Методические указания к выполнению лабораторных работ, страница 10
Описание файла
Документ из архива "Методические указания к выполнению лабораторных работ", который расположен в категории "". Всё это находится в предмете "электронные вычислительные машины (эвм)" из 7 семестр, которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "сети эвм и телекоммуникации" в общих файлах.
Онлайн просмотр документа "Методические указания к выполнению лабораторных работ"
Текст 10 страницы из документа "Методические указания к выполнению лабораторных работ"
Если выбрать разрешение в списке Элементы разрешений (Permission Entries) и щелкнуть Изменить (Edit), откроется третье диалоговое окно редактора ACL. В окне Элемент разрешения для Docs (Permission Entry For Docs), показанном на рис. 3, перечислены подробные, наиболее детализированные разрешения, которые составляют элемент разрешений в списке Элементы разрешений (Permissions Entries) во втором диалоговом окне и в списке Разрешения для (Permissions For) в первом окне.
Рис.2 Диалоговое окно «Дополнительные параметры безопасности редактора ACL»
Для файловых объектов можно использовать дополнительные атрибуты, которые позволяют индексировать файлы, сжимать разреженные файлы и шифровать их для хранения на диске.
Добавление и удаление элементов разрешений
Любому участнику безопасности можно предоставить или запретить доступ к ресурсу. В Windows Server 2003 допустимые участники безопасности: пользователи, группы, компьютеры и специальный класс объектов InetOrgPerson, который представляет пользователей в некоторых ситуациях при совместной работе разных платформ. Чтобы добавить разрешение, щелкните Добавить (Add) в первом или втором диалоговом окне редактора ACL. В диалоговом окне Выбор: «Пользователи», «Компьютеры» или «Группы» (Select User, Computer Or Group) выберите нужного участника безопасности и разрешения. Для удаления явного разрешения, которое вы добавили в ACL, выберите нужный пункт списка и щелкните Удалить (Remove).
Рис. 3 Диалоговое окно «Элемент разрешения редактора ACL»
Изменение разрешений
Для изменения разрешения достаточно на вкладке Безопасность (Security) окна свойств установить или снять флажки Разрешить (Allow) или Запретить (Deny), в результате чего применяется соответствующий шаблон разрешений.
Для более тонкой настройки щелкните кнопку Дополнительно (Advanced), выберите элемент разрешения и щелкните кнопку Изменить (Edit). Изменить можно только явные разрешения. Унаследованные разрешения обсуждаются далее.
Диалоговое окно Элемент разрешения для Docs (Permission Entry For Docs), показанное на рис. 3, позволяет изменить разрешения и указать границы наследования разрешений в раскрывающемся списке Применять (Apply Onto).
Внимание! Вы должны хорошо понимать влияние изменений, сделанных в этом диалоговом окне. Вы можете благодарить Microsoft за возможность тонкой настройки, но с ростом детализации повышается сложность и вероятность допустить ошибку.
Новые участники безопасности
Windows Server 2003, в отличие от Windows NT 4, позволяет добавлять компьютеры или группы компьютеров в ACL, обеспечивая этим большую гибкость управления доступом к ресурсам на основе клиентских компьютеров, независимо от пользователя, который пытается получить доступ. Предположим, вы намерены установить компьютер с общим доступом в комнате отдыха сотрудников, но не хотите, чтобы руководители просматривали с него секретные данные. Если добавить этот компьютер в таблицы ACL и запретить с него доступ к секретным данным, руководитель не сможет обратиться к секретным данным из комнаты отдыха и будет работать с ними только с собственного компьютера.
Windows Server 2003 также позволяет управлять доступом к ресурсу в зависимости от способа входа в систему. Вы можете добавить в ACL особые учетные записи: Интерактивные (Interactive) — пользователи, которые зарегистрировались локально, Сеть (Network) — сетевое подключение, например система Windows, на которой запущена служба Клиент для сетей Microsoft (Client for Microsoft Networks), и Пользователь сервера терминалов (Terminal Server User) — пользователи, подключившиеся через службу Дистанционное управление рабочим столом (Remote Desktop) или службы терминалов.
