NTFS saladused - õigused, õigused ja nende pärand. SMB ja NTFS-i õigused

Miks enamasti organisatsioonis vajab serverit? Active Directory, RDS, Print Server ja hulk väikseid ja suuri teenuseid. Kõige olulisem roll on ehk failiserver. Inimesed temaga, erinevalt teistest rollidest, töötavad teadlikult. Nad mäletavad, millist kausta, mis asub, kus dokumentide skaneeringud on seal, kus nende aruanded on seal, kus faksid, kus ühine kaust, kus kõik saavad ligipääsu ainult ühele osakondadele, ja nad ei tunne ära

Umbes juurdepääsu võrgu ja kohalike kaustade server ma tahan rääkida.

Juurdepääs serverile jagatud ressurssidele, kuidas igaüks teab kõike täiuslikult vastavalt SMB protokollile 3.0. Võrguühendus kaustadele võib piirduda SMB ja NTFS-õigustega. SMB õigused toimivad ainult jagatud kausta kasutamisel võrgu kaudu ja ei mõjuta konkreetse kausta kättesaadavust kohapeal. NTFS-i õigused töötavad nii võrgus kui ka kohapeal, pakkudes juurdepääsuõiguste loomisel palju paindlikkust. SMB ja NTFS õigused ei tööta eraldi, vaid täiendada üksteist vastavalt õiguste suurima piiramise põhimõttele.

Selleks, et kausta jagada server 2012 SMB jagada cmdlets grupp, New-SMBShare Cmdlet ilmus. Selle cmdleti näites näeme kõiki ühiskausta loomisel kõiki funktsioone, lisaks klastri konfiguratsioonidele (see on eraldi suur teema).

Uue jagatud kausta loomine näeb välja väga lihtne:
Net Share HomeFolder \u003d S: Ivanivanov / Grant: "Admin", Full / Grant: "Folderowner", Muuda / Grant: "Manager", Loe / Vaheche: Programmid / Märkus: "Ivanov" või
Uus-SMBShare HomeFolder S: ivanivanov -cachingMode programmid -fullacess admin -changeaccess folderowner -readcess manager

Me mõistame:

-Name võrgu jagatud kausta nimi võib kohaliku arvuti kaustast erineda. Sellel on 80 tähemärki piiri, te ei saa kasutada torude ja postide nimesid.

Path tee kohaliku kausta soovite sisestada. Tee peab olema ketta juurest täielik.

CACHINGMODE failide autonoomia seadistamine jagatud kausta.

Mis on iseseisev fail?

Eraldiseisev fail on serveris asuva faili koopia. See koopia asub kohalikus arvutis ja võimaldab teil toimikuga töötada ilma serveriga ühendamata. Muutuse ühendamisel sünkroniseeritakse. Sünkroonitud mõlemas suunas: kui te tegite muudatusi oma offline faili - järgmine kord te ühendate faili serverit muudetakse; Kui keegi muutis serveris muudatusi - siis muudetakse teie kohalikku koopiat. Kui muudatused toimuvad mõlemas failis korraga - saame sünkroniseerimisviga ja peate valima, millist versiooni salvestatakse. Et seda võimalust jagada, ma ei kasuta seda võimalust, kuid kui teete palli iga kasutaja jaoks ja piirate iga kasutaja jaoks ja piirate juurdepääsu muu lugemise jaoks ilma salvestamise võimaluseta, saame järgmised kuklid:

  • Töö ei sõltu võrgust - see võib põletada lüliti, server saab taaskäivitada, traat võib katkestada läbi või lülitaks pöörduspunkti läbi - kasutaja töötab koos oma koopiaga, ei märganud, et teil on seal mingit õnnetust, Võrguühenduse taastamisel läheb see serverisse.
  • Kasutaja saab töötada kõikjal: suvila juures bussil, lennukil - nendes kohtades, kus ühendamine VPN-i puhul mingil põhjusel pole saadaval.
  • Kui isegi kasutaja töötab VPN-i kaudu, kuid ühendus või väga aeglane või on pidevalt murdnud - see on lihtsam töötada koos võrguühenduseta koopiaga ja sünkroonida muudatusi kui üritab midagi teha serveris.
  • Kasutaja ise saab valida, et ja millal sünkroonida, kui sa annad talle võimaluse.

Võtab järgmised väärtused:
  • puudub - failid ei ole saadaval offline, juurdepääs serverisse vajab juurdepääsu serverisse.
  • käsitsi - kasutajad valivad autonoomselt kättesaadavad failid
  • programmid - kõik kausta on saadaval autonoomselt (dokumendid ja programmid (failid * .exe, * .dll pikendamine)))
  • dokumendid - kättesaadavad dokumendid, programmid
  • branchCache - vahemälu asemel kohaliku arvuti kasutaja esineb BranchCache Serverid, kasutajad valivad offline faile ise
-Noaccess, -readAccess, -Changeaccess, -fullaccess Üldised juurdepääsuõigused (aktsia õigused).

Nendel lubadel on üks suur eelis - nad on väga lihtsad.

Nocless sekretär, Steward - isesekretär ja Relozem niikuinii teha üldiselt raamatupidamise kaustad
-Reaccess audiitor - audiitor kontrollib raamatupidamise töö saab näha faili nimed ja alamkaustade jagatud kausta, avatud failid lugemise programmid.
-Changeaccess raamatupidaja - raamatupidajad oma jagatud kausta saab luua faile ja alamkaustade, muuta olemasolevaid faile, kustutada faile ja alamkaustade
-Fullacess admin - täispuhastus on Readclescess + Changeaccess pluss võime muuta õigusi.

Jagatud kausta loomisel kasutatakse kõige piiravamat reegel automaatselt - "All" rühm on lugemisele antud.

Need load kehtivad ainult kasutajate jaoks, kellel on juurdepääs võrgule jagatud kaustale. Kohaliku sisenemise süsteemiga, näiteks terminali serveri puhul ja sekretär ja kroon vaadeldakse raamatupidamises, kõik, mis soovivad. Seda parandatakse NTFS-i õigused. SMB õigusi kehtivad kõigi failide ja kaustade suhtes jagatud ressursile. Õhuhoidja juurdepääsuõigusi teostavad ka NTFS-i õigused.

Concurrentserlimit Kasutage seda parameetrit, et piirata jagatud kausta ühenduste maksimaalset arvu. Põhimõtteliselt saate kasutada ka juurdepääsu piiramiseks kausta, täiendab NTFS-õigusi, vaid peate olema nõutavates ühendustes nõutavates ühendustes täpselt kindel.

Kirjeldus Ühise ressursi kirjeldus, mis on nähtav võrgukeskkonnas. Kirjeldus on väga hea, et paljud hooletussemed.

Encryptdata krüpteerimine

SMB-sse versioon 3.0 oli ainus viis liikluse kaitsta failiserver kliendile VPN. Kuidas rakendada see täielikult sõltub eelistusi süsteemi administraatori: SSL, PPTP, IPSEC-tunnelid või midagi muud. Server 2012, krüpteerimine töötab välja kasti, regulaarse kohaliku võrgu või läbi ebausaldusväärse võrkude, nõudmata erilist infrastruktuuri lahendusi. Seda saab lubada nii kogu serveri jaoks kui ka üksikute jagatud kaustade jaoks. SMB 3.0 krüpteerimisalgoritm on AES-CCM, HMAC-SHA256 asemel on HMAC-SHA256 asemel muutunud AES-Cmac. Hea uudis on see, et SMB 3.0 toetab riistvara AES (AES-NI), halvad uudised on see, et Venemaa ei toeta AES-NI-d.

