Гордеев А.В. Операционные системы (2-е изд., 2004) (1186250), страница 54
Текст из файла (страница 54)
Отсюда следует, что достаточно дать пользователю разрешениеTake Ownership и он, в конечном счете, сможет получить доступ к файлу или папкена разделе NTFS.Разрешения NTFS в Windows 2000/XPВ семействе операционных систем Windows 2000 и Windows XP были существенно переработаны и сама система управления файлами, получившая названиеNTFS5, и интерфейс, посредством которого можно управлять разрешениями NTFS.Вместо описанных выше индивидуальных, стандартных и специальных разрешений Windows NT 4.0 теперь в пользовательском интерфейсе имеется перечень из13 разрешений, которые можно (по аналогии с предыдущей системой) назвать1индивидуальными, хотя Microsoft более этот термин не употребляет и называетих специальными разрешениями.
Опишем кратко эти индивидуальные (специальные) разрешения.р Traverse Folder/Execute File (Обзор папок/Выполнение файлов):• Traverse Folder — разрешает (или запрещает) перемещение по папке в поисках файлов или вложенных папок, даже если пользователь не обладает разрешением на доступ к просматриваемой папке (это разрешение применимотолько к папкам и только если группа или пользователь не обладает правомперекрестной проверки, а по умолчанию группа Everyone наделена правомперекрестной проверки);•Execute File — разрешает (или запрещает) запуск программ (применимо только к файлам).• List Folder/Read Data (Содержание папки/Чтение данных):•List Folder — разрешает (или запрещает) просмотр имен файлов и вложенных папок внутри папки (применимо только к папкам);•Read Data — разрешает (или запрещает) чтение данных из файлов (применимо только к файлам).QRead Attributes (Чтение атрибутов).
Разрешает (или запрещает) просмотр атрибутов файла или папки, таких как «только для чтения» или «скрытый». Атрибутыопределяются файловой системой NTFS.0Read Extended Attributes (Чтение дополнительных атрибутов). Разрешает (или запрещает) просмотр дополнительных атрибутов файла или папки.
Дополнительные атрибуты определяются программами и зависят от них. Атрибуты сжатияфайлов NTFS и шифрования относятся к дополнительным.Целях преемственности терминологии и удобства изложения материала мы тем не менее будемиспользовать этот термин.204Глава 6. Файловые системыQ Create Files/Write Data (Создание файлов/Запись данных):•Create Files — разрешает (или запрещает) создание файлов в папке (применимо только к папкам);•Write Data — разрешает (или запрещает) внесение изменений в файл и замену имеющегося содержимого (применимо только к файлам).Q Create Folders/Append Data (Создание папок/Дозапись данных):•Create Folders — разрешает (или запрещает) создание папок в папке (применимо только к папкам);•Append Data — разрешает (или запрещает) внесение изменений в конец файла, но не изменение, удаление и замену имеющихся данных (применимо только к файлам).Q Write Attributes (Запись атрибутов).
Разрешает (или запрещает) смену атрибутовфайла или папки, таких как «только для чтения» или «скрытый». Атрибутыопределяются файловой системой NTFS.Q Write Extended Attributes (Запись дополнительных атрибутов). Разрешает (или запрещает) смену дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и зависят от них.Q Delete Subfolders and Files (Удаление подпапок и файлов). Разрешает (или запрещает) удаление вложенных папок и файлов даже при отсутствии разрешения Delete.Q Delete (Удаление).
Разрешает (или запрещает) удаление файла или папки. Приотсутствии этого разрешения требуемый объект (файл или папку) все же можно удалить при наличии разрешения Delete Subfolders and Files для родительскойпапки.a Read Permissions (Чтение разрешений). Разрешает или запрещает чтение разрешений на доступ к файлу или папке, таких как Full Control, Read и Write.•Change Permissions (Смена разрешений). Разрешает или запрещает чтение разрешений на доступ к файлу или папке, таких как Full Control, Read и Write.•Take Ownership (Смена владельца).
Разрешает или запрещает возможность статьвладельцем файла или папки. Владелец файла или папки всегда может изменить разрешения на доступ к ним независимо от любых разрешений, защищающих файл или папку.Из перечисленных выше «индивидуальных» разрешений формируются так называемые основные разрешения. Они являются аналогом стандартных разрешениив NTFS4.
