Что такое разрешения NTFS
Разрешения NTFS (NTFS permissions) — это набор специальных свойств файла или папки, заданных для ограничения доступа пользователей к этим объектам. Они доступны только на томах, где установлена файловая система Windows NT (NTFS). Разрешения обеспечивают гибкую защиту, так как их можно применять и к папкам, и к отдельным файлам; они распространяются как на локальных пользователей (работающих на компьютерах, где находятся защищенные папки и файлы), так и на пользователей, подключающихся к ресурсам по сети.
Индивидуальные разрешения
В Windows NT имеется шесть типов индивидуальных разрешений NTFS, каждый из которых задает тип доступа к файлу или папке.
В таблице описаны разрешенные пользователю операции с папкой или файлом при наложении на объект одного из индивидуальных разрешений NTFS.
Индивидуальное разрешение NTFS
Разрешенные операции с папкой
Разрешенные операции с файлом
Read (R) (Чтение)
Просматривать имена папок и файлов в данной папке, разрешения на доступ к ней, ее атрибуты и сведения о владельце
Просматривать содержимое файла, разрешения на доступ к файлу, его атрибуты и владельца
Write (W) (Запись)
Добавлять в папку файлы и папки; изменять ее атрибуты; просматривать атрибуты папки, сведения о ее владельце и разрешения на доступ к ней
Просматривать разрешения на доступ к файлу и сведения о владельце; изменять атрибуты файла; изменять и добавлять данные в файл
Execute (X) (Выполнение)
Просматривать атрибуты папки; вносить изменения в папки, вложенные в данную папку; просматривать разрешения на доступ к этой папке и сведения о ее владельце
Просматривать разрешения на доступ к файлу, его атрибуты и сведения о его владельце; запускать файл (если файл является исполняемым)
Delete (D) (Удаление)
Удалять папку
Удалять файл
Take Ownership (0) (Смена владельца)
Назначить себя владельцем папки
Назначить себя владельцем файла
Примечание Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Если этот пользователь является членом группы Administrators (Администраторы), фактическим владельцем становится вся группа Administrators. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке.
Как объявить себя владельцем
Члены группы Administrators (Администраторы) по умолчанию всегда могут объявлять себя владельцами папки или файла. Если член этой группы объявляет себя владельцем ресурса, то владельцем ресурса становится вся группа Administrators (Администраторы).
Ниже перечислены действия, которые необходимо выполнить, чтобы объявить себя владельцем файла. Q Зарегистрируйтесь в системе по учетной записи Administrator.
На вкладке Security (Безопасность) диалогового окна имя_папки Properties (Свойства: имя_папки) или имя_файла Properties (Свойства: имя_фаила) щелкните кнопку Ownership (Владелец).
В диалоговом окне Owner (Сведения о владельце) щелкните кнопку Take Ownership (Стать владельцем).
Как разрешить пользователям изменять владельца
Пользователь, владеющий ресурсом, не может самостоятельно изменить его владельца — он волен лишь дать другому пользователю или группе разрешение на смену владельца этого ресурса. Подобная схема защиты ресурса не позволяет пользователю создать или изменить файл, а затем фальсифицировать его принадлежность другому пользователю.
Владелец ресурса может предоставить другому пользователю или группе возможность объявить себя владельцем папки или файла, присвоив им одно из следующих разрешений:
стандартное — Full Control (Полный контроль);
специальное — Take Ownership (Смена владельца);
специальное — Change Permissions (Смена разрешений): имея его пользователь может присвоить себе или другим пользователям или группам разрешение Take Ownership (Смена владельца).
> Определение разрешений для файла и его владельца
Зарегистрируйтесь в системе по учетной записи Administrator.
Запустите Windows NT Explorer (Проводник) и создайте в папке LabFiles текстовый файл с именем Owner.txt.
Щелкните правой кнопкой мыши файл Owner.txt и в появившемся меню выерите пункт Properties (Свойства).
Появится диалоговое окно Owner.txt Properties (Свойства: Owner.txt).
Щелкните вкладку Security (Безопасность) и затем — кнопку Ownership (Владелец).
Обратите внимание: владельцем в настоящий момент является группа Administrators (Администраторы).
Щелкните кнопку Close (Закрыть), а затем — кнопку Permissions (Разрешения).
Появится диалоговое окно File Permissions (Разрешения: Файл). Группа Everyone (Все) имеет разрешение Full Control (Полный контроль).
> Присвоение пользователю разрешения Take Ownership
В диалоговом окне File Permissions (Разрешения: Файл) щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
Убедитесь, что в поле List Names From (Список имен с) указано имя Вашего домена.
Щелкните кнопку Show Users (Пользователи).
Выберите пользователя SalesMgr6 и щелкните кнопку Add (Добавить).
В списке Type of Access (Тип доступа) выберите строку Read (Чтение), если она еще не выбрана, и щелкните кнопку ОК.
Обратите внимание, что разрешения Read
Имя пользователя SalesMgr6 появится в диалоговом окне File Permissions (Разрешения: Файл); ему присвоено разрешение Read (Чтение).
Щелкните строку SalesMgr6и в списке Type of Access (Тип доступа) выберите строку Special Access (Специальный доступ).
Появится диалоговое окно Special Access (Специальный доступ).
Обратите внимание, что разрешения Read (Чтение) и Execute (Выполнение) отмечены, поскольку из них состоит стандартное разрешение Read (Чтение), присвоенное пользователю SalesMgr6 для файла Owner.txt.
Установите флажок Take Ownership (О) (Смена владельца (О)), три раза щелкните кнопку ОК, чтобы принять изменения, и вернитесь в Windows NT Explorer (Проводник).
Закройте Windows NT Explorer и выйдите из системы.
> Как объявить себя владельцем файла
Зарегистрируйтесь в системе по учетной записи SalesMgr6 и запустите Windows NT Explorer (Проводник).
В папке LabFiles щелкните правой кнопкой мыши файл Owner.txt и в появившемся меню выберите пункт Properties (Свойства).
Появится диалоговое окно Owner.txt Properties (Свойства: Owner.txt).
Откройте вкладку Security (Безопасность) и щелкните кнопку Ownership (Владелец).
Обратите внимание, что владельцем файла является группа Administrators (Администраторы). Если файл создан ее членом, владельцем файла становится вся группа.
В диалоговом окне Owner (Сведения о владельце) щелкните кнопку Take Ownership (Стать владельцем).
Во вкладке Security (Безопасность) снова щелкните кнопку Ownership (Владелец).
Заметьте, что новым владельцем файла Owner.txt стал пользователь SalesMgr6. Имея разрешение Take Ownership (Смена владельца), пользователь SalesMgr6 смог принять файл во владение от группы Administrators (Администраторы).
Щелкните кнопку Close (Закрыть), чтобы вернуться на вкладку Security (Безопасность).
> Проверка разрешений для файла
Присвойте пользователю SalesMgr6 разрешение Full Control для файла Owner.txt.
Лишите разрешений на файл Owner.txt всех остальных пользователей и группы. Удалось ли Вам это сделать? Почему?
Закройте диалоговое окно Owner.txt Properties (Свойства: Owner.txt).
Закройте Windows NT Explorer и выйдите из системы.
Копирование папки или файла
При копировании на тот же или на другой том NTFS файл или папка наследуют разрешения папки-адресата, а пользователь, выполняющий копирование, становится владельцем копии.
Ниже изображено, как Файл А наследует от папки-адресата разрешение Change (Изменение) несмотря на то, что оригинал этого файла в папке-источнике имеет лишь разрешение Read (Чтение). Пользователь User6, скопировавший файл, становится владельцем копии файла в папке-адресате.
Необходимые разрешения
Пользователь не может копировать или перемещать папки или файлы на томах NTFS, если он не имеет необходимых разрешений.
Ниже описаны разрешения, необходимые для копирования или перемещения папки или файла в другую папку того же или другого тома.
Действие
Необходимые разрешения
Копирование
Разрешение Add (Добавление) для папки-адресата
Перемещение
Разрешение Add (Добавление) для папки-адресата и разрешение Delete (Удаление) для папки-источника (оно необходимо для удаления объекта из папки-источника)
Внимание! При копировании или перемещении файлов и папок на тома FAT они утрачивают свои разрешения, так как разрешения NTFS не поддерживаются на томах FAT.
Packet6-
Глава 6. Защита сетевых ресурсов средствами NTFS
В этой главе
Из этой главы Вы узнаете о том, как с помощью разрешений NTFS обеспечить защиту файлов и папок локального компьютера, а также обезопасить общие ресурсы сети. Выполняя упражнения этой главы, Вы спланируете и реализуете разрешения NTFS, а также научитесь устранять проблемы, связанные с разрешениями на доступ к ресурсам.
