9 Обосновать необходимость применения свойства владения объектом.
Опробовать смену владельца объекта.
Пользователь, создавший папку или файл, является владельцем данного объекта. Владелец объекта обладает правами изменения NTFS-разрешений для этого объекта, даже если ему запрещены другие виды доступа. Администратор или пользователь с правом смены владельцем могут сменить владельца.
Администратор может восстановить доступ к объекту в случае утери доступа по причине неправильно назначенных разрешений или удаления учетной записи, имевшей исключительный доступ к данному объекту. Например, уволился единственный сотрудник, имевший доступ к файлу, администратор удалил его учетную запись, вследствие этого был полностью потерян доступ к файлу, восстановить доступ можно единственным способом — передача владения файла администратору или новому сотруднику.
Сменим владельца объекта. Создадим папку folderпод учетной записьюIvanIvanov. Под учетной записью Администратора сменим владельца папки наPetrPetrov:
Установим флаг «Заменить владельца подконтейнеров и объектов» чтобы стать владельцем всех подпапок и файлов. Смена владельца прошла успешно.
10 Реализовать сетевой доступ к разделяемым файловым ресурсам.
10.1 Назначить разрешения доступа и проверить защищенность файловых ресурсов при доступе по сети.
10.2 Реализовать сетевую печать и проверить разрешения доступа к принтеру.
Данный пункт был частично выполнен при настройке доступа учетной записи IvanIvanovк субъектам безопасностиData,BackupиLogs.
Организуем сетевой доступ к принтеру. В панели управления выберем апплет «Принтеры и факсы»,там выделим необходимый принтер и выберем пункт контекстного меню«Общий доступ».Перед нами появиться следующие окно конфигурации:
Установив переключатель “Общий доступ к данному принтеру”мы сделаем этот принтер сетевым. Для настройки параметров доступа перейдем на вкладку«безопасность».Мы увидим пользователей и группы которым предоставлен доступ и упрощенные параметры доступа для них. Чтобы настроить доступ более детально нажмем кнопку«дополнительно»и на вкладке разрешения выберем интересующего нас пользователя и нажмем кнопку«Изменить»:
Зайдем под доменной учетной записью IvanIvanov. Найдем этот принтер:
Так как печать была разрешена для всех пользователей, то проверим, возможно ли пользователю с учётной записью IvanIvanov выполнить печать. Как и следовало ожидать, печать по сети была произведена успешно.
Разрешения доступа на файлы и каталоги:
Право пользователя "Обход перекрестной проверки" (Bypass Traverse Checking).
Выдержка из справки Microsoft: Allows the user to pass through folders to which the user otherwise has no access while navigating an object path in any Microsoft Windows file system or in the Registry. This privilege does not allow the user to list the contents of a folder; it allows the user only to traverse its directories.
Это означает: если есть папка к которой пользователю доступ запрещён и в ней есть файл, доступ к которому явно разрешён для этого пользователя, то он не сможет зайти в эту папку (пролистать её содержимое), но сможет точно зная название файла, открыть его, используя полный путь вида папка\файл. По умолчанию bypass traversal cheking разрешено всем. Если запретить bypass traversal cheking для пользователей, то они не получат доступ к файлам на которые у них есть явные разрешения, если папка, в которой они хранятся, будет для них закрыта на доступ.
Проверка влияния разрешений безопасности на операции с файлами и каталогами.
Имя каталог: TestFold, файл: test.c
|
Права на файл |
Права на каталог |
Чтение (type) |
Запись (>) |
Удаление (del, erase, rmdir /S /Q) |
|
Полный доступ |
Полный запрет для пользователя |
Отказано в доступе. |
Отказано в доступе |
Папка не пуста |
|
Полный доступ |
Только разрешение на запись (на остальное - запрет) |
Отказано в доступе. |
Отказано в доступе. |
Папка не пуста. |
|
Полный доступ |
Только разрешение на запись (на остальное – ничего не выставлено) |
+ |
+ |
rmdir TestFold /S /Q + |
|
Запрет на запись (на остальное - разрешение) |
Только разрешение на запись (на остальное – ничего не выставлено) |
+ |
Отказано в доступе |
rmdir TestFold /S /Q + del test.c + |
|
полный запрет для пользователя |
Только разрешение на запись (на остальное – ничего не выставлено) |
Отказано в доступе. |
Отказано в доступе. |
rmdir TestFold /S /Q + del test.c + |
|
Разрешение на запись (на остальное - запрет) |
Запрет на чтение и на запись |
Отказано в доступе (открыть папку в графическом интерфейсе нельзя, но перейти в каталог можно, однако нельзя прочитать список файлов) |
Отказано в доступе
|
Папка не пуста. - del test.c Не удается найти D:\TestFold\test.c - |
Копировать каталог, на который у данного пользователя стоит полный запрет доступа, можно, и в него даже после копирования можно будет зайти, однако, он окажется пустым.
При копировании каталога с файлом, на который стоит полный запрет, выдается сообщение об отказе в доступе.
Проверка прав сетевого доступа и локальных прав доступа:
Локальные права доступа: Полный доступ
Сетевые права доступа: Полный доступ, Изменение, Чтение
Результат: Все действия разрешено производить
Локальные права доступа: Полный доступ
Сетевые права доступа: Чтение
Результат: Переименовать не удалось, сохранить
измененный файл не удалось
Локальные права доступа: Полный запрет
Сетевые права доступа: Полный доступ, Изменение, Чтение
Результат: Зайти на сетевой ресурс можно, но в нем не
видно файлов
Локальные права доступа: Разрешение на чтение
Сетевые права доступа: Полный доступ, Изменение, Чтение
Результат: Переименовать файл не удалось, сохранить
не удалось.
Локальные права доступа: Полный доступ
Сетевые права доступа: Чтение запрещено
Результат: Зайти на сетевой ресурс невозможно
(отказано в доступе)
Вывод:
Целью данной лабораторной работы была детальная настройка созданных учетных записей с помощью глобальных и локальных групп, делегирования административных полномочий на управление объектами, применения групповых политик. Для созданных учетных записей IvanIvanov и PetrPetrov был настроен доступ к объектам файловой системы, был реализован сетевой доступ к разделяемому сетевому ресурсу – принтеру.