Методические указания к выполнению лабораторных работ, страница 11

Часто пользователи принадлежат к нескольким группам с разными уровнями доступа к ресурсам. Когда ACL содержит несколько элементов, вы должны уметь определять разрешения пользователя, исходя из разрешений групп, членом которых он является. Ко­нечные разрешения называют действующими (effective permissions).

Понятие действующих разрешений

Ниже перечислены правила, по которым определяют действующие разрешения.

• Разрешения файлов приоритетнее разрешений папок. На самом деле это не совсем пра­вило, но это положение часто встречается в документации и поэтому заслуживает упоминания. Каждый ресурс хранит таблицу ACL, и лишь она отвечает за управле­ние доступом к этому ресурсу. Хотя элементы в этой таблице могли появиться в ре­зультате наследования, в любом случае они являются элементами ACL ресурса. Под­система безопасности вообще не обращается к родительской папке при определении прав доступа. Так что это правило можно интерпретировать следующим образом: значение имеет только ACL самого ресурса.

• Разрешения, позволяющие доступ, суммируются. Уровень доступа к ресурсу определя­ется разрешениями одной или нескольких групп, которым принадлежит пользова­тель. Разрешения, позволяющие доступ, предоставленные любому пользователю, группе или компьютеру в вашем маркере безопасности доступа, будут применяться и к вашей учетной записи, поэтому ваши действующие разрешения, по сути, есть сумма разрешений, позволяющих доступ. Если для какой-либо папки группе Sales Reps даны разрешения Чтение и выполнение (Read & Execute) и Запись (Write), а груп­пе Sales Managers — Чтение и выполнение и Удаление (Delete), пользователь, входя­щий в обе группы, будет обладать действующими разрешениями, эквивалентными шаблону Изменение (Modify), куда входят разрешения Чтение и выполнение, Запись и Удаление.

• Разрешения, запрещающие доступ, приоритетнее позволяющих. Запрет доступа к объ­екту всегда приоритетнее разрешения доступа. Предположим, в описанном выше примере группе Temporary Employees запрещено чтение. Тогда пользователь, кото­рый является временным торговым представителем и принадлежит группам Sales Reps и Temporary Employees, не сможет прочитать данные в этой папке.

-----------------------------------------------------------------------------------------------

Примечание Рекомендуется как можно реже применять запреты. Вместо этого пре­доставляйте разрешения для минимального круга ресурсов, необходимых для реше­ния бизнес - задачи. Запреты усложняют администрирование ACL, их следует исполь­зовать, только когда действительно необходимо запретить доступ пользователю — члену других групп с этим разрешением.

■ Явные разрешения приоритетнее унаследованных. Элемент разрешения, явно опреде­ленный для ресурса, перекроет конфликтующий с ним унаследованный элемент. Из этого следуют базовые принципы проектирования: родительская папка определяет «правило» через наследуемые разрешения; если к дочернему объекту требуется пре­доставить доступ, противоречащий этому правилу, в ACL объекта добавляют явное разрешение, которое имеет преимущество.

-----------------------------------------------------------------------------------------------

В итоге можно сделать вывод: явное разрешение, позволяю­щее доступ, перекроет унаследованное разрешения, запрещающее доступ.

-----------------------------------------------------------------------------------------------

Определение действующих разрешений

NTFS поддерживает массу функций управления разрешениями и наследованием, что с одной стороны расширяет возможности системы, а с другой — усложняет ее. Глядя на все эти разрешения, пользователей и группы, как узнать действительные права доступа пользователя?

Microsoft выпустила долгожданное средство, которое помогает ответить на этот во­прос. Вкладка Действующие разрешения (Effective Permissions) диалогового окна Допол­нительные параметры безопасности (Advanced Security Settings) дает довольно точное при­ближение итоговых разрешений доступа пользователя к ресурсу (рис. 6-8)

Рис. 5 Вкладка Действующие разрешения диалогового окна Дополнительные параметры безопасности

Щелкните кнопку Выбрать (Select) и укажите пользователя, группу или встроенную учетную запись, которую нужно проанализировать. Windows Server 2003 построит спи­сок действующих разрешений. Этот список — лишь приближение. В нем не учтены ни разрешения общего ресурса, ни принадлежность учетной записи перечисленным ниже особым группам.

• Анонимный вход (Anonymous Logon).

• Пакетные файлы (Batch).

• Группа-создатель (Creator Group).

• Удаленный доступ (Dialup).

• Контроллеры домена предприятия (Enterprise Domain Controllers).

• Интерактивные (Interactive).

• Сеть (Network).

• Proxy.

• Ограниченные (Restricted).

• Remote Interactive Logon.

• Служба (Service).

• System.

• Пользователь сервера терминалов (Terminal Server User).

• Другая организация (Other Organization).

