Безопасность файловых ресурсов сети Windows 2000 (стр. 3 из 5)

2.2 Как устранить конфликт с разрешениями

Использование групп позволяет легко разрешать или запрещать доступ к файлам и папкам сразу многим пользователям. Однако добавление или удаление разрешения для группы часто создает проблемы. Одна из проблем – дать разрешение группе, тогда как некоторым ее участникам доступ должен быть запрещен.

При изменении степеней защиты следует помнить, что разрешения накапливаются. Следует просматривать список членов группы, чтобы быть уверенным, что разрешение получат только те, кому следует.

Использование групп для настройки разрешений. Поскольку разрешения накапливаются, следует проявлять осторожность при осуществлении защиты. Проще дать разрешение группе в целом, а не присваивать его в индивидуальном порядке каждому члену группы. Следует однажды дать разрешение группе, а затем добавлять или исключать пользователей из списка. Допустим, что группа Бухгалтерский отдел имеет степень доступа к файлам со счетами Modify (Изменить). Мария Ивановна работает в бухгалтерии и соответственно имеет разрешение на изменение файлов со счетами. Существует также группа пользователей Контролеры бухгалтерского отдела, у которой имеется разрешение на полный доступ. Если Марию Ивановну повысят, и она станет контролером, ее будет необходимо переместить из группы с разрешением изменять файлы в группу полного контроля. Если прямо изменить ее степень доступа, она не сможет автоматически получить все нужные ей разрешения. Более того, менять разрешения для отдельных пользователей в большой организации – занятие весьма трудоемкое.

Например, Юрий Петрович является членом группы Кадры и имеет разрешение Read (Чтение) для файла Январь.xls в папке Платежные ведомости. Если группе будет дано разрешение Write (Запись), Юрий Петрович получит его как член группы, а поскольку разрешения накапливаются, то разрешение читать файл также останется, и он сможет пользоваться двумя степенями доступа.

Запрещение определенного разрешения превосходит все выданные разрешения. Например, если группа Кадры имеет флажок в столбце Deny (Запретить) для каждого разрешения, Юрию Петровичу будет запрещен доступ к файлу даже в том случае, если для его учетной записи разрешен полный контроль.

Прежде чем использовать запрещение, следует понять, кого именно оно затронет. Например, у вас имеется секретный файл, который вы хотите предоставить своей группе с разрешением полного доступа, однако для повышения безопасности устанавливаете флажки Deny (Запретить) группы Everyone (Все). Поскольку ваша учетная запись входит в группу Everyone (Все), получается, что вы лишаете себя самого доступа к файлу. Теперь использовать файл не сможет даже его владелец (тот, кто его создал), однако он сможет изменить настройки.[1]

3. Защита папок

Установление разрешений для папок похоже на установление разрешений для доступа к файлам, однако существуют и отличия.

Одно из них состоит в том, что вкладка Security (Безопасность) в диалоговом окне свойств папки включает дополнительное разрешение List Folder Content (Список содержимого папки). В это разрешение включены те же пункты, что и в разрешение Read & Execute (Чтение и выполнение). Разница между этими разрешениями состоит в способе наследования. Разрешение List Folder Content (Список содержимого папки) наследуется папками, но не файлами, тогда как разрешение Read & Execute (Чтение и выполнение) наследуется и папками, и файлами. Наследование является наиболее значимой разницей между разрешениями для файлов и для папок.

Если оставлен установленный по умолчанию флажок Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект) со вкладки Security (Безопасность) в диалоговом окне файла или папки, разрешение передается от родительского объекта (папки, содержащей данную папку или файл) «по наследству». Если сам родительский объект имеет такую пометку, разрешение передается от его родительского объекта и т. д. У объекта может быть огромная коллекция наследованных и явно указанных разрешений (тех, у которых разрешения были изменены или добавлены). Наследованные разрешения обозначены в затененных полях столбцов Allow (Разрешить) и Deny (Запретить), остальные разрешения помещены в обычных полях.[4]

Однако, каждый пользователь или член группы, имеющий разрешение на полный контроль папки, может удалять любые файлы из этой папки независимо от разрешений для этих файлов.

Преимущество такой настройки состоит в том, что она позволяет изменять разрешения для одной папки и распространять их на все ее дочерние объекты, не изменяя разрешения в индивидуальном порядке. При изменении степени доступа пользователя к папке меняется и разрешение к файлам этой папки.

Изменить или перекрыть наследуемые разрешения можно следующими способами:

►Проведение изменений для родительского объекта данного объекта изменяет наследуемые разрешения данного объекта.

