Windows 8.1 

NTFS - dovoljenja. Skrivnosti NTFS – pravice, dovoljenja in dedovanje Razumevanje dovoljenj za datoteke in mape

Zaščita datotek in map v skupni rabi

Tema informacijske varnosti je danes bolj priljubljena kot kdaj koli prej. IT strokovnjaki pridobivajo znanje od vsepovsod: iz posebnih člankov v revijah in celo iz dnevnih e-novic.

Večina tehničnih sredstev ščiti sredstva organizacije pred zunanjimi posegi. Toda pogosto je treba deliti dostop do informacij znotraj samega podjetja. Samo predstavljajte si, do kakšnih težav bi lahko prišlo, če bi vsi zaposleni imeli dostop do osebnih evidenc svojih sodelavcev.

Datotečni sistem NTFS v sistemu Windows XP in njegova dovoljenja za mape v skupni rabi so zasnovani posebej za zaščito vsebine map v skupni rabi pred notranjim in zunanjim uhajanjem. Ta članek vsebuje več nasvetov, ki bodo skrbniku pomagali kompetentno dodeliti dovoljenja NTFS in nadzorovati dostop do map in datotek v skupni rabi.

Nadzor dostopa do datotek

Večina uporabnikov objavlja datoteke, ki so javno dostopne članom delovnih skupin in omrežij p2p, za to potrebujete:

  1. Vnesite ime za mapo v polje Share Name.
  2. Če želite, lahko v stolpec Komentar dodate nekaj pojasnjevalnih besed.
  3. Kliknite OK.

Vendar pa ta metoda ne deluje vedno pravilno, zlasti v sistemih Windows XP z diski, formatiranimi v NTFS (ko nasprotujoča si dovoljenja NTFS pridejo v navzkrižje, kar pooblaščenim uporabnikom prepreči dostop do teh virov; več o tem spodaj). No, najbolj žalostno je, da privzeta dovoljenja, nastavljena v sistemu Windows XP, omogočajo dostop do vsebine imenikov vsem uporabnikom.

Če želite različnim uporabnikom dodeliti različna dovoljenja, morate tudi onemogočiti privzeto možnost preproste skupne rabe datotek Windows XP:

  1. Odprite Windows Explorer
  2. Pojdite v meni Orodja
  3. Izberite Možnosti mape
  4. Pojdite na zavihek Pogled.
  5. V oknu Napredne nastavitve počistite polje Uporabi preprosto skupno rabo datotek (priporočeno) | Uporabite preprosto skupno rabo datotek (priporočeno).
  6. Kliknite OK.

Če želite onemogočiti dovoljenje za vse in konfigurirati raven dostopa za vsakega uporabnika posebej:

Dovoljenja za popoln nadzor omogočajo uporabnikom ali skupinam branje, spreminjanje, brisanje in zagon datotek v mapi. Poleg tega lahko taki uporabniki ustvarjajo in brišejo nove podmape v tem imeniku.

Uporabniki, ki imajo pravico spreminjati podatke v mapi (Change), si lahko ogledujejo in spreminjajo datoteke, ki se nahajajo v imeniku, ustvarjajo lastne datoteke in mape v njem ter zaženejo programe, ki se nahajajo v njem, za izvajanje.

Uporabniki in skupine z dovoljenji za branje lahko samo pregledujejo datoteke, shranjene v imeniku, in izvajajo programe. Nastavite lahko dodatna dovoljenja za informacije na diskih Windows XP, formatiranih z datotečnim sistemom NTFS.

NTFS dovoljenja

Dovoljenja NTFS v sistemu Windows zagotavljajo dodaten niz nastavitev, ki jih je mogoče konfigurirati za vsako datoteko ali mapo za datoteko.

Najprej se morate prepričati, da nastavitve sistema Windows XP omogočajo delo z datotečnim sistemom NTFS:

  1. Kliknite Start
  2. Izberite Zaženi
  3. V vrstico vnesite compmgmt.msc in kliknite V redu. Odpre se konzola za upravljanje računalnika.
  4. Pojdite na predmet Upravljanje diskov na zavihku Shranjevanje, da ugotovite, katera vrsta datotečnega sistema se uporablja na posameznem disku.

Če disk ali ena od njegovih particij ni formatirana v NTFS, lahko to popravite tako, da vnesete convert X: /fs:ntfs, pri čemer X zamenjate s črko želenega diska ali particije. Ukaz za pretvorbo bo spremenil trenutni datotečni sistem diska v NTFS, ne da bi uničil podatke, shranjene na njem. Vendar je bolje, da pred izvajanjem ukaza varnostno kopirate vsebino diska.

