Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АрхитектураБиологияГеографияДругоеИностранные языки
ИнформатикаИсторияКультураЛитератураМатематика
МедицинаМеханикаОбразованиеОхрана трудаПедагогика
ПолитикаПравоПрограммированиеПсихологияРелигия
СоциологияСпортСтроительствоФизикаФилософия
ФинансыХимияЭкологияЭкономикаЭлектроника

Права доступа пользователей к объектам файловой системы

Читайте также:
  1. ACL: списки контроля доступа в Cisco IOS из песочницы
  2. III. ПРАВА И ОБЯЗАННОСТИ ЧЛЕНОВ КЛУБА.
  3. III. Требования к организации системы обращения с медицинскими отходами
  4. III. Требования к организации системы обращения с медицинскими отходами
  5. IV. ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАТОРОВ
  6. VII. Авторские права
  7. А. Правая и левая коронарные артерии

 

Для просмотра действующих разрешений для файлов и папок следует:

- в окне Проводника выбрать файл (или папку);

- щелчком правой кнопкой мыши вызвать контекстное меню, в котором выбрать строку Свойства;

- открыть вкладку Безопасность, откроется окно безопасности файла или папки (рис. 8.);

- нажать кнопку Дополнительно и перейти на вкладку Действующие разрешения (рис. 9., рис. 10.);

- нажать кнопку Выбрать;

- в поле Имя ввести имя пользователя или группы и нажать кнопку ОК.

 

Рис. 8. Окна Свойства папки

 

 

Рис. 9. Окно Дополнительные параметры безопасности

 

Рис. 10. Окно Действующие разрешения (для файла или папки)
и окно выбора пользователя или группы

 

Установленные флажки соответствуют действующим разрешениям на доступ пользователя или группы к данному файлу или папке. На вкладке Действующие разрешения показаны данные, вычисляемые на основе записей об имеющихся разрешениях. Поэтому содержимое этой страницы доступно только для чтения; разрешения пользователя нельзя изменять, устанавливая или снимая флажки разрешений.

В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует правило: к файловому объекту имеют доступ только перечисленные пользователи, в соответствии с указанными им правами.

В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows. В старых операционных системах линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объект, который не имеет явного запрета в использовании, является доступным.

Существуют следующие разрешения на доступ к файлам и папкам: Полный доступ, Изменение, Чтение и выполнение, Список содержимого папки, Чтение и Запись. Каждое из этих разрешений представляет собой логическую группу особых разрешений, которые перечислены и описаны в таблице 1.

Особые разрешения для файлов и папок

Таблица 1

 

№п/п Разрешение Описание
  Обзор папок/Выполнение файлов Для папок: Обзор папок разрешает или запрещает перемещение по структуре папок в поисках других файлов или папок, даже если пользователь не обладает разрешением на доступ к просматриваемым папкам (применимо только к папкам). Разрешение на обзор папок действительно только в том случае, если группа или пользователь не обладает правом Обход перекрестной проверки, устанавливаемым в оснастке Групповая политика. По умолчанию группа Все наделена правом Обход перекрестной проверки. Для файлов: «Выполнение файлов» разрешает или запрещает запуск программ (применимо только к файлам).
  Содержание папки/Чтение данных Для папок: Содержание папки разрешает или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Разрешение относится только к содержимому данной папки и не означает, что имя самой папки также должно включаться в список. Для файлов: Чтение данных разрешает или запрещает чтение данных, содержащихся в файлах.
  Чтение атрибутов Разрешает или запрещает просмотр атрибутов файла или папки, таких как: Только чтение и Скрытый. Атрибуты определяются файловой системой NTFS.
  Чтение дополнительных атрибутов Разрешает или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ.
  Создание файлов/Запись данных Для папок: Создание файлов разрешает или запрещает создание файлов в папке. Для файлов: Запись данных разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого.
  Создание папок/Дозапись данных Для папок: Создание папок разрешает или запрещает создание папок внутри папки. Для файлов: Дозапись данных разрешает или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных.
  Запись атрибутов Запись атрибутов разрешает или запрещает смену таких атрибутов файла или папки, как Только чтение и Скрытый. Атрибуты определяются файловой системой NTFS. Разрешение не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты.
  Запись дополнительных атрибутов Запись дополнительных атрибутов разрешает или запрещает смену дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ. Разрешение не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты.
  Удаление подпапок и файлов Разрешает или запрещает удаление подпапок и файлов даже при отсутствии разрешения «Удаление» (применимо только к папкам)
  Удаление Разрешает или запрещает удаление файла или папки. Если для файла или папки отсутствует разрешение Удаление, объект можно удалить при наличии разрешения Удаление подпапок и файло в для родительской папки.
  Чтение разрешений Разрешает или запрещает чтение таких разрешений на доступ к файлу или папке, как Полный доступ, Чтение и Запись
  Смена разрешений Разрешает или запрещает смену таких разрешений на доступ к файлу или папке, как Полный доступ, Чтение и Запись.
  Смена владельца Разрешает или запрещает вступать во владение файлом или папкой. Владелец файла или папки всегда может изменять разрешения на доступ к ним независимо от любых разрешений, защищающих этот файл или папку.
  Синхронизация Разрешает или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками, могущими занимать их. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами.

