أذونات مجلد NTFS. أذونات NTFS - الملخص. مميزات الوراثة عند نسخ ونقل الملفات

في أي نظام يعتمد على تقنيات Windows NT، توجد موارد شبكة خاصة. تنتهي أسماء بعض الموارد بالرمز $؛ وتستخدم موارد الشبكة هذه " شبكة" أو عند فتح موارد الخادم باستخدام الأمر " \\<имя сервера>" لن يكون مرئيًا. ومع ذلك، إذا قمت بتحديد اسم UNC الكامل لمورد الشبكة، فيمكنك رؤية البيانات الموجودة فيه.

دعونا قائمة هذه الموارد:

• مورد النموذج " \\<имя сервера>\المشرف$" (على سبيل المثال، \\DC1\admin$ ) - مخصص لإدارة الكمبيوتر عن بعد؛ يتوافق المسار دائمًا مع موقع المجلد المثبت عليه نظام Windows؛ يمكن لأعضاء المجموعة فقط الاتصال بهذا المورد المسؤولين, مشغلي الأرشيفو مشغلي الخادم ;
• مورد النموذج " \\<имя сервера>\< буква диска>$ " (على سبيل المثال، \\DC1\C$ ) - المجلد الجذر لمحرك الأقراص المحدد؛ يمكن لأعضاء المجموعة فقط الاتصال بموارد الشبكة من هذا النوع على خادم Windows المسؤولين, مشغلي الأرشيفو مشغلي الخادم; على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows XP Professional وWindows 2000 Professional، يمكن لأعضاء المجموعة الاتصال بهذه الموارد المسؤولينو مشغلي الأرشيف ;
• الموارد " \\<имя сервера>\IPC$" (على سبيل المثال، \\DC1\IP$ ) - يستخدم للإدارة عن بعد؛
• الموارد " \\<имя сервера>\NETLOGON" (على سبيل المثال، \\DC1\NETLOGON) - يستخدم فقط في وحدات تحكم المجال؛ يتم تخزين البرامج النصية (البرامج النصية) لتسجيل دخول المستخدم، المتوافقة مع الإصدارات السابقة من أنظمة تشغيل Microsoft، في مجلد الشبكة هذا؛
• الموارد " \\<имя сервера>\SYSVOL" - يستخدم فقط على وحدات تحكم المجال؛ يتم تخزين جزء الملف من سياسات المجموعة في مجلد الشبكة هذا؛
• الموارد " \\<имя сервера>\طباعة$" - مورد يدعم الطابعات المشتركة؛ على وجه الخصوص، يتم تخزين برامج تشغيل الطابعات المشتركة في هذا المجلد.

يمكنك عرض قائمة كاملة بالموارد التي يوفرها هذا الخادم للمشاركة في " الملفات المشتركة"، في الفصل " الموارد المشتركة" (الشكل 8.35):

أرز. 8.35.

في نفس القسم من هذه الأداة الإضافية، يمكنك تعطيل مشاركة الموارد على الشبكة، وتغيير أذونات الشبكة، وإنشاء موارد شبكة جديدة.

بالإضافة إلى موارد الشبكة الخاصة التي يوجد بها الرمز $ في نهاية اسم المورد، والتي تمنح للمجموعات ذات السلطة العالية، يمكن استخدام هذا الرمز لمنح الوصول إلى أي مورد آخر يتم منحه الوصول إلى الشبكة من قبل المسؤول نفسه. في هذه الحالة، سيتم أيضًا إخفاء مورد الشبكة أثناء استعراض الشبكة العادي، ولكن يمكن الوصول إليه عن طريق تحديد اسم UNC الكامل، ويمكن السماح بالوصول إلى مجموعات المستخدمين التي تحتاج إلى هذا المورد.

أذونات NTFS

نؤكد مرة أخرى أن أذونات الشبكة تنطبق فقط عند الوصول إلى الموارد عبر الشبكة. إذا قام المستخدم بتسجيل الدخول محليًا، فلا يمكن الآن التحكم في الوصول إلا باستخدام أذونات NTFS. في وحدة التخزين (القسم) المزودة بنظام FAT، سيكون لدى المستخدم حق الوصول الكامل إلى المعلومات الموجودة على وحدة التخزين هذه.

يمكن تعيين أذونات NTFS عن طريق الفتح ملكياتمجلد أو ملف وانتقل إلى " أمان " (حماية). كما يمكن أن يرى في التين. 8.36، مجموعة أنواع أذونات NTFS أكثر ثراءً بكثير من مجموعة أذونات الشبكة.

على وحدة تخزين NTFS، يمكنك تعيين أنواع الأذونات التالية للمجلدات:

• الوصول الكامل ;
• يتغير ;
• قراءة وتنفيذ ;
• قائمة محتويات المجلد ;
• قراءة ;
• سِجِلّ ;
• أذونات خاصة.

لا يوجد عرض للملفات " قراءة محتويات المجلد ".

إذا قمت بالنقر فوق الزر "أذونات". بالإضافة إلى ذلك"، ثم يمكنك ضبط الأذونات.

