NTFS tajne - prava, dozvole i njihovo nasljeđivanje. Dozvole SMB i NTFS

Zašto u većini slučajeva u organizaciji treba poslužitelj? Active Directory, RDS, poslužitelj za ispis i gomila malih i velikih usluga. Najistaknutija uloga možda je poslužitelj datoteka. Ljudi s njim, za razliku od drugih uloga, rade svjesno. Sjećaju se koje su mape na kojima su skeniranje dokumenata gdje su njihovi izvještaji gdje su faksovi u kojima zajednička mapa u kojoj možete imati pristup samo jednom od odjela, gdje se drugde i ne prepoznaju

O pristupu mrežnim i lokalnim mapama na poslužitelju želim razgovarati.

Provodi se pristup zajedničkim resursima na poslužitelju, kako svi savršeno znaju, prema SMB protokolu 3.0. Pristup mreži mapama može se ograničiti na dozvole SMB i NTFS. SMB dozvole radi samo prilikom pristupa zajedničkoj mapi preko mreže i nemaju utjecaja na dostupnost određene mape lokalno. NTFS dozvole rade i na mreži i lokalno pružaju mnogo veću fleksibilnost u kreiranju prava pristupa. Dozvole SMB i NTFS ne rade odvojeno, već se međusobno nadopunjuju, prema principu najvećeg ograničenja prava.

Da bi se mapa dala da dijeli Server 2012 u grupi SMB udio Cmdlets, pojavio se, novi Smbshare Cmdlet. Na primjeru ovog cmdleta vidjet ćemo sve dostupne funkcije prilikom kreiranja zajedničke mape, pored konfiguracija klastera (ovo je zasebna velika tema).

Stvaranje nove zajedničke mape izgleda vrlo jednostavno:
Net Share HomeFolder \u003d S: \\ Ivanivanov / Grant: "Admin", pun / grant: "Foldelowover", Promjena / grant: "Manager", čitanje / predmemorija: "Ivanov" ili
New-Smbshare HomeFolder S: \\ Ivanivanov -CachingMode Programi -FullAcess Admin -Changeaccess Foldeloner -Readaccess Manager -Aaccess All -OldErenMerationMode Pribor prebacene -Deption "Ivanov"

Razumijemo:

-Ma ime zajedničke mape na mreži može se razlikovati od mape na lokalnom računalu. Ima ograničenje u 80 znakova, ne možete koristiti imena cijevi i mailslova.

Put staze do lokalne mape koju želite unijeti. Put mora biti potpun, iz korijena diska.

Cachingmode postavlja autonomiju datoteka u zajedničkoj mapi.

Šta je samostalna datoteka?

Samostalna datoteka je kopija datoteke koja se nalazi na poslužitelju. Ova se kopija nalazi na lokalnom računalu i omogućava vam rad sa datotekom bez povezivanja na poslužitelj. Pri povezivanju promjene sinhronizovani su. Sinhronizirano u oba smjera: Ako ste napravili promjene u vašoj van mresnoj datoteci - sljedeći put kada povežete datoteku na poslužitelju bit će promijenjena; Ako je netko napravio promjene na poslužitelju - tada će se promijeniti vaša lokalna kopija. Ako su se promjene dogodile u obje datoteke odjednom - dobivamo grešku sinhronizacije i morat ćete odabrati koju verziju koja će se sačuvati. Da biste podijelili ovu priliku, ne bih koristio ovu priliku, ali ako napravite loptu za svakog korisnika i ograničite pristup za drugo čitanje, bez mogućnosti snimanja, dobijamo sljedeće peciva:

  • Ne funkcionira u mreži - Može se snimiti prekidač, server se može ponovno pokrenuti, žica se može probiti ili isključiti pristupnu točku - Korisnik radi sa njegovim primjerom, a ne primjećujući da imate neku vrstu nesreće tamo, Pri vraćanju mrežne veze, ide na server.
  • Korisnik može raditi na radu bilo gdje: u vikendici, u autobusu, u avionu - na tim mjestima gdje veza s VPN iz nekog razloga nije dostupna.
  • Ako čak i korisnik radi preko VPN-a, ali vezu ili vrlo spor, ili se stalno probija - lakše je raditi s offline kopijom i sinhronizirati promjene nego pokušati nešto na poslužitelju.
  • Sam korisnik može odabrati to i kada sinhronizirati, ako mu date priliku.

Uzima sljedeće vrijednosti:
  • nijedno - datoteke nisu dostupne izvan mreže, pristup poslužitelju trebaju pristup poslužitelju.
  • priručnik - Korisnici biraju datoteke koje će biti dostupne autonomno
  • programi - svi u mapi dostupni su autonomno (dokumenti i programi (datoteke sa *exe, * .dll ekstenzijom))))
  • dokumenti - Dostupni dokumenti, nema programa
  • branchcache - keširanje umjesto lokalnog računarskog korisnika javlja se na poslužiteljima bezbrana, korisnici biraju sami van mreže
-Neaccess, -Readaccess, -changeaccess, -Fulccess Općih dozvola pristupa (dijeljenje dozvole).

Te dozvole imaju jednu veliku prednost - vrlo su jednostavne.

Noaccess sekretar, stjuard - sekretar i pregovori ionako treba učiniti u općim računovodstvenim mapama
-ReadAccess revizora - provjera revizora Računovodstvenog rada može vidjeti imena datoteka i podmape u zajedničkoj mapi, otvoriti datoteke za čitanje, pokretanje programa.
-Changeaccess računovođe - Računovođe u svojoj zajedničkoj mapi mogu stvoriti datoteke i podmape, mijenjati postojeće datoteke, izbrisati datoteke i podmape
-Preslovne administratore - Fualcess je Reasaccess + Changeaccess plus mogućnost promjene dozvola.

Prilikom kreiranja zajedničke mape automatski se koristi najprirodnije pravilo - grupa "Sve" se daje čitanju.

Te se dozvole primjenjuju samo za korisnike koji imaju pristup zajedničkoj mapi preko mreže. Sa lokalnim unosom u sustav, na primjer, u slučaju terminalnog poslužitelja, a sekretar i kruna bit će vidljivi u računovodstvu, sve te želje. Ovo se ispravljaju NTFS dozvole. Dozvole SMB primjenjuju se na sve datoteke i mape na zajedničkom resursu. Tanja prava pristupa vrše i NTFS dozvole.

ConcreNureNuserlimit Koristite ovaj parametar za ograničavanje maksimalnog broja veza u zajedničku mapu. U principu možete koristiti i za ograničavanje pristupa mapi, nadopunjujući NTFS dozvole, samo morate biti potpuno sigurni u potrebni broj veza.

Opis Opis zajedničkog resursa koji je vidljiv u mrežnom okruženju. Opis je vrlo dobra stvar koju mnogi zanemarivaju.

Šifriranje enkripcije

U SMB-u do verzije 3.0, jedini način zaštite prometa s datotečnog poslužitelja na klijenta bio je VPN. Kako ga u potpunosti implementirati ovisi o preferencijama administratora sistema: SSL, PPTP, IPSec-tuneli ili nešto drugo. U poslužitelju 2012, šifriranje radova iz okvira, u redovnoj lokalnoj mreži ili preko nepouzdanih mreža, bez potrebe za posebnim infrastrukturnim rješenjima. Može se omogućiti i za cijeli poslužitelj i za pojedinačne zajedničke mape. Algoritam šifriranja u SMB 3.0 je AES-CCM, algoritam hashing umjesto HMAC-SHA256 postao je AES-CMAC. Dobra vijest je da SMB 3.0 podržava hardver AES (AES-NI), loša vijest je da Rusija ne podržava AES-NI.