Mis ähvardab krüpteerimise kaasamist? Asjaolu, et ainult kliendid SMB 3.0 suudab töötada krüpteeritud tavaliste kaustadega, st Windows 8. Põhjus jällegi, maksimaalne lubatud piiri kasutajatele. Eeldatakse, et administraator teab, mida ta teeb ja vajadusel annab juurdepääsu klientidele teise SMB-ga versiooniga. Kuid kuna SMB 3.0 kasutab uusi krüpteerimisalgoritme ja kliendi liiklust teise SMB versiooniga ei krüpteeritud, on vaja VPN-i. Et panna kõik kliendid failisiserver krüpteerimisega lubatud aitab Set-smbserverconfiguration -rejejeccryptedaccess $ False käsk
Vaikimisi konfiguratsioonis (mitte-tugeva liiklus krüpteeritud jagatud kaustadele on keelatud, püüdes pääseda kliendi kausta kliendi kaustale kliendile alla 3,0 kliendile, saame "juurdepääsuviga". Serveris Microsoft-Windows-SMSServer / Operational Logile lisatakse sündmus 1003, kus leiate kliendi IP-aadressi, kes üritab juurdepääsu.

SMB ja EFS krüpteerimine on erinevad asjad, mis ei ole üksteisega ühendatud, st saab kasutada rasva ja viimiste kohta.

FoldenMemationMode See on juurdepääsupõhine loendamine. Juurdepääsupõhise loendusega kasutajatel ei näe kasutajad, kellel ei ole ligipääsu jagatud kaustale, lihtsalt seda faili serveris ja seal on vähem küsimusi, miks mul ei ole juurdepääsu sellele või sellele kaustale. Kasutaja näeb oma olemasolevaid kaustu ja ei püüa ronida teiste inimeste asjadesse. Vaikimisi - Väljas.

  • accessBased - Luba
  • piiramatu - lülitage välja
-Temporary See võti loob ajutise jagatud kausta, juurdepääs sellele, mis peatatakse pärast serveri taaskäivitamist. Vaikimisi luuakse pidevad jagatud kaustad.

NTFS-i õigused

NTFS-i lubade abil saame üksikasjalikumalt kausta õigusi piirata. Me saame keelata konkreetse grupi konkreetse faili muutmiseks, jättes võime muuta kogu peamise; Samas kausta, üks gruppi kasutajate võib olla õigus muuta ühte faili ja ei saa vaadata teisi faile muudetud teise kasutajagrupi ja vastupidi. Lühidalt öeldes võimaldavad NTFS-i load luua väga paindliku juurdepääsu süsteemi, peamine asi hiljem ei ole segaduses. Lisaks töötavad NTFS-i õigused nii võrgukausta kasutamisel, täiendades üldisi juurdepääsuõigusi ja kohaliku juurdepääsuga failidele ja kaustutele.

Seal on kuus peamist (põhilisi) õigusi, mis on 14 täiendava õiguse kombinatsioonid.

Peamised õigused
Täielik juurdepääs (Fullcontrol) - täielik juurdepääs kaustale või failile, kus on võime muuta juurdepääsuõigusi ja auditieeskirju kaustadele ja failidele

Muutma - Õigus lugeda, muuta, kausta sisu vaadata, kustutada kaustad / failid ja käivitada teostatud faile. Sisaldab lugemist ja täitmist (ReadandExecute), kirjutamine (kirjutamine) ja kustutage.

Loe ja täitmine (ReadandExecute) - Õigus avada kaustad ja lugeda faile ilma salvestamise võimaluseta. Samuti on võimalik käivitada failid.

Sisukataloogide nimekiri (listDirectory) - Õigus vaadata kausta sisu sisu

Lugemine (loe) - Õigus avada kaustad ja lugeda faile ilma salvestamise võimaluseta. Sisaldab andmete kausta / lugemise sisu (Readdata), lugemis atribuute (readtribute), täiendavate atribuutide lugemise ja lugemisõiguse lugemise ja lugemise õigusi (lugemisluba)

Salvestamine (kirjutage) - Õigus luua kaustu ja faile, muuta faile. Sisaldab luua faile / kirjutada andmete loomise / andmete kahjustusi (apenddata), atribuutide salvestamise (writeattributes) ja registreerimise täiendavate atribuutide (WRIREXTEDATTRIBUTES)

Täiendavad õigused
Ma panin kausta ainult 14 reeglite 1-st ja vaatasin, mis selgub. Enamikul juhtudel on reaalses maailmas piisavalt suuri lubasid, kuid olin huvitatud kaustade ja failide käitumisest kõrgeima võimaliku õigusega.

Traverse kaustad / failide teostamine (Traverse) - failide käivitamise ja lugemise õigus, olenemata kausta juurdepääsuõigustest. Kausta kaustale ei pääse (mis on kaustas jääb saladuseks), kuid kausta failid on saadaval otseses seos (täielik, sugulane või UNC tee). Saate panna Traverse kaustad kausta kausta ja faili kõik muud õigused, mida kasutaja peab töötama. Failide loomine ja kustutamine kasutajakaas ei tööta.

ReadraTribute lugemine - õigus vaadata atribuute (filettribute) kaustade või faili.
Vaadake kausta või faile sisu või muudatuste muutmist ei saa muuta.

ReadExteDatetedTributes (ReteatedTribute) - kausta või faili täiendavate atribuutide vaatamise õigus.

Ainus asi, mida ma täiendavate atribuutide leidmiseks leidsin, on see, mida nad kasutatakse OS / 2 rakendustega ühilduvuse tagamiseks. (Windows Internels, Osa 2: Windows Server 2008 R2 ja Windows 7 hõlmab. Ma ei tea nende kohta midagi rohkem.

Failide / kirjutamise andmete loomine (kirjutus) - annab kasutajale võime luua kausta faile, milles tal ei ole juurdepääsu. Failide kopeerida kausta ja luua kaustas uusi faile. Kausta sisu ei saa vaadata, luua uusi kaustu ja muuta olemasolevaid faile. Kasutaja ei saa muuta ühtegi faili, isegi kui see on selle faili omanik - ainult luua.

Kaustade / andmete kahjustamise loomine (Apenddata) - annab kasutajale võime luua kausta alamkaustad ja lisage andmed faili lõpuni ilma olemasoleva sisu muutmata.

Kontrollima

Subfolderite loomise korral on kõik selge: NI C: \\ t TestPerms \\ T TESTAPLEND -TEMTYTYPE kataloogi töötab ootuspäraselt - loob testijate alamkausta kasutaja vaatamiseks. Proovime lisada stringi lõpuni faili - teha hooldus mõned logi. NewEvetent \u003e\u003e C: \\ t TestPerms \\ kasutaja.log on keelatud juurdepääs.
Hmm ... CMD-s ei tööta. Ja kui jah. AC C: \\ T TESTPERMS \\ Kasutaja.Logi edasilükkamine AC: keelatud juurdepääs mööda "C: \\ testPerms \\ user.log".
Ja konveieris? "NewEvent" | Out-File C: \\ T TESTPERSMS \\ User.log -Append Out-File: Keelatud juurdepääsu mööda teed "C: \\ testPerms \\ user.log".
Ja nii ei tööta.

Me alustame musta maagilise seansi: kasutage failiklassi, AppenDText meetodit. Me saame logiobjekti.
$ Logi \u003d :: AppenDText ("C: \\ TE TESTPERPERMS \\ User.log") Välistamine Kui helistades "AppENDText" "1" argumendid: "Keelatud juurdepääs mööda teed" C: \\ t
Ma arvan, et Appendalltext ei ole väärt proovimist
$ Logi \u003d :: AppendallText ("C: \\ the Tespers \\ kasutaja.log", "NewEvent") Erand, kui helistate "AppeldallText" koos "2" argumentidega: "Keelatud juurdepääs teele" C: \\ t . "
Juhtum põhimõtteliselt selge. Ainult meetodite kohal oleva faili andmete edastamise õigused ei piisa, nad vajavad faili sisestamist. Aga koos selle me anname võimaluse muuta faili ja mitte ainult lisades kirjeid, see tähendab, et me avame võimaliku võime hävitada kõik sisu faili.