يمكن أن تكون أذونات NTFS بديهيأو وارث. افتراضيًا، تكتسب كافة المجلدات أو الملفات أذونات كائن الحاوية هذا ( الكائن الأصل) الذي خلقوا فيه. يؤدي استخدام الأذونات القديمة إلى تسهيل عمل التحكم في الوصول. إذا كان المسؤول بحاجة إلى تغيير حقوق الوصول لمجلد وكل محتوياته، فيكفي القيام بذلك للمجلد نفسه وستؤثر التغييرات تلقائيًا على التسلسل الهرمي الكامل للمجلدات الفرعية والمستندات. في التين. 8.36. ومن الواضح أن المجموعة " المسؤولين"لقد ورث أذونات الكتابة" الوصول الكامل" للمجلد المجلد1. وفي الشكل. 8.37. وتبين أن المجموعة " المستخدمين" لديه مجموعة من الأذونات المعينة بشكل صريح:

لا يمكنك تغيير الأذونات الموروثة. إذا قمت بالنقر فوق " بالإضافة إلى ذلك"، ثم يمكنك إلغاء وراثة الأذونات من الكائن الأصل. في هذه الحالة، سيقدم النظام خيارين لإلغاء الوراثة: إما نسخ الأذونات الموروثة السابقة في شكل أذونات صريحة، أو حذفها بالكامل.

آلية تطبيق الأذونات

قيل في الفقرة 8.1 أن كل ملف عبارة عن مجموعة من السمات. يتم استدعاء السمة التي تحتوي على معلومات حول أذونات NTFS قائمة نظام الدخول (ACL، قائمة التحكم في الوصول). يظهر هيكل ACL في الجدول. 8.4. يتم استدعاء كل إدخال في قائمة التحكم بالوصول (ACL). عنصر التحكم في الوصول (ACE، دخول التحكم في الوصول).

يسرد الجدول معرفات أمان حساب المستخدم أو المجموعة أو الكمبيوتر (SIDs) والأذونات المقابلة لها. في الأشكال 8.36 أو 8.37، بدلاً من معرفات الأمان (SIDs)، يتم عرض أسماء المستخدمين والمجموعات المضمنة في قائمة التحكم بالوصول (ACL). ينص القسم 4 على أنه عندما يقوم مستخدم بتسجيل الدخول إلى الشبكة (عندما يقوم بالتسجيل في مجال)، ترسل وحدة تحكم المجال رمز وصول يحتوي على معرفات الأمان الخاصة بالمستخدم نفسه والمجموعات التي هو عضو فيها إلى جلسة المستخدم الحالية على حاسوب. عندما يحاول مستخدم تنفيذ إجراء على مجلد أو ملف (ويطلب نوعًا ما من الوصول إلى كائن)، يقوم النظام بمطابقة معرفات الأمان في رمز وصول المستخدم مع معرفات الأمان الموجودة في قائمة التحكم بالوصول (ACL) الخاصة بالكائن. في حالة تطابق معرفات SID معينة، يتم منح المستخدم الأذونات المناسبة للوصول إلى المجلد أو الملف.

لاحظ أنه عندما يقوم المسؤول بتغيير عضوية مجموعة المستخدم (يضم مستخدمًا في مجموعة جديدة أو يزيل مستخدمًا من مجموعة)، فإن رمز الوصول الخاص بالمستخدم لا يتغير تلقائيًا. للحصول على رمز وصول جديد، يجب على المستخدم تسجيل الخروج ثم تسجيل الدخول مرة أخرى. ثم سيتلقى رمز وصول جديد من وحدة تحكم المجال، مما يعكس التغيير في عضوية مجموعة المستخدمين

إجراءات تطبيق الأذونات

مبدأ تطبيق أذونات NTFS للوصول إلى ملف أو مجلد هو نفس مبدأ أذونات الشبكة:

• أولا، يتم التحقق من الحظر المفروض على أي نوع من الوصول (إذا كان هناك حظر، فهذا النوع من الوصول غير مسموح به)؛
• ثم يتم التحقق من مجموعة الأذونات (إذا كانت هناك أنواع مختلفة من الأذونات للمستخدم والمجموعات التي ينتمي إليها هذا المستخدم، فسيتم تطبيق مجموعة الأذونات الإجمالية).

ولكن بالنسبة لأذونات NTFS، يصبح المخطط أكثر تعقيدًا بعض الشيء. يتم تطبيق الأذونات بالترتيب التالي:

• المحظورات الصريحة؛
• أذونات صريحة؛
• الموانع الموروثة.
• الأذونات الموروثة.

إذا لم يتم تحديد معرف SID الخاص بالمستخدم أو معرفات SID للمجموعة التي يكون المستخدم عضوًا فيها في الأذونات الصريحة أو الموروثة، فسيتم رفض الوصول إلى المستخدم.

