Kāpēc vairumā gadījumu organizācijā ir nepieciešams serveris? Active Directory, RDS, drukas serveris un mazu un lielu pakalpojumu ķekars. Visredzamākā loma ir iespējams failu serverī. Cilvēki ar viņu, atšķirībā no citām lomām, strādājiet apzināti. Viņi atceras, kura mape atrodas, kur ir dokumentu skenējumi, kuros viņu ziņojumi ir, ja faksi, kurās kopējā mape, kurā jūs visi varat piekļūt tikai viens no departamentiem, kur citur, un tie neatpazīst

Par piekļuvi tīklam un vietējām mapēm uz servera es gribu runāt.

Piekļuve kopīgiem resursiem uz servera tiek veikta, kā visi zina visu perfekti, saskaņā ar SMB protokolu 3.0. Tīkla piekļuve mapēm var ierobežot līdz SMB un NTFS atļaujām. SMB atļaujas darbojas tikai, piekļūstot kopīgai mapei tīklā un nav ietekmes uz konkrētas mapes pieejamību vietējā līmenī. NTFS atļaujas darbojas gan tīklā, gan lokāli, nodrošinot daudz lielāku elastību piekļuves tiesību veidošanā. SMB un NTFS atļaujas nedarbojas atsevišķi, bet papildina viens otru, saskaņā ar principu par vislielāko tiesību ierobežojumu.

Lai dotu mapi koplietot servera 2012 SMB dalīties cmdlets grupā, parādījās jaunais-smbshare cmdlet. Šajā cmdlet piemērā mēs redzēsim visas funkcijas, kas pieejamas, veidojot koplietojamo mapi, papildus klasteru konfigurācijai (tas ir atsevišķs liels temats).

Jaunas koplietošanas mapes izveide izskatās ļoti vienkārša:
Neto Share HomeFolder \u003d S: Ivanivanov / Grant: "Admin", pilna / dotācija: "Folderower", Change / Grant: "Manager", Lasīt / kešatmiņa: Programmas / Piezīme: "Ivanov" vai
New-SMBSHARE HOMEFORDER S: IVANIVANOV -Cachingmode programmas -fullacess Admin -ChangeAccess Folderowner -Readaccess Manager -Noaccess Visu -FolderumerationMode AccessBased -Description "Ivanov"

Mēs saprotam:

-Name no koplietošanas mapes nosaukums tīklā var atšķirties no vietējā datora mapes. Tas ir ierobežojums 80 rakstzīmes, jūs nevarat izmantot cauruļu un pasta saraksta nosaukumus.

Ceļa ceļš uz vietējo mapi, kuru vēlaties ievadīt. Ceļam jābūt pilnam, no diska saknes.

Cachingmode, nosakot failu autonomiju koplietojamā mapē.

Kas ir atsevišķs fails?

Standalone fails ir faila kopija, kas atrodas serverī. Šī kopija atrodas vietējā datorā un ļauj jums strādāt ar failu, bez savienojuma ar serveri. Pievienojot izmaiņas, tiek sinhronizēta. Sinhronizēts abos virzienos: ja jūs veicāt izmaiņas jūsu bezsaistes failā - nākamreiz, kad savienojat failu serverī, tiks mainīts; Ja kāds veica izmaiņas serverī - tad jūsu vietējā kopija tiks mainīta. Ja izmaiņas, kas notikušas abos failos uzreiz - mēs saņemam sinhronizācijas kļūdu, un jums būs jāizvēlas, kura versija tiks saglabāta. Lai dalītos šai iespējai, es neizmantošu šo iespēju, bet, ja jūs veicat bumbu katram lietotājam un ierobežotu piekļuvi citam lasījumam, bez ierakstīšanas iespējām, mēs iegūstam šādus maizītes:

• Darbs nav atkarīgs no tīkla - tas var sadedzināt slēdzi, serveris var atsāknēt, vads var izjaukt vai izslēgt piekļuves punktu - lietotājs strādā ar savu kopiju, ne pamanot, ka jums ir kāda negadījuma tur, Atjaunojot tīkla savienojumu, tas dodas uz serveri.
• Lietotājs var strādāt jebkurā vietā: pie māja, autobusā, lidmašīnā - tajās vietās, kur savienojums ar VPN kāda iemesla dēļ nav pieejams.
• Ja pat lietotājs strādā, izmantojot VPN, bet savienojumu vai ļoti lēni vai pastāvīgi pārkāpj - ir vieglāk strādāt ar bezsaistes kopiju un sinhronizēt izmaiņas nekā mēģināt kaut ko darīt serverī.
• Lietotājs pats var izvēlēties, un kad sinhronizēt, ja jūs dodat iespēju.

Ņem šādas vērtības:

• neviens - faili nav pieejami bezsaistē, piekļuve serverim ir nepieciešama piekļuve serverim.
• manuāli lietotāji izvēlas failus, kas būs pieejami autonomi
• programmas - viss mapē ir pieejama autonomi (dokumenti un programmas (faili ar * .exe, * .dll paplašinājumu)))))
• dokumenti - pieejamie dokumenti, nav programmas
• branchCache - Caching vietējā datora lietotāja vietā notiek filiāles serveros, lietotāji izvēlas pašus bezsaistes failus

-Noaccess, -Readaccess, -ChangeAccess, -fullaccess vispārējās piekļuves atļaujas (koplietošanas atļaujas).

Šīm atļaujām ir viena liela priekšrocība - tie ir ļoti vienkārši.

Noaccess sekretārs, pārvaldnieks - pašsekonomi un relozem jebkurā gadījumā darīt vispārējās grāmatvedības mapes
-Readaccess revidents - revidents pārbauda grāmatvedības darbu var redzēt failu nosaukumus un apakšmapes koplietojamā mapē, atvērt failus lasīšanai, palaist programmas.
-ChangeAccess grāmatvedis - grāmatveži savā koplietojamā mapē var izveidot failus un apakšmapes, mainīt esošos failus, dzēst failus un apakšmapes
-Fullacess administrators - FullAccess ir READACCESS + CHANGEACCESS PLUS Spēja mainīt atļaujas.

Veidojot koplietojamo mapi, tiek automātiski izmantots vislielākais ierobežojošais noteikums - "visa" grupa tiek dota lasīšanai.

Šīs atļaujas attiecas tikai uz lietotājiem, kuriem ir piekļuve kopīgai mapei tīklā. Ar vietējo iekļūšanu sistēmā, piemēram, termināla servera gadījumā, un sekretārs un vainags būs redzams grāmatvedībā, visa šī vēlēšanās. Tas tiek labots ar NTFS atļaujām. SMB atļaujas attiecas uz visiem failiem un mapēm uz kopīgu resursu. Plānākas piekļuves tiesības tiek veiktas arī NTFS atļaujas.

Concurrentuserlimit Izmantojiet šo parametru, lai ierobežotu maksimālo savienojumu skaitu ar koplietojamo mapi. Principā jūs varat arī izmantot, lai ierobežotu piekļuvi mapei, papildinot NTFS atļaujas, tikai jums ir jābūt precīzi pārliecinātam ar nepieciešamo savienojumu skaitu.

Apraksts Apraksts par kopīgu resursu, kas ir redzams tīkla vidē. Apraksts ir ļoti laba lieta, kas daudzi nolaidība.

EncryptData šifrēšana

SMB uz versiju 3.0, vienīgais veids, kā aizsargāt datplūsmu no failu servera uz klientu, bija VPN. Kā to īstenot pilnībā atkarīga no sistēmas administratora preferencēm: SSL, PPTP, IPSec-tuneļiem vai kaut kas cits. Server 2012. gadā šifrēšana darbojas ārpus kastes, regulāri vietējā tīklā vai ar neuzticīgiem tīkliem, neprasot īpašus infrastruktūras risinājumus. To var iespējot gan uz visu serveri, gan atsevišķām koplietojamām mapēm. Šifrēšanas algoritms SMB 3.0 ir AES-CCM, HMAC-Sha256 vietā ir kļuvis par AES-CMAC. Labā ziņa ir tā, ka SMB 3.0 atbalsta aparatūras AES (AES-NI), sliktās ziņas ir tā, ka Krievija neatbalsta AES-NI.

