7 Войти в систему от имени пользователей и проверить их возможности доступа к объектам файловой системы.
Соотнести назначенные разрешения доступа с допустимыми и запрещенными действиями над подкаталогами и файлами (создание, удаление, копирование, перемещение, изменение содержимого, получение информации о свойствах и др.)
Работа под учетной записью IvanIvanov:
с объектом безопасности Data:
может просматривать содержимое папки
может просматривать файлы и их свойства
не может создавать файлы
не может изменять файлы
не может удалять файлы
не может менять владельца файла
с объектом безопасности Backup:
может просматривать содержимое папки
может просматривать файлы и их свойства
может создавать файлы
может изменять файлы
может удалять файлы
не может менять владельца файла
Работа под учетной записью PetrPetrov:
может создавать пользователей
может создавать группы
может читать информацию о пользователях
может удалять пользователей
может удалять группы
может изменять членство в группах
может изменять пароли пользователей
доступа к папкам DataиBackupнет
|
|
|
|
Список возможных объектов, которые может создать под учетной записью Администратор |
Список возможных объектов, которые может создать под учетной записью PetrPetrov |
8 Рассмотреть свойства наследования разрешений доступа.
Придумать примеры целесообразного и нецелесообразного применения наследования.
Если задавать полномочия для родительской папки, то все файлы и папки, созданные в данной папке, наследуют эти полномочия. Имеется три способа, позволяющих прервать это наследование:
Удаление наследования на уровне родительской папки, то есть запрет наследования полномочий дочерними объектами.
Для изменения настройки по умолчанию родительского объекта, чтобы дочерние объекты не наследовали автоматически полномочия, надо рассмотреть детальные разрешения. Флажок «Применять эти разрешения к объектам и контейнерам только внутри этого контейнера» позволяет удалять наследование. Если данный флажок установлен, происходит применение выбранных прав доступа только к выбранному объекту. В противном случае, изменения будут распространяться на все дерево объектов, ниже текущего уровня.
Удаление наследования на уровне дочернего объекта.
Если просматривать полномочия по объекту, наследующему полномочия, то видно, что флажки для полномочий затенены и недоступны:
В данном случае нельзя изменять полномочия с затененным флажком, но все же можно вносить изменения в наследуемые полномочия. Можно, конечно, вносить изменения в полномочия родительского объекта и затем дочерний объект наследовал бы эти полномочия. Но в большинстве случаев это опасно. Можно выбирать противоположные полномочия (разрешить или запретить) для дочернего объекта. В результате создаются явные полномочия, которые замещают наследуемые полномочия. Например, я могу явно запретить запись в данную папку:
В дочернем объекте явное разрешение или запретдля определенных полномочий из родительского объекта.
Явно определяемые полномочия задаются автоматически ОС или вручную администратором. Наследуемые полномочия автоматически берутся из родительской папки как результат наследования. Явно заданные полномочия имеют приоритет по сравнению с наследуемыми полномочиями. Удобнее и безопаснее задать явные полномочия, чем отказаться от наследуемых полномочий.
Ранее была создана учетная запись IvanIvanovдля архивирования данных из папкиDate, которая открыта по чтению. Предположим, что в папкеDate\Logsнадо формировать отчеты по результатам архивирования. Таким образомIvanIvanovдолжен иметь право на запись в папку Logs. В этом случае я применил явное полномочие на запись в папку Logs.