ملكية مجلد أو ملف

المستخدم الذي قام بإنشاء المجلد أو الملف هو مالكمن هذا الكائن. مالك الكائن لديه الحق في تغيير أذونات NTFSلهذا الكائن، حتى لو تم رفض أنواع الوصول الأخرى. يمكن رؤية المالك الحالي للكائن من خلال الفتح ملكياتالكائن، ثم الإشارة المرجعية " أمان"، ثم النقر على الزر " بالإضافة إلى ذلك"والذهاب إلى الإشارة المرجعية" مالك" (الشكل 8.38):

انتباه! مدير النظام قد يتغير المالككائن عن طريق تحديد مالك جديد من القائمة المعروضة في هذه النافذة أو من القائمة الكاملة للمستخدمين (بالنقر فوق " مستخدمين أو مجموعات أخرى"). يتم توفير هذه الميزة للمسؤولين من أجل استعادة الوصول إلى كائن في حالة فقدان الوصول بسبب أذونات تم تعيينها بشكل غير صحيح أو حذف حساب لديه حق الوصول الحصري إلى هذا الكائن (على سبيل المثال، الموظف الوحيد الذي كان لديه بقي الوصول إلى الملف، قام المسؤول بحذف حسابه، ونتيجة لذلك فقد الوصول إلى الملف تمامًا، والطريقة الوحيدة لاستعادة الوصول هي نقل ملكية الملف إلى المسؤول أو موظف جديد يعمل كموظف مفصول ).

مشاركة أذونات الشبكة وNTFS

عند الوصول إلى مشاركات الملفات المستضافة على وحدة تخزين NTFS عبر الشبكة، يتم تطبيق مجموعة من أذونات الشبكة وNTFS على المستخدم.

عند الوصول عبر الشبكة، يتم حساب أذونات الشبكة أولاً (من خلال جمع أذونات المستخدم والمجموعات التي ينتمي إليها المستخدم). ثم يتم أيضًا حساب أذونات NTFS عن طريق الجمع. وستكون التصاريح الفعالة الناتجة الممنوحة لتلك الممتلكات المعينة الحد الأدنىمن الشبكة المحسوبة وأذونات NTFS.

التحكم في الوصول باستخدام المجموعات

يتم إنشاء مجموعات المستخدمين خصيصًا لإدارة الوصول إلى الموارد بشكل أكثر فعالية. إذا قمت بتعيين حقوق الوصول لكل مورد لكل مستخدم على حدة، أولاً، فهذا عمل كثيف العمالة للغاية، وثانيًا، يصبح من الصعب تتبع التغييرات في حقوق الوصول عندما يغير المستخدم منصبه في القسم أو ينتقل إلى قسم آخر قسم.

دعونا نكرر المادة من القسم 4. للتحكم في الوصول بشكل أكثر فعالية، يوصى بالمخطط التالي لتنظيم توفير الوصول:

1. حسابات المستخدمين ( حسابات) يتم تضمينها في مجموعات المجال العمومية ( المجموعات العالمية) وفقًا لهيكل التوظيف في الشركة/المنظمة والمسؤوليات المنجزة؛
2. يتم تضمين المجموعات العالمية في مجموعات المجال المحلية أو المجموعات المحلية على بعض الخوادم ( المجموعات المحلية المجال, المجموعات المحلية) وفقًا لحقوق الوصول المطلوبة لمورد معين؛
3. يتم تعيين المجموعات المحلية المناسبة الأذونات اللازمة ( الأذونات) إلى موارد محددة.

تلقى هذا المخطط، بناء على الأحرف الأولى من الكائنات المستخدمة، اسما مختصرا AGLP (أالعد زالمجموعات المحلية لالمجموعات المحلية صالأذونات). مع هذا الترتيب، إذا تمت ترقية المستخدم أو تخفيض رتبته أو نقله إلى قسم آخر، فلا داعي لذلك عرض كافة موارد الشبكة، الوصول الذي يحتاج إلى تغيير لهذا المستخدم. ويكفي أن تتغير وفقا لذلك عضوية المستخدم في المجموعات العالمية، وحقوق الوصول إلى موارد الشبكة لهذا المستخدم سوف تتغير تلقائيا.

دعونا نضيف ذلك في الوضع الرئيسي لتشغيل مجال Active Directory (الأوضاع " ويندوز 2000 الأساسي" أو " ويندوز 2003") مع ظهور تداخل المجموعات والمجموعات العالمية، المخطط AGLPتم تعديله في الدائرة أغ...جول...ل.ب.

تحدثنا في المحاضرة السابقة عن أمان الشبكة ومفهوم الأذونات، لكن الأمر يستحق العودة إلى هذا الآن، حيث أن الأذونات متوفرة فقط على محركات الأقراص الثابتة NTFS. سنتحدث في هذا القسم عن إمكانيات NTFS لحماية ملفاتك من أعين المتطفلين. وعلى عكس نظام FAT، لا يمكن تمكين الوصول إلى الموارد المشتركة أو تعطيله. يوفر نظام NTFS مستوى من التفصيل يسمح فقط لأولئك الذين تريد الوصول إليهم ويقوم بتصفية أي شخص آخر.