Шаблоны разрешений и особые разрешения
Шаблоны разрешений на вкладке Безопасность (Security) первого диалогового окна представляют собой совокупность особых разрешений, которые полностью перечислены в третьем диалоговом окне Элемент разрешения (Permissions Entry). Большинство шаблонов и особых разрешений говорят сами за себя.
Чтение и выполнение (Read & Execute). Чтобы позволить пользователям открывать и читать файлы и папки, достаточно назначить им этот шаблон разрешений. Он также позволяет пользователю скопировать ресурс, если тот имеет разрешение на запись для целевой папки или носителя. В Windows нет разрешений, запрещающих копирование. Подобные функции станут возможными благодаря технологиям цифрового управления правами — Digital Rights Management, когда они будут встроены в платформы Windows.
-
Запись (Write) и Изменение (Modify). Шаблон Запись (Write) позволяет создавать новые файлы и папки (когда применен к папке) и изменять содержимое и атрибуты файлов (скрытый, системный, только для чтения) и дополнительные атрибуты, определяемые приложением, которое отвечает за этот документ (когда применяется к файлу). Шаблон Изменение (Modify) дополнительно разрешает удалить объект.
-
Смена разрешений (Change Permissions). Поработав с таблицами ACL некоторое время, вы можете заинтересоваться, кто вправе изменять разрешения. В первую очередь, конечно, владелец ресурса. Кроме того, это может сделать любой пользователь с действующим разрешением Смена разрешений (Change Permissions), которое задают с помощью третьего диалогового окна Элемент разрешения для Docs (Permission Entry For Docs) редактора ACL. Это разрешение также входит в шаблон Полный доступ (Full Control).
Наследование
Windows Server 2003 поддерживает наследование разрешений, которое просто означает, что по умолчанию разрешения папки распространяются на все ее файлы и подпапки. Любые изменения родительской таблицы ACL будут отражаться на всем содержимом папки. Наследование позволяет управлять ветвями ресурсов в единых точках администрирования с помощью одной таблицы ACL.
Понятие наследования
Наследование работает благодаря двум характеристикам дескриптора безопасности ресурса. В первую очередь, по умолчанию разрешения наследуются. Разрешение Чтение и выполнение (Read & Execute) на рис. 2 распространяется на саму папку, подпапки и файлы. Тем не менее, одного этого недостаточно, чтобы наследование работало. Вторая причина в том, что по умолчанию при создании новых объектов установлен флажок Разрешить наследование разрешений от родительского объекта к этому объекту... (Allow Inheritable Permissions From The Parent To Propagate To This Object...), видимый на том же рисунке.
Таким образом, созданный файл или папка будут наследовать разрешения у своего родителя, а изменения разрешений родителя будут отражаться на дочерних файлах и папках. Важно понять такую двухэтапную реализацию разрешений, поскольку она дает нам два способа управления наследованием: со стороны родительского и дочернего объектов.
Унаследованные разрешения по-разному отображаются в каждом окне редактора ACL. В первом и третьем диалоговых окнах [на вкладке Безопасность (Security) и в окне Элемент разрешения (Permissions Entry)] унаследованные разрешения отображаются в виде «серых» флажков, чтобы отличать их от явных разрешений, то есть назначенных ресурсу напрямую. Второе диалоговое окно — Дополнительные параметры безопасности (Advanced Security Settings) — содержит папки, от которых наследуется каждый элемент разрешения.
Перекрытие наследования
Наследование позволяет настраивать разрешения на вершине дерева папок. Эти разрешения и их изменения будут распространяться на все файлы и папки в дереве, для которых по умолчанию разрешено наследование.
Впрочем, иногда требуется изменить разрешения подпапки или файла, чтобы расширить или ограничить доступ пользователя или группы. Унаследованные разрешения нельзя удалить из ACL. Их можно перекрыть (заменить), назначив явные разрешения. Либо можно отменить наследование и создать ACL, содержащую только явные разрешения.
Для замены унаследованных разрешений явными просто установите соответствующий флажок. Например, если папка наследует разрешение Чтение (Read), предоставленное группе Sales Reps, а вы не хотите, чтобы эта группа могла обращаться к папке, установите для этой группы флажок Запретить (Deny) напротив разрешения Чтение (Read).