Kas apdraud šifrēšanas iekļaušanu? Faktā, ka tikai klienti atbalsta SMB 3.0, varēs strādāt ar šifrētām kopīgām mapēm, tas ir, Windows 8. iemesls atkal, maksimālais pieļaujamais ierobežojums tiesībām lietotājiem. Tiek pieņemts, ka administrators zina, ko tas dara, un, ja nepieciešams, sniegs piekļuvi klientiem ar citu SMB versiju. Bet, tā kā SMB 3.0 izmanto jaunus šifrēšanas algoritmus un klientu satiksme ar citu SMB versiju netiks šifrēta, ir nepieciešama VPN. Lai ievietotu visus klientus uz failu serveri ar šifrēšanu, kas palīdzēs iestatīt-smbserververconfiguration -reduncryptedaccess $ viltus komandu
Noklusējuma konfigurācijā (ne-upged trafika, lai šifrētu koplietošanas mapes ir aizliegta, mēģinot piekļūt klienta mapei ar SMB versiju zem 3,0 klientā, mēs saņemsim "piekļuves kļūda". Uz servera uz Microsoft-Windows-SMBSServer / Operational Log, tiks pievienots notikums 1003, kurā jūs varat atrast klienta IP adresi, mēģinot piekļūt.

SMB un EFS šifrēšana ir dažādas lietas, kas nav saistītas viens ar otru, tas ir, to var izmantot uz taukiem un atspēko apjomiem.

FolderenMemationmode Tas ir uz piekļuves uzskaiti. Izmantojot piekļuvi uzskaiti, lietotājiem, kuriem nav piekļuves koplietojamo mapi, vienkārši neredzēs to failu serverī, un būs mazāk jautājumu, kāpēc man nav piekļuves šai vai šo mapi. Lietotājs redz savu pieejamo mapes un nemēģina uzkāpt citu cilvēku lietās. Noklusējuma - off.

• accessBased - iespējojiet
• neierobežots - izslēdziet

-Temporary Šī atslēga izveido pagaidu koplietojamo mapi, piekļuve, kas tiks pārtraukta pēc servera pārstartēšanas. Pēc noklusējuma tiek izveidotas pastāvīgas koplietošanas mapes.

NTFS atļaujas

Ar NTFS atļauju palīdzību mēs varam sīkāk norobežot mapē esošās tiesības. Mēs varam aizliegt konkrētu grupu mainīt konkrētu failu, atstājot spēju rediģēt visu galveno vienu; Tajā pašā mapē, viena lietotāju grupa var būt tiesības mainīt vienu failu un nevarēs apskatīt citus failus, ko rediģējis citu lietotāju grupu un otrādi. Īsāk sakot, NTFS atļaujas ļauj mums izveidot ļoti elastīgu piekļuves sistēmu, galvenā lieta vēlāk tajā nav sajaukt. Turklāt NTFS atļaujas darbojas, gan piekļūstot tīkla mapei, papildinot kopējās piekļuves atļaujas un vietējo piekļuvi failiem un mapēm.

Ir sešas galvenās (bāzes) atļaujas, kas ir 14 papildu atļauju kombinācija.

Galvenās atļaujas

Pilna piekļuve (FullControl) - pilnīga piekļuve mapei vai failam, ar spēju mainīt piekļuves tiesības un revīzijas noteikumus mapēm un failiem

Pārveidot - tiesības lasīt, mainīt, apskatīt saturu mapes, izdzēst mapes / failus un palaist izpildītos failus. Ietver lasīšanu un izpildi (Readandexecute), rakstīšana (rakstīt) un dzēst.

Lasīt un izpildīt (Readandexecute) - tiesības atvērt mapes un lasīt failus bez ierakstīšanas iespējām. Iespējams sākt arī failus.

Satura mapes saraksts (sarakstsDirectory) - tiesības apskatīt mapes saturu

Lasījums (lasījums) - tiesības atvērt mapes un lasīt failus bez ierakstīšanas iespējām. Ietver datu saturu / datu (READDATA), Lasīšanas atribūtu lasīšanas (ReadTributes), lasot papildu atribūtus (readextendedattributes) un lasīšanas atļaujas (ReadperMissions)

Ierakstīšana (rakstīšana) - tiesības izveidot mapes un failus, modificēt failus. Ietver failu / rakstīšanas datu izveides / datu bojājumus (papildinājums), atribūtu ierakstīšanu (writeattributes) un papildu atribūtu ierakstīšana (writeExtendedattributes)

Papildu atļaujas

Es ievietoju mapi tikai 1 no 14 atļaujām un noskatījos, kas izrādās. Reālajā pasaulē vairumā gadījumu ir pietiekami daudz būtisku atļauju, bet es biju ieinteresēts mapju un failu uzvedībā ar visaugstākajām iespējamām tiesībām.

Traverse mapes / failu izpilde (traversa) - tiesības uzsākt un lasīt failus neatkarīgi no piekļuves tiesībām uz mapi. Mapes mapei nebūs piekļuves, (kas atrodas mapē, paliks noslēpums), bet mapes faili būs pieejami tiešā saiknē (pilna, relatīvā vai UNC ceļā). Jūs varat ievietot traversās mapes mapes mapē un failā jebkuras citas atļaujas, kuras lietotājam ir nepieciešams strādāt. Izveidot un dzēst failus lietotāja mapē nedarbosies.

Readatributes lasīšana - tiesības apskatīt atribūtus (filattributes) mapes vai failu.
Skatiet mapes vai failu saturu vai mainīt jebkurus atribūtus nevar mainīt.

Readextedattribute (readextedattributes) - tiesības apskatīt mapes vai faila papildu atribūtus.

Vienīgais, ko es varētu atrast par papildu atribūtiem, ir tas, ko viņi tiek izmantoti, lai nodrošinātu atpakaļgaitu saderību ar OS / 2 pieteikumiem. (Windows internals, 2. daļa: Windows Server 2008 R2 un Windows 7). Es nezinu neko vairāk par tiem.

Failu / rakstīšanas datu izveide (Writedata) - dod lietotājam iespēju izveidot failus mapē, kurā tai nav piekļuves. Varat kopēt failus uz mapi un izveidot jaunus failus mapē. Jūs nevarat apskatīt mapes saturu, izveidot jaunas mapes un mainīt esošos failus. Lietotājs nevarēs mainīt jebkuru failu, pat ja tas ir šī faila īpašnieks - tikai izveidojiet.

Mapju / datu bojājumu radīšana (papildinājums) - dod lietotājam iespēju izveidot apakšmapes mapē un pievienot datus faila beigām, nemainot esošo saturu.

Pārbaude

Ar izveidi apakšmapes, viss ir skaidrs: ni c: testperms \\ teterapen -Temtype direktoriju darbosies, kā gaidīts - izveidos testperms apakšmapes, lai apskatītu lietotāju. Mēģināsim pievienot virkni faila beigās - veikt dažu žurnālu uzturēšanu. NewEvent \u003e\u003e C: testperms lietotājs.log tiek liegta piekļuve.
Hmm ... CMD nedarbojas. Un ja tā. AC C: Testperms Lietotājs.log NewEvent AC: liegta piekļuve kopā "c: testperms \\ eramer.log".
Un konveijera? "Newurvent" | Out-File C: testperms lietotājs.log -Append out-File: liegta piekļuve pa ceļu "C: \\ t Testperms lietotājs.log".
Un tā nedarbojas.

Mēs sākam melnās burvju sesiju: \u200b\u200bizmantojiet failu klasi, papildpārdošanas metodi. Mēs saņemam žurnāla objektu.
$ Log \u003d :: PAGLETTEXT ("C: testsp. user.er.log") Izslēgšana Kad zvana "Pielvērttext" ar "1" argumentiem: "liegta piekļuve pa ceļu" C: testperms \\ er user.log "."
Es domāju, ka papildinājums nav vērts mēģināt
$ Log \u003d :: PĀRBAUDETEXT ("C: TEMPERPERMS. USER.LOG", "Newurvent") Izņēmums Kad zvanot uz "Pielvērttext" ar "2" argumentiem: "liegta piekļuve ceļam" C: testperms \\ eramer.log " . "
Gadījumā, principā, skaidrs. Tikai tiesības uz iepriekš nosūtīt datus uz failu virs metodēm nav pietiekami, tie ir nepieciešams ierakstu failā. Bet kopā ar to mēs dos iespēju mainīt failu, un ne tikai pievienot ierakstus, tas ir, mēs atveram iespējamo spēju iznīcināt visu saturu faila.

