Mengapa dalam banyak kasus dalam organisasi membutuhkan server? Direktori aktif, RDS, server cetak, dan banyak layanan kecil dan besar. Peran yang paling menonjol adalah server file. Orang-orang dengannya, tidak seperti peran lain, bekerja secara sadar. Mereka ingat folder mana yang terletak di mana pemindaian dokumen berada di mana laporan mereka berada di mana faks di mana folder umum di mana Anda semua dapat memiliki akses ke hanya satu departemen, di mana lagi, dan mereka tidak mengenali
Tentang akses ke jaringan dan folder lokal di server yang ingin saya bicarakan.
Akses ke sumber daya bersama di server dilakukan, bagaimana semua orang mengetahui segalanya dengan sempurna, menurut SMB Protocol 3.0. Akses jaringan ke folder dapat dibatasi pada izin SMB dan NTFS. Izin SMB hanya berfungsi saat mengakses folder bersama melalui jaringan dan tidak berpengaruh pada ketersediaan folder tertentu secara lokal. Izin NTFS berfungsi baik di jaringan dan lokal, memberikan lebih banyak fleksibilitas dalam menciptakan hak akses. Izin SMB dan NTFS tidak berfungsi secara terpisah, tetapi saling melengkapi, sesuai dengan prinsip keterbatasan hak terbesar.
Untuk memberikan folder ke Share Server 2012 di Grup CMDlets SMB Bagikan, Cmdlet New-SMBShare muncul. Pada contoh cmdlet ini, kita akan melihat semua fitur yang tersedia saat membuat folder bersama, selain konfigurasi cluster (ini adalah topik besar yang terpisah).
Membuat folder bersama baru terlihat sangat sederhana:
Bersih Bagikan HomeFolder \u003d S: \\ Ivaniivanov / Grant: "Admin", Penuh / Grant: "FolderOwner", Ganti / Grant: "Manajer", baca / cache: Program / Komentar: "Ivanov" atau: "
NEW-SMBSHARE HomeFolder S: \\ Ivaniivanov -CachingMode Program - Adminfullacess -ChangeAccess FolderPerema -ReadAccess Manager -Noaccess Semua -FolderenerAnerationMode Terkunci "Ivanov"
Kami mengerti:
-Nama nama folder bersama pada jaringan mungkin berbeda dari folder di komputer lokal. Ini memiliki batas dalam 80 karakter, Anda tidak dapat menggunakan nama pipa dan mailslot.Jalur jalur ke folder lokal yang ingin Anda masukan. Jalan harus lengkap, dari akar disk.
Cachingmode mengatur otonomi file dalam folder bersama.
Apa itu file mandiri?
File mandiri adalah salinan file yang terletak di server. Salinan ini terletak di komputer lokal dan memungkinkan Anda untuk bekerja dengan file tanpa menghubungkan ke server. Saat menghubungkan perubahan disinkronkan. Disinkronkan di kedua arah: Jika Anda membuat perubahan dalam file offline Anda - lain kali Anda menghubungkan file di server akan diubah; Jika seseorang membuat perubahan pada server - maka salinan lokal Anda akan diubah. Jika perubahan terjadi pada kedua file sekaligus - kami mendapatkan kesalahan sinkronisasi dan Anda harus memilih versi mana yang akan disimpan. Untuk berbagi kesempatan ini, saya tidak akan menggunakan kesempatan ini, tetapi jika Anda membuat bola untuk setiap pengguna dan membatasi akses untuk membaca lain, tanpa kemungkinan merekam, kami mendapatkan roti berikut:
- Pekerjaan tidak tergantung pada jaringan - dapat membakar sakelar, server dapat reboot, kawat dapat menerobos atau mematikan jalur akses - pengguna bekerja dengan salinannya, tidak memperhatikan bahwa Anda memiliki semacam kecelakaan di sana, Saat memulihkan koneksi jaringan, itu masuk ke server.
- Pengguna dapat bekerja di mana saja: di pondok, di bus, di pesawat - di tempat-tempat di mana koneksi ke VPN karena alasan tertentu tidak tersedia.
- Jika bahkan pengguna bekerja melalui VPN, tetapi koneksi atau sangat lambat, atau terus-menerus pecah - lebih mudah untuk bekerja dengan salinan offline dan menyinkronkan perubahan daripada mencoba melakukan sesuatu di server.
- Pengguna sendiri dapat memilih itu dan kapan harus menyinkronkan, jika Anda memberikan kesempatan.
Mengambil nilai-nilai berikut:
- tidak ada file yang tidak tersedia secara offline, akses ke server perlu akses ke server.
- manual - Pengguna memilih file yang akan tersedia secara mandiri
- program - Semua dalam folder tersedia secara otonom (dokumen dan program (file dengan ekstensi * .exe, * .dll))))
- dokumen - dokumen yang tersedia, tidak ada program
- cabangCache - Caching alih-alih pengguna komputer lokal terjadi pada server BranchCache, pengguna memilih file offline sendiri
Izin ini memiliki satu keuntungan besar - mereka sangat sederhana.
Sekretaris Noaccess, Steward - Sekretaris Mandiri dan Relozem Lagi pula di Folder Akuntansi Umum
-ReadAccess Auditor - Auditor Memeriksa pekerjaan akuntansi dapat melihat nama file dan subfolder dalam folder bersama, buka file untuk membaca, menjalankan program.
-ChangeAccess Accountant - Akuntan dalam folder bersama mereka dapat membuat file dan subfolder, mengubah file yang ada, menghapus file dan subfolder
-Fullacess Admin - FullAccess adalah readaccess + changeacess plus kemampuan untuk mengubah izin.
Saat membuat folder bersama, aturan paling ketat secara otomatis digunakan - grup "Semua" diberikan untuk membaca.
Izin-izin ini hanya berlaku untuk pengguna yang memiliki akses ke folder bersama melalui jaringan. Dengan entri lokal ke dalam sistem, misalnya, dalam kasus server terminal, dan sekretaris dan mahkota akan terlihat dalam akuntansi, semua keinginan itu. Ini dikoreksi oleh izin NTFS. Izin SMB berlaku untuk semua file dan folder pada sumber daya bersama. Hak akses yang lebih tipis juga dilakukan oleh izin NTFS.
ConcurrentUserLimit Gunakan parameter ini untuk membatasi jumlah maksimum koneksi ke folder bersama. Pada prinsipnya, Anda juga dapat menggunakan untuk membatasi akses ke folder, melengkapi izin NTFS, hanya Anda harus benar-benar percaya diri pada jumlah koneksi yang diperlukan.
Deskripsi Deskripsi sumber daya bersama yang terlihat di lingkungan jaringan. Deskripsi adalah hal yang sangat baik yang banyak diabaikan.
EncryptData Encryption.
Di SMB ke versi 3.0, satu-satunya cara untuk melindungi lalu lintas dari server file ke klien adalah VPN. Cara mengimplementasikannya sepenuhnya tergantung pada preferensi administrator sistem: SSL, PPTP, IPSec-terowongan atau sesuatu yang lain. Di Server 2012, enkripsi bekerja di luar kotak, di jaringan lokal biasa atau melalui jaringan yang tidak dipercaya, tanpa memerlukan solusi infrastruktur khusus. Ini dapat diaktifkan baik untuk seluruh server dan untuk folder bersama individu. Algoritma enkripsi dalam SMB 3.0 adalah AES-CCM, algoritma hashing bukannya HMAC-SHA256 telah menjadi AES-CMAC. Berita baiknya adalah bahwa SMB 3.0 mendukung perangkat keras AES (AES-NI), berita buruknya adalah bahwa Rusia tidak mendukung AES-NI.