• Данная организация (This Organization).

Кроме того, ACL может содержать элементы, например, для учетных записей Сеть или Интерактивные, которые могли бы обеспечивать пользователям различный уровень доступа в зависимости от способа входа в систему — локально или удаленно. Поскольку рассматриваемый пользователь не входит в систему, разрешения, зависящие от способа входа в систему, игнорируются. Впрочем, в качестве дополнительного шага вы можете определить действующие разрешения для таких встроенных или особых учетных запи­сей, как Интерактивные и Сеть.

Права владения ресурсом

Windows Server 2003 поддерживает специального участника безопасности — Создатель-владелец (Creator Owner). Помимо этого, в дескрипторе безопасности ресурса есть за­пись, определяющая владельца объекта. Чтобы научиться управлять разрешениями до­ступа к ресурсам и устранять связанные с ними неполадки, необходимо хорошо пони­мать эти две составляющие механизма защиты.

Создатель - владелец

Когда пользователь создает файл или папку (для чего он должен обладать разрешения­ми Создание файлов/Запись данных (Create Files/Write Data) или Создание папок/Дозапись данных (Create Folders/Append Data) соответственно), он становится создателем и пер­вым владельцем этого ресурса. Любые разрешения, предоставленные особой учетной записи Создатель-владелец (Creator Owner) для родительской папки, явно назначаются пользователю в отношении этого нового ресурса.

Предположим, для этой папки пользователям предоставлены разрешения Создание файлов/Запись данных (Create Files/Write Data) и Чтение и выполнение (Read & Execute), а учетной записи Создатель-владелец — разрешение Полный доступ (Full Control). Такой набор разрешений позволил бы пользователю Maria создать файл. Как создатель файла, Maria имела бы к нему полный доступ. Пользователь Tia также могла бы создать файл и получить к нему полный доступ. Однако Tia и Maria могли бы лишь читать файлы друг друга. При этом Tia могла бы изменить ACL своего файла. Разрешение Полный доступ (Full Control) включает разрешение Смена разрешений (Change Permissions).

Право владения

Если по каким-либо причинам Tia изменила бы ACL своего файла и запретила бы себе полный доступ, она по-прежнему смогла бы изменять ACL этого файла, поскольку владелец объекта всегда имеет такое право; благодаря этому пользователи не могут навсег­да заблокировать собственные файлы и папки.

Рекомендуется управлять правами владения объектом так, чтобы объектом всегда владел соответствующий пользователь. Отчасти это необходимо из-за того, что пользо­ватели могут изменять ACL собственных объектов. Кроме того, такие технологии, как квотирование диска, полагаются на атрибут владения при подсчете места на диске, за­нятого некоторым пользователем. До выхода Windows Server 2003 управление правами владения было затруднено, теперь же появилось новое средство, упрощающее передачу прав владения.

Владелец указан в дескрипторе безопасности объекта. Первоначальным владельцем становится создатель файла или папки. Право владения объектом можно принимать или передавать следующим образом.

• Администраторы могут становиться владельцами. Пользователь из группы Админист­раторы (Administrators) или обладающий правом Смена владельца (Take Ownership) может получить во владение любой объект в системе.

Чтобы стать владельцем ресурса, перейдите на вкладку Owner (Владелец) в диалого­вом окне Дополнительные параметры безопасности (Advanced Security Settings), пока­занном на рис. 6-9. Выберите в списке свою учетную запись пользователя и щелкни­те Применить (Apply). Установите флажок Заменить владельца подконтейнеров и объ­ектов (Replace Owner On Subcontainers And Objects), чтобы стать владельцем всех подпапок и файлов.

Вкладка Владелец диалогового окна Дополнительные параметры безопасности

• Права владения могут принимать пользователи с разрешением Смена владельца (Take Ownership). Особое разрешение Смена владельца может быть предоставлено любому пользователю или группе, и они смогут завладеть ресурсом, а значит и изменить ACL, чтобы получить достаточные разрешения.

• Администраторы могут передавать права владения. Администратор может завладеть любым файлом или папкой. Затем он, как владелец, может изменить разрешения доступа к ресурсу и предоставить разрешение Смена владельца другому пользовате­лю, который, в свою очередь, может завладеть этим ресурсом.

• Привилегия Восстановление файлов и каталогов (Restore Files And Directories) разре­шает передачу прав владения. Пользователь с такими полномочиями может пере­дать права владения файлом другому пользователю. Если вам дана привилегия Вос­становление файлов и каталогов, вы можете щелкнуть кнопку Иные пользователи или группы (Other Users Or Groups) и выбрать нового владельца. Эта новая функция Windows Server 2003 позволяет администраторам и операторам архивирования уп­равлять правами владения объектом и передавать их без вмешательства пользова­теля.

