Методические указания к выполнению лабораторных работ, страница 10

Если выбрать разрешение в списке Элементы разрешений (Permission Entries) и щелк­нуть Изменить (Edit), откроется третье диалоговое окно редактора ACL. В окне Элемент разрешения для Docs (Permission Entry For Docs), показанном на рис. 3, перечислены подробные, наиболее детализированные разрешения, которые составляют элемент раз­решений в списке Элементы разрешений (Permissions Entries) во втором диалоговом окне и в списке Разрешения для (Permissions For) в первом окне.

Рис.2 Диалоговое окно «Дополнительные параметры безопасности редактора ACL»

Для файловых объектов можно использовать дополнительные атрибуты, которые позволяют индексировать файлы, сжимать разреженные файлы и шифровать их для хранения на диске.

Добавление и удаление элементов разрешений

Любому участнику безопасности можно предоставить или запретить доступ к ресурсу. В Windows Server 2003 допустимые участники безопасности: пользователи, группы, ком­пьютеры и специальный класс объектов InetOrgPerson, который пред­ставляет пользователей в некоторых ситуациях при совместной работе разных платформ. Чтобы добавить разрешение, щелкните Добавить (Add) в первом или втором диалоговом окне редактора ACL. В диалоговом окне Выбор: «Пользователи», «Компьютеры» или «Группы» (Select User, Computer Or Group) выберите нужного участника безопасности и разрешения. Для удаления явного разрешения, которое вы добавили в ACL, выберите нуж­ный пункт списка и щелкните Удалить (Remove).

Рис. 3 Диалоговое окно «Элемент разрешения редактора ACL»

Изменение разрешений

Для изменения разрешения достаточно на вкладке Безопасность (Security) окна свойств установить или снять флажки Разрешить (Allow) или Запретить (Deny), в результате чего применяется соответствующий шаблон разрешений.

Для более тонкой настройки щелкните кнопку Дополнительно (Advanced), выберите элемент разрешения и щелкните кнопку Изменить (Edit). Изменить можно только яв­ные разрешения. Унаследованные разрешения обсуждаются далее.

Диалоговое окно Элемент разрешения для Docs (Permission Entry For Docs), показанное на рис. 3, позволяет изменить разрешения и указать границы наследования разрешений в раскрывающемся списке Применять (Apply Onto).

Внимание! Вы должны хорошо понимать влияние изменений, сделанных в этом диа­логовом окне. Вы можете благодарить Microsoft за возможность тонкой настройки, но с ростом детализации повышается сложность и вероятность допустить ошибку.

Новые участники безопасности

Windows Server 2003, в отличие от Windows NT 4, позволяет добавлять компьютеры или группы компьютеров в ACL, обеспечивая этим большую гибкость управления доступом к ресурсам на основе клиентских компьютеров, независимо от пользователя, который пытается получить доступ. Предположим, вы намерены установить компьютер с общим доступом в комнате отдыха сотрудников, но не хотите, чтобы руководители просматри­вали с него секретные данные. Если добавить этот компьютер в таблицы ACL и запре­тить с него доступ к секретным данным, руководитель не сможет обратиться к секрет­ным данным из комнаты отдыха и будет работать с ними только с собственного ком­пьютера.

Windows Server 2003 также позволяет управлять доступом к ресурсу в зависимости от способа входа в систему. Вы можете добавить в ACL особые учетные записи: Интер­активные (Interactive) — пользователи, которые зарегистрировались локально, Сеть (Network) — сетевое подключение, например система Windows, на которой запущена служба Клиент для сетей Microsoft (Client for Microsoft Networks), и Пользователь сервера терминалов (Terminal Server User) — пользователи, подключившиеся через службу Дис­танционное управление рабочим столом (Remote Desktop) или службы терминалов.

Шаблоны разрешений и особые разрешения

Шаблоны разрешений на вкладке Безопасность (Security) первого диалогового окна пред­ставляют собой совокупность особых разрешений, которые полностью перечислены в третьем диалоговом окне Элемент разрешения (Permissions Entry). Большинство шабло­нов и особых разрешений говорят сами за себя.