Apa yang mengancam dimasukkannya enkripsi? Pada kenyataan bahwa hanya klien yang mendukung SMB 3.0 akan dapat bekerja dengan folder umum terenkripsi, yaitu, Windows 8. Alasannya lagi, batas maksimum yang diijinkan dari hak-hak pengguna. Diasumsikan bahwa administrator tahu apa yang dilakukannya dan, jika perlu, akan memberikan akses kepada pelanggan dengan versi lain dari SMB. Tetapi karena SMB 3.0 menggunakan algoritma enkripsi baru dan lalu lintas klien dengan versi SMB lain tidak akan dienkripsi, VPN diperlukan. Untuk menempatkan semua pelanggan pada server file dengan enkripsi diaktifkan akan membantu set-smbserverconfiguration -Rejectuncrycess $ perintah $
Dalam konfigurasi default (lalu lintas yang tidak mudah ke folder bersama terenkripsi dilarang, saat mencoba mengakses folder klien dengan versi SMB di bawah 3.0 pada klien, kami akan menerima "kesalahan akses". Di server ke Microsoft-Windows-SMBSERVER / Operational Log, acara 1003 akan ditambahkan, di mana Anda dapat menemukan alamat IP klien yang mencoba mengakses.
Enkripsi SMB dan EFS adalah hal yang berbeda yang tidak terhubung satu sama lain, yaitu, dapat digunakan pada volume lemak dan referensi.
FolderenMatiationMode Ini adalah enumerasi berbasis akses. Dengan enumerasi berbasis akses, pengguna yang tidak memiliki akses ke folder bersama tidak akan melihatnya di server file dan akan ada lebih sedikit pertanyaan, mengapa saya tidak memiliki akses ke folder ini atau itu. Pengguna melihat folder yang tersedia dan tidak berusaha memanjat ke dalam urusan orang lain. Default - off.
- terkunci - Aktifkan
- tidak Terbatas - Matikan
NTFS Permissions.
Dengan bantuan izin NTFS, kami dapat membatasi hak-hak dalam folder secara lebih rinci. Kami dapat melarang grup tertentu untuk mengubah file tertentu, meninggalkan kemampuan untuk mengedit seluruh yang utama; Di folder yang sama, satu kelompok pengguna mungkin memiliki hak untuk mengubah satu file dan tidak akan dapat melihat file lain yang diedit oleh grup pengguna lain dan sebaliknya. Singkatnya, izin NTFS memungkinkan kita untuk membuat sistem akses yang sangat fleksibel, hal utama kemudian tidak menjadi bingung. Selain itu, izin NTFS berfungsi, keduanya ketika mengakses folder jaringan, melengkapi izin akses keseluruhan dan dengan akses lokal ke file dan folder.Ada enam izin utama (dasar) yang merupakan kombinasi 14 izin tambahan.
Permissi utama
Akses penuh (FullControl) - Akses penuh ke folder atau file, dengan kemampuan untuk mengubah hak akses dan aturan audit ke folder dan fileMemodifikasi - Hak untuk membaca, mengubah, melihat konten folder, hapus folder / file dan jalankan file yang dieksekusi. Termasuk membaca dan eksekusi (readandExecute), menulis (menulis) dan menghapus.
Baca dan Eksekusi (ReadandExecute) - Hak untuk membuka folder dan membaca file, tanpa kemungkinan merekam. Dimungkinkan juga untuk mulai menjalankan file.
Daftar Folder Konten (ListPirectory) - Hak untuk melihat isi folder
Membaca (Baca) - Hak untuk membuka folder dan membaca file, tanpa kemungkinan merekam. Termasuk isi folder / pembacaan data (readdata), atribut membaca (readattributes), membaca atribut tambahan (readextedIntedateTtributes) dan izin membaca (readpermissions)
Rekaman (Tulis) - Hak untuk membuat folder dan file, memodifikasi file. Termasuk membuat file / menulis pembuatan data / kerusakan data (appenddata), perekaman atribut (writeeattributes) dan merekam atribut tambahan (writeextededattribut)
Izin tambahan.
Saya memakai folder hanya 1 dari 14 izin dan menonton apa yang ternyata. Di dunia nyata, dalam kebanyakan kasus ada cukup izin utama, tetapi saya tertarik pada perilaku folder dan file dengan hak setinggi mungkin.Folder Traverse / Eksekusi File (Traverse) - Hak untuk meluncurkan dan membaca file, terlepas dari hak akses ke folder. Tidak akan ada akses ke folder untuk folder, (yang ada di folder akan tetap menjadi misteri) tetapi file-file di folder akan tersedia dalam tautan langsung (penuh, relatif atau jalur UNC). Anda dapat menempatkan folder traverse pada folder folder, dan pada file izin lain yang perlu digunakan pengguna. Buat dan hapus file di folder pengguna tidak akan berfungsi.
Readatributes Reading. - Hak untuk melihat folder atau file atribut (fileattributes).
Lihat isi folder atau file atau ubah atribut apa pun tidak dapat diubah.
ReadextediveTattribut (readextededattributs) - Hak untuk melihat atribut tambahan folder atau file.
Satu-satunya hal yang dapat saya temukan pada atribut tambahan adalah apa yang digunakan untuk memberikan kompatibilitas mundur dengan aplikasi OS / 2. (Windows Internals, Bagian 2: Meliputi Windows Server 2008 R2 dan Windows 7). Saya tidak tahu apa-apa tentang mereka.
Membuat File / Menulis Data (Writedata) - Memberi pengguna kemampuan untuk membuat file di folder di mana ia tidak memiliki akses. Anda dapat menyalin file ke folder dan membuat file baru di folder. Anda tidak dapat melihat konten folder, membuat folder baru dan mengubah file yang ada. Pengguna tidak akan dapat mengubah file apa pun, bahkan jika itu adalah pemilik file ini - hanya buat.
Membuat Folder / Kerusakan Data (Appenddata) - Memberi pengguna kemampuan untuk membuat subfolder di folder dan menambahkan data ke akhir file tanpa mengubah konten yang ada.
Memeriksa
Dengan penciptaan subfolder, semuanya jelas: Ni C: \\ testperms \\ testapend -Intemype direktori akan berfungsi seperti yang diharapkan - akan membuat subfolder testperma untuk melihat pengguna. Mari kita coba menambahkan string ke ujung file - buat pemeliharaan beberapa log. NewEvent \u003e\u003e C: \\ testperma \\ user.log ditolak akses.
Hmm ... dalam cmd tidak berfungsi. Dan jika demikian. AC C: \\ TestPerms \\ user.log newEvent AC: Ditolak akses sepanjang "c: \\ testperme \\ user.log".
Dan di conveyor? "NewEvent" | Out-file C: \\ testperms \\ user.log -append out-file: Ditolak akses di sepanjang path "c: \\ testperme \\ user.log".
Dan tidak berhasil.
Kami memulai sesi ajaib hitam: Gunakan kelas file, metode AppendText. Kami mendapatkan objek log.
$ Log \u003d ::: appendText ("c: \\ testperme \\ user.log") pengecualian saat menelepon "AppendText" dengan argumen "1": "Ditolak akses di sepanjang jalur" C: \\ testperme \\ user.log "."
Saya pikir appendalltext tidak layak untuk dicoba
$ Log \u003d ::: appendalltext ("c: \\ testperme \\ user.log", "neweevent") Pengecualian saat menelepon "AppendallText" dengan argumen "2": "Ditolak akses pada path" C: \\ testperme \\ user.log " . "
Kasus, pada prinsipnya, jelas. Hanya hak atas data pra-kirim ke file di atas metode tidak cukup, mereka memerlukan entri ke file. Tetapi bersama dengan ini, kami akan memberikan kesempatan untuk mengubah file, dan tidak hanya menambahkan catatan, yaitu, kami membuka kemampuan potensial untuk menghancurkan semua konten file.
