Текст книги "Самоучитель системного администратора"
Автор книги: Александр Кенин
Жанр:
ОС и Сети
сообщить о нарушении
Текущая страница: 13 (всего у книги 39 страниц) [доступный отрывок для чтения: 14 страниц]
&
И
|
ИЛИ
!
НЕТ
ПРИМЕЧАНИЕ
Некоторые объекты допускают использование поиска по маске (*); в общем случае
наличие такой возможности следует уточнить по документации.
Если в запросе необходимо использовать символы: "(", ")", "*" и NUL, то они долж-
ны быть записаны через escape-последовательность так, как указано в табл. 4.2.
Таблица 4.2. Escape-последовательности
Символ
Записывается как
*
2a
(
28
)
29
5c
NUL
�0
ПРИМЕЧАНИЕ
Аналогично через escape-последовательность записываются двоичные данные с раз-
биением по два байта.
Определенную сложность при первых обращениях к операциям поиска вызывает
знание необходимого атрибута, который должен быть использован в операции.
Можно порекомендовать просмотреть все атрибуты объекта этого же типа, выбрать
нужное свойство и использовать его в запросе. Это можно сделать и в самой про-
грамме ldp.exe, если включить отображение вывода в результате поиска всех атри-
бутов. Для этого следует открыть окно поиска, нажать кнопку Option и в строку
перечня атрибутов ввести звездочку (*).
134
Глава 4
ПРИМЕЧАНИЕ
Чтобы вернуться к выводу сокращенного списка атрибутов, следует в данной строке
перечислить (через точку с запятой) названия тех атрибутов, которые должны отобра-
жаться на экране по результатам поиска.
Покажем на небольшом примере, как можно быстро в домене найти пользователя
по второму почтовому адресу.
Дополнительные адреса электронной почты, которые присвоены пользователю,
перечисляются в атрибуте proxyaddresses. Дополним перечень отображаемых атри-
бутов этим значением (допишем его в строку Attributes после точки с запятой) и
снимем флажок в параметре Attributes, чтобы программа поиска вывела на экран
значения атрибутов. Установим в окне настройки фильтра поиска в качестве
начальной точки имя нашего домена, а критерием поиска выберем следующую
строку:
(&((objectclass=user)(proxyaddresses=* адрес*)))
Она означает, что мы хотим искать только пользователей, у которых один из адре-
сов электронной почты содержит символы адрес (в любом месте адреса). Выберем
зону поиска по всей базе (SubTree). Выполнив поиск, мы получим на экране необ-
ходимые сведения.
Команда ldifde
Большая часть системных администраторов предпочитает использовать для конфи-
гурирования серверов текстовые файлы, поскольку с ними удобнее работать, чем с
двоичной информацией. Для каталогов существует стандарт LDIF (LDAP
Interchange Format, определен в документе RFC 2849), который определяет правила
представления данных каталога в текстовом файле.
LDIF-файл представляет собой текстовые строки, в которых приведены атрибуты
объектов, их значения и директивы, описывающие способы обработки этой инфор-
мации. В Windows имеется утилита ldifde (запускаемая одноименной командой),
которая выполняет такое преобразование данных из службы каталогов, используе-
мой в Windows, в текст и обратно. Ключи утилиты позволяют уточнить точку под-
ключения, глубину выборки, указать фильтры операции и т. п.
На эту утилиту обычно обращается мало внимания, хотя она может существенно
упростить многие административные задачи. Обычно с помощью ldif-файлов вы-
полняется модификация схемы каталога при установке новых приложений.
Предположим, что вам необходимо откорректировать параметры пользовательских
учетных записей, например, указать для всех работников некоторого подразделения
в свойствах учетных записей название их отдела. Выполнение операции "в лоб" —
последовательное открытие учетных записей и вставка нужного описания в соот-
ветствующее поле – весьма трудоемко и нерационально при значительном числе
сотрудников.
С помощью же данной утилиты можно выполнить экспорт в текстовый файл пара-
метров учетных записей пользователей только для заданного подразделения (уста-
Информационные системы предприятия
135
новив фильтр по данному OU), после чего с помощью обычного текстового редак-
тора одной операцией поиска и замены откорректировать значения нужных атрибу-
тов. В завершение достаточно выполнить импорт полученного файла. В результате
атрибуты для всех записей будут откорректированы практически за несколько
шагов.