Če želite konfigurirati dovoljenja NTFS:

Upoštevajte, da podimeniki privzeto podedujejo lastnosti svojih korenskih imenikov. Če želite to spremeniti, kliknite gumb Napredno na zavihku Varnost v pogovornem oknu Lastnosti.

Vrste dovoljenj NTFS:

  • Popolni nadzor- omogoča uporabnikom in skupinam izvajanje kakršnih koli operacij z vsebino mape, vključno z ogledovanjem datotek in podimenikov, zagonom aplikacijskih datotek, upravljanjem seznama vsebine map, branjem in izvajanjem izvedljivih datotek, spreminjanjem atributov datotek in map, ustvarjanjem novih datotek , dodajanje podatkov v datoteke, brisanje datotek in podimenikov ter spreminjanje dovoljenj za dostop do datotek in map.
  • Spremeni- Omogoča uporabnikom in skupinam ogled datotek in podimenikov, zagon izvršljivih aplikacijskih datotek, upravljanje seznama vsebine map, ogled nastavitev map, spreminjanje atributov map in datotek, ustvarjanje novih datotek in podimenikov, dodajanje podatkov v datoteke in brisanje datotek.
  • Preberi & Izvedi- Omogoča uporabnikom in skupinam ogled seznama datotek in podimenikov, zagon izvedljivih aplikacijskih datotek, ogled vsebine datotek in spreminjanje atributov datotek in map.
  • Seznam vsebine mape- Omogoča uporabnikom in skupinam krmarjenje po imenikih, delo s seznamom vsebine map in ogled atributov datotek in map.
  • Preberi- Omogoča uporabnikom in skupinam ogled vsebine mape, branje datotek in ogled atributov datotek in map.
  • Pišite- omogoča uporabnikom in skupinam spreminjanje atributov datotek in map, ustvarjanje novih map in datotek ter spreminjanje in dopolnjevanje vsebine datotek.

Če želite določiti končna dovoljenja uporabnika, od dovoljenj NTFS, ki so mu dodeljena neposredno (ali kot članu skupine), odštejte vse posamezne zavrnitve (ali zavrnitve, ki jih je prejel kot član skupine). Na primer, če ima uporabnik popoln nadzor nad dano mapo, vendar je hkrati član skupine, za katero je popoln nadzor zavrnjen, potem posledično ne bo imel pravic polnega nadzora. Če je uporabnikova raven dostopa omejena na možnosti Branje & Izvedi in Seznam vsebine mape v eni skupini, hkrati pa mu je zavrnjen dostop na ravni Seznam vsebine mape, bodo posledično dovoljenja NTFS omejena na Branje & Izvedi samo raven. Iz tega razloga morajo skrbniki prepovedi pristopiti skrajno previdno, saj imajo prepovedane funkcije prednost pred tistimi, ki so dovoljene za istega uporabnika ali skupino.

Windows XP je opremljen s priročnim pripomočkom za potrditev trenutnih dovoljenj uporabnika ali skupine:


Združevanje dovoljenj NTFS z dovoljenji za skupno rabo

Sliši se obetavno. Zdi se, da je dovolj, da uporabnikom pravilno razdelite ustrezna pooblastila - in lahko začnete delati. Vendar v resnici ni tako preprosto. Dovoljenja za skupno rabo in dovoljenja NTFS bi morala jasno določati, katere dejanske pravice dostopa imajo uporabniki in skupine, vendar so na žalost med seboj pogosto v nasprotju. Če želite določiti končna dovoljenja določenega uporabnika, primerjajte dobljena dovoljenja za skupno rabo z dobljenimi dovoljenji NTFS. Ne pozabite, da bodo omejitve dostopa prevladovale nad dovoljenji. Na primer, če so uporabnikove posledične pravice dostopa do NTFS omejene na raven branja in izvajanja, posledične pravice javnega dostopa pa so omejene na raven popolnega nadzora, sistem temu uporabniku ne bo podelil dejanskih pravic polnega nadzora, ampak bo izbral najvišjo prednostna raven, v tem primeru je dovoljenje za branje in izvajanje NTFS. Vedno si je treba zapomniti, da posledične omejitve pravic prevladajo nad posledičnimi dovoljenji. To je zelo pomembna točka, na katero se zlahka pozabi, po kateri uporabnikom povzroča veliko težav. Zato natančno izračunajte razmerje med prepovedmi in dovoljenji dovoljenj NTFS in splošnega dostopa

Prikazana je naslednja situacija: Uporabnik1 ima dovoljenje za pisanje v mapo Podatki. Je tudi član skupine Vsi, ki ima dovoljenje za branje. Zato bo dejansko dovoljenje Uporabnika1 kombinacija dovoljenj za branje in pisanje, vendar samo za mapo Podatki.