Šta prijeti uključivanju šifriranja? U činjenici da će samo klijenti podržati SMB 3.0 moći će raditi sa šifriranim zajedničkim mapama, odnosno Windows 8. Razlog ponovo, maksimalna dozvoljena granica korisnika korisnika. Pretpostavlja se da administrator zna šta radi i, ako je potrebno, omogućit će pristup kupcima s drugom verzijom SMB-a. Ali otkad SMB 3.0 koristi nove algoritme za šifriranje i klijentski promet s drugom SMB verzijom neće biti šifrirana, potreban VPN. Da bi svi kupci stavili na datotečni poslužitelj sa omogućenim šifriranjem pomoći će set-smbbserverconfiguration -privojnozgravipt-u $ lažnom naredbom
U zadanoj konfiguraciji (ne-pukovni promet za šifrirane zajedničke mape zabranjeno je, dok pokušavate pristupiti mapi klijenta sa verzijom SMB-a ispod 3.0 na klijentu, dobit ćemo "Pristup grešku". Na poslužitelju na Microsoft-Windows-SmbServer / operativni dnevnik dodaće se događaj 1003 u kojem možete pronaći klijentovu IP adresu pokušavajući pristupiti.

Šifriranje SMB-a i EFS-a su različite stvari koje nisu međusobno povezane, odnosno može se koristiti na masti i prefiniti sve.

FoverenMemationMode Ovo je nabrajanje na bazi pristupnog jezika. Sa omogućenim pristupom zasnovanim na pristupu, korisnici koji nemaju pristup zajedničkoj mapi jednostavno ga neće vidjeti na poslužitelju datoteke i bit će manje pitanja, zašto nemam pristup ovoj ili te mapi. Korisnik vidi njegove dostupne mape i ne pokušava se popeti na poslove drugih ljudi. Default - Isključeno.

  • pristup - Omogućite
  • neograničeno - isključite
-Memporty Ovaj ključ stvara privremenu zajedničku mapu, pristup kojem će se zaustaviti nakon ponovnog pokretanja poslužitelja. Podrazumevano su stvorene stalne zajedničke mape.

NTFS dozvole

Uz pomoć NTFS dozvola, detaljnije možemo detaljnije ograničiti prava u mapi. Možemo zabraniti određenu grupu da promijeni određenu datoteku, ostavljajući mogućnost uređivanja cijelog glavnog; U istoj mapi, jedna grupa korisnika može imati pravo da promijeni jednu datoteku i neće moći vidjeti druge datoteke uredili drugu korisničku grupu i obrnuto. Ukratko, NTFS dozvole omogućuju nam da stvorimo vrlo fleksibilan pristupni sistem, glavnu stvar kasnije u njemu se ne zbunjuje. Pored toga, NTFS dozvole rada, kako pristupim mrežnoj mapi, nadopunjujući ukupni pristup dozvolama i lokalnim pristupom datotekama i mapama.

Postoji šest glavnih (osnovnih) dozvola koje su kombinacija 14 dodatnih dozvola.

Glavna dozvola
Potpuni pristup (fullcontrol) - Potpuni pristup mapi ili datoteci, uz mogućnost promjene prava i pravila revizije pristupa mapama i datotekama

Izmijeniti - Pravo čitanje, promjena, pregled sadržaja mape, izbrišite mape / datoteke i pokrenite izvršene datoteke. Sadrži čitanje i izvršenje (Realandexecute), pisanje (pisanje) i brisanje.

Čitanje i izvršenje (Realandexecute) - Pravo na otvaranje mapa i čitanje datoteka, bez mogućnosti snimanja. Moguće je i početi pokrenuti datoteke.

Lista mape sadržaja (listDirectory) - Pravo na pregled sadržaja mape

Čitanje (čitaj) - Pravo na otvaranje mapa i čitanje datoteka, bez mogućnosti snimanja. Uključuje sadržaj mape / čitanje podataka (ReadData), čitanje atributa (čitanjetributa), čitanje dodatnih atributa (čitanje izloženih certibilnosti) i dozvole za čitanje (Readpermissions)

Snimanje (pisanje) - Pravo na stvaranje mapa i datoteka, izmijenite datoteke. Uključuje kreiranje datoteka / pisanja podataka za otvaranje / oštećenje podataka (AppendData), atribut snimanju (WriteaTributes) i snimanje dodatnih atributa (WreteExtendendattributes)

Dodatne dozvole
Stavio sam mapu samo 1 od 14 dozvola i gledao šta se ispostavilo. U stvarnom svijetu u većini slučajeva ima dovoljno glavnih dozvola, ali me zanimalo ponašanje mapa i datoteka s najvećim mogućim pravima.

Traverse mape / Izvođenje datoteka (poverljivo) - Pravo na pokretanje i čitanje datoteka, bez obzira na prava pristupa u mapu. Neće biti pristupa mapi za mapu, (što se nalazi u mapi ostat će misterija), ali datoteke u mapi bit će dostupne u izravnoj vezi (puni, relativni ili unc put). Možete staviti prekomjerne mape u mapu mape, a na datoteci bilo koje druge dozvole koje korisnik mora raditi. Kreirajte i brišite datoteke u mapi korisnika neće raditi.

Čitanje čitanje - Pravo na prikaz atributa (fileattributes) mapa ili datoteke.
Pogledajte sadržaj mape ili datoteka ili promijeniti sve atribute ne može se mijenjati.

Čitanje protektedenattributa (čitati izloženeseti posteljinu) - Pravo na pregled dodatnih atributa mape ili datoteke.

Jedino što sam mogao pronaći na dodatnim atributima je ono što se koriste za pružanje kompatibilnosti na unazad sa OS / 2 aplikacijama. (Windows Internals, Dio 2: Prekrivanje Windows Server 2008 R2 i Windows 7). Ne znam ništa više o njima.

Izrada datoteka / pisanja podataka (Write) - Daje korisniku mogućnost stvaranja datoteka u mapi u kojoj nema pristup. Možete kopirati datoteke u mapu i stvoriti nove datoteke u mapi. Ne možete pregledati sadržaj mape, kreirati nove mape i promijeniti postojeće datoteke. Korisnik neće moći mijenjati nikakvu datoteku, čak i ako je vlasnik ove datoteke - samo kreirajte.

Stvaranje mapa / oštećenja podataka (apenddata) - Daje korisniku mogućnost stvaranja podmapa u mapi i dodajte podatke na kraj datoteke bez promjene postojećeg sadržaja.

Provjeriti

Stvaranjem podmapa, sve je jasno: Ni C: \\ Testperms \\ Testapend -itemtype direktorij će raditi kako se očekuje - stvorit će testperms podmapu za gledanje korisnika. Pokušajmo dodati niz na kraj datoteke - napravite održavanje nekog dnevnika. Newevent \u003e\u003e C: \\ testperms \\ user.log je odbijen pristup.
Hmm ... u CMD ne radi. I ako je tako. AC C: \\ testperms \\ user.log Newevent AC: Odbijen pristup duž "C: \\ testperms \\ user.log".
I u transporteru? "Newevent" | Out-File C: \\ testperms \\ user.log -append izlaz-datoteka: Odbijen pristup duž staze "C: \\ testperms \\ user.log".
I tako ne radi.

Pokrećemo crno magično sjednicu: Koristite klasu datoteke, metodu AppEndText. Dobijamo objekt dnevnika.
$ LOG \u003d :: AppEndText ("C: \\ testperms \\ user.log") Isključenje Kada pozivate "AppEndtext" sa argumentima "1": "Odbijen pristup duž staze" C: \\ testperms \\ user.log "."
Mislim da Appendalltext ne vrijedi pokušati
$ Log \u003d :: appendalltext ("C: \\ testperms \\ user.log", "Newevent") Izuzetak prilikom pozivanja "Appendalltext" sa argumentima "2": "Odbijen pristup na putu" C: \\ testperms \\ user.log " . "
Slučaj, u principu, jasan. Samo su prava na pre-slanje podataka na datoteku iznad metoda dovoljna, potrebna im je unos u datoteku. Ali zajedno s tim pružit ćemo priliku da promijenimo datoteku, a ne samo dodavanje zapisa, odnosno otvorimo potencijalnu sposobnost da uništimo sav sadržaj datoteke.

