15. Особенности наследования

Диктовать таблицу

NT(статическое)

Win200(динамическое)

1) каждый объект получал свою копию SACLот своей род папки в момент создания объекта 2) DACLв виде 3х отдельных списков: - эффективных прав доступа самого объекта контейнерного - наследуемого контейнерного объекта, т.е. вложенной папки - наследуемого простыми объектами 3) При копи или перемещении создается новый объект, при этом вложенные папки наследуют списки КД для подпапок под папки, а файлы наследуют списки КД для созданных в этой папке файлов 4) если лог диск перемещают, то новые файлы не создаются: наследования нет, атрибуты сохраняются, права доступа сохраняются

1) можно авто распространять от род объекта на все порожденные файлы, при этом явно назначенные права доступа на дочерние объекты сохраняются 2) вначале располагаются явные разрешения, затем наследуемые. При чем, сначала запрещенные, потом разрешенные 3) Управлять и блокировать наследование можно на род и дочернем уровне 4) (Виста) есть возможность управлять доступам к файлам и папкам на жестком диске и сменном носителе

В NT действовала модель статического наследования. Каждый объект получал копию списка контроля доступа от своей родительской папки в момент создания объекта. На основе флагов наследования список контроля доступа объекта контейнера можно представить в виде трех отдельных списков:

1. Эфф. ACL самого объекта (Effective Acl – Eff ACL)

2. Списка наследуемого вложенными папками (Container Internet Acl – CI ACL)

3. Списка наследуемого простыми объектами (Object Internet ACL - OI Acl)

Вводилось следующее правило

Операции копирования и перемещения между разделами (с диска на другой) приводят к созданию нового файла или папки. При этом вложенные папки наследуют список контроля доступа для подпапок родительской папки. Файлы же наследуют ACL, установленный для создаваемых в этой папке файлов. При перемещении внутри этого раздела, новые файлы и папки не создаются, значит нет и наследования, сохраняется старое разрешение NTFS. Таким образом, при копировании файлов с секретной информацией в общедоступные папки разрешения не сохраняются. ЗЛО могут этим воспользоваться. Но можно изменить права сразу после копирования, либо перенести сначала файл в новый каталог, а потом скопировать его обратно в исходный каталог, все сохранится.

При осуществлении наследования объект становится независим и изменение родительского объекта не влияет на порожденный объект пока не установится флаг “разрешение для подкаталогов или для существующих файлов”. Флаги приведут к принудительному копированию родительского ACL на все дочерние объекты. Перезапись родительского ACL ликвидирует все изменения ниже от родительского объекта.

Начиная с 2000 разрешение автоматически распространяется от родительского объекта на все порожденные файлы и объекты. При изменении ACL родительского каталога все изменения автоматически копируются на все дочерние объекты. Но явно назначенные права остаются без изменений. В ACL сначала располагается не унаследованное разрешение, явное, лишь потом унаследованное, причем для каждой группы сначала располагается оповещающая запись. Блокировать наследование можно как на дочернем, так и на родительском уровне. В первом случае можно снять опцию разрешения переноса наследуемых разрешений от родительского объекта, можно либо создать копию старых разрешений, либо разрешения данные. На родительском уровне в окне элемента записи можно определить к чему относится эта запись. А окне параметров доступа есть флаг - заменить разрешения для всех начальных объектов.

Начиная с висты появилась возможность управлять доступом к сменным носителям с помощью средств групповой политики. Можно установить блок съемных или разрешить в некоторых местах. Можно ставить блок на отдельные типа носителей.