Применение разрешений NTFS

Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и разрешения доступа к общим сетевым ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или не­скольких групп, имеющих разрешение.

Применение разрешений NTFS для каталогов сходно с применением разрешений доступа к общим ресурсам. Управление разрешениями на каталог или файл осу­ществляется, как правило, через Проводник. Для этого необходимо щелкнуть на объекте правой кнопкой мыши, выбрать в контекстном меню команду Properties (Свойства) и в открывшемся окне перейти на вкладку Security (Безопасность). На этой вкладке имеется три раздела. Первый (верхний) с кнопкой Permissions (Разреше­ния) как раз и позволяет просмотреть и/или изменить разрешения, то есть управ­лять списком DACL. Второй (средний) с кнопкой Audit (Аудит) предназначен для управления списком SACL. Наконец, последний (нижний) раздел с кнопкой Owner (Владелец) предназначен для просмотра и/или смены владельца файлового объекта.

Кроме того, имеется возможность устанавливать и/или изменять списки разреше­ний NTFS через интерфейс командной строки. Для этого используется следую­щая команда:

CACLS ИмяФайла [/Т] [/Е] [/С] [/G ИмяПользователя:доступ] [/R ИмяПользователя [...]] [/Р ИмяПользователя:доступ [...]] [/D ИмяПользователя [...]]

Здесь:

- ИмяФайла — имя файла со списком управления доступом; - /Т — замена списка управления доступом для указанных файлов в текущем ка­талоге и всех подкаталогах;

- /Е — изменение списка управления доступом вместо его замены; - /С — продолжение выполнения при ошибках отказа в доступе;

- /G ИмяПользователя:доступ — определение разрешений для указанных пользо­вателей, где параметр доступ равен:

■ R — чтение,

■ С — изменение (запись),

■ F — полный доступ;

- /R ИмяПользователя — отзыв разрешений для пользователя (только вместе с клю­чом /Е);

Файловая система NTFS______________________________________________ 201

- /Р ИмяПользователя:доступ — замена разрешений для указанного пользователя,
где параметр доступ равен:

■ N — отсутствует,

■ R — чтение,

■ С — изменение (запись),

■ F — полный доступ;

- /D ИмяПользователя — запрет на доступ для указанного пользователя.

Для выбора нескольких файлов используются подстановочные знаки. В команде можно указать несколько пользователей.

У каждого файлового объекта имеется его владелец и создатель. Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке, даже если у него нет соответсвующего разрешения. Если этот пользователь является членом группы Administrators (Администраторы), фак­тическим владельцем становится вся группа Administrators.

Изначально все пользователи имеют все разрешения на файлы и каталоги. Оче­видно, что при этом они могут изменять эти разрешения, которые оформляются в виде списка. Напомним, что такой список называют списком ACL, хотя на самом деле, как уже упоминалось, речь идет о списке DACL. Список DACL состоит из записей АСЕ (Access Control Entry — запись списка управления доступом); в каж­дой из них указывается идентификатор безопасности (SID)¹ и соответствующая ему маска доступа, которая строится на основе заданных пользователем разреше­ний. Другими словами, каждому идентификатору безопасности ставится в соот­ветствие перечень индивидуальных разрешений. Например, список на некий ка­талог может выглядеть следующим образом:

- Everyone — List;

- Engineers — Add & Read;

- Managers — Change;

- Administrators — Full Control.

Этот список следует понимать так: все имеют разрешение на просмотр содержи­мого данного каталога, члены группы Engineers имеют разрешение на чтение со­держимого каталога и запись в него новых файлов, члены группы Managers могут изменять свободно каталог и его содержимое, а члены группы Administrators имеют все разрешения.

В отличие от разрешений доступа к общим (сетевым) ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в дан­ном каталоге, могут иметь иные разрешения, нежели он сам. '

¹ Это уникальная 128-разрядная кодовая запись, на основании которой операционная система может идентифицировать пользователей. Именно SID сопровождает все запросы к операционной системе на получение того или иного ресурса, в результате чего она может вычислить и разрешения, и права пользователей на запрашиваемый ресурс.

202 Глава 6. Файловые системы

Напомним, что в системе Windows NT 4.0 разрешения NTFS для файла превали­руют над разрешениями для каталога, в котором он содержится. Например, если пользователь имеет разрешения Read (чтение) для каталога и Write (запись) для вло­женного в него файла, то он сможет записать данные в файл, но не сможет создать новый файл в этом каталоге.

Как и разрешения доступа к общим (сетевым) ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, чле­ном которых он является. Единственное исключение — разрешение No Access (нет доступа): оно отменяет все остальные разрешения.

При указании разрешений в соответствующем окне, в которое мы попадаем после выбора в контекстном меню команды Properties (Свойства), перехода на вкладку Security (Безопасность) и щелчка на кнопке Permissions (Разрешения), следует обра­тить внимание на информацию, указанную в списке Type of Access (Тип доступа) в скобках рядом с типом разрешения. В первой паре скобок представлены индиви­дуальные разрешения на доступ к самой папке, во второй — на доступ к файлам, создаваемым в этой папке. Некоторые разрешения для папки не меняют разреше­ний для файлов (Not Specified). При этом пользователь не сможет обращаться к фай­лам в этой панке, если только разрешения на доступ для него не заданы как-ни­будь иначе (например, через разрешения, устанавливаемые на отдельные файлы). Если при форматировании тома на него устанавливается файловая система NTFS, группе Everyone (все) автоматически присваивается разрешение Full Control (пол­ный доступ) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.

Разрешения, установленные для пользователя, складываются (аккумулируются) с разрешениями, установленными для групп, к которым он принадлежит. Напри­мер, если на доступ к какому-либо файлу для пользователя установлено разреше­ние Read, а для группы Everyone — разрешение Change, пользователь сможет изме­нить содержимое файла или удалить его, поскольку любой пользователь всегда входит в эту группу. Из этого правила есть исключение, когда одним из установ­ленных разрешений доступа является разрешение No Access. При этом не важно, кому именно это разрешение предоставлено, пользователю или группе. Разреше­ние No Access всегда имеет приоритет, поэтому пользователь не сможет получить доступ к файлу или папке.

Пользователи, имеющие разрешение Full Control на папку, могут удалять файлы в этой папке независимо от разрешений, установленных на файл (даже если разре­шением на файл является разрешение No Access). Это следствие того, что система NTFS удовлетворяет стандарту POSIX.1. Чтобы решить проблему (если полный набор разрешений доступа к папке действительно необходим), надо установить для папки специальный тип доступа, включающий все индивидуальные разреше­ния R, W, X, D, Р и 0. При этом пользователи получают тот же набор разрешенных действий, что и при разрешении Full Control, но теряют возможность несанкциони­рованного удаления файлов в этой папке.

Также важно отметить, что, имея одно только разрешение Change Permission, позво­ляющее изменять разрешения, пользователь может установить любые разреше­ния на доступ к файлу или папке.

Файловая система NTFS_______________________________________________ 203

Пользователь, создающий папку или файл на разделах с файловой системой NTFS, становится владельцем созданного объекта. Кроме того, владельцем папки или файла может стать любой пользователь, обладающий стандартным разрешением Full Control или специальным разрешением Take Ownership. Владелец всегда имеет возможность прочитать информацию о разрешениях на доступ к папке или файлу и изменить их, даже если ему ничего не разрешено или ему предоставлено разре­шение No Access. Отсюда следует, что достаточно дать пользователю разрешение Take Ownership и он, в конечном счете, сможет получить доступ к файлу или папке на разделе NTFS.