Moramo preispitati koncept: nemojmo dobiti objekt dnevnika, ali stvoriti novu, u kojoj postavljamo sve parametre koji nas zanimaju. Treba nam nešto gdje možemo izričito odrediti dozvole. Potrebni su nam kraljevci, i tačnije, pomoći ćemo konstruktoru Filestem (string, filemode, filesystemSistems, FilesHare, INT32, finooptions). Sljedeće parametre trebaju:

  • Put do datoteke je jasan
  • Kako otvoriti datoteku - otvorite datoteku i pronaći kraj datoteke
  • Prava pristupa datoteci - podaci podataka
  • Pristup za ostale predmete za kraljevstvo - ne trebaju
  • Veličina međuspremnika - Zadano 8 bajtova
  • Dodatne opcije - Ne
Ispada nešto ovako:
$ LOG \u003d New-Object Io.FileStream ("C: \\ testperms \\ user.log", :: Dodatak, :: Appenddata, :: Nema, 8, :: None)
Radi! Stvorili smo objekt dnevnika, pokušajte da napišete nešto tamo. Metoda FileStream.write uzima dolazne vrijednosti u bajtovima. Distiramo događaj koji želimo da snimimo, u bajtovima - klasnim kodiranjem, metodom genencoding (ne treba nam Krakozyabe na izlazu) i GetBytes (zapravo pretvaranje)
$ Event \u003d "Dogodio se novi događaj." $ Eventbytes \u003d :: Gteencoding ("Windows-1251"). GetBytes ($ događaj)
FileStream.Write Parametri:
Šta pisati; Gdje započeti pisanje; Broj bajtova za pisanje
Mi pišemo:
$ log.write ($ Eventbytes, 0, $ evencebytes.count)
Provjerite.
GC C: \\ testperms \\ user.log GC: Odbijen pristup duž "C: \\ testperms \\ user.log".
Sve je u redu, korisnik nema nikakvih prava na pisanu. Prelazimo pod administratoru.
GC C: \\ testperms \\ user.log se dogodilo novi događaj.
Sve radi.

Mapa u kojoj je datoteka osim dozvole, stvaranje mapa / prekrivačkih podataka mora biti omogućeno da riješi mapu sadržaja / čitanja. Datoteka je dovoljna samo za stvaranje mapa / iskrivljenih podataka s invalidnim nasljeđivanjem. Potpuno zaštitite korisnika (a korisnik može biti napadač) iz datoteka u kojima bi trebao napisati nešto neće raditi, ali s druge strane, pored liste datoteka u mapi, korisnik neće vidjeti ništa i može vidjeti ne.

Zaključak iz ovog jednostavnog: U BANNIKOV-u implementirajte sigurno zapisivanje nečega neće raditi, PowerShell sprema vještinu za rad sa .NET objektima.


Snimanje atributa (WriteaTributes) - Neka korisnik promijeni atribute datoteke ili mape. Čini se da je jednostavno. Ali sada samo odgovorite na pitanje: "Fotografije mojih mačaka zauzimaju gotovo sve mjesto u mom profilu i nemam mjesta za poslovnu prepisku. Želio bih stisnuti mapu s navodnicima, ali ja zahtijevam prava administratora. Rekli ste da imam pravo da promijenim atribute mapa. Je li atribut? Zašto ga ne mogu promijeniti? "

Da, korisnik s pravom na pisanju atributa može se mijenjati gotovo svim vidljivim atributima datoteka i mapa, osim atributa kompresije i šifriranja. Tehnički, korisnik je s obzirom na pravo izvršenja funkcije setFileattributeta. A kompresija datoteke vrši funkcija DeviceIcontrol, koju želite prenijeti parametar FSCTL_SET_COMPresion i kompresija datoteke je daleko od njenog rada. Ovom značajkom možemo upravljati svim uređajima i njihovim resursima u sustavu i vjerovatno davati korisniku da ovo pravo na izvedbu ove karakteristike znači učiniti da ga učini administratorom.

Sa šifriranjem je priča slična: Encryptilfile funkcija, koja je samo odgovorna za šifriranje, zahtijeva da korisnik ima pravo na sadržaj mape / čitanja podataka, stvarajući datoteke / pisanje podataka, atribute za čitanje, atribute za čitanje i sinkronizaciju na objekt. Bez njih se ništa neće dogoditi.

Snimanje pisanja pisanja (pisanja pisanja). Pa, ovo su oni koji se koriste za kompatibilnost sa unazad sa OS / 2 aplikacijama, Aha. Pa čak i u naprednim atributima datoteke C: \\ Windows \\ System32 \\ Services.exe nedavno počeo pisati Trojanov (Zeroaccess.c). Možda bi ih trebali isključiti na vrhunskom nivou? Ne mogu odgovoriti na ovo pitanje, teoretski - možda je vrijedno toga, praktično u proizvodnji - nisam pokušao.

Uklonite podmape i datoteke. (Deletesubdirectionsandfiles) Zanimljiva rezolucija primijenjena samo u mape. Suština je omogućiti korisniku da izbriše podmape i datoteke u matičnoj mapi, bez davanja dozvole za uklanjanje.

Pretpostavimo da postoji katalog robe u kojoj korisnici donose podatke. Postoji matična katalog mape, unutar podmape prema abecedi, od a do z, neka imena unutar njih. Imena se mijenjaju svaki dan, nešto se dodaje, nešto se mijenja, nešto postaje zastarjelo i trebate izbrisati zastarjele informacije. Ali neće biti baš dobro ako neko u plovku ili zlonamjernoj namjeri valja cijeli katalog k, što je vrlo moguće ako korisnici imaju pravo da se uklone. Ako pokupite pravo da uklonite pravo, a administrator može sigurno promijeniti rad, jer će cijeli dan obavljati zahtjeve za brisanje imena cijeli dan.

Ovdje se okreće uklanjanjem podmapa i datoteka. U svim pismima abecede nasljedstvo je onemogućeno i korisnici se obrađuju radi brisanja podmapa i datoteka. Kao rezultat, u mapi Katalog korisnici neće moći ukloniti bilo kakvo slovo, ali unutar slova mogu ništa izbrisati.

Izbriši. Ovdje je sve jednostavno. Izbriši se briše. Ne radi bez prava na čitanje.

Readpermissions Čitanje Daje pravo korisniku da pregleda dozvole na mapi ili datoteci. Nema pravo - korisnik ne vidi dozvolu na sigurnosnoj kartici

Promjena dozvola (promjene rasporeda) - Omogućuje korisniku da promijeni dozvole, u suštini čini korisnika administratorom mape. Na primjer, možete koristiti za delegiranje ovlasti tehničke podrške. Bez prava na čitanje dozvola, nema smisla. Promjena dozvola ne podrazumijeva promjenu vlasnika mape.

Promjena vlasnika (preuzimanja) - Za početak, ko je takav vlasnik. Vlasnik je korisnik koji je stvorio datoteku ili mapu.

Značajka vlasnika je u tome što ima puni pristup stvorenoj mapi, može distribuirati dozvole svojoj stvorenoj mapi, ali još važnije - niko ne može lišiti vlasnika prava na svoju mapu ili datoteku. Ako je Vasya stvorio mapu, dao je puni pristup kućnim ljubimcima, a Petya je poprimio pristup mapi uopšte i Vasi posebno, tada Vasya bez puno poteškoća može vratiti status quo, kao što je vlasnik mape. Promjena vlasnika mape Petya neće moći, čak ni ako ima dozvolu za promjenu vlasnika. Štaviše, čak i Vasya ne može promijeniti vlasnika, uprkos činjenici da je stvorio mapu. Pravo na promjenu vlasnika odnosi se samo na grupe administratora ili administratore domene.

Ali ako je Petya unutar mape Vasina stvorila datoteku i nije vam dala pristup tome, onda možete samo misliti i pogoditi šta je unutar ove datoteke takve tajne. Vasya neće moći mijenjati prava pristupa dosjea, jer je vlasnik datoteke Petya. Također, Vasya neće moći mijenjati vlasnika datoteke - promjena vlasnika podpunica i objekata je također privilegija grupe administratora, na koju se Vasya ne primjenjuje. Jedina verzija wasi opcije je pogledati file Petin unutar vaše mape.

