 |
Предотвращение наследования разрешений
|
|
|
|
Можно отменить наследование разрешений, назначенных для родительской папки, подпапками и файлами, содержащимися в ней. Это значит, что подпапки и файлы не унаследуют разрешения, установленные для родительской папки. Папка, для которой вы отменили наследование, становится новой родительской папкой. Подпапки и файлы, содержащиеся в этой новой родительской папке, унаследуют разрешения, установленные для нее.
Второе домашнее задание
Изучите возможности установки разрешений NTFS и особых разрешений.
Вы должны руководствоваться определенными принципами при планировании установки разрешений NTFS.
• Для упрощения процесса администрирования сгруппируйте файлы по папкам следующих типов: папки с приложениями, папки с данными, личные папки. Централизуйте общедоступные и личные папки на отдельном томе, не содержащем файлов операционной системы и других приложений. Действуя таким образом, вы получите следующие преимущества:
• сможете устанавливать разрешения только папкам, а не отдельным файлам;
• упростите процесс резервного копирования, так как вам не придется делать резервные копии файлов приложений, а все общедоступные и личные папки находятся в одном месте.
• Устанавливайте для пользователей только необходимый уровень доступа. Если необходимо чтение файла, установите пользователю разрешение Чтение (Read) для этого файла. Это уменьшит вероятность случайного изменения файла или удаления важных документов и файлов приложений пользователем.
• Создавайте группы согласно необходимому членам группы типу доступа, затем установите соответствующие разрешения для группы. Назначайте разрешения отдельным пользователям только в тех случаях, когда это необходимо.
|
|
|
• При установке разрешений для работы с данными или файлами приложений установите разрешение Чтение и выполнение (Read & Execute) для групп Пользователи (Users) и Администраторы (Administrators). Это предотвратит случайное удаление файлов приложений или их повреждение вирусами или пользователями.
• При установке разрешений для папок с общими данными назначьте разрешения Чтение и выполнение (Read & Execute) и Запись (Write) группе Пользователи (Users) и разрешение Полный доступ (Full Control) для группы Создатель-владелец (CREATOR OWNER). По умолчанию пользователь, создавший документ, также является его владельцем. Владелец файла может дать другому пользователю разрешение на владение файлом. Пользователь, который принимает такие права, в этом случае становится владельцем файла. Если вы установите разрешение Чтение и выполнение (Read & Execute) и Запись (Write) группе Пользователи (Users) и разрешение Полный доступ (Full Control) группе Создатель-владелец (CREATOR OWNER), то пользователи получат возможность читать и изменять документы, созданные другими пользователями, а также читать, изменять и удалять файлы и папки, создаваемые ими.
• Запрещайте разрешения, только если необходимо запретить отдельный тип доступа определенному пользователю или группе.
Установка разрешений NTFS
По умолчанию при форматировании тома с использованием файловой системы NTFS разрешение Полный доступ (Full Control) устанавливается для группы Все (Everyone). В Windows XP Professional учетная запись Анонимный вход (Anonymous Logon) не включена в группу Все (Everyone).
Администраторы, пользователи с разрешением Полный доступ (Full Control) и владельцы файлов и папок могут устанавливать разрешения для отдельных пользователей и групп.
Для установки или изменения разрешения NTFS для файла или папки настройте параметры на вкладке Безопасность (Security) диалогового окна свойства файла или папки (рис. 3).
|
|
|
Рис. 3. Вкладка Безопасность (Security) диалогового окна свойств папки
Опции вкладки Безопасность (Security) Таблица 3
| Параметр | Назначение |
| Группы или пользователи (Group Or User Name) | Позволяет вам выделить пользователя или группу, для которой вы хотите изменить разрешения или которые вы собираетесь удалить из списка. |
| Разрешения для имя группы (Permissions For group or user name) | Устанавливает и запрещает разрешения. или пользователя Отметьте флажок Разрешить (Allow) для назначения разрешения. Отметьте флажок Запретить (Deny) для запрета разрешения. |
| Добавить (Add) | Открывает диалоговое окно Выбор: пользователи или группы (Select Users Or Groups), в котором можно выбрать пользователей или группы для добавления их к списку Группы или пользователи (Group Or User Name). |
| Удалить (Remove) | Удаляет выделенного пользователя или группу и соответствующие разрешения для файла или папки. |
| Дополнительно (Advanced) | Открывает диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings) для выделенной папки. В открывшемся окне вы можете назначать или запрещать особые разрешения. |
Добавление пользователей или групп
Для добавления пользователей или групп, для которых вы собираетесь назначать разрешения на доступ к папке или файлу, щелкните кнопку Добавить (Add) для открытия диалогового окна Выбор: пользователи или группы (Select Users Or Groups) (рис. 4).
