Методические указания к выполнению лабораторных работ, страница 11
Описание файла
Документ из архива "Методические указания к выполнению лабораторных работ", который расположен в категории "". Всё это находится в предмете "электронные вычислительные машины (эвм)" из 7 семестр, которые можно найти в файловом архиве РТУ МИРЭА. Не смотря на прямую связь этого архива с РТУ МИРЭА, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "сети эвм и телекоммуникации" в общих файлах.
Онлайн просмотр документа "Методические указания к выполнению лабораторных работ"
Текст 11 страницы из документа "Методические указания к выполнению лабораторных работ"
Часто пользователи принадлежат к нескольким группам с разными уровнями доступа к ресурсам. Когда ACL содержит несколько элементов, вы должны уметь определять разрешения пользователя, исходя из разрешений групп, членом которых он является. Конечные разрешения называют действующими (effective permissions).
Понятие действующих разрешений
Ниже перечислены правила, по которым определяют действующие разрешения.
-
Разрешения файлов приоритетнее разрешений папок. На самом деле это не совсем правило, но это положение часто встречается в документации и поэтому заслуживает упоминания. Каждый ресурс хранит таблицу ACL, и лишь она отвечает за управление доступом к этому ресурсу. Хотя элементы в этой таблице могли появиться в результате наследования, в любом случае они являются элементами ACL ресурса. Подсистема безопасности вообще не обращается к родительской папке при определении прав доступа. Так что это правило можно интерпретировать следующим образом: значение имеет только ACL самого ресурса.
-
Разрешения, позволяющие доступ, суммируются. Уровень доступа к ресурсу определяется разрешениями одной или нескольких групп, которым принадлежит пользователь. Разрешения, позволяющие доступ, предоставленные любому пользователю, группе или компьютеру в вашем маркере безопасности доступа, будут применяться и к вашей учетной записи, поэтому ваши действующие разрешения, по сути, есть сумма разрешений, позволяющих доступ. Если для какой-либо папки группе Sales Reps даны разрешения Чтение и выполнение (Read & Execute) и Запись (Write), а группе Sales Managers — Чтение и выполнение и Удаление (Delete), пользователь, входящий в обе группы, будет обладать действующими разрешениями, эквивалентными шаблону Изменение (Modify), куда входят разрешения Чтение и выполнение, Запись и Удаление.
-
Разрешения, запрещающие доступ, приоритетнее позволяющих. Запрет доступа к объекту всегда приоритетнее разрешения доступа. Предположим, в описанном выше примере группе Temporary Employees запрещено чтение. Тогда пользователь, который является временным торговым представителем и принадлежит группам Sales Reps и Temporary Employees, не сможет прочитать данные в этой папке.
-----------------------------------------------------------------------------------------------
Примечание Рекомендуется как можно реже применять запреты. Вместо этого предоставляйте разрешения для минимального круга ресурсов, необходимых для решения бизнес - задачи. Запреты усложняют администрирование ACL, их следует использовать, только когда действительно необходимо запретить доступ пользователю — члену других групп с этим разрешением.
■ Явные разрешения приоритетнее унаследованных. Элемент разрешения, явно определенный для ресурса, перекроет конфликтующий с ним унаследованный элемент. Из этого следуют базовые принципы проектирования: родительская папка определяет «правило» через наследуемые разрешения; если к дочернему объекту требуется предоставить доступ, противоречащий этому правилу, в ACL объекта добавляют явное разрешение, которое имеет преимущество.
-----------------------------------------------------------------------------------------------
В итоге можно сделать вывод: явное разрешение, позволяющее доступ, перекроет унаследованное разрешения, запрещающее доступ.
-----------------------------------------------------------------------------------------------
Определение действующих разрешений
NTFS поддерживает массу функций управления разрешениями и наследованием, что с одной стороны расширяет возможности системы, а с другой — усложняет ее. Глядя на все эти разрешения, пользователей и группы, как узнать действительные права доступа пользователя?
Microsoft выпустила долгожданное средство, которое помогает ответить на этот вопрос. Вкладка Действующие разрешения (Effective Permissions) диалогового окна Дополнительные параметры безопасности (Advanced Security Settings) дает довольно точное приближение итоговых разрешений доступа пользователя к ресурсу (рис. 6-8)
Рис. 5 Вкладка Действующие разрешения диалогового окна Дополнительные параметры безопасности
Щелкните кнопку Выбрать (Select) и укажите пользователя, группу или встроенную учетную запись, которую нужно проанализировать. Windows Server 2003 построит список действующих разрешений. Этот список — лишь приближение. В нем не учтены ни разрешения общего ресурса, ни принадлежность учетной записи перечисленным ниже особым группам.
-
Анонимный вход (Anonymous Logon).
-
Пакетные файлы (Batch).
-
Группа-создатель (Creator Group).
-
Удаленный доступ (Dialup).