Upravljati

CMD za upravljanje dozvolama dobro se koristi dobro poznati icacls. U Powersellu, upravljanje NTFS-dozvole izgleda ovako:

Nabavite objekt kojem ćemo postaviti dozvole
$ Acl \u003d get-acl c: \\ testperms
Izgradite liniju s pravima koristeći sistem.security.accesscrol.filesystemAccessrule klase. Možemo postaviti sljedeće parametre:

  • grupa / korisničko ime - za koga radimo ACL
  • rezolucija - ACE (prihvaća vrijednosti navedene u post)
  • primjenjuje se na - u GUI je padajuća lista u dodatnim sigurnosnim parametrima. U stvari, poduzimaju se samo 3 vrijednosti: nijedno (samo u ovu mapu), kontejner (odnosi se na sve podmape), objektiinherit (odnosi se na sve datoteke). Vrijednosti se mogu kombinirati.
  • primijenite ove dozvole na predmete i posude samo unutar ovog spremnika (potvrdni okvir u GUI) - također 3 vrijednosti: nijedno (potvrdni okvir), nasljednina (ACE se odnosi samo na odabrani tip objekta), nopropagateinherit (primjenjuju dozvole samo unutar ove posude).
  • pravilo - dozvoliti (dopustiti) ili zabraniti (negirati)
Zadani red će izgledati ovako:
$ dozvola \u003d "Contoso.com \\ Admin", "FullControl", "Kontejnerherit, objectherit", "Nema", "Dozvoli"
Napravite novi as sa gore navedenim dozvolama
$ Ace \u003d New-Clear Security.AccessControl.FileSysteMistemStRul.FileSystemAccesrule $ dozvola
I primijenite svježe stvorenu ACE u objekt
$ Acl.setAccessrule ($ ace) $ ACL | SET-ACL C: \\ testperms

Prijavite se u praksi

Naoružani sa znanjem o dozvolama SMB-a i NTFS-a, kombiniraju ih može se stvoriti pristupom pravilima apsolutno svake složenosti. Nekoliko primjera:
Vrsta SMB dozvole NTFS dozvole
Folder za sve (javno) Članovi čitanje / snimanje Korisnici - promjena
Crna kutija. Korisnici bacaju povjerljive izvještaje, prijedloge, pukotine - čitanje vodiča. Članovi čitanje / snimanje
Priručnik - čitanje / pisanje		 Korisnici - zapis, prijavite se samo za ovu mapu. Pretpostavlja se da je unos datoteke u ovu mapu u jednosmjernoj karata, jer pogodan način za uređivanje bez prava na pregled sadržaja mape mape sačuvanih u ovoj mapi datoteke ne postoji (pogodan za korisnike metode Usput pismenog u takvu mapu ne postoji ni). I gledanje krši privatnost.

Priručnik - Promjena.
Aplikacije Korisnici čitanje Korisnici čitanje, čitanje i izvršavanje, gledanje sadržaja mape.

Naravno, neke aplikacije mogu zahtijevati dodatna prava na rad. Ali, na primjer, pohrana sustava komunalnih usluga za dijagnostiku (isti sysInterAls Suite) je sasvim dovoljna.

Korisnički profili Svaki korisnik - pročitajte / pišite svojoj mapi Svaki korisnik je promjena njegove mape.

Dozvole u sustavu Windows - kontradiktivna stvar. S jedne strane, glavne dozvole su prilično jednostavne i pokrivene su 90% slučajeva. Ali kada se počne suptilnije tuning: različiti korisnici korisnika, jedna mapa, sigurnosni zahtjevi za zajedničke mape - zatim se bave dodatnim dozvolama, nasljeđivanja i vlasnika prilično su teški.

Nadam se da nisam nikoga više dirao.

U prethodnom predavanju razgovarali smo o mrežnoj sigurnosti i o takvoj stvari kao dozvoljenjima, ali vrijedi se vratiti sada, jer su dozvole dostupne samo na tvrdim diskovima u NTFS formatu. U ovom ćemo odjeljku razgovarati o NTFS mogućnostima da zaštitimo vaše datoteke iz znatiželjnih očiju. Za razliku od masnog sistema, pristup zajedničkim resursima ne može se uključiti i isključiti. NTFS pruža ovaj nivo detalja o odabiru, koji preskače samo one koje želite osigurati pristup i sijati sve ostale.

Dozvole zasebnog korisnika

Prije rasprave o korisničkim i grupnim dozvolama, kao i samim dosjema, važno je razmotriti osnove dozvola. Prvo pokazujemo šta je nasljedstvo, a zatim razmotrimo Profesionalni alat Windows XP, koji bi vam trebao pomoći, ali može se pretvoriti u spontan blok ako ne shvatite u njenim funkcijama.

Nasljeđivanje

Na mreži može biti svih nekoliko korisnika, a mogu biti hiljade. Prilikom instaliranja prilagođenih dozvola za NTFS sveske i mape, ovaj zadatak može biti relativno jednostavan u organizaciji koja se sastoji od šest ljudi. Kao što je već napomenuto u predavanjima 9, ako organizacija počne rasti, podjela korisnika u određene grupe čini da je upravljanje dozvola mnogo lakše.

Prvo biste trebali stvoriti skup dozvola za određenu grupu, na primjer za inženjere. U ovom slučaju, kada se novi inženjer pojavi u organizaciji, automatski se dodaje ovoj grupi. U isto vrijeme nas naslijeđuje dozvole za ovu grupu.

Bilješka. Nasljeđivanje je povezano sa drugim NTFS Tom objektima. Na primjer, ako postavite dozvole za određenu mapu, a zatim ste stvorili podmapu u njemu, a zatim pravo nasljeđivanja oslobađa vas od stvaranja novog seta dozvola za ovu podmapu, jer nasljeđuje dozvolu mape matične mape.

Ako mislite da je grupa inženjera potrebno izdati ili nastaviti određenu rezoluciju, lako je učiniti. Nakon promjene (o čemu ćemo kasnije razgovarati o ovom predavanju) novo odobrenje je dodijeljen svakom članu ove grupe.

S druge strane, neki određeni inženjer može zahtijevati rezoluciju u kojoj ostatak ne treba. Možete ući u grupu inženjera, izvršite promjene potrebne ovom korisniku, a dobit će novo odobrenje koje ga neće naslijediti za pripadnost ovoj grupi. U ovom slučaju, dozvolu se neće distribuirati drugim članovima grupe.

Novi kvalitet u Windows XP Professional je jednostavna dijeljenje datoteka (jednostavna dijeljenje datoteka). Ova značajka uključena je u primarnu instalaciju Windows XP Professional ili kada koristite jačinu ili mapu. Da biste povezali više alata za kontrolu pristupa korisnicima, jednostavno dijeljenje datoteke mora biti onemogućeno.

Možete postaviti pitanje zašto trebate jednostavno dijeliti datoteke ako se ova funkcija mora isključiti. Tek tada da olakša proces dijeljenja datoteka i mapa. S jednostavnom datotekom dijeljenja, nema datoteka i više konfiguracija za pristup korisnicima u datoteke, pisače itd. To osigurava jednostavan način dijeljenja datoteka. Međutim, ako želite uspjeti onima koji mogu dobiti pravo na pristup datotekama, jednostavno dijeljenje datoteka treba biti onemogućeno. Da biste to učinili, uradite sljedeće korake.

  1. Odaberite Start \\ My Computer (Start \\ My Computer), a zatim kliknite Alati i odaberite Opcije mape (Svojstva mape).
  2. U dijaloškom okviru Opcije mape kliknite na karticu View.
  3. Pregledajte listu postavki u prozoru Napredne postavke, a zatim potvrdite potvrdni okvir za upotrebu jednostavnog dijela datoteka za upotrebu pomoću okvira za upotrebu jednostavnog dijela datoteka.
  4. Kliknite na U redu.