أذونات لمستخدم فردي

قبل مناقشة أذونات المستخدمين والمجموعات، وكذلك الملفات نفسها، من المهم مراجعة أساسيات كيفية عمل الأذونات. سنوضح لك أولاً ما هو الميراث، ثم سنلقي نظرة على إحدى الأدوات الموجودة في Windows XP Professional والتي من المفترض أن تساعدك، ولكنها يمكن أن تصبح حجر عثرة إذا لم تفهم ميزاتها.

ميراث

قد يكون هناك عدد قليل من المستخدمين على الشبكة، أو قد يكون هناك الآلاف. من خلال تعيين أذونات مخصصة على وحدات تخزين ومجلدات NTFS، يمكن أن تكون هذه المهمة بسيطة نسبيًا في مؤسسة مكونة من ستة أشخاص. كما هو مذكور في الفصل التاسع، عندما تبدأ المؤسسة في النمو، فإن تقسيم المستخدمين إلى مجموعات محددة يجعل إدارة الأذونات أسهل بكثير.

يجب عليك أولاً إنشاء مجموعة من الأذونات لمجموعة معينة، مثل المهندسين. في هذه الحالة، عندما يظهر مهندس جديد في المؤسسة، تتم إضافته تلقائيًا إلى هذه المجموعة. وفي الوقت نفسه، يتم توريث أذونات هذه المجموعة.

ملحوظة. ينطبق الوراثة أيضًا على الكائنات الأخرى الموجودة على وحدة تخزين NTFS. على سبيل المثال، إذا قمت بتعيين أذونات على مجلد معين ثم قمت بإنشاء مجلد فرعي بداخله، فإن حق الوراثة يحررك من إنشاء مجموعة جديدة من الأذونات لهذا المجلد الفرعي لأنه يرث أذونات المجلد الأصلي.

إذا كنت تعتقد أن مجموعة من المهندسين بحاجة إلى إصدار أو تجديد تصريح معين، فمن السهل القيام بذلك. بمجرد التغيير (وهو ما سنتحدث عنه لاحقًا في هذه المحاضرة)، يتم تعيين الإذن الجديد لكل عضو في تلك المجموعة.

ومن ناحية أخرى، قد يحتاج مهندس معين إلى إذن لا يحتاج إليه الآخرون. ويمكنك من خلال تسجيل الدخول إلى المجموعة الهندسية إجراء التغييرات اللازمة لهذا المستخدم، وسيحصل على إذن جديد لن يرثه بالانتماء إلى هذه المجموعة. وفي هذه الحالة، لن ينطبق الإذن على أعضاء المجموعة الآخرين.

الجديد في Windows XP Professional هو مشاركة الملفات البسيطة. يتم تمكين هذه الميزة عند تثبيت نظام التشغيل Windows XP Professional لأول مرة أو عند مشاركة وحدة تخزين أو مجلد. لتمكين المزيد من أدوات التحكم في وصول المستخدم، يجب تعطيل مشاركة الملفات البسيطة.

قد تتساءل عن سبب الحاجة إلى مشاركة الملفات البسيطة إذا كان لا بد من تعطيل هذه الميزة. فقط لتسهيل عملية مشاركة الملفات والمجلدات. مع تمكين مشاركة الملفات البسيطة، لا توجد العديد من التكوينات لكيفية وصول المستخدمين إلى الملفات والطابعات وما إلى ذلك. وهذا يوفر طريقة سهلة لمشاركة الملفات. ومع ذلك، إذا كنت تريد التحكم في من يمكنه الوصول إلى الملفات، فيجب تعطيل مشاركة الملفات البسيطة. لكي تفعل هذا، اتبع هذه الخطوات.

1. حدد Start\My Computer، ثم انقر فوق Tools وحدد Folder Options.
2. في مربع الحوار خيارات المجلد، انقر فوق علامة التبويب عرض.
3. قم بالتمرير خلال قائمة الإعدادات في نافذة الإعدادات المتقدمة وقم إما بتحديد أو إلغاء تحديد خانة الاختيار استخدام مشاركة الملفات البسيطة.
4. انقر فوق موافق.

ملحوظة. سيؤدي تعطيل المشاركة البسيطة للملفات وحدها إلى منعك من تعيين أذونات الملف. يجب عليك أيضًا وضع جميع ملفاتك ومجلداتك على وحدة تخزين أو قسم NTFS.

أذونات للمجلدات ووحدات التخزين

تتحكم الأذونات في ما يمكن لمستخدم أو مجموعة فعله بكائن موجود على الشبكة أو على جهاز الكمبيوتر المحلي الخاص بهم. يتم دعم الأذونات فقط عند تعطيل مشاركة الملفات البسيطة وعلى محرك الأقراص الثابتة NTFS. يسرد B الأذونات المخصصة للمجلدات، ويسرد B الأذونات المخصصة للملفات.

إنشاء وإدارة الأذونات

من خلال إنشاء أذونات للملفات والمجلدات ووحدات تخزين NTFS الفردية، يمكنك الاستفادة من العديد من خيارات الأمان التي يوفرها نظام الملفات FAT. تشتمل علامة التبويب "خصائص" الخاصة بالمجلد أو وحدة التخزين المحددة على علامة تبويب "أمان". وبالنقر عليه، يمكنك رؤية عدد من الخيارات للتحكم في الوصول.

