จากที่เห็นปัญหาเกี่ยวกับการ Share Files จากกระทู้ต่างๆ ส่วนใหญ่จะให้ความสนใจเฉพาะตรง Share Permssions อย่างเดียว ซึ่งจริงๆแล้วมันมีเรื่องที่เกี่ยวข้องกันอยู่หลายส่วนอยู่
จากรูปด้านบนจะเห็นกว่าจะเข้ามา Folder ที่เรากำหนดไว้มันต้องผ่านหลายด่านด้วยกัน
ทีนี้หลังจากดูรูปแรกแล้ว มาดูประกอบกับเงื่อนไข ของการ Allow/Deny
จะเห็นว่าตามรูปด้านบนถ้าหากมีตรงใหนตรงหนึ่ง ที่ไม่มีการ Allow หรือมีการ Deny ก็จะทำให้ไม่สามารถใช้งานได้
ดังนั้นในการกำหนดสิทธ์การใช้งานผ่าน Share Files จะนิยมไปกำหนดสิทธ์ตรงที่ NTFS Permissions (Tab Security)
แต่ก่อนอื่นขอพูดถึงแต่ละด่านให้ดูก่อนครับ
ติดที่ Firewall
รูปตัวอย่างกรณี Windows Fireall Block Share Files
Firewall นี้จะเป็นการ Allow/Deny ส่วนของ Network คือเรื่องของ เปิด/ปิด Port ที่ใช้สำหรับ Share Files and Printer นั่นเอง ซึ่งก็คือ
File and Printer Sharing (LLMNR-UDP-In) UDP 5355
File and Printer Sharing (NB-Datagram-In) UDP 138
File and Printer Sharing (NB-Session-In) TCP 139
File and Printer Sharing (NB-Name-In) UDP 173
File and Printer Sharing (SMB-In) TCP 445
เพราะว่า Windows จะแจ้งว่ามีปัญหาที่ Network ซึ่งอาจจะรวมไม่ถึง Network ใช้งานไม่ได้ด้วย ดังนั้นการตรวจสอบตรงนี้อาจจะทดลอง ด้วยการ ping หรือช่องท่างอื่นๆ ว่า Network ไม่ได้มีปัญหา
ตัวอย่าง Error ที่ไม่สามารถเข้าได้เพราะจะติดที่ Firewall และทดสอบด้วยการ ping เพื่อ verify network แล้วว่าไม่มีว่าปัญหา
จุดสังเกตคือ The network path was not found.
ติดที่ Security Policy
Security Policy จะมีผลครอบคลุมทั้งเครื่อง แต่จะต่างกันกับ โดยที่เป็นการ Allow/Deny ในระดับ Users
ตัวอย่างเช่นใน องค์กร มี Users กลุ่มหนึ่งที่เป็นบุคคลภายนอก แต่ว่ามีสิทธ์เป็น Domain Users เหมือนกัน ดังนั้นถ้าหากว่าอยากจะ ป้องกันเฉพาะ Users กลุ่มนี้ไม่ให้เข้าถึงเครื่อง Server นี้ได้ ก็เพิ่มเข้าไปตรง Deny access to this computer from network
หรือถ้าหากว่า Server นี้สำคัญจริงๆ อยากให้เฉพาะกลุ่ม Users ที่เข้ามาได้ ก็เอา Group Users ต่างๆ ออกจาก Access this computer from network แล้ว add เฉพาะกลุ่มที่ต้องการเข้าไป
ตัวอย่าง Error กรณีเข้าไม่ได้เพราะติดเรื่อง Security Policy
จุดสังเกตุคือ Logon failure : .. (Logon ติดที่ User แน่นอน)
ติด Share Permissions
จะเห็นว่า Share Permissions จะมีเพียง 3 แบบเท่านั้น และจะว่าจริงๆคือ 2 แบบคือ
1. Read สามารถอ่านได้เท่านั้น
2. Change สามารถแก้ไขเปลี่ยนแปลงได้ ไม่ว่าจะเป็น สร้าง แก้ไข ลบ เปลี่ยนชื่อ
3. ส่วน Full Control สิทธิ์ที่เพิ่มเข้ามากนอกจาก Reac/Change แล้ว สามารถแก้ไข Permissions ได้
Share Permissions จะกำหนดได้เฉพาะสิทธ์ที่ Shared เท่านั้น ไม่สามารถกำหนดสิทธ์แยกย่อยลงไปใน Files/Folders ได้
ซึ่งจะเห็นว่า
Share Permissions ไม่ครอบคลุมหรือตอบโจทย์ในกรณีที่ต้องการกำหนดสิทธ์แยกย่อยให้ได้หลายแบบได้
ดังนั้นการใช้งานจริงๆ ส่วนใหญ่จะตรง
Share Permissions จะปล่อยให้ Full Control ไปเลย แล้วค่อยไปกำหนดสิทธิ์ต่างๆที่ NTFS Permissions เอาครับ
ติด NTFS Permissions
ถึงแม้ว่าตรง Share Permissions จะกำหนดไว้ให้ Everyone : Full Control แล้วก็ตาม
แต่ถ้าหากว่า ไม่มีสิทธิ์อะไรเลยใน NTFS Permissions ก็ถือว่าไม่มีสิทธ์
Error แสดงว่าไม่มี Permissions ในการเข้าใช้งาน (จะแสดงเหมือนกันทั้งไม่มีสิทธ์ที่ share,ntfs)
และต่อไปนี้จะพูดและแสดงตัวอย่างในเรื่องของ NTFS Permissions ซึ่งถือว่าเป็น Highlight ในเรื่องนี้ครับ