Bilješka. Sama po sebi, onemogućavanje jednostavnog dijeljenja datoteka neće vam omogućiti postavljanje dozvola za datoteke. Također biste trebali postaviti sve svoje datoteke i mape u NTFS zapreminu ili odjeljak.

Dozvole za mape i volumene

Dozvole vrše kontrolu nad činjenicom da korisnik ili grupa mogu učiniti sa objektom na mreži ili na svom lokalnom računaru. Dozvole su podržane samo kada se isključuje jednostavnim dijeljenjem datoteke i na tvrdom disku u NTFS formatu. U navedenim dozvolama dodijeljenim mapama i u - za datoteke.

Tabela 10.2. Rezolucije mapa
Rezolucija
Promjena dozvola Promijenite dozvole mapa.
Kreirajte datoteke. Stvaranje novih datoteka u ovoj mapi.
Napravite mape. Stvaranje poddirektorata u ovoj mapi.
Izbriši. Izbriši mapu.
Izbrišite podmape i datoteke Izbrišite datoteke i poddirektorije, čak i ako nemate dozvolu za stvaranje.
Lista mapa. Pogledajte sadržaj mape.
Pročitajte atribute. Pogledajte atribute mape.
Pročitajte dozvole Pogledajte dozvole za mapu.
Preuzmi vlasništvo. Dodjeljivanje prava drugog korisnika da posjeduje mapu.
Traverse mape. Otvaranje mape za prikaz poddirektorskih i mapa roditelja.
Pišite atribute. Izmjene promjena u svojstvima mapa.
Tabela 10.3. Rezolucija datoteke
Rezolucija Omogućuje ili zabranjuje ovu akciju
Dodavanje podataka. Dodavanje informacija na kraj datoteke bez promjene postojećih informacija.
Promjena dozvola Izmjena promjena u dozvolu datoteke.
Izbriši. Brisanje datoteke.
Izvršavati datoteku. Pokrenite program koji se nalazi u datoteci.
Pročitajte atribute. Pogledajte atribute datoteka.
Pročitajte podatke. Pogledajte sadržaj datoteke.
Pročitajte dozvole Pogledajte dozvole za datoteke.
Preuzmi vlasništvo. Dodjeljivanje vlasništva nad vlasništvom ovog dosijea drugog vlasnika.
Pišite atribute. Promijenite atribute datoteka.
Napišite podatke. Promjena sadržaja datoteke.
Stvaranje i upravljanje dozvolama

Izrada dozvola za pojedinačne datoteke, mape i NTFS sveske, možete koristiti mnogo više sigurnosnih opcija od ponude sistema FAT datoteke. Kartica Svojstva odabrane mape ili jačine zvuka uključuje karticu Sigurnost. Klikom na njega možete vidjeti brojne opcije za kontrolu pristupa.

Da biste podesili dozvole ove mape ili volumena, uradite sledeće korake.

  1. Navedite jačinu ili mapu za koju ćete postaviti dozvole.
  2. Desnom tipkom miša kliknite i odaberite Svojstva.
  3. Odaberite karticu Sigurnost.

Bilješka. Ako je NTFS glasnoća u dijeljenju, tada morate postaviti dozvole putem sigurnosne kartice, a ne upotreba gumba Dozvole (dozvole) na kartici Dijeljenje.

U prozoru svojstava koji se pojavljuje, vidjet ćete dva prozora. Vrhunski prozor sadrži popis korisnika i grupa (). U Nižnjem - popis dozvola za korisnika koji se može instalirati i prilagoditi. Opet, ova kartica je dostupna za sveske u NTFS formatu.

Sl. 10.7. Dijaloški okvir Sigurnosni kartica (Sigurnost) svojstva

Klikom na određeni korisnik ili grupu možete postaviti dozvole za njih u donjem prozoru. Na raspolaganju su sljedeća dozvola.

  • Potpuna kontrola. Omogućuje korisniku ili grupi da čitaju, kreiraju, izmijene i brišu datoteke.
  • Izmijenite (modifikacija). Omogućuje korisnicima da izbrišu datoteke i mape, mijenjaju promjene u dozvolu ili primaju vlasništvo nad datotekom ili mapom od drugog korisnika.
  • Pročitajte i izvršite (čitanje i izvršenje). Omogućuje korisnicima da čitaju i pokreću datoteke bez promjena u sadržaju dijeljenog volumena ili mape.
  • Lista sadržaja mape (lista sadržaja mape). Omogućuje korisnicima da pregledaju sadržaj mapa.
  • Pročitajte (čitanje). Omogućuje korisnicima da pregledaju sadržaj jačine ili mape. Takođe mogu otvoriti datoteke, ali nemaju pravo da sačuvaju promjene.
  • Pisati. Omogućuje korisnicima da bilježe u mapama ili količini, ali zabranjuje otvaranje datoteka ili pregledati popis datoteka.
  • Posebne dozvole (posebne dozvole). Klikom na dugme Advanced (opciono) možete primijeniti posebne dozvole.
Ograničavanje broja korisnika

Ovisno o veličini i strukturi organizacije, možda nećete dozvoliti istovremeno pristup svim onima koji žele jedan. Ako trebate uspostaviti ograničenje broja korisnika koji istovremeno imaju pristup mapi, otvorite dijaloški okvir Dozvole i odaberite karticu Dijeljenje (Sl. 10.8).

U odjeljku Korisnički ograničenje (ograničenje broja korisnika) navedite jednu od sljedećih opcija.

  • Maksimalno dopušteno omogućava pristup maksimalnom broju mrežnih korisnika.
  • Dopustite da ovaj broj korisnika omogućuje pristup samo za navedeni korisnički broj.

Više detalja o dozvolama možete pronaći u CH. devet.

Da biste upravljali korisnikom Pristup mapama i datotekama, koristi se detaljan i složen sistem dozvola. Mehanizam kontrole pristupa za Windows objekte jedan je od najotpisanijih među poznatim operativnim sistemima. Za datoteke i mape postoji najmanje 14 NTFS dozvola koje se mogu uključiti ili blokirati - i provjeriti. Ove dozvole mogu se dodijeliti datoteke ili mape i korisnici ili grupe. Pored toga, moguće je dodijeliti redoslijedu dozvola nasljeđivanja za datoteke ili mape i korisnike ili grupe. U labirintnim dozvolama se lako izgube. Ovaj članak govori o tome kako dozvole za mape i datoteke i najefikasnije načine njihove primjene.

Osnove pristupa objektima

Korisnik nikad ne uđe u direktan "kontakt" sa bilo kojim objektom Windows-a. Sav pristup objektima vrši se putem programa (na primjer, Windows Explorer, Microsoft Office) ili procesi. Program koji se odnosi na resurse u ime korisnika vrši postupak koji se naziva lažno predstavljanje (lažno predstavljanje). Program koji se odnosi na udaljeni resurs vrši postupak pod nazivom Delegacija (delegacija).

Nakon registracije korisnika, njegov identifikator sustava (identifikator sistema - SID) i SID identifikatori obrađuju se procesom LSASS.exe koji generira siguran marker za pristup korisniku. Drugo se informacije unose u siguran pristup pristupu, uključujući korisnike dodijeljene prava (dozvole), ID korisnika (jedinstveno za svaku sesiju), maska \u200b\u200bza dozvolu sa detaljnim opisom traženog pristupa. Prava dodijeljena korisniku mogu se vidjeti koristeći timu.

Ako se program žali od korisnika na siguran resurs, sigurnosni monitor (sigurnosni referentni monitor) zahtijeva korisnikov sigurni karton za pristup korisniku. Tada sigurnosni monitor analizira marker za određivanje učinkovite dozvole korisnika i omogućava ili zabrani izvršenje korisnika koji je korisnik tražio. Efektivna dozvola su detaljnije opisane u nastavku.

Dozvole udio.