Mums ir jāpārskata koncepcija: nemazīsim žurnāla objektu, bet radīt jaunu, kurā mēs lūdzam visus parametrus, kas mūs interesē. Mums ir nepieciešams kaut kas, kur mēs varam skaidri norādīt atļaujas. Mums ir nepieciešams filestream, un mēs palīdzēsim filestem konstruktors (virkne, filmode, filesystemrights, Fileshare, Int32, FileOptions). Nākamie parametri ir nepieciešams:

• Ceļš uz failu ir skaidrs
• Kā atvērt failu - atveriet failu un atrodiet faila beigas
• Failu piekļuves tiesības - datu dati
• Piekļuve citiem FileStream objektiem - nav nepieciešams
• Bufera izmērs - noklusējums 8 baiti
• Papildu iespējas - Nē

Izrādās kaut kas līdzīgs šim:
$ Log \u003d jaunais objekts io.filestream ("C: testperms lietotājs.log" :: Pievienot, :: PAPILDINDATA, :: Nav, 8, :: Nav)
Darbojas! Mēs izveidojām žurnāla objektu, mēģiniet rakstīt kaut ko tur. FileStream.Write metode ņem ienākošās vērtības baitos. Mēs atšķiram notikumu, ko mēs vēlamies ierakstīt baitos - klases kodējumu, getencoding metodi (mums nav nepieciešams krakozyabe pie izejas) un getbytes (faktiski konvertējot)
$ Event \u003d "Jauns notikums noticis." $ EVENTYTES \u003d :: GteeNCoding ("Windows-1251"). GetBytes ($ notikums)
Filtream.write parametri:
Ko rakstīt; Kur sākt rakstīt; Baitu skaits rakstīt
Mēs rakstām:
$ log.write ($ EVENTYTES, 0, $ EVENTYTES.Count)
Pārbaudiet.
GC C: testperms Lietotājs.log GC: liegta piekļuve kopā "C: testperms \\ eramer.log".
Viss ir labi, lietotājam nav tiesību apskatīt rakstisku. Mēs novirzāmies zem administratora.
GC C: testperms lietotājs.log ir noticis jauns notikums.
Viss darbojas.

Mape, kurā fails papildus atļaujai, mapju / disku datu izveidei ir jāatļauj atrisināt mapi satura / lasīšanas. Fails ir pietiekami, lai izveidotu mapes / disku datus ar invalīdu mantojumu. Pilnībā aizsargāt lietotāju (un lietotājs var būt uzbrucējs) no failiem, kuros viņam vajadzētu rakstīt kaut ko, nedarbosies, bet, no otras puses, papildus failu sarakstam mapē, lietotājs neredz neko un var nedari.

Secinājums Šā vienkāršā: Batnikovā, ieviest drošu mežizstrādi kaut kas nedarbosies, Powershell ietaupa prasmi strādāt ar .NET objektiem.

Atribūtu ierakstīšana (writeattributes) - Ļaujiet lietotājam mainīt failu vai mapju atribūtus. Šķiet, ka tas ir vienkārši. Bet tagad tikai atbildiet uz jautājumu: "Manu kaķu fotogrāfijas aizņem gandrīz visu vietu manā profilā, un man nav vietas biznesa sarakstei. Es gribētu izspiest mapi ar citātiem, bet es pieprasu administratora tiesības. Jūs teicāt, ka man ir tiesības mainīt mapju atribūtus. Ir atribūts? Kāpēc es nevaru to mainīt? "

Jā, lietotājs ar tiesībām rakstīt atribūtus var mainīt gandrīz visus redzamos failu un mapju atribūtus, izņemot saspiešanas atribūtus un šifrēšanu. Tehniski lietotājam ir tiesības izpildīt setfileattribute funkciju. Un failu saspiešana tiek veikta ar DeviceIocontrol funkciju, kuru vēlaties nodot FSCTL_SET_Complate parametrs, un failu saspiešana ir tālu no tās darba. Izmantojot šo funkciju, mēs varam pārvaldīt visas ierīces un to resursus sistēmā, un, iespējams, dod lietotājam šīs tiesības veikt šo funkciju nozīmē, ka tas ir administrators.

Ar šifrēšanu stāsts ir līdzīgs: šifrēšanas funkcija, kas ir tikai atbildīga par šifrēšanu, prasa, lai lietotājam ir tiesības uz mapes / lasīšanas datiem, veidojot failus / rakstīt datus, lasot atribūtus, ieceļošanas atribūtus un sinhronizāciju objektam. Bez viņiem nekas nenotiks.

Writextedattribute ierakstu (writextendedattributes). Nu, tie ir tie, ko izmanto, lai atgrieztu savietojamību ar OS / 2 pieteikumiem, AHA. Nu, pat faila uzlabotajos atribūtos C: Windows System32 Services.exe nesen sāka rakstīt Trojanov (ZeroAccess.c). Varbūt tie ir izslēgti augšējā līmenī? Es nevaru sniegt atbildi uz šo jautājumu, teorētiski - varbūt tas ir tā vērts, praktiski ražošanā - es neesmu mēģinājis.

Noņemiet apakšmapes un failus. (DeleteesubdirectoriesandFiles) Interesanta rezolūcija, kas piemērota tikai mapēm. Būtība ir ļaut lietotājam dzēst apakšmapes un failus mātes mapē, nesniedzot atļauju noņemt.

Pieņemsim, ka ir preču katalogs, kurās lietotāji sniedz datus. Ir mātes mapes katalogs, apakšmapes iekšpusē saskaņā ar alfabētu no A līdz Z, daži nosaukumi iekšienē. Nosaukumi mainās katru dienu, kaut kas tiek pievienots, kaut kas mainās, kaut kas kļūst novecojusi, un jums ir nepieciešams izdzēst novecojušu informāciju. Bet tas nebūs ļoti labi, ja kāds no pludiņa vai ļaunprātīgu nodomu rolls visu katalogu K, kas ir ļoti iespējams, ja lietotājiem ir tiesības noņemt. Ja jūs uzņemt tiesības noņemt tiesības, tad administrators var droši mainīt darbu, jo tas veiks pieprasījumus dzēst vārdu visu dienu.

Šeit tas kļūst par apakšmapes un failu izņemšanu. Visās alfabēta vēstulēs mantojums ir atspējots, un lietotāji ir adresēti, lai dzēstu apakšmapes un failus. Rezultātā kataloga mapē lietotāji nevarēs noņemt jebkuru burtu, bet burtu iekšpusē var kaut ko dzēst.

Dzēst. Viss ir vienkārši šeit. Dzēst dzēš. Nedarbojas bez tiesībām lasīt.

Readpermissions lasīšana dod tiesības lietotājam apskatīt atļaujas mapē vai failā. Nav tiesību - lietotājs neredz atļauju drošības cilnē

Mainīt atļaujas (commentpermations) - Ļauj lietotājam mainīt atļaujas, būtībā padara lietotāju pēc mapes administratora. Jūs varat izmantot, piemēram, deleģēt tehniskā atbalsta pilnvaras. Bez tiesībām lasīt atļaujas, tas nav jēgas. Atļauju mainīšana nenozīmē mapes īpašnieka maiņu.

Īpašnieka maiņa (takeownership) - sākt ar, kurš ir šāds īpašnieks. Īpašnieks ir lietotājs, kas izveidojis failu vai mapi.

Īpašnieka iezīme ir tāda, ka tā ir pilnīga piekļuve izveidotajai mapei, tā var izplatīt atļaujas tās radītajai mapei, bet vēl svarīgāk - neviens nevar atņemt īpašniekam tiesības mainīt atļaujas savā mapē vai failā. Ja Vasya izveidoja mapi, viņš deva pilnīgu piekļuvi mājdzīvniekam, un Petya gāja un scolded piekļuvi mapei kopumā un VASI, jo īpaši, tad Vasya bez daudz grūtības var atjaunot status quo, jo tas ir īpašnieks mapes. Mainiet Petya mapes īpašnieku, pat ja viņam ir atļauja mainīt īpašnieku. Turklāt, pat Vasya nevar mainīt īpašnieku, neskatoties uz to, ka viņš izveidoja mapi. Tiesības mainīt īpašnieku tikai attiecas uz administratoru grupas vai domēna administratoriem.

Bet, ja Petya iekšpusē Vasina mapē izveidoja failu un nedeva jums piekļuvi tai, tad jūs varat domāt tikai un uzminēt to, kas atrodas šā noslēpuma failā. Vasya nevarēs mainīt faila piekļuves tiesības, jo faila īpašnieks ir Petya. Arī Vasya nevarēs mainīt faila īpašnieku - apakšstilbu un objektu īpašnieka maiņa ir arī administratoru grupas privilēģija, uz kuru neattiecas Vasya. Vienīgā versija Wasi variants ir apskatīt Petin failu savā mapē.