Me peame kontseptsiooni uuesti läbi vaatama: ei saa palk objekti, kuid luua uus, kus me palume kõik parameetrid, mis huvitavad meid. Me vajame midagi, kus saame õigusi selgesõnaliselt täpsustada. Me vajame filestream ja täpsemalt me \u200b\u200baitame FileStem Constructor (String, FileMode, Filesystemrights, FileShare, Int32, FileOptions). Järgmised parameetrid vajavad:

  • Faili tee on selge
  • Kuidas faili avada - faili avamine ja faili ots leidmine
  • Failide juurdepääsuõigused - Andmeandmed
  • Juurdepääs teiste filestream objektide jaoks - ei vaja
  • Puhvri suurus - vaikimisi 8 baiti
  • Täiendavad valikud - Ei
Tuleb välja midagi sellist:
$ Logi \u003d uus objekt io.filestream ("C: \\ t tepsperms \\ user.log", :: Lisa ,:: Appenddata ,:: Puudub, 8 ,:: Mitte ükski)
Töötab! Me loonud logiobjekti, proovige kirjutada midagi seal. Filestream.Write meetod võtab baitide sissetulevad väärtused. Me määrame ürituse, mida me tahame salvestada, baitide - klassi kodeeringus, getencoding meetodil (me ei vaja Krakozyabe väljundis) ja Getbytes (tegelikult konverteerivad)
$ sündmus \u003d "Uus sündmus juhtus." $ Eventbytes \u003d :: GTEENCODING ("Windows-1251"). Getbytes ($ sündmus)
Filestream.write parameetrid:
Mida kirjutada; Kust alustada kirjalikult; Kirjutamise baitide arv
Me kirjutame:
$ Logi.Write ($ Eventbytes, 0, $ eventbytes
Kontrollima.
GC C: katsepressid kasutaja.Logi GC: keelatud juurdepääs mööda "C: \\ T. TestPerms \\ user.log".
Kõik on hea, kasutaja ei ole õigusi vaadata kirjutatud. Me suuname administraatori all.
GC C: \\ t tepsperms \\ kasutaja.Logi on juhtunud uue sündmuse.
Kõik töötab.

Kaust, milles fail lisaks loale lisaks loata, loomine kaustade / bravuurne andmete peab olema lubatud lahendada sisu / lugemise kausta. Fail on piisav ainult kaustade / pimedate andmete loomiseks puudega pärimisega. Täielikult kaitsta kasutajat (ja kasutaja saab ründaja) failidest, kus ta peaks midagi kirjutama, ei tööta, vaid teiselt poolt, lisaks kausta faililehele, ei näe kasutaja midagi ja saab mitte.

Järeldus sellest lihtsast lihtsast: Batnikovis rakendage midagi turvalist metsaraie, mis ei tööta, powershell säästab oskusi töötada .NET objektidega.


Atribuudi salvestamine (kirjutusribuudid) - Lase kasutaja muuta faili või kausta atribuute. Tundub, et see on lihtne. Aga nüüd lihtsalt vastata küsimusele: "Minu kasste fotod hõivata peaaegu kõik minu profiilile kohale ja mul ei ole ettevõtte kirjavahetuse kohta. Tahaksin pigistada kausta jutumärkidega, kuid nõuan administraatori õigusi. Sa ütlesid, et mul on õigus muuta kaustade atribuute. Kas atribuut on? Miks ma ei saa seda muuta? "

Jah, kasutaja, kellel on õigus kirjutada atribuute saab muuta peaaegu kõik nähtavad faile ja kaustu atribuudid, välja arvatud kokkusurumise atribuudid ja krüpteerimine. Tehniliselt kasutajale antakse õigus teostada Setfileateribute funktsiooni. Ja faili kokkusurumine viiakse läbi seadmeocontroli funktsiooni, mida soovite FSCTL_SET_COMPASTi parameetri ja faili kokkusurumise üle kanda oma tööst. Selle funktsiooni abil saame hallata kõiki seadmeid ja nende ressursse süsteemis ning annab tõenäoliselt kasutajale selle õiguse selle funktsiooni täita vahendeid, et muuta see administraatoriks.

Krüpteerimisega lugu on sarnane: krüptimisfunktsioon, mis on lihtsalt krüpteerimise eest vastutav, nõuab, et kasutajatel on õigus sisu kausta / lugemisandmetele, luues faile / kirjutada andmeid, lugedes atribuute, sisenemise atribuute ja objekti sünkroniseerimist. Ilma nendeta ei juhtu midagi.

Salvestamine Salvestamine (kirjutusribuudid). Noh, need on need, mida kasutatakse ühilduvuse jaoks OS / 2 rakendustega, AHA. Noh, isegi File Advanced atribuudid: Windows System32 teenused.exe alustas hiljuti kirjutamist Trojanov (ulroaccess.c) kirjutamine. Võib-olla peaksid nad tipptasemel välja lülitama? Ma ei saa sellele küsimusele vastata, teoreetiliselt - võib-olla see on seda väärt, praktiliselt tootmises - ma ei ole proovinud.

Eemaldage alamkaustad ja failid. (Deletesubdirectoriesandfiles) Huvitav resolutsioon, mida rakendatakse ainult kaustadele. Sisuliselt on võimaldada kasutajal kustutada emakausta alamkaustad ja failid, ilma et eemaldada luba.

Oletame, et seal on kauba kataloog, kus kasutajad toovad andmeid. Seal on vanemkausta kataloog, alamkataloogi sees vastavalt tähestikule, alates A kuni Z, mõned nende sees olevad nimed. Nimed muudavad iga päev iga päev, midagi lisatakse, midagi muudab, midagi vananeb ja teil on vaja kustutada aegunud teavet. Aga see ei ole väga hea, kui keegi ujuki või pahatahtliku kavatsusega rullub kogu kataloogi K, mis on väga võimalik, kui kasutajatel on õigus eemaldada. Kui te kiirenemist õigus eemaldada õigus, siis administraator saab ohutult muuta tööd, sest see täidab taotlusi nime kustutamiseks kogu päeva.

Siin lülitub sisse alamkaustade ja failide eemaldamise. Kõigis tähestiku tähed on pärand keelatud ja kasutajad on adresseeritud alamkaustade ja failide kustutamiseks. Selle tulemusena ei saa kasutajad kataloogi kaustal eemaldada ühtegi kirja, kuid kirjade sees võivad kustutada midagi.

Kustuta. Kõik on siin lihtne. Kustuta kustutatakse. Ei tööta ilma lugemise õiguseta.

Lugulaagrite lugemine annab kasutajale õiguse vaadata kausta või faili õigusi. Ei ole õige - kasutaja ei näe kaarti ohutuse luba

Muuda loa (muutustevahendid) - Võimaldab kasutajal muuta õigusi, muudab sisuliselt kasutaja kausta administraatori poolt. Teil on võimalik kasutada näiteks tehnilise toe volituste delegeerimist. Ilma õiguse loata, see ei tee mõtet. Lubade muutmine ei tähenda kausta omaniku muutust.

Omaniku muutmine (võtmehoidjad) - Alustada, kes on selline omanik. Omanik on kasutaja, kes lõi faili või kausta.

Omaniku funktsioon on see, et see on täielik juurdepääs loodud kausta, see saab levitada õigusi oma loodud kausta, kuid mis veelgi tähtsam - keegi ei saa ära jätta omanikule õiguse muuta oma kausta või faili. Kui Vasya loonud kausta, andis ta täieliku juurdepääsu lemmikloomale ja Petya läks ja Scoldin juurdepääsu kaustale üldiselt ja eriti VASI-d, seejärel Vasya ilma palju raskusteta võib taastada status quo, sest see on kausta omanik. Muuda Petya kausta omanik ei saa isegi siis, kui tal on omaniku muutmiseks luba. Lisaks isegi Vasya ei saa muuta omanikku, hoolimata asjaolust, et ta lõi kausta. Omaniku muutmise õigus kehtib ainult administraatorite rühma või domeeni administraatorite suhtes.

