У системі на базі технологій Windows NT існують спеціальні мережеві ресурси. Імена деяких ресурсів закінчуються символом $, такі мережеві ресурси через " мережеве оточення" або при відкритті ресурсів сервера за допомогою команди " \\<имя сервера>" не буде видно. Однак, якщо вказати повне UNC-ім'я мережного ресурсу, то можна побачити дані, розміщені в ньому.
Перерахуємо ці ресурси:
- ресурс виду \\<имя сервера>\admin$" (наприклад, \\DC1\admin$ ) - призначений для віддаленого адміністрування комп'ютера; шлях завжди відповідає розташування папки, в якій встановлена система Windows; до цього ресурсу можуть підключатися тільки члени груп Адміністратори, Оператори архівуі Оператори сервера ;
- ресурс виду \\<имя сервера>\< буква диска>$ (наприклад, \\DC1\C$ ) - коренева папка вказаного диска;. до мережних ресурсів такого типу на сервері Windows можуть підключатися тільки члени груп Адміністратори, Оператори архівуі Оператори сервера; на комп'ютерах з Windows XP Professional та Windows 2000 Professional до таких ресурсів можуть підключатися члени груп Адміністраториі Оператори архіву ;
- ресурс " \\<имя сервера>\IРС$(наприклад, \\DC1\IP$ ) - використовується для віддаленого адміністрування;
- ресурс " \\<имя сервера>\NETLOGON(наприклад, \\DC1\NETLOGON ) - використовується тільки на контролерах домену, в цій мережній папці зберігаються скрипти (сценарії) для входу користувачів в систему, сумісні з попередніми версіями операційних систем Microsoft;
- ресурс " \\<имя сервера>\SYSVOL" - використовується лише на контролерах домену, у цій мережній папці зберігається файлова частина групових політик;
- ресурс " \\<имя сервера>\PRINT$" - ресурс, який підтримує принтери, що спільно використовуються, зокрема, у цій папці зберігаються драйвери для принтерів, що спільно використовуються.
Переглянути повний список ресурсів, що надаються даним сервером для спільного використання, можна в оснастці " Загальні папки", в розділі " Загальні ресурси(рис. 8.35):
Мал. 8.35.
У цьому розділі цієї оснастки можна відключати ресурси від спільного використання у мережі, змінювати мережеві дозволи, створювати нові мережеві ресурси.
Крім спеціальних мережевих ресурсів із символом $ в кінці назви ресурсу, наданих групам із високими повноваженнями, з цим символом можна надати доступ до будь-якого іншого ресурсу, який надається у мережевий доступ самим адміністратором. У цьому випадку мережевий ресурс також буде прихований при звичайному перегляді мережі, але буде доступний при вказанні повного імені UNC, причому доступ можна дозволити тим групам користувачів, яким потрібен даний ресурс.
Дозволи NTFS
Ще раз наголосимо, що мережні дозволи діють лише при доступі до ресурсів через мережу. Якщо користувач увійшов до системи локально, то тепер можна керувати доступом лише за допомогою дозволів NTFS. На томі (розділі) із системою FAT користувач матиме повний доступ до інформації цього тому.
Дозволу NTFS можна встановити, відкривши Властивостіпапки або файлу та перейшовши на закладку " Безпека " (Security). Як бачимо на рис. 8.36, набір видів NTFS-дозвіл набагато багатший, ніж набір мережевих дозволів.
Мал. 8.36.
На томі NTFS можна призначати такі види дозволів для папок:
- Повний доступ ;
- Змінити ;
- Читання та виконання ;
- Список вмісту папки ;
- Читання ;
- Запис ;
- Особливі дозволи.
Для файлів немає вигляду " Читання вмісту папки ".
Якщо на закладці дозволів натиснути кнопку " Додатково", то можна здійснювати більш тонке налаштування дозволів.