Pārvaldīt

Cmd, lai pārvaldītu atļaujas, ir labi izmantotas pazīstamas Icacls. PowerShell, NTFS-atļaujas pārvaldība izskatās šādi:

Iegūstiet objektu, uz kuru mēs iestatīsim atļaujas
$ ACL \u003d GET-ACL C: Testperms
Izveidojiet līniju ar tiesībām, izmantojot System.Security.AccessControl.Filesystemaccessrule klase. Mēs varam noteikt šādus parametrus:

• grupas / lietotājvārds - par kuru mēs darām ACL
• rezolūcija - Ace (pieņem norādītās vērtības)
• attiecas uz - GUI ir nolaižams saraksts papildu drošības parametros. Faktiski tiek veiktas tikai 3 vērtības: nav (tikai uz šo mapi), konteineru (attiecas uz visiem apakšmapes), Objectinherit (attiecas uz visiem failiem). Vērtības var apvienot.
• piemērot šīs atļaujas objektiem un konteineriem tikai šajā konteinera iekšpusē (izvēles rūtiņa GUI) - arī 3 vērtības: nav (izvēles rūtiņa), nežēlīgi (ACE attiecas tikai uz izvēlēto objekta tipu), nopropagateAnitit (piemērot atļaujas tikai iekšpusē šajā konteinerā).
• noteikums - atļaut (atļaut) vai aizliegt (liegt)

Noklusējuma rinda izskatīsies šādi:
$ atļauja \u003d "contoso.com admin", "FullControl", "Containerinherit, Objectinherit", "Neviens", "Atļaut"
Padarīt jaunu ace ar iepriekš minētajām atļaujām
$ ACE \u003d New-Object Security.AccessControl.Filesystemaccessrul.Filesystemaccessrule $ atļauja
Un uzklājiet svaigi izveidotu ace uz objektu
$ ACL.SETACCESSRULE ($ ACE) $ ACL | Set-ACL C: testperms

Piesakies praksē

Bruņoti ar zināšanām par SMB un NTFS atļaujas, apvienojot tos var izveidot ar piekļuves noteikumiem absolūti jebkuru sarežģītību. Daži piemēri:

Veids	SMB atļaujas	NTFS atļaujas
Mape ikvienam (publiskai)	Biedru lasīšana / ierakstīšana	Lietotāji - pārmaiņas
Melnā kaste. Lietotāji izslēdz konfidenciālus ziņojumus, ieteikumus, plaisas - rokasgrāmatu lasa.	Biedru lasīšana / ierakstīšana Manuālā - lasījums / rakstīšana	Lietotāji - ieraksts, attiecas tikai uz šo mapi. Tiek pieņemts, ka faila ierakstu šajā mapē ir vienvirziena biļete, jo ērts veids, kā rediģēt bez tiesībām apskatīt saturs mapes mapes saglabātā šajā failu mapē nav (ērti lietotājiem metodes rakstot šādai mapei, starp citu, neeksistē vai nu). Un apskate pārkāpj privātumu. Manuālā - izmaiņas.
Pieteikumi	Lietotājiem lasīšana	Lietotāju lasīšana, lasīšana un izpilde, apskate saturu mapes. Protams, dažas lietojumprogrammas var prasīt papildu tiesības strādāt. Bet kopumā, piemēram, sistēmas utilītprogrammu uzglabāšana diagnostikai (tās pašas sysinternals suite) ir pietiekami.
Lietotāju profili	Katrs lietotājs - lasiet / rakstiet uz savu mapi	Katrs lietotājs ir mainījies savā mapē.

Atļaujas Windows - pretrunīga lieta. No vienas puses, galvenās atļaujas ir diezgan vienkāršas un aptver 90% gadījumu. Bet, kad sākas vairāk smalkāka regulēšana: dažādi lietotāji, viena mape, drošības prasības koplietojamām mapēm - tad galā ar papildu atļaujām, mantojumiem un īpašniekiem ir diezgan grūti.

Es ceru, ka es nepieskartos nevienam vēl vairāk.

Iepriekšējā lekcijā mēs runājām par tīkla drošību un par šādu lietu kā atļaujas, bet tagad ir vērts atgriezties, jo atļaujas ir pieejamas tikai uz cietajiem diskiem NTFS formātā. Šajā sadaļā mēs runājam par NTFS iespējām, lai aizsargātu jūsu failus no prying acīm. Atšķirībā no tauku sistēmas piekļuvi kopīgiem resursiem nevar ieslēgt un atvienot. NTFS nodrošina šo atlases detaļu līmeni, kas izlaiž tikai tos, kurus vēlaties nodrošināt piekļuvi, un saiž visi pārējie.

Atsevišķa lietotāja atļaujas

Pirms apspriest lietotāju un grupas atļaujas, kā arī paši failus, ir svarīgi apsvērt atļauju pamatus. Vispirms mēs rādām to, kas ir mantojums, un pēc tam apsveriet Windows XP profesionālo rīku, kas jums palīdzēs, bet var pārvērsties klupšanas blokā, ja jūs to nedomājat tās funkcijās.

Mantojums

Tīklā var būt visi pāris lietotāji, un tie var būt tūkstošiem. Uzstādot pasūtījuma atļaujas NTFS apjomiem un mapēm, šis uzdevums var būt salīdzinoši vienkāršs organizācijā, kas sastāv no sešiem cilvēkiem. Kā jau minēts lekcijās 9, ja organizācija sāk augt, lietotāju nodaļa uz konkrētām grupām padara atļaujas pārvaldību ir daudz vieglāka.

Pirmkārt, jums vajadzētu izveidot kopumu atļaujas konkrētai grupai, piemēram, inženieriem. Šajā gadījumā, kad jaunais inženieris parādās organizācijā, tas tiek automātiski pievienots šai grupai. Tajā pašā laikā viņš mantojuši šīs grupas atļaujas.

Piezīme. Mantojums ir saistīts ar citiem NTFS Tom objektiem. Piemēram, ja jūs iestatāt atļaujas konkrētai mapei, un pēc tam izveidoja to apakšmapi, tad mantojuma tiesības atbrīvo jūs no jauna komplekta atļauju šā apakšmapes, jo tā pārmanto mātes mapes atļauju.

Ja jūs domājat, ka inženieru grupai ir jāizsniedz vai jāatjauno noteikta izšķirtspēja, to ir viegli izdarīt. Pēc pārmaiņām (ko mēs runājam šajā lekcijā vēlāk), katram šīs grupas dalībniekam tiek piešķirta jauna atļauja.

No otras puses, dažiem konkrētiem inženieriem var būt nepieciešama izšķirtspēja, kurā pārējie nav vajadzīgi. Jūs varat ieiet inženieru grupā, veikt izmaiņas, kas nepieciešamas šim lietotājam, un tā saņems jaunu atļauju, kas viņam nebūs mantojusi par piederību šai grupai. Šajā gadījumā atļauja netiks izplatīta citiem grupas locekļiem.

Jaunā kvalitāte Windows XP Professional ir vienkārša failu koplietošana (vienkārša failu koplietošana). Šī funkcija ir iekļauta Windows XP profesionālā primārajā instalācijā vai izmantojot skaļumu vai mapi. Lai savienotu vairāk lietotāju piekļuves kontroles rīkus, vienkārši koplietojot failu, jābūt invalīdiem.

Jūs varat uzdot jautājumu, kāpēc jums ir nepieciešams vienkārši koplietot failus, ja šī funkcija ir jāatvieno. Tikai tad, lai atvieglotu failu un mapju koplietošanas procesu. Izmantojot vienkāršu koplietošanas failu, nav failu un vairāku konfigurāciju, lai piekļūtu lietotājiem failiem, printeriem utt. Tas nodrošina vienkāršu veidu, kā koplietot failus. Tomēr, ja jūs vēlaties pārvaldīt tiem, kuri var saņemt tiesības piekļūt failiem, vienkārša failu koplietošana būtu izslēgta. Lai to izdarītu, veiciet šādas darbības.

1. Izvēlieties Start My Computer (Start My Computer), pēc tam noklikšķiniet uz Rīki un izvēlieties mapes opcijas (mapes rekvizīti).
2. Dialoglodziņā Mapes opcijas noklikšķiniet uz cilnes Skats.
3. Pārskatiet iestatījumu sarakstu uzlabotā iestatījumu logā un pēc tam izvēlieties izvēles rūtiņu Lietot vienkāršu failu koplietošanu, lai izmantotu izvēles rūtiņu Lietot vienkāršu failu koplietošanu.
4. Noklikšķiniet uz OK.