Za razliko od dovoljenj za skupno rabo dovoljenja NTFS ne omogočajo dostopa do podmap mape Podatki.

Primer dovoljenj ntfs za datoteko

Prikazana je naslednja situacija: Uporabnik1 ima dovoljenja za branje in pisanje za datoteko File1 v mapi Podatki. Poleg tega je član skupine Prodaja, ki ima drugačno dovoljenje za mapo Podatki - Branje. Posledično bo imel Uporabnik1 dovoljenje za branje mape Data ter za branje in pisanje v File1, ker imajo dovoljenja datoteke NTFS prednost pred dovoljenji mape.

    Dovoljenja NTFS zagotavljajo močno zaščito za mape in datoteke, ki se nahajajo na nosilcih datotečnega sistema Windows NT (NTFS).

    Dovoljenja NTFS za mape in datoteke veljajo za uporabnike, ki neposredno delajo na računalniku, in za tiste, ki dostopajo do zaščitenih računalniških objektov prek omrežja.

    Tako kot pri dovoljenjih za skupno rabo lahko uporabnik pridobi dovoljenje za NTFS neposredno ali tako, da je član ene ali več skupin, ki imajo dovoljenje.

    Tako kot dovoljenja za skupno rabo so dejanska dovoljenja NTFS za uporabnika kombinacija dovoljenj uporabnika in skupin, katerih član je uporabnik. Edina izjema od tega pravila je dovoljenje Brez dostopa, ki preglasi vsa druga dovoljenja.

    Za razliko od dovoljenj za skupno rabo se lahko dovoljenja NTFS razlikujejo za mapo in datoteke v njej.

    Dovoljenja NTFS za datoteko imajo prednost pred dovoljenji za mapo, ki jo vsebuje.

    1. Pravice dostopa in dovoljenja ntfs

Dovoljenja za skupno rabo na nosilcih NTFS delujejo v povezavi z dovoljenji za datoteke in mape. V tej lekciji se boste naučili, kako zaščititi diskovne vire z združevanjem dovoljenj NTFS in pravic dostopa.

      1. Osnovni podatki

Da lahko uporabniki dostopajo do diskovnih virov prek omrežja, morajo biti mape, ki vsebujejo te vire, v skupni rabi. Te mape je mogoče zaščititi tako, da uporabnikom in skupinam dodelite ustrezne pravice dostopa. Vendar pa dovoljenja za vir v skupni rabi zagotavljajo le omejeno zaščito, ker:

    zagotoviti enako raven dostopa do vseh map in datotek v mapi v skupni rabi;

    ne zaščitite vira pred lokalnim uporabnikom;

    ni mogoče uporabiti za zaščito posameznih datotek.

Če je mapa v skupni rabi na nosilcu NTFS, lahko uporabite dovoljenja NTFS, da spremenite ali zavrnete uporabniški dostop do map in datotek v mapi v skupni rabi. Uporaba dovoljenj in dovoljenj NTFS zagotavlja najvišjo raven varnosti.

Tukaj je najenostavnejši način za združevanje dovoljenj in dovoljenj NTFS: obdržite privzeto dovoljenje za popoln nadzor, dodeljeno skupini Vsi, in dodelite dovoljenja NTFS za posamezne skupine in uporabniške račune določenim mapam in datotekam v mapi v skupni rabi.

Pri kombinaciji pravic dostopa in dovoljenj NTFS je dostop vedno določen z najstrožjo omejitvijo. Na primer, če ima mapa dovoljenje za popoln nadzor in dovoljenje za branje NTFS, bo posledično dovoljenje bolj restriktivno za branje.

Prikazana je naslednja situacija: Uporabnik1 ima dostop za branje do skupne rabe javnih podatkov na računalniku1 (ko je povezan prek omrežja) in ima dovoljenje za popoln nadzor NTFS za datoteko A te mape. Posledično bo imel Uporabnik1 dostop samo za branje do datoteke A, saj je Branje strožja omejitev. Dostop uporabnika2 do datoteke B je tudi samo za branje, saj dovoljenje za branje NTFS in pravica za dostop do branja vodita do enakih omejitev.

