observe também que, com uma instalação padrão do servidor Windows, todas as unidades do servidor têm um compartilhamento administrativo padrão (c$, d$,e$ etc). Então, por exemplo, para um modelo de segurança seguro, eu faria o seguinte:
- Exclua todos os compartilhamentos administrativos (c$, d$ etc.)
- Remova todos dos diretórios com dados do usuário
- Agora volte e defina a segurança NTFS para os diretórios em questão (mais complicado do que o indicado aqui)
- Mapeie letras de unidades em estações de trabalho de usuários usando scripts de login ou políticas de grupo.
Agora os usuários têm acesso a seus diretórios apropriados no servidor, mas não podem procurar nomes de compartilhamento no servidor.
O problema é que essa resposta não detalha como "usar scripts de login ou políticas de grupo", exatamente.
NTFS, como ext4, são sistemas de arquivos de partição. Eles operam apenas no computador local. Você precisa “compartilhar” uma pasta para torná-la acessível fora do computador local.
Além disso, ao compartilhar via Windows (ou Samba), as permissões de compartilhamento também se aplicam. Se você tiver acesso por meio do compartilhamento, ainda precisará acessá-lo por meio da segurança do sistema de arquivos subjacente.
A confusão é causada pelo uso de documentação antiga e nova da Microsoft, onde ambas estão mal formuladas.
O NTFS tem um modelo de permissões, enquanto o antigo FAT32 não.
No NTFS, arquivos/pastas podem ter permissões. Um compartilhamento de rede também pode ter permissões. Mas um não implica o outro, pois ambos são totalmente separados.
Para acessar uma pasta de arquivos residente em um compartilhamento de rede para um sistema de arquivos NTFS, duas verificações são feitas, na seguinte ordem:
Ambas as verificações precisam ser bem-sucedidas para obter acesso.
(Observo que excluir compartilhamentos administrativos não tem nada a ver com o exposto acima. Pode ser uma boa ideia (ou ruim, dependendo) se o ambiente de rede local for hostil.)
Você faz duas perguntas, então há duas respostas:
Não. O NTFS é apenas um layout de disco e não um protocolo de rede. Você sempre precisará de algo como SMB (compartilhamento de arquivos integrado do Windows) ou SFTP para tornar os arquivos acessíveis pela rede.
Sim. As permissões de compartilhamento são opcionais para uso - você pode simplesmente defini-las como "Todos: controle total" no nível de compartilhamento. (As permissões NTFS sempre serão respeitadas e o acesso só será concedido se ambos os mecanismos permitirem.)
Mais ou menos, as permissões de compartilhamento SMB só existem porque já existiam no Windows 98 ( por exemplo ), que não tinha NTFS nem permissões no nível do sistema de arquivos.
Não sugere isso! Ele sugere que é possível usar apenas permissões NTFS (em vez de permissões de nível de compartilhamento SMB), mas não diz nada sobre o NTFS executar todas as outras funções do SMB, ou seja, comunicações de rede reais.
Você parece estar fazendo esta pergunta:
A resposta é não.
Uma ressalva é que o Windows geralmente tem compartilhamentos administrativos acessíveis para unidades, como
\\mycomputer\c$para aC:unidade disponível para administradores sem que você precise criar um compartilhamento manualmente, mas os arquivos estão realmente 'sendo compartilhados' e você está usando compartilhamentos (apenas os integrados ) então isso não conta.O compartilhamento (incluindo compartilhamentos administrativos) é o que permite o acesso de outros computadores. O NTFS é apenas um sistema de arquivos que organiza dados em seu disco rígido. Quando você deseja se conectar ao Computador A a partir do Computador B, ele precisa se conectar pela rede. Esse processo é chamado de compartilhamento.
Muito do que você está vinculando parece ser sobre permissões. O NTFS possui um sistema de permissões integrado, enquanto o FAT32 não. Então, se você usa FAT32, a única proteção que você tem é controlar quem tem acesso ao compartilhamento.
Vamos chamar você de 'Alice' e seu computador 'ComputerA' e seu amigo 'Bob' e seu computador 'ComputerB'. No seu computadorA você tem uma unidade D: que é FAT32 e esses diretórios:
D:\Data\Public- coisas que você deseja compartilhar com BobD:\Data\Private- coisas que você não quer que Bob vejaSe você deseja impedir que Bob veja a pasta Privada, não deve conceder a ele acesso a nenhum compartilhamento que contenha essa pasta. Você pode compartilhar a pasta Pública com acesso para Todos e compartilhar a pasta Privada restringindo o acesso à sua própria conta. Se você compartilhou a pasta Dados com Bob, não há nada que o impeça de procurar na pasta Privada porque o FAT32 não tem permissões.
No entanto, se você estiver usando NTFS, poderá usar o modelo de permissão NTFS para proteger o diretório Privado de modo que apenas sua conta tenha acesso. Agora você pode simplesmente criar um compartilhamento de 'Dados' para você e Bob. Se você restringir o acesso à pasta privada usando permissões NTFS, Bob poderá ver que ela existe, mas não poderá acessá-la. Você pode usar o mesmo compartilhamento e acessar a pasta privada porque seu usuário tem permissões.