Прежде всего
Прежде чем приступить к изучению занятий этой главы, необходимо:
выполнить процедуры установки, описанные в разделе «Об этой книге»;
усвоить материал главы 3, «Создание учетных записей групп»;
усвоить материал главы 5, «Защита сетевых ресурсов с помощью прав доступа»;
предоставить в совместное использование папку LabFiles\Public и назначить ей сетевое имя Public («Общедоступные данные»); если папка Public еще не предоставлена в совместное использование, щелкните кнопку Start (Пуск), выберите в меню пункт Run (Выполнить), введите команду net share public= диск:\labfiles\public (вместо диск подставьте символ диска, на котором находится папка LabFiles) и щелкните кнопку ОК;
предоставить в совместное использование папку LabFiles\Apps и дать ей сетевое имя Apps («Приложения»); если папка Apps еще не предоставлена в совместное использование, щелкните кнопку Start (Пуск), выберите в меню пункт Run (Выполнить), введите команду net share apps= диск:\labfiles\apps (вместо диск подставьте символ диска, на котором находится папка LabFiles) и щелкните кнопку ОК;
создать три учетные записи пользователей — User6 (Пользователь), SalesMgr6 (Торговый представитель) и CustomerService6 (Сотрудник службы поддержки), три глобальные группы — Accountants6 (Бухгалтерия), Executives6 (Руководители) и Маnagers6 (Менеджеры), три локальные группы — Spreadsheet6 (Пользователи электронных таблиц), Database6 (Пользователи баз данных) и Library6 (Библиотека). Для этого зарегистрируйтесь в системе по учетной записи Administrator, в Windows NT Explorer откройте папку LabFiles и дважды щелкните файл Chapter6.cmd.
Занятие 1. Основные понятия
Занятие 2. Права доступа и разрешения NTFS
Занятие 3. Стратегия назначения разрешений NTFS
Занятие 4. Присвоение разрешений NTFS
Занятие 5. Смена владельца файлов и папок
Занятие 6. Копирование и перемещение файлов и папок
Занятие 7. Устранение проблем, связанных с разрешениями
Рекомендации
Закрепление материала
Ниже приведены рекомендации по использованию
Рекомендации
Ниже приведены рекомендации по использованию разрешений NTFS.
Устанавливайте разрешения NTFS до того, как предоставить папку в совместное использование. Тем самым Вы не разрешите пользователям подключиться к папке и получить доступ к ее файлам до того, как она будет защищена.
Присваивайте разрешения группам, а не отдельным пользователям. Если пользователь является членом группы, имеющей доступ к определенным файлам, Вы можете запретить ему доступ к ним, просто исключив его из группы, а не изменяя разрешения для каждого из файлов.
Присваивайте группам Users (Пользователи) и Administrators (Администраторы) разрешение Read (Чтение) для всех исполняемых файлов программ.
Научите пользователей, работающих на одном компьютере, присваивать разрешения NTFS своим файлам и папкам.
Повреждения программных файлов обычно вызываются либо небрежностью пользователей, либо вирусами. Чтобы предотвратить подобные ситуации,. присвойте всем учетным записям пользователей, в том числе и учетной записи Administrator (Администратор), разрешение Read (Чтение) для программных файлов. Тем самым Вы предотвратите изменение и удаление программных файлов. Кроме того, назначьте группе Administrators (Администраторы) специальное разрешение Change Permissions (P) (Смена разрешений), чтобы члены этой группы могли присваивать себе менее жесткие разрешения (например, при необходимости обновления программных файлов).
Создавая домашние каталоги пользователей, применяйте переменную %Username% — это упрощает администрирование. В этом случае имя домашнего каталога совпадает с именем учетной записи пользователя, а пользователю автоматически присвоится разрешение NTFS Full Control (Полный контроль) для его домашнего каталога.
Присваивайте группе Creator Owner (Создатель/владелец) разрешение Full Control (Полный контроль) для папок, в которых содержатся данные нескольких пользователей. Это предоставит пользователям полный доступ только к созданным ими папкам и файлам.
Используйте длинные информативные имена только для тех ресурсов, которые должны быть доступны локально. Если папка когда-нибудь может быть предоставлена в совместное использование, выбирайте для нее и ее файлов имена, которые будут доступны для всех клиентов.
Примечание. Если Вы хотите удалить учетные записи, созданные Вами в начале этой главы, зарегистрируйтесь по учетной записи Administrator (Администратор) и дважды щелкните файл DeleteChapter6.cmd в папке Cleanup прилагаемого к курсу компакт-диска.
Перемещение папки или файла
При перемещении в пределах одного тома NTFS папки и файлы сохраняют свои оригинальные разрешения и владельцев. Однако если их перемещают на другой том NTFS, то они наследуют разрешения папки-адресата, а новым владельцем, как и при копировании, становится пользователь, переместивший папку или файл.
Ниже изображено, как Файл А сохраняет разрешение Read (Чтение), так как он перемещается в пределах одного тома. Перемещает файл пользователь User6, но владельцем перемещенного файла остается пользователь User5.
Планирование разрешений для домашних каталогов пользователей
Храните домашние каталоги пользователей централизованно (на томе NTFS сервера сети), отдельно от томов операционной системы и программных папок. Это упростит администрирование и резервное копирование данных.
Пользуйтесь переменной %Username% для автоматического присвоения домашнему каталогу имени учетной записи пользователя, а соответствующему пользователю — разрешения NTFS Full Control (Полный контроль).
Планирование разрешений для общих папок приложений
Снимите разрешение Full Control (Полный контроль), установленное по умолчанию для группы Everyone (Все), и присвойте его группе Administrators (Администраторы).
Присвойте группам, ответственным за модернизацию и обслуживание программного обеспечения, разрешение Full Control (Полный контроль) на доступ к соответствующим папкам.
Если сетевые программы расположены в общих папках, присвойте группе Users (Пользователи) разрешение Read (Чтение).
Планирование разрешений для общих папок данных
Снимите установленное по умолчанию для группы Everyone (Все) разрешение Full Control (Полный контроль) и присвойте его группе Administrators (Администраторы).
Присвойте группе Users (Пользователи) разрешение Add & Read (Чтение и запись), а группе Creator Owner (Создатель/владелец) — разрешение Full Control (Полный контроль). Тем самым пользователи, регистрирующиеся локально, смогут удалять и модифицировать только созданные ими папки и файлы.
Применение разрешений NTFS
Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и права доступа к общим ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.
Применение разрешений NTFS для папок сходно с применением прав доступа к общим ресурсам.
Как и права доступа к общим ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, членом которых он является. Единственное исключение — разрешение No Access (Нет доступа): оно отменяет все остальные разрешения.
В отличие от прав доступа к общим ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в данной папке, могут иметь другие разрешения, нежели она сама.
Разрешения NTFS для файла превалируют над разрешениями для папки, в которой он содержится. Например, если пользователь имеет разрешения Read (Чтение) для папки и Write (Запись) для вложенного в нее файла, то он сможет записывать данные в файл, но не сможет создать новый файл в папке.
*То есть среди составляющих его индивидуальных разрешении отсутствуют Change Permissions (P) и Take Ownership (О)
копирования и перемещения папок и файлов
Ниже изображена следующая ситуация. Файл А находится в папке C:\Users\Mary. Группа Users (Пользователи) имеет следующие разрешения NTFS для папок, расположенных на дисках С и D:
разрешение Read (Чтение) для папки C:\Users\Mary и содержащихся в ней файлов;
разрешение Change (Изменение) для папки C:\Public;
разрешение Full Control (Полный контроль) для папки D:\Data.
Какие разрешения будет иметь группа Users (Пользователи) для файла Файл А после его копирования в папку C:\Public?
Какие разрешения будет иметь группа Users (Пользователи) для файла Файл А после его перемещения в папку C:\Public?
Какие разрешения будет иметь группа Users (Пользователи) для файла Файл А после его перемещения в папку D:\Data?
> Создание папки пользователем
В этом упражнении Вы создадите папку и ознакомитесь с ее исходными свойствами. Эта папка будет использована в следующих упражнениях, посвященных изменениям, происходящим с разрешениями и владельцами данной папки при ее копировании и перемещении.
Зарегистрируйтесь в системе по учетной записи SalesMgr6.
В Windows NT Explorer (Проводник) откройте папку LabFiles.