Принципиальное отличие между стандартными и индивидуальными разрешениями в NTFS4 и NTFS5 заключается в том, что теперь имеется 6 основныхразрешений на каталог и 5 основных разрешений на файл. Причем каждое из этихразрешений может быть в явном виде разрешено или запрещено.
То есть каждоеосновное разрешение пользователь может разрешить (allow) или запретить (deny)Если разрешение не отмечено как разрешенное или запрещенное, то считается, чтооно не запрещено. Таким образом, конкретное разрешение может быть задано тремя способами: разрешено (в явном виде), не запрещено, запрещено. Напомним, чтоитоговые разрешения для конкретного пользователя вычисляются как сумма всехфайловая с и с т е м а NTFS205зрешений по записям АСЕ, образующим список DACL.
Например, если в списке DACL у пользователя имеется разрешение на запись, а членам группы, в которую он входит, присвоено разрешение на чтение, то этот пользователь будет иметьоговое разрешение и на чтение, и на запись.иТЗапрет имеет большую силу, нежели явное разрешение. Другими словами, есливстречается АСЕ с явным запретом на некоторое разрешение для конкретногопользователя или группы, в которую он входит, то это разрешение всегда будетзапрещено для данного пользователя и его группы, даже если в остальных записяхданное разрешение будет помечено как разрешенное.оаЕсли вас не устраивают основные разрешения, то можно сформировать специальные разрешения как конкретную комбинацию «индивидуальных» разрешений. Дляэтого необходимо щелкнуть на кнопке Advanced (Дополнительно). При этом открывается окно управления разрешениями, в котором они перечислены.
В этом окнеесть кнопки Add (Добавить), Change (Изменить) и Delete (удалить), которые позволяют добавлять, изменять или удалять выбранные разрешения.Если в окне свойств безопасности объекта флажки затенены, значит, разрешенияна доступ к данному объекту унаследованы от родительского объекта. Существуют три способа изменения унаследованных разрешений.• Внесите в разрешения на доступ к родительскому объекту изменения, которыебудут унаследованы данным объектом.• Явно разрешите (если оно было помечено как запрещенное) или запретите (еслионо было помечено как разрешенное) данное унаследованное разрешение.а Снимите флажок Inherit from parent the permission entries that apply to child objects.Include these with entries explicity defined here (Переносить наследуемые от родительского объекта разрешения на этот объект).
В появившемся диалоговом окнебудет предложено выбрать одну из трех альтернатив: скопировать разрешенияродительского объекта (к ним можно будет впоследствии добавить новые), удалить разрешения и сформировать их заново или ничего не трогать и вернутьсяк исходному состоянию разрешений. После снятия флажка можно изменятьсписок разрешений: изменять сами разрешения, удалять пользователей илигруппы из списка разрешений, поскольку данный объект больше не будет наследовать разрешения на доступ к родительскому объекту.Разрешения на доступ к файловым объектам должны быть максимально строгими. Это снизит вероятность случайного удаления или изменения важной информации.
Рекомендуется всегда, когда возможно, назначать разрешения для групп,ане для отдельных пользователей. Другими словами, следует создавать группыбезопасности, исходя из требований уровня доступа к файлам, и именно этим группам предоставлять необходимые разрешения. Отдельным пользователям следуетпредоставлять разрешения на доступ только в исключительных случаях, когда этоДействительно требуется.Ри назначении разрешений для папок, в которых расположены приложения илиННые справочного характера, то есть практически неизменяемые при рядовойраооте пользователей, следует заменить стандартное разрешение Full Contorol (пол-206Глава 6.
Файловые системщный доступ) для группы Everyone (все) на разрешение Read & Execute (чтение и выполнение). Это позволит предотвратить случайное удаление файлов или заражениеих вирусами. Тем пользователям, которые ответственны за обновление хранящихся в папке файлов, можно дать разрешения Change (изменение), Read & Execute (чтение и выполнение), Read (чтение) и Write (запись). Имея их, они смогут выполнятьпорученную им работу, но не смогут изменять разрешения. Право на изменениеразрешений следует оставлять за членами группы Администраторы.В качестве примера управления разрешениями NTFS при работе в Windows 2000/ХР рассмотрим следующую несложную задачу.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