لتكوين الأذونات لمجلد أو وحدة تخزين معينة، اتبع الخطوات التالية.

1. حدد وحدة التخزين أو المجلد الذي ستقوم بتعيين الأذونات له.
2. انقر بزر الماوس الأيمن عليه وحدد خصائص.
3. حدد علامة التبويب الأمان.

ملحوظة. إذا تمت مشاركة وحدة تخزين NTFS، فيجب عليك تعيين الأذونات من خلال علامة التبويب "أمان" بدلاً من استخدام زر "الأذونات" في علامة التبويب "مشاركة".

في نافذة الخصائص التي تظهر، سترى نافذتين. تحتوي النافذة العلوية على قائمة المستخدمين والمجموعات (). توجد في الأسفل قائمة بأذونات المستخدم التي يمكن تعيينها وتعديلها. مرة أخرى، علامة التبويب هذه متاحة فقط لوحدات تخزين NTFS.

أرز. 10.7.علامة تبويب الأمان في مربع حوار الخصائص

من خلال النقر على مستخدم أو مجموعة محددة، يمكنك تعيين الأذونات لهم في النافذة السفلية. الأذونات التالية متاحة.

• السيطرة الكاملة. يسمح للمستخدم أو المجموعة بقراءة الملفات وإنشائها وتعديلها وحذفها.
• يُعدِّل. يسمح للمستخدمين بحذف الملفات والمجلدات، أو إجراء تغييرات على الأذونات، أو الحصول على ملكية ملف أو مجلد من مستخدم آخر.
• قراءة وتنفيذ. يسمح للمستخدمين بقراءة الملفات وتشغيلها دون إجراء تغييرات على محتويات المجلد أو المجلد المشترك.
• محتويات مجلد قائمة. يسمح للمستخدمين بعرض محتويات المجلدات.
• يقرأ. يسمح للمستخدمين بعرض محتويات المجلد أو المجلد. يمكنهم أيضًا فتح الملفات، لكن لا يُسمح لهم بحفظ التغييرات.
• يكتب. يسمح للمستخدمين بالكتابة في المجلدات أو المجلدات، لكنه يمنعهم من فتح الملفات أو عرض قائمة الملفات.
• أذونات خاصة. بالنقر فوق الزر "خيارات متقدمة"، يمكنك تطبيق أذونات خاصة.

الحد من عدد المستخدمين

اعتمادًا على حجم مؤسستك وبنيتها، قد لا تتمكن من السماح للجميع بالوصول إلى نفس وحدة التخزين في نفس الوقت. إذا كنت بحاجة إلى تعيين حد لعدد المستخدمين الذين يمكنهم الوصول إلى وحدة تخزين أو مجلد في نفس الوقت، فافتح مربع الحوار "أذونات" وحدد علامة التبويب "مشاركة" (الشكل 10.8).

في قسم حد المستخدم، حدد أحد الخيارات التالية.

• الحد الأقصى المسموح به السماح بالوصول لأقصى عدد من مستخدمي الشبكة.
• السماح لهذا العدد من المستخدمين السماح بالوصول فقط لعدد محدد من المستخدمين.

يمكن العثور على مزيد من التفاصيل حول الأذونات في الفصل. 9.

أذونات NTFS(أذونات NTFS) هي مجموعة من السمات الموسعة الخاصة لملف أو دليل (مجلد) تم تعيينها لتقييد وصول المستخدم إلى هذه الكائنات. وهي متوفرة فقط على وحدات التخزين المثبت عليها نظام الملفات NTFS. توفر الأذونات حماية مرنة لأنه يمكن تطبيقها على كل من الدلائل والملفات الفردية؛ فهي تنطبق على المستخدمين المحليين (الذين يعملون على أجهزة الكمبيوتر التي توجد بها المجلدات والملفات المحمية) وعلى المستخدمين المتصلين بالموارد عبر الشبكة.

لكي لا يكون محيرا الأذوناتمع حقوق.هذه مفاهيم مختلفة تمامًا؛ مزيد من التفاصيل حول هذا الأمر مكتوبة في القسم الفرعي "Windows NT/2000/XP Security Model". لسوء الحظ، في الأدبيات التقنية وفي الحياة اليومية غالبا ما يتم الخلط بين هذه المصطلحات. مصدر هذا هو في المقام الأول أخطاء الترجمة للمواد الأصلية باللغة الإنجليزية.

تعمل أذونات NTFS بشكل أساسي على حماية الموارد من المستخدمين المحليين الذين يعملون على الكمبيوتر الذي يوجد عليه المورد. ومع ذلك، يمكن استخدامها أيضًا للمستخدمين البعيدين الذين يتصلون بمجلد مشترك عبر الشبكة. من الواضح، في هذه الحالة، يخضع المستخدمون لآليتين لتقييد الوصول إلى الموارد: أولا، الشبكة، ثم الملف المحلي. ولذلك، سيتم تحديد أذونات الوصول الناتجة على أنها الحد الأدنى لأذونات الشبكة والملفات. ويجب القول هنا أن أذونات الشبكة الناتجة للوصول إلى الموارد التي سيحصل عليها المستخدم أثناء العمل على الشبكة يتم حسابها على أنها الحد الأقصى للأذونات في قائمة أذونات الوصول، حيث يمكن للمستخدم أن يكون عضوًا في عدة مجموعات مذكورة في القائمة. وينطبق الشيء نفسه على أذونات NTFS: يمتلك المستخدم الحد الأقصى من الأذونات المدرجة في قائمة التحكم في الوصول، ويمكن لإذن No Access فقط تجاوز كافة الأذونات الأخرى.