Дозволи NTFS можуть бути явнимиабо успадкованими. За промовчанням всі папки або файли успадковують роздільну здатність об'єкта-контейнера ( батьківського об'єкта), у якому вони створюються. Використання успадкованих дозволів полегшує роботу з управління доступом. Якщо адміністратору потрібно змінити права доступу для якоїсь папки та всього її вмісту, достатньо зробити це для самої папки та зміни будуть автоматично діяти на всю ієрархію вкладених папок і документів. На рис. 8.36. видно, що група " Адміністратори" має успадковані дозволи типу " Повний доступдля папки Folder1. А на рис. 8.37. показано, що група " Користувачімає набір явно призначених дозволів:
Мал. 8.37.
Змінити успадковані дозволи не можна. Якщо натиснути кнопку " Додатково", то можна скасувати успадкування дозволів від батьківського об'єкта. При цьому система запропонує два варіанти скасування успадкування: або скопіювати колишні успадковані дозволи у вигляді явних дозволів, або видалити їх зовсім.
Механізм застосування дозволів
У пункті 8.1 було сказано, що кожен файл є набір атрибутів. Атрибут, який містить інформацію про NTFS-дозвіл, називається списком керування доступом (ACL, Access Control List). Структура ACL наведена у табл. 8.4. Кожен запис в ACL називається елементом керування доступом (ACE, Access Control Entry).
У таблиці наведено ідентифікатори безпеки облікових записів користувачів, груп або комп'ютерів (SID) та відповідні дозволи для них. На рисунках 8.36 або 8.37 замість SID-ів показані імена занесених до ACL користувачів та груп. У розділі 4 говорилося, що при вході користувача в мережу (при його реєстрації в домені) в поточну сесію користувача на комп'ютері контролер домену пересилає маркер доступу, що містить SID самого користувача і груп, членом яких він є. Коли користувач намагається виконати будь-яку дію з папкою або файлом (і при цьому запитує певний вид доступу до об'єкта), система зіставляє ідентифікатори безпеки в маркері доступу користувача та ідентифікатори безпеки, що містяться в об'єкті ACL. При збігу тих чи інших SID-ів користувачеві надаються відповідні дозволи на доступ до папки або файлу.
Зауважимо, що коли адміністратор змінює членство користувача в групах (включає користувача в нову групу або видаляє з групи), то маркер доступу користувача при цьому автоматично НЕ змінюється. Для отримання нового маркера доступу користувач повинен вийти із системи та знову увійти до неї. Тоді він отримає від контролера домену новий маркер доступу, який відображатиме зміну членства користувача в групах
Порядок застосування дозволів
Принцип застосування NTFS-дозвіл на доступ до файлу або папки той же, що і для мережних дозволів:
- спочатку перевіряються заборони на будь-які види доступу (якщо є заборони, то цей вид доступу не дозволяється);
- потім перевіряється набір дозволів (якщо є різні види дозволів для будь-якого користувача та груп, до яких входить даний користувач, то застосовується сумарний набір дозволів).
Але для дозволів NTFS схема дещо ускладнюється. Дозволи застосовуються у такому порядку:
- явні заборони;
- явні дозволи;
- успадковані заборони;
- успадковані дозволи.
Якщо SID користувача або SID-и груп, членом яких є даний користувач, не вказані ні в явних, ні в успадкованих дозволах, доступ користувачеві буде заборонено.
Володіння папкою або файлом
Користувач, який створив папку або файл, є Власникомцього об'єкта. Власник об'єкту має права зміни NTFS-дозвілдля цього об'єкта, навіть якщо йому заборонено інші види доступу. Поточного власника об'єкта можна побачити, відкривши Властивостіоб'єкта, потім закладку " Безпека", потім натиснувши кнопку " Додатково" і перейшовши на закладку " Власник(рис. 8.38):
Мал. 8.38.
Увага! Адміністратор системи може змінити власникаоб'єкта, вибравши нового власника із запропонованого у цьому вікні списку або з повного списку користувачів (натиснувши кнопку " Інші користувачі чи групи"). Ця можливість надана адміністраторам для того, щоб відновити доступ до об'єкта у разі втрати доступу через неправильно призначені дозволи або видалення облікового запису, що мав винятковий доступ до цього об'єкта (наприклад, звільнився єдиний співробітник, який мав доступ до файлу, адміністратор видалив його обліковий запис, внаслідок цього був повністю втрачений доступ до файлу, відновити доступ можна єдиним способом - передача володіння файлу адміністратору або новому співробітнику, який виконує обов'язки співробітника, що звільнив).