-
Контроллеры домена предприятия (Enterprise Domain Controllers).
-
Интерактивные (Interactive).
-
Сеть (Network).
-
Proxy.
-
Ограниченные (Restricted).
-
Remote Interactive Logon.
-
Служба (Service).
-
System.
-
Пользователь сервера терминалов (Terminal Server User).
-
Другая организация (Other Organization).
-
Данная организация (This Organization).
Кроме того, ACL может содержать элементы, например, для учетных записей Сеть или Интерактивные, которые могли бы обеспечивать пользователям различный уровень доступа в зависимости от способа входа в систему — локально или удаленно. Поскольку рассматриваемый пользователь не входит в систему, разрешения, зависящие от способа входа в систему, игнорируются. Впрочем, в качестве дополнительного шага вы можете определить действующие разрешения для таких встроенных или особых учетных записей, как Интерактивные и Сеть.
Права владения ресурсом
Windows Server 2003 поддерживает специального участника безопасности — Создатель-владелец (Creator Owner). Помимо этого, в дескрипторе безопасности ресурса есть запись, определяющая владельца объекта. Чтобы научиться управлять разрешениями доступа к ресурсам и устранять связанные с ними неполадки, необходимо хорошо понимать эти две составляющие механизма защиты.
Создатель - владелец
Когда пользователь создает файл или папку (для чего он должен обладать разрешениями Создание файлов/Запись данных (Create Files/Write Data) или Создание папок/Дозапись данных (Create Folders/Append Data) соответственно), он становится создателем и первым владельцем этого ресурса. Любые разрешения, предоставленные особой учетной записи Создатель-владелец (Creator Owner) для родительской папки, явно назначаются пользователю в отношении этого нового ресурса.
Предположим, для этой папки пользователям предоставлены разрешения Создание файлов/Запись данных (Create Files/Write Data) и Чтение и выполнение (Read & Execute), а учетной записи Создатель-владелец — разрешение Полный доступ (Full Control). Такой набор разрешений позволил бы пользователю Maria создать файл. Как создатель файла, Maria имела бы к нему полный доступ. Пользователь Tia также могла бы создать файл и получить к нему полный доступ. Однако Tia и Maria могли бы лишь читать файлы друг друга. При этом Tia могла бы изменить ACL своего файла. Разрешение Полный доступ (Full Control) включает разрешение Смена разрешений (Change Permissions).
Право владения
Если по каким-либо причинам Tia изменила бы ACL своего файла и запретила бы себе полный доступ, она по-прежнему смогла бы изменять ACL этого файла, поскольку владелец объекта всегда имеет такое право; благодаря этому пользователи не могут навсегда заблокировать собственные файлы и папки.
Рекомендуется управлять правами владения объектом так, чтобы объектом всегда владел соответствующий пользователь. Отчасти это необходимо из-за того, что пользователи могут изменять ACL собственных объектов. Кроме того, такие технологии, как квотирование диска, полагаются на атрибут владения при подсчете места на диске, занятого некоторым пользователем. До выхода Windows Server 2003 управление правами владения было затруднено, теперь же появилось новое средство, упрощающее передачу прав владения.
Владелец указан в дескрипторе безопасности объекта. Первоначальным владельцем становится создатель файла или папки. Право владения объектом можно принимать или передавать следующим образом.
-
Администраторы могут становиться владельцами. Пользователь из группы Администраторы (Administrators) или обладающий правом Смена владельца (Take Ownership) может получить во владение любой объект в системе.
Чтобы стать владельцем ресурса, перейдите на вкладку Owner (Владелец) в диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings), показанном на рис. 6-9. Выберите в списке свою учетную запись пользователя и щелкните Применить (Apply). Установите флажок Заменить владельца подконтейнеров и объектов (Replace Owner On Subcontainers And Objects), чтобы стать владельцем всех подпапок и файлов.
Вкладка Владелец диалогового окна Дополнительные параметры безопасности
-
Права владения могут принимать пользователи с разрешением Смена владельца (Take Ownership). Особое разрешение Смена владельца может быть предоставлено любому пользователю или группе, и они смогут завладеть ресурсом, а значит и изменить ACL, чтобы получить достаточные разрешения.
-
Администраторы могут передавать права владения. Администратор может завладеть любым файлом или папкой. Затем он, как владелец, может изменить разрешения доступа к ресурсу и предоставить разрешение Смена владельца другому пользователю, который, в свою очередь, может завладеть этим ресурсом.
-
Привилегия Восстановление файлов и каталогов (Restore Files And Directories) разрешает передачу прав владения. Пользователь с такими полномочиями может передать права владения файлом другому пользователю. Если вам дана привилегия Восстановление файлов и каталогов, вы можете щелкнуть кнопку Иные пользователи или группы (Other Users Or Groups) и выбрать нового владельца. Эта новая функция Windows Server 2003 позволяет администраторам и операторам архивирования управлять правами владения объектом и передавать их без вмешательства пользователя.