Piezīme. Pati, vienkārša failu koplietošanas atspējošana neļaus iestatīt atļaujas failiem. Visiem failiem un mapēm jānovieto arī NTFS skaļuma vai sadaļā.

Atļaujas mapēm un apjomiem

Atļaujas veic kontroli pār to, ka lietotājs vai grupa var darīt ar objektu tīklā vai vietējā datorā. Atļaujas tiek atbalstītas tikai tad, ja tas ir atvienots, vienkārši koplietojot failu un cietajā diskā NTFS formātā. Uzskaitītajām atļaujām, kas piešķirtas mapēm un failiem.

10.2. Tabula. Mapju rezolūcijas
Rezolūcija
Mainīt atļaujas		Mainīt mapes atļaujas.
Izveidojiet failus.		Jaunu failu izveide šajā mapē.
Izveidojiet mapes.		Izveidojot apakšdirektorijas šajā mapē.
Dzēst.		Dzēst mapi.
Dzēst apakšmapes un failus		Dzēst failus un apakšdirektorus, pat ja jums nav atļaujas tos izveidot.
Sarakstu mape.		Skatiet mapes saturu.
Lasiet atribūtus.		Skatīt mapes atribūtus.
Lasīt atļaujas		Skatīt mapes atļaujas.
Pārņemt īpašumā.		Citu lietotāja tiesības piešķirt mapi.
Traversa mape.		Mapes atvēršana, lai apskatītu apakšdirektorijas un vecāku mapes.
Rakstiet atribūtus.		Veicot izmaiņas mapes rekvizītos.
10.3. Tabula. Failu izšķirtspēja
Rezolūcija	Atļauj vai aizliedz šo darbību
Pievienojiet datus.	Informācijas pievienošana faila beigām, nemainot esošo informāciju.
Mainīt atļaujas	Veikt izmaiņas failu atļauju.
Dzēst.	Faila dzēšana.
Izpildīt failu.	Palaidiet failā iekļauto programmu.
Lasiet atribūtus.	Skatīt faila atribūtus.
Lasīt datus.	Skatiet faila saturu.
Lasīt atļaujas	Skatīt failu atļaujas.
Pārņemt īpašumā.	Piešķirot īpašumtiesības uz šī faila īpašumtiesībām no cita īpašnieka.
Rakstiet atribūtus.	Mainiet faila atribūtus.
Rakstiet datus.	Mainot faila saturu.

Atļauju izveide un pārvaldība

Atļauju izveide atsevišķiem failiem, mapēm un NTFS apjomiem, varat izmantot daudz vairāk drošības iespēju nekā FAT failu sistēmas piedāvājumi. Izvēlētās mapes vai skaļuma rekvizītus ietver cilni Drošība. Noklikšķinot uz tā, jūs varat redzēt vairākas iespējas piekļuves kontrolei.

Lai pielāgotu šīs mapes vai skaļuma atļaujas, veiciet šādas darbības.

1. Norādiet skaļumu vai mapi, par kuru jūs plānojat iestatīt atļaujas.
2. Ar peles labo pogu noklikšķiniet uz tā un izvēlieties Properties.
3. Izvēlieties cilni Drošība.

Piezīme. Ja NTFS apjoms ir koplietošanas, tad jums ir iestatīt atļaujas, izmantojot cilni Drošība, un neizmantojot pogas Atļaujas (atļaujas) Cilnes Sharing.

Rekvizītu logā, kas parādās, jūs redzēsiet divus logus. Augšējā logā ir lietotāju un grupu saraksts (). Nizhny - sarakstu atļaujas lietotājam, kuru var instalēt un pielāgot. Atkal, šī cilne ir pieejama apjomiem NTFS formātā.

Fig. 10.7. Drošības cilnes (drošības) rekvizīti dialoglodziņš

Noklikšķinot uz konkrēta lietotāja vai grupas, jūs varat iestatīt atļaujas tiem apakšējā logā. Ir pieejamas šādas atļaujas.

• Pilnīga kontrole. Ļauj lietotājam vai grupai lasīt, izveidot, modificēt un dzēst failus.
• Modificēt (modifikācija). Ļauj lietotājiem dzēst failus un mapes, veikt izmaiņas atļauju vai saņemt īpašumtiesības uz failu vai mapi no cita lietotāja.
• Lasīt un izpildīt (lasīšana un izpilde). Ļauj lietotājiem lasīt un palaist failus, neveicot izmaiņas kopīgā apjoma vai mapes saturā.
• Sarakstu mapes saturs (mapju satura saraksts). Ļauj lietotājiem apskatīt mapju saturu.
• Lasiet (lasīšana). Ļauj lietotājiem apskatīt skaļuma vai mapes saturu. Viņi var arī atvērt failus, bet nav tiesību saglabāt izmaiņas.
• Rakstīt. Ļauj lietotājiem ierakstīt mapēs vai apjomus, bet aizliedz atvērt failus vai apskatīt failu sarakstu.
• Īpašas atļaujas (īpašas atļaujas). Noklikšķinot uz pogas Advanced (pēc izvēles), jūs varat izmantot īpašas atļaujas.

Ierobežojot lietotāju skaitu

Atkarībā no organizācijas lieluma un struktūras, jūs nedrīkstat atļaut vienlaicīgu piekļuvi visiem tiem, kas vēlas vienu. Ja jums ir nepieciešams noteikt ierobežojumu par lietotāju skaitu, kuriem ir vienlaicīgi piekļuve mapei, atveriet dialoglodziņu Atļaujas un izvēlieties Cilne Sharing (10.8. Att.).

Lietotāja limita sadaļā (Liment skaits lietotājiem), norādiet vienu no šīm iespējām.

• Maksimālais atļauts ļauj piekļūt maksimālajam tīkla lietotāju skaitam.
• Ļaujiet šim lietotāju skaitam atļaut piekļuvi tikai norādītajam lietotāja numuram.

Sīkāka informācija par atļaujām var atrast CH. deviņi.

Lai pārvaldītu lietotāju piekļuvi mapēm un failiem, tiek izmantota detalizēta un sarežģīta atļauju sistēma. Piekļuves kontroles mehānisms Windows objektiem ir viens no visvairāk detalizēti starp labi zināmām operētājsistēmām. Failiem un mapēm ir vismaz 14 NTFS atļaujas, kuras var ieslēgt vai bloķēt - un pārbaudīt. Šīs atļaujas var piešķirt failus vai mapes un lietotājus vai grupas. Turklāt ir iespējams piešķirt mantojuma atļauju secību failiem vai mapēm un lietotājiem vai grupām. Labirinsmē atļaujas ir viegli pazust. Šajā rakstā tiek apspriests, kā atļaujas mapēm un failiem un visefektīvākajiem to piemērošanas veidiem.

Piekļuves pamati objektiem

Lietotājs nekad neietekmē tiešo "kontaktpersonu" ar jebkuru Windows objektu. Visu piekļuvi objektiem tiek veikta, izmantojot programmas (piemēram, Windows Explorer, Microsoft Office) vai procesus. Programma, kas attiecas uz resursiem lietotāja vārdā, veic procedūru, ko sauc par personību (personību). Programma, kas attiecas uz attālo resursu, veic procedūru, ko sauc par delegāciju (delegācija).

Pēc reģistrācijas lietotājs, tās sistēmas identifikators (sistēmas identifikators - SID) un SID identifikatorus apstrādā LSASS.EXE procesā, kas ģenerē drošu lietotāja piekļuves marķieri. Vēl viena informācija tiek ievadīta drošā piekļuves marķierī, tostarp lietotāja piešķirtās tiesības (atļaujas), lietotāja sesijas ID (unikāls katrai sesijai), atļaujas maska \u200b\u200bar detalizētu pieprasītās piekļuves veida aprakstu. Lietotājam piešķirtās tiesības var redzēt, izmantojot komandu.

Ja programma apelācijas no lietotāja uz drošu resursu, drošības monitoru (drošības atskaites monitors) pieprasa lietotāja drošu lietotāja piekļuves diagrammu. Tad drošības monitors analizē marķieri, lai noteiktu efektīvas lietotāja atļaujas, un ļauj vai aizliegt lietotāja pieprasīto lietotāja izpildi. Tālāk sīkāk aprakstītas efektīvas atļaujas.

Atļaujas daļa.