Спільне використання мережних дозволів та дозволів NTFS
При доступі до мережі до файлових ресурсів, розміщених на томі NTFS, до користувача застосовується комбінація мережних дозволів та дозволів NTFS.
При доступі через мережу спочатку обчислюються мережні дозволи (шляхом підсумовування дозволів для користувача та груп, до яких входить користувач). Потім також шляхом підсумовування обчислюються дозволи NTFS. Підсумкові діючі дозволи, що надаються до даного конкретного об'єкта, будуть являти собою мінімумз обчислених мережевих та NTFS-дозвіл.
Керування доступом за допомогою груп
Групи користувачів створені спеціально для того, щоб ефективно управляти доступом до ресурсів. Якщо призначати права доступу до кожного ресурсу для кожного окремого користувача, то, по-перше, це дуже трудомістка робота, і по-друге, важко відстежувати зміни в правах доступу при зміні будь-яким користувачем своєї посади в підрозділі або переході в інший підрозділ.
Повторимо матеріал із розділу 4. Для більш ефективного керування доступом рекомендується наступна схема організації надання доступу:
- Облікові записи користувачів ( accounts) включаються у глобальні доменні групи ( global groups) відповідно до штатної структури компанії/організації та виконуваних обов'язків;
- глобальні групи включаються до доменні локальні групи або локальні групи на якомусь сервері ( domain local groups, local groups) відповідно до необхідних прав доступу для того чи іншого ресурсу;
- відповідним локальним групам призначаються необхідні дозволи ( permissions) до конкретних ресурсів.
Дана схема за першими літерами об'єктів, що використовуються, отримала скорочену назву AGLP (A ccounts G lobal groups L ocal groups P ermissions). За такої схеми, якщо користувач підвищується або знижується на посаді або переходить до іншого підрозділу, то немає потреби переглядати всі мережеві ресурси, доступ до яких потрібно змінити для цього користувача. Достатньо змінити відповідним чином членство користувача у глобальних групах, та права доступу до мережних ресурсів для даного користувача зміняться автоматично.
Додамо, що в основному режимі функціонування домену Active Directory (режими " Windows 2000 основний" або " Windows 2003") з появою вкладеності груп та універсальних груп схема AGLPмодифікується у схему AGG…GULL…LP.
У попередній лекції ми розповідали про мережеву безпеку та про таке поняття, як дозволи, але до цього варто повернутися зараз, оскільки дозволи доступні лише на жорстких дисках у форматі NTFS. У цьому розділі ми говоритимемо про можливості NTFS оберігати ваші файли від сторонніх очей. На відміну від системи FAT, доступ до загальних ресурсів не можна вмикати та вимикати. NTFS забезпечує такий рівень деталізації відбору, що пропускає лише тих, кому ви хочете надати доступ, та відсіває всіх інших.
Дозволи окремого користувача
Перед тим як обговорювати дозволи користувачів та груп, а також самих файлів, важливо розглянути основи роботи дозволів. Спочатку ми покажемо, що є спадкуванням, а потім розглянемо інструмент Windows XP Professional, який повинен вам допомагати, але може перетворитися на камінь спотикання, якщо ви не розберетеся в його функціях.
успадкування
У мережі може бути всього кілька користувачів, а можуть бути й тисячі. При установці дозволів для NTFS-томів і папок це завдання може бути порівняно простий в організації, що складається з шести осіб. Як зазначалося в лекції 9, якщо організація починає зростати, то розподіл користувачів на специфічні групи робить управління дозволами значно легше.
Спочатку вам слід створити набір дозволів для певної групи, наприклад, для інженерів. У такому разі, з появою нового інженера в організації він автоматично додається до цієї групи. Одночасно йому у спадок переходять і дозволи цієї групи.