توفر أذونات NTFS حماية انتقائية للغاية: يمكنك تعيين أذونات مختلفة لكل ملف في المجلد. على سبيل المثال، يمكن السماح لمستخدم واحد بقراءة محتويات ملف وتغييرها، ويمكن لمستخدم آخر القراءة فقط، ويمكن رفض وصول مستخدم ثالث تمامًا. ومع ذلك، لاحظ أنه يوصى بشدة بتعيين الأذونات على قوائم ACL باستخدام حسابات مجموعة المستخدمين بدلاً من حسابات المستخدمين الفردية.

يحتوي كل كائن ملف على ما يسمى قناع الوصول(قناع الوصول). يتضمن قناع الوصول معيار(معيار)، محدد(محدد) و نوعي(عامة) حقوق الوصول.

□ تحدد حقوق الوصول القياسية العمليات المشتركة بين جميع الكائنات المحمية.

□ تشير حقوق الوصول المحددة إلى الحقوق الأساسية الخاصة بكائنات الملف. على سبيل المثال، تسمح لك الحقوق المحددة Read_Data وWrite_Data وAppend_Data بقراءة البيانات وكتابة المعلومات، وبالتالي إضافة بيانات إلى ملف. حقوق Read_Attributes وحقوق Write_Attributes

وRead_EA وWrite_EA يسمحان، على التوالي، بقراءة أو كتابة السمات أو السمات الموسعة لملف أو دليل. وأخيرًا، يتيح لك حق الوصول المحدد مثل Execute إمكانية تشغيل ملف للتنفيذ.

□ يستخدم النظام حقوق الوصول العامة؛ فهي تحدد مجموعات من الحقوق القياسية والمحددة. على سبيل المثال، يشتمل حق الوصول للقراءة العامة المطبق على ملف على الحقوق المحددة والقياسية التالية: Read_Control وFile_Read_Data وFile_Read_Attributes وFile_Read_EA وSynchronize.

لذلك، يتم تمثيل أذونات NTFS بشكل مختلف في أنظمة التشغيل Windows NT 4.0 وفي عائلة أنظمة Windows 2000/XP. تتعلق هذه الاختلافات في المقام الأول بالواجهة، أي أن برنامج Explorer يعرض بشكل مختلف تلك الأذونات التي تم تعيينها فعليًا لكائن ملف في شكل أذونات وصول وتتم معالجتها على مستوى البرنامج. تعد الأذونات في Windows 2000/XP أقرب إلى الأذونات المحددة والقياسية والعامة التي ناقشناها أعلاه، ولكنها ليست مفيدة للتحكم في الوصول إلى الملفات مثل أذونات Windows NT 4.0.

العمل المختبري رقم 2

الموضوع: استخدام تقنيات العمل مع نظام الملفات NTFS. تعيين أذونات الوصول إلى الملفات والمجلدات.

مهلة:ساعاتين

هدف : تعرف على كيفية تعيين أذونات NTFS للملفات والمجلدات للمستخدمين الفرديين والمجموعات في نظام التشغيل Windows 7، بالإضافة إلى استكشاف مشكلات الوصول إلى الموارد وإصلاحها.

المعلومات النظرية

فهم استخدام أذونات NTFS

تسمح لك أذونات NTFS بتحديد المستخدمين والمجموعات الذين لديهم حق الوصول إلى الملفات والمجلدات بشكل صريح وما هي العمليات المسموح لهم بتنفيذها على محتويات تلك الملفات أو المجلدات. تنطبق أذونات NTFS فقط على وحدات التخزين المنسقة باستخدام نظام الملفات NTFS. وهي غير متوفرة لوحدات التخزين التي تستخدم أنظمة الملفات FAT أو FAT32. يكون أمان NTFS فعالاً سواء كان المستخدم يصل إلى ملف أو مجلد موجود على الكمبيوتر المحلي أو على الشبكة.

