Гордеев А.В. Операционные системы (2-е изд., 2004) (1186250), страница 53
Текст из файла (страница 53)
Стандартное разрешение No Accessустанавливается, когда снимают все индивидуальные разрешения NTFS. Имейтев виду: оно обозначает не отсутствие разрешений, а явный запрет на доступ и отменяет для пользователя все разрешения, установленные в остальных строках списка управления доступом."азрешения Full Control (полный доступ) и Change (изменение) отличаются тем, чтовторое не позволяет менять разрешения и владельца объекта, то есть среди составляющих его индивидуальных разрешений отсутствуют разрешения на смену разрешений (Р) и смену владельца (0).^ПеЦиалъные разрешения. И наконец, специальные разрешения. Это комбинациичдивпдуальных разрешений R, W, X, D, Р и 0, не совпадающие ни с одним из разреше-200Глава 6.
Файловые системыний стандартного набора. Установить специальные разрешения NTSF в диалоговомокне разрешений (File Permissions или Directory Permissions) можно только правкойсуществующих разрешений для пользователя или группы. Иными словами, чтобыустановить для кого-нибудь специальное разрешение NTFS, вам придется установить сначала какое-либо из стандартных разрешений и лишь затем преобразоватьего в специальное. При этом для папок можно отдельно регулировать доступ как ксамой папке (Special Directory Access), так и к находящимся в ней файлам (Special FileAccess).
Таким образом, удается весьма дифференцированно управлять доступомпользователей к файлам и папкам на томах с файловой системой NTFS.Применение разрешений NTFSРазрешения NTFS присваиваются учетным записям пользователей и групп также, как и разрешения доступа к общим сетевым ресурсам. Пользователь можетполучить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.Применение разрешений NTFS для каталогов сходно с применением разрешенийдоступа к общим ресурсам.
Управление разрешениями на каталог или файл осуществляется, как правило, через Проводник. Для этого необходимо щелкнуть наобъекте правой кнопкой мыши, выбрать в контекстном меню команду Properties(Свойства) и в открывшемся окне перейти на вкладку Security (Безопасность). На этойвкладке имеется три раздела. Первый (верхний) с кнопкой Permissions (Разрешения) как раз и позволяет просмотреть и/или изменить разрешения, то есть управлять списком DACL.
Второй (средний) с кнопкой Audit (Аудит) предназначен дляуправления списком S ACL. Наконец, последний (нижний) раздел с кнопкой Owner(Владелец) предназначен для просмотра и/или смены владельца файлового объекта.Кроме того, имеется возможность устанавливать и/или изменять списки разрешений NTFS через интерфейс командной строки.
Для этого используется следующая команда:CACLS ИмяФайла [/Т] [/Е] [/С] [/G ИмяПользователя:доступ] [/R ИмяПользователя [...]] [/РИмяПользователя:доступ [...]] [/D ИмяПользователя [...]]Здесь:а ИмяФайла — имя файла со списком управления доступом;Q /Т — замена списка управления доступом для указанных файлов в текущем каталоге и всех подкаталогах;• /Е — изменение списка управления доступом вместо его замены;О /С — продолжение выполнения при ошибках отказа в доступе;• /G ИмяПользователя:доступ — определение разрешений для указанных пользователей, где параметр доступ равен:•R — чтение,•С — изменение (запись),• F — полный доступ;Q /R ИмяПользователя — отзыв разрешений для пользователя (только вместе с ключом/Е);/Р ИмяПользователя:доступ — замена разрешений для указанного пользователя,где параметр доступ равен:• N — отсутствует,•R — чтение,• С — изменение (запись),•F — полный доступ;• /D ИмяПользователя — запрет на доступ для указанного пользователя.Для выбора нескольких файлов используются подстановочные знаки.
В командеможно указать несколько пользователей.У каждого файлового объекта имеется его владелец и создатель. Пользователь,создавший файл или папку на томе NTFS, становится владельцем этого файла илипапки. Владелец всегда имеет право назначать и изменять разрешения на доступ ксвоему файлу или папке, даже если у него нет соответсвующего разрешения. Еслиэтот пользователь является членом группы Administrators (Администраторы), фактическим владельцем становится вся группа Administrators.Изначально все пользователи имеют все разрешения на файлы и каталоги. Очевидно, что при этом они могут изменять эти разрешения, которые оформляются ввиде списка. Напомним, что такой список называют списком ACL, хотя на самомделе, как уже упоминалось, речь идет о списке DACL.