Aga kui Petya sees Vasina kausta loonud faili ja ei andnud sulle juurdepääsu sellele, siis saate mõelda ja arvata, mis on selle salajase faili sees. Vasya ei suuda faili juurdepääsuõigusi muuta, sest faili omanik on Petya. Ka Vasya ei saa faili omanikku muuta - alamtellaste ja objektide omaniku muutus on ka administraatorite rühma privileeg, millele Vasya ei kohaldata. Ainus versioon WASI valik on vaadata Petin-faili sees oma kausta.

Juhtima

Lubade haldamiseks CMD on hästi tuntud ICACls. Powershellis näeb NTFS-õiguste juhtimine selline:

Võta objekt, millele me seame õigusi
$ ACL \u003d Get-ACL C: \\ t
Ehita liin õigustega System.Security.Accurity.AccessControl.FilesyStaccessrule klassi. Me saame määrata järgmised parameetrid:

  • grupp / kasutajanimi - kellele me teeme ACL
  • resolutsioon - Ace (aktsepteerib postituses määratud väärtusi)
  • kehtib - GUI-s on rippmenüüst täiendava turvaparameetrites. Tegelikult võetakse ainult 3 väärtust: Puudub (ainult selle kausta), konteinerriti (kehtib kõigi alamkaustade kohta), objectinherit (kehtib kõigi failide kohta). Väärtusi saab kombineerida.
  • rakendage neid õigusi objektidele ja konteineritele ainult sellesse konteineri sees (märkeruut GUI) - ka 3 väärtused: Puudub (märkeruut), pärandi (ACE kehtib ainult valitud objekti tüübi kohta), Noopropagateinherit (rakendage õigusi ainult selle konteineri sees).
  • reegel - lubada (lubada) või keelata (eitada)
Vaikimisi rida näeb välja selline:
$ luba \u003d "contoso.com \\ admin", "Fullcontrol", "Containerinherit, Objectinherit", "Puudub", "Luba"
Tee uue Ace ülaltoodud õigustega
$ Ace \u003d Uus-objekt Security.AccessControl.filesyStaccessrul.filesyStaccessrule $ luba
Ja rakendage objektile värskelt loodud äss
$ ACL.Sendaccessrule ($ Ace) $ ACL | SET-ACL C: \\ t

Rakendada praktikas

Relvastatud teadmistega SMB ja NTFS-i lubade abil, nende ühendamist saab luua absoluutselt mis tahes keerukuse eeskirjadega. Mõned näited:
Tüüp SMB õigused NTFS-i õigused
Kaust kõigile (avalik) Liikmete lugemine / salvestamine Kasutajad - muutus
Must kast. Kasutajad visata konfidentsiaalseid aruandeid, ettepanekuid, praod - juhend loeb. Liikmete lugemine / salvestamine
Käsitsi - Loe / kirjutamine		 Kasutajad - salvestage ainult selle kausta jaoks. Eeldatakse, et selle kausta faili sisestamine on ühesuunaline pilet, sest mugav viis muuta ilma õiguse vaatamiseks selle faili kausta salvestatud kausta sisu kuvamiseks (meetodi kasutajatele mugav Sellise kausta kirjalikult ei eksisteeri kas). Ja vaatamine rikub privaatsust.

Käsitsi - muutus.
Rakendused Kasutajad lugevad Kasutajad Lugege, lugemine ja täitmine, kausta sisu vaatamine.

Loomulikult võivad mõned rakendused nõuda täiendavaid tööõiguse. Kuid näiteks üldiselt on süsteemi kommunaalteenuste säilitamine diagnostikaks (sama sysinternalite suite).

Kasutajaprofiilid Iga kasutaja - lugege / kirjutage oma kausta Iga kasutaja on oma kausta muutmine.

Permissions Windowsis - vastuoluline asi. Ühest küljest on peamised load üsna lihtsad ja kaetud 90% juhtudest. Aga kui peenem häälestus algab: erinevad kasutajate kasutajad, üks kaust, ühiste kaustade turvanõuded - seejärel tegelema täiendavate õigustega, pärandid ja omanikud on üsna rasked.

Loodan, et ma ei puudutanud kedagi veelgi rohkem.

Eelmises loengil rääkisime me võrgu turvalisusest ja sellisest asjast nii, kuid seda tasub nüüd tagasi pöörduda, sest õigused on saadaval ainult NTFS-vormingus kõvakettadel. Selles osas räägime NTFS-i võimalustest, et kaitsta oma faile pärinevate silmade eest. Erinevalt FAT-süsteemist ei saa juurdepääsu jagatud ressurssidele sisse lülitada ja lahti ühendada. NTFS pakub seda valiku detailide taset, mis vahetab ainult neid, kellele soovite juurdepääsu pakkuda ja mõnedele teistele suunata.

Eraldi kasutaja õigused

Enne kasutaja ja grupi õiguste arutamist, samuti failide arutamist, on oluline kaaluda lubade põhitõdesid. Kõigepealt näitame, mis on pärand, ja seejärel kaaluge Windows XP professionaalse tööriista, mis peaks teid aitama, kuid võib muutuda komistuskivi blokeerimiseks, kui te ei mõtle selle funktsioonidesse.

Pärand

Võrgustikul võib olla kõik paar kasutajat ja võivad olla tuhanded. Kui installides kohandatud õigusi NTFS mahud ja kaustad, see ülesanne võib olla suhteliselt lihtne organisatsiooni koosneb kuuest inimesest. Nagu juba loengutes 9, kui organisatsioon hakkab kasvama, muudab kasutajate jagamine konkreetsetele rühmadele õiguste haldamise palju lihtsamaks.

Esiteks peaksite looma konkreetse rühma õigused, näiteks inseneridele. Sel juhul, kui uus insener ilmub organisatsioonis, lisatakse see automaatselt sellesse gruppi. Samal ajal pärineb ta selle grupi õigusi.

Märge. Pärand on seotud teiste NTFS Tomi objektidega. Näiteks, kui seadistate konkreetse kausta õigused ja seejärel loonud selle alamkapsase, siis pärimisõiguse vabastab teid selle alamkausta õiguste loomisest uue valikuga, kuna see pärsib emakausta loata.

Kui te arvate, et inseneride rühm tuleb välja anda või jätkata teatud resolutsiooni, on lihtne teha. Pärast muudatusi (mida me räägime selles loeng hiljem) uue loa on määratud igale selle rühma liige.

Teisest küljest võib mõni konkreetne insener nõuda resolutsiooni, milles ülejäänud ei vaja. Te võite sisestada inseneride gruppi, teha selle kasutaja jaoks vajalikke muudatusi ja see saab uue loa, mida ta ei päritud selle grupi kuulumise eest. Sellisel juhul ei jaotata loa teiste rühma liikmetele.

Windows XP Professionali uus kvaliteet on lihtne failide jagamine (lihtne failide jagamine). See funktsioon on kaasatud Windows XP Professionali esmases paigaldamisel või helitugevuse või kausta kasutamisel. Et ühendada rohkem kasutaja juurdepääsu juhtimisvahendeid, lihtsalt failide jagamine peab olema keelatud.

Te võite esitada küsimuse, miks peate failide lihtsalt jagama, kui see funktsioon tuleb lahti ühendada. Ainult siis, et hõlbustada failide ja kaustade jagamise protsessi. Lihtsate jagamisfailiga ei ole failide, printerite jms kasutajate juurdepääsu kasutajate juurdepääsuks faile ja mitut konfiguratsiooni. See tagab failide jagamise lihtsa võimaluse. Siiski, kui soovite hallata neid, kes saavad faile juurdepääsuõiguse vastu võtta, tuleks failide lihtne jagamine keelata. Selleks teha järgmised sammud.

  1. Valige Start-Computer (Start "Minu arvuti), seejärel klõpsake nuppu Tööriistad ja valige Folder Suvandid (kausta omadused).
  2. Dialoogiboksis kausta valikud klõpsake vahekaardil View.
  3. Vaadake loend Seaded Advanced Settings aken ja seejärel valige Kasuta lihtne failide jagamine märkeruut Kasuta kasutamiseks lihtne failijagamise ruut.
  4. Klõpsake nuppu OK.