В папке LabFiles создайте папку с именем Temp1.
Щелкните правой кнопкой мыши эту папку, выберите из появившегося меню пункт Properties (Свойства) и щелкните кнопку Permissions (Разрешения). Какие разрешения установлены для этой папки?
ответ
Щелкните кнопку Cancel (Отмена).
Щелкните кнопку Ownership (Владелец). Кто является владельцем папки? Почему?
ответ
Щелкните кнопку Close (Закрыть), а затем — кнопку ОК.
Выйдите из системы.
> Создание папки администратором
Зарегистрируйтесь в системе по учетной записи Administrator(Администратор).
Запустите Windows NT Explorer (Проводник) и откройте папку LabFiles.
В папке LabFiles создайте следующие папки:
Теmр2;
ТеmрЗ.
Ознакомьтесь со свойствами обеих папок.
Какие разрешения установлены для только что созданных Вами папок?
ответ
Кто является владельцем папок Тетр2 и ТетрЗ?
ответ
Удалите группу Everyone (Все) из списков разрешений обеих папок, а затем установите для этих папок разрешения, указанные в таблице.
в пределах одного тома NTFS
Папка
> Копирование папки в пределах одного тома NTFS
Скопируйте папку Тетр2 в папку Temp1 (для этого нажмите клавишу CTRL и, удерживая ее, перетащите папку Тетр2 в папку Temp1).
Выделите папку LabFiles\Templ\Temp2 и сравните ее разрешения и владельца с аналогичными параметрами папки LabFiles\Temp2, созданной администратором. Затем сравните разрешения папки LabFiIes\Templ\Temp2 с разрешениями папки LabFiles\Templ, созданной пользователем SalesMgr6.
Кто является владельцем папки LabFiles\Templ\Temp2 и каковы разрешения для нее? Почему?
ответ
Выйдите из Windows NT.
> Перемещение папки в пределах одного тома NTFS
Зарегистрируйтесь в системе по учетной записи SalesMgr6 и запустите Windows NT Explorer (Проводник).
Раскройте папку LabFiles.
Переместите папку LabFiles\Temp3 в папку LabFiles\Templ (для этого перетащите мышью папку ТеmрЗ в папку Temp1).
Кто является владельцем папки LabFiles\Templ\Temp3 и каковы разрешения для нее? Почему?
ответ
Пример разрешений NTFS для файла
Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет разрешения Read (Чтение) и Write (Запись) для файла Файл1 папки «Данные». Кроме того, он является членом группы Отдел продаж, которая имеет другое разрешение для папки «Данные» — Read (Чтение). В результате Пользователь1 получит разрешение на чтение папки «Данные», а также на чтение и запись в файл Файл1, так как разрешения NTFS для файлов имеют преимущество над разрешениями для папок.
Пример разрешений NTFS для папки
Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет разрешение Write (Запись) на папку «Данные». Кроме того, он является членом группы Everyone (Все), которой присвоено разрешение Read (Чтение). Следовательно, фактическим разрешением пользователя Пользователь1 будет комбинация разрешений Read и Write, но только для папки «Данные».
В отличие от прав доступа к общим ресурсам, разрешения NTFS не предоставляют доступ к вложенным папкам папки «Данные».
Примеры комбинаций разрешений NTFS и прав доступа
Изучите рисунки, приведенные ниже, и определите фактические разрешения для пользователей Пользователь1 и Пользователь1.
В примере А папка «Пользователи» предоставлена в совместное использование. Группе Users (Пользователи) присвоено право доступа Full Control (Полный контроль) к этой папке, однако пользователи Пользователь1, Пользователь2 и ПользовательЗ имеют разрешения NTFS Full Control только для своих домашних каталогов. Все три пользователя являются членами группы Users.
Каким будет фактическое разрешение пользователя Пользователь1 на его домашний каталог («Пользователь1») при доступе с помощью подключения к общей папке «Пользователи»? Каково фактическое разрешение на ту же папку для пользователя Пользователь2?
ответ
В примере Б папка «Данные» предоставлена в совместное использование. Группе Отдел продаж присвоено право доступа Read (Чтение) к этой папке, а также назначено разрешение NTFS Full Control (Полный контроль) на доступ к папке «Отдел продаж».
Какими будут фактические разрешения пользователей группы Отдел продаж на доступ к папке «Отдел продаж», осуществляемый при подключении к общей папке «Данные»?
ответ
Пользователь не может получить доступ
Пользователь не может получить доступ к ресурсу.
Пользователь может удалить файл, даже
Пользователь может удалить файл, даже если ему присвоено разрешение No Access (Нет доступа) для этого файла.
В файловых системах UNIX пользователи, имеющие разрешения на запись для папок, могут удалять из них файлы. Так как Windows NT обеспечивает совместимость со стандартом POS1X (и, в частности, работу с файловыми системами UNIX), разрешение NTFS Full Control (Полный контроль) для папки позволяет пользователю удалить файл из этой папки даже при разрешении No Access (Нет доступа) для этого файла.
в группу, чтобы разрешить ему
Вы добавили пользователя в группу, чтобы разрешить ему использовать ресурсы, но пользователь по-прежнему не может получить доступ к ресурсу.
Разрешения NTFS на доступ к папкам и файлам
Чтобы изменить разрешения NTFS, в Windows NT Explorer (Проводник) щелкните файл или папку правой кнопкой мыши, выберите из появившегося меню пункт Properties (Свойства), щелкните вкладку Security (Безопасность) и нажмите кноп ку Permissions (Разрешения).
Если Вы измените разрешения для файла, появится диалоговое окно File Permissions (Разрешения: Файл), если же для папки, будет открыто диалоговое окно Directory Permissions (Разрешения: Папка).
В таблице описаны параметры этих диалоговых окон.
Параметр
Выполняемая функция
Replace Permissions on Subdirectories (Сменить разрешения для подкаталогов)
Флажок доступен только для папок и по умолчанию — сброшен. Если же он установлен, существующие разрешения будут изменены для всех папок, вложенных в данную папку. Этот параметр не влияет на разрешения для вложенных файлов
Replace Permissions on Existing Files (Сменить разрешения для существующих файлов)
Флажок доступен только для папок и по умолчанию — установлен. В этом случае существующие разрешения будут изменены для всех файлов, содержащихся в данной папке. При этом разрешения для файлов, содержащихся во вложенных папках, изменены не будут
Name (Имя)
В этом поле перечислены разрешения на доступ к данному файлу или папке, присвоенные пользователю или группе. В первой паре скобок указаны разрешения для папки, а во второй — разрешения для всех новых файлов, которые будут созданы в этой папке
Type of Access (Тип доступа)
В этом поле перечислены разрешения на доступ к файлу или папке, присвоенные текущему пользователю (группе) в области Name (Имя). Здесь можно изменить разрешения
> Присвоение группе Users разрешений на доступ к папке
В этом упражнении Вы присвоите группе Users (Пользователи) разрешение Add & Read (Чтение и запись) и отмените разрешения, присвоенные по умолчанию группе Everyone (Все).
Зарегистрируйтесь в системе по учетной записи Administrator (Администра-тор) и запустите Windows NT Explorer (Проводник).
Раскройте папку LabFiles, щелкните правой кнопкой мыши папку Public и выберите в появившемся меню пункт Properties (Свойства).
Щелкните вкладку Security (Безопасность), а затем — кнопку Permissions (Разрешения). Появится диалоговое окно Directory Permissions (Разрешения: Каталог). Обратите внимание, что по умолчанию группе Everyone (Все) присвоено разрешение Full Control (Полный контроль).
В диалоговом окне Directory Permissions (Разрешения: Каталог) щелкните кнопку Add (Добавить). Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
Убедитесь, что в поле List Names From (Список имен с) указано имя Вашего домена.
В области Names (Имена) щелкните строку Users (Пользователи), а затем — кнопку Add (Добавить), В области Add Names (Добавить имена) появится группа Users (Пользователи).
В списке Type of Access (Тип доступа) выберите строку Add & Read (Чтение и запись) и щелкните кнопку ОК. Группа Users (Пользователи) появится в диалоговом окне Directory Permissions (Разрешения: Каталог). Обратите внимание, что рядом с текстом Add & Read (Чтение и запись) появилось обозначение (RWX)(RX). В первой паре скобок указаны разрешения для папки, во второй — разрешения для ее файлов.
В области Name (Имя) щелкните строку Everyone (Все) (если она еще не выбрана), а затем — кнопку Remove (Удалить). Группа Everyone (Все) исчезнет из списка.