ПРИМЕЧАНИЕ
Такая операция также весьма просто выполняется с помощью сценария Visual Basic.
Достаточно подключиться к нужному контейнеру, установить фильтр для выборки
только объектов типа "пользователь" и запустить цикл для каждого элемента данного
типа в этом контейнере. Однако приведенная схема не требует от администратора
знания сценариев и может быть выполнена буквально в течение нескольких минут.
Ранее мы рассматривали пример, как с помощью команды dsquery получить список
компьютеров, длительное время не работавших в составе сети. Приведем второй
способ, как можно получить в файл такой список с помощью команды ldifde:
ldifde -f < имя_файла>.txt -n -d "dc=< имя_домена>,dc=ru" -r
"(&(objectcategory=computer)(|(lastlogon<=127296891259257277)(!lastlogon=*)))" -
p SubTree -l lastlogon
В фильтре использовано представление даты в машинном формате. Такие значения
легко можно получить при помощи простых операций, например:
Dim Time1 As System.DateTime = System.DateTime.Now().AddMonths(-2)
Dim FileTime1 = Time1.ToFileTime
Переменная FileTime1 будет иметь значение, соответствующее дате двухмесячной
давности. Необходимо учитывать, что компьютеры, которые не перезагружались в
течение этого периода, также будут иметь "старые" значения времени входа в сис-
тему. Фильтр также выводит имена компьютеров, для которых отсутствует значе-
ние параметра времени входа в систему.
Представленный пример несколько искусственен, поскольку результат может быть
получен более простым способом. Но он приведен именно для того, чтобы проил-
люстрировать существование различных возможных вариантов действий админи-
страторов.
Делегирование прав
Традиционно системный администратор объединял в себе все текущие функции
управления доменом. Он создавал и удалял пользователей, добавлял компьютеры в
домен, следил за членством в группах и т. п. Большинство таких рутинных опера-
ций без ущерба для функционирования сети может быть переложено на других со-
трудников. Например, новые учетные записи пользователей в соответствующем
подразделении могут создаваться сотрудником кадровой службы при оформлении
приема на работу; компьютеры в домен добавляться сотрудниками технической
службы сервиса; разработка групповых политик, предусматривающих установку
специализированных программ, вестись техническими специалистами соответст-
вующего отдела; добавление пользователей в группы безопасности – сотрудника-
136
Глава 4
ми подразделений безопасности и т. п. При этом за администратором предприятия
сохранились бы все руководящие функции для возможных экстренных вмеша-
тельств, но "освободились руки" для подготовки и реализации стратегических ре-
шений.
Для того чтобы осуществить на практике такую передачу прав, которую принято
называть делегированием, администратору достаточно изменить разрешения безо-
пасности на соответствующий контейнер. Так, если необходимо делегировать ко-
му-либо право создания пользователей, то этому сотруднику следует дать право на
создание объекта типа "пользователь" в заданном подразделении. При этом пере-
чень возможных прав доступа для контейнера является настолько подробным, что
администратор без труда может настроить объем делегирования (например, дать
право добавления в домен компьютеров, но лишить возможности изменения или
удаления таких объектов).
Делегирование прав создания учетных записей позволит более тесно "связать" кад-
ровые записи и записи служб каталогов. Учетная запись в этом случае может иметь
только минимальные начальные права для входа в систему. Предоставление даль-
нейших прав по доступу к ресурсам (изменение членства в группах) могут осуще-
ствлять менеджеры соответствующих групп.
Большинство утилит графического управления объектами службы каталогов со-
держат в меню команду делегирования прав. Эта команда вызывает мастер, кото-
рый меняет список прав доступа (рис. 4.7). Запуск данного мастера является самым
простым способом делегирования прав на объекты. Но при этом администратору
следует учитывать два момента.
Во-первых, всегда можно более точно откорректировать права доступа, если обра-
титься к редактированию параметров безопасности контейнера напрямик.
