Dreptul rezultat: permite sau interzice?
La atribuirea drepturilor, puteți defini permisiunea și interdicția de a efectua orice operație. Dacă un utilizator se află în mai multe grupuri, fiecare dintre ele poate avea propriul set de permisiuni și interdicții pentru această operație. Cum se formează rezoluția finală, mai ales dacă rezoluțiile diferitelor grupuri se contrazic?
Inițial, se verifică dacă există interdicții privind efectuarea operațiunilor pentru oricare din grupurile de care aparține utilizatorul și pentru contul însuși. Dacă cel puțin unui grup i se refuză accesul, atunci sistemul va forma un eșec în operație. Apoi, permisiunile de acces sunt verificate. Dacă se găsește cel puțin o rezoluție pentru un grup, utilizatorul va obține dreptul de a efectua acțiunea dorită.
În conformitate cu regula de procesare descrisă, dacă utilizatorul ca membru al unui grup are permisiunea de a efectua o acțiune și în calitate de membru al unui alt grup - o interdicție, rezultatul este o eșec în operație.
Ar trebui să fiți extrem de atenți când acordați interdicții explicite. Este foarte ușor (dacă calculatorul utilizează o structură complexă a grupului) pentru a interzice chiar și dvs. implementarea anumitor operațiuni.
În ultimele versiuni de Windows, sistemul vă permite să afișați permisiunile de acces rezultate pentru acest obiect pentru orice utilizator sau grup. Această operație este apelată din meniul Setări avansate de securitate a obiectului de sistem corespunzător.
Partajarea permisiunilor și a permisiunilor de securitate
Pentru obiectele care sunt partajate, există două tipuri de permisiuni. Acestea sunt permisiunile generale de acces și permisiunile de securitate. Parolele de distribuire determină dreptul de a utiliza această resursă la conectarea la o rețea. Dacă utilizatorul nu are acest drept (sau această acțiune este explicit interzisă), pur și simplu nu se poate conecta la resursa solicitată.
O permisiune de securitate este o permisiune la nivelul drepturilor de acces la sistemul de fișiere. Acesta există atunci când se utilizează sistemul de fișiere NTFS și este bifat indiferent de permisiunile de partajare. Cu alte cuvinte, dacă unui utilizator i se permite să se conecteze la această resursă prin rețea, dar accesul la fișiere este interzis de permisiunile de securitate, atunci eventualul lucru cu astfel de fișiere va fi imposibil. Dacă sistemul de fișiere FAT (FAT32) este utilizat pe discul de resurse, atunci accesul la rețea va fi controlat numai prin partajarea permisiunilor.
O eroare de utilizator tipică asociată cu prezența a două tipuri de permisiuni este partajarea de directoare pe desktop. După partajarea acestor foldere, alți utilizatori nu pot deschide fișiere etc. Această eroare este legată de faptul că desktop-ul este un dosar în profilul utilizatorului. Permisiunea de securitate a profilului de utilizator implicit permite doar accesul acestui utilizator și al administratorului de computer. Prin urmare, pentru a permite altor utilizatori să lucreze cu un astfel de dosar partajat, trebuie să le adăugați permisiuni de securitate la nivelul sistemului de fișiere.
Întrucât aceste permise se repetă într-o oarecare măsură (din punct de vedere al rezultatului), în practică ele se combină, în general, în funcție de condițiile de acces dorite.
- Drepturile de acces la toate obiectele de resurse de rețea sunt aceleași pentru toți utilizatorii.
În acest caz, permisiunile de partajare și permisiunile de securitate sunt aceleași pentru toate grupurile de utilizatori specificate. - Permisiunile sunt diferite pentru diferite obiecte de resurse de rețea
Se întâmplă adesea ca un fișier să aibă acces deplin, în timp ce altele permit doar vizionarea etc. În acest caz, puteți configura drepturile de acces după cum urmează.
Parolele de partajare sunt setate la drepturile maxime posibile. Deci, dacă unele fișiere trebuie să fie doar pentru citire și o parte din ele pentru editare, atunci permisiunile de partajare ar trebui să fie setate ca "acces complet" pentru toate grupurile de utilizatori care trebuie să fie accesibile prin rețea. Și permisiunile de securitate trebuie ajustate: stabiliți permisiuni numai pentru citire pentru un singur dosar, acces complet pentru alții, refuzați accesul la anumite dosare pentru anumite grupuri de utilizatori și așa mai departe.