Лабораторная работа № 4
Настройка общих папок
Упражнение 1. Открытие общего доступа к папке c помощью Проводника Windows
Разрешения общего ресурса
-
Создайте папку на рабочем столе. Дайте ей имя.
-
Щелкните правой кнопкой мыши на папке из контекстного меню и выберите команду Доступ (или выберите команду Свойства и перейдите на вкладку Доступ).
-
Щелкните по кнопке Сделать общим ресурс.
-
Установите количество пользователей, имеющих доступ к ресурсу=5. Установите автоматическое кэширование для документов.
-
Щелкните по кнопке Разрешения. Удалите группу Все. В опекуны папки добавьте группу Администраторы и созданную вами доменную группу безопасности, а также два ближайших к вам компьютера. Щелкните ОК.
-
Вернитесь к кнопке Разрешения. Щелкните по группе Администраторы и установите флажок Полный доступ. Такие же права предоставьте вашей доменной группе. Для одного из компьютеров предоставьте право Чтение, а другому - Изменение.
-
Закройте окно свойств, щелкнув ОК.
Разрешения NTFS
-
Щелкните правой кнопкой мыши на вновь созданной общей папке, выберите команду Свойства и перейдите на вкладку Безопасность .
-
По умолчанию группа Все обладает правом Чтение. Сбросьте флажок Позволить наследование разрешений от родительского объекта и удалите группу Все.
-
Группе Администраторы установите флажок Полный доступ. Такие же права предоставьте вашей доменной группе.
-
Для одного из компьютеров предоставьте право Чтение, а другому – Чтение и выполнение и Запись.
-
Закройте окно Свойства.
-
Поместите в папку два текстовых файла.
-
Задайте различные специальные и стандартные разрешения для файлов.
-
Передайте право владения папкой другому владельцу (Вкладка Безопасность –кнопка Дополнительно - окно Параметры управления доступом – вкладка Владелец – Изменить владельца – выделить учетную запись пользователя, которому хотите передать право владения Применить и ОК).
-
Войдите на компьютер, которому вы предоставили доступ к общей папке с именем вновь созданного пользователя и его паролем.
-
Изучите ваше сетевое окружение.
-
Найдите созданную вами общую папку.
-
Убедитесь, что права данного компьютера на общую папку совпадают с теми, которые дали вы.
Упражнение 2. Открытие общего доступа к папке c помощью оснастки Общие папки.
-
Создайте папку Docs на диске С:, но пока не делайте ее общей.
-
Откройте страницу Управление данным сервером (Manage Your Server) из группы программ Администрирование (Administrative Tools).
-
В категории Файловый сервер (File Server) щелкните Управление этим файловым сервером (Manage This File Server). Если на вашем сервере не настроена роль Файловый сервер (File Server), добавьте ее или запустите консоль Управление файловым сервером (File Server Management).
-
Выберите узел Общие папки (Shares).
-
Щелкните Создать общую папку (Add A Shared Folder) в списке задач на правой панели, в меню Действие (Action) или в контекстном меню.
-
Откроется окно Мастер создания общих ресурсов (Share A Folder Wizard). Щелкните Далее (Next).
-
Введите путь с: \docs и щелкните Далее (Next).
-
Оставьте предложенное имя — docs — и щелкните Далее (Next).
-
На странице Разрешения (Permissions) выберите Использовать особые права доступа к общей папке (Use Custom Share And Folder Permissions) и щелкните кнопку Настроить (Customize).
-
Установите флажок Разрешить (Allow) для разрешения Полный доступ (Full Control) и щелкните ОК.
-
Щелкните Готово (Finish), а затем Закрыть (Close).
Упражнение 3. Подключение к общей папке
-
В консоли Управление файловым сервером (File Server Management) щелкните узел Сеансы (Sessions). Если узел содержит сеансы, в списке задач щелкните Отключить все сеансы (Disconnect All Sessions), а затем Да (Yes).
-
В меню Пуск (Start) выберите Выполнить (Run). Введите UNC-путь к общей папке \\server01\docs и щелкните ОК.
Используя UNC вместо физического пути c:\docs, вы создаете сетевое подключение к общей папке, так же, как это мог бы делать какой-нибудь пользователь.
-
В консоли Управление файловым сервером (File Server Management) щелкните узел Сеансы (Sessions). Заметьте: ваша учетная запись присутствует в списке сеансов сервера. Чтобы обновить окно консоли, нажмите F5.
-
Щелкните узел Открытые файлы (Open Files). Заметьте: список содержит открытую папку C:\Docs.
Упражнение 4. Настройка разрешений NTFS
Откройте папку C:\Docs, к которой вы открыли общий доступ на лабораторной работе в упражнении 2.
Создайте папку с именем Project 101.