Ko User1 dela na Computer1, nima pravic dostopa do mape "Public Data". Vendar dovoljenja NTFS (poln nadzor za datoteko A in dostop samo za branje za datoteko B) ostajajo v veljavi. Če se Uporabnik1 poveže s to mapo v skupni rabi, bo tako kot Uporabnik1 prejel pravice samo za branje.

V vsakem sistemu, ki temelji na tehnologijah Windows NT, obstajajo posebni omrežni viri. Imena nekaterih virov se končajo s simbolom $, takšni omrežni viri uporabljajo "; omrežje" ali pri odpiranju virov strežnika z ukazom " \\<имя сервера>" ne bo viden. Če pa podate polno ime UNC omrežnega vira, lahko vidite podatke, ki se nahajajo v njem.

Naštejmo te vire:

  • vir obrazca " \\<имя сервера>\admin$" (na primer \\DC1\admin$ ) - namenjen oddaljenemu upravljanju računalnika; pot vedno ustreza lokaciji mape, v kateri je nameščen sistem Windows; na ta vir se lahko povežejo samo člani skupine Administratorji, Operaterji arhiva in Operaterji strežnikov ;
  • vir obrazca " \\<имя сервера>\< буква диска>$ " (na primer \\DC1\C$ ) - korenska mapa navedenega pogona; samo člani skupine se lahko povežejo z omrežnimi viri te vrste na strežniku Windows Administratorji, Operaterji arhiva in Operaterji strežnikov; na računalnikih z operacijskima sistemoma Windows XP Professional in Windows 2000 Professional se lahko člani skupine povežejo s takimi viri Administratorji in Operaterji arhiva ;
  • vir " \\<имя сервера>\IPC$" (na primer \\DC1\IP$ ) - uporablja se za oddaljeno skrbništvo;
  • vir " \\<имя сервера>\NETLOGON" (na primer \\DC1\NETLOGON) - uporablja se samo na domenskih krmilnikih; v tej omrežni mapi so shranjeni skripti (skripte) za prijavo uporabnika, združljivi s prejšnjimi različicami operacijskih sistemov Microsoft;
  • vir " \\<имя сервера>\SYSVOL" - uporablja se samo na krmilnikih domen; datotečni del pravilnikov skupine je shranjen v tej omrežni mapi;
  • vir " \\<имя сервера>\PRINT$" - vir, ki podpira tiskalnike v skupni rabi; v tej mapi so shranjeni zlasti gonilniki za tiskalnike v skupni rabi.

Celoten seznam virov, ki jih ponuja ta strežnik za skupno rabo, si lahko ogledate v " Skupne mape", v poglavju " Skupni viri« (Slika 8.35):


riž. 8.35.

V istem razdelku tega snap-ina lahko onemogočite skupno rabo virov v omrežju, spremenite omrežna dovoljenja in ustvarite nove omrežne vire.

Poleg posebnih omrežnih virov s simbolom $ na koncu imena vira, dodeljenih skupinam z visokimi pooblastili, se ta simbol lahko uporablja za odobritev dostopa do katerega koli drugega vira, ki mu skrbnik sam odobri dostop do omrežja. V tem primeru bo omrežni vir skrit tudi med običajnim brskanjem po omrežju, vendar bo dostopen z navedbo polnega imena UNC, dostop pa bo omogočen tistim skupinam uporabnikov, ki potrebujejo ta vir.

Dovoljenja NTFS

Še enkrat poudarjamo, da omrežna dovoljenja veljajo le pri dostopu do virov prek omrežja. Če je uporabnik prijavljen lokalno, je dostop zdaj mogoče nadzorovati samo z dovoljenji NTFS. Na nosilcu (particiji) s sistemom FAT bo imel uporabnik popoln dostop do informacij na tem nosilcu.

Dovoljenja NTFS lahko nastavite tako, da odprete Lastnosti mapo ali datoteko in pojdite na " Varnost " (Varnost). Kot je razvidno iz sl. 8.36 je nabor vrst dovoljenj NTFS veliko bogatejši od nabora omrežnih dovoljenj.


riž. 8.36.

Na nosilcu NTFS lahko mapam dodelite naslednje vrste dovoljenj:

  • Popoln dostop ;
  • spremeniti ;
  • Preberi in izvedi ;
  • Seznam vsebine mape ;
  • Branje ;
  • Zapis ;
  • Posebna dovoljenja.

Ni pogleda za datoteke " Branje vsebine mape ".

Če kliknete na gumb "Dovoljenja". Dodatno", potem lahko natančno prilagodite dovoljenja.