تختلف الأذونات التي تحددها للمجلدات عن الأذونات التي تحددها للملفات. يحق للمسؤولين ومالكي الملفات أو المجلدات والمستخدمين الذين لديهم إذن التحكم الكامل تعيين أذونات NTFS للمستخدمين والمجموعات للتحكم في الوصول إلى تلك الملفات والمجلدات. قائمة نظام الدخول

المخزنة في NTFS قائمة نظام الدخول (قائمة نظام الدخول - الرباط الصليبي الأمامي)لكل ملف ومجلد على وحدة تخزين NTFS. تعرض هذه القائمة المستخدمين والمجموعات التي لديها أذونات معينة على الملف أو المجلد، بالإضافة إلى الأذونات التي تم تعيينها. لكي يتمكن المستخدم من الوصول إلى أحد الموارد، يجب أن يكون هناك إدخال يسمى في قائمة التحكم بالوصول (ACL). عنصر قائمة التحكم في الوصول (إدخال التحكم في الوصول - ACE) لهذا المستخدم أو المجموعة التي ينتمي إليها. سيقوم هذا الإدخال بتعيين نوع الوصول المطلوب (على سبيل المثال، قراءة)للمستخدم. إذا لم يكن هناك ACE مطابق في قائمة ACL، فلن يتمكن المستخدم من الوصول إلى المورد.

أذونات NTFS متعددة

يمكنك تعيين أذونات متعددة للمستخدم ولجميع المجموعات التي هو عضو فيها. للقيام بذلك، يجب عليك فهم القواعد والأولويات التي يتم من خلالها تعيين أذونات متعددة ودمجها في NTFS ووراثة أذونات NTFS.

أذونات فعالة.أذونات المستخدم الفعالة لأحد الموارد هي مجموعة أذونات NTFS التي تقوم بتعيينها لمستخدم فردي وجميع المجموعات التي ينتمي إليها هذا المستخدم. إذا كان لدى المستخدم إذن القراءة في مجلد وكان جزءًا من مجموعة لديها إذن الكتابة في نفس المجلد، فإن هذا المستخدم لديه كلا الإذنين.

تحديد أذونات NTFS والأذونات الخاصة

يجب عليك اتباع إرشادات معينة عند تعيين أذونات NTFS. قم بتعيين الأذونات بناءً على احتياجات المجموعات والمستخدمين، بما في ذلك السماح للمجلدات الفرعية والملفات الموجودة في المجلد الأصلي أو منعها من وراثة الأذونات من المجلد الأصلي.

إذا أخذت بعض الوقت لتخطيط أذونات NTFS الخاصة بك واتبعت بعض مبادئ التخطيط، فستجد أن إدارة الأذونات سهلة.

لتبسيط عملية الإدارة، قم بتجميع الملفات في أنواع المجلدات التالية: مجلدات التطبيقات، ومجلدات البيانات، والمجلدات الشخصية. قم بمركزة المجلدات العامة والخاصة في وحدة تخزين منفصلة لا تحتوي على ملفات نظام التشغيل أو التطبيقات الأخرى. من خلال القيام بذلك، سوف تحصل على الفوائد التالية:

يمكنك تعيين الأذونات للمجلدات فقط، وليس للملفات الفردية؛

قم بتبسيط عملية النسخ الاحتياطي لأنك لن تضطر إلى عمل نسخة احتياطية لملفات التطبيق والاحتفاظ بجميع مجلداتك العامة والخاصة في مكان واحد.

· تحديد مستوى الوصول المطلوب للمستخدمين فقط. إذا كنت بحاجة إلى قراءة ملف، فقم بتعيين إذن القراءة الخاص بالمستخدم لهذا الملف. سيؤدي ذلك إلى تقليل فرصة قيام المستخدم بتغيير ملف عن طريق الخطأ أو حذف المستندات وملفات التطبيقات المهمة.

· أنشئ مجموعات وفقًا لنوع الوصول الذي يحتاجه أعضاء المجموعة، ثم قم بتعيين الأذونات المناسبة للمجموعة. قم بتعيين الأذونات للمستخدمين الفرديين فقط عند الضرورة.

· عند تعيين أذونات للعمل مع البيانات أو ملفات التطبيقات، قم بتعيين إذن القراءة والتنفيذ لمجموعات المستخدمين المشاغلوالإداريين. سيؤدي هذا إلى منع حذف ملفات التطبيق أو إتلافها عن طريق الخطأ بواسطة الفيروسات أو المستخدمين.

· عند تعيين أذونات لمجلدات البيانات المشتركة، قم بتعيين أذونات القراءة/التنفيذ والكتابة لمجموعة المستخدمين وإذن التحكم الكامل لمجموعة Creator-Owner. بشكل افتراضي، المستخدم الذي أنشأ المستند هو أيضًا مالكه. يمكن لمالك الملف منح مستخدم آخر إذنًا لامتلاك الملف. المستخدم الذي يقبل هذه الحقوق في هذه الحالة يصبح مالك الملف. إذا قمت بتعيين إذن القراءة/التنفيذ والكتابة لمجموعة المستخدمين وإذن التحكم الكامل لمجموعة Creator-Owner، فسيتمكن المستخدمون من قراءة وتحرير المستندات التي أنشأها مستخدمون آخرون، بالإضافة إلى القراءة والتحرير والحذف الملفات والمجلدات التي يقومون بإنشائها.

يتم توضيح الموقف التالي: لدى المستخدم 1 إذن الكتابة إلى مجلد البيانات. وهو أيضاً عضو في مجموعة "الجميع" التي لديها إذن القراءة. لذلك، سيكون الإذن الفعلي للمستخدم 1 عبارة عن مجموعة من أذونات القراءة والكتابة، ولكن لمجلد البيانات فقط.