Примітка. Спадкування має відношення і до інших об'єктів NTFS-тому. Наприклад, якщо ви встановили дозволи для певної папки, а потім створили в ній підпапку, право спадкування звільняє вас від створення нового набору дозволів для цієї папки, оскільки вона успадковує дозволи батьківської папки.
Якщо ви вважаєте, що групі інженерів потрібно видати або відновити певний дозвіл, це легко зробити. Після зміни (про що ми поговоримо в цій лекції пізніше) новий дозвіл надається кожному члену цієї групи.
З іншого боку, якомусь конкретному інженеру може знадобитися дозвіл, якого не потребують інші. Ви можете, увійшовши до групи інженерів, внести зміни, необхідні даному користувачеві, і він отримає новий дозвіл, який не буде успадковано ним за належністю до цієї групи. У цьому випадку дозвіл не поширюватиметься на інших членів групи.
Новою якістю Windows XP Professional є просте спільне використання файлу (simple file sharing). Ця функція вмикається під час первинної інсталяції Windows XP Professional або при спільному використанні тома або папки. Щоб підключити більше інструментів керування доступами користувачів, просте спільне використання файлу треба вимкнути.
Ви можете поставити запитання, навіщо потрібно просте спільне використання файлів, якщо цю функцію треба відключати. Тільки для того, щоб полегшити процес спільного використання файлів і папок. При включеному простому спільному використанні файлів немає і безлічі конфігурацій для здійснення доступу користувачів до файлів, принтерів і т. д. Цим забезпечується легкий спосіб спільного використання файлів. Однак якщо ви хочете керувати тим, хто саме може отримувати право доступу до файлів, просте спільне використання файлів слід відключити. Для цього виконайте такі кроки.
- Виберіть Start\My Computer (Пуск\Мій комп'ютер), потім клацніть Tools (Сервіс) та виберіть Folder Options (Властивості папки) .
- У діалоговому вікні Folder Options клацніть вкладку View (Перегляд).
- Перегляньте до кінця перелік налаштувань у вікні Advanced Settings (Додаткові параметри) і встановіть або очистіть прапорець Use simple file sharing (Використовувати простий спільний доступ до файлів).
- Натисніть кнопку ОК.
Примітка. Саме собою відключення простого спільного використання файлу не дозволить вам встановлювати дозволи для файлів. Ви повинні також розмістити всі свої файли та папки у NTFS-томі або розділі.
Дозволи для папок та томів
Дозволи здійснюють контроль над тим, що користувач або група можуть робити з об'єктом у мережі чи своєму локальному комп'ютері. Дозволи підтримуються лише при відключенні простого спільного використання файлу та на жорсткому диску у форматі NTFS. У перераховані дозволи, призначені для папок, а - для файлів.
| Таблиця 10.2. Дозволи папок | ||
| Дозвіл | ||
| Change Permissions | Зміна дозволів папки. | |
| Create Files | Створення нових файлів у цій папці. | |
| Create Folders | Створення підкаталогів у цій папці. | |
| Delete | Видалення папки. | |
| Delete subfolders and files | Видалення файлів та підкаталогів, навіть якщо у вас немає дозволу на їх створення. | |
| List Folder | Перегляд вмісту папки. | |
| Read Attributes | Перегляд атрибутів папки. | |
| Read Permissions | Перегляд дозволів папки. | |
| Take Ownership | Надання собі прав іншого користувача на володіння папкою. | |
| Traverse Folder | Відкривання папки для перегляду підкаталогів та батьківських папок. | |
| Write Attributes | Внесення змін до властивостей папки. | |
| Таблиця 10.3. Роздільна здатність файлу | ||
| Дозвіл | Дозволяє чи забороняє цю дію | |
| Append Data | Додавання інформації до кінця файлу без зміни існуючої інформації. | |
| Change Permissions | Внесення змін до роздільної здатності файлу. | |
| Delete | Видалення файлу. | |
| Execute File | Запуск програми, що міститься у файлі. | |
| Read Attributes | Перегляд атрибутів файлу. | |
| Read Data | Перегляд вмісту файлу. | |
| Read Permissions | Перегляд роздільної здатності файлу. | |
| Take Ownership | Надання собі прав власності на цей файл у іншого власника. | |
| Write Attributes | Зміна атрибутів файлу. | |
| Write Data | Зміна вмісту файлу. | |
Створення та управління дозволами
Створюючи дозволи для окремих файлів, папок і NTFS-томів, ви можете скористатися значною кількістю опцій безпеки, ніж пропонує файлова система FAT. Вкладка Properties (Властивості) вибраної папки або тома включає вкладку Security (Безпека). Клацнувши на ній, ви можете побачити ряд опцій для керування доступом.