Kita perlu mempertimbangkan kembali konsepnya: Mari kita tidak mendapatkan objek log, tetapi buat yang baru, di mana kita menanyakan semua parameter yang menarik minat kita. Kami membutuhkan sesuatu di mana kami dapat secara eksplisit menentukan izin. Kami memerlukan filestream, dan lebih khusus lagi, kami akan membantu pembangun filestem (string, filema, filesystemrights, fileshare, INT32, FileOptions). Parameter berikutnya perlu:
- Jalur ke file itu jelas
- Cara membuka file - Buka file dan temukan akhir file
- Hak Akses File - Data Data
- Akses untuk objek filestream lainnya - tidak perlu
- Ukuran buffer - default 8 byte
- Opsi tambahan - Tidak
$ Log \u003d new-objek io.filestream ("c: \\ testperms \\ user.log" ,:: append, :: appenddata, :: none, 8 ,:: tidak ada)
Bekerja! Kami membuat objek log, cobalah untuk menulis sesuatu di sana. Metode FileStream.Write mengambil nilai masuk dalam byte. Kami mematuhi acara yang ingin kami rekam, dalam byte - encoding kelas, metode getencoding (kami tidak perlu krakozyabe di output) dan getbytes (sebenarnya konversi)
$ event \u003d "Acara baru terjadi." $ Eventbytes \u003d ::: gteEncoding ("Windows-1251"). GetBytes ($ ACARA)
FileStream.Write Parameter:
Apa yang ditulis; Di mana mulai menulis; Jumlah byte untuk menulis
Kami menulis:
$ log.write ($ eventbytes, 0, $ eventbytes.count)
Memeriksa.
GC C: \\ TestPerms \\ user.log GC: Ditolak akses sepanjang "c: \\ testperme \\ user.log".
Semuanya baik-baik saja, pengguna tidak memiliki hak untuk melihat ditulis. Kami bergeser di bawah administrator.
GC C: \\ TestPerms \\ user.log telah terjadi acara baru.
Semuanya berfungsi.
Folder di mana file selain izin, pembuatan folder / data gagah harus diizinkan untuk menyelesaikan folder konten / membaca. File ini cukup hanya untuk membuat folder / data geser dengan warisan yang dinonaktifkan. Sepenuhnya melindungi pengguna (dan pengguna dapat menjadi penyerang) dari file di mana ia harus menulis sesuatu tidak akan berfungsi, tetapi di sisi lain, selain daftar file di folder, pengguna tidak akan melihat apa-apa dan dapat tidak.
Kesimpulan Dari ini sederhana: di Batnikov, menerapkan penebangan yang aman dari sesuatu tidak akan berfungsi, PowerShell menyimpan keterampilan untuk bekerja dengan objek .NET.
Perekaman atribut (writeeattributes) - Biarkan pengguna mengubah atribut file atau folder. Tampaknya sederhana. Tapi sekarang jawablah pertanyaannya: "Foto kucing saya menempati hampir semua tempat di profil saya dan saya tidak memiliki tempat untuk korespondensi bisnis. Saya ingin memeras folder dengan kutipan, tetapi saya menuntut hak administrator. Anda mengatakan bahwa saya memiliki hak untuk mengubah atribut folder. Apakah atributnya? Mengapa saya tidak bisa mengubahnya? "
Ya, pengguna dengan atribut hak untuk menulis dapat diubah hampir semua atribut file dan folder yang terlihat, kecuali atribut kompresi dan enkripsi. Secara teknis, pengguna diberi hak untuk menjalankan fitur SetFileattributes. Dan kompresi file dilakukan oleh fungsi DeviceIocontrol, yang ingin Anda transfer parameter FSCTL_SET_COMECRESSPRESI dan kompresi file jauh dari pekerjaannya. Dengan fitur ini, kami dapat mengelola semua perangkat dan sumber daya mereka dalam sistem dan, mungkin, memberikan pengguna dengan hak ini untuk melakukan fitur ini berarti menjadikannya administrator.
Dengan enkripsi cerita serupa: fungsi enkripsi, yang hanya bertanggung jawab untuk enkripsi, mensyaratkan bahwa pengguna memiliki hak untuk folder konten / membaca data, membuat file / menulis data, atribut membaca, atribut entri dan sinkronisasi ke objek. Tanpa mereka, tidak ada yang akan terjadi.
Rekaman WriteXtIntInTirTributes (WriteXtIntIntedAstribut). Nah, ini yang digunakan untuk kompatibilitas mundur dengan aplikasi OS / 2, AHA. Nah, bahkan dalam atribut canggih file C: \\ Windows \\ System32 \\ Services.exe baru-baru ini mulai menulis Trojanov (ZeroAccess.c). Mungkin mereka harus dimatikan di tingkat atas? Saya tidak dapat memberikan jawaban untuk pertanyaan ini, secara teoritis - mungkin itu sepadan, praktis dalam produksi - saya belum mencoba.
Hapus subfolder dan file. (DeletesubdirectoriEsandFiles) Resolusi menarik hanya diterapkan pada folder. Esensi ini adalah untuk memungkinkan pengguna menghapus subfolder dan file di folder induk, tanpa memberikan izin untuk menghapus.
Misalkan ada katalog barang di mana pengguna membawa data. Ada katalog folder induk, di dalam subfolder sesuai dengan alfabet, dari A hingga Z, beberapa nama di dalamnya. Nama-nama berubah setiap hari, sesuatu ditambahkan, sesuatu berubah, sesuatu menjadi usang dan Anda perlu menghapus informasi yang sudah ketinggalan zaman. Tapi itu tidak akan sangat baik jika seseorang di niat mengapung atau berbahaya menggulung seluruh katalog K, yang sangat mungkin jika pengguna memiliki hak untuk menghapus. Jika Anda mengambil hak untuk menghapus yang benar, maka administrator dapat dengan aman mengubah pekerjaan, karena akan melakukan permintaan penghapusan nama sepanjang hari.
Ini mengaktifkan penghapusan subfolder dan file. Dalam semua huruf alfabet, warisan dinonaktifkan dan pengguna ditujukan untuk menghapus subfolder dan file. Akibatnya, di folder katalog, pengguna tidak akan dapat menghapus huruf apa saja, tetapi di dalam huruf dapat menghapus apa pun.
Menghapus. Semuanya sederhana di sini. Hapus dihapus. Tidak bekerja tanpa hak untuk membaca.
Readpermissions Read. memberikan hak kepada pengguna untuk melihat izin pada folder atau file. Tidak Hak - Pengguna tidak melihat izin pada tab Safety
Ubah izin (Changepermissions) - memungkinkan pengguna untuk mengubah izin, pada dasarnya membuat pengguna oleh administrator folder. Anda dapat menggunakan, misalnya, untuk mendelegasikan kekuatan dukungan teknis. Tanpa hak untuk membaca izin, itu tidak masuk akal. Mengubah izin tidak menyiratkan perubahan pada pemilik folder.
Mengubah Pemilik (Take Padement) - Untuk memulai, siapa pemilik seperti itu. Pemiliknya adalah pengguna yang membuat file atau folder.
Fitur pemiliknya adalah memiliki akses penuh ke folder yang dibuat, itu dapat mendistribusikan izin ke folder yang dibuat, tetapi yang lebih penting - tidak ada yang bisa menghilangkan pemilik hak untuk mengubah izin pada folder atau file. Jika Vasya membuat folder, ia memberikan akses penuh ke PET, dan Petya pergi dan memarahi akses ke folder secara umum dan vasi khususnya, kemudian Vasya tanpa banyak kesulitan dapat memulihkan status quo, karena itu adalah pemilik folder. Ubah pemilik folder Petya tidak akan dapat, bahkan jika ia memiliki izin untuk mengubah pemilik. Selain itu, bahkan Vasya tidak dapat mengubah pemilik, terlepas dari kenyataan bahwa ia menciptakan folder. Hak untuk mengubah pemilik hanya berlaku untuk kelompok administrator atau administrator domain.