Katrs Windows aizsargāts objekts ietver failus, mapes, kopīgus resursus, printerus un reģistra posmus - atbalsta drošības rezolūcijas. Jebkuru Windows mapi var veikt publiski, lai atrisinātu attālo piekļuvi. Kopīgo atļauju var piešķirt jebkurai mapei un printera objektiem sistēmā Windows, bet atļaujas tiek piemērotas tikai tad, ja atsauce uz objektu notiek, izmantojot tīkla resursu. Mapju kopīgās atļaujas ietver pilnīgu kontroli, mainīt un lasīt.

Drošības priekšmeti, kas piešķirti pilnai piekļuvei (pilnai kontrolei) uz objektu, var radīt gandrīz visas darbības ar objektu. Viņi var izdzēst, pārdēvēt, kopēt, pārvietot un mainīt objektu. Lietotājs ar pa labi no pilnīgas kontroles var mainīt akciju objekta izšķirtspēju un kļūt par objekta īpašnieku (ja tas vairs nav īpašnieks, un tam nav atļaujas uzņemties īpašumtiesības). Tādējādi jebkurš lietotājs ar pilnu kontroles izšķirtspēju var atcelt citu personu, tostarp administratora atļaujas (lai gan administrators vienmēr var atgriezt valdījumā un atļaujas). Spēja mainīt atļaujas ir obligāta prasība par jebkuru operētājsistēmu ar selektīvu piekļuves pārvaldību (DAC), piemēram, Windows.

Vairumā gadījumu mainās pamata izšķirtspēja piekļuvei resursam, ko pieprasa parastie lietotāji. Izmantojot izmaiņu izšķirtspēju, lietotājs var pievienot, dzēst, mainīt un pārdēvēt visus resursus attiecīgajā mapē. Lasīšanas izšķirtspēja nodrošina objekta apskati, kopēšanu, pārdēvēšanu un drukāšanu. Lietotājs ar lasīšanas izšķirtspēju var kopēt objektu uz citu vietu, kurā pilna kontrole ir tiesības.

NTFS atļaujas

Ja Windows failu sistēmā (un ne tauku) tiek izmantota sistēmā Windows, tad visi faili, mapes, reģistra sekcijas un daudziem citiem objektiem ir NTFS atļaujas. NTFS atļaujas tiek izmantotas gan ar vietējo un attālo piekļuvi objektam. Lai skatītu un mainītu NTFS faila vai mapes atļaujas, noklikšķiniet uz Labi klikšķi uz objekta, izvēlieties Properties vienumu un dodieties uz cilni Drošība.

1. tabulā redzams 7 kopējās NTFS atļaujas. Kopējās atļaujas ir dažādas kombinācijas 14 vairāk detalizētas atļaujas, kas norādītas 2. tabulā Skatīt detalizētas atļaujas, jūs varat atvērt progresīvu drošības iestatījumu dialoglodziņu objektam, noklikšķinot uz uzlabotas pogas Drošības cilnē, un pēc tam noklikšķiniet uz pogas Rediģēt pogu cilnes atļaujas. Iepazīstieties ar detalizētām objekta atļaujām (īpaši nepieciešama lielāka drošība) - noderīgs ieradums, lai gan tas prasa vairāk pūļu. Kopējās atļaujas ne vienmēr precīzi atspoguļo detalizētu atļauju statusu. Piemēram, man bija jāskatās kopējā izlasīšanas atļauja, lai gan patiesībā lietotājam bija atļauja lasīt un izpildīt.

Līdzīgi kā pilnīgas kontroles daļas izšķirtspēja, pilnīgas kontroles NTFS atļauja nodrošina lielisku iespēju īpašniekiem. Lietotājiem, kuri nav administratori bieži ir atļauja no pilnīgas kontroles savā mājas direktorijā un citos failos un mapēs. Kā jau minēts, šāda līmeņa tiesību īpašnieks var mainīt faila atļaujas un īpašnieks iecelt sevi. Tā vietā, lai nodrošinātu lietotājus ar atļauju no pilnīgas kontroles, jūs varat sniegt viņiem tiesības mainīt. Ja lietotājs ir faila īpašnieks, tad, ja nepieciešams, jūs varat manuāli aizliegt to mainīt atļaujas.

Tehniski NTFS atļaujas ir pazīstamas kā selektīvās piekļuves kontroles sarakstus (DACL diskrecionārā). Revīzijas atļaujas ir pazīstamas kā sistēmas ACL (SACL). Lielākajai daļai aizsargājamās NTFS objektiem ir abu sugu atļaujas.

Windows uzticības ietekme

Pēc noklusējuma visiem Windows 2000 domēniem un mežiem un jaunākajām versijām ir divpusējas uzticamas attiecības ar visiem citiem meža domēniem. Ja domēna uzticas citam domēnam, tad visiem uzticamajam domēna lietotājiem ir tādas pašas drošības atļaujas uzticības domēnā kā ikviena grupai un grupai autentificē lietotājiem uzticamos domēnam. Jebkurā domēnā šīm grupām pēc noklusējuma izraksta daudzas atļaujas, un uzticamas attiecības netieši nodrošina plašas tiesības, kas netiktu sniegta citos gadījumos. Jāatceras, ka, ja konfidenciālas attiecības nepiekrīt parauga dabai, tad visas ikviena un autentificēto lietotāju grupas ir piešķirtas visiem citiem meža lietotājiem.

Pārbaudiet atļaujas no komandrindas

Administratori bieži izmanto komandrindas rīkus, piemēram, subinakl.exe, xacls.exe un cacls.exe, lai pārbaudītu NTFS atļaujas. Subincl ir iekļauts Windows Server 2003 resursu komplekta rīku resursos. Izmantojot Subinacl, jūs varat apskatīt un mainīt NTFS atļaujas failiem, mapēm, objektiem, reģistra ierakstiem un pakalpojumiem. Svarīgākā iespēja Subinakl ir kopēt lietotāju atļaujas, grupas vai objektu un izmantot tos citam lietotājam, grupai vai objektam tajā pašā vai citā domēnā. Piemēram, kad jūs pārvietojat lietotāju no viena domēna uz citu, Windows ir izveidots jauns lietotāja konts; Visi iepriekšējie SID vai atļaujas, kas saistītas ar sākotnējo lietotāju tiek atcelta. Kopēšanas atļauja jaunam lietotāja kontam, izmantojot subinakl, jūs varat tos identiskus. Xcacls darbojas līdzīgi subinakl un ir daļa no Windows 2000 servera resursu komplekta komplekta.

CACLS programma ir aprakstīta Microsoft publicēja Microsoft rakstu "Undocumentd Cacls: Grupas atļaujas iespējas". Tas ir vecāks rīks, kas parādījās kā daļa no Windows no Windows NT. CACLS nav tik noderīga kā subinakl vai xacls, bet lietderība vienmēr ir pieejama Windows sistēmā. Izmantojot CACLS, varat skatīt un mainīt failus un atļaujas lietotājiem un grupām, bet nerada detalizētas NTFS atļaujas. Pašlaik CACLS funkcijas aprobežojas ar darbu bez piekļuves, lasīšanas, izmaiņām un pilnīgām kontroles atļaujām, kas atbilst NTFS atļaujām, bet ne atrisināt daļu. Turklāt Lasīt programmas CACLS atļauja atbilst Lasīt un izpildīt NTFS sistēmas izšķirtspēju.

Mantošana

Pēc noklusējuma visi faili, mapes un reģistra sadaļas manto atļaujas no mātes konteinera. Mantojuma var aktivizēt vai atspējot atsevišķiem failiem, mapēm vai reģistra posmiem un atsevišķiem lietotājiem vai grupām. Kā redzams ekrānā 1, Piesakies laukā uz cilnes Advanced Security Iestatījumi dialoglodziņā parāda, vai konkrētas izšķirtspējas darbība ir ierobežota ar pašreizējo konteineru, vai arī tas attiecas uz apakšmapes un failus. Administrators var piešķirt atļauju (atsevišķiem lietotājiem), kas ir mantojuši vai nē. Šajā piemērā ikvienam grupai ir izlasīšanas un izpildes atļauja pašreizējā mapē, un šī atļauja nav mantota.

Ja fails vai mape pārmanto lielāko daļu atļauju, bet arī ir skaidri noteiktu atļauju kopums, pēdējam vienmēr ir prioritāte mantotajām tiesībām. Piemēram, lietotājam varat nodrošināt pilnīgu kontroles lieguma atļauju konkrēta apjoma sakņu katalogā un iestatiet šo atļauju mantošanu, izmantojot visus failus un disku mapes. Pēc tam jūs varat piešķirt jebkuru failu vai mapi uz diska tiesības piekļūt, kas atceļ mantoto pilnu kontroles režīmu.