> Присвоение группе Creator Owner разрешений на доступ к папке.
В этом упражнении Вы присвоите группе Creator Owner (Создатель/владелец) разрешение Full Control (Полный контроль), чтобы пользователи могли изменять свои файлы.
В диалоговом окне Directory Permissions (Разрешения: Каталог) щелкните кнопку Add (Добавить). Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
Убедитесь, что в поле List Names From (Список имен с) указано имя Вашего домена.
В области Names (Имена) щелкните строку Creator Owner (Создатель/владелец), а затем — кнопку Add (Добавить).
В списке Type of Access (Тип доступа) выберите строку Full Control (Полный контроль) и щелкните кнопку ОК.
Группа Creator Owner (Создатель/владелец) с разрешением Full Control (Полный контроль) появится в диалоговом окне Directory Permissions (Разрешения: Каталог).
> Присвоение группе Administrators разрешений на доступ к папке
В диалоговом окне Directory Permissions (Разрешения: Каталог) щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
Убедитесь, что в поле List Names From (Список имен с) указано имя Вашего домена.
В области Names (Имена) щелкните строку Administrators (Администраторы), а затем — кнопку Add (Добавить).
В списке Type of Access (Тип доступа) выберите строку Full Control (Полный контроль) и щелкните кнопку ОК.
Обратите внимание: в диалоговом окне Directory Permissions (Разрешения: Каталог) указано, что группы Administrators (Администраторы) и Creator Owner (Создатель/владелец) имеют разрешение Full Control (Полный контроль), а группа Users (Пользователи) — разрешение Add & Read (Чтение и запись).
Установите флажок Replace Permissions on Subdirectories (Сменить разрешения для подкаталогов), чтобы распространить новые разрешения на все папки данной ступени иерархии.
Убедитесь, что флажок Replace Permissions on Existing Files (Сменить разрешения для существующих файлов) установлен, и щелкните кнопку ОК.
Появится следующее сообщение:
Do you want to replace the security information on all existing subdirectories within drive:\LabFiles\Public?
(Заменить параметры безопасности для всех существующих подкаталогов в диск:\LabFiles\Public?)
Щелкните кнопку Yes (Да), чтобы вернуться в диалоговое окно Public Properties (Свойства: Public). Щелкните кнопку ОК, чтобы изменения вступили в силу.
Средствами программы Notepad (Блокнот) создайте в папке Lab Files\ Public файл с именем Chapter6.txt.
> Проверка действия разрешений NTFS для папки Public
В этом упражнении Вы попытаетесь открыть, изменить и удалить файлы, созданные двумя различными пользователями.
Зарегистрируйтесь в системе по учетной записи CustomerService6 (Сотрудник службы поддержки) и запустите программу Windows NT Explorer (Проводник).
Раскройте папку LabFiles\Public.
Попытайтесь создать файл в папке Public. Удалось ли Вам это сделать? Почему?
ответ
Попытайтесь выполнить перечисленные ниже действия с только что созданным файлом. Отметьте операции, завершившиеся удачно.
Открытие файла
Изменение файла
Удаление файла
ответ
Попытайтесь выполнить перечисленные ниже действия с файлом Chapter6.txt, созданным администратором. Отметьте операции, завершившиеся удачно.
Открытие файла
Изменение файла
Удаление файла
ответ
Закройте все программы и выйдите из системы.
> Присвоение разрешении NTFS
В этом упражнении Вы присвоите разрешения NTFS на основании примерного плана, приведенного в «Шаблоне планирования разрешений NTFS» приложения «Шаблоны планирования».
В приложении «Шаблоны планирования» найдите «Шаблон планирования разрешений NTFS».
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите программу Windows NT Explorer (Проводник) и откройте папку Lab Files.
В папке LabFiles щелкните правой кнопкой мыши папку или файл (из перечисленных в «Шаблоне планирования разрешений NTFS») и выберите в появившемся меню пункт Properties (Свойства).
Появится диалоговое окно имя_папки Properties (Свойства: имя_папки) или имя_файла Properties (Свойства: имя_файла).
В диалоговом окне имя_папки Properties (Свойства: имя_папки) или имя_файла Properties (Свойства: имя_файла} щелкните вкладку Security (Безопасность), а затем — кнопку Permissions (Разрешения).
Появится диалоговое окно File Permissions (Разрешения: Файл) или Directory Permissions (Разрешения: Каталог).
Если Вы выбрали папку, настройте следующие параметры; в противном случае — пропустите этот пункт.
Установите флажок Replace Permissions on Subdirectories (Сменить разрешения для подкаталогов).
Убедитесь, что установлен флажок Replace Permissions on Existing Files (Сменить разрешения для существующих файлов).
Щелкните кнопку Add (Добавить), чтобы присвоить пользователям или локальным группам разрешения на папку или файл.
Появится диалоговое окно Add Users and Groups (Добавление пользователей и групп).
Щелкните кнопку Show Users (Пользователи).
В области Names (Имена) выберите пользователя или локальную группу (из перечисленных в «Шаблоне планирования разрешений NTFS») и щелкните кнопку Add (Добавить).
Имя пользователя или локальной группы появится в области Add Names (Добавить имена).
В списке Туре of Access (Тип доступа) выберите соответствующие разрешения.
Присвойте пользователям и группам соответствующие разрешения для всех файлов и папок, перечисленных в «Шаблоне планирования разрешений NTFS». Папку Public можно пропустить, поскольку разрешения для нее были установлены в предыдущем упражнении.
Закройте Windows NT Explorer и выйдите из системы.
> Проверка действия разрешений для папки при подключении пользователя по сети
В этом упражнении Вы смоделируете подключение по сети — подключитесь к собственному компьютеру, чтобы проверить действие разрешений для папки Manuals (Руководства).
Зарегистрируйтесь в системе по учетной записи User6.
Щелкните кнопку Start (Пуск), выберите пункт Run (Выполнить), затем в поле Open (Открыть) введите строку \\имя_компьютера\Риbliс (вместо имя_ компьютера подставьте имя своего компьютера) и щелкните кнопку ОК.
Появится окно Public on имя_компьютера.
Раскройте папку Manuals и попытайтесь создать в ней файл. Удалось ли Вам это сделать? Почему?
ответ
Закройте Windows NT Explorer и выйдите из системы.
> Теперь проделайте то же самое, зарегистрировавшись по другой учетной записи.
Зарегистрируйтесь в системе по учетной записи CustomerService6.
Щелкните кнопку Start (Пуск), выберите пункт Run (Выполнить), затем в поле Open (Открыть) введите строку \\имя_компьютера\Publiс (вместо имя_ компьютера подставьте имя своего компьютера) и щелкните кнопку ОК.
Запустите Windows NT Explorer (Проводник) и раскройте папку LabFiles\ Public\Manuals.
Попытайтесь создать файл в этой папке. Удалось ли Вам это сделать? Почему?
Закройте Windows NT Explorer и выйдите из системы.
Разрешения по умолчанию
По умолчанию присваиваются следующие разрешения NTFS.
При форматировании тома и установке файловой системы NTFS право Full Control (Полный контроль) автоматически присваивается группе Everyone (Все); это обеспечивает полный доступ к тому всем пользователям, имеющим привилегию Logon locally (Локальная регистрация).
При создании на томе NTFS новой папки или файла наследуются разрешения папки, в которой объект был создан.
Осторожно! При установке Windows NT на том NTFS некоторым системным папкам автоматически присваиваются определенные разрешения NTFS. Не изменяйте разрешения, присвоенные системным папкам и файлам. Полный список этих разрешений Вы найдете в документе Microsoft Windows NT Server Concepts and Planning.
Проверьте разрешения, присвоенные учетной записи
Проверьте разрешения, присвоенные учетной записи пользователя и группам, членом которых он является. Если пользователю или какой-нибудь из групп, в которых он состоит, присвоено разрешение No Access (Нет доступа), пользователь не получит доступ к ресурсу.
Если файл был скопирован в пределах одного тома NTFS либо скопирован (перемещен) на другой том NTFS, то разрешения для него могут измениться изза наследования разрешений папки-источника.
Лишите пользователя стандартного разрешения NTFS
Лишите пользователя стандартного разрешения NTFS Full Control (Полный контроль) для этой папки и присвойте ему все индивидуальные разрешения для этой папки. Тем самым Вы предоставите пользователю все возможности разрешения Full Control (Полный контроль), но запретите ему удаление тех файлов папки, для которых он имеет разрешение No Access (Нет доступа).
Примечание. Эта ситуация — единственное исключение из правила «разрешения для файлов имеют приоритет, над разрешениями для папок».