Tetapi jika Petya di dalam folder Vasina membuat file dan tidak memberi Anda akses ke sana, maka Anda hanya dapat berpikir dan menebak apa yang ada di dalam file rahasia ini. Vasya tidak akan dapat mengubah hak akses ke file, karena pemilik file adalah Petya. Juga, Vasya tidak akan dapat mengubah pemilik file - perubahan pada pemilik subspete dan objek juga merupakan hak istimewa dari grup administrator, yang tidak berlaku Vasta. Satu-satunya versi opsi WASI adalah melihat file petin di dalam folder-nya.
Mengelola
CMD untuk mengelola izin menggunakan ICACL yang terkenal. Di PowerShell, manajemen izin NTFS terlihat seperti ini:Dapatkan objek yang akan kami tetapkan izin
$ ACL \u003d GET-ACL C: \\ TestPerms
Bangun garis dengan hak menggunakan System.Security.AccessControl.Filesystemplascessrule kelas. Kami dapat mengatur parameter berikut:
- grup / nama pengguna - untuk siapa kita melakukan ACL
- resolusi - ACE (menerima nilai yang ditentukan dalam posting)
- berlaku untuk - di GUI adalah daftar drop-down dalam parameter keamanan tambahan. Bahkan, hanya 3 nilai yang diambil: tidak ada (hanya untuk folder ini), wadaheririt (berlaku untuk semua subfolder), ObjectInHerit (berlaku untuk semua file). Nilai dapat digabungkan.
- terapkan izin ini ke objek dan wadah hanya di dalam wadah ini (kotak centang di GUI) - juga 3 nilai: tidak ada (kotak centang), warisan (ACE hanya berlaku untuk tipe objek yang dipilih), nopropagateinherit (menerapkan izin hanya di dalam wadah ini).
- aturan - izinkan (izinkan) atau melarang (DENY)
$ izin \u003d "contoso.com \\ admin", "FullControl", "wadaherinterit, objeksinherit", "tidak ada", "izinkan"
Buat Ace baru dengan izin di atas
$ Ace \u003d New-Object Security.AccessControl.filesystemplascessrul.filesystemplascessrule $ izin
Dan oleskan kartu as yang baru dibuat ke objek
$ Acl.setaccessrule ($ ace) $ ACL | Set-acl c: \\ testperma
Berlaku dalam praktek
Berbekal pengetahuan tentang izin SMB dan NTFS, menggabungkannya dapat dibuat dengan aturan akses yang benar-benar kompleksitas. Beberapa contoh:| Sebuah tipe | SMB Permissions. | NTFS Permissions. |
| Folder untuk semua orang (publik) | Anggota Membaca / Merekam | Pengguna - Ubah |
| Kotak hitam. Pengguna membuang laporan rahasia, saran, retak - panduan membaca. | Anggota Membaca / Merekam Manual - Baca / Menulis |
Pengguna - Rekam, hanya berlaku untuk folder ini. Diasumsikan bahwa entri file ke dalam folder ini adalah tiket satu arah, karena cara yang mudah untuk mengedit tanpa hak untuk melihat konten folder folder yang disimpan dalam folder file ini tidak ada (nyaman untuk pengguna metode ini Menulis ke folder seperti itu, omong-omong, tidak ada juga). Dan melihat melanggar privasi. Manual - Perubahan. |
| Aplikasi | Pengguna membaca | Pengguna membaca, membaca, dan mengeksekusi, melihat konten folder. Secara alami, beberapa aplikasi mungkin memerlukan hak tambahan untuk bekerja. Tetapi secara umum, misalnya, penyimpanan utilitas sistem untuk diagnostik (Sysinternals suite yang sama) sudah cukup. |
| Profil pengguna | Setiap pengguna - baca / tulis ke foldernya | Setiap pengguna adalah perubahan ke foldernya. |
Izin di Windows - hal yang kontradiktif. Di satu sisi, izin utama cukup sederhana dan mencakup 90% kasus. Tetapi ketika tuning yang lebih halus mulai diperlukan: pengguna pengguna yang berbeda, satu folder, persyaratan keamanan untuk folder bersama - kemudian berurusan dengan izin tambahan, pewarisan dan pemilik cukup sulit.
Saya harap saya tidak menyentuh siapa pun lagi.
Dalam kuliah sebelumnya, kami berbicara tentang keamanan jaringan dan tentang hal seperti itu sebagai izin, tetapi layak untuk dikembalikan sekarang, karena izin hanya tersedia pada hard disk dalam format NTFS. Di bagian ini, kami akan berbicara tentang kemampuan NTFS untuk melindungi file Anda dari mencongkel mata. Berbeda dengan sistem lemak, akses ke sumber daya bersama tidak dapat dihidupkan dan terputus. NTFS menyediakan level detail seleksi ini, yang hanya melewatkan mereka yang ingin memberikan akses, dan menyaring orang lain.
Izin pengguna yang terpisah
Sebelum membahas izin pengguna dan kelompok, serta file itu sendiri, penting untuk mempertimbangkan dasar-dasar izin. Pertama, kami menunjukkan apa itu warisan, dan kemudian pertimbangkan Alat Profesional Windows XP, yang akan membantu Anda, tetapi dapat berubah menjadi batu sandungan jika Anda tidak mengetahuinya dalam fungsinya.
Warisan
Di jaringan mungkin ada semua beberapa pengguna, dan mungkin ribuan. Saat memasang izin khusus untuk volume dan folder NTFS, tugas ini dapat relatif sederhana dalam suatu organisasi yang terdiri dari enam orang. Seperti yang telah dicatat dalam kuliah 9, jika organisasi mulai tumbuh, pembagian pengguna ke kelompok tertentu membuat manajemen izin lebih mudah.
Pertama, Anda harus membuat serangkaian izin untuk grup tertentu, misalnya untuk insinyur. Dalam hal ini, ketika insinyur baru muncul di organisasi, secara otomatis ditambahkan ke grup ini. Pada saat yang sama, ia diwarisi oleh izin untuk kelompok ini.
Catatan. Warisan terkait dengan objek Tom NTFS lainnya. Misalnya, jika Anda menetapkan izin untuk folder tertentu, dan kemudian membuat subfolder di dalamnya, maka hak waris membebaskan Anda dari membuat serangkaian izin baru untuk subfolder ini, karena mewarisi izin folder induk.
Jika Anda berpikir bahwa kelompok insinyur perlu dikeluarkan atau melanjutkan resolusi tertentu, itu mudah dilakukan. Setelah berubah (apa yang akan kita bicarakan dalam kuliah ini nanti) izin baru ditugaskan untuk setiap anggota kelompok ini.
Di sisi lain, beberapa insinyur tertentu dapat memerlukan resolusi di mana sisanya tidak perlu. Anda dapat masuk ke dalam sekelompok insinyur, membuat perubahan yang diperlukan untuk pengguna ini, dan itu akan menerima izin baru yang tidak akan diwarisi olehnya karena memiliki kelompok ini. Dalam hal ini, izin tidak akan didistribusikan ke anggota kelompok lain.
Kualitas baru di Windows XP Professional adalah berbagi file sederhana (berbagi file sederhana). Fitur ini termasuk dalam instalasi primer Windows XP Professional atau saat menggunakan volume atau folder. Untuk menghubungkan lebih banyak alat kontrol akses pengguna, cukup bagikan file yang harus dinonaktifkan.
Anda dapat mengajukan pertanyaan mengapa Anda hanya perlu berbagi file jika fungsi ini harus terputus. Hanya kemudian untuk memfasilitasi proses berbagi file dan folder. Dengan file berbagi sederhana, tidak ada file dan beberapa konfigurasi untuk mengakses pengguna ke file, printer, dll. Ini memastikan cara mudah untuk berbagi file. Namun, jika Anda ingin mengelola mereka yang dapat menerima hak untuk mengakses file, berbagi file yang sederhana harus dinonaktifkan. Untuk melakukan ini, lakukan langkah-langkah berikut.
- Pilih Mulai \\ My Computer (Start \\ My Computer), lalu klik Alat dan pilih Opsi Folder (Properti Folder).
- Di kotak dialog Opsi Folder, klik pada tab Lihat.
