- •14 Пара. Защита локальных и сетевых ресурсов в Windows и Unix
- •Системы с избирательным управлением доступом
- •Матрица доступа
- •Анализ ос с точки зрения их защищенности
- •Идентификатор безопасности - Security Identifier (sid)
- •Использование разрешений ntfs.
- •Планирование разрешений ntfs.
- •Назначение стандартных разрешений ntfs.
- •Назначение специальных разрешений ntfs.
- •Соответствие стандартных и специальных разрешений.
- •Владение файлами.
- •Копирование и перемещение файлов.
- •Администрирование общих папок
- •Планирование общих папок.
- •Открытие доступа к папкам.
- •Требования для открытия доступа к папкам.
- •Административные общие папки.
- •Открытие доступа к папке.
- •Сочетание разрешений общих папок и разрешений ntfs.
- •Приоритет разрешений Для файлов над разрешениями для папок
- •Стратегия назначения разрешений ntfs
Сочетание разрешений общих папок и разрешений ntfs.
При предоставлении в общий доступ папки, расположенной на томе FAT, доступ к отдельным файлам и папкам внутри нее управляется разрешениями общей папки. Других механизмов разграничения доступа к ресурсам на томах FAT нет.
При предоставлении в общий доступ папки, расположенной на томе NTFS, доступ к отдельным файлам и папкам внутри нее управляется как разрешениями общей папки, так и разрешениями NTFS. При сочетании разрешений общих папок и разрешений NTFS действуют следующие правила:
К файлам и папкам в общей папки можно применять разрешения NTFS, в том числе разные разрешения к разным файлам и папкам.
Для получения доступа к файлу или папке внутри общей папки пользователь должен иметь соответствующее разрешение NTFS для этого файла или папки и соответствующее разрешение на общую папку.
При сочетании разрешений общих папок и разрешений NTFS приоритет всегда имеет более строгое ограничение.
Приоритет разрешений Для файлов над разрешениями для папок
В NTFS разрешения для файлов имеют больший приоритет, чем разрешения для папок. Если у вас есть разрешение на доступ к файлу и право Обход перекрестной проверки (Bypass Traverse Checking), то вы сможете воспользоваться доступом к этому файлу, даже если у вас нет доступа к папке, в которой содержится файл. Вы можете получить доступ к тем файлам, для которых у вас есть разрешения, воспользовавшись UNC-именем файла или локальным путем для открытия файла из соответствующего приложения. Это возможно, даже если папка, в которой находится файл, невидима и у вас нет соответствующего разрешения для данной папки. Другими словами, если у вас нет разрешения на доступ к папке, содержащей нужный вам файл, для доступа к файлу вам необходимо обладать правом Обход перекрестной проверки (Bypass Traverse Checking) и знать полный путь к файлу.
Приоритет запрещения над разрешениями
Вы можете запретить доступ к файлу пользователю или группе, хотя этот метод контроля ресурсов нельзя назвать предпочтительным. Запрет имеет больший приоритет, чем разрешение на всех уровнях, на которые он распространяется. Даже если у группы в которую входит пользователь имеется разрешение на доступ к файлу или папке, запрет на доступ для пользователя блокирует все имеющиеся разрешения.
Наследование разрешений в NTFS
По умолчанию разрешения, назначаемые родительской папке, наследуются и распространяются на подпапки и файлы, содержащиеся в родительской папке. Однако вы можете предотвратить наследование разрешений.
Общее представление о наследовании разрешений
Все разрешения, устанавливаемые для родительской папки, также действуют и на подпапки и файлы, содержащиеся в родительской папке. При установке разрешения NTFS на доступ к папке, вы одновременно устанавливаете разрешения как для всех существующих подпапок и файлов, так и для создаваемых в родительской папке новых файлов и подпапок.
Предотвращение наследования разрешений
Вы можете предотвратить наследование разрешений, назначенных для родительской папки, подпапками и файлами, содержащимися в ней. Это значит, что подпапки и файлы не унаследуют разрешения, установленные для родительской папки.
Папка, для которой вы предотвратили наследование, становится новой родительской папкой. Подпапки и файлы, содержащиеся в этой новой родительской папке, унаследуют разрешения, установленные для нее.