Рис. 4.7. Мастер операций предлагает определить объем делегирования прав
Информационные системы предприятия
137
Во-вторых, хотя мастер делегирования прав присутствует в системе, но мастера
отзыва прав не предусмотрено. Иными словами, если, например, необходимо пе-
редать право управления от одного сотрудника другому, то администратору при-
дется вначале вручную исключить первого из списка доступа.
Просмотр и восстановление
удаленных объектов каталога
Удаленные объекты каталога (например, учетная запись пользователя или компью-
тера) в домене Windows сначала помещаются в специальный контейнер (аналог
Корзины), в котором они сохраняются по умолчанию 60 суток. В течение этого
времени данные объекты можно восстановить.
ПРИМЕЧАНИЕ
Этот интервал можно изменить, если ввести, например с помощью ADSI Edit, новое
значение атрибута tombstoneLifetime для объекта cn=Directory Service,
cn=Windows NT,cn=Services, cn=Configuration,
Администратор может использовать и утилиту для автоматического восстановле-
ния удаленных объектов каталога (см. http://www.sysinternals.com/Utilities/
AdRestore.html).
Учетные записи и права
Безопасность в операционных системах базируется на понятиях учетной записи и
предоставляемых ей прав.
Понятие учетной записи
Программа, которая выполняется на компьютере с установленной операционной
системой Windows, всегда запущена от имени какого-либо пользователя и обладает
данными ему правами. Если вы начали работу на компьютере, введя свое имя и па-
роль, то любая задача: графический редактор или почтовый клиент, дефрагмента-
ция диска или установка новой игры – будет выполняться от этого имени. Если
запущенная программа вызывает в свою очередь новую задачу, то она также будет
выполняться в контексте вашего имени. Даже программы, являющиеся частью опе-
рационной системы, например служба, обеспечивающая печать на принтер, или
сама программа, которая запрашивает имя и пароль у пользователя, желающего
начать работу на компьютере, выполняются от имени определенной учетной записи
(Система). И так же, как программы, запускаемые обычным пользователем, эти
службы имеют права и ограничения, которые накладываются используемой учет-
ной записью.
Операционная система "различает" пользователей не по их имени (полному или
сокращенному), а по специальному уникальному номеру (идентификатору безо-
пасности – Security Identifier – SID), который формируется в момент создания
новой учетной записи.
138
Глава 4
ПРИМЕЧАНИЕ
Существуют многочисленные утилиты, которые позволяют по имени входа пользова-
теля определить его SID и наоборот. Например, getsid. В статье KB276208 базы зна-
ний Microsoft приведен код на Visual Basic, который позволяет выполнить запросы
SID/имя в обычном сценарии. Код хорошо комментирован и легко может быть приме-
нен без поиска специализированных утилит. Можно также установить на компьютер
утилиты Account Lockout and Management Tools (см. рис. 4.8), которые добавляют к
оснастке управления пользователями в домене еще одну вкладку свойств, на которой
в том числе отображается и SID пользователя.
Поэтому учетные записи можно легко переименовывать, менять любые иные их
параметры. Для операционной системы после этих манипуляций ничего не изме-
нится, поскольку такие операции не затрагивают идентификатор пользователя.
ПРИМЕЧАНИЕ
При создании новой учетной записи обычно определяются только имя пользователя и
его пароль. Но учетным записям пользователей – особенно при работе в компьютер-
ных сетях – можно сопоставить большое количество различных дополнительных па-
раметров: сокращенное и полное имя, номера служебного и домашнего телефонов,
адрес электронной почты и право удаленного подключения к системе и т. п. Такие па-
раметры являются дополнительными, их определение и использование на практике
зависит от особенностей построения конкретной компьютерной сети. Эти параметры
могут быть использованы программным обеспечением, например, для поиска опреде-
ленных групп пользователей (см., например, группы по запросу).