- Tinjau daftar pengaturan di jendela Pengaturan Lanjut dan kemudian pilih Kotak Centang Penggunaan File Sederhana untuk menggunakan kotak centang Gunakan Simple File Sharing.
- Klik OK.
Catatan. Dengan sendirinya, menonaktifkan berbagi file sederhana tidak akan memungkinkan Anda untuk mengatur izin untuk file. Anda juga harus meletakkan semua file dan folder Anda di volume atau bagian NTFS.
Izin untuk folder dan volume
Izin melakukan kontrol atas fakta bahwa pengguna atau grup dapat melakukannya dengan objek di jaringan atau pada komputer lokalnya. Izin hanya didukung ketika terputus dengan hanya berbagi file dan pada hard disk dalam format NTFS. Dalam izin terdaftar yang ditugaskan ke folder, dan di - untuk file.
| Tabel 10.2. Resolusi folder | ||
| Resolusi | ||
| Ubah izin | Ubah izin folder. | |
| Buat file. | Membuat file baru di folder ini. | |
| Buat folder. | Membuat subdirektori di folder ini. | |
| Menghapus. | Hapus folder. | |
| Hapus subfolder dan file | Hapus file dan subdirektori, bahkan jika Anda tidak memiliki izin untuk membuatnya. | |
| Folder daftar. | Lihat isi folder. | |
| Atribut baca. | Lihat atribut folder. | |
| Baca izin | Lihat izin folder. | |
| Ambil kepemilikan. | Menugaskan hak pengguna lain untuk memiliki folder. | |
| Folder traverse. | Membuka folder untuk melihat subdirektori dan folder induk. | |
| Tulis atribut. | Membuat perubahan pada properti folder. | |
| Tabel 10.3. Resolusi file | ||
| Resolusi | Memungkinkan atau melarang tindakan ini | |
| Tambahkan data. | Menambahkan informasi ke akhir file tanpa mengubah informasi yang ada. | |
| Ubah izin | Membuat perubahan pada izin file. | |
| Menghapus. | Menghapus file. | |
| Eksekusi file. | Jalankan program yang terkandung dalam file. | |
| Atribut baca. | Lihat atribut file. | |
| Baca data. | Lihat isi file. | |
| Baca izin | Lihat Izin File. | |
| Ambil kepemilikan. | Menugaskan kepemilikan kepemilikan file ini dari pemilik lain. | |
| Tulis atribut. | Ubah atribut file. | |
| Tulis data. | Mengubah konten file. | |
Menciptakan dan mengelola izin
Menciptakan izin untuk file individu, folder dan volume NTFS, Anda dapat menggunakan lebih banyak opsi keamanan daripada penawaran sistem file lemak. Tab Properties dari folder atau volume yang dipilih termasuk tab Keamanan. Dengan mengkliknya, Anda dapat melihat sejumlah opsi untuk kontrol akses.
Untuk menyesuaikan izin folder atau volume ini, lakukan langkah-langkah berikut.
- Tentukan volume atau folder yang akan Anda atur izin.
- Klik kanan padanya dan pilih Properties.
- Pilih tab Keamanan.
Catatan. Jika volume NTFS dalam berbagi, maka Anda harus mengatur izin melalui tab Keamanan, dan tidak menggunakan tombol izin (izin) pada tab Berbagi.
Di jendela Properti yang muncul, Anda akan melihat dua jendela. Jendela atas berisi daftar pengguna dan grup (). Di Nizhny - daftar izin untuk pengguna yang dapat diinstal dan menyesuaikan. Sekali lagi, tab ini tersedia untuk volume dalam format NTFS.
Ara. 10.7. Kotak Dialog Properti Keamanan Tab (Keamanan)
Dengan mengklik pengguna atau grup tertentu, Anda dapat mengatur izin untuk mereka di jendela bawah. Izin berikut tersedia.
- Kontrol penuh. Mengizinkan pengguna atau grup untuk membaca, membuat, memodifikasi, dan menghapus file.
- Memodifikasi (modifikasi). Mengizinkan pengguna menghapus file dan folder, membuat perubahan untuk izin atau menerima kepemilikan file atau folder dari pengguna lain.
- Baca & Jalankan (Membaca dan Eksekusi). Mengizinkan pengguna membaca dan menjalankan file tanpa membuat perubahan pada konten volume atau folder bersama.
- Daftar isi folder (daftar konten folder). Mengizinkan pengguna melihat konten folder.
- Baca (membaca). Mengizinkan pengguna melihat konten volume atau folder. Mereka juga dapat membuka file, tetapi tidak memiliki hak untuk menyimpan perubahan.
- Menulis. Mengizinkan pengguna merekam dalam folder atau volume, tetapi melarang membuka file atau melihat daftar file.
- Izin khusus (izin khusus). Dengan mengklik tombol lanjutan (opsional), Anda dapat menerapkan izin khusus.
Membatasi jumlah pengguna
Tergantung pada ukuran dan struktur organisasi, Anda mungkin tidak mengizinkan akses simultan ke semua orang yang ingin satu. Jika Anda perlu menetapkan batas jumlah pengguna yang secara bersamaan mengakses folder, buka kotak dialog Izin dan pilih tab Berbagi (Gbr. 10.8).
Di bagian Batas Pengguna (Batas Jumlah Pengguna), tentukan salah satu dari opsi berikut.
- Maksimum diizinkan memungkinkan akses ke jumlah maksimum pengguna jaringan.
- Izinkan jumlah pengguna ini memungkinkan akses hanya untuk nomor pengguna yang ditentukan.
Rincian lebih lanjut tentang izin dapat ditemukan di Ch. sembilan.
Untuk mengelola akses pengguna ke folder dan file, sistem izin yang terperinci dan kompleks digunakan. Mekanisme kontrol akses untuk Objek Windows adalah salah satu yang paling detail di antara sistem operasi yang terkenal. Untuk file dan folder, setidaknya ada 14 izin NTFS yang dapat dihidupkan atau diblokir - dan diperiksa. Izin ini dapat ditugaskan file atau folder dan pengguna atau grup. Selain itu, dimungkinkan untuk menetapkan urutan izin warisan untuk file atau folder dan pengguna atau grup. Dalam izin labirin mudah tersesat. Artikel ini membahas bagaimana izin untuk folder dan file dan cara paling efektif dari aplikasi mereka.
Dasar-dasar akses ke objek
Pengguna tidak pernah memasukkan "kontak" langsung dengan objek Windows apa pun. Semua akses ke objek dilakukan melalui program (misalnya, Windows Explorer, Microsoft Office) atau proses. Sebuah program yang mengacu pada sumber daya atas nama pengguna melakukan prosedur yang disebut peniruan (imersonation). Sebuah program yang merujuk pada sumber daya jarak jauh melakukan prosedur yang disebut delegasi (delegasi).
Setelah mendaftarkan pengguna, pengidentifikasi sistemnya (pengidentifikasi sistem) dan pengidentifikasi SID diproses oleh proses LSASS.EXE, yang menghasilkan penanda akses pengguna yang aman. Informasi lain dimasukkan ke dalam penanda akses aman, termasuk hak yang ditugaskan pengguna (izin), ID sesi pengguna (unik untuk setiap sesi), masker izin dengan deskripsi terperinci dari jenis akses yang diminta. Hak yang ditugaskan kepada pengguna dapat dilihat menggunakan tim.
Jika program mengajukan banding dari pengguna ke sumber daya yang aman, monitor keamanan (Monitor Referensi Keamanan) meminta bagan akses pengguna yang aman pengguna. Kemudian monitor keamanan menganalisis penanda untuk menentukan izin pengguna yang efektif, dan memungkinkan atau melarang pelaksanaan pengguna yang diminta oleh pengguna. Izin yang efektif dijelaskan secara lebih rinci di bawah ini.
Bagikan izin.
