Введение

Работа с документами, находящимся в файловом хранилище (file storage service) DIRECTUM по сути является работой с общими папками windows (shared folders). На это утверждение и необходимо оглядываться при настройке файловых хранилищ.

В случае настройки файловых хранилищ без контроля прав доступа все достаточно просто и никаких вопросов не возникает. Так же вопросов не возникает при наличии доменной среды и работы всех сотрудников в DIRECTUM под доменными учетными записями, об этом достаточно подробно написано в документации.

Наибольшие проблемы вызывает настройка файловых хранилищ с контролем прав доступа в бездоменной среде, так как возникают проблемы с идентификацией пользователя.

Как организован доступ к файлам файлового хранилища?

Как известно, в справочнике хранилища текстов документов настраивается папка файлового хранилища на том сервере, на котором установлена служба. При включенном контроле прав доступа доступ к этой папке имеет только тот пользователь, от имени которого запущена служба.

При обращении к файлу в хранилище пользователь службы пытается выдать права на документ (в том числе и к папке, в которой лежит файл) пользователю windows, от имени которого запущен Directum. Если с распознаванием пользователей домена проблем не возникает, то в случае локального пользователя рабочей станции, сервер его идентифицировать не может. Сам windows в таких случаях сеанс работы с общей папки регистрирует на учетную запись «Гость», однако служба файловых хранилищ так не работает.

Механизм windows идентификации пользователей

В ОС windows есть механизм идентификации пользователей в случае отсутствия домена: пользователи, которые будут работать с общей папкой, заводятся на сервере локально. При этом должны выполняться условия:

• Логин пользователя на сервере должен совпадать с локальным логином на рабочей станции;
• Пароль пользователя на сервере должен быть идентичен паролю на рабочей станции.

Перед заведением пользователей необходимо определиться с группой пользователей на сервере, в которую будут включаться пользователи для работы с файловыми хранилищами (рекомендуется создать новую группу, а не использовать уже имеющиеся).

Кроме того, для того чтобы этот механизм работал корректно, необходимо выполнить настройки локальной политики безопасности:

1. Открыть раздел «Локальная политика безопасности» (для этого открыть строку «Выполнить» (Win + R) и написать там secpol.msc и нажать Enter);

2. Найти слева «Локальные политики» раскрыть и выбрать «Назначение прав пользователя»;

3. Справа найти параметр «Отказ в доступе к компьютеру из сети» открыть его, и удалить все записи (обязательные к удалению строчки – пользователи и группы пользователей, в которые входят локальные пользователи для общего доступа);
4. Далее найти справа «Доступ к компьютеру из сети» открыть его, и добавить выбранную группу пользователей нажатием «Добавить пользователя или группу» (если в списке уже присутствует группа «Все», то ничего добавлять не нужно);
5. Далее найти параметр «Запретить локальный вход» открыть его, и добавить выбранную группу пользователей.
6. Далее необходимо применить настроенные политики безопасности:
   6. для этого открыть строку «Выполнить» (Win + R) и написать cmd и нажать Enter.
   6. В командной строке набрать gpupdate /force.

Следующим шагом в настройке прав должно быть заведение пользователей на сервере, включение их в определенную для них группу и обычная настройка файловых хранилищ, согласно документации DIRECTUM.