Märge. Lihtsa failide jagamise keelamine ei võimalda teil seadistada failide õigusi. Samuti peate asetama kõik failid ja kaustad NTFSi mahule või sektsioonile.

Luba kaustad ja mahud

Lubad teostavad kontrolli asjaolu, et kasutaja või grupp saab teha võrgu või kohaliku arvuti objektiga. Load toetatakse ainult siis, kui see on lahti ühendatud faili jagamise ja kõvakettaga NTFS-vormingus. Kaustade ja failide jaoks määratud loetletud õigustes.

Tabel 10.2. Kaustade resolutsioonid
Resolutsioon
Muuda õigusi Muuda kausta õigusi.
Loo failid. Uute failide loomine selles kaustas.
Loo kaustu. Subdirektorite loomine selles kaustas.
Kustuta. Kustuta kaust.
Kustuta alamkaustad ja failid Kustuta failid ja alamkaitsmed, isegi kui teil ei ole luba nende loomiseks.
Nimekiri kaust. Vaadake kausta sisu.
Loe atribuute. Vaata kausta atribuute.
Loe õigusi Vaata kausta õigusi.
Võtma omandiõiguse. Teise kasutaja õiguste määramine kausta omamiseks.
Traverse kausta. Kausta avamine alamkataloogide ja vanemakaustade vaatamiseks.
Kirjutage atribuute. Kaustade omaduste muutmine.
Tabel 10.3. Faili eraldusvõime
Resolutsioon Võimaldab või keelab selle tegevuse
Lisateave. Teabe lisamine faili lõppu ilma olemasolevat teavet muutmata.
Muuda õigusi Faililoa muutmine.
Kustuta. Faili kustutamine.
Käivitage fail. Käivitage failis sisalduv programm.
Loe atribuute. Vaadake faili atribuute.
Loe andmeid. Vaadake faili sisu.
Loe õigusi Vaata failide õigusi.
Võtma omandiõiguse. Selle faili omandiõiguse määramine teisele omanikule.
Kirjutage atribuute. Muuda faili atribuute.
Kirjutage andmed. Faili sisu muutmine.
Õiguste loomine ja haldamine

Üksikute failide, kaustade ja NTFSide mahtude loadide loomine saate kasutada palju rohkem turvavõimalusi kui FAT-failisüsteemi pakkumised. Valitud kausta või helitugevuse omadused on vahekaart Turvalisus. Selle klõpsamise abil saate näha mitmeid juurdepääsukontrolli võimalusi.

Selle kausta või mahu õiguste reguleerimiseks tehke järgmisi etappe.

  1. Määrake helitugevuse või kausta, mille jaoks te lubate õigusi.
  2. Paremklõpsake seda ja valige Properties.
  3. Valige vahekaart Turvalisus.

Märge. Kui NTFS-helitugevus jagatakse, peate seadistama õigused läbi turvalisuse vahekaardil ja ei kasuta vahekaardil jagamise õigusi (õigused).

Ilmuva omaduste aknas näha näete kahte Windowsi. Ülemine aken sisaldab kasutajate ja rühmade nimekirja (). Nižny - loetelu õiguste load kasutaja, kes saab paigaldada ja kohandada. Jällegi on see vahekaart NTFS-i vormingus saadaval mahud.

Joonis fig. 10.7. Turvalisus Tab (Security) Properties dialoogiboks

Klõpsates konkreetsele kasutajale või grupile, saate määrata load nende allosas aknas. Saadaval on järgmised õigused.

  • Täielik kontroll. Võimaldab kasutaja või grupi lugeda, luua, muuta ja kustutada faile.
  • Muuta (muutmine). Võimaldab kasutajatel failide ja kaustade kustutada, teha muudatusi loata või saada teise kasutaja faili või kausta omandiõiguse.
  • Loe ja täitke (lugemine ja täitmine). Võimaldab kasutajatel faile lugeda ja käivitada ilma jagatud mahu või kausta sisu muutmata.
  • Loendage kaust sisu (kausta sisu loend). Võimaldab kasutajatel vaadata kaustade sisu.
  • Loe (lugemine). Võimaldab kasutajatel vaadata mahu või kausta sisu. Nad võivad ka avada faile, kuid neil ei ole õigust muuta muudatusi.
  • Kirjutage. Võimaldab kasutajatel salvestada kaustu või mahud, kuid keelab failide avamise või failide loendi vaatamiseks.
  • Eriluba (erilised õigused). Klõpsates nupul Täpsem (valikuline), saate rakendada erilisi õigusi.
Kasutajate arvu piiramine

Sõltuvalt organisatsiooni suurusest ja struktuurist ei pruugi te lubada samaaegset juurdepääsu kõigile neile, kes soovivad ühele. Kui teil on vaja kehtestada piiri kasutajatele, kes on samaaegselt juurde pääsenud kausta, avage dialoogibokside õigused ja valige vahekaart Jagamine (joonis 10.8).

Kasutaja piiriosas (kasutajate arv) määrake üks järgmistest valikutest.

  • Maksimaalne lubatud võimaldada juurdepääsu maksimaalsele võrgukasutajatele.
  • Luba see arv kasutajaid võimaldavad juurdepääsu ainult määratud kasutaja numbri jaoks.

Lisateavet lubade kohta leiate Ch-s. üheksa.

Kasutaja juurdepääsu haldamiseks kaustadele ja failidele kasutatakse üksikasjalikku ja keerulist õigusi süsteemi. Windowsi objektide juurdepääsukontrollimehhanism on üks kõige üksikasjalikumaid tuntud operatsioonisüsteemide seas. Failide ja kaustade puhul on olemas vähemalt 14 NTF-i õigusi, mida saab sisse lülitada või blokeerida - ja kontrollida. Neid õigusi saab määrata failid või kaustad ja kasutajad või rühmad. Lisaks sellele on võimalik määrata failide või kaustade ja kasutajate või rühmade pärimisõiguse järjekorra. Labuse lubamisõigusi on kergesti kadunud. Käesolevas artiklis käsitletakse kaustade ja failide lubade ja nende rakendamise kõige tõhusamate viiside lubamist.

Juurdepääsu põhitõdesid

Kasutaja ei sisene otse "kontakt" ühegi Windowsi objektiga. Kõik juurdepääsu objektidele viiakse läbi programmide kaudu (näiteks Windows Explorer, Microsoft Office'i) või protsesside kaudu. Programm, mis viitab ressurssidele kasutaja nimel täidab protseduuri, mida nimetatakse impersonatsiooniks (impersonatsioon). Programm, mis viitab kaugressurssidele täidab protseduuri nimega delegatsiooni (delegatsioon).

Pärast kasutaja registreerimist töödeldakse selle süsteemi identifikaator (süsteemi identifikaator) ja SID-i identifikaatorid LSASS.exe protsessis, mis tekitab turvalise kasutaja juurdepääsu markeri. Teine teave kantakse turvalise juurdepääsumärgis, kaasa arvatud kasutaja määratud õigused (õigused), kasutaja istungi ID (unikaalne iga seansi jaoks), õiguste mask koos nõutava juurdepääsu tüübi üksikasjaliku kirjeldusega. Kasutajale määratud õigusi saab vaadelda meeskonnaga.

Kui programm kaebab kasutajalt turvalise ressursi, palub turva monitor (turvaviide monitor) kasutaja turvalise kasutaja juurdepääsu diagrammi. Seejärel analüüsib turvamõju märgistuse, et määrata kindlaks tõhusad kasutaja õigused ning võimaldavad või keelata kasutaja poolt taotletud kasutaja täitmine. Efektiivseid õigusi kirjeldatakse üksikasjalikumalt allpool.

Permissions Jaga.

Iga Windowsi kaitstud objekt sisaldab faile, kaustu, ühiseid ressursse, printereid ja registriosad - toetab julgeoleku resolutsioone. Kõiki Windowsi kausta saab teha avalikult, et lahendada kaugjuurdepääsu. Aktsiaõigusi saab määrata Windowsi kausta ja printeri esemeid, kuid õigusi rakendatakse ainult siis, kui viide objektile tekib võrguressursside kaudu. Kaustade jagamise õigused sisaldavad täielikku kontrolli, muutusi ja lugemist.