Această abordare va simplifica structura resurselor de rețea, păstrând în același timp toate permisiunile necesare.
Permisiuni moștenite: Fii atent
În mod implicit, resursele nou create își înmânează propriile permisiuni de securitate de la părinți. Deci, dacă salvați un fișier nou, permisiunile acestuia vor fi setate la permisiunile folderului unde este creat fișierul.
Dacă aveți nevoie să modificați drepturile în cadrul unei astfel de structuri de moștenire, puteți adăuga cu ușurință drepturi noi în orice conturi. Cu excepția, situația este oarecum mai complicată. În primul rând, trebuie să rupă lanțul de moștenire (în caseta de dialog care apare când faceți clic pe butonul Advanced din proprietățile de securitate, debifați Permit succesorale din obiectul părinte.) Și a edita lista drepturilor stabilite.
Atribuirea permisiunilor sistemului de fișiere nu este, de obicei, foarte dificilă. În acest caz, cea mai frecventă întrebare care apare cu utilizatorii este schimbarea drepturilor de acces, când în proprietățile obiectului ele sunt afișate de pătrate cu fundal gri.
Această mapare indică faptul că permisiunile pentru acest obiect sunt moștenite de la părinte. Pentru a le schimba, este necesar să rupem această relație. Această operație este efectuată prin intermediul butonului Advanced (Avansat) - este suficient să eliminați caseta de selectare, menționată anterior, Permiteți moștenirea.
Permisiunile care sunt adăugate la lista celor moștenite sunt denumite în mod explicit instalate. Opțiunile instalate în mod clar au prioritate față de cele moștenite. În același timp, principiul interdicției nu funcționează. Dacă dreptul de a refuza accesul este moștenit și permisiunea este setată în mod explicit, utilizatorul va putea să efectueze operațiile de fișiere ca rezultat.
Proprietățile fișierelor sunt marcate ca interdicții (moștenite din dosarul părinte, evidențiate în caseta de fund gri) și atribuite în mod explicit drept de proprietate. În acest caz, va funcționa atribuirea explicită a drepturilor. Utilizatorul va putea efectua orice operațiune cu fișierul, în ciuda interdicției.
În această situație, drepturile rezultate au fost afișate incorect de sistemul însuși: a fost demonstrată o lipsă totală de drepturi, în ciuda prezenței permisiunii de acces deplin.
Restaurați accesul la resurse
Pentru a accesa obiectele în cazul general, administratorul trebuie să efectueze următoarele acțiuni:
1. În primul rând, deveniți proprietarul acestor obiecte (realizat prin intermediul butonului Advanced din setările de securitate).
2. Folosind dreptul proprietarului obiectului, setați permisiunile de securitate dorite pentru acesta.
Rețineți că cotele de utilizare a discurilor sunt calculate de proprietarii de obiecte, astfel încât după ce administratorul a devenit proprietarul unui dosar pentru a obține permisiunea de securitate, volumul acestui dosar sa mutat de la cota utilizatorului la cota administratorului.
Bypass Cross Validation
În cazul în care utilizatorului i se refuză accesul la dosarul curent, dar este permisă imbricarea, atunci el poate, de exemplu, să deschidă fișierul din acesta, indicând în mod explicit calea completă la acesta. Această caracteristică este denumită de obicei o by-pass de verificare încrucișată.
Prin setarea opțiunilor de securitate, puteți dezactiva această funcție. Cu toate acestea, această soluție ar trebui utilizată numai în cazuri speciale, motivate, deoarece va cauza multe programe să eșueze (de exemplu, incapacitatea de a lucra în Outlook Web Access).
Administratorul trebuie să ia în considerare această opțiune pentru acordarea drepturilor de acces și să configureze corect parametrii corespunzători.
Modificarea atributelor obiectelor în timpul operațiilor de copiere și mutare
Stabilirea permisiunilor pentru accesarea obiectelor în Windows nu este deosebit de dificilă. Este suficient să selectați un obiect, să-i deschideți proprietățile și să atribuiți utilizatorilor necesari drepturile dorite.
În același timp, principiile de schimbare a proprietăților obiectelor atunci când le copiați sau le mutați sunt adesea ignorate, deși o înțelegere inexactă a opțiunilor de modificare a permisiunilor poate duce la un rezultat neplanificat. Deci, dacă copiați fișierul, acesta nu mai este criptat și totuși credeți că informațiile conținute în acesta sunt protejate, atunci un astfel de fapt poate duce la consecințe neplăcute. Windows Vista a fost informat despre astfel de consecințe, dar în cazul lucrărilor în versiuni anterioare, acest fapt ar trebui luat în considerare independent.