Для установки, просмотра, смены или удаления особых разрешений для файлов и папок следует:

- открыть проводник и выбрать файл или папку, для которой требуется установить особые разрешения;

- щелкнуть файл или папку правой кнопкой мыши, выбрать команду Свойства и перейти на вкладку Безопасность;

- нажать кнопку Дополнительно и в зависимости от поставленной задачи выполнить одно из следующих действий:

Задача: Действие
  Установить особые разрешения для новой группы или пользователя. § нажать кнопку Добавить; § в поле Введите имена выбираемых объектов ввести имя пользователя или группы (согласно приведенным примерам) и нажать кнопку ОК (рис. 11а).).
  Установить особые разрешения для существующей группы или пользователя. Выбрать имя пользователя или группы и нажать кнопку Изменить (рис. 12.).
  Удалить существующую группу или пользователя вместе с его особыми разрешениями. Выбрать имя пользователя или группы и нажать кнопку Удалить. Если кнопка Удалить недоступна: § снять флажок из опции Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне; § нажать кнопку Удалить и пропустить следующие два шага.

 

- в списке Разрешения установить или снять соответствующий флажок (Разрешить или Запретить);

- в столбце Применять выбрать папки или подпапки, к которым должны будут применяться данные разрешения;

- чтобы предотвратить наследование этих разрешений файлами и подпапками, снять флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера (рис. 11б).);

- нажать кнопку ОК;

- в окне Дополнительные параметры безопасности снова нажать кнопку ОК.

Если во вкладке Дополнительные параметры безопасности установить флажок Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам, добавляя их к явно заданным в этом окне (рис. 11а).), то все разрешения для подпапок и файлов будут отменены, и вместо них будут назначены разрешения, установленные для родительского объекта. После нажатия кнопки Применить или ОК это изменение уже нельзя будет отменить, сняв упомянутый флажок.

Если установить флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне, то данный файл или папка будет наследовать разрешения от родительского объекта (флажок установлен по умолчанию).

а)

б)

 

Рис. 11. Установка особых разрешений
для новой группы или пользователя (по шагам)

Рис. 12. Установка особых разрешений
для существующей группы или пользователя

 

Примечание:

- разрешения можно устанавливать только на дисках, отформатированных для файловой системы NTFS;

- если какие-либо флажки в списке Разрешения затенены, это означает, что данные разрешения наследуются из родительской папки;

- изменять разрешения может только владелец объекта или те пользователи, которым он предоставил соответствующие разрешения;

- группы и пользователи, обладающие разрешением на Полный доступ к папке, могут удалять из нее файлы и подпапки, независимо от имеющихся разрешений на доступ к этим файлам и подпапкам;

- хотя разрешения Список содержимого папки и Чтение и выполнение включают в себя одни и те же особые разрешения, они наследуются по-разному: разрешение Список содержимого папки наследуется только папками, но не файлами, и отображается только при просмотре разрешений на доступ к папкам; разрешение Чтение и выполнение наследуется как файлами, так и папками, и всегда отображается при просмотре разрешений на доступ к файлам или папкам.