Лабораторная работа № 4

Настройка общих папок

Упражнение 1. Открытие общего доступа к папке c помощью Проводника Windows

Разрешения общего ресурса

1. Создайте папку на рабочем столе. Дайте ей имя.

2. Щелкните правой кнопкой мыши на папке из контекстного меню и выберите команду Доступ (или выберите команду Свойства и перейдите на вкладку Доступ).

3. Щелкните по кнопке Сделать общим ресурс.

4. Установите количество пользователей, имеющих доступ к ресурсу=5. Установите автоматическое кэширование для документов.

5. Щелкните по кнопке Разрешения. Удалите группу Все. В опекуны папки добавьте группу Администраторы и созданную вами доменную группу безопасности, а также два ближайших к вам компьютера. Щелкните ОК.

6. Вернитесь к кнопке Разрешения. Щелкните по группе Администраторы и установите флажок Полный доступ. Такие же права предоставьте вашей доменной группе. Для одного из компьютеров предоставьте право Чтение, а другому - Изменение.

7. Закройте окно свойств, щелкнув ОК.

Разрешения NTFS

1. Щелкните правой кнопкой мыши на вновь созданной общей папке, выберите команду Свойства и перейдите на вкладку Безопасность .

2. По умолчанию группа Все обладает правом Чтение. Сбросьте флажок Позволить наследование разрешений от родительского объекта и удалите группу Все.

3. Группе Администраторы установите флажок Полный доступ. Такие же права предоставьте вашей доменной группе.

4. Для одного из компьютеров предоставьте право Чтение, а другому – Чтение и выполнение и Запись.

5. Закройте окно Свойства.

6. Поместите в папку два текстовых файла.

7. Задайте различные специальные и стандартные разрешения для файлов.

8. Передайте право владения папкой другому владельцу (Вкладка Безопасность –кнопка Дополнительно - окно Параметры управления доступом – вкладка Владелец – Изменить владельца – выделить учетную запись пользователя, которому хотите передать право владения Применить и ОК).

9. Войдите на компьютер, которому вы предоставили доступ к общей папке с именем вновь созданного пользователя и его паролем.

10. Изучите ваше сетевое окружение.

11. Найдите созданную вами общую папку.

12. Убедитесь, что права данного компьютера на общую папку совпадают с теми, которые дали вы.

Упражнение 2. Открытие общего доступа к папке c помощью оснастки Общие папки.

1. Создайте папку Docs на диске С:, но пока не делайте ее общей.

2. Откройте страницу Управление данным сервером (Manage Your Server) из группы про­грамм Администрирование (Administrative Tools).

3. В категории Файловый сервер (File Server) щелкните Управление этим файловым сер­вером (Manage This File Server). Если на вашем сервере не настроена роль Файловый сервер (File Server), добавьте ее или запустите консоль Управление файловым сервером (File Server Management).

1. Выберите узел Общие папки (Shares).

1. Щелкните Создать общую папку (Add A Shared Folder) в списке задач на правой пане­ли, в меню Действие (Action) или в контекстном меню.

2. Откроется окно Мастер создания общих ресурсов (Share A Folder Wizard). Щелкните Далее (Next).

1. Введите путь с: \docs и щелкните Далее (Next).

2. Оставьте предложенное имя — docs — и щелкните Далее (Next).

1. На странице Разрешения (Permissions) выберите Использовать особые права доступа к общей папке (Use Custom Share And Folder Permissions) и щелкните кнопку Настроить (Customize).

2. Установите флажок Разрешить (Allow) для разрешения Полный доступ (Full Control) и щелкните ОК.

1. Щелкните Готово (Finish), а затем Закрыть (Close).

Упражнение 3. Подключение к общей папке

1. В консоли Управление файловым сервером (File Server Management) щелкните узел Сеансы (Sessions). Если узел содержит сеансы, в списке задач щелкните Отключить все сеансы (Disconnect All Sessions), а затем Да (Yes).

2. В меню Пуск (Start) выберите Выполнить (Run). Введите UNC-путь к общей папке \\server01\docs и щелкните ОК.

Используя UNC вместо физического пути c:\docs, вы создаете сетевое подключение к общей папке, так же, как это мог бы делать какой-нибудь пользователь.

1. В консоли Управление файловым сервером (File Server Management) щелкните узел Сеансы (Sessions). Заметьте: ваша учетная запись присутствует в списке сеансов сер­вера. Чтобы обновить окно консоли, нажмите F5.

2. Щелкните узел Открытые файлы (Open Files). Заметьте: список содержит открытую папку C:\Docs.

Упражнение 4. Настройка разрешений NTFS

Откройте папку C:\Docs, к которой вы открыли общий доступ на лабораторной ра­боте в упражнении 2.

Создайте папку с именем Project 101.