►Выбор противоположной настройки (Allow (Разрешить) или Deny(Запретить)) перекрывает разрешение, переданное по наследству.

► При снятии флажка Allow Inheritable Permissions From Parent To Propagate To This Object (Переносить наследуемые от родительского объекта разрешения на этот объект) появляется диалоговое окно «Безопасность».

Дальше имеется три пути:

- Щелчок на кнопке Copy (Копировать) позволяет копировать все унаследованные разрешения объекта, что превращает их в собственные разрешения. Разрешение остается, но оно не изменяется при изменении разрешения родительского объекта.

- Щелчок на кнопке Remove (Удалить) удаляет все унаследованные разрешения, остаются только установленные явно указанные разрешения.

- Щелчок на кнопке Cancel (Отмена) закрывает диалоговое окно без всяких изменений.

3.1 Изменение разрешений для файлов или папок

Несмотря на то, что гораздо удобнее давать разрешения пользователям, добавляя их к группе, у которой имеется определенная степень доступа, иногда некоторые пользователи нуждаются в особых разрешениях, которых нет ни у одной группы. В таких случаях следует вручную присваивать разрешение. Во всех остальных ситуациях следует обновлять разрешения всей группы.

Прежде чем изменять степень доступа всей группы, следует уточнить, кто именно в нее входит.

Для присвоения разрешения для файла или папки необходимо выполнить следующее:

1. Щелкнуть правой кнопкой мыши на папке или файле в Проводнике и выбрать пункт Properties (Свойства).

2. Щелкнуть на вкладке Security(Безопасность).

3. Если следует присвоить разрешение пользователю или группе, которые отсутствуют в списке Name (Имя), следует щелкнуть на кнопке Add (Добавить), чтобы появилось диалоговое окно Select Users, Computers, Or Groups (Выбор: Пользователи, Компьютеры или группы). Затем выделить нужного пользователя или группу, щелкнуть на кнопках Add (Добавить) и ОК(см.рис.3).

4. Для удаления пользователя или группы следует выделить их в списке Name (Имя) и щелкнуть на кнопке Remove (Удалить). В этом случае у пользователя или группы не останется разрешения на объект, если только пользователь или группа не являются участниками другой группы, которая остается в списке. Такие пользователи сохранят доступ к файлу или папке. (если следует запретить доступ, лучше не удалять пользователей из списка, а изменить разрешение на запрещение).

Рис.3

5. Выделить имя каждого пользователя в списке Name (Имя) и щелкнуть на Allow (Разрешить) или Deny (Запретить), чтобы вызвать соответствующее действие.

Если пользователю или группе необходимо присвоить особый набор разрешений, следует щелкнуть на вкладке Advanced (Дополнительно), чтобы открыть диалоговое окно «Элемент разрешения», а затем щелкнуть на кнопке View/Edit (Показать), чтобы указать индивидуальные настройки.

Если перед тем, как щелкнуть правой кнопкой мыши и выбрать пункт Properties (Свойства), вы выделили несколько папок или файлов, изменения повлияют на все выделенные объекты. Если существующие разрешения не одинаковы для всех выделенных объектов, появится соответствующее сообщение. Если щелкнуть на кнопке Yes (Да) в этом сообщении, система изменит разрешения для всех выделенных объектов на наследованные и удалит все явно указанные разрешения сделанные до того.

Именно здесь можно извлечь пользу из разрешений, полученных по наследству. Чтобы изменить разрешения для папки и всех папок и файлов, которые она содержит, необходимо выполнить следующие действия:

1. Вывести на экран вкладку Security (Безопасность) для папки и установить разрешения для всех пользователей, как было описано выше. Не следует щелкать на кнопке OK , чтобы не закрыть окно.

2. Щелкнуть на кнопке Advanced (Дополнительно).

3. На вкладке Permissions (Разрешения) в диалоговом окне Access Control Settings Reset Permissions On AllChild Objects And Enable Propagation Of Inheritable Permissions (Установить разрешения для всех дочерних объектов и разрешить их наследование) и щелкнуть на кнопке ОК.

После получения вашего подтверждения настройки в окне сообщения, система проследит все файлы в папке, все подпапки и все файлы во всех подпапках. Для всех этих объектов будут удалены указанные выше разрешения и присвоены “наследуемые” разрешения. Таким образом, у всех объектов окажутся те же разрешения, что и у родительской папки.[2]

4. Присвоение файла или папки

Каждый файл или папка в томе NTFS имеет владельца, то есть человека, который осуществляет контроль за разрешениями для объектов и присваивает их другим пользователям. Создатель нового файла является его началльным владельцем.