Попросите пользователя выйти из системы,
Попросите пользователя выйти из системы, а затем снова зарегистрироваться, либо попросите его полностью отключиться от удаленного компьютера и попытаться снова подключиться к нему. В результате этих действий будет обновлен список групп, в состав которых входит пользователь.
При каждой регистрации пользователя в системе и его авторизации компьютером под управлением Windows NT для пользователя создается так называемый дескриптор безопасности (access token). Он содержит информацию обо всех группах, в которые входит пользователь. Для обновления дескриптора (например, что- бы учесть информацию о включении пользователя в новую группу), пользователь должен либо выйти из системы и зарегистрироваться снова, либо отключиться от удаленного компьютера и затем снова подключиться к нему.
> Выявление неправильных разрешений
Предположим, Вы — администратор сервера, на котором существует иерархия папок ппепктяппенняя ня пигунке
Установлены следующие права доступа к папкам «Данные» и «Отчеты».
Папка
Managers (Менеджеры)
Read (Чтение)
Для папок установлены следующие разрешения NTFS.
Папка
Пользователь User1 — член группы Managers (Менеджеры) — сообщил Вам, что не может получить надлежащий доступ к папке «Отчеты». Подключившись к общей папке «Данные», он вправе лишь просматривать папки «менеджеры» и «Отчеты», но не создавать новые файлы или изменять файлы, владельцем которых он является. В чем заключается проблема и как ее устранить?
ответ
Разрешения NTFS обеспечивают надежную защиту
Разрешения NTFS обеспечивают надежную защиту папок и файлов, расположенных на томах файловой системы Windows NT (NTFS).
Разрешения NTFS для папок и файлов распространяются как на пользователей, непосредственно работающих на компьютере, так и на обращающихся к защищенным объектам компьютера по сети.
Как и в случае с правами доступа к общим ресурсам, пользователь может получить разрешение NTFS либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.
Подобно правам доступа к общим ресурсам, фактические разрешения NTFS для пользователя представляют собой комбинацию разрешений пользователя и групп, в состав которых он входит. Единственное исключение из этого правила — разрешение No Access (Нет доступа), которое отменяет все остальные разрешения.
В отличие от прав доступа к общим ресурсам, разрешения NTFS могут быть разными для папки и файлов (папок), вложенных в нее.
Разрешения NTFS для файла имеют преимущество над разрешениями для папки, в которой он содержится.
Дополнительную информацию о ...
Наивысшая степень защиты достигается при
Наивысшая степень защиты достигается при комбинировании разрешений NTFS и прав доступа.
Простейший способ сочетания разрешений NTFS и прав доступа таков: сохраните право доступа по умолчанию Full Control (Полный контроль) группы Everyone (Все) и присвойте разрешения NTFS для папок и файлов общей папки отдельным учетным записям групп и пользователей.
При сочетании разрешений NTFS и прав доступа фактические права доступа определяет самое строгое ограничение.
Дополнительную информацию о ...
к назначению разрешений NTFS папкам
Прежде чем приступить к назначению разрешений NTFS папкам и файлам, решите, какие разрешения необходимы и кому. Для общих папок приложений присвойте группе Administrators и группам, ответственным за модернизацию и обслуживание программного обеспечения, разрешение Full Control (Полный контроль). Присвойте группе Users (Пользователи) разрешение Read (Чтение).
Для общих папок данных присвойте группе Administrators разрешение Full Control (Полный контроль), группе Users (Пользователи) — разрешение Add & Read (Чтение и запись), а группе Creator Owner (Создатель/владелец) — разрешение Full Control (Полный контроль). Тем самым пользователи, регистрирующиеся локально, смогут удалять и модифицировать только созданные ими папки и файлы.
Пользуйтесь переменной %Username% для автоматического присвоения домашнему каталогу имени учетной записи пользователя, а соответствующему пользователю — разрешения NTFS Full Control (Полный контроль).
Дополнительную информацию о ...
(Создатель/владелец).
Чтобы присваивать разрешения NTFS, нужно
Чтобы присваивать разрешения NTFS, нужно быть владельцем папки (файла) или иметь одно из следующих разрешений: стандартное Full Control (Полный контроль) или специальное, включающее индивидуальное разрешение Change Permissions (Смена разрешений) или Take Ownership (Смена владельца).
При форматировании тома файловой системы NTFS группе Everyone (Все) автоматически присваивается разрешение Full Control (Полный контроль).
Специальные разрешения используются, когда нужно создать нестандартную комбинацию индивидуальных разрешений.
Дополнительную информацию о ...
Первоначальным владельцем папки или файла
Первоначальным владельцем папки или файла является их создатель.
Члены группы Administrators (Администраторы) по умолчанию всегда могут объявлять себя владельцами папки или файла.
Владелец может позволить другому пользователю или группе объявить себя владельцем папки или файла, присвоив им стандартное разрешение Full Control (Полный контроль) или специальные разрешения Change Permissions (Смена разрешений) или Take Ownership (Смена владельца).
Дополнительную информацию о ...
Папка или файл при копировании
Папка или файл при копировании из одной папки в другую наследуют разрешения папки-адресата. Владельцем скопированного файла или папки становится пользователь, выполнивший копирование.
При перемещении папки или файла в пределах одного тома NTFS первоначальные разрешения и владельцы не изменяются. Если же папка или файл перемещаются на другой том NTFS, действуют те же правила, что и при копировании.
Чтобы скопировать папку или файл, пользователь должен иметь разрешение Add (Добавление) для папки-адресата. Чтобы переместить папку или файл, необходимы разрешение Add (Добавление) для папки-адресата и разрешение Delete (Удаление) для папки-источника.
Если пользователь не может получить
Если пользователь не может получить доступ к ресурсу, проверьте разрешения, присвоенные учетной записи пользователя и групп, членом которых он является.
Разрешение NTFS Full Control (Полный контроль) для папки позволяет пользователю удалить файл из этой папки, даже если ему присвоено разрешение No Access (Нет доступа) для этого файла. Чтобы избежать подобной ситуации, лишите пользователей стандартного разрешения Full Control (Полный контроль) для этой папки и вместо этого присвойте им все индивидуальные разрешения на доступ к данной папке.
Если пользователь не может получить доступ к ресурсу после того, как Вы добавили его в группу, имеющую разрешение на использование этого ресурса, попросите пользователя выйти из системы и зарегистрироваться снова или отключиться от ресурса и затем подключиться к нему.
Дополнительную информацию о ...
Шаблон планирования разрешений NTFS
Папка или файл | Локальная группа | Члены | Разрешения NTFS |
Создание домашних каталогов пользователей на томе NTFS
Основное преимущество хранения домашних каталогов пользователей на томе NTFS — возможность разместить их на одной ступени иерархии и разрешить каждому пользователю доступ только к его домашнему каталогу, без предоставления каждого каталога в совместное использование. Чтобы создать домашние каталоги на томе NTFS, выполните следующие действия.
Создайте папку с именем Users (Пользователи) на томе NTFS, где нет ни операционной системы, ни папок приложений. Это обеспечит сохранность домашних каталогов в случае повторного форматирования системного тома.
Предоставьте папку Users в совместное пользование: это обеспечит пользователям централизованное хранение файлов, а администраторам — централизованное администрирование.
Снимите установленное по умолчанию для группы Everyone (Все) разрешение Full Control (Полный контроль) и присвойте его группе Users (Пользователи).
Используйте переменную % Usemame% для автоматического присвоения домашним каталогам имен учетных записей пользователей, а учетным записям — разрешения NTFS Full Control (Полный контроль) на доступ к домашнему каталогу (на томах FAT доступ к домашним каталогам можно регулировать только средствами прав доступа к общим ресурсам).
В окне утилиты User Manager for Domains (Диспетчер пользователей доменов) создайте новую или дважды щелкните существующую учетную запись.
В диалоговом окне New User (Добавить пользователя) или User Prop erties (Профиль пользователя) щелкните кнопку Profile (Профиль). В поле Connect To группы Home Directory (Домашний каталог) введите строку \\имя_cервеpa\Users\%Username%.
Совет! Приучите пользователей хранить личные и служебные файлы в домашних каталогах. Если домашние каталоги, расположенные на сетевом сервере, перемещают на другой сервер, то для возобновления доступа к данным потребуется лишь изменить путь к основной папке.