Dovoljenja NTFS so lahko očitno oz podedovana. Privzeto vse mape ali datoteke podedujejo dovoljenja tega vsebniškega objekta ( nadrejeni predmet), v katerem so ustvarjeni. Uporaba podedovanih dovoljenj olajša delo nadzora dostopa. Če mora skrbnik spremeniti pravice dostopa do mape in vse njene vsebine, potem je dovolj, da to stori za samo mapo in spremembe bodo samodejno vplivale na celotno hierarhijo podmap in dokumentov. Na sl. 8.36. jasno je, da skupina " Administratorji"ima dovoljenja za podedovano vrsto" Popoln dostop" za mapo Mapa1. In na sl. 8.37. je prikazano, da skupina " Uporabniki" ima niz izrecno dodeljenih dovoljenj:


riž. 8.37.

Podedovanih dovoljenj ne morete spremeniti. Če kliknete na " Dodatno", potem lahko prekličete dedovanje dovoljenj od nadrejenega objekta. V tem primeru bo sistem ponudil dve možnosti za preklic dedovanja: kopirajte prejšnja podedovana dovoljenja v obliki eksplicitnih dovoljenj ali jih v celoti izbrišite.

Mehanizem za uporabo dovoljenj

V odstavku 8.1 je bilo rečeno, da je vsaka datoteka niz atributov. Pokliče se atribut, ki vsebuje informacije o dovoljenjih NTFS seznam nadzora dostopa (ACL, seznam nadzora dostopa). Struktura ACL je prikazana v tabeli. 8.4. Pokliče se vsak vnos v ACL element za nadzor dostopa (ACE, vstop za nadzor dostopa).

V tabeli so navedeni varnostni identifikatorji (SID) uporabnikov, skupin ali računalniških računov in njihova ustrezna dovoljenja. Na slikah 8.36 ali 8.37 so namesto SID-jev prikazana imena uporabnikov in skupin, vključenih v ACL. V 4. razdelku je navedeno, da ko se uporabnik prijavi v omrežje (ko se registrira v domeni), krmilnik domene pošlje žeton za dostop, ki vsebuje SID-je samega uporabnika in skupin, katerih član je, v trenutno uporabniško sejo na računalnik. Ko uporabnik poskuša izvesti dejanje na mapi ali datoteki (in zahteva določeno vrsto dostopa do objekta), sistem ujema varnostne identifikatorje v uporabnikovem dostopnem žetonu z varnostnimi identifikatorji, ki jih vsebuje ACL objekta. Če se določeni SID-ji ujemajo, se uporabniku dodelijo ustrezna dovoljenja za dostop do mape ali datoteke.

Upoštevajte, da ko skrbnik spremeni članstvo uporabnika v skupini (vključi uporabnika v novo skupino ali odstrani uporabnika iz skupine), se uporabnikov žeton za dostop NE spremeni samodejno. Za pridobitev novega dostopnega žetona se mora uporabnik odjaviti in ponovno prijaviti. Nato bo od krmilnika domene prejel nov dostopni žeton, ki odraža spremembo članstva v skupini uporabnikov

Postopek za uporabo dovoljenj

Načelo uporabe dovoljenj NTFS za dostop do datoteke ali mape je enako kot pri omrežnih dovoljenjih:

  • najprej se preverijo prepovedi vseh vrst dostopov (če obstajajo prepovedi, potem ta vrsta dostopa ni dovoljena);
  • nato se preveri nabor dovoljenj (če obstajajo različne vrste dovoljenj za uporabnika in skupine, ki jim ta uporabnik pripada, se uporabi celoten nabor dovoljenj).

Toda za dovoljenja NTFS shema postane nekoliko bolj zapletena. Dovoljenja se uporabljajo v naslednjem vrstnem redu:

  • izrecne prepovedi;
  • izrecna dovoljenja;
  • podedovane inhibicije;
  • podedovana dovoljenja.

Če SID uporabnika ali SID skupine, katere član je uporabnik, niso navedeni v izrecnih ali podedovanih dovoljenjih, bo dostop do uporabnika zavrnjen.

Lastništvo mape ali datoteke

Uporabnik, ki je ustvaril mapo ali datoteko, je Lastnik tega predmeta. Lastnik objekta ima pravice spreminjanja dovoljenj NTFS za ta objekt, tudi če so mu druge vrste dostopa zavrnjene. Trenutni lastnik objekta je viden z odpiranjem Lastnosti predmet, nato zaznamek " Varnost«, nato kliknite gumb » Dodatno" in grem na zaznamek " Lastnik« (Slika 8.38):


riž. 8.38.