Turvasubjektid, mis on määratud täielikule juurdepääsule (täielik kontroll) objektile, võivad objektiga toota peaaegu kõiki toiminguid. Nad võivad kustutada, ümbernimetada, kopeerida, liikuda ja muuta objekti. Täieliku kontrolliõiguse kasutaja saab muuta osakaalu objekti resolutsiooni ja saada objekti omanikuks (kui see ei ole enam omanik ja ei ole omandiõiguse luba). Seega võib iga täieliku kontrolli resolutsiooniga kasutaja tühistada teiste isikute õigused, sealhulgas administraator (kuigi administraator saab alati valdust ja õigusi tagastada). Volituste muutmise võime on mis tahes operatsioonisüsteemi kohustuslik nõue, millel on valikuline juurdepääsu juhtimine (DAC), näiteks Windows.

Enamikul juhtudel on tavapäraste kasutajate nõutud ressursside põhilised lahendused muutuvad. Muudatuse eraldusvõime abil saab kasutaja lisada, kustutada, muuta ja ümber nimetada kõik ressursid vastavasse kausta. Loe resolutsioon pakub objekti vaatamist, kopeerimist, ümbernimetamist ja printimist. Lugemise eraldusvõimega kasutaja saab objekti kopeerida teisele kohale, kus täielik kontroll on õige.

NTFS-i õigused

Kui NTFS-failisüsteemi (ja mitte rasva) kasutatakse Windowsis, siis kõik failid, kaustad, registriosad ja paljud teised objektid on NTFS-õigused. NTFS-i õigusi kasutatakse nii kohaliku kui ka kaugjuurdepääsuga objektile. NTFS-faili või kausta lubade vaatamiseks ja muutmiseks klõpsake objekti paremaklõpsake paremale klõpsa paremale klõpsa paremale klõpsuga objektile, valige omaduste kirje ja minge vahekaardile turvale.

Tabelis 1 on näidatud 7 NTFS-i õigusi. Kogu reeglid on erinevad kombinatsioonid 14 üksikasjalikumate õigustega, mis on esitatud tabelis 2. Vaadake üksikasjalikke õigusi dialoogiboksi Advanced Security Settings'i dialoogiboksi Advanced Security seaded, klõpsates vahekaardil turvalisuse Advanced nuppu ja seejärel klõpsake nuppu Muuda nuppu Tab load. Tutvuge objekti üksikasjalike õigustega (eriti suurema turvalisuse nõudmisel) - kasulik harjumus, kuigi see nõuab rohkem pingutusi. Kokku õigused ei kajasta alati täpselt üksikasjalike lubade staatust. Näiteks pidin nägema lugemise täielikku luba, kuigi tegelikkuses oli kasutajal luba lugeda ja käivitada.

Sarnaselt täieliku kontrollivaruga resolutsiooniga pakub täieliku kontrolli all olevad NTF-id suurepäraseid võimalusi omanikele. Kasutajad, kes ei ole administraatorid, on sageli oma kodukataloogi ja teiste failide ja kaustade täieliku kontrolli luba. Nagu juba märgitud, võib sellise taseme õiguste omanik muuta faili õigusi ja määrata omaniku enda nime. Selle asemel, et pakkuda kasutajatele täielikku kontrolli luba, saate neile ainult õige modifikatsiooni. Kui kasutaja on faili omanik, siis saate vajaduse korral luba keelata lubade muutmiseks.

Tehniliselt NTFS-i õigused tuntakse selektiivsete juurdepääsukontrolli nimekirjadena (DACLi äranägemisel). Auditi õigused tuntakse süsteemi ACLS (SACL). Enamik kaitstud NTFS-objektidest on mõlema liigi õigused.

Windowsi usalduse mõju

Vaikimisi kõik Windows 2000 domeenid ja metsade ja hiljem versioonid on kahepoolsed usaldavad suhted kõigi teiste metsa domeenide. Kui domeen usaldab teise domeeni, on kõik usaldusväärse domeeni kasutajatel usalduse domeenis samad turvaõigused kui igaüks rühm ja grupi autentitud kasutajate usaldav domeen. Igal domeenil on need rühmad ette nähtud paljude load vaikimisi ja usaldavad suhted tagavad kaudselt laia õigusi, mida ei esitata muul juhul. Tuleb meeles pidada, et kui konfidentsiaalsed suhted ei jaga valimi olemust, määratakse kõigi kõigi ja autentitud kasutajate rühmade esitatud õigused kõigi teiste metsa kasutajatele.

Kontrollige käsurea õigusi

Administraatorid kasutavad sageli käsurea tööriistade, näiteks subnacl.exe, xacls.exe ja CACls.exe, et kontrollida NTFS-õigusi. Sublincl sisaldub Windows Server 2003 ressursside komplekti tööriistad ressursse. Kasutades SUBINACL-i, saate vaadata ja muuta NTFS-i õigusi failide, kaustade, objektide, registrikannete ja teenuste jaoks. Kõige olulisem võimalus Sub Noncl on kopeerida kasutaja õigusi, rühmi või objekti ja rakendada neid teise kasutaja, grupi või objekti samas või muu domeeni. Näiteks kui te kasutate kasutaja ühest domeenist teise, luuakse Windowsis uus kasutajakonto; Kõik eelnevalt olemasolevad SID-d või esialgse kasutajaga seotud õigused tühistatakse. Uue kasutajakontole loa kopeerimine SUBINACL-i abil saate need identsemaks muuta. XCACLS funktsioneerib sarnaselt subnacl ja on osa Windows 2000 server ressurssikomplekt ressursside komplekti.

CACLide programmi on kirjeldatud Microsoft avaldatud Microsoft artikli "DoadocumentaCument CACLS: grupi õigusi võimeid". See on vanem vahend, mis ilmus Windowsi Windowsi osana. CACls ei ole nii kasulikud kui subnacl või XACLS, kuid utiliit on alati saadaval Windowsi süsteemis. CACLidega saate vaadata ja muuta kasutajate ja rühmade faile ja õigusi, kuid ei loo üksikasjalikke NTFS-õigusi. Praegu piirduvad CACL-i funktsioonid tööga ilma juurdepääsuta, lugeda, muuta ja täielikku juhtimisõigusi, mis sobivad NTFS-i õigustega, kuid mitte lahendamata. Lisaks vastab lugemisprogrammi loal CACLSi resolutsioonile lugemis- ja ellu viidud NTFS-süsteemi resolutsioonile.

Pärand

Vaikimisi pärivad kõik failid, kaustad ja registriosad emakonteineri õigused. Pärand saab aktiveerida või keelata üksikute failide, kaustade või registriosade ja üksikute kasutajate või rühmade jaoks. Nagu me näeme ekraanil 1, siis rakendage väljalülitava turvaseadete vahekaardil oleva väljale, kas konkreetse eraldusvõime toiming piirdub praeguse konteineriga või laieneb alamkaustadele ja failidele. Administraator võib määrata loa (üksikute kasutajate jaoks), mis pärinevad või mitte. Selles näites on igaühel rühm praeguses kausta lugemis- ja ellu viidud ja see luba ei ole päritud.

Kui fail või kaust pärineb suurema osa oma lubadest, kuid on ka selgelt määratletud õiguste kogum, on viimasel alati prioriteet pärilikke õigusi. Näiteks saate pakkuda kasutajale täieliku kontrolli loal konkreetse mahu juuretataloogi ja määrata nende õiguste pärandina kõik failid ja kettakaustad. Seejärel saate määrata mis tahes faili või kausta kettale paremale juurdepääsule, mis tühistab päritud täieliku juhtimisrežiimi.