> Планирование разрешений NTFS на доступ к файлам и папкам
Предположим, Вам — администратору сети компании «Разноимпорт» — требуется защитить дисковые ресурсы Квебекского филиала. В этом упражнении Вы спланируете разрешения NTFS для сервера, в обращении к которому нуждаются все пользователи. Ваша задача — создать план, который обеспечит пользователям доступ к необходимым ресурсам сети и одновременно защитит их в соответствии с потребностями компании. Вы обезопасите папки иерархии с помощью разрешений NTFS (в упражнении предполагается, что на томе установлена файловая система NTFS). Прежде всего Вам нужно выяснить:
стоит ли создавать локальную группу для доступа к каждому ресурсу или достаточно воспользоваться встроенной локальной группой;
какие разрешения NTFS потребуются пользователям для доступа к соответствующим папкам и файлам.
ответ
Запишите свои решения в «Шаблон планирования разрешений NTFS», приведенный в конце этого занятия. Закончив упражнение, сравните Ваш шаблон с примером из приложения «Шаблоны планирования». Имейте в виду: пример в приложении содержит всего лишь один из возможных наборов ответов — Вы можете спланировать разрешения по-другому.
Придерживайтесь следующих правил заполнения «Шаблона планирования разрешений NTFS».
Укажите папку или файл, на которые, нужно наложить разрешения NTFS. Запишите соответствующее имя в графу «Папка или файл».
Укажите для каждого ресурса локальную группу в графе «Локальная группа». Для некоторых папок Вы можете воспользоваться перечисленными ниже встроенными группами.
(Создатель/владелец)
В графе «Члены» перечислите учетные записи групп, которым требуется доступ к папкам (они будут членами локальных групп). В приведенной ниже таблице перечислены учетные записи групп Квебекского филиала.
Для членов каждой локальной группы в графе «Разрешения NTFS» укажите соответствующие стандартные разрешения NTFS (например. List, Read, Add, Add & Read, Change, Full Control или No Access).
Планировать разрешения Вам поможет приведенная ниже иллюстрация и перечень дополнительных требований. На рисунке показаны иерархии папок сервера Квебекского филиала. Обратите внимание, что папки «Общедоступные данные» и «Приложения» предоставлены в общее пользование. Группа Everyone (Все) имеет право доступа Full Control (Полный контроль) к этим папкам.
Принимая решения, учитывайте перечисленные ниже требования. Администраторы должны управлять всеми папками и файлами.
Все пользователи должны иметь право запускать программы, находящиеся в папке «Редакторы текстов», но не изменять файлы этой папки.
Члены глобальных групп Accountants6, Managers6 и Executives6 (и только они) должны иметь право запускать приложения из папок «Электронные таблицы» и «СУБД», но не изменять файлы этих папок.
Всем пользователям необходимо иметь возможность копировать свои файлы в папку «Общедоступные данные» и изменять их по мере необходимости, а также читать файлы других пользователей в этой папке.
Члены глобальной группы Managers6 должны иметь возможность добавлять новые файлы в папку «Библиотека».
Все пользователи должны иметь возможность открывать и просматривать файлы в папках «Библиотека» и «Руководства».
Пользователь User6 должен обновлять файл Archive.txt при каждом добавлении нового файла в папку «Библиотека».
Пользователь User6 должен иметь возможность вносить изменения в файлы папки «Руководства», в том числе присваивать разрешения на доступ к файлам другим пользователям и группам.
Специальные разрешения
В большинстве случаев для защиты папок и файлов вполне достаточно стандартных разрешений. Однако иногда приходится применять специальные разрешения для присвоения учетным записям групп и пользователей нужных комбинаций индивидуальных разрешений*. Ниже приведены примеры таких ситуаций.
Если требуется предоставить пользователю право манипулировать разрешениями для файлов, владельцем которых он не является, присвойте ему разрешение Change Permissions (P) (Смена разрешений).
Чтобы защитить программные файлы от случайного удаления или от инфицирования вирусами, присвойте всем учетным записям пользователей, в том числе и административным, разрешение Read (R) (Чтение) для исполняемых файлов.
Чтобы разрешить администраторам модифицировать исполняемые файлы присвойте группе Administrators (Администраторы) разрешение Change Permissions (P) (Смена разрешений). Оно позволит администраторам изменять при необходимости разрешения для файлов, доступных по умолчанию только для чтения.
Примечание Специальные разрешения одинаковы для папок и файлов. * В частности, специальными считаются все индивидуальные разрешения. — Прим. ред.
> Присвоение стандартных разрешений для папки Games
В этом упражнении Вы присвоите локальным группам Administrators (Администраторы) и Users (Пользователи) стандартное разрешение Read (Чтение), чтобы подготовиться к следующему упражнению.
Зарегистрируйтесь в системе по учетной записи Administrator (Администратор).
Запустите Windows NT Explorer (Проводник) и раскройте папку LabFiles\Apps.
Щелкните правой кнопкой мыши папку Games и в появившемся меню выберите пункт Properties (Свойства).
В диалоговом окне Games Properties (Свойства: Games) щелкните вкладку Security (Безопасность), а затем — кнопку Permissions (Разрешения).
Появится диалоговое окно Directory Permissions (Разрешения: Каталог).
Выберите группу Everyone (Все), щелкните кнопку Remove (Удалить), а затем — кнопку Add (Добавить).
Убедитесь, что в поле List Names From (Список имен с) указано имя Вашего домена.
В области Names (Имена) щелкните строку Administrators (Администраторы) а затем — кнопку Add (Добавить).
В области Names (Имена) щелкните строку Users (Пользователи) а затем - кнопку Add (Добавить).
В списке Type of Access (Тип доступа) выберите строку Read (Чтение) и щелкните кнопку ОК.
В диалоговом окне Directory Permissions (Разрешения: Каталог) напротив названий групп Administrators (Администраторы) и Users (Пользователи) будет указано присвоенное им разрешение Read (RX)(RX) [Чтение (RX)(RX)]. Это объясняется тем, что стандартное разрешение /Рейс/представляет собой комбинацию индивидуальных разрешений Read (Чтение) и Execute (Выполнение).
> Присвоение специальных разрешений файлам
В этом упражнении Вы присвоите группе Administrators (Администраторы) специальное разрешение Change Permissions (Смена разрешений), чтобы позволить ее членам изменять разрешения для файлов папки Games.
В диалоговом окне Directory Permissions (Разрешения: Каталог) выберите группу Administrators (Администраторы), в списке Type of Access (Тип доступа) строку Special File Access (Специальный доступ к файлам).
Появится диалоговое окно Special File Access (Специальный доступ к файлам).
Обратите внимание, что разрешения Read (Чтение) и Execute (Выполнение) выбраны (из этих индивидуальных разрешений состоит стандартное разрешение Read).
Выберите разрешение Change Permissions (Р) [Смена разрешений (Р)] и щелкните кнопку ОК.
Обратите внимание, что рядом с названием группы Administrators (Администраторы) теперь указано разрешение Special Access (RX)(RXP) [Специальный доступ (RX)(RXP)]. В первых скобках — разрешения для папки, во вторых- для файлов этой папки.
Убедитесь, что установлен флажок Replace Permissions on Existing Files (Сменить разрешения для существующих файлов) — это позволит распространить выбранное разрешение на все файлы данной папки.
Два раза щелкните кнопку ОК, чтобы вернуться в Windows NT Explorer.
> Проверка действия специальных разрешений для файлов
В Windows NT Explorer (Проводник) раскройте папку LabFiles\Apps\Games.
Попытайтесь запустить файл Kolumz.exe. Удалось ли Вам это сделать? Почему?
Попытайтесь удалить файл Kolumz.exe. Удалось ли Вам это сделать? Почему?
Попытайтесь присвоить группе Administrators (Администраторы) разрешение Full Control (Полный контроль) для файла Kolumz.exe. Удалось ли Вам это сделать? Почему?
Стандартные разрешения
В большинстве случаев Вы будете пользоваться стандартными разрешениями NTFS. Они представляют собой комбинации индивидуальных разрешений. Одновременное назначение нескольких индивидуальных разрешений для файла или папки значительно упрощает администрирование.
После названия стандартного разрешения в скобках приводятся аббревиатуры составляющих его индивидуальных разрешений. Например, стандартное разрешение Read (Чтение) для файла эквивалентно двум, индивидуальным, разрешениям — Read (Чтение) и Execute (Выполнение) — и в скобках будут стоять буквы RX.
Стандартные разрешения для файлов
В таблице перечислены стандартные разрешения для файлов и указаны соответствующие им индивидуальные разрешения NTFS.