Setiap objek yang dilindungi Windows termasuk file, folder, sumber daya bersama, printer, dan bagian registri - mendukung resolusi keamanan. Setiap folder Windows dapat dilakukan secara terbuka untuk menyelesaikan akses jarak jauh. Izin berbagi dapat ditugaskan ke setiap folder dan objek printer di Windows, tetapi izin diterapkan hanya jika referensi ke objek terjadi melalui sumber daya jaringan. Izin pangsa folder termasuk kontrol penuh, ubah dan baca.
Subjek keamanan, yang ditugaskan untuk akses penuh (kontrol penuh) ke objek dapat menghasilkan hampir semua operasi dengan objek. Mereka dapat menghapus, mengganti nama, menyalin, memindahkan dan mengubah objek. Pengguna dengan hak kontrol penuh dapat mengubah resolusi objek saham dan menjadi pemilik objek (jika tidak lagi pemilik dan tidak memiliki izin mengambil kepemilikan). Dengan demikian, setiap pengguna dengan resolusi kontrol penuh dapat membatalkan izin orang lain, termasuk administrator (meskipun administrator selalu dapat mengembalikan kepemilikan dan izin). Kemampuan untuk mengubah izin adalah persyaratan wajib sistem operasi apa pun dengan manajemen akses selektif (DAC), seperti Windows.
Dalam kebanyakan kasus, resolusi dasar akses ke sumber daya yang dibutuhkan oleh pengguna yang biasa berubah. Menggunakan resolusi perubahan, pengguna dapat menambah, menghapus, mengubah, dan mengubah nama sumber daya apa pun di folder yang sesuai. Resolusi baca menyediakan tampilan, menyalin, mengganti nama dan mencetak objek. Pengguna dengan resolusi Baca dapat menyalin objek ke tempat lain di mana kontrol penuh memiliki hak.
NTFS Permissions.
Jika sistem file NTFS (dan bukan lemak) digunakan di Windows, maka semua file, folder, bagian registri dan banyak objek lain memiliki izin NTFS. Izin NTFS digunakan baik dengan akses lokal dan jarak jauh ke objek. Untuk melihat dan mengubah izin file atau folder NTFS, klik Klik kanan pada objek, pilih item Properties dan buka tab Keamanan.
Tabel 1 menunjukkan 7 total izin NTFS. Total izin adalah berbagai kombinasi 14 izin yang lebih rinci yang ditunjukkan pada Tabel 2. Lihat izin terperinci, Anda dapat membuka kotak dialog Pengaturan Keamanan Lanjutan untuk objek dengan mengklik tombol Advanced di tab Keamanan, dan kemudian klik tombol Edit di tab izin. Berkenalan dengan izin terperinci dari objek (terutama yang membutuhkan peningkatan keamanan) - kebiasaan yang bermanfaat, meskipun membutuhkan lebih banyak usaha. Total izin tidak selalu secara akurat mencerminkan status izin terperinci. Misalnya, saya harus melihat izin total dari Baca, meskipun pada kenyataannya pengguna memiliki izin untuk membaca & mengeksekusi.
Mirip dengan resolusi saham kontrol penuh, izin dari kontrol penuh NTFS memberikan pemilik peluang besar. Pengguna yang bukan administrator sering memiliki izin dari kontrol penuh di direktori home dan file dan folder lainnya. Seperti yang sudah dicatat, pemilik hak-hak level semacam itu dapat mengubah izin file dan menunjuk sendiri oleh pemilik. Alih-alih memberikan izin kepada pengguna dari kontrol penuh, Anda hanya dapat memberi mereka modifikasi yang tepat. Jika pengguna adalah pemilik file, maka, jika perlu, Anda dapat melarangnya untuk mengubah izin.
Secara teknis, izin NTFS dikenal sebagai daftar kontrol akses selektif (DACL diskresi). Izin audit dikenal sebagai Sistem ACLS (SACL). Sebagian besar objek NTFS yang dilindungi memiliki izin kedua spesies.
Pengaruh Windows Trust
Secara default, semua domain dan hutan Windows 2000 dan versi yang lebih baru memiliki hubungan kepercayaan bilateral dengan semua domain hutan lainnya. Jika domain mempercayai domain lain, maka semua pengguna dalam domain tepercaya memiliki izin keamanan yang sama dalam domain kepercayaan sebagai kelompok semua orang dan kelompok yang tertimahkan domain. Dalam domain apa pun, banyak izin diresepkan oleh kelompok-kelompok ini secara default, dan hubungan tepercaya secara implisit memberikan hak luas yang tidak akan disediakan dalam kasus lain. Perlu diingat bahwa jika hubungan rahasia tidak memiliki sampel sampel, maka setiap izin yang disediakan oleh semua orang dan kelompok pengguna yang diautentikasi ditugaskan untuk semua pengguna lain di hutan.
Periksa izin dari baris perintah
Administrator sering menggunakan alat baris perintah seperti subinacl.exe, xacls.exe dan cacls.exe untuk memeriksa izin NTFS. Subincl dimasukkan dalam sumber daya Alat Kit Sumber Daya Windows Server 2003. Menggunakan SubinAcl, Anda dapat melihat dan mengubah izin NTFS untuk file, folder, objek, entri registri dan layanan. SubinAcl kemungkinan paling penting adalah untuk menyalin izin pengguna, grup atau objek dan menerapkannya pada pengguna, grup atau objek lain di domain yang sama atau lainnya. Misalnya, ketika Anda memindahkan pengguna dari satu domain ke domain lain, akun pengguna baru dibuat di Windows; Semua SIDS atau izin yang sebelumnya ada terkait dengan pengguna awal dibatalkan. Menyalin izin ke akun pengguna baru menggunakan SubinAcl, Anda dapat membuatnya identik. Fungsi XCACLS Demikian pula untuk SubinAcl dan merupakan bagian dari set sumber daya Kit Sumber Sumber Daya Windows 2000.
Program CACLS dijelaskan dalam Microsoft yang diterbitkan oleh Microsoft Article "Undocumentd CACLS: Group Izin CapAbility". Ini adalah alat yang lebih lama yang muncul sebagai bagian dari Windows dari Windows NT. CACLS tidak begitu berguna sebagai subinakl atau xacls, tetapi utilitas selalu tersedia dalam sistem Windows. Dengan CACLS, Anda dapat melihat dan mengubah file dan izin oleh pengguna dan grup, tetapi tidak membuat izin NTFS terperinci. Saat ini, fitur CACLS terbatas untuk bekerja tanpa akses, baca, perubahan, dan izin kontrol penuh yang cocok dengan izin NTFS, tetapi tidak menyelesaikan saham. Selain itu, izin dari program Baca CACLS memenuhi resolusi sistem Baca & Jalankan NTFS.
Warisan
Secara default, semua file, folder, dan bagian registri mewarisi izin dari wadah induk. Warisan dapat diaktifkan atau dinonaktifkan untuk masing-masing file, folder atau bagian registri dan untuk pengguna atau grup individu. Seperti yang kita lihat di layar 1, berlaku untuk bidang izin pada kotak dialog Pengaturan Keamanan Lanjutan menunjukkan apakah tindakan resolusi tertentu terbatas pada wadah saat ini, atau meluas ke subfolder dan file. Administrator dapat menetapkan izin (untuk pengguna individu) yang diwarisi atau tidak. Dalam contoh ini, kelompok semua orang memiliki izin baca & jalankan di folder saat ini, dan izin ini tidak diwarisi.
Jika file atau folder mewarisi sebagian besar izinnya, tetapi juga memiliki serangkaian izin yang ditentukan dengan jelas, yang terakhir selalu memiliki prioritas untuk hak yang diwarisi. Misalnya, Anda dapat memberikan izin kepada pengguna dengan izin kontrol penuh pada katalog root dari volume tertentu, dan menetapkan warisan izin ini dengan semua file dan folder disk. Anda kemudian dapat menetapkan file atau folder apa pun pada disk yang tepat untuk mengakses, yang membatalkan mode DENY kontrol penuh yang diwarisi.