Efektīvas atļaujas

Windows drošības monitors definē efektīvu lietotāju atļaujas (reālās atļaujas, kas viņiem ir praksē), ņemot vērā vairākus faktorus. Kā minēts iepriekš, aizsardzības monitors vispirms apkopo informāciju par lietotāja individuālo kontu un visām grupām, uz kurām tā pieder, un apkopo visas atļaujas, kas piešķirtas visiem lietotājiem un grupām SIDS. Ja noliegt un ļauj atļaujas pastāvēt vienā līmenī, tad kā likums ir prioritāte. Ja prioritāte saņem pilnīgu kontroli, lietotājam parasti nav piekļuves objektam.

Pēc noklusējuma, reģistrējot NTFS un dalīties atļaujas (lietotājs savienojas ar resursu, izmantojot tīklu), aizsardzības monitoram ir jāapkopo visas akcijas un NTFS atļaujas. Rezultātā efektīvas lietotāju atļaujas ir abu akciju atļauju un NTFS atļauju kopums.

Piemēram, galu galā lietotājs var izrādīties lasīt un mainīt un mainīt NTFS atļaujas lasīt un modificēt. Efektīvas atļaujas - ierobežotākais atļauju kopums. Šajā gadījumā atļaujas ir gandrīz identiskas. Efektīvas atļaujas tiks izlasītas un mainītu / mainītu. Daudzi administratori kļūdaini uzskata, ka efektīvas atļaujas tiek izlasītas tikai, sakarā ar sliktiem, pārmērīgi vienkāršotiem piemēriem vai novecojušiem dokumentiem.

Programmā Advanced Security Settings dialoglodziņā Windows XP un jaunākajās versijās parādījās efektīvas atļaujas cilnes (skatīt ekrānu 2). Diemžēl cilnē Efektīvās atļaujas tiek atspoguļotas tikai NTFS atļaujas. Akciju atļauju, darbības, kas balstītas uz deputātiem, kuru dalībai nav, un citi faktori, piemēram, šifrēšanas failu sistēma (šifrēšanas failu sistēma - EFS). Ja EFS ir aktivizēts failā vai mapē, lietotājs ar atbilstošiem NTFS un dalīties atļaujas var zaudēt iespēju piekļūt objektam, ja tai nav EFS piekļuves mapei vai failam.

• Uzmanīgi nodrošināt atļauju no pilnīgas kontroles uz regulāriem lietotājiem. Ir lietderīgi to piešķirt grozīt izšķirtspēju. Vairumā gadījumu šī pieeja lietotājiem nodrošina visas nepieciešamās atļaujas, neļaujot mainīt tiesības vai piešķirt īpašumtiesības.
• Rūpīgi strādāt ar ikvienu grupu; Labāk ir izmantot autentificētus lietotāju (vai lietotāju) grupu vai īpašu ierobežotu grupu. Svarīgas autentificētās lietotāju grupas izlaidumi ir viesa un ne autentificēta lietotāja trūkums.
• Bieži tīkla administratori tiek aicināti ievadīt viesu kontus trešo pušu lietotājiem (piemēram, konsultantiem, darbuzņēmējiem, ārštata programmētājiem). Taču regulāras lietotāju tiesības bieži ir atlaistas viesim. Jums vajadzētu izveidot un izmantot grupu, kuras tiesības ir ļoti apgrieztas (piemēram, pilna kontroles atļauja sakņu katalogiem), un pēc tam skaidri ļauj piekļūt šim viesu kontam nepieciešamos failus un mapes. Ir vēlams tieši ieceltas atļaujas, jo tās sniedz viesu lietotājus ar tām atļaujām, kas nepieciešamas viņu darbam, bet ne vairāk.
• Jāpieņem uzmanība, uzliekot aizliegumus grupām ikvienu un lietotāju, jo administratori ir iekļauti šajās grupās.
• Attiecībā uz uzticības attiecībām ar citiem domēniem ir lietderīgi piemērot vienpusēju un selektīvu uzticību, lai ierobežotu uzticamā domēna lietotāju tiesības.
• Ir nepieciešams periodiski pārbaudīt NTFS un dalīties atļaujas, lai pārliecinātos, ka tie ir pēc iespējas ierobežoti.

Izmantojot šos ieteikumus un atsauces tabulas ar īsu aprakstu par visām atļaujām, jūs varat droši doties uz failu sistēmas labirintu. Administrators varēs pārliecinoši piešķirt atļaujas failiem, mapēm, lietotājiem un grupām.

1. tabula. NTFS atļaujas kopsavilkums

Rezolūcija	tēlot
	Nodrošina failu, mapju un objektu skatīšanu, kopēšanu, drukāšanu un pārdēvēšanu. Nesāk programmas izpildāmo, izņemot scenāriju failus. Ļauj jums izlasīt objektu, objektu atribūtu un uzlaboto atribūtu atļaujas (piemēram, arhīvs, EFS bits). Ļauj izveidot sarakstu ar failiem un apakšmapes mapēm.
	Lasīšanas atļaujas, kā arī izveidot un pārrakstīt failus un mapes
Saraksts (tikai mapes)	Ļauj apskatīt failu nosaukumus un apakšmapes mapē
	Lasīt atļaujas un darbojas programmatūras failus
	Nodrošina visas atļaujas, papildus spējai piešķirt īpašumā un piešķirt atļaujas. Ļauj lasīt, dzēst, mainīt un pārrakstīt failus un mapes.
	Nodrošina pilnīgu mapju un failu pārvaldību, tostarp ļauj piešķirt atļaujas.
Īpašas atļaujas	Ļauj izstrādāt 14 kombināciju 14 vairāk detalizētas atļaujas, kas neietilpst nevienā no citām 6 kopējām atļaujām. Šī grupa ietver sinhronizācijas atļauju

2. tabula. Detalizēta NTFS atļaujas

Rezolūcija	tēlot
Traverse Folder / izpildīt failu	Traverse Mape ļauj pārvietoties uz mapēm, lai piekļūtu citiem failiem un mapēm, pat ja drošības iestādei nav atļauju tranzīta mapē. Attiecas tikai uz mapēm. Traverse mape stājas spēkā tikai tad, ja drošības iestādei nav atļaujas apvedceļa traversa pārbaudes lietotāju (sniedz pēc noklusējuma ikviena grupai). Izpildiet failu ļauj palaist programmas failus. Mapes Traversijas atļaujas piešķiršana neinstalē izpildīt faila atļaujas automātiski visiem failiem mapē
Saraksta mape / Lasīt datus	Nodrošina skatus uz failu nosaukumiem un apakšmapes mapē. Saraksta mape ietekmē mapes saturu - tas neietekmē to, vai mape tiks ievadīta sarakstā, kurā ir piešķirta rezolūcija. Lasīt datus ļauj apskatīt, kopēt un izdrukāt failus
	Drošības uzņēmums redz objekta atribūtus (piemēram, tikai lasāmu, sistēmu, slēpto)
Lasīt paplašinātus atribūtus.	Drošības uzņēmums redz paplašinātus objektu atribūtus (piemēram, EFS, kompresijas)
Izveidojiet failus / rakstīt datus	Failu izveide ļauj izveidot failus mapē (piemērots tikai mapēm). Rakstiet datus ļauj veikt izmaiņas failā un pārrakstīt esošo saturu (piemērots tikai failiem)
Izveidojiet mapes / Apvienojiet datus	Izveidot mapes ļauj izveidot mapes mapē (piemērots tikai mapēm). Pievienot datus ļauj veikt izmaiņas faila beigās, bet nemainiet, dzēst vai pārrakstīt esošos datus (piemēro tikai failiem)
Rakstiet atribūtus.	Nosaka, vai drošības iestāde var ierakstīt vai mainīt standarta atribūtus (piemēram, tikai lasāmus, sistēmas, slēptos) failus un mapes. Neietekmē saturu failus un mapes, tikai to atribūtiem.
Rakstiet pagarinātos atribūtus.	Nosaka, vai drošības iestāde var ierakstīt vai mainīt pagarinātus atribūtus (piemēram, EFS, kompresijas) failus un mapes. Neietekmē failu un mapju saturu tikai to atribūtos
Dzēst apakšmapes un failus	Ļauj dzēst apakšmapes un failus, pat ja dzēšanas izšķirtspēja nav nodrošināta ar apakšmapi vai failu
	Ļauj izdzēst mapi vai failu. Ja nav dzēšanas atļaujas failam vai mapei, to var izdzēst, ja mātes mapē ir izšķirtspēja dzēst apakšmapes un failus
Lasīt atļaujas
Mainīt atļaujas	Ļauj mainīt atļaujas (piemēram, pilnīgu kontroli, lasīt, rakstīt) failu vai mapi. Neļauj jums mainīt pašu failu
	Nosaka, kas var būt faila vai mapes īpašnieks. Īpašnieki vienmēr var būt pilnīga kontrole, un to atļaujas failā vai mapē nevar pastāvīgi atcelt, ja īpašumtiesības netiek atcelts.
	Administratori reti izmanto šo atļauju. To izmanto sinhronizācijai vairāku vītņu, daudzprocesu programmās un nosaka mijiedarbību starp vairākiem pavedieniem, kas pārsūdz vienu resursu.