Pozor! Sistemski administrator lahko zamenja lastnika objekta tako, da izberete novega lastnika s seznama, ki je ponujen v tem oknu ali s celotnega seznama uporabnikov (s klikom na " Drugi uporabniki ali skupine"). Ta funkcija je na voljo skrbnikom za obnovitev dostopa do predmeta v primeru izgube dostopa zaradi nepravilno dodeljenih dovoljenj ali izbrisa računa, ki je imel izključni dostop do tega predmeta (na primer edini zaposleni, ki je imel dostop do datoteke je ostal, skrbnik je izbrisal njen račun, zaradi česar je bil dostop do datoteke popolnoma izgubljen, edini način za obnovitev dostopa je prenos lastništva datoteke na skrbnika ali novega zaposlenega v vlogi odpuščenega delavca ).

Skupna raba dovoljenj omrežja in NTFS

Pri dostopu do datotek v skupni rabi, ki gostuje na nosilcu NTFS prek omrežja, se za uporabnika uporabi kombinacija dovoljenj omrežja in NTFS.

Pri dostopu preko omrežja se najprej izračunajo omrežna dovoljenja (s seštevanjem dovoljenj za uporabnika in skupin, ki jim uporabnik pripada). Dovoljenja NTFS se nato prav tako izračunajo s seštevanjem. Iz tega izhajajo veljavna dovoljenja, izdana za to posebno nepremičnino najmanj iz izračunanih dovoljenj omrežja in NTFS.

Nadzor dostopa z uporabo skupin

Uporabniške skupine so ustvarjene posebej za učinkovitejše upravljanje dostopa do virov. Če dodelite pravice dostopa do vsakega vira za vsakega posameznega uporabnika, potem je to, prvič, zelo delovno intenzivno delo, in drugič, postane težko slediti spremembam pravic dostopa, ko uporabnik spremeni svoj položaj v oddelku ali se preseli v drug oddelek.

Ponovimo gradivo iz razdelka 4. Za učinkovitejši nadzor dostopa priporočamo naslednjo shemo organizacije dostopa:

  1. uporabniški računi ( računi) so vključeni v globalne domenske skupine ( globalne skupine) v skladu s kadrovsko strukturo podjetja/organizacije in opravljanimi zadolžitvami;
  2. globalne skupine so vključene v domenske lokalne skupine ali lokalne skupine na nekem strežniku ( domenske lokalne skupine, lokalne skupine) v skladu z zahtevanimi pravicami dostopa do določenega vira;
  3. ustreznim lokalnim skupinam so dodeljena potrebna dovoljenja ( dovoljenja) v določene vire.

Ta shema, ki temelji na prvih črkah uporabljenih predmetov, je dobila skrajšano ime AGLP (Ašteje G lokalne skupine L lokalne skupine p dovoljenja). S to ureditvijo, če je uporabnik napredoval ali degradiran ali premeščen v drug oddelek, ni potrebe ogled vseh omrežnih virov, dostop do katerega je treba spremeniti za tega uporabnika. Dovolj je, da se ustrezno spremenite članstvo uporabnika v globalnih skupinah in pravice dostopa do omrežnih virov za tega uporabnika se samodejno spremeni.

Naj dodamo, da v glavnem načinu delovanja domene Active Directory (načini " Windows 2000 osnovni" ali " Windows 2003") s pojavom gnezdenja skupin in univerzalnih skupin, shema AGLP spremenjen v vezje AGG...GALEB...LP.

Dovoljenja NTFS

V prejšnjem predavanju smo govorili o omrežni varnosti in konceptu dovoljenj, vendar se velja k temu zdaj vrniti, saj so dovoljenja na voljo samo na trdih diskih NTFS. V tem razdelku bomo govorili o zmožnostih NTFS za zaščito vaših datotek pred radovednimi očmi. Za razliko od sistema FAT dostopa do skupnih virov ni mogoče omogočiti ali onemogočiti. NTFS zagotavlja raven razdrobljenosti, ki omogoča dostop samo tistim, do katerih želite, in filtrira vse ostale.

Dovoljenja za posameznega uporabnika

Preden razpravljamo o dovoljenjih za uporabnike in skupine ter o samih datotekah, je pomembno pregledati osnove delovanja dovoljenj. Najprej vam bomo pokazali, kaj je dedovanje, nato pa si bomo ogledali orodje v sistemu Windows XP Professional, ki bi vam moralo pomagati, vendar lahko postane kamen spotike, če ne razumete njegovih funkcij.

