Contact
Line : comsiam
หนึ่งในหัวข้อที่สร้างความสับสนให้กับผู้ดูแลระบบ Windows Server มากที่สุดคือเรื่อง Share Permission และ NTFS Permission เพราะทั้งสองระบบถูกใช้ควบคุมการเข้าถึงข้อมูลเหมือนกัน แต่ทำงานคนละส่วน และหากเข้าใจผิดอาจทำให้ผู้ใช้งานเข้าถึงข้อมูลไม่ได้ หรือแย่กว่านั้นคือข้อมูลสำคัญอาจรั่วไหลโดยไม่รู้ตัว
ในองค์กรจริง ปัญหา File Server จำนวนมากไม่ได้เกิดจากฮาร์ดแวร์เสียหรือระบบล่ม แต่เกิดจากการกำหนด Permission ผิดพลาด ดังนั้นการเข้าใจความแตกต่างระหว่าง Share Permission และ NTFS Permission จึงเป็นพื้นฐานสำคัญของผู้ดูแลระบบทุกคน
① Share Permission คืออะไร
Share Permission คือสิทธิ์ที่ควบคุมการเข้าถึงข้อมูลผ่านเครือข่าย (Network)
ตัวอย่าง
\\FILESERVER01\Finance
เมื่อผู้ใช้งานพยายามเปิด Shared Folder ผ่าน LAN หรือ VPN ระบบจะตรวจสอบ Share Permission ก่อน
Share Permission ทำงานเฉพาะตอนเข้าถึงผ่าน Network เท่านั้น
หาก Login เข้า Server โดยตรง Share Permission จะไม่ถูกนำมาคำนวณ
② NTFS Permission คืออะไร
NTFS Permission คือสิทธิ์ที่ควบคุมไฟล์และโฟลเดอร์บน Disk โดยตรง
ตัวอย่าง
D:\Finance
ไม่ว่าจะเปิดผ่าน
- Local Login
- Remote Desktop
- Shared Folder
ระบบจะตรวจสอบ NTFS Permission เสมอ
ดังนั้น NTFS Permission จึงถือเป็นกลไกความปลอดภัยหลักของ Windows Server
③ เปรียบเทียบ Share Permission และ NTFS Permission
| หัวข้อ | Share Permission | NTFS Permission |
|---|---|---|
| ใช้กับ | Network Share | File System |
| ทำงานผ่าน LAN | ใช่ | ใช่ |
| ทำงานบน Local Disk | ไม่ | ใช่ |
| กำหนดสิทธิ์ไฟล์รายไฟล์ | ไม่ | ได้ |
| กำหนดสิทธิ์ Folder | ได้ | ได้ |
| กำหนดสิทธิ์ Subfolder | จำกัด | ได้ |
| รองรับ Inheritance | ไม่มาก | รองรับเต็มรูปแบบ |
| ใช้งานจริงในองค์กร | ระดับเบื้องต้น | ระดับหลัก |
จากตารางจะเห็นได้ว่า NTFS Permission มีความสามารถมากกว่าอย่างชัดเจน
④ Share Permission มีสิทธิ์อะไรบ้าง
Windows Server 2025 มีสิทธิ์หลัก 3 ระดับ
Read
สามารถ
- อ่านไฟล์
- เปิดไฟล์
- ดูรายชื่อไฟล์
ไม่สามารถ
- แก้ไข
- ลบ
- สร้างไฟล์ใหม่
Change
สามารถ
- อ่าน
- เขียน
- แก้ไข
- ลบ
Full Control
สามารถทำได้ทุกอย่าง
รวมถึง
- เปลี่ยน Permission
- เปลี่ยน Owner
⑤ NTFS Permission มีสิทธิ์อะไรบ้าง
NTFS มีความละเอียดมากกว่า
ตัวอย่าง
- Full Control
- Modify
- Read & Execute
- List Folder Contents
- Read
- Write
รวมถึง Advanced Permission อีกหลายรายการ
เช่น
- Delete
- Change Permission
- Take Ownership
จึงเหมาะสำหรับระบบองค์กรขนาดใหญ่
⑥ ตัวอย่างการทำงานของ Share Permission
กำหนด
HR-FILE = Read
ผลลัพธ์
ผู้ใช้งานในกลุ่ม HR สามารถ
- เปิดไฟล์
- อ่านไฟล์
แต่ไม่สามารถ
- แก้ไขไฟล์
- ลบไฟล์
ได้
⑦ ตัวอย่างการทำงานของ NTFS Permission
กำหนด
HR-FILE = Modify
ผลลัพธ์
ผู้ใช้งานสามารถ
- สร้างไฟล์
- แก้ไขไฟล์
- ลบไฟล์
ภายในโฟลเดอร์ได้
⑧ เมื่อใช้ร่วมกัน ระบบตัดสินอย่างไร
นี่คือจุดที่หลายคนสับสนมากที่สุด
Windows จะใช้หลัก
Most Restrictive Permission
หรือ
ใช้สิทธิ์ที่เข้มงวดที่สุด
ตัวอย่างที่ 1
Share Permission
Full Control
NTFS Permission
Read
ผลลัพธ์
Read
ตัวอย่างที่ 2
Share Permission
Change
NTFS Permission
Modify
ผลลัพธ์
Change