Стандартные учетные записи имеют идентичные SID (перечень Well Known
Security Identifiers приведен, например, в документе KB243330). Например,
S-1-5-18 – это SID учетной записи Local System; S-1-5-19 – учетной записи
NT AuthorityLocal Service; SID S-1-5-20 "принадлежит" учетной записи
NT AuthorityNetwork Service и т. д. Учетные записи пользователя домена "по-
строены" по такой же структуре, но обычно еще более "нечитаемы". Вот пример
реального доменного SID:
S-1-5-21-61356107-1110077972-1376457959-10462
Если при изменении имени входа пользователя в систему ничего "существенного"
для системы не происходит – пользователь для нее не изменился, то операцию
удаления учетной записи и последующего создания пользователя точно с таким же
именем входа операционная система будет оценивать как появление нового пользо-
вателя. Алгоритм формирования идентификатора безопасности пользователя таков,
что практически исключается создание двух учетных записей с одинаковым номе-
ром. В результате новый пользователь не сможет, например, получить доступ к
почтовому ящику, которым пользовался удаленный сотрудник с таким же именем,
и не прочтет зашифрованные им файлы и т. п.
Локальные и доменные учетные записи
При работе в компьютерной сети существуют два типа учетных записей. Локаль-
ные учетные записи создаются на данном компьютере. Информация о них хранится
локально (в локальной базе безопасности компьютера) и локально же выполняется
аутентификация такой учетной записи (пользователя).
Информационные системы предприятия
139
Доменные учетные записи создаются на контроллерах домена. И именно контрол-
леры домена проверяют параметры входа такого пользователя в систему.
Чтобы пользователи домена могли иметь доступ к ресурсам локальной системы,
при включении компьютера в состав домена Windows производится добавление
группы пользователей домена в группу локальных пользователей, а группы адми-
нистраторов домена – в группу локальных администраторов компьютера. Таким
образом, пользователь, аутентифицированный контроллером домена, приобретает
права пользователя локального компьютера. А администратор домена получает
права локального администратора.
Необходимо четко понимать, что одноименные учетные записи различных компь-
ютеров – это совершенно различные пользователи. Например, учетная запись, соз-
данная на локальном компьютере с именем входа Иванов, и доменная учетная за-
пись Иванов – это два пользователя. И если установить, что файл доступен для
чтения "локальному Иванову", то "доменный Иванов" не сможет получить к нему
доступ. Точнее, доменный Иванов сможет прочесть файл, если его пароль совпада-
ет с паролем локального Иванова. Поэтому если на компьютерах одноранговой
сети завести одноименных пользователей с одинаковыми паролями, то они смогут
получить доступ к совместно используемым ресурсам автономных систем. Но по-
сле изменения одного из паролей такой доступ прекратится.
Рис. 4.8. Дополнительные параметры учетной записи
140
Глава 4
После установки пакета Account Lockout and Management Tools в свойствах учет-
ной записи отображается вкладка, на которой администратор может увидеть в том
числе и количество неудачных попыток входа в систему (Bad Password Count)
(рис. 4.8). Данную информацию можно получить и выполнив непосредственный
запрос к службе каталогов. В качестве фильтра можно указать следующую строку:
(&(objectclass=user)(!(objectclass =computer))(!(badPwdCount=0))
(badPwdCount=*))
При необходимости вы можете создать такой запрос, сохранить его в оснастке
управления AD и получать сведения о результатах подключения к домену без уста-
новки упомянутого пакета.
Группы пользователей
Разные пользователи должны иметь разные права по отношению к компьютерной
системе. Если в организации всего несколько сотрудников, то администратору не
представляет особого труда индивидуально распределить нужные разрешения и
запреты. Хотя и в этом случае возникают проблемы, например, при переходе со-
трудника на другую должность администратор должен вспомнить, какие права бы-
ли даны ранее, "снять" их и назначить новые, но принципиальной необходимости
использования каких-либо объединений, групп пользователей не возникает.
Иная ситуация в средней организации. Назначить права доступа к папке для не-
скольких десятков сотрудников – достаточно трудоемкая работа. В этом случае
удобно распределять права не индивидуально, а по группам пользователей, в ре-
зультате чего управление системой существенно облегчается. При смене должно-
сти пользователя достаточно переместить его в другую группу. При создании но-
вых проектов права доступа к ним будут назначаться на основе существующих
групп и т. п. Поскольку книга посвящена, в первую очередь, работе в составе ком-
пьютерной сети, уделим особое внимание именно группам, создаваемым в доменах
Windows.