Рис. 4. Вкладка Выбор: пользователи или группы (Select Users Or Groups)
диалогового окна свойств папки
Параметры диалогового окна Выбор: пользователи или группы Таблица 4
| Параметры | Назначение |
| Выберете тип объектов (Select The Object Type) | Позволяет выбрать тип объекта, например встроенные участники безопасности (пользователи, группы и учетные записи отдельных компьютеров), пользователи или группы |
| В следующем месте (From This Location) | Указывает текущую область поиска, например в домене или на локальном компьютере |
| Размещение (Locations) | Позволяет выбрать область поиска, например в домене или на локальном компьютере |
| Введите имена выбираемых объектов (Enter The Object Names To Select) | Позволяет ввести список тех встроенных участников безопасности, пользователей и групп, которых вы хотите добавить |
| Проверить имена (Check Names) | Проверяет выделенный список встроенных участников безопасности, пользователей и групп, которых вы хотите добавить |
| Дополнительно (Advanced) | Позволяет получить доступ к дополнительным возможностям поиска, включая возможность поиска удаленных учетных записей пользователей, учетных записей с не устаревшими паролями и учетных записей, по которым не подключались определенное количество дней |
|
|
|
Назначение или запрещение особых разрешений
Щелкните кнопку Дополнительно (Advanced), чтобы открыть диалоговое окно Дополнительные параметры безопасности (Advanced Security Settings) (рис. 5), где перечислены группы и пользователи и установленные для них разрешения для этого объекта. В поле Элементы разрешений (Permissions Entries) также указано, от какого объекта разрешения унаследованы и к каким объектам применимы.
Вы можете воспользоваться диалоговым окном Дополнительные параметры безопасности (Advanced Security Settings) для изменения разрешений, установленных для пользователя или группы. Для изменения разрешений, установленных для пользователя или группы, выделите пользователя и щелкните кнопку Изменить (Edit). Откроется диалоговое окно Элемент разрешения для (Permission Entry For) (рис. 6). Затем выделите или отмените определенные разрешения, которые вы хотите изменить, как описано в таблице 5.
Рис. 5. Вкладка Разрешения (Permissions) диалогового окна Дополнительные
параметры безопасности (Advanced Security Settings) свойств папки
Рис. 6. Диалоговое окно Элемент разрешения для (Permission Entry For)
Особые разрешения Таблица 5
| Разрешение | Назначение |
| Полный доступ (Full Control) | Разрешение Полный доступ (Full Control) устанавливает все разрешения для пользователя или группы |
| Обзор папок/ Выполнение файлов (Traverse Folder/ Execute File) | Обзор папок (Traverse Folder) разрешает или запрещает перемещение по структуре папок в поисках других файлов или папок, даже если пользователь не обладает разрешением на доступ к просматриваемым папкам. Разрешение на обзор папок не применяется в том случае, если группа или пользователь обладает правом Обход перекрестной проверки (Bypass Traverse Checking), устанавливаемым в оснастке Групповая политика (Group Policy). По умолчанию группа Все (Everyone) наделена правом Обход перекрестной проверки (Bypass Traverse Checking), поэтому, если вы хотите воспользоваться разрешением Обзор папок (Traverse Folder), вам придется изменить групповую политику. Разрешение Обзор папок (Traverse Folder) применимо только к папкам. Выполнение файлов (Execute File) разрешает или запрещает запуск исполняемых файлов (файлов приложений). Разрешение Выполнение файлов (Execute File) применимо только к файлам. |
| Содержание папки/ Чтение данных (List Folder/Read Data) | Содержание папки (List Folder) разрешает или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Это разрешение применимо только к папкам. Разрешение Чтение данных (Read Data) позволяет или запрещает просмотр содержимого файлов. Разрешение Чтение данных (Read Data) применимо только к файлам |
| Чтение атрибутов (Read Attributes) | Чтение атрибутов (Read Attributes) разрешает или запрещает просмотр атрибутов файла или папки. Атрибуты определяются файловой системой NTFS |
| Чтение дополнительных атрибутов (Read Extended Attributes) | Чтение дополнительных атрибутов (Read Extended Attributes) разрешает или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами |
| Создание файлов/Запись данных (Create Files/Write Data) | Создание файлов (Create Files) разрешает или запрещает создание файлов в папке. Это разрешение применимо только к папкам. Запись данных (Write Data) разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого. Это разрешение применимо только к файлам |
| Создание папок/Дозапись данных (Create Folders/ Append Data) | Создание папок (Create Folders) разрешает или запрещает создание папок внутри папки. Это разрешение применимо только к папкам Дозапись данных (Append Data) разрешает или запрещает добавление данных в коней файла, но не разрешает изменение, удаление или замену имеющихся данных. Это разрешение применимо только к файлам. |