Tõhusad õigused

Windowsi turvalisuse monitor määratleb tõhusate kasutajate lubade (tegelikud õigused, mida nad praktikas) võtab arvesse mitmeid tegureid. Nagu eespool märgitud, kogub kaitsemonitor kõigepealt teavet kasutaja individuaalse konto ja kõigi rühmade kohta, millele see kuulub ja võtab kokku kõikidele kasutajatele ja rühma SIDSile määratud õigustele. Kui eitada ja lubada õigusi esineb ühel tasandil, siis reeglina on eitamisel prioriteet. Kui prioriteet saab täieliku kontrolli-eitamise, ei ole kasutaja tavaliselt objektile juurdepääsu.

Vaikimisi, kui registreerumisel NTFS ja aktsia õigused (kasutaja ühendab ressursi kaudu võrgu kaudu), kaitse monitor peab koguma kõik aktsia- ja NTFS õigusi. Selle tulemusena on tõhusad kasutajate õigused mõlema osa õiguste ja NTF-de poolt pakutavad õigused.

Näiteks lõpuks võib kasutaja osutuda jagamisloa lugemis- ja muutusteks ning NTFS-i õigused loevad ja muudavad. Tõhusad load - kõige piiratumad õigused. Sellisel juhul on õigused peaaegu identsed. Tõhusad õigused loetakse ja muudavad / muudavad / muudavad. Paljud administraatorid usuvad ekslikult, et tõhusaid lubasid lugeda ainult halbade, liiga lihtsustatud näidete või aegunud dokumentatsiooni tõttu.

Windows XP ja uuemate versioonide dialoogiboksis Advanced Security Seadistused ilmusid vahekaardil tõhus luba (vt ekraani 2). Kahjuks kajastub vahekaardil kehtivate õiguste kohta ainult NTFS-i õigused. Aktsiaõiguste mõju, liikmetel põhinevad tegevused, kelle liikmelisusel ei ole ja muid tegureid, nagu näiteks krüpteerimisfailisüsteem (failisüsteemi krüpteerimine - EFS). Kui EFS on aktiveeritud faili või kausta jaoks, võivad kasutaja sobivate NTF-de ja aktsia õigustega kasutaja kaotada objektile juurdepääsu võimalus, kui tal ei ole EFS-i juurdepääsu kaustale või failile.

  • Ettevaatlikult annab luba täieliku kontrolli eest tavalistele kasutajatele. On kasulik määrata selle asemel, et muuta resolutsiooni asemel. Enamikul juhtudel pakub see lähenemine kasutajatele kõik vajalikud õigused, mis võimaldavad muuta õigusi ega määrata omandiõigust.
  • Töötage hoolikalt tööga igaühega; Parem on kasutada autenteeritud kasutajaid (või kasutajate) rühma või spetsiaalset piiratud rühma. Autentitud kasutajate rühma olulised puudused on külalise puudumine ja mitte-kinnitatud kasutaja puudumine.
  • Sageli palutakse võrgu administraatoritel siseneda kolmanda osapoole kasutajatele (näiteks konsultandid, töövõtjad, vabakutselised programmeerijad). Kuid tavalised kasutajaõigused on sageli üleliigsed külalistele. Te peaksite looma ja kasutama rühma, kelle õigusi on väga kärbitud (näiteks Rootikataloogide täieliku kontrolli-eitamise luba) ja seejärel võimaldavad selgesõnaliselt juurdepääsu selle külaliskonto jaoks vajalike failide ja kaustade juurde. Eelistatud on selgesõnaliselt määratud õigused, kuna need pakuvad külaliste kasutajatele nende tööde jaoks vajalikke õigusi, kuid mitte rohkem.
  • Hooldust tuleks võtta, kehtestades igaühe ja kasutajate keelude kehtestamine, kuna administraatorid kuuluvad nendesse rühmadesse.
  • Teiste domeenide usalduse suhete puhul on kasulik kohaldada ühepoolset ja selektiivset usaldust, et piirata usaldusväärse domeeni kasutajate õigusi.
  • On vaja regulaarselt kontrollida NTFS-i ja jagada õigusi, et veenduda, et need oleksid võimalikult piiratud.

Kasutades neid soovitusi ja võrdluslaudade lühikirjelduse kõikide lubade, saate ohutult minna failisüsteemi labürindi. Administraator suudab kindlalt määrata failide, kaustade, kasutajate ja rühmade õigusi.

Tabel 1. NTFS Permissions kokkuvõte

Resolutsioon

Tegutsema

Annab failide, kaustade ja objektide vaatamise, kopeerimise, printimise ja ümbernimetamise. Ei käivitu programmi käivitatavaid, välja arvatud stsenaariumifailid. Võimaldab lugeda objektide, objektide, objektide atribuutide ja täiustatud atribuutide õigusi (näiteks arhiiv, EFS-bit). Võimaldab teha failide ja subfolder kaustade loendi.

Lugemislubade lugemine ja failide ja kaustade loomine ja ümberkirjutamine

Nimekiri (ainult kaustad)

Võimaldab teil vaadata failinimede ja alamkaustade kausta sees

Lugege õigusi ja töötavad tarkvarafaile

Pakub kõiki lubasid lisaks võimele määrata valdusse ja määrata õigusi. Võimaldab lugeda, kustutada, muuta ja üle kirjutada faile ja kaustu.

Annab kaustade ja failide täieliku juhtimise, sealhulgas võimaldab teil määrata õigusi.

Eriluba

Võimaldab koostada 14 üksikasjalikuma load kombinatsiooni, mis ei sisene ühtegi teise 6 reeglite suhtes. See grupp hõlmab loa sünkroniseerimist

Tabel 2. Üksikasjalikud NTFS õigused

Resolutsioon

Tegutsema

Traverse Folder / Execute fail

Traverse kausta võimaldab teil liikuda kaustadele juurdepääsu teistele failidele ja kaustutele, isegi kui turvaüksus ei ole load transiidi kausta. Kehtib ainult kaustade kohta. Traverse kaust jõustub ainult siis, kui turvaüksus ei ole luba ümbersõidu kontrolli kasutaja (mida pakuvad vaikimisi igaüks rühm). Käivita fail võimaldab käivitada programmi faile. Kausta traverse kausta loa andmine ei installita käivitamise failiõigusi automaatselt kõigi kausta failide jaoks

Loendage kaust / lugeda andmeid

Annab kausta failide nimede ja alamkaustade vaateid. Loendikaust mõjutab kausta sisu - see ei mõjuta, kas kaust kantakse loetelusse, mille resolutsioon on määratud. Loe Data võimaldab teil vaadata, kopeerida ja printida faile

Turvaüksus näeb objekti atribuute (näiteks ainult lugemis-, süsteemi, peidetud)

Lugege laiendatud atribuute.

Turvaüksus näeb laiendatud objekti atribuute (näiteks EFS, kokkusurumine)

Loo failid / kirjuta andmed

Failide loomine võimaldab teil kausta sees luua faile (rakendatakse ainult kaustadele). Kirjuta andmed võimaldavad teha faili muudatusi ja kirjutada olemasoleva sisu üle (rakendatakse ainult failidele)

Loo kaustad / lisandmed

Loo kaustade loomine võimaldab teil luua kaustu kaustade sees (rakendatakse ainult kaustadele). Lisa andmed võimaldavad teha muudatusi lõppu faili, kuid ei muutu, kustutada ega üle kirjutada olemasolevaid andmeid (rakendatakse ainult faile)

Kirjutage atribuute.

Määrab kindlaks, kas turvaüksuse saab salvestada või muuta standard atribuute (näiteks lugemis-, süsteemi, peidetud) faile ja kaustu. Ei mõjuta failide ja kaustade sisu ainult nende atribuutide kohta.

Kirjutage laiendatud atribuudid.