โดยผมจะเน้นที่การยกตัวอย่างประกอบนะครับ
[KB] เรื่องของการ Share Files ตอนที่ 1
จากรูปด้านบนจะเห็นกว่าจะเข้ามา Folder ที่เรากำหนดไว้มันต้องผ่านหลายด่านด้วยกัน
ทีนี้หลังจากดูรูปแรกแล้ว มาดูประกอบกับเงื่อนไข ของการ Allow/Deny
จะเห็นว่าตามรูปด้านบนถ้าหากมีตรงใหนตรงหนึ่ง ที่ไม่มีการ Allow หรือมีการ Deny ก็จะทำให้ไม่สามารถใช้งานได้
ดังนั้นในการกำหนดสิทธ์การใช้งานผ่าน Share Files จะนิยมไปกำหนดสิทธ์ตรงที่ NTFS Permissions (Tab Security)
แต่ก่อนอื่นขอพูดถึงแต่ละด่านให้ดูก่อนครับ
ติดที่ Firewall
รูปตัวอย่างกรณี Windows Fireall Block Share Files
Firewall นี้จะเป็นการ Allow/Deny ส่วนของ Network คือเรื่องของ เปิด/ปิด Port ที่ใช้สำหรับ Share Files and Printer นั่นเอง ซึ่งก็คือ
File and Printer Sharing (LLMNR-UDP-In) UDP 5355
File and Printer Sharing (NB-Datagram-In) UDP 138
File and Printer Sharing (NB-Session-In) TCP 139
File and Printer Sharing (NB-Name-In) UDP 173
File and Printer Sharing (SMB-In) TCP 445
เพราะว่า Windows จะแจ้งว่ามีปัญหาที่ Network ซึ่งอาจจะรวมไม่ถึง Network ใช้งานไม่ได้ด้วย ดังนั้นการตรวจสอบตรงนี้อาจจะทดลอง ด้วยการ ping หรือช่องท่างอื่นๆ ว่า Network ไม่ได้มีปัญหา
ตัวอย่าง Error ที่ไม่สามารถเข้าได้เพราะจะติดที่ Firewall และทดสอบด้วยการ ping เพื่อ verify network แล้วว่าไม่มีว่าปัญหา
จุดสังเกตคือ The network path was not found.
ติดที่ Security Policy
Security Policy จะมีผลครอบคลุมทั้งเครื่อง แต่จะต่างกันกับ โดยที่เป็นการ Allow/Deny ในระดับ Users
ตัวอย่างเช่นใน องค์กร มี Users กลุ่มหนึ่งที่เป็นบุคคลภายนอก แต่ว่ามีสิทธ์เป็น Domain Users เหมือนกัน ดังนั้นถ้าหากว่าอยากจะ ป้องกันเฉพาะ Users กลุ่มนี้ไม่ให้เข้าถึงเครื่อง Server นี้ได้ ก็เพิ่มเข้าไปตรง Deny access to this computer from network
หรือถ้าหากว่า Server นี้สำคัญจริงๆ อยากให้เฉพาะกลุ่ม Users ที่เข้ามาได้ ก็เอา Group Users ต่างๆ ออกจาก Access this computer from network แล้ว add เฉพาะกลุ่มที่ต้องการเข้าไป
ตัวอย่าง Error กรณีเข้าไม่ได้เพราะติดเรื่อง Security Policy
จุดสังเกตุคือ Logon failure : .. (Logon ติดที่ User แน่นอน)
ติด Share Permissions
จะเห็นว่า Share Permissions จะมีเพียง 3 แบบเท่านั้น และจะว่าจริงๆคือ 2 แบบคือ
1. Read สามารถอ่านได้เท่านั้น
2. Change สามารถแก้ไขเปลี่ยนแปลงได้ ไม่ว่าจะเป็น สร้าง แก้ไข ลบ เปลี่ยนชื่อ
3. ส่วน Full Control สิทธิ์ที่เพิ่มเข้ามากนอกจาก Reac/Change แล้ว สามารถแก้ไข Permissions ได้
Share Permissions จะกำหนดได้เฉพาะสิทธ์ที่ Shared เท่านั้น ไม่สามารถกำหนดสิทธ์แยกย่อยลงไปใน Files/Folders ได้
ซึ่งจะเห็นว่า Share Permissions ไม่ครอบคลุมหรือตอบโจทย์ในกรณีที่ต้องการกำหนดสิทธ์แยกย่อยให้ได้หลายแบบได้
ดังนั้นการใช้งานจริงๆ ส่วนใหญ่จะตรง Share Permissions จะปล่อยให้ Full Control ไปเลย แล้วค่อยไปกำหนดสิทธิ์ต่างๆที่ NTFS Permissions เอาครับ
ติด NTFS Permissions
ถึงแม้ว่าตรง Share Permissions จะกำหนดไว้ให้ Everyone : Full Control แล้วก็ตาม
แต่ถ้าหากว่า ไม่มีสิทธิ์อะไรเลยใน NTFS Permissions ก็ถือว่าไม่มีสิทธ์
Error แสดงว่าไม่มี Permissions ในการเข้าใช้งาน (จะแสดงเหมือนกันทั้งไม่มีสิทธ์ที่ share,ntfs)
และต่อไปนี้จะพูดและแสดงตัวอย่างในเรื่องของ NTFS Permissions ซึ่งถือว่าเป็น Highlight ในเรื่องนี้ครับ
โดยผมจะเน้นที่การยกตัวอย่างประกอบนะครับ