Чтение и выполнение (Read & Execute). Чтобы позволить пользователям открывать и читать файлы и папки, достаточно назначить им этот шаблон разрешений. Он также позволяет пользователю скопировать ресурс, если тот имеет разрешение на запись для целевой папки или носителя. В Windows нет разрешений, запрещающих копиро­вание. Подобные функции станут возможными благодаря технологиям цифрового управления правами — Digital Rights Management, когда они будут встроены в плат­формы Windows.

• Запись (Write) и Изменение (Modify). Шаблон Запись (Write) позволяет создавать но­вые файлы и папки (когда применен к папке) и изменять содержимое и атрибуты файлов (скрытый, системный, только для чтения) и дополнительные атрибуты, оп­ределяемые приложением, которое отвечает за этот документ (когда применяется к файлу). Шаблон Изменение (Modify) дополнительно разрешает удалить объект.

• Смена разрешений (Change Permissions). Поработав с таблицами ACL некоторое вре­мя, вы можете заинтересоваться, кто вправе изменять разрешения. В первую оче­редь, конечно, владелец ресурса. Кроме того, это может сделать любой пользователь с действующим разрешением Смена разрешений (Change Permissions), которое задают с помощью третьего диалогового окна Элемент разрешения для Docs (Permission Entry For Docs) редактора ACL. Это разрешение также входит в шаблон Полный доступ (Full Control).

Наследование

Windows Server 2003 поддерживает наследование разрешений, которое просто означает, что по умолчанию разрешения папки распространяются на все ее файлы и подпапки. Любые изменения родительской таблицы ACL будут отражаться на всем содержимом папки. Наследование позволяет управлять ветвями ресурсов в единых точках админи­стрирования с помощью одной таблицы ACL.

Понятие наследования

Наследование работает благодаря двум характеристикам дескриптора безопасности ре­сурса. В первую очередь, по умолчанию разрешения наследуются. Разрешение Чтение и выполнение (Read & Execute) на рис. 2 распространяется на саму папку, подпапки и файлы. Тем не менее, одного этого недостаточно, чтобы наследование работало. Вторая причина в том, что по умолчанию при создании новых объектов установлен флажок Разрешить наследование разрешений от родительского объекта к этому объекту... (Allow Inheritable Permissions From The Parent To Propagate To This Object...), видимый на том же рисунке.

Таким образом, созданный файл или папка будут наследовать разрешения у своего родителя, а изменения разрешений родителя будут отражаться на дочерних файлах и папках. Важно понять такую двухэтапную реализацию разрешений, поскольку она дает нам два способа управления наследованием: со стороны родительского и дочернего объ­ектов.

Унаследованные разрешения по-разному отображаются в каждом окне редактора ACL. В первом и третьем диалоговых окнах [на вкладке Безопасность (Security) и в окне Элемент разрешения (Permissions Entry)] унаследованные разрешения отображаются в виде «серых» флажков, чтобы отличать их от явных разрешений, то есть назначенных ресурсу напрямую. Второе диалоговое окно — Дополнительные параметры безопасности (Advanced Security Settings) — содержит папки, от которых наследуется каждый элемент разрешения.

Перекрытие наследования

Наследование позволяет настраивать разрешения на вершине дерева папок. Эти разре­шения и их изменения будут распространяться на все файлы и папки в дереве, для кото­рых по умолчанию разрешено наследование.

Впрочем, иногда требуется изменить разрешения подпапки или файла, чтобы рас­ширить или ограничить доступ пользователя или группы. Унаследованные разрешения нельзя удалить из ACL. Их можно перекрыть (заменить), назначив явные разрешения. Либо можно отменить наследование и создать ACL, содержащую только явные разре­шения.

Для замены унаследованных разрешений явными просто установите соответствую­щий флажок. Например, если папка наследует разрешение Чтение (Read), предостав­ленное группе Sales Reps, а вы не хотите, чтобы эта группа могла обращаться к папке, установите для этой группы флажок Запретить (Deny) напротив разрешения Чтение (Read).