Dedovanje

V omrežju je lahko le nekaj uporabnikov ali pa jih je na tisoče. Z nastavitvijo dovoljenj po meri za nosilce in mape NTFS je lahko ta naloga relativno preprosta v organizaciji s šestimi osebami. Kot že omenjeno v predavanja 9Če organizacija začne rasti, je upravljanje dovoljenj veliko lažje z razdelitvijo uporabnikov v določene skupine.

Najprej morate ustvariti nabor dovoljenj za določeno skupino, kot so inženirji. V tem primeru, ko se v organizaciji pojavi nov inženir, se samodejno doda v to skupino. Hkrati so dovoljenja za to skupino podedovana.

Opomba. Dedovanje velja tudi za druge objekte na nosilcu NTFS. Če na primer nastavite dovoljenja za določeno mapo in nato v njej ustvarite podmapo, vas pravica do dedovanja osvobodi ustvarjanja novega niza dovoljenj za to podmapo, ker podeduje dovoljenja nadrejene mape.

Če menite, da mora skupina inženirjev izdati ali podaljšati določeno dovoljenje, je to enostavno narediti. Ko je dovoljenje spremenjeno (o čemer bomo govorili pozneje v tem predavanju), je novo dovoljenje dodeljeno vsakemu članu te skupine.

Po drugi strani pa lahko določen inženir potrebuje dovoljenje, ki ga drugi ne potrebujejo. S prijavo v inženirsko skupino lahko naredite potrebne spremembe za tega uporabnika in prejel bo novo dovoljenje, ki ga ne bo podedoval zaradi pripadnosti tej skupini. V tem primeru dovoljenje ne bo veljalo za druge člane skupine.

Novo v sistemu Windows XP Professional je preprosta skupna raba datotek. Ta funkcija je omogočena, ko prvič namestite Windows XP Professional ali ko delite nosilec ali mapo. Če želite omogočiti več orodij za nadzor uporabniškega dostopa, morate onemogočiti preprosto skupno rabo datotek.

Morda se sprašujete, zakaj je potrebna preprosta skupna raba datotek, če mora biti ta funkcija onemogočena. Samo za olajšanje postopka skupne rabe datotek in map. Ko je omogočena preprosta skupna raba datotek, ni veliko konfiguracij za to, kako lahko uporabniki dostopajo do datotek, tiskalnikov itd. To omogoča preprost način za skupno rabo datotek. Če pa želite nadzorovati, kdo lahko dostopa do datotek, je treba preprosto skupno rabo datotek onemogočiti. Če želite to narediti, sledite tem korakom.

    Izberite Start\Moj računalnik, nato kliknite Orodja in izberite Možnosti mape.

    V pogovornem oknu Možnosti mape kliknite zavihek Pogled.

    Pomaknite se po seznamu nastavitev v oknu Napredne nastavitve in potrdite ali počistite potrditveno polje Uporabi preprosto skupno rabo datotek.

    Kliknite V redu.

Opomba. Samo onemogočanje preproste skupne rabe datotek vam bo preprečilo nastavitev dovoljenj za datoteke. Prav tako morate vse svoje datoteke in mape postaviti na nosilec ali particijo NTFS.

Dovoljenja za mape in nosilce

Dovoljenja nadzirajo, kaj lahko uporabnik ali skupina počne z objektom v omrežju ali na svojem lokalnem računalniku. Dovoljenja so podprta samo, ko je onemogočena preprosta skupna raba datotek in na trdem disku, oblikovanem kot NTFS. IN tabela 10.2 navaja dovoljenja, dodeljena mapam, in tabela 10.3- za datoteke.

Tabela 10.2. Dovoljenja za mape

Dovoljenje

Spremeni dovoljenja

Spremenite dovoljenja za mapo.

V tej mapi ustvarite nove datoteke.

V tej mapi ustvarite podimenike.

Brisanje mape.

Izbrišite podmape in datoteke

Brisanje datotek in podimenikov, tudi če nimate dovoljenja za njihovo ustvarjanje.

Oglejte si vsebino mape.

Preberite atribute

Oglejte si atribute mape.

Dovoljenja za branje

Ogled dovoljenj mape.

Dodeljevanje pravic drugega uporabnika za lastništvo mape.

Traverse Folder

Odprite mapo za ogled podimenikov in nadrejenih map.

Napišite atribute

Spreminjanje lastnosti mape.

Tabela 10.3. Dovoljenja za datoteke

Dovoljenje

Dovoli ali zavrne to dejanje

Dodajanje informacij na konec datoteke brez spreminjanja obstoječih informacij.

Spremeni dovoljenja

Spreminjanje dovoljenj datotek.

Brisanje datoteke.

Zaženite program, ki ga vsebuje datoteka.