Список DACL состоит иззаписей АСЕ (Access Control Entry — запись списка управления доступом); в каждой из них указывается идентификатор безопасности (SID) 1 и соответствующаяему маска доступа, которая строится на основе заданных пользователем разрешений. Другими словами, каждому идентификатору безопасности ставится в соответствие перечень индивидуальных разрешений.
Например, список на некий каталог может выглядеть следующим образом:•Everyone — List;•Engineers —Add & Read;•Managers — Change;•Administrators-Full Control.Этот список следует понимать так: все имеют разрешение на просмотр содержимого данного каталога, члены группы Engineers имеют разрешение на чтение содержимого каталога и запись в него новых файлов, члены группы Managers могутизменять свободно каталог и его содержимое, а члены группы Administrators имеютвсе разрешения.в отличие от разрешений доступа к общим (сетевым) ресурсам, разрешения NTFSзащищают локальные ресурсы.
В частности, файлы и папки, содержащиеся в данном каталоге, могут иметь иные разрешения, нежели он сам.•это уникальная 128-разрядная кодовая запись, на основании которой операционная система можетИдентифицировать пользователей. Именно SID сопровождает все запросы к операционной системеНа получение того или иного ресурса, в результате чего она может вычислить и разрешения, и нраваПользователей на запрашиваемый ресурс.202Глава 6. Файловые системаНапомним, что в системе Windows NT 4.0 разрешения NTFS для файла превалируют над разрешениями для каталога, в котором он содержится.
Например^ еслипользователь имеет разрешения Read (чтение) для каталога и Write (запись) для вложенного в него файла, то он сможет записать данные в файл, но не сможет создатьновый файл в этом каталоге.Как и разрешения доступа к общим (сетевым) ресурсам, фактические разрешенияNTFS для пользователя — это комбинация разрешений пользователя и групп, членом которых он является. Единственное исключение — разрешение No Access (нетдоступа): оно отменяет все остальные разрешения.При указании разрешений в соответствующем окне, в которое мы попадаем послевыбора в контекстном меню команды Properties (Свойства), перехода на вкладкуSecurity (Безопасность) и щелчка на кнопке Permissions (Разрешения), следует обратить внимание на информацию, указанную в списке Type of Access (Тип доступа)в скобках рядом с типом разрешения.
В первой паре скобок представлены индивидуальные разрешения на доступ к самой папке, во второй — на доступ к файлам,создаваемым в этой папке. Некоторые разрешения для папки не меняют разрешений для файлов (Not Specified). При этом пользователь не сможет обращаться к файлам в этой папке, если только разрешения на доступ для него не заданы как-нибудь иначе (например, через разрешения, устанавливаемые на отдельные файлы).Если при форматировании тома на него устанавливается файловая система NTFS,группе Everyone (все) автоматически присваивается разрешение Full Control (полный доступ) на этот том. Папки и файлы, создаваемые на этом томе, по умолчаниюнаследуют это разрешение.Разрешения, установленные для пользователя, складываются (аккумулируются)с разрешениями, установленными для групп, к которым он принадлежит.
Например, если на доступ к какому-либо файлу для пользователя установлено разрешение Read, а для группы Everyone — разрешение Change, пользователь сможет изменить содержимое файла или удалить его, поскольку любой пользователь всегдавходит в эту группу. Из этого правила есть исключение, когда одним из установленных разрешений доступа является разрешение No Access. При этом не важно,кому именно это разрешение предоставлено, пользователю или группе. Разрешение No Access всегда имеет приоритет, поэтому пользователь не сможет получитьдоступ к файлу или папке.Пользователи, имеющие разрешение Full Control на папку, могут удалять файлыв этой папке независимо от разрешений, установленных на файл (даже если разрешением на файл является разрешение No Access). Это следствие того, что системаNTFS удовлетворяет-стандарту POSIX.1.
Чтобы решить проблему (если полныйнабор разрешений доступа к папке действительно необходим), надо установитьдля папки специальный тип доступа, включающий все индивидуальные разрешения R, W, X, D, Р и 0. При этом пользователи получают тот же набор разрешенныхдействий, что и при разрешении Full Control, но теряют возможность несанкционированного удаления файлов в этой папке.Также важно отметить, что, имея одно только разрешение Change Permission, позволяющее изменять разрешения, пользователь может установить любые разрешения на доступ к файлу или папке.Пользователь, создающий папку или файл на разделах с файловой системой NTFS,становится владельцем созданного объекта.
Кроме того, владельцем папки илифайла может стать любой пользователь, обладающий стандартным разрешениемFull Control или специальным разрешением Take Ownership. Владелец всегда имеетвозможность прочитать информацию о разрешениях на доступ к папке или файлуи изменить их, даже если ему ничего не разрешено или ему предоставлено разрешение No Access.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