Исторически сложилось так, что существует несколько типов групп. Связано это
в основном с необходимостью совместимости различных версий операционных
систем.
Во-первых, есть группы, которым, как и пользователям, присваивается идентифи-
катор безопасности. Это означает, что вы можете назначать права доступа, основы-
ваясь не на индивидуальном членстве, а сразу всей группе пользователей. И есть
группы, которые не имеют такого SID. Например, Distribution Group. Объясняется
это наличием групповых операций, для которых не нужно контролировать пара-
метры безопасности. Например, создание группы пользователей для распростране-
ния программного обеспечения или группы для централизованной рассылки почты.
Отсутствие SID не мешает в этом случае правильному функционированию про-
грамм, но существенно снижает нагрузку операционной системы.
Во-вторых, группы могут различаться по области действия. Например, существуют
локальные группы, глобальные и универсальные.
Информационные системы предприятия
141
В-третьих, группы могут иметь постоянных членов (каждый пользователь назнача-
ется в соответствующую группу администратором) или основываться на выборке
пользователей по каким-либо правилам. Например, можно создать группу, в кото-
рую будут включаться пользователи с записью в их свойствах, что они работают в
"отделе 22". Изменилось соответствующее поле в свойствах пользователя – и при
очередных операциях с данной группой система проведет выборку пользователей,
"увидит" новых членов группы и выполнит необходимые действия. Обратите вни-
мание, что такие группы с динамическим членством не имеют SID, т. е. не могут
быть использованы для контроля прав доступа.
ПРИМЕЧАНИЕ
В Windows пользователь "получает" список групп, в которых он состоит, при входе
в систему. Поэтому если администратор сменил у пользователя членство в группах,
то это изменение начнет действовать только после нового входа в систему. Если
пользователь должен быстро получить доступ к ресурсам, ему следует завершить ра-
боту в системе (log off) и сразу же вновь войти в нее (log on).
Возможные члены групп. Области применения групп
Универсальные группы появились с выходом ОС Windows 2000. В смешанном ре-
жиме допустимы были только группы Distribution Group, при переходе в основной
режим стало возможным создавать и универсальные группы безопасности.
Универсальные группы могут включать учетные записи (и другие группы) из любо-
го домена предприятия и могут быть использованы для назначения прав также
в любом домене предприятия.
Глобальные группы могут включать другие группы и учетные записи только из
того домена, в котором они были созданы. Но группа может быть использована при
назначении прав доступа в любом домене.
Локальные группы могут включать объекты как из текущего домена, так и из дру-
гих доменов. Но они могут быть использованы для назначения прав только в те-
кущем домене.
В группы можно включать как учетные записи пользователей и компьютеров, так и
другие группы. Однако возможность вложения зависит от типа группы и области ее
действия (табл. 4.3).
Таблица 4.3. Группы пользователей
Группа
Включает объекты
Допустимые вложения групп
Локальная
Пользователи
Универсальные и глобальные группы
любого домена
Локальная безопасности
Пользователи
Глобальные группы
Глобальная
Пользователи
Глобальные группы этого же домена
Глобальная безопасности
Глобальная группа
Нет
Универсальная
Пользователи
Универсальные и глобальные группы
и компьютеры
любого домена
142
Глава 4
Начиная с Windows 2000 с режима native mode, администраторы могут изменять
типы групп, а именно преобразовывать группу безопасности в Distribution Group,
и наоборот. Возможна также смена области действия группы с универсальной на
доменную.
Обратите только внимание, что наличие вложенных групп в некоторых случаях
может препятствовать преобразованию типа родительской группы.
Ролевое управление
Современные прикладные программы предусматривают работу с данными пользо-
вателей с различающимися функциональными обязанностями. Для регулирования
прав доступа к возможностям программы принято использовать ролевое управле-
ние. Роль представляет собой предварительно настроенный набор прав пользовате-
ля, выполняющего определенные обязанности (директор, главный бухгалтер, кас-
сир и т. п.). При подключении нового пользователя такой системы администратору
достаточно предоставить ему тот или иной предварительно подготовленный набор
прав.