Izin yang efektif
Windows Security Monitor mendefinisikan izin pengguna yang efektif (izin nyata yang mereka miliki dalam praktik) dengan mempertimbangkan beberapa faktor. Seperti disebutkan di atas, monitor perlindungan pertama kali mengumpulkan informasi tentang akun individu pengguna dan semua kelompok miliknya dan merangkum semua izin yang ditugaskan untuk semua pengguna dan grup SIDS. Jika menyangkal dan memungkinkan izin ada pada satu tingkat, maka, sebagai aturan, DENY memiliki prioritas. Jika prioritas menerima kontrol kontrol penuh, pengguna biasanya tidak memiliki akses ke objek.
Secara default, ketika mendaftarkan NTFS dan berbagi izin (pengguna terhubung ke sumber daya melalui jaringan), monitor perlindungan harus mengumpulkan semua izin saham dan NTFS. Akibatnya, izin pengguna yang efektif adalah serangkaian izin yang disediakan oleh izin saham dan NTFS.
Misalnya, pada akhirnya, pengguna dapat berubah menjadi izin berbagi membaca dan mengubah, dan izin NTFS membaca dan memodifikasi. Izin Efektif - serangkaian izin yang paling terbatas. Dalam hal ini, izinnya hampir identik. Izin yang efektif akan dibaca dan diubah / dimodifikasi. Banyak administrator secara keliru percaya bahwa izin yang efektif hanya dibaca, karena contoh yang buruk dan disederhanakan secara berlebihan atau dokumentasi yang sudah usang.
Di kotak dialog Pengaturan Keamanan Lanjutan di Windows XP dan versi yang lebih baru, tab izin yang efektif muncul (lihat Layar 2). Sayangnya, pada tab izin yang efektif, hanya izin NTFS yang tercermin. Dampak izin saham, tindakan berdasarkan anggota yang keanggotaannya tidak memiliki, dan faktor-faktor lain, seperti sistem file enkripsi (sistem file mengenkripsi - EFS). Jika EFS diaktifkan untuk file atau folder, pengguna dengan NTFS dan izin berbagi yang sesuai dapat kehilangan kemungkinan akses ke objek jika tidak memiliki akses EFS ke folder atau file.
- Hati-hati memberikan izin dari kontrol penuh kepada pengguna reguler. Ini berguna untuk menetapkannya alih-alih resolusi modifikasi. Dalam kebanyakan kasus, pendekatan ini memberi pengguna semua izin yang diperlukan, tidak memungkinkan untuk mengubah hak atau menetapkan kepemilikan.
- Bekerja dengan hati-hati dengan kelompok semua orang; Lebih baik menggunakan grup pengguna (atau pengguna) yang diautentikasi, atau grup terbatas khusus. Kelalaian penting dari kelompok pengguna yang diautentikasi adalah kurangnya tamu dan pengguna yang tidak diautentikasi.
- Seringkali administrator jaringan diminta untuk memasuki akun tamu untuk pengguna pihak ketiga (misalnya, konsultan, kontraktor, programmer freelance). Tetapi hak pengguna reguler sering kali berlebihan bagi tamu. Anda harus membuat dan menggunakan grup yang haknya dipangkas (misalnya, izin kontrol kontrol penuh untuk direktori root), dan kemudian secara eksplisit memungkinkan akses ke file dan folder yang diperlukan untuk akun tamu ini. Izin yang ditunjuk secara eksplisit lebih disukai, karena mereka memberi pengguna tamu dengan izin yang diperlukan untuk pekerjaan mereka, tetapi tidak lebih.
- Perawatan harus diambil, melarang pelarangan pada kelompok semua orang dan pengguna, karena administrator dimasukkan dalam kelompok-kelompok ini.
- Dalam hal hubungan kepercayaan dengan domain lain, berguna untuk menerapkan kepercayaan satu sisi dan selektif untuk membatasi hak-hak pengguna domain tepercaya.
- Penting untuk secara berkala audit NTFS dan berbagi izin untuk memastikan bahwa mereka sebatas mungkin.
Dengan menggunakan rekomendasi dan tabel referensi ini dengan deskripsi singkat tentang semua izin, Anda dapat dengan aman pergi ke Labirin Sistem File. Administrator akan dapat dengan percaya diri menetapkan izin untuk file, folder, pengguna dan grup.
Tabel 1. Ringkasan izin NTFS
|
Resolusi |
Bertindak |
|
Menyediakan tampilan, menyalin, mencetak, dan mengganti nama file, folder dan objek. Tidak memulai program yang dapat dieksekusi, kecuali file skenario. Memungkinkan Anda membaca izin objek, atribut objek dan atribut canggih (misalnya, arsip, bit EFS). Memungkinkan Anda membuat daftar file dan subfolder folder. |
|
|
Membaca izin, plus membuat dan menulis ulang file dan folder |
|
|
Daftar (hanya folder) |
Memungkinkan Anda melihat nama file dan subfolder di dalam folder |
|
Baca izin dan menjalankan file perangkat lunak |
|
|
Menyediakan semua izin, selain kemampuan untuk menetapkan kepemilikan dan menetapkan izin. Memungkinkan Anda membaca, menghapus, mengubah dan menimpa file dan folder. |
|
|
Memberikan manajemen penuh folder dan file, termasuk memungkinkan Anda untuk menetapkan izin. |
|
|
Izin Khusus. |
Memungkinkan Anda menyusun kombinasi 14 izin lebih detail yang tidak masuk ke dalam 6 izin total lainnya. Grup ini termasuk izin sinkronisasi |
Tabel 2. Izin NTFS terperinci
|
Resolusi |
Bertindak |
|
Folder Traverse / Execute File |
Folder Traverse memungkinkan Anda untuk pindah ke folder untuk mengakses file dan folder lain, bahkan jika entitas keamanan tidak memiliki izin di folder Transit. Hanya berlaku untuk folder. Folder traverse masuk ke paksa hanya jika entitas keamanan tidak memiliki izin bypasse traverse memeriksa pengguna (disediakan oleh grup semua orang default). File eksekusi memungkinkan Anda menjalankan file program. Menetapkan izin folder lintasan untuk folder tidak menginstal izin file eksekusi secara otomatis untuk semua file di folder |
|
Daftar Folder / Baca Data |
Memberikan tampilan nama file dan subfolder di folder. Daftar folder mempengaruhi konten folder - tidak mempengaruhi apakah folder akan dimasukkan ke dalam daftar yang ditugaskan resolusi. Baca data memungkinkan Anda untuk melihat, menyalin, dan mencetak file |
|
Entitas keamanan melihat atribut objek (misalnya, hanya baca, sistem, tersembunyi) |
|
|
Baca atribut yang diperluas. |
Entitas keamanan melihat atribut objek yang diperluas (misalnya, EFS, kompresi) |
|
Buat file / tulis data |
Buat file memungkinkan Anda membuat file di dalam folder (hanya diterapkan ke folder). Tulis data memungkinkan Anda untuk membuat perubahan pada file dan menimpa konten yang ada (hanya diterapkan ke file) |
|
Buat Folder / Append Data |
Buat folder memungkinkan Anda membuat folder di dalam folder (hanya diterapkan ke folder). Append Data memungkinkan Anda untuk melakukan perubahan pada akhir file, tetapi jangan mengubah, menghapus atau menimpa data yang ada (hanya diterapkan ke file) |
|
Tulis atribut. |
Menentukan apakah entitas keamanan dapat merekam atau mengubah atribut standar (misalnya, hanya baca, sistem, tersembunyi) file dan folder. Tidak mempengaruhi konten file dan folder, hanya pada atribut mereka. |
|
Tulis atribut yang diperluas. |
Menentukan apakah entitas keamanan dapat merekam atau memodifikasi atribut extended (misalnya, EFS, kompresi) file dan folder. Tidak mempengaruhi konten file dan folder, hanya pada atribut mereka |
|
Hapus subfolder dan file |
Memungkinkan Anda menghapus subfolder dan file, bahkan jika resolusi hapus tidak disediakan dengan subfolder atau file |
|
Memungkinkan Anda menghapus folder atau file. Jika tidak ada izin penghapusan untuk file atau folder itu dapat dihapus jika ada resolusi hapus subfolder dan file di folder induk |
|
|
Baca izin |
|
|
Ubah izin |
Memungkinkan Anda mengubah izin (misalnya, kontrol penuh, baca, tulis) file atau folder. Tidak memungkinkan Anda untuk mengubah file itu sendiri |
|
Menentukan siapa yang bisa menjadi pemilik file atau folder. Pemilik selalu dapat memiliki kontrol penuh, dan izin mereka dalam file atau folder tidak dapat secara konstan dibatalkan jika kepemilikan tidak dibatalkan. |
|
|
Administrator jarang menggunakan izin ini. Ini digunakan untuk sinkronisasi dalam program multi-threaded, multiproses dan menentukan interaksi antara beberapa utas yang menarik ke satu sumber daya. |
Izin NTFS digunakan untuk melindungi sumber daya dari:
pengguna lokal bekerja di komputer tempat sumber daya berada;
pengguna jarak jauh terhubung ke folder bersama melalui jaringan.