Щоб налаштувати роздільну здатність цієї папки або тома, виконайте такі кроки.
- Вкажіть те чи папку, для яких ви збираєтеся встановлювати дозволи.
- Клацніть правою кнопкою миші на ньому та виберіть Properties (Властивості).
- Виберіть вкладку Security (Безпека).
Примітка. Якщо NTFS перебуває у спільному використанні, то необхідно встановлювати дозволи за допомогою вкладки Security (Безпека), а не використовуючи для цього кнопку Permissions (Дозволи) на вкладці Sharing (Загальний доступ).
У вікні властивостей ви побачите два вікна. У верхньому вікні міститься список користувачів та груп (). У нижньому – список дозволів для користувача, які можна встановлювати та регулювати. Знову ж таки, ця вкладка доступна тільки для томів у форматі NTFS.
Мал. 10.7.Вкладка Security (Безпека) діалогового вікна властивостей
Клацнувши на певному користувачеві або групі, можна встановити дозволи для них у нижньому вікні. Доступні такі дозволи.
- Full Control (Повний контроль). Дозволяє користувачеві або групі читати, створювати, змінювати та видаляти файли.
- Модифікація. Дозволяє користувачам видаляти файли та папки, вносити зміни до дозволів або отримувати право власності на файл чи папку від іншого користувача.
- Read&Execute (Читання та виконання). Дозволяє користувачам читати та запускати файли, не вносячи змін до змісту спільно використовуваного тома або папки.
- List Folder Contents (Список вмісту папки). Дозволяє користувачам переглядати вміст папок.
- Read (Читання). Дозволяє користувачам переглядати вміст тома або папки. Вони також можуть відкривати файли, але не мають права зберігати зміни.
- Write (Запис). Дозволяє користувачам робити записи у папках або томах, але забороняє відкривати файли або переглядати список файлів.
- Special permissions (Спеціальні дозволи). Клацнувши на кнопці Advanced (Додатково), можна використовувати спеціальні дозволи.
Обмеження кількості користувачів
Залежно від розміру та структури організації, ви можете не дозволити одночасний доступ для всіх бажаючих до того самого. Якщо потрібно встановити обмеження на кількість користувачів, які мають одночасний доступ до того чи папки, відкрийте діалогове вікно Permissions (Дозволи) та виберіть вкладку Sharing (Загальний доступ) (мал. 10.8).
У розділі User limit (Граничне число користувачів) вкажіть один з наведених нижче варіантів.
- Maximum allowed Дозволити доступ до максимальної кількості користувачів мережі.
- Allow this number of users Дозволити доступ лише для вказаної кількості користувачів.
Докладніше про дозволи можна дізнатися в гол. 9.
Дозволи NTFS(NTFS permissions) - це набір спеціальних розширених атрибутів файлу чи каталогу (папки), заданих обмеження доступу користувачів до цих об'єктів. Вони лише на томах, де встановлена файлова система NTFS. Дозволи забезпечують гнучкий захист, оскільки їх можна застосовувати і до каталогів, і окремих файлів; вони поширюються як на локальних користувачів (працюючих на комп'ютерах, де знаходяться захищені папки та файли), так і на користувачів, що підключаються до ресурсів мережі.
Не слід плутати дозволуз правами.Це різні поняття; докладніше про це написано в підрозділі "Модель безпеки Windows NT/2000/ХР". На жаль, у технічній літературі та й у побуті часто плутають ці терміни. Витоком цього є помилки перекладу оригінальних англомовних матеріалів.