NTFS atļaujas tiek izmantotas, lai aizsargātu resursus no:

vietējie lietotāji, kas strādā datorā, kurā atrodas resurss;

attālinātie lietotāji, kas savienoti ar koplietojamo mapi tīklā.

NTFS atļaujas nodrošina augstu drošības selektivitāti: katram mapes failam var iestatīt savas atļaujas. Piemēram, viens lietotājs ļauj jums izlasīt un mainīt faila saturu, citu - lasīt, un pārējo - parasti aizliedz piekļuvi tai.

Ja, formatējot skaļumu, tajā ir instalēta NTFS sistēma, ikviens grupa tiek automātiski piešķirta pilnai Sontrol atļaujai (pilnai kontrolei) uz šo tilpumu. Mapes un faili, kas izveidoti uz šī apjoma, pēc noklusējuma mantot šo atļauju.

Individuālās atļaujas

Windows NT ir seši atsevišķu NTFS atļauju veidi, no kuriem katrs norāda piekļuves veidu failam vai mapei.

Tabulā ir aprakstītas lietotāja atrisinātās darbības ar mapi vai failu, ja to piemēro viena no individuālajām atļaujām NTF.

Lietotājs, kas izveidoja failu vai mapi NTFS apjomā, kļūst par šī faila vai mapes īpašnieku. Ja šis lietotājs ir administratoru grupas dalībnieks (administratori), faktiskais īpašnieks kļūst par visu Administratrs grupu. Īpašniekam vienmēr ir tiesības piešķirt un mainīt atļaujas, lai piekļūtu tās failam vai mapei.

Standarta atļaujas

Vairumā gadījumu jūs baudīsiet standarta NTFS atļaujas. Tie ir atsevišķu atļauju kombinācijas. Vairāku individuālo atļauju vienlaicīga nolūks par failu vai mapi ievērojami vienkāršo administrēšanu.

Pēc standarta izšķirtspējas nosaukuma iekavās tiek dotas to individuālo atļauju sastāvdaļu saīsinājumi. Piemēram, standarta izšķirtspēja lasīt (lasīt) par failu ir līdzvērtīga divām atsevišķām atļaujām - lasīt (lasīt) un izpildīt - un iekavās stāvēs RX burti.

Standarta atļaujas mapēm

Tabulā ir norādīti standarta atļaujas mapēm un atbilstošās individuālās NTFS atļaujas.

Nav piekļuves atļaujas (bez piekļuves) aizliedz jebkādu piekļuvi failam vai mapei, pat ja lietotājs ir grupas dalībnieks, kas tiek dota piekļuves atļaujai. Digger kolonnu "Individuālās atļaujas" nozīmē, ka šī standarta izšķirtspēja nav piemērojama failiem.

Standarta atļaujas failiem

Tabulā ir uzskaitīti standarta atļaujas failiem un attiecīgajām individuālajām NTFS atļaujām, kas atbilst tiem.

Atļaujas pilnīga kontrole (pilnīga kontrole) un mainīt (mainīt) iezīme, ka otrais neļauj mainīt objekta atļaujas un īpašnieku.

1. NTFS atļauju pielietošana

NTFS atļaujas tiek piešķirtas lietotāju kontiem un grupām, kā arī piekļuves tiesībām uz kopīgiem resursiem. Lietotājs var saņemt atļauju tieši vai būt par vienu vai vairākām grupām, kam ir atļauja.

NTFS atļauju izmantošana mapēm ir līdzīga piekļuves tiesību izmantošanai kopīgiem resursiem.

Tāpat kā piekļuves tiesības uz kopīgiem resursiem, faktiskās NTFS atļaujas lietotājam ir lietotāju atļauju un grupu kombinācija, kuru locekli tā ir. Vienīgais izņēmums ir piekļuves atļauja (piekļuve): tā atceļ visas pārējās atļaujas.

Atšķirībā no piekļuves tiesībām uz kopīgiem resursiem, NTFS atļaujas aizsargā vietējos resursus. Jo īpaši šajā mapē esošie faili un mapes var būt citas atļaujas nekā pati.

NTFS atļaujas uz failu dominē pār atļaujām mapei, uz kuru tas ir ietverts. Piemēram, ja lietotājam ir lasītās atļaujas mapei un rakstiet uz to pievienoto failu, tas varēs ierakstīt datus failā, bet nevarēs izveidot jaunu failu mapē.

Šis raksts ir ideoloģiski turpinājās raksts. Kā tas tika teikts tajā pēc izvēloties lietotāju un (vai) grupas, jums ir jānorāda parametri piekļuves tiem. To var izdarīt, izmantojot NTFS failu sistēmas atļaujas, kas aplūkotas nākamajā tabulā.

Failu piekļuves atļaujas

• Lasījums. Failu lasīšana ir atļauta, kā arī apskatīt tā parametrus, piemēram, īpašnieka, atļauju un papildu īpašību nosaukumu.
• Ierakstu. Ir atļauts pārrakstīt failu, mainot tā parametrus, skatoties tās īpašnieka un atļauju nosaukumu.
• Lasīšana un izpilde. Atļauja lasīt un tiesības uzsākt izpildāmu pieteikumu.
• Izmaiņas. Ir atļauts mainīt un dzēst failu, kā arī visu, ko sniedz atļauju lasīšana un izpilde, kā arī ierakstīšana.
• Pilna piekļuve.
• Ļāva pilnu piekļuvi failam. Tas nozīmē, ka ir atļautas visas iepriekš minētajās atļaujās paredzētās darbības. Ir arī atļauts kļūt par faila īpašnieku un mainīt tās atļaujas.

Piekļuves atļaujas uz mapēm

• Lasījums. Ir atļauts apskatīt ligzdotās mapes un failus, kā arī to īpašības, piemēram, īpašnieka vārdu, atļaujas un lasīšanas atribūtus, piemēram, lasīšanu, slēptu, arhīvu un sistēmisko.
• Ierakstu. Ir atļauts izveidot un ievietot jaunus failus un apakšmapes mapē, kā arī mainīt mapes parametrus un apskatīt tās īpašības, jo īpaši īpašnieka vārdu un piekļuves atļauju.
• Mapes satura saraksts. Ir atļauts apskatīt mapē un apakšmapes saturēto failu nosaukumus.
• Lasīšana un izpilde. Tas ir atļauts piekļūt failiem apakšmapes, pat ja nav piekļuves mapei pati. Turklāt ir atļauta tādas pašas darbības, kas paredzētas atļaujai lasīt un uzskaitīt mapes saturu.
• Izmaiņas. Visas darbības, kas paredzētas atļaujai lasīt un izlasīt un izpildīt, un dzēst mapi ir atļauta.
• Pilna piekļuve. Ir atļauta pilnīga piekļuve mapei. Citiem vārdiem sakot, visas iepriekš minētās atļaujas paredzētās darbības ir atļautas. Turklāt ļāva kļūt par mapes īpašnieku un mainīt savas atļaujas.
• Īpašas atļaujas. Papildu atļauju kopums, kas atšķiras no standarta.

Failu veidotājs vienmēr tiek uzskatīts par savu īpašnieku, kam ir tiesības Pilna piekļuve, pat ja īpašnieka konts nav norādīts cilnē Failu drošība. Papildus iepriekš minētajām atļaujām failā varat izvēlēties divus papildu atļauju veidus.

• Īpašnieka maiņa. Šāda veida izšķirtspēja ļauj lietotājam kļūt par faila īpašnieku. Šāda veida izšķirtspēja ir piešķirta grupai Administratori.
• Atļauju maiņa. Lietotājam ir iespēja mainīt lietotāju un grupu sarakstu, kuriem ir piekļuve failam, kā arī mainīt piekļuves atļauju veidus failā.