Прикладные программы могут создавать роли как группы безопасности в домене,
так и как локальные группы на том компьютере, где работает программа. Админи-
стратору остается только включить необходимых пользователей (или группу поль-
зователей, если таковая уже создана) в состав соответствующей роли.
Результирующее право: разрешить или запретить?
При назначении прав можно определить как разрешение, так и запрещение на вы-
полнение какой-либо операции. Если пользователь входит в несколько групп, то
каждая из них может иметь свой набор разрешений и запретов для данной опера-
ции. Как формируется итоговое разрешение, особенно если разрешения различных
групп противоречат друг другу?
Первоначально проверяется, существуют ли запреты на выполнение операций для
какой-либо из групп, в которые входит пользователь, и для самой учетной записи.
Если хотя бы для одной группы определен запрет доступа, то система сформирует
отказ в операции. Затем проверяется наличие разрешений на доступ. Если хотя бы
для одной группы будет найдено разрешение, то пользователь получит право вы-
полнения желаемого действия.
В соответствии с описанным правилом обработки, если пользователь как член
одной группы имеет разрешение на выполнение действия, а как член другой груп-
пы – запрет, то результатом явится отказ в выполнении операции.
Следует быть крайне осторожным при назначении явных запретов. Очень легко
(если на компьютере используется сложная структура групп) запретить даже само-
му себе выполнение тех или иных операций.
ПРИМЕЧАНИЕ
Существует единственное отступление от данного принципа преимущества запрета
перед разрешением, известное автору. Это определение итогового разрешения на
основе наследуемых и явно указанных прав, которое описано в разд. "Наследуемые
разрешения: будьте внимательны" далее в этой главе.
Информационные системы предприятия
143
Разрешения общего доступа и разрешения безопасности
Для объектов, предоставляемых в совместное использование, существуют два типа
разрешений. Это разрешения общего доступа и разрешения безопасности. Разре-
шения общего доступа определяют право на использование данного ресурса при
сетевом подключении. Если у пользователя нет такого права (или это действие
запрещено явно), то он просто не сможет подключиться к запрашиваемому ре-
сурсу.
Разрешение безопасности – это разрешение на уровне прав доступа файловой
системы. Оно существует при использовании файловой системы типа NTFS и про-
веряется независимо от разрешений общего доступа. Иными словами, если пользо-
вателю разрешено подключаться к этому ресурсу по сети, но доступ к файлам за-
прещен разрешениями безопасности, то в итоге работа с такими файлами будет не-
возможна. Если на диске с ресурсами использована файловая система FAT
(FAT32), то доступ по сети будет контролироваться только разрешениями общего
доступа.
ПРИМЕЧАНИЕ
Типичной ошибкой пользователей, связанной с наличием двух типов разрешений, яв-
ляется предоставление в совместное использование папок, находящихся на рабочем
столе. После предоставления общего доступа к таким папкам другие пользователи не
могут открыть файлы и т. п. Связана эта ошибка с тем, что рабочий стол – это папка
в профиле пользователя. А разрешение безопасности на профиль пользователя по
умолчанию разрешает доступ к нему только этому пользователю и администратору
компьютера. Поэтому для возможности работы других пользователей с такой общей
папкой необходимо добавить для них разрешения безопасности на уровне файловой
системы.
Поскольку эти разрешения в определенной степени дублируют друг друга (с точки
зрения результата), то на практике их обычно комбинируют в зависимости от же-
лаемых условий доступа.
Права доступа ко всем объектам сетевого ресурса одинаковы для всех пользова-
телей.
В этом случае разрешения общего доступа и разрешения безопасности выстав-
ляются идентичными для всех заданных групп пользователей.
Права доступа различны для различных объектов сетевого ресурса.
Часто бывает так, что к одним файлам нужно предоставить полный доступ, а
другие разрешить только просматривать и т. д. В этом случае можно настроить
права доступа следующим образом.