Дозволи NTFS служать, перш за все, для захисту ресурсів від локальних користувачів, що працюють за комп'ютером, на якому розміщується ресурс. Однак їх можна використовувати і для віддалених користувачів, які підключаються до спільної папки мережі. Очевидно, що в цьому випадку на користувачів діють два механізми обмеження доступу до ресурсів: спочатку мережевий, а вже потім локальний, файловий. Тому підсумкові дозволи на доступ будуть визначатися як мінімальні з мережевих та файлових дозволів. Тут необхідно сказати, що підсумкові мережеві дозволи на доступ до ресурсів, якими володітиме користувач під час роботи в мережі, обчислюються як максимум дозволів у списку дозволів доступу, оскільки користувач може бути членом декількох груп, згаданих у списку. Аналогічно і для дозволів NTFS: користувач отримує максимальні дозволи, перелічені у списку керування доступом, і лише роздільна здатність No Access (немає доступу) може перекреслити всі інші дозволи.
Дозволи NTFS забезпечують високу вибірковість захисту: для кожного файлу в папці можна встановити свої дозволи. Наприклад, одному користувачеві можна дозволити зчитувати та змінювати вміст файлу, іншому лише зчитувати, третьому взагалі заборонити доступ. Зауважимо, однак, що рекомендується встановлювати дозволи в списках ACL, використовуючи не облікові записи окремих користувачів, а облікові записи груп користувачів.
Кожен файловий об'єкт має так звану маску доступу(Access mask). Маска доступу включає стандартні(Standard), специфічні(specific) та родові(Generic) права доступу.
□ Стандартні права доступу визначають операції, які є спільними для всіх захищених об'єктів.
□ Специфічні права доступу вказують на основні права, характерні для файлових об'єктів. Так, наприклад, специфічні права Read_Data, Write_Data та Append_Data дозволяють прочитати дані, записати інформацію та, відповідно, додати дані до файлу. Права Read_Attributes, Write_Attributes
і Read_EA, Write_EA дозволяють, відповідно, прочитати чи записати атрибути чи розширені атрибути файлу чи каталогу. Нарешті, таке специфічне право доступу, як Execute, дозволяє запустити файл виконання.
□ Родові права доступу використовуються системою; вони визначають комбінації стандартних та специфічних прав. Наприклад, родове право доступу generic_Read, застосоване до файлу, включає наступні специфічні та стандартні права: Read_Control, File_Read_Data, File_Read_Attributes, File_Read_EA, Synchronize.
Отже, дозволи NTFS по-різному представлені в операційних системах Windows NT 4.0 та сімействі систем Windows 2000/ХР. Відмінності ці, перш за все, стосуються інтерфейсу, тобто програма Провідник (Explorer) по-різному відображає ті дозволи, які фактично присвоєні файловому об'єкту у вигляді дозволів доступу і обробляються на програмному рівні. Дозволи в Windows 2000/ХР ближче до тих специфічних, стандартних і родових прав доступу, про які ми говорили вище, однак для керування доступом до файлів вони не такі зручні, як дозволи Windows NT 4.0.
Лабораторна робота №2
Тема: Використання прийомів роботи з файловою системою NTFS. Призначення дозволів доступу до файлів та папок.
Час виконання:2 години
Ціль : Навчитися встановлювати дозволи NTFS для файлів та папок для окремих користувачів та груп в операційній системі Windows 7, а також усувати проблеми доступу до ресурсів.
Теоретичні відомості
Загальні відомості про використання дозволів NTFS
Дозволи NTFS дозволяють явно вказати, які користувачі та групи мають доступ до файлів та папок та які операції з вмістом цих файлів або папок їм дозволено виконувати. Дозволи NTFS можна застосовувати лише до томів, відформатованих за допомогою файлової системи NTFS. Вони не призначені для томів, які використовують файлові системи FAT або FAT32. Система безпеки NTFS ефективна незалежно від того, чи звертається користувач до файлу або папки, розміщеного на локальному комп'ютері або мережі.