Стандартное разрешение
Индивидуальные разрешения
No Access (Нет доступа)
Нет
Read (Чтение)
RX
Change (Изменение)
RWXD
Full Control (Полный контроль)
Все
Примечание Разрешения Full Control (Полный контроль) и Change (Изменение) отличаются тем, что второе не позволяет изменять разрешения и владельца объекта*.
Стандартные разрешения для папок
В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.
Стандартное разрешение
Индивидуальные разрешения для папки
Индивидуальные разрешения для файлов данной папки
No Access (Нет доступа)
Нет
Нет
List (Просмотр)
RX
—
Read (Чтение)
RX
RX
Add (Добавление)
WX
—
Add & Read (Чтение и запись)
RWX
RX
Change (Изменение)
RWXD
RWXD
Full Control (Полный контроль)
Все
Все
Примечание Разрешение No Access (Нет доступа) запрещает любой доступ к файлу или папке, даже если пользователь является членом группы, которой дано разрешение на доступ. Прочерк в столбце «Индивидуальные разрешения для файлов» означает, что данное стандартное разрешение неприменимо к файлам.
Удаление файла пользователем, имеющим разрешение No Access
В этом упражнении Вы смоделируете ситуацию, описанную в разделе «Проблема 2»: пользователь имеет разрешение Full Control (Полный контроль) для папки и No Access (Нет доступа) для файла этой папки. Сначала присвойте эти разрешения.
> Создание папки с разрешением Full Control
Зарегистрируйтесь в системе по учетной записи Аdministrator и запустите Windows NT Explorer (Проводник).
В папке LabFiles создайте папку FullAccess.
Убедитесь, что группа Everyone (Все) имеет разрешение NTFS Full Control (Полный контроль) для папки LabFiles\FullAccess.
> Создание файла NoAccess.txt, имеющего разрешение No Access
В папке FullAccess создайте текстовый файл NoAccess.txt.
Присвойте группе Everyone (Все) разрешение No Access (Нет доступа) для файла NoAccess.txt.
Появится следующее сообщение:
You have denied access to drive:\LabFiles\FullAccess\NoAccess.txt. Nobody will be able to access drive:\LabFlles\FullAccess\NoAccess.txt and only the owner will be able to Change the permissions. Do you wish to continue?
(Доступ к диск:\LabFiles\FullAccess\NoAccess.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoAccess.txt сможет только владелец. Продолжить выполнение?) 3. Щелкните кнопки Yes (Да) и ОК, чтобы вернуться в Windows NT Explorer.
> Проверка действия разрешения Full Control для папки FullAccess
В папке Lab Files\ FullAccess дважды щелкните файл NoAccess.txt, чтобы открыть его. Удалось ли Вам его открыть? Почему?
ответ
Щелкните кнопку Start (Пуск), выберите в меню пункт Programs (Программы) и щелкните пункт Command Prompt (Командная строка).
Перейдите в папку диск:\LabFiles\FullAccess.
Удалите файл NoAccess.txt, набрав следующую команду:
Delete noaccess.txt
Удалось ли Вам это сделать? Почему?
ответ
Как предотвратить подобную ситуацию?
> Создание папки и присвоение ей специальных разрешений
В этом упражнении Вы присвоите группе Everyone (Все) специальные разрешения для папки FullAccess.
Переключитесь в Windows NT Explorer (Проводник), щелкните правой кнопкой мыши папку FullAccess и выберите из появившегося меню пункт Properties (Свойства).
Щелкните вкладку Security (Безопасность), затем щелкните кнопку Permissions (Разрешения).
Обратите внимание, что группа Everyone (Все) выбрана по умолчанию.
В списке Type of Access (Тип доступа) выберите строку Special Directory Access (Специальный доступ к каталогам).
Появится диалоговое окно Special Directory Access (Специальный доступ к каталогам).
Щелкните переключатель Other (Избранные разрешения), установите все флажки, соответствующие индивидуальным разрешениям, и щелкните кнопку ОК.
Щелкните кнопку ОК, чтобы вернуться в диалоговое окно FullAccess Properties (Свойства: FullAccess). Щелкните кнопку ОК еще раз, чтобы изменения вступили в силу.
Теперь группе Everyone (Все) присвоено специальное разрешение для папки FullAccess.
> Создание файла и установка для него разрешения No Access
В папке FullAccess создайте текстовый файл с именем NoDelete.txt.
Присвойте группе Everyone (Все) разрешение Wo Access (Нет доступа) для файла NoDelete.txt. Появится следующее сообщение:
You have denied access to drive:\LabFiles\FullAccess\NoDelete.txt. Nobody will be able to access drive:\LabFiles\FullAccess\NoDelete.txt and only the owner will be able to change the permissions. Do you wish to continue?
(Доступ к диск:\LabFiles\FullAccess\NoDelete.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoDelete.txt сможет только владелец. Продолжить выполнение?)
Щелкните кнопку Yes (Да), а затем — кнопку ОК.
> Проверка действия разрешения для папки FullAccess
В папке Lab Files\ FullAccess дважды щелкните файл NoDelete.txt, чтобы открыть его.
Удалось ли Вам его открыть? Почему?
ответ
В меню Start (Пуск) выберите пункт Programs (Программы), а затем щелкните пункт Command Prompt (Командная строка).
Перейдите в папку диск:\LabFiles\FullAccess.
Удалите файл NoDelete.txt, набрав следующую команду:
Delete noDelete.txt Удалось ли Вам это сделать? Почему?
ответ
Условия присвоения разрешений
Чтобы присваивать разрешения NTFS, нужно быть владельцем папки или файла или иметь одно из следующих разрешений:
стандартное — Full Control (Полный контроль);
специальное, включающее индивидуальное разрешение Change Permissions (Смена разрешений);
специальное, включающее индивидуальное разрешение Take Ownership (Смена владельца): имея его, пользователь может сначала объявить себя владельцем файла или папки, а затем изменить разрешения на доступ к этому ресурсу.
Видеоролик: разрешения и права доступа
Этот пятиминутный видеоролик поясняет, какие фактические права доступа получаются при комбинировании прав доступа к общей папке и разрешений NTFS. > Запуск видеоролика из меню Start (Пуск)
Вставьте в дисковод прилагаемый к книге компактиск.
В меню Start (Пуск) выберите последовательно пункты Programs (Программы), Network Administration Training и затем щелкните пункт Permissions Video.
> Запуск видеоролика с компакт-диска
Запустите Windows NT Explorer (Проводник Windows NT).
Дважды щелкните файл Open.htm, расположенный на компакт-диске.
Щелкните в центре экрана, чтобы перейти на главную страничку,
Щелкните ссылку Course Materials.
На странице Contents щелкните ссылку Permissions.
Чтобы установить требуемые файлы DLL и запустить видеоролик, следуйте инструкциям в текстовом поле.
Примечание Если Вы провели установку, как описано в разделе «Об этой книге», или уже запускали видеоролики на своем компьютере, то Вам не нужно устанавливать эти DLL.
> Вопросы к видеоролику
Вы лучше усвоите основные темы видеоролика, ответив на приведенные ниже вопросы. Это можно сделать и в течение сеанса, но все-таки разумнее сначала посмотреть его целиком, а потом проверить себя.
К каким ресурсам предоставляют доступ общие папки?
ответ
К каким объектам применяются права доступа?
ответ
К каким объектам могут быть применены разрешения NTFS?
ответ
Как при использовании комбинации разрешений NTFS и прав доступа опрееляются фактические права пользователя на доступ к ресурсу?
ответ
Эти вопросы помогут Вам лучше
Эти вопросы помогут Вам лучше усвоить основные темы данной главы. Если Вы не сумеете ответить на вопрос, повторите материал соответствующего занятия.
Какие из приведенных ниже высказываний о разрешениях NTFS справедливы? Отметьте все подходящие варианты.
А. Они доступны только на томах NTFS.
Б. Они защищают ресурсы от пользователей, работающих на тех компьютерах, где расположены эти ресурсы.
В. Они защищают ресурсы от пользователей, подключающихся к ним по сети.
Г. Их можно устанавливать для папок и файлов.
Д. Фактическое разрешение для пользователя — это комбинация разрешений, присвоенных ему самому и группам, членом которых он является.
Е. Все вышеперечисленные.
ответ
Закончите предложение: при сочетании разрешений NTFS и прав доступа результирующим правилом, определяющим доступ, всегда становится
ответ
Как создать для пользователя домашний каталог так, чтобы пользователь автоматически получил для него разрешение NTFS Full Control (Полный контроль)?
