Читайте также:
|
После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS. Для этого следует:
- выбрать любой файл или папку;
- щелчком правой кнопкой мыши вызвать контекстное меню;
- в контекстном меню выбрать режим Свойства;
- открыть вкладку Безопасность;
- откроется окно безопасности файла или папки (рис.1.8.).
В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует правило: к файловому объекту имеют доступ только перечисленные пользователи, в соответствии с указанными им правами.
В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\ Windows. В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объект, который не имеет явного запрета в использовании, является доступным.
Рисунок 1.8. Окно свойств безопасности папки
В старых ОС это означает, что каждый раз при создании какого-либо объекта пользователь должен сам вручную прописывать доступ, который к нему запрещен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить доступ другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах будет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую информацию или даже стереть ОС, если такая возможность не была заранее закрыта пользователем или системным администратором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией.
Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, принадлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x. Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users.
В окне свойств системы безопасности (рис.1.8.) находятся следующие группы пользователей: SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ. В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу последних групп принадлежит группа SYSTEM, от имени которой выступает ОС Windows ХР.
Случается когда доступ для ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка содержит файлы пользователя, то он может получить невозможность доступа к ней, а если папка является системной, то Windows может перестать функционировать корректно.
Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP. При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы.
Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT. Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только зашифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, которую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP, необходимо дать команду на добавление доступа к этой папке группы SYSTEM. После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку.
Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы достаточно обеспечить наследование прав от папки уровнем выше, а потом дать системе команду, из того же окна наследования прав, на замещение предыдущих свойств наследуемыми свойствами.
Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представляет собой специальную запись, в которую помещается идентификатор пользователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой системы в случае наследования прав.
Остальными группами, имеющими доступ, являются: Администратор, Опытный пользователь, Пользователь, что означает наличие доступа у администраторов системы, опытных пользователей и простых пользователей, соответственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи (Users), в крайнем случае, можно присвоить права группы Опытный пользователь (Power Users), но никогда не следует давать права группы Администратор (Administrators).
Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.1.9.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию.
Рисунок 1.9. Права группы Пользователи
Разрешения для пользователя (рис.1.9.):
- полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;
- изменить – означает возможность модификации файлов или папки, в зависимости от того, чем является защищаемый объект;
- чтение и выполнение – возможность чтения и исполнения файлов папки;
- список содержимого папки – доступ к списку содержимого папки;
- чтение – доступ на чтение содержимого папки;
- запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;
- особые разрешения – используются для уточнения набора прав, которым может обладать пользователь, для их редактирования следует нажать кнопку Дополнительно, выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить.
Администраторы имеют полные права на доступ к системной папке Windows. Аналогичные права имеет и пользователь SYSTEM, так как от его имени работает сама ОС Windows XP (рис.1.10.).
Рисунок 1.10. Права группы System
Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ.
Дата добавления: 2015-11-04; просмотров: 86 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Развертывание NTFS | | | Механизм наследования прав объектами файловой системы |