Чтобы отменить все унаследованные разрешения, откройте диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings) ресурса и снимите флажок Разрешить наследование разрешений от родительского объекта к этому объекту... (Allow Inheritable Permissions From The Parent To Propagate To This Object...). Все разрешения, унаследованные от родительского объекта, будут заблокированы. После этого вам придется назначить явные разрешения, чтобы проконтролировать доступ к ресурсу.
Windows помогает задать явные разрешения, когда наследование отменяется. Появляется окно (рис. 4) с вопросом, как поступить с разрешениями: Копировать (Сору) или Удалить (Remove).
Рис. 4 Копирование или удаление элементов разрешений
По щелчку Копировать (Сору) создаются явные разрешения, идентичные унаследованным. Затем можно удалить отдельные элементы разрешений, которые не должны влиять на ресурс. Если же вы выберете Удалить (Remove), предлагается пустая таблица ACL, которую вы сами заполняете элементами разрешений. Результат одинаков в обоих случаях: таблица ACL заполнена явными разрешениями. Вопрос в том, что проще: заполнить пустую ACL или «довести до ума» копию унаследованных разрешений. Если новая ACL сильно отличается от унаследованной, щелкните Удалить (Remove), если незначительно, лучше щелкните Копировать (Сору).
Снимая флажок Разрешить наследование разрешений от родительского объекта к этому объекту... (Allow Inheritable Permissions From The Parent To Propagate To This Object...), вы полностью блокируете наследование. Доступ к ресурсу регулируется только явными разрешениями, назначенными для файла или папки. Любые изменения ACL родительской папки не будут влиять на ресурс; даже если родительские разрешения являются наследуемыми, дочерний ресурс не наследует их. Старайтесь как можно реже отменять наследование, поскольку это затрудняет управление, определение прав и устранение неполадок доступа к ресурсу.
Восстановление наследования
Наследование можно восстановить двумя способами: со стороны дочернего ресурса или со стороны родительской папки. Результаты немного различаются. Восстановить наследование для ресурса может понадобиться, если вы случайно отменили его или изменились бизнес - требования организации. Просто установите флажок Разрешить наследование разрешений... (Allow Inheritable Permissions...) в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings). Наследуемые разрешения родительской папки будут распространяться на дочерний ресурс. Однако останутся все явные разрешения, назначенные ресурсу. Итоговая ACL будет содержать совокупность явных разрешений, которые вы можете решить удалить, и унаследованных разрешений. По этой причине вы не увидите некоторые унаследованные разрешения в первом и третьем диалоговых окнах редактора ACL. Например, если группе Sales Reps явно назначено разрешение Чтение и выполнение (Read & Execute) в отношении какого-нибудь ресурса, которое назначено и родительской папке, то при восстановлении наследования со стороны дочернего ресурса, ему назначаются и унаследованные, и явные разрешения. Вы увидите флажок в первом и третьем диалоговых окнах; поскольку явные разрешения при отображении скрывают унаследованные. Однако унаследованное разрешение существует, о чем свидетельствует второе диалоговое окно — Дополнительные параметры безопасности.
Второй метод восстановления наследования — со стороны родительской папки. В диалоговом окне Дополнительные параметры безопасности для родительской папки установите флажок Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам (Replace Permission Entries On All Child Objects With Entries Shown Here That Apply To Child Objects). Результат: все ACL подпапок и файлов удалены. На дочерние ресурсы распространяются разрешения родительской папки. Это можно представить как сквозное применение разрешений родителя. После выбора этого варианта любые явные разрешения, назначенные подпапкам и файлам, удаляются (в отличие метода восстановления наследования со стороны дочерних ресурсов). Наследование восстанавливается, поэтому любые изменения ACL родительской папки отражаются на подпапках и файлах. В этот момент подпапкам и файлам можно назначить новые явные разрешения. Флажок Заменить разрешения... (Replace Permissions...) выполняет свою функцию, только когда вы его отмечаете, однако в дальнейшем разрешения родительской папки не будут заменять собой явные разрешения.
Действующие разрешения