Määrab kindlaks, kas turvaüksuse saab salvestada või muuta laiendatud atribuute (näiteks EFS, kompressioon) faile ja kaustu. Ei mõjuta failide ja kaustade sisu ainult nende atribuutide kohta

Kustuta alamkaustad ja failid

Võimaldab kustutada alamkaustad ja failid, isegi kui kustutamislahendus ei ole varustatud alamkala või failiga

Võimaldab kustutada kausta või faili. Kui faili või kausta kustutamist ei kustutata, saab kustutada, kui on olemas resolutsioon kustutada alamkaustade ja faile emakaustas

Loe õigusi

Muuda õigusi

Võimaldab teil muuta õigusi (näiteks täielik kontroll, lugeda, kirjutada) faili või kausta. Ei võimalda teil faili ise muuta

Määrab, kes võib olla faili või kausta omanik. Omanikud saavad alati täielikku kontrolli ja nende õigusi failis või kausta ei saa pidevalt tühistada, kui omandiõigust ei tühistata.

Administraatorid kasutavad seda luba harva. Seda kasutatakse sünkroniseerimiseks mitme keermega, multiprocess programmide ja määrab interaktsiooni mitme niidi vahel, mis pöörduvad ühe ressursi.

NTFS-i õigusi kasutatakse ressursside kaitsmiseks:

    kohalikud kasutajad töötavad arvutis, kus ressurss asub;

    kaugkasutajad ühendatud jagatud kausta võrgu kaudu.

NTFS-i õigused pakuvad kõrge turvalisuse selektiivsust: iga kausta faili jaoks saate oma õigusi seadistada. Näiteks üks kasutaja võimaldab teil lugeda ja muuta sisu faili, teine \u200b\u200b- lugeda ainult lugeda ja ülejäänud - üldjuhul keelata juurdepääs sellele.

Kui helitugevuse vormindamisel on NTFS-süsteem installitud, määratakse igaühe grupp automaatselt selle mahuga täielikule SONTROLile (täielik kontroll). Kaustade ja failide loodud sellel mahus vaikimisi pärida see luba.

Individuaalsed õigused

Windows NT-l on kuus tüüpi individuaalseid NTFS-õigusi, millest igaüks määrab faili või kausta juurdepääsu tüübi.

Tabelis kirjeldatakse kasutaja lahendatud operatsioone kausta või failiga, kui seda rakendatakse ühe individuaalsete õiguste NTF-de objektile.

Kasutaja, kes loonud faili või kausta NTFS mahus muutub selle faili või kausta omanik. Kui see kasutaja on administraatori rühma liige (administraatorid), saab tegelik omanik kogu Administratrs gruppi. Omanikul on alati õigus määrata ja muuta õigusi oma faili või kausta juurde pääsemiseks.

Standardsed õigused

Enamikul juhtudel naudite standardseid NTFS-õigusi. Nad on individuaalsete õiguste kombinatsioonid. Mitmete faili või kausta individuaalse õiguse samaaegne eesmärk lihtsustab oluliselt haldust.

Pärast standardse resolutsiooniga sulgudes on esitatud selle individuaalsete õiguste komponentide lühendid. Näiteks standard eraldusvõime lugeda (lugeda) faili võrdub kahe individuaalse õigusi - lugeda (lugemine) ja execute - ja sulgudes seisavad RX tähed.

Kaustade standardsed õigused

Tabelis on loetletud kaustade standardsed õigused ja vastavad individuaalsed NTFS-i õigused.

Juurdepääsu luba (puudub juurdepääs) keelab juurdepääsu failile või kaustale, isegi kui kasutaja on grupi liige, mis on antud juurdepääsu luba. Digger "Faili individuaalsed õigused" veeru tähendab, et see standard resolutsioon ei ole rakendatav faile.

Standardsed failide õigused

Tabelis on loetletud failide standardsed õigused ja vastavad individuaalsed NTFS-i õigused.

Permissions Full Control (täielik kontroll) ja muutus (muudatus) funktsioon, et teine \u200b\u200bei võimalda muuta objekti õigusi ja omaniku.

      1. NTFSi lubade rakendamine

NTFS-i õigused on määratud kasutajakontodele ja rühmadele ning juurdepääsuõigustele jagatud ressurssidele. Kasutaja võib saada luba kas otse või ühe või mitme loaga rühma liige.

Kaustade NTFS-õiguste kasutamine on sarnane ühiste ressursside juurdepääsuõiguste kasutamisega.

    Nagu juurdepääsuõigused ühistele ressurssidele, on kasutaja tegelikud NTFS-õigused kasutajate õiguste ja rühmade kombinatsioon, mille liige on. Ainus erand on juurdepääsu luba (juurdepääs): see tühistab kõik muud õigused.

    Erinevalt jagatud ressursside kättesaadavuse õigustest kaitsevad NTFS-i õigused kohalikke ressursse. Eelkõige võivad selles kaustas sisalduvad failid ja kaustad olla muid õigusi kui ise.

NTFS-i õigused fail valitsevad kausta load, mille suhtes see sisaldub. Näiteks kui kasutajal on kausta lugemisluba ja kirjutage sellele lisatud failile, saate andmete faili salvestada, kuid ei saa kausta uue faili luua.

See artikkel jätkub artikkel. Nagu ta ütles, pärast kasutajate ja (või) rühmade valimist peate täpsustama nende juurdepääsu parameetrid. Seda saab teha järgmises tabelis käsitletud NTFS-failisüsteemi õiguste abil.

Faili juurdepääsuõigused

  • Lugemine. Faili lugemine on lubatud, samuti vaadelda oma parameetreid, näiteks omaniku nime, õigusi ja täiendavaid omadusi.
  • Kirje. See on lubatud ümber kirjutada faili, muutes oma parameetreid, vaatades selle omaniku nime ja õigusi.
  • Lugemine ja täitmine. Luba lugeda ja õigus käivitada käivitatava taotluse.
  • Muutus. See on lubatud muuta ja kustutada faili, samuti kõike, mis on ette nähtud loeb lugemise ja täitmise, samuti salvestamise.
  • Täielik juurdepääs.
  • Võimaldas faili täielikku juurdepääsu. See tähendab, et kõik eespool nimetatud load on lubatud kõik ette nähtud meetmed. Samuti on lubatud saada faili omanik ja muuta oma õigusi.

Juurdepääsuõigused kaustadele

  • Lugemine. On lubatud vaadata sisestatud kaustu ja -faile ning nende omadusi, näiteks omaniku, õiguste ja lugemise atribuutide nime, näiteks lugemis-, peidetud, arhiivide ja süsteemse nime.
  • Kirje. See on lubatud luua ja postitada uusi faile ja alamkaustade kausta sees, samuti muuta kausta parameetreid ja vaadata oma omadusi, eelkõige nimi omanik ja luba juurdepääsu luba.
  • Kausta sisu nimekiri. Kausta ja alamkaustade sisalduvate failide nimed on lubatud vaadata.
  • Lugemine ja täitmine. See on lubatud saada juurdepääsu faile alamkaustade, isegi kui puudub juurdepääs kausta ise. Lisaks on lubatud samad meetmed, mis on ette nähtud kausta sisu lugemiseks ja loendamiseks loa andmiseks.
  • Muutus. Kõik toimingud, mis on ette nähtud loa andmiseks ja lugemiseks ning käivitamiseks ning kausta kustutamiseks.
  • Täielik juurdepääs. Täielik juurdepääs kaustale on lubatud. Teisisõnu, kõik eespool loetletud load on lubatud kõik ette nähtud meetmed. Lisaks lubati saada kausta omanikuks ja muuta oma õigusi.
  • Eriluba. Täiendavate õiguste kogum erineb standardist.

Faili loojat peetakse alati oma omanikule, kellel on õigused Täielik juurdepääs, isegi kui omanik konto ei ole loetletud vahekaardil Faili turvalisus. Lisaks ülaltoodud failide õigustele saate valida kaks täiendavat õigusi.

  • Muutuv omanik. Seda tüüpi resolutsioon võimaldab kasutajal saada faili omanik. Seda tüüpi resolutsioon on määratud grupile Administraatorid.
  • Lubade muutmine. Kasutajal on võimalus muuta failide ja rühmade nimekirja, millel on juurdepääs failile, samuti muuta failide juurdepääsuõigusi.

Sarnased artiklid