Чтобы отменить все унаследованные разрешения, откройте диалоговое окно Допол­нительные параметры безопасности (Advanced Security Settings) ресурса и снимите фла­жок Разрешить наследование разрешений от родительского объекта к этому объекту... (Allow Inheritable Permissions From The Parent To Propagate To This Object...). Все разрешения, унаследованные от родительского объекта, будут заблокированы. После этого вам при­дется назначить явные разрешения, чтобы проконтролировать доступ к ресурсу.

Windows помогает задать явные разрешения, когда наследование отменяется. Появ­ляется окно (рис. 4) с вопросом, как поступить с разрешениями: Копировать (Сору) или Удалить (Remove).

Рис. 4 Копирование или удаление элементов разрешений

По щелчку Копировать (Сору) создаются явные разрешения, идентичные унаследо­ванным. Затем можно удалить отдельные элементы разрешений, которые не должны влиять на ресурс. Если же вы выберете Удалить (Remove), предлагается пустая таблица ACL, которую вы сами заполняете элементами разрешений. Результат одинаков в обоих случаях: таблица ACL заполнена явными разрешениями. Вопрос в том, что проще: за­полнить пустую ACL или «довести до ума» копию унаследованных разрешений. Если новая ACL сильно отличается от унаследованной, щелкните Удалить (Remove), если не­значительно, лучше щелкните Копировать (Сору).

Снимая флажок Разрешить наследование разрешений от родительского объекта к это­му объекту... (Allow Inheritable Permissions From The Parent To Propagate To This Object...), вы полностью блокируете наследование. Доступ к ресурсу регулируется только явными разрешениями, назначенными для файла или папки. Любые изменения ACL родитель­ской папки не будут влиять на ресурс; даже если родительские разрешения являются наследуемыми, дочерний ресурс не наследует их. Старайтесь как можно реже отменять наследование, поскольку это затрудняет управление, определение прав и устранение неполадок доступа к ресурсу.

Восстановление наследования

Наследование можно восстановить двумя способами: со стороны дочернего ресурса или со стороны родительской папки. Результаты немного различаются. Восстановить насле­дование для ресурса может понадобиться, если вы случайно отменили его или измени­лись бизнес - требования организации. Просто установите флажок Разрешить наследова­ние разрешений... (Allow Inheritable Permissions...) в диалоговом окне Дополнительные па­раметры безопасности (Advanced Security Settings). Наследуемые разрешения родитель­ской папки будут распространяться на дочерний ресурс. Однако останутся все явные разрешения, назначенные ресурсу. Итоговая ACL будет содержать совокупность явных разрешений, которые вы можете решить удалить, и унаследованных разрешений. По этой причине вы не увидите некоторые унаследованные разрешения в первом и третьем диалоговых окнах редактора ACL. Например, если группе Sales Reps явно назначено разрешение Чтение и выполнение (Read & Execute) в отношении какого-нибудь ресурса, которое назначено и родительской папке, то при восстановлении наследования со сто­роны дочернего ресурса, ему назначаются и унаследованные, и явные разрешения. Вы увидите флажок в первом и третьем диалоговых окнах; поскольку явные разрешения при отображении скрывают унаследованные. Однако унаследованное разрешение су­ществует, о чем свидетельствует второе диалоговое окно — Дополнительные параметры безопасности.

Второй метод восстановления наследования — со стороны родительской папки. В диалоговом окне Дополнительные параметры безопасности для родительской папки ус­тановите флажок Заменить разрешения для всех дочерних объектов заданными здесь раз­решениями, применимыми к дочерним объектам (Replace Permission Entries On All Child Objects With Entries Shown Here That Apply To Child Objects). Результат: все ACL подпапок и файлов удалены. На дочерние ресурсы распространяются разрешения родительской папки. Это можно представить как сквозное применение разрешений родителя. После выбора этого варианта любые явные разрешения, назначенные подпапкам и файлам, удаляются (в отличие метода восстановления наследования со стороны дочерних ресур­сов). Наследование восстанавливается, поэтому любые изменения ACL родительской папки отражаются на подпапках и файлах. В этот момент подпапкам и файлам мож­но назначить новые явные разрешения. Флажок Заменить разрешения... (Replace Per­missions...) выполняет свою функцию, только когда вы его отмечаете, однако в дальней­шем разрешения родительской папки не будут заменять собой явные разрешения.

Действующие разрешения