Окончание табл. 5
|
|
|
| Разрешение | Назначение |
| Запись атрибутов (Write Attributes) | Запись атрибутов (Write Attributes) разрешает или запрещает смену атрибутов файла или папки. Атрибуты определяются файловой системой NTFS. |
| Запись дополнительных атрибутов (Write Extended Attributes) | Запись дополнительных атрибутов (Write Extended Attributes) разрешает или запрещает смену дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами |
| Удаление подпапок и файлов (Delete Subfolders and Files) | Удаление подпапок и файлов (Delete Subfolders and Files) разрешает или запрещает удаление подпапок и файлов даже при отсутствии разрешения Удаление для данной подпапки или файла |
| Удаление (Delete) | Удаление (Delete) разрешает или запрещает удаление файла или папки. Если для файла или папки отсутствует разрешение Удаление (Delete), объект все же можно удалить при наличии разрешения Удаление подпапок и файлов (Delete Subfolders and Files) для родительской папки |
| Чтение разрешений (Read Permissions) | Чтение разрешений (Read Permissions) разрешает или запрещает чтение разрешений на доступ к файлу или папке |
| Смена разрешений (Change Permissions) | Смена разрешений (Change Permissions) разрешает или запрещает смену разрешений на доступ к файлу или папке. Вы можете предоставить администраторам и пользователям возможность смены разрешений для файла или папки без установки разрешения Полный доступ (Full Control) для данной папки или файла. Таким образом, администратор или пользователь не смогут удалить, изменить или записать данные в файл или папку, но смогут установить разрешения для файла или папки |
| Смена владельца(Take Ownership) | Смена владельца (Take Ownership) разрешает или запрещает вступать во владение файлом или папкой. Владелец файла или папки всегда может изменять разрешения на доступ к ним независимо от любых разрешений, защищающих этот файл или папку |
| Синхронизация (Synchronize) | Синхронизация (Synchronize) разрешает или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками, которые могут занимать их. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами |
|
|
|
Смена владельца
Разрешается передавать право владельца файлов и папок от одного пользователя к другому. Вы можете предоставить кому-либо право смены владельца или, как администратор, сами сменить владельца файла или папки.
Для смены владельца файла или папки действуют определенные правила.
• Текущий владелец или любой пользователь с разрешением Полный доступ (Full Control) может установить стандартное разрешение Полный доступ (Full Control) или особое разрешение доступа Смена владельца (Take Ownership) для другого пользователя или группы, позволяя пользователю или любому члену группы стать владельцем.
• Администратор имеет право сменить владельца папки или файла независимо от назначенных разрешений. Если администратор становится владельцем, группа Администраторы (Administrators) также становится владельцем, и любой из членов группы Администраторы (Administrators) может изменять разрешения для файла или папки и назначать разрешение Смена владельца (Take Ownership) другому пользователю или группе.
Например, если сотрудник уволился из организации, то администратор может изменить владельца для файлов данного сотрудника и назначить разрешение Смена владельца (Take Ownership) другому сотруднику, который и станет владельцем этих файлов.
Примечание Вы не можете назначить владельцем файла или папки любого пользователя. Владелец файла, администратор или любой пользователь с разрешением Полный доступ (Full Control) имеет право назначить разрешение Смена владельца (Take Ownership) отдельному пользователю или группе, тем самым, позволяя им стать владельцем. Для того чтобы стать владельцем файла или папки, пользователь или член группы с разрешением Смена владельца (Take Ownership) должен явно стать владельцем файла или папки.
Чтобы сменить владельца файла или папки, пользователь или член группы с разрешением Смена владельца (Take Ownership) должен явно назначить нового владельца. Для этого необходимо выполнить действия, описанные далее.
1. На вкладке Безопасность (Security) диалогового окна свойств файла или папки щелкните кнопку Дополнительно (Advanced).
2. В открывшемся диалоговом окне Дополнительные параметры безопасности (Advanced Security Settings), на вкладке Владелец (Owner), в списке Изменить владельца на (Change Owner To), выберите нужное имя.
3. Установите флажок Заменить владельца субконтейнеров и объектов
(Select the Replace Owner On Subcontainers And Objects) для того, чтобы стать владельцем всех подпапок и файлов, содержащихся в папке. Затем щелкните ОК.
|
|
|