Regulile pentru modificarea atributelor descrise mai jos au sens doar pentru operațiile de fișiere de pe discuri cu NTFS. Dacă fișierul este copiat / mutat în sistemul de fișiere pe disc FAT32 (FAT), atunci acesta pierde atributele de criptare de compresie și t. N. Cu alte cuvinte, după copierea fișierului criptat pe o dischetă nu va fi criptat. Păstrați în minte acest lucru este atunci când copierea fișierelor la resursele de rețea, deoarece acestea pot fi plasate pe discuri cu sistemul de fișiere FAT.
Ce ar trebui să iau în considerare atunci când fac operații de fișiere? În mod prestabilit, obiectele nou create vor moșteni acele permisiuni atribuite părinților lor. Deci, fișierul va avea aceleași setări de securitate ca și folderul în care este creat. Cu alte cuvinte, dacă creați un fișier nou într-un folder care are atributul "criptat", acest fișier va fi, de asemenea, criptat. Sau dacă creați un fișier într-un folder care nu este accesibil utilizatorului Ivanov, atunci utilizatorul nu va avea acces la fișier.
Atunci când operațiunile de copiere, fișierul este recreat. Prin urmare, în noul loc, acesta va avea întotdeauna atributele dosarului în care a fost copiat. Ca rezultat, dacă copiați fișierul criptat într-un director necriptat, fișierul din acest folder va fi necriptat după finalizarea operației. Dacă copiați un fișier obișnuit într-un folder cu atributul "comprimat", atunci fișierul nou va fi comprimat dinamic.
Operațiile de mutare au câteva funcții. Dacă fișierul este mutat de pe un disc în altul, operația va consta din două etape: copierea fișierului și apoi ștergerea acestuia în locația anterioară. Prin urmare, atributele fișierului vor fi atribuite în conformitate cu regulile operației de copiere. Fișierul va avea atributul dosarului în care este plasat.
Dacă fișierul se mișcă în aceeași unitate, sistemul de operare nu efectuează operația de copiere. Fișierul rămâne în același loc, doar tabelul de alocare a fișierelor modifică indicatorul corespunzător. Cu alte cuvinte, toate atributele fișierului rămân neschimbate. Adică atunci când mutați un fișier necriptat într-un folder criptat pe același disc, informațiile din fișier vor rămâne necriptate.
Rezultat Drepturi și utilități
De regulă, organizația are o structură destul de complexă de grupuri de utilizatori cu drepturi de acces diferite la informații. În același timp, unele drepturi sunt moștenite de la grupurile părintești, unele drepturi fiind prescrise explicit pentru utilizatori sau grupuri. Și pentru accesul la rețea pentru resursele partajate, trebuie să integrați atât permisiunile atribuite sistemului de fișiere, cât și drepturile de partajare.
Întrucât utilizatorul intră, de obicei, în mai multe grupuri în același timp, este adesea foarte dificil de determinat dacă în cele din urmă va obține dreptul de a accesa acest obiect. Prin urmare, sistemul afișează dreptul rezultat al utilizatorului.
Pentru a afla ce drepturi are utilizatorul (grupul) cu privire la un anumit obiect, este suficient să deschideți proprietățile obiectului, în fila Securitate faceți clic pe butonul Advanced și selectați fila Permisiuni active. După aceea, trebuie să selectați utilizatorul pentru care se vor stabili drepturile curente și să vedeți rezultatul final.
Recomandări pentru aplicarea autorizațiilor
Recomandarea generală la alocarea drepturilor de acces este de a folosi grupuri în preferință pentru a atribui drepturi utilizatorilor individuali. Această abordare simplifică administrarea, vă permite să setați permisiunile mult mai repede, mai ușor și mai ușor.
De exemplu, pentru un computer local, aveți posibilitatea să creați mai multe grupuri locale, să combinați atât utilizatorii acestui sistem, cât și conturile de domeniu în ele și apoi să atribuiți permisiuni pentru a accesa anumite obiecte utilizând aceste grupuri.
În general, se recomandă să urmați procedura următoare pentru atribuirea permisiunilor. Trebuie să adăugați conturile necesare grupurilor de domenii globale, să includeți grupurile de domenii globale în grupurile de domenii locale și să alocați permisiunile dorite pentru aceste grupuri locale.
Articole similare
Trimiteți-le prietenilor: