Применение разрешений NTFS
Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и разрешения доступа к общим сетевым ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.
Применение разрешений NTFS для каталогов сходно с применением разрешений доступа к общим ресурсам. Управление разрешениями на каталог или файл осуществляется, как правило, через Проводник. Для этого необходимо щелкнуть на объекте правой кнопкой мыши, выбрать в контекстном меню команду Properties (Свойства) и в открывшемся окне перейти на вкладку Security (Безопасность). На этой вкладке имеется три раздела. Первый (верхний) с кнопкой Permissions (Разрешения) как раз и позволяет просмотреть и/или изменить разрешения, то есть управлять списком DACL. Второй (средний) с кнопкой Audit (Аудит) предназначен для управления списком SACL. Наконец, последний (нижний) раздел с кнопкой Owner (Владелец) предназначен для просмотра и/или смены владельца файлового объекта.
Кроме того, имеется возможность устанавливать и/или изменять списки разрешений NTFS через интерфейс командной строки. Для этого используется следующая команда:
CACLS ИмяФайла [/Т] [/Е] [/С] [/G ИмяПользователя:доступ] [/R ИмяПользователя [...]] [/Р ИмяПользователя:доступ [...]] [/D ИмяПользователя [...]]
Здесь:
- ИмяФайла — имя файла со списком управления доступом; - /Т — замена списка управления доступом для указанных файлов в текущем каталоге и всех подкаталогах;
- /Е — изменение списка управления доступом вместо его замены; - /С — продолжение выполнения при ошибках отказа в доступе;
- /G ИмяПользователя:доступ — определение разрешений для указанных пользователей, где параметр доступ равен:
■ R — чтение,
■ С — изменение (запись),
■ F — полный доступ;
- /R ИмяПользователя — отзыв разрешений для пользователя (только вместе с ключом /Е);
Файловая система NTFS______________________________________________ 201
- /Р ИмяПользователя:доступ — замена разрешений для указанного пользователя,
где параметр доступ равен:
■ N — отсутствует,
■ R — чтение,
■ С — изменение (запись),
■ F — полный доступ;
- /D ИмяПользователя — запрет на доступ для указанного пользователя.
Для выбора нескольких файлов используются подстановочные знаки. В команде можно указать несколько пользователей.
У каждого файлового объекта имеется его владелец и создатель. Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке, даже если у него нет соответсвующего разрешения. Если этот пользователь является членом группы Administrators (Администраторы), фактическим владельцем становится вся группа Administrators.
Изначально все пользователи имеют все разрешения на файлы и каталоги. Очевидно, что при этом они могут изменять эти разрешения, которые оформляются в виде списка. Напомним, что такой список называют списком ACL, хотя на самом деле, как уже упоминалось, речь идет о списке DACL. Список DACL состоит из записей АСЕ (Access Control Entry — запись списка управления доступом); в каждой из них указывается идентификатор безопасности (SID)1 и соответствующая ему маска доступа, которая строится на основе заданных пользователем разрешений. Другими словами, каждому идентификатору безопасности ставится в соответствие перечень индивидуальных разрешений. Например, список на некий каталог может выглядеть следующим образом:
- Everyone — List;
- Engineers — Add & Read;
- Managers — Change;
- Administrators — Full Control.
Этот список следует понимать так: все имеют разрешение на просмотр содержимого данного каталога, члены группы Engineers имеют разрешение на чтение содержимого каталога и запись в него новых файлов, члены группы Managers могут изменять свободно каталог и его содержимое, а члены группы Administrators имеют все разрешения.
В отличие от разрешений доступа к общим (сетевым) ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в данном каталоге, могут иметь иные разрешения, нежели он сам. '
1 Это уникальная 128-разрядная кодовая запись, на основании которой операционная система может идентифицировать пользователей. Именно SID сопровождает все запросы к операционной системе на получение того или иного ресурса, в результате чего она может вычислить и разрешения, и права пользователей на запрашиваемый ресурс.
202 Глава 6. Файловые системы
Напомним, что в системе Windows NT 4.0 разрешения NTFS для файла превалируют над разрешениями для каталога, в котором он содержится. Например, если пользователь имеет разрешения Read (чтение) для каталога и Write (запись) для вложенного в него файла, то он сможет записать данные в файл, но не сможет создать новый файл в этом каталоге.
Как и разрешения доступа к общим (сетевым) ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, членом которых он является. Единственное исключение — разрешение No Access (нет доступа): оно отменяет все остальные разрешения.
При указании разрешений в соответствующем окне, в которое мы попадаем после выбора в контекстном меню команды Properties (Свойства), перехода на вкладку Security (Безопасность) и щелчка на кнопке Permissions (Разрешения), следует обратить внимание на информацию, указанную в списке Type of Access (Тип доступа) в скобках рядом с типом разрешения. В первой паре скобок представлены индивидуальные разрешения на доступ к самой папке, во второй — на доступ к файлам, создаваемым в этой папке. Некоторые разрешения для папки не меняют разрешений для файлов (Not Specified). При этом пользователь не сможет обращаться к файлам в этой панке, если только разрешения на доступ для него не заданы как-нибудь иначе (например, через разрешения, устанавливаемые на отдельные файлы). Если при форматировании тома на него устанавливается файловая система NTFS, группе Everyone (все) автоматически присваивается разрешение Full Control (полный доступ) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.
Разрешения, установленные для пользователя, складываются (аккумулируются) с разрешениями, установленными для групп, к которым он принадлежит. Например, если на доступ к какому-либо файлу для пользователя установлено разрешение Read, а для группы Everyone — разрешение Change, пользователь сможет изменить содержимое файла или удалить его, поскольку любой пользователь всегда входит в эту группу. Из этого правила есть исключение, когда одним из установленных разрешений доступа является разрешение No Access. При этом не важно, кому именно это разрешение предоставлено, пользователю или группе. Разрешение No Access всегда имеет приоритет, поэтому пользователь не сможет получить доступ к файлу или папке.
Пользователи, имеющие разрешение Full Control на папку, могут удалять файлы в этой папке независимо от разрешений, установленных на файл (даже если разрешением на файл является разрешение No Access). Это следствие того, что система NTFS удовлетворяет стандарту POSIX.1. Чтобы решить проблему (если полный набор разрешений доступа к папке действительно необходим), надо установить для папки специальный тип доступа, включающий все индивидуальные разрешения R, W, X, D, Р и 0. При этом пользователи получают тот же набор разрешенных действий, что и при разрешении Full Control, но теряют возможность несанкционированного удаления файлов в этой папке.
Также важно отметить, что, имея одно только разрешение Change Permission, позволяющее изменять разрешения, пользователь может установить любые разрешения на доступ к файлу или папке.
Файловая система NTFS_______________________________________________ 203
Пользователь, создающий папку или файл на разделах с файловой системой NTFS, становится владельцем созданного объекта. Кроме того, владельцем папки или файла может стать любой пользователь, обладающий стандартным разрешением Full Control или специальным разрешением Take Ownership. Владелец всегда имеет возможность прочитать информацию о разрешениях на доступ к папке или файлу и изменить их, даже если ему ничего не разрешено или ему предоставлено разрешение No Access. Отсюда следует, что достаточно дать пользователю разрешение Take Ownership и он, в конечном счете, сможет получить доступ к файлу или папке на разделе NTFS.
Дата добавления: 2016-09-20; просмотров: 1446;