Izin NTFS menyediakan selektivitas keamanan tinggi: untuk setiap file di folder Anda dapat mengatur izin Anda. Misalnya, satu pengguna memungkinkan Anda untuk membaca dan mengubah konten file, yang lain - hanya membaca, dan sisanya - umumnya melarang akses ke sana.
Jika, ketika memformat volume, sistem NTFS diinstal pada TI, grup semua orang secara otomatis ditetapkan untuk izin sontrol penuh (kontrol penuh) pada volume ini. Folder dan file yang dibuat pada volume ini, secara default mewarisi izin ini.
Permissions individual.
Windows NT memiliki enam jenis izin NTF individu, yang masing-masing menentukan jenis akses ke file atau folder.
Tabel menjelaskan operasi yang diselesaikan pengguna dengan folder atau file ketika diterapkan pada objek salah satu izin individu NTFS.
Pengguna yang membuat file atau folder pada volume NTFS menjadi pemilik file atau folder ini. Jika pengguna ini adalah anggota grup Administrator (Administrator), pemilik aktual menjadi seluruh grup Administratrs. Pemilik selalu memiliki hak untuk menetapkan dan mengubah izin untuk mengakses file atau foldernya.
Izin standar
Dalam kebanyakan kasus, Anda akan menikmati izin NTFS standar. Mereka adalah kombinasi izin individu. Tujuan simultan dari beberapa izin individu untuk file atau folder sangat menyederhanakan administrasi.
Setelah nama resolusi standar dalam tanda kurung, singkatan dari komponen izin individualnya diberikan. Misalnya, resolusi standar baca (baca) untuk file setara dengan dua izin individu - baca (membaca) dan mengeksekusi - dan dalam kurung akan berdiri huruf RX.
Izin standar untuk folder
Tabel mencantumkan izin standar untuk folder dan izin NTFS individu yang sesuai ditunjukkan.
Tidak ada izin akses (tidak ada akses) yang melarang akses ke file atau folder, bahkan jika pengguna adalah anggota grup, yang diberikan untuk mengakses izin. Digger dalam kolom "izin individu untuk file" berarti bahwa resolusi standar ini tidak berlaku untuk file.
Izin standar untuk file
Tabel mencantumkan izin standar untuk file dan izin NTFS individu yang sesuai sesuai dengannya.
Izin kontrol penuh (kontrol penuh) dan perubahan (ubah) yang kedua tidak memungkinkan untuk mengubah izin dan pemilik objek.
Penerapan izin NTFS
Izin NTFS ditugaskan ke akun pengguna dan grup serta hak akses ke sumber daya bersama. Pengguna dapat memperoleh izin baik secara langsung atau menjadi anggota satu atau lebih kelompok yang memiliki izin.
Penggunaan izin NTFS untuk folder mirip dengan penggunaan hak akses ke sumber daya bersama.
Seperti hak akses ke sumber daya bersama, izin NTFS yang sebenarnya untuk pengguna adalah kombinasi dari izin dan grup pengguna yang anggotanya. Satu-satunya pengecualian adalah izin dari tidak ada akses (akses): Ini membatalkan semua izin lainnya.
Berbeda dengan hak akses ke sumber daya bersama, izin NTFS melindungi sumber daya lokal. Secara khusus, file dan folder yang terkandung dalam folder ini mungkin memiliki izin lain daripada itu sendiri.
Izin NTFS untuk file berlaku atas izin untuk folder yang terkandung. Misalnya, jika pengguna memiliki izin baca untuk folder dan menulis untuk file yang terpasang padanya, itu akan dapat merekam data ke dalam file, tetapi tidak akan dapat membuat file baru di folder.
Artikel ini secara ideologis dilanjutkan dengan artikel. Seperti yang dikatakan di dalamnya, setelah memilih grup pengguna dan (atau), Anda harus menentukan parameter akses ke mereka. Ini dapat dilakukan dengan menggunakan izin sistem file NTFS yang dibahas dalam tabel berikut.
Akses file izin
- Bacaan. Pembacaan file diizinkan, serta melihat parameternya, seperti nama pemilik, izin dan properti tambahan.
- Merekam. Diizinkan untuk menulis ulang file, mengubah parameternya, melihat nama pemiliknya dan izin.
- Membaca dan eksekusi. Izin untuk membaca dan memperbaiki aplikasi yang dapat dieksekusi.
- Perubahan. Diizinkan untuk mengubah dan menghapus file, serta semua yang disediakan oleh izin membaca dan mengeksekusi, serta merekam.
- Akses penuh.
- Diizinkan akses penuh ke file. Ini berarti bahwa semua tindakan yang disediakan oleh semua izin yang tercantum di atas diizinkan. Ini juga diperbolehkan menjadi pemilik file dan mengubah izinnya.
Izin akses ke folder
- Bacaan. Hal ini diperbolehkan untuk melihat folder dan file bersarang, serta propertinya, seperti nama pemilik, izin dan baca atribut, seperti membaca, tersembunyi, arsip dan sistemik.
- Merekam. Ini diperbolehkan membuat dan memposting file dan subfolder baru di dalam folder, serta mengubah parameter folder dan melihat propertinya, khususnya nama pemilik dan izin untuk mengakses.
- Daftar konten folder. Diizinkan untuk melihat nama-nama file yang terkandung dalam folder dan subfolder.
- Membaca dan eksekusi. Diizinkan untuk mendapatkan akses ke file di subfolder, bahkan jika tidak ada akses ke folder itu sendiri. Selain itu, tindakan yang sama yang disediakan untuk izin untuk membaca dan mencantumkan isi folder diizinkan.
- Perubahan. Semua tindakan yang disediakan untuk izin untuk membaca dan membaca dan mengeksekusi, dan menghapus folder diizinkan.
- Akses penuh. Akses penuh ke folder diizinkan. Dengan kata lain, semua tindakan yang disediakan oleh semua izin yang tercantum di atas diizinkan. Selain itu diizinkan untuk menjadi pemilik folder dan mengubah izinnya.
- Izin khusus. Satu set izin tambahan berbeda dari yang standar.
Pencipta file selalu dianggap sebagai pemiliknya yang memiliki hak Akses penuh, bahkan jika akun pemilik tidak terdaftar di tab Keamanan file. Selain izin di atas untuk file, Anda dapat memilih dua jenis izin tambahan.
- Pemilik yang berubah. Jenis resolusi ini memungkinkan pengguna untuk menjadi pemilik file. Jenis resolusi ini ditugaskan untuk grup Administrator.
- Perubahan izin. Pengguna memiliki kemampuan untuk mengubah daftar pengguna dan grup yang memiliki akses ke file, serta mengubah jenis izin akses ke file.