Svaki Windows zaštićeni objekt uključuje datoteke, mape, dijeljene resurse, štampače i registarske sekcije - podržava sigurnosne rezolucije. Svaka Windows mapa može se izvesti javno za rešavanje udaljenog pristupa. Podijeli Dozvole mogu se dodijeliti bilo kojoj predmetima mapa i pisača u Windows-u, ali dozvole se primjenjuju samo ako se referenca na objekt nastaju putem mrežnog resursa. Dozvole za dijeljenje mape uključuju punu kontrolu, promjenu i čitanje.

Sigurnosni subjekti koji su dodijeljeni punom pristupu (potpunu kontrolu) objektu mogu proizvesti gotovo bilo koje operacije sa objektom. Mogu izbrisati, preimenovati, kopirati, premještati i promjenu objekta. Korisnik s pravom pune kontrole može promijeniti rezoluciju objekta dionica i postati vlasnik objekta (ako to više nije vlasnik i nema dozvolu za preuzimanje vlasništva). Dakle, svaki korisnik s potpunom kontrolnom rezolucijom može otkazati dozvole drugih osoba, uključujući administratora (iako administrator uvijek može vratiti posjed i dozvole). Mogućnost promjene dozvola je obavezan zahtjev bilo kojeg operativnog sistema sa selektivnim upravljanjem pristupa (DAC), poput prozora.

U većini slučajeva, osnovna rješavanja pristupa resurusu koji zahtijevaju uobičajeni korisnici je promjena. Korištenje rezolucije promjene, korisnik može dodati, brisati, promijeniti i preimenovati sve resurse u odgovarajućoj mapi. Rezolucija čitanja pruža pregled, kopiranje, preimenovanje i ispis predmeta. Korisnik s rezolucijom čitanja može kopirati objekt na drugo mjesto u kojem puna kontrola ima pravo.

NTFS dozvole

Ako se u Windows-u koristi NTFS datotečni sustav (i ne FAT) u Windows-u, tada sve datoteke, mape, sekcije registra i mnogi drugi predmeti imaju NTFS dozvole. NTFS dozvole koriste se i sa lokalnim i udaljenim pristupom objektu. Da biste pogledali i promenili dozvole NTFS datoteke ili mape, kliknite Desnim klikom na objekt, odaberite stavku svojstva i Idite na karticu Sigurnost.

Tabela 1 prikazuje 7 ukupnih NTFS dozvola. Ukupna su različita kombinacije 14 detaljnije dozvole prikazane u tablici 2. Pogledajte detaljne dozvole, možete otvoriti dijaloški okvir Napredne sigurnosne postavke za objekt klikom na gumb Napredno na kartici Sigurnost, a zatim kliknite gumb Uredi Kartica Dozvole. Upoznajte se s detaljnim dozvolama objekta (posebno zatražene povećane sigurnosti) - korisna navika, iako zahtijeva više napora. Ukupna dozvola ne odražavaju uvijek tačno ne odražavaju status detaljnih dozvola. Na primjer, morao sam vidjeti ukupno odobrenje čitanje, iako je u stvarnosti korisnik imao dozvolu za čitanje i izvršenje.

Slično razlučivosti potpunog udjela za kontrolu, dozvola pune kontrole NTFS pruža vlasnicima velikih mogućnosti. Korisnici koji nisu administratori često imaju dozvolu pune kontrole u njihovom kućnom imeniku i drugim datotekama i mapama. Kao što je već napomenuto, vlasnik prava takvog nivoa može promijeniti dozvole datoteke i imenovati sam od strane vlasnika. Umjesto da korisnicima pruža dozvolu iz pune kontrole, možete im dati samo pravu modifikaciju. Ako je korisnik vlasnik datoteke, potom, ako je potrebno, možete ručno zabraniti da promijenite dozvole.

Tehnički su NTFS dozvole poznate kao selektivne liste kontrole pristupa (DACL diskreciono). Dozvole za reviziju poznate su kao sustav ACLS (SACL). Većina zaštićenih NTFS objekata ima dozvole obje vrste.

Uticaj Windows Trust

Prema zadanim postavkama, sve domene i šume i šume za Windows 2000 i kasnije verzije imaju bilateralne odnose povjerenja sa svim ostalim šumskim domenima. Ako domena vjeruje drugom domenu, tada svi korisnici u pouzdanom domenu imaju iste sigurnosne dozvole u domenu povjerenja kao grupa za svaku grupu i grupne autentične korisnike koji vjeruju u domenu. U bilo kojoj domeni, mnoge dozvole propisuju ove grupe prema zadanim postavkama, a povjerenje odnosi implicitno pružaju široka prava koja se ne bi pružala u drugim slučajevima. Treba imati na umu da ako povjerljive odnose ne dijele uzorku prirodu, tada su svake dozvole koje pružaju svima i ovjerene grupe korisnika dodijeljene svim ostalim korisnicima u šumi.

Provjerite dozvole iz naredbenog retka

Administratori često koriste alate naredbenog retka kao što su subinacl.exe, xacls.exe i cacls.exe za provjeru NTFS dozvola. SubIncl je uključen u resurse resursa za resurse resursa Windows Server 2003. Pomoću subinACL-a možete pregledati i promijeniti NTFS dozvole za datoteke, mape, objekte, unose u registar i usluge. Najvažnija mogućnost subINACL je kopiranje korisničkih dozvola, grupa ili objekta i primijeniti ih na drugi korisnik, grupu ili objekt u istoj ili drugoj domeni. Na primjer, kada premjestite korisnika iz jedne domene na drugu, novi je korisnički račun kreiran u Windows-u; Svi prethodno postojeći SIDS ili dozvola povezana s početnim korisnikom otkazuju se. Kopiranje dozvole za novi korisnički račun pomoću SubinACL-a možete ih učiniti identičnim. XCacls funkcionira slično na subinACL i dio je sustave resursa resursa za resurse Windows 2000 servera.

Program CACLS-a opisani su u Microsoftu koji je objavio Microsoft članak "Nedocumentd CACLS: Mogućnosti dozvola Grupe". Ovo je stariji alat koji se pojavio kao dio prozora iz Windows NT-a. CACLS nije toliko koristan kao subincl ili xacls, ali korisnost je uvijek dostupan u Windows sistemu. Sa CACLS-om možete pregledati i promijeniti datoteke i dozvole od strane korisnika i grupa, ali ne stvaraju detaljne NTFS dozvole. Trenutno su CACLS karakteristike ograničene na rad bez pristupa, čitanjem, promjenama i punim kontrolnim dozvolama koje odgovaraju NTFS dozvolama, ali ne rješavanje udjela. Pored toga, dozvola za čitanje programa CACLS ispunjava rezoluciju Read & Execute NTFS sustavom.

Nasljeđivanje

Prema zadanim postavkama, sve datoteke, mape i sekcije registra nasljeđuju dozvole iz matične posude. Nasljeđivanje se može aktivirati ili onemogućiti za pojedinačne datoteke, mape ili registar i za pojedine korisnike ili grupe. Kao što vidimo na ekranu 1, primjenjuju se na polje na kartici Dozvole u dijaloškom okviru Advanced Security Settits pokazuje da li je radnja određene rezolucije ograničena na trenutni spremnik ili se proteže na podmape i datoteke. Administrator može dodijeliti dozvolu (za pojedine korisnike) koji su nasljeđeni ili ne. U ovom primjeru, grupa za svaku ima dozvolu za čitanje i izvršenje u trenutnoj mapi, a ta dozvola nije nasljeđena.

Ako datoteka ili mapa nasljeđuju većinu svojih dozvola, ali ima i skup jasno navedenih dozvola, potonje uvijek ima prednost naslijeđenim pravima. Na primjer, korisniku možete pružiti dozvolu pune kontrole - negiranje u korijenskom katalogu određenog zapremine i postavite nasljeđivanje ovih dozvola po svim datotekama i mapama diska. Zatim možete dodijeliti bilo koju datoteku ili mapu na disku desno za pristup, koji otkazuje naslijeđeni režim pune kontrole.