Дозволи, які встановлюються для папок, відрізняються від дозволів для файлів. Адміністратори, власники файлів або папок та користувачі з роздільною здатністю «Повний доступ» мають право призначати дозволи NTFS користувачам та групам для керування доступом до цих файлів та папок. Список керування доступом
У NTFS зберігається список керування доступом (access control list - ACL)для кожного файлу та папки на томі NTFS. У цьому списку перераховані користувачі та групи, для яких встановлені дозволи для файлу або папки, а також самі призначені дозволи. Щоб користувач отримав доступ до ресурсу, ACL має бути запис, званий елемент списку керування доступом (access control entry – АСЕ) для цього користувача або групи, до якої він належить. Цей запис призначить запит доступу (наприклад, Читання)користувачеві. Якщо ACL немає відповідної АСЕ, то користувач не отримає доступу до ресурсу.
Множинні дозволи NTFS
Ви можете встановити кілька дозволів користувачеві та всім групам, членом яких він є. Для цього ви повинні мати уявлення про правила та пріоритети, за якими в NTFS призначаються та об'єднуються множинні дозволи та про успадкування дозволів NTFS.
Ефективні дозволи.Ефективні дозволи користувача для ресурсу – це сукупність дозволів NTFS, які ви призначаєте окремому користувачеві та всім групам, до яких він належить. Якщо у користувача є дозвіл «Читання» для папки, і він входить до групи, яка має дозвіл «Запис» для тієї ж папки, значить, у цього користувача є обидва дозволи.
Встановлення дозволів NTFS та спеціальних дозволів
Ви повинні керуватися певними принципами під час встановлення дозволів NTFS. Встановлюйте дозволи відповідно до потреб груп і користувачів, що включає дозвіл або запобігання успадкування дозволів батьківської папки підпапками та файлами, що містяться в батьківській папці.
Якщо ви приділите трохи часу на планування ваших дозволів NTFS і дотримуватиметеся при плануванні кілька принципів, то виявите, що дозволами легко керувати.
Для спрощення процесу адміністрування згрупуйте файли за папками таких типів: папки з програмами, папки з даними, особисті папки. Централізуйте загальнодоступні та особисті папки на окремому томі, який не містить файлів операційної системи та інших програм. Діючи таким чином, ви отримаєте такі переваги:
Ви можете встановлювати дозволи лише папкам, а не окремим файлам;
Спростіть процес резервного копіювання, тому що вам не доведеться робити резервні копії файлів програм, а всі загальнодоступні та особисті папки знаходяться в одному місці.
· Встановлюйте для користувачів лише необхідний рівень доступу. Якщо потрібно читати файл, встановіть користувачу дозвіл Читання для цього файлу. Це зменшить можливість випадкової зміни файлу або видалення важливих документів і файлів додатків користувачем.
· Створюйте групи відповідно до необхідного членів групи типу доступу, а потім встановіть відповідні дозволи для групи. Призначайте дозволи окремим користувачам лише у випадках, коли це необхідно.
· У разі встановлення дозволів для роботи з даними або файлами програм встановіть дозвіл Читання та виконання для груп Корист. вателіта Адміністратори. Це запобігає випадковому видаленню файлів програм або їх пошкодженню вірусами або користувачами.
· При встановленні дозволів для папок із загальними даними призначте дозволи Читання та виконання та Запис групі Користувачі та роздільна здатність Повний доступ для групи Творець-власник. За замовчуванням користувач, який створив документ, також є його власником. Власник файлу може надати іншому користувачеві дозвіл на володіння файлом. Користувач, який приймає такі права, стає власником файлу. Якщо ви встановите дозвіл Читання та виконання та Запис групі Користувачі та дозвіл Повний доступ групі Творець-власник, користувачі матимуть можливість читати та змінювати документи, створені іншими користувачами, а також читати, змінювати та видаляти файли та папки, які вони створюють.
Нижче наведена така ситуація: користувач Користувач1 має дозвіл Write (Запис) на папку "Дані". Крім того, він є членом групи Everyone (Всі), якій надано дозвіл Read (Читання). Отже, фактичною роздільною здатністю користувача Користувач1 буде комбінація дозволів Read і Write, але тільки для папки "Дані".
На відміну від прав доступу до загальних ресурсів, дозволи NTFS не надають доступу до вкладених папок папки "Дані".