Разрешения общего доступа устанавливаются по максимально возможным пра-
вам. Так, если часть файлов должна быть доступна только для чтения, а часть и
для редактирования, то разрешения общего доступа следует установить как
«полный доступ» для всех групп пользователей, которым ресурс должен быть
доступен по сети. А разрешениями безопасности нужно выполнить точную на-
стройку: установить разрешение только для чтения для одних папок, полный
144
Глава 4
доступ – для других, запретить доступ к определенным папкам для некоторых
групп пользователей и т. д.
Такой подход упростит структуру ресурсов сети при сохранении всех необхо-
димых разрешений.
Наследуемые разрешения: будьте внимательны
По умолчанию вновь создаваемые ресурсы наследуют свои разрешения безопасно-
сти от родителей. Так, при сохранении нового файла его разрешения будут уста-
новлены по разрешениям той папки, в которой создается файл.
При необходимости изменения прав внутри такой структуры наследования легко
можно добавить новые права для любых учетных записей. С исключением дело
обстоит несколько сложнее. Сначала необходимо разорвать цепочку наследования
(в диалоговом окне, открывающемся при нажатии кнопки Дополнительно в свой-
ствах безопасности, снять флажок Разрешить наследование разрешений от ро-
дительского объекта... ) и отредактировать список установленных прав.
Назначение разрешений файловой системы обычно не представляет особой слож-
ности. При этом наиболее частый вопрос, который возникает у пользователей, —
это изменение прав доступа, когда в свойствах объекта они отображаются квадра-
тиками с серым фоном.
Такое отображение свидетельствует о том, что разрешения на данный объект на-
следуются от родительского. Для того чтобы изменить их, необходимо данную
связь разорвать. Эта операция выполняется через кнопку Дополнительно – доста-
точно снять уже упоминавшийся флажок Разрешить наследование... .
Разрешения, которые добавлены к списку унаследованных, называют явно уста-
новленными. Явно установленные разрешения имеют преимущество перед унасле-
дованными. При этом не работает принцип верховенства запрета. Если унаследова-
но право запрета на доступ, а явно задано разрешение, то в результате пользователь
сможет выполнять операции с файлами (рис. 4.9).
В свойствах файла отмечены как запреты (унаследованы от родительской папки,
выделены серым фоном флажка выбора), так и явно назначенные полные права
владения. В этом случае будет действовать явное назначение прав. Пользователь
сможет выполнять с файлом любые операции, несмотря на наличие запрета.
В такой ситуации результирующие права неверно отображались самой системой:
было показано полное отсутствие прав, несмотря на наличие разрешения полного
доступа.
ПРИМЕЧАНИЕ
Администратору следует внимательно отнестись к такому правилу, поскольку это мо-
жет привести к неучитываемым возможностям доступа к данным. Причем на компью-
тере автора окно отображения результирующих прав доступа неверно показывало
существующие разрешения: права доступа к файлу не были показаны, хотя они фак-
тически имелись.
Информационные системы предприятия
145
Рис. 4.9. Наследованные и явно заданные разрешения
противоречат друг другу
Восстановление доступа к ресурсам
В условиях предприятия нередки ситуации, когда необходимо получить доступ
к ресурсам, разрешения на использование которых не существует. Это могут быть
файлы уволившегося пользователя или ресурсы, ставшие недоступными для всех
пользователей вследствие ошибки, произошедшей при наложении разрешений.
Для разрешения подобных ситуаций используется специальное право – право вла-
дельца объекта.
Владелец объекта – эта та учетная запись, от имени которой создан данный объ-
ект. У владельца объекта есть неотъемлемое право – назначать разрешения безо-
пасности. Иными словами, если пользователь создал файл, а потом администратор
запретил ему с помощью разрешений безопасности доступ к этому файлу, то поль-
зователь как владелец этого файла сможет в любой момент восстановить работу
с данным ресурсом (или предоставить право работы другому пользователю).
Владельца объекта можно заменить. По умолчанию возможностью присвоить себе
право владельца объекта обладают только администраторы.
Для получения доступа к объектам в общем случае администратор должен выпол-
нить следующие действия:
1. Сначала стать владельцем этих объектов (выполняется с помощью кнопки До-
полнительно в настройках безопасности).
2. Воспользовавшись правом владельца объекта, установить для него желаемые