Efektivna dozvola

Windows Sigurnosni monitor definira učinkovite korisničke dozvole (stvarne dozvole koje imaju u praksi) uzimajući u obzir nekoliko faktora. Kao što je gore navedeno, monitor za zaštitu prvo prikuplja informacije o korisničkom individualnom računu i svim grupama kojima pripada i sažima sve dozvole dodijeljene svim korisniku i grupnim sisima. Ako negirate i dopustite da postoje dozvolama na jednom nivou, tada, u pravilu, negiraju prioritet. Ako prioritet dobije potpunu kontrolu - negira, korisnik obično nema pristup objektu.

Prema zadanim postavkama, prilikom registracije NTFS i dijeljenja dozvola (korisnik se povezuje na resurs preko mreže), monitor zaštite mora prikupiti sve podjele i NTFS dozvole. Kao rezultat toga, efikasna dozvola korisnika skup su dozvola koje pružaju i dozvole za dijeljenje i NTFS.

Na primjer, na kraju, korisnik se može pokazati da bi bilo moguće čitati i promijeniti i promjene NTFS-a i modificiraju se. Učinkovite dozvole - najmanji skup dozvola. U ovom slučaju, dozvole su gotovo identične. Efektivna dozvola bit će čitati i mijenjati / modificirati. Mnogi administratori pogrešno vjeruju da se efikasne dozvole čitaju samo, zbog loših, pretjerano pojednostavljenih primjera ili zastarjele dokumentacije.

U dijaloškom okviru Advanced Security Settings u Windows XP i novijim verzijama pojavila se kartica efektivne dozvole (vidi ekran 2). Nažalost, na kartici Efektivne dozvole odražavaju se samo NTFS dozvole. Uticaj dozvola za dijeljenje, akcije na osnovu članova čije članstvo nema i druge faktore, kao što su sustav za šifriranje (šifriranje datotečnog sistema - EFS). Ako se EFS aktivira za datoteku ili mapu, korisnik s odgovarajućim NTFS i dozvolama dijeljenja može izgubiti mogućnost pristupa objektu ako nema EFS pristup mapi ili datoteci.

  • Pažljivo pružite dozvolu iz potpune kontrole redovnim korisnicima. Korisno je dodijeliti ga umjesto izmijenjene rezolucije. U većini slučajeva ovaj pristup korisnicima pruža sve potrebne dozvole, ne dopuštaju promjenu prava ili dodijeliti vlasništvo.
  • Pažljivo radite sa svima grupama; Bolje je koristiti ovjerene korisnike (ili korisnike) grupu ili posebnu ograničenu grupu. Važne propuste ovjerenih korisničkih grupa su nedostatak gosta i ne-autentičnog korisnika.
  • Često se zatraži mrežne administratori za ulazak u goste za korisnike treće strane (na primjer, konsultanti, izvođači, slobodni programeri). Ali redovna prava korisnika često su suvišne za goste. Trebali biste kreirati i koristiti grupu čija su prava vrlo obrezana (na primjer, puna dozvola za kontrolu-negiranje za korijenske imenike), a zatim izričito omogućuju pristup datotekama i mapama potrebnim za ovaj račun za ovaj gost. Poželjno su izričito imenovane dozvole, jer gostuju korisnike s tim dozvolama koje su potrebne za njihov rad, ali ne i više.
  • Treba uzeti skrb, impozantne zabrane grupa svih i korisnika, jer su administratori uključeni u ove grupe.
  • U slučaju odnosa povjerenja s drugim domenama, korisno je primijeniti jednostrane i selektivno povjerenje kako bi se ograničila prava korisnika pouzdane domene.
  • Potrebno je povremeno revidirati NTFS i dijeliti dozvole kako bi bili sigurni da su što je moguće ograničene.

Koristeći ove preporuke i referentne tablice sa kratkim opisom svih dozvola, možete sigurno ići na lavirint datotečnog sustava. Administrator će moći samouvjereno dodijeliti dozvole za datoteke, mape, korisnike i grupe.

Tabela 1. Sažetak dozvola NTFS

Rezolucija

Djelovati

Pruža pregled, kopiranje, ispis i preimenovanje datoteka, mapa i objekata. Ne pokreće programski izvršne programe, osim datoteka scenarija. Omogućuje vam čitanje dozvola objekata, atributa predmeta i naprednih atributa (na primjer, arhiva, EFS bit). Omogućuje vam da napravite popis datoteka i mape podmape.

Dozvole za čitanje, plus kreiranje i prepisivanje datoteka i mapa

Lista (samo mape)

Omogućuje vam pregledavanja imena datoteka i podmape unutar mape

Pročitajte dozvole i pokretanje softverskih datoteka

Pruža sve dozvole, osim mogućnosti dodjele posjedovanja i dodjeljivanja dozvola. Omogućuje vam čitanje, brisanje, promjenu i prebrisati datoteke i mape.

Pruža punu upravljanje mapama i datotekama, uključujući omogućava vam dodjeljivanje dozvola.

Posebne dozvole

Omogućuje vam izradu kombinacije 14 detaljnijih dozvola koje ne unose u bilo koju od ostalih ukupnih dozvola. Ova grupa uključuje sinhronizujuću dozvolu

Tabela 2. Detaljna NTFS dozvola

Rezolucija

Djelovati

Traverse FILDER / EXECUTE datoteka

Traverse mapa omogućava vam prelazak na mape da biste pristupili drugim datotekama i mapama, čak i ako sigurnosni subjekt nema dozvole u tranzitnom mapu. Primjenjuje se samo u mape. Traverse mapa stupa na snagu samo ako sigurnosni subjekt nema dozvolu za obračunu za obračunu za obilaženje (pruža se zadanim grupama svih grupa). Izvršite datoteku omogućava vam pokretanje datoteka programa. Dodjeljivanje dozvole Traverse mape za mapu automatski ne instalira dozvole izvršenja datoteka za sve datoteke u mapi

Popis mape / čitanje podataka

Omogućuje prikazi imena datoteka i podmape u mapi. Lista mapa utiče na sadržaj mape - ne utiče li da će mapa biti unesena u popis za koju je dodijeljena rezolucija. Pročitajte podatke omogućava vam pregled, kopiranje i ispis datoteka

Sigurnosni entitet vidi atribute objekta (na primjer, samo za čitanje, sustav, skriveno)

Pročitajte proširene atribute.

Sigurnosni entitet vidi proširene atribute objekta (na primjer, EFS, kompresiju)

Kreirajte datoteke / pisanje podataka

Kreirajte datoteke Omogućuje vam kreiranje datoteka unutar mape (primijenjeno samo u mape). Napišite podatke omogućava vam promjene u datoteci i prebrisati postojeći sadržaj (primijenjeno samo na datoteke)

Kreirajte mape / dodate podatke

Stvorite mape Omogućuje vam kreiranje mapa unutar mape (nanosi se samo u mape). Dodavanje podataka omogućuju vam promjene na kraju datoteke, ali ne mijenjajte, brišete ili prepisujete postojeće podatke (primjenjuju samo na datoteke)

Pišite atribute.

Određuje da li sigurnosni subjekt može snimiti ili promijeniti standardne atribute (na primjer, datoteke samo za čitanje, skrivene, skrivene) i mape. Ne utječe na sadržaj datoteka i mapa, samo na njihovim atributima.

Napišite proširene atribute.

Određuje da li sigurnosni subjekt može snimiti ili izmijeniti proširene atribute (na primjer, EFS, kompresiju) datoteke i mape. Ne utiče na sadržaj datoteka i mapa, samo na njihovim atributima

Izbrišite podmape i datoteke

Omogućuje vam brisanje podmapa i datoteka, čak i ako se rezolucija izbrisanja ne pruža podmapa ili datoteka

Omogućuje vam izbrisavanje mape ili datoteke. Ako nema dozvole za brisanje datoteke ili mape, može se izbrisati ako postoji rezolucija brisanje podmapa i datoteka u matičnoj mapi

Pročitajte dozvole

Promjena dozvola

Omogućuje vam promjenu dozvola (na primjer, datoteku ili mapu pune kontrole, čitanje, pisanje). Ne dozvoljava vam da sama promenite datoteku

Određuje ko može biti vlasnik datoteke ili mape. Vlasnici uvijek mogu imati potpunu kontrolu, a njihova dozvola u datoteci ili mapi ne mogu se stalno otkazati ako se vlasništvo ne otkaže.