Приклад дозволів NTFS для файлу
Нижче проілюстровано таку ситуацію: користувач Користувач1 має дозволи Read (Читання) та Write (Запис) для файлу Файл1 папки "Дані". Крім того, він є членом групи Відділ продажу, яка має інший дозвіл для папки "Дані" - Read (Читання). В результаті Користувач1 отримає дозвіл на читання папки "Дані", а також на читання та запис у файл Файл1, оскільки дозволи NTFS для файлів мають перевагу над дозволами для папок.
Дозволи NTFS забезпечують надійний захист папок та файлів, розташованих на томах файлової системи Windows NT (NTFS).
Дозволи NTFS для папок і файлів поширюються як на користувачів, що безпосередньо працюють на комп'ютері, так і на захищені об'єкти комп'ютера по мережі.
Як і у випадку прав доступу до загальних ресурсів, користувач може отримати дозвіл NTFS або безпосередньо, або будучи членом однієї або декількох груп, які мають дозвіл.
Подібно до прав доступу до загальних ресурсів, фактичні дозволи NTFS для користувача є комбінацією дозволів користувача і груп, до складу яких він входить. Єдиний виняток із цього правила - дозвіл No Access (Немає доступу), яке скасовує всі інші дозволи.
На відміну від прав доступу до загальних ресурсів, дозволи NTFS можуть бути різними для папки та файлів (папок), вкладених у неї.
Дозволи NTFS для файлу мають перевагу над дозволами папки, в якій він міститься.
Права доступу та дозволу ntfs
Права доступу до загальних ресурсів томів NTFS діють разом із дозволами для файлів та папок. На цьому занятті Ви дізнаєтесь, як забезпечити захист дискових ресурсів, комбінуючи дозволи NTFS та права доступу.
Основні відомості
Щоб користувачі могли звертатися до мережі до дискових ресурсів, потрібно надати у спільне користування папки, що містять ці ресурси. Такі папки можна захистити, надавши користувачам та групам відповідні права доступу. Однак права доступу до загальних ресурсів забезпечують лише обмежений захист, оскільки вони:
надають однаковий рівень доступу до всіх папок та файлів, що знаходяться в спільній папці;
не забезпечують захист ресурсу від локального користувача;
не можна використовувати для захисту окремих файлів.
Якщо спільна папка знаходиться на томі NTFS, можна скористатися дозволами NTFS, щоб змінити або заборонити доступ користувачів до папок та файлів, які розташовані у спільній папці. Застосування дозволів NTFS та прав доступу забезпечує найвищий рівень захисту.
Ось найпростіший спосіб поєднання дозволів NTFS та прав доступу: збережіть право доступу за замовчуванням Full Control (Повний контроль), присвоєне групі Everyone (Всі), та надайте окремим обліковим записам груп та користувачів дозволу NTFS для конкретних папок та файлів спільної папки.
При поєднанні прав доступу та дозволів NTFS доступ завжди визначається найсуворішим обмеженням. Наприклад, якщо для папки встановлено право доступу Full Control (Повний контроль) та роздільну здатність NTFS Read (Читання), то результуючою роздільною здатністю буде більш суворий Read.
Нижче наведена така ситуація: користувач Користувач1 має право доступу Read (Читання) до спільної папки "Загальнодоступні дані" на комп'ютері Комп'ютер1 (при підключенні через мережу) та дозволу NTFS Full Control (Повний контроль) для Файлу А цієї папки. В результаті Користувач1 отримає доступ до файлу Файл А тільки для читання, тому що Read - суворіше обмеження. Доступ користувача Користувач2 до Файлу Б також – лише читання, оскільки дозвіл NTFS Read та право доступу Read призводять до однакових обмежень.
Коли Користувач1 працює на комп'ютері Комп'ютер1, на нього не поширюються права доступу до папки Загальнодоступні дані. Тим не менш, дія дозволів NTFS (повний контроль для файлу А і доступ тільки для читання до файлу Б) зберігається. Якщо ж Користувач1 підключиться до цієї спільної напки, він, як і Користувач1, отримає право тільки на читання.