ответ
Какие из приведенных ниже высказываний описывают требования, дающие полномочия присваивать разрешения NTFS? Отметьте все подходящие варианты.
А. Нужно быть владельцем файла или папки.
Б. Нужно иметь стандартное разрешение Full Control (Полный контроль) либо специальные разрешения Change Permissions (Смена разрешений) или Take Ownership (Смена владельца).
В. Нужно иметь стандартное разрешение Change (Изменение).
ответ
Какое разрешение присваивается по умолчанию при форматировании тома и установке файловой системы NTFS?
ответ
Какие из перечисленных ниже высказываний справедливы? Отметьте все подходящие варианты.
А. При копировании файл (папка) наследует разрешения папки-адресата, а пользователь, выполнявший копирование, становится владельцем скопированного файла или папки.
Б. При копировании файл (папка) наследует разрешения папки-адресата, а владелец остается прежним.
В. При перемещении файла (папки) в пределах одного тома NTFS разрешения и владельцы не изменяются.
Г. При перемещении на другой том NTFS файл (папка) наследуют разрешения папки-адресата, а пользователь, переместивший файл или папку, становится владельцем.
Д. Все вышеперечисленные.
ответ
Что следует всегда проверять в первую очередь, если пользователь не может получить доступ к ресурсу?
ответ
Зачем нужны разрешения NTFS
Разрешения NTFS служат для защиты ресурсов от:
локальных пользователей, работающих за компьютером, на котором располагается ресурс;
удаленных пользователей, подключающихся к общей папке по сети. Разрешения NTFS обеспечивают высокую избирательность защиты: для каждого файла в папке Вы можете установить свои разрешения. Например, одному пользователю позвольте считывать и изменять содержимое файла, другому — только считывать, а остальным — вообще запретите доступ к нему.
Примечание Если при форматировании тома на него устанавливается файловая система NTFS, группе Everyone автоматически присваивается разрешение Full Control (Полный контроль) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.
Основные понятия
(Продолжительность занятия 20 минут)
Разрешения NTFS служат для ограничения доступа к папкам и файлам томов NTFS. Они защищают ресурсы локального компьютера как от пользователя, работающего на этом компьютере, так и от пользователей, подключающихся к ним по сети. На этом занятии Вы познакомитесь с принципами защиты ресурсов средствами разрешений NTFS.
Изучив материал этогозанятия, Вы сможете:
описать ситуации, в которых требуются разрешения файловой системы Microsoft Windows NT (NTFS) на доступ к. файлам и папкам;
дать определение разрешения NTFS;
объяснить результат одновременного применения нескольких разрешений NTFS.
Права доступа и разрешения NTFS
(Продолжительность занятия 20 минут)
Права доступа к общим ресурсам томов NTFS действуют совместно с разрешениями для файлов и папок. На этом занятии Вы узнаете, как обеспечить защиту дисковых ресурсов, комбинируя разрешения NTFS и права доступа.
Изучив материал этого занятия, Вы сможете:
объяснить, что происходит, когда разрешения для папки отличны от разрешений для ее файлов;
описать результат комбинации разрешений NTFS и прав доступа.
Чтобы пользователи могли обращаться по сети к дисковым ресурсам, нужно предоставить в общее пользование папки, содержащие эти ресурсы. Такие папки можно защитить, присвоив пользователям и группам соответствующие права доступа. Однако права доступа к общим ресурсам обеспечивают лишь ограниченную защиту, так как они:
предоставляют одинаковый уровень доступа ко всем папкам и файлам, находящимся в общей папке;
не обеспечивают защиту ресурса от локального пользователя;
не могут быть использованы для защиты отдельных файлов.
Если общая папка находится на томе NTFS, то можно воспользоваться разрешениями NTFS, чтобы изменить или запретить доступ пользователей к папкам и файлам, расположенным в общей папке. Применение разрешений NTFS и прав доступа обеспечивает наивысшую степень защиты.
Примечание Вот простейший способ сочетания разрешений NTFS и прав доступа:
сохраните право доступа по умолчанию Full Соntrol (Полный контроль), присвоенное группе Everyone (Все), и присвойте отдельным учетным записям групп и пользователей разрешения NTFS для конкретных папок и файлов общей папки.
При сочетании прав доступа и разрешений NTFS доступ всегда определяется самым строгим ограничением. Например, если для папки установлено право доступа Full Control (Полный контроль) и разрешение NTFS Read (Чтение), то результирующим разрешением будет более строгое React.
Ниже проиллюстрирована следующая ситуация: пользователь Пользователь2 имеет право доступа Read (Чтение) к общей папке «Общедоступные данные» на компьютере Компьютер1 (при подключении по сети) и разрешение NTFS Full Control (Полный контроль) для Файла А этой папки. В результате Пользователь2 получит доступ к файлу Файл А только для чтения, так как Read — более строгое ограничение. Доступ пользователя Пользователь2 к Файлу Б также — только чтение, так как разрешение NTFS Read и право доступа Read приводят к одинаковым ограничениям.
Когда Пользователь1 работает на компьютере Компьютер1, то на него не распространяются права доступа к папке «Общедоступные данные». Тем не менее действие разрешений NTFS (полный контроль для файла А и доступ только для чтения к файлу Б) сохраняется. Если же Пользователь1 подключится к этой общей папке, он, как и Пользователь2, получит право только на чтение.
Стратегия назначения разрешений NTFS
(Продолжительность занятия 20 минут)
Прежде чем назначать разрешения NTFS папкам и файлам, желательно определить, какие разрешения необходимы и кому. На этом занятии Вы познакомитесь со стратегией планирования разрешений NTFS для общих папок приложений, папок данных и домашних каталогов пользователей.
Изучив материал этого занятия, Вы сможете:
спланировать разрешения для пользователей и групп на доступ к общим папкам приложений и данных и домашним катологам пользователей;
описать действия, необходимые для создания домашних катологов пользователей на томах NTFS.
Присвоение разрешений NTFS
(Продолжительность занятия 30 минут)
На этом занятии Вы познакомитесь со всеми этапами присвоения разрешений NTFS.
Изучив материал этого занятия, Вы сможете:
описать условия, необходимые для присвоения разрешений NTFS;
присваивать учетным записям пользователей и групп разрешения NTFS на доступ к файлам и папкам.
Смена владельца файлов и папок
(Продолжительность занятия 20 минут)
Пользователь, создавший папку (файл), становится ее владельцем и, значит, может управлять доступом остальных пользователей к этой папке (файлу) посредством разрешений. В некоторых случаях администратору необходимо объявить себя владельцем папки или файла, чтобы лишить текущего владельца этой возможности. На этом занятии Вы узнаете, что делать, чтобы сменить владельца папки или файла, и каким требованиям нужно для этого удовлетворять.
Изучив материал этого занятия, Вы сможете:
объяснить принцип смены владельца файла или папки;
рассказать о том, как разрешить пользователям объявлять себя владельцами папок или файлов;
определить текущего владельца папки или файла;
объявить себя владельцем папки или файла.
Пользователь, создавший папку или файл, является их первоначальным владельцем и может предоставить папку в совместное пользование или присвоить разрешение Take Ownership (О) (Смена владельца) другим пользователям или группам.
Владелец всегда управляет доступом к папке или файлу посредством разрешений. Пользователь, не являющийся владельцем папки, не может предоставить ее в совместное использование или присвоить разрешения на доступ к ней.
Если пользователь запретил другим доступ к файлу и после этого уволился из компании, администратор, объявив себя владельцем этого файла, может изменить существующие разрешения.
Копирование и перемещение файлов и папок
(Продолжительность занятия 20 минут)
Копирование и перемещение папок и файлов на томах NTFS может повлиять на исходные разрешения для папки или файла. На этом занятии Вы узнаете, что происходит с разрешениями при копировании или перемещении файла или папки.
Изучив материал этого занятия, Вы сможете:
объяснить, что происходит с разрешениями для папок и файлов при копировании или перемещении в пределах одного тома или с тома на том;
объяснить, как копирование или перемещение папок и файлов .влияет на право владения ими;
перечислитъ разрешения, необходимые для кодирования и перемещения папок и файлов.
Устранение проблем, связанных с разрешениями
(Продолжительность занятия 20 минут)
Чаще всего пользователь сталкивается с такой проблемой, как невозможность получить доступ к ресурсам. На этом занятии описаны некоторые наиболее распространенные проблемы, связанные с разрешениями, и методы их устранения.
Изучив материал этого занятия, Вы сможете:
распознать основные причины отказа в доступе к рессурсам;
усиранять основные проблемы, связанные с разрешениями.