Preberite atribute

Oglejte si atribute datoteke.

Oglejte si vsebino datoteke.

Dovoljenja za branje

Ogled dovoljenj za datoteke.

Dodeljevanje lastninskih pravic tej datoteki od drugega lastnika.

Napišite atribute

Spreminjanje atributov datoteke.

Spreminjanje vsebine datoteke.
Ustvarite in upravljajte dovoljenja

Z ustvarjanjem dovoljenj za posamezne datoteke, mape in nosilce NTFS lahko izkoristite veliko več varnostnih možnosti, kot jih ponuja datotečni sistem FAT. Zavihek Lastnosti izbrane mape ali nosilca vključuje zavihek Varnost. S klikom nanjo si lahko ogledate številne možnosti za nadzor dostopa.

Če želite konfigurirati dovoljenja za dano mapo ali nosilec, sledite tem korakom.

    Določite nosilec ali mapo, za katero boste nastavili dovoljenja.

    Z desno tipko miške kliknite nanjo in izberite Lastnosti.

    Izberite zavihek Varnost.

Opomba. Če je nosilec NTFS v skupni rabi, morate dovoljenja nastaviti prek zavihka Varnost in ne z uporabo gumba Dovoljenja na zavihku Skupna raba.

V oknu lastnosti, ki se prikaže, boste videli dve okni. Zgornje okno vsebuje seznam uporabnikov in skupin ( riž. 10.7). Na dnu je seznam dovoljenj za uporabnika, ki jih je mogoče nastaviti in prilagoditi. Tudi ta zavihek je na voljo samo za nosilce, oblikovane v NTFS.

riž. 10.7. Zavihek Varnost v pogovornem oknu lastnosti

S klikom na določenega uporabnika ali skupino lahko v spodnjem oknu nastavite dovoljenja zanje. Na voljo so naslednja dovoljenja.

    Popolni nadzor. Uporabniku ali skupini omogoča branje, ustvarjanje, spreminjanje in brisanje datotek.

    Spremeni. Uporabnikom omogoča brisanje datotek in map, spreminjanje dovoljenj ali prevzem lastništva nad datoteko ali mapo od drugega uporabnika.

    Preberi & Izvedi. Uporabnikom omogoča branje in zagon datotek, ne da bi spreminjali vsebino nosilca ali mape v skupni rabi.

    Seznam vsebine mape. Uporabnikom omogoča ogled vsebine map.

    Preberi. Uporabnikom omogoča ogled vsebine nosilca ali mape. Prav tako lahko odpirajo datoteke, vendar ne smejo shranjevati sprememb.

    Pišite. Uporabnikom omogoča pisanje v mape ali nosilce, vendar jim preprečuje odpiranje datotek ali ogled seznama datotek.

    Posebna dovoljenja. S klikom na gumb Napredno lahko uporabite posebna dovoljenja.

Omejitev števila uporabnikov

Odvisno od velikosti in strukture vaše organizacije morda ne boste vsem dovolili dostopa do istega nosilca hkrati. Če želite nastaviti omejitev števila uporabnikov, ki lahko hkrati dostopajo do nosilca ali mape, odprite pogovorno okno Dovoljenja in izberite zavihek Skupna raba ( riž. 10.8).

V razdelku Uporabniška omejitev določite eno od naslednjih možnosti.

    Največje dovoljeno Dovoli dostop za največje število uporabnikov omrežja.

    Dovoli to število uporabnikov Dovoli dostop samo za določeno število uporabnikov.

Več podrobnosti o dovoljenjih najdete v pogl. 9.

dovoljenja, ki določajo stopnjo varnosti, lahko ... gumb dovoljenje"), nadzor dostopa z uporabo zmogljivosti datotečnega sistema NTFS. ... sprememba in branje). Uporaba dovoljenja NTFS Za vsak predmet, ki...

  • Operacijski sistem Windows 2000 Server

    Predmet >> Računalništvo

    Preverjeni uporabniki imajo potrebne dovoljenja. Najprej odjemalski sistemi... računalnik. Namestitveni program bo konfiguriral mape in dovoljenja NTFS za datoteke operacijskega sistema. ... in izvajajte naprej in nazaj resolucija imen domen na naslove IP. ...

  • Uporabna informatika v ekonomiji

    Povzetek >> Računalništvo

    Na glasnost NTFS lahko dodelite posameznim uporabnikom in skupinam dovoljenja NTFS za večjo prilagodljivost ... mape. Pri kombinaciji dovoljenja dostop do mape v skupni rabi in dovoljenja NTFS posledično resolucija bolj striktno bo...