Administratori rijetko koriste ovu dozvolu. Koristi se za sinhronizaciju u višestrukim, višeprocesnim programima i određuje interakciju između nekoliko niti koji se privlače na jedan resurs.

Dozvole NTFS-a koriste se za zaštitu resursa od:

    lokalni korisnici koji rade na računaru na kojem se nalazi resurs;

    daljinski korisnici povezani su na zajedničku mapu preko mreže.

NTFS dozvole pružaju visoku sigurnosnu selektivnost: za svaku datoteku u mapi možete postaviti dozvole. Na primjer, jedan korisnik vam omogućuje čitanje i promjenu sadržaja datoteke, još jedan - samo čitanje, a ostalo - uglavnom zabranjuje pristup njoj.

Ako, prilikom oblikovanja jačine zvuka na njemu se instalira NTFS sistem, svi su se grupa automatski dodijelila punom sonttrol dozvolu (potpunu kontrolu) na ovom zapremu. Mape i datoteke kreirane na ovom jačini, prema zadanim postavkama nasljeđuju ovu dozvolu.

Pojedinačne dozvole

Windows NT ima šest vrsta pojedinačnih NTFS dozvola, od kojih svaka određuje vrstu pristupa datoteci ili mapi.

Tablica opisuje korisničko rješene operacije s mapom ili datotekom kada se primjenjuje na predmet jednog od pojedinačnih dozvola NTFS.

Korisnik koji je stvorio datoteku ili mapu na NTFS zapreminu postaje vlasnik ove datoteke ili mape. Ako je ovaj korisnik član Grupe administratora (administratori), stvarni vlasnik postaje čitava administratska grupa. Vlasnik uvijek ima pravo dodijeliti i promijeniti dozvole za pristup svojoj datoteci ili mapi.

Standardna dozvola

U većini slučajeva uživat ćete u standardnim NTFS dozvole. Oni su kombinacije pojedinačnih dozvola. Istovremena svrha nekoliko pojedinačnih dozvola za datoteku ili mapu uvelike pojednostavljuje administraciju.

Nakon naziva standardne rezolucije u zagradama date su kratice komponenti njegovih pojedinačnih dozvola. Na primjer, standardna rezolucija (čitanje) za datoteku ekvivalentna je dvije pojedinačne dozvole - čitanje (čitanje) i izvršavanje - i u zagradama će podnijeti RX pisma.

Standardne dozvole za mape

Tablica se navodi standardna dozvola za mape i odgovarajuća pojedinačna NTFS dozvola su naznačena.

Nema dozvole za pristup (bez pristupa) zabranjuje nijedan pristup datoteci ili mapi, čak i ako je korisnik član grupe, koji je dat za pristup dozvolu. Kopač u stupcu "pojedinačne dozvole za datoteku" znači da se ova standardna rezolucija ne odnosi na datoteke.

Standardna dozvola za datoteke

Tabela navodi standardne dozvole za datoteke i odgovarajuće pojedinačne NTFS dozvole koje odgovaraju njima.

Dozvole pune kontrole (puna kontrola) i promjena (promjena) funkcija da drugi ne dopušta promjenu dozvola i vlasnika objekta.

      1. Primjena NTFS dozvola

Dozvole NTFS-a dodijeljene su korisničkim računima i grupama, kao i o pravima pristupa za zajedničke resurse. Korisnik može dobiti dozvolu ili direktno ili biti član jedne ili više grupa koji ima dozvolu.

Upotreba NTFS dozvola za mape slična je korištenju prava pristupa za zajednički resursi.

    Kao i prava pristupa za zajedničke resurse, stvarna NTFS dozvola za korisnika je kombinacija korisnika dozvola i grupa čiji je član. Jedini izuzetak je dozvola bez pristupa (pristup): Oneće sve ostale dozvole.

    Za razliku od prava pristupa zajedničkim resursima, NTFS dozvole štite lokalne resurse. Konkretno, datoteke i mape sadržane u ovoj mapi mogu imati i druge dozvole od samog.

Dozvole NTFS za datoteku prevladavaju nad dozvolama za mapu na koju se nalazi. Na primjer, ako korisnik ima dozvolu za čitanje za mapu i napišite za datoteku priloženu na njega, moći će snimiti podatke u datoteku, ali neće moći stvoriti novu datoteku u mapi.

Ovaj članak je ideološki nastavljen članom. Kao što je rečeno u njemu, nakon odabira korisnika i (ili) grupa morate navesti parametre pristupa njima. To se može učiniti pomoću NTFS datotečnih dozvola za datotečni sistem razgovarano u sljedećoj tablici.

Dozvole za pristup datoteci

  • Čitanje. Čitanje datoteka je dozvoljeno, kao i pogledati njegove parametre, poput naziva vlasnika, dozvola i dodatnih nekretnina.
  • Zapisnik. Dozvoljeno je prepisivanje datoteke, mijenjajući svoje parametre, gledanje naziva svog vlasnika i dozvola.
  • Čitanje i izvršenje. Dozvola za čitanje i pravo na pokretanje izvršne prijave.
  • Promjena. Dozvoljeno je promijeniti i brisanje datoteke, kao i sve što osigurava dozvole za čitanje i izvršavanje, kao i snimanje.
  • Puni pristup.
  • Dozvoljeno puni pristup datoteci. To znači da su svi postupci predviđeni svim gore navedenim dozvolama. Takođe je dozvoljeno da postane vlasnik datoteke i promijeni njegove dozvole.

Dozvole za pristup mapama

  • Čitanje. Dozvoljeno je gledanje ugniježđenih mapa i datoteka, kao i njihova svojstva, poput imena vlasnika, dozvola i atributa čitanja, poput čitanja, skrivenog, arhive i sistemskog jezika.
  • Zapisnik. Dozvoljeno je stvaranje i postavljanje novih datoteka i podmapa unutar mape, kao i promjene parametara mape i pregledati njegova svojstva, posebno ime vlasnika i dozvolu za pristup.
  • Lista sadržaja mape. Dozvoljeno je vidjeti imena datoteka sadržanih u mapi i podmapama.
  • Čitanje i izvršenje. Dopušteno je dobiti pristup datotekama u podmapi, čak i ako nema pristupa samoj mapi. Pored toga, dozvoljene su iste akcije koje su predviđene za dozvolu za čitanje i popis sadržaja mape.
  • Promjena. Sve akcije predviđene za dozvolu za čitanje i čitanje i izvršavanje i izbrisavanje mape je dozvoljeno.
  • Puni pristup. Dopušten je potpuni pristup mapi. Drugim riječima, svi su mjeri predviđeni svim gore navedenim dozvolama. Pored toga, dozvoljeno je da postane vlasnik mape i promijeni njegove dozvole.
  • Posebne dozvole. Skup dodatnih dozvola različit od standardne.

Stvoritelj datoteka uvijek se smatra svojim vlasnikom koji ima prava Puni pristup, čak i ako račun vlasnika nije naveden na kartici Sigurnost datoteke. Pored gore navedenih dozvola za datoteku, možete odabrati dvije dodatne vrste dozvola.

  • Promjena vlasnika. Ova vrsta rezolucije omogućava korisniku da postane vlasnik datoteke. Ova vrsta rezolucije dodijeljena je grupi Administratori.
  • Promjena dozvola. Korisnik ima mogućnost promjene liste korisnika i grupa koji imaju pristup datoteci, kao i promjenu vrsta dozvola za pristup u datoteku.

Slični članci