على عكس أذونات المشاركة، لا تمنح أذونات NTFS حق الوصول إلى المجلدات الفرعية لمجلد البيانات.

مثال على أذونات NTFS لملف

يتم توضيح الموقف التالي: لدى المستخدم 1 أذونات القراءة والكتابة على الملف File1 في مجلد البيانات. بالإضافة إلى ذلك، فهو عضو في مجموعة المبيعات التي لديها إذن مختلف لمجلد البيانات - القراءة. ونتيجة لذلك، سيكون لدى المستخدم 1 إذن لقراءة مجلد البيانات والقراءة والكتابة إلى File1، لأن أذونات ملف NTFS لها الأسبقية على أذونات المجلد.

توفر أذونات NTFS حماية قوية للمجلدات والملفات الموجودة على وحدات تخزين نظام ملفات Windows NT (NTFS).

تنطبق أذونات NTFS للمجلدات والملفات على كل من المستخدمين الذين يعملون مباشرة على الكمبيوتر وعلى أولئك الذين يصلون إلى كائنات الكمبيوتر المحمية عبر الشبكة.

كما هو الحال مع أذونات المشاركة، يمكن للمستخدم الحصول على إذن NTFS إما بشكل مباشر أو من خلال كونه عضوًا في مجموعة واحدة أو أكثر لديها الإذن.

مثل أذونات المشاركة، فإن أذونات NTFS الفعلية للمستخدم هي مزيج من أذونات المستخدم والمجموعات التي يكون المستخدم عضوًا فيها. الاستثناء الوحيد لهذه القاعدة هو إذن عدم الوصول، الذي يتجاوز كافة الأذونات الأخرى.

على عكس أذونات المشاركة، يمكن أن تختلف أذونات NTFS بالنسبة للمجلد والملف (الملفات) الموجود بداخله.

تتمتع أذونات NTFS للملف بالأولوية على الأذونات الموجودة على المجلد الذي يحتوي عليه.

1. حقوق الوصول وأذونات NTFS

تعمل أذونات المشاركة على وحدات تخزين NTFS جنبًا إلى جنب مع أذونات الملفات والمجلدات. ستتعلم في هذا الدرس كيفية حماية موارد القرص من خلال الجمع بين أذونات NTFS وحقوق الوصول.

1. معلومات اساسية

لكي يتمكن المستخدمون من الوصول إلى موارد القرص عبر الشبكة، يجب مشاركة المجلدات التي تحتوي على هذه الموارد. يمكن حماية هذه المجلدات عن طريق تعيين حقوق الوصول المناسبة للمستخدمين والمجموعات. ومع ذلك، توفر أذونات الموارد المشتركة حماية محدودة فقط لأنها:

توفير نفس مستوى الوصول إلى كافة المجلدات والملفات الموجودة في المجلد المشترك؛

لا تحمي المورد من المستخدم المحلي؛

لا يمكن استخدامها لحماية الملفات الفردية.

إذا كان المجلد المشترك موجودًا على وحدة تخزين NTFS، فيمكنك استخدام أذونات NTFS لتغيير أو رفض وصول المستخدم إلى المجلدات والملفات الموجودة في المجلد المشترك. يوفر استخدام أذونات وأذونات NTFS أعلى مستوى من الأمان.

فيما يلي أبسط طريقة للجمع بين أذونات وأذونات NTFS: احتفظ بإذن التحكم الكامل الافتراضي المعين لمجموعة الجميع، وقم بتعيين أذونات NTFS للمجموعة الفردية وحسابات المستخدمين لمجلدات وملفات محددة في المجلد المشترك.

عند الجمع بين حقوق الوصول وأذونات NTFS، يتم تحديد الوصول دائمًا من خلال القيود الأكثر صرامة. على سبيل المثال، إذا كان المجلد لديه إذن التحكم الكامل وإذن القراءة NTFS، فسيكون الإذن الناتج هو إذن القراءة الأكثر تقييدًا.

يتم توضيح الموقف التالي: لدى المستخدم 1 حق الوصول للقراءة إلى مشاركة البيانات العامة على الكمبيوتر 1 (عند الاتصال عبر شبكة) ولديه إذن التحكم الكامل في NTFS للملف A من هذا المجلد. ونتيجة لذلك، سيكون لدى المستخدم 1 حق الوصول للقراءة فقط إلى الملف A، نظرًا لأن القراءة هي قيد أكثر صرامة. وصول المستخدم 2 إلى الملف B هو أيضًا للقراءة فقط، نظرًا لأن إذن القراءة NTFS وحق الوصول للقراءة يؤديان إلى نفس القيود.

عندما يعمل المستخدم 1 على جهاز الكمبيوتر 1، فهو لا يملك حقوق الوصول إلى مجلد "البيانات العامة". ومع ذلك، تظل أذونات NTFS (التحكم الكامل في الملف A والوصول للقراءة فقط للملف B) سارية. إذا اتصل المستخدم 1 بهذا المجلد المشترك، فسوف يحصل، مثل المستخدم 1، على حقوق القراءة فقط.