สิทธิ์ที่จำกัดกว่าจะเป็นตัวกำหนดผลลัพธ์สุดท้าย
⑨ ตัวอย่างสถานการณ์จริงในองค์กร
Folder
\\FILESERVER01\Finance
Share Permission
Authenticated Users = Full Control
NTFS Permission
FINANCE-FILE = Modify
IT-ADMIN = Full Control
ผลลัพธ์
- ฝ่ายการเงินใช้งานได้
- ฝ่ายอื่นเข้าไม่ได้
- IT ดูแลระบบได้
นี่คือรูปแบบที่องค์กรจำนวนมากใช้งานจริง
⑩ แนวทางที่ Microsoft แนะนำ
Microsoft แนะนำให้
Share Permission
Authenticated Users = Full Control
จากนั้นไปควบคุมสิทธิ์จริงผ่าน
NTFS Permission
ข้อดี
- จัดการง่าย
- ลดความซับซ้อน
- แก้ปัญหาเร็ว
- เหมาะกับองค์กรขนาดใหญ่
⑪ ทำไมองค์กรขนาดใหญ่จึงเน้น NTFS Permission
เพราะ NTFS สามารถ
- แยกสิทธิ์ราย Folder
- แยกสิทธิ์ราย Subfolder
- แยกสิทธิ์รายไฟล์
- ใช้ Inheritance
- ใช้ Audit Log
ได้อย่างละเอียด
Share Permission เพียงอย่างเดียวไม่สามารถตอบโจทย์เหล่านี้ได้
⑫ Inheritance มีผลอย่างไร
NTFS รองรับ
Inheritance
ตัวอย่าง
CompanyData
├── HR
├── Finance
└── Sales
หาก Folder หลักมีสิทธิ์
IT-ADMIN = Full Control
Folder ย่อยทั้งหมดจะได้รับสิทธิ์นี้โดยอัตโนมัติ
ช่วยลดภาระการจัดการระบบอย่างมาก
⑬ ปัญหาที่พบบ่อย
Everyone Full Control
พบได้บ่อยมากในองค์กรขนาดเล็ก
เสี่ยงต่อข้อมูลรั่วไหล
ใช้ User รายบุคคล
ทำให้บริหารจัดการยาก
ลืมตรวจสอบ NTFS
ทำให้ผู้ใช้งานเข้าใช้งานไม่ได้
ใช้ Deny มากเกินไป
ทำให้วิเคราะห์ปัญหายาก
ทีมงาน comsiam พบว่าปัญหาส่วนใหญ่เกิดจากการเข้าใจว่า Share Permission เพียงอย่างเดียวสามารถควบคุมความปลอดภัยได้ ซึ่งไม่ถูกต้อง
⑭ Best Practice สำหรับ Windows Server 2025
แนวทางที่นิยมในองค์กรระดับ Enterprise
Share Permission
Authenticated Users = Full Control
Administrators = Full Control
NTFS Permission
HR-FILE = Modify
FINANCE-FILE = Modify
SALES-FILE = Modify
IT-ADMIN = Full Control
วิธีนี้ช่วยให้โครงสร้าง Permission ชัดเจนและดูแลรักษาง่าย
⑮ ตัวอย่างโครงสร้างที่แนะนำ
D:\CompanyData
│
├── HR
├── Finance
├── Sales
├── Marketing
├── Projects
└── Management
ใช้ Security Group ควบคุมผ่าน NTFS
เช่น
HR-FILE
FINANCE-FILE
SALES-FILE
แทนการกำหนดสิทธิ์ให้ User ทีละคน
⑯ สิ่งที่ไม่ควรทำ
❌ Everyone Full Control
❌ กำหนดสิทธิ์ราย User
❌ ปิด Inheritance โดยไม่จำเป็น
❌ ใช้ Deny แทน Allow
❌ ไม่ทดสอบ Effective Access
❌ ไม่ทำ Documentation
⑰ สรุป
Share Permission และ NTFS Permission มีหน้าที่แตกต่างกัน แม้ว่าจะเกี่ยวข้องกับการควบคุมการเข้าถึงข้อมูลเหมือนกันก็ตาม
Share Permission ทำหน้าที่ควบคุมการเข้าถึงผ่านเครือข่าย ส่วน NTFS Permission ควบคุมการเข้าถึงไฟล์จริงบน Disk และมีความสามารถที่ละเอียดกว่ามาก
ใน Windows Server 2025 แนวทางที่ได้รับความนิยมมากที่สุดคือกำหนด Share Permission แบบง่าย แล้วนำ NTFS Permission มาใช้เป็นตัวควบคุมหลัก เพราะบริหารจัดการง่าย ปลอดภัย และรองรับการขยายระบบในอนาคต
ผู้เชี่ยวชาญของ comsiam แนะนำให้ทุกองค์กรใช้ Security Group จาก Active Directory ร่วมกับ NTFS Permission และหลีกเลี่ยงการใช้ Everyone Full Control เพื่อป้องกันปัญหาความปลอดภัยที่อาจเกิดขึ้นในอนาคต นอกจากนี้ comsiam ยังแนะนำให้มีการตรวจสอบ Effective Access และ Audit Log เป็นประจำ เพื่อให้มั่นใจว่าระบบ File Server ยังคงปลอดภัยอยู่เสมอ