В старых операционных системах каждый раз при создании какого-либо объекта пользователь должен сам вручную прописывать доступ, который к нему запрещен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить доступ другим пользователям). В этом случае несколько минут или часов на таких файлах будет оставаться доступ для всех пользователей, поэтому любой человек или программа может их скопировать или даже стереть операционную систему, если такая возможность не была заранее закрыта пользователем или системным администратором. Данную ситуацию используют так же вирусы, которые могут получить полный контроль над операционной системой, файлами и личной информацией.

Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора. Пользователь, принадлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке операционных систем Windows 9x. Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users.

В окне свойств системы безопасности (рис. 13.) находятся следующие группы пользователей: SYSTEM, Администраторы, Опытные пользователи, Пользователи, СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ. В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает операционная система, или определенные программы и сервисы. К числу последних групп принадлежит группа SYSTEM, от имени которой выступает операционная система Windows ХР.

 

 

Рис. 13. Окно Безопасность папки Windows и права для группы SYSTEM

Случается когда доступ для операционной системы к какому-либо объекту или к папке закрывается. Например, из-за того, что группа SYSTEM была удалена из свойств папки по причине активности вирусов и, как следствие, системе запрещен доступ к этой папке. Если папка содержала файлы пользователя, то он не сможет получить к ним доступ. Если папка была системной, то Windows может перестать функционировать корректно.

Это связано с тем, что при запуске программы или файла управление передается операционной системе, после чего она выполняет инструкцию пользователя. Если операционной системе доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама операционная система, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать операционную систему, можно загрузиться с другой операционной системы Windows XP. При этом следует учесть, что если обновления, поставленные на другую операционную систему, будут отличаться от тех, которые стояли в данной системе, то возможны различные проблемы.

Если на не желающей загружаться первой операционной системе стоят более ранние обновления, чем на второй операционной системе, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT. Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только зашифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, которую необходимо передать новой операционной системе. После того как была произведена загрузка со второй операционной системы Windows XP, необходимо дать команду на добавление доступа к папке группы SYSTEM. После перезагрузки в первой операционной системе можно провести окончательную проверку или настройку.

Если был запрещен доступ группы SYSTEM к пользовательской папке, то для устранения этой проблемы достаточно обеспечить наследование прав от папки уровнем выше, а потом дать системе команду, из того же окна наследования прав, на замещение предыдущих свойств наследуемыми свойствами.

Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представляет собой специальную запись, в которую помещается идентификатор пользователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой системы в случае наследования прав.

Остальными группами, имеющими доступ, являются: Администратор, Опытный пользователь, Пользователь, что означает наличие доступа у администраторов системы, опытных пользователей и простых пользователей, соответственно. В операционной системе все или почти все пользователи должны входить в состав группы Пользователи (Users), в крайнем случае, можно присвоить права группы Опытный пользователь (Power Users), но никогда не следует давать права группы Администратор (Administrators).

Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис. 14.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию.

 

 

Рисунок 14. Окно Безопасность папки Windows и права
для группы Пользователи

 

Разрешения для пользователя:

- полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;

- изменить – означает возможность модификации файлов или папки, в зависимости от того, чем является защищаемый объект;

- чтение и выполнение – возможность чтения и исполнения файлов папки;

- список содержимого папки – доступ к списку содержимого папки;

- чтение – доступ на чтение содержимого папки;

- запись – для папки это разрешение означает возможность изменять файлы или создавать новые файлы; для одного файла – возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;

- особые разрешения – используются для уточнения набора прав, которыми может обладать пользователь; для редактирования пользователей нужно нажать кнопку Дополнительно, выбрать из списка пользователя и нажать кнопку Изменить.

Администраторы имеют полные права на доступ к системной папке Windows. Аналогичные права имеет и пользователь SYSTEM, так как от его имени работает сама операционная система Windows XP (рис. 13.). Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ.

 


Дата добавления: 2015-11-04; просмотров: 125 | Нарушение авторских прав


<== предыдущая страница | следующая страница ==>
Практическая часть| Механизм наследования прав объектами файловой системы

mybiblioteka.su - 2015-2024 год. (0.017 сек.)