Методы ограничения доступа.

Доступ к различным системным ресурсам регулируется набором разрешений. К каждому объекту приписан список таких разрешений. Каждое разрешение относится либо к отдельному пользователю, либо к группе пользователей и разрешает или запрещает (allow – deny) им определенные действия с ресурсом. На томе NTFS вы можете задавать разрешения и для локальных и для доменных пользователей. На томе FAT (в связи с тем, что файловая система не располагает возможностью ограничивать доступ пользователей) можно задавать ограничения только для сетевых пользователей, так как эти ограничения реализует контроллер домена.

Сначала вам следует хорошо разобраться с теми ограничениями, которые реализует контроллер домена, а затем разобраться с теми, которые реализует файловая система сервера разделяемого ресурса. Контроллер домена обращается к так называемым «Разрешениям общего доступа». Их немного, всего три: разрешение читать, изменять и полный доступ. Эти разрешения выполняются для сетевых пользователей. Поэтому возможны отличия в правах для сетевого и локального пользователя. На томе FAT, очевидно, для локального пользователя все доступно. Поэтому необходимо указывать максимальные ограничения для сетевых пользователей. Напротив, на томе NTFS, имеющем функцию проверки прав доступа, лучше указать для сетевых пользователей полный доступ и, дополнительно, на компьютере – сервере разделяемого ресурса – указать подробнее список пользователей и групп с разрешениями.

Попытайтесь проверить этот факт следующим образом. Сначала выделите в общий доступ том с файловой системой FAT, например, гибкий диск (А). Сетевое имя задайте следующим образом: «А_имя компьютера». Таким образом, вы все сможете получить доступ по сети к дисководам на соседних компьютерах (и на свой собственный тоже). Обратите внимание на то, что закладки «Безопасность» для этого общего ресурса просто нет! Задайте для разных дисководов разные права и проверьте, что вы можете сделать с таким сетевым ресурсом. Список возможных действий приведен ниже (не все можно выполнить на томе NTFS).

Действия, выполняемые с папками и файлами:

• чтение папки, файла,

• изменение папки: добавление, удаление, переименование файлов,

• изменение файла,

• просмотр атрибутов,

• изменение атрибутов,

• запуск выполняемого файла,

• смена разрешений,

• смена владельца.

Далее следует подробно рассмотреть, какие возможности по ограничению доступа дает файловая система NTFS.

Разрешение (или запрет) может относиться:

- к одному объекту в иерархии (к папке);

- к подпапкам,

- к файлам из папки,

- к произвольной комбинации первых трех.

Чтобы управлять доступом к целому дереву объектов используется понятие наследования разрешений. Для управления наследованием используются три флага:

1. allow inheritable permissions to propagate... (разрешить переносить на данный объект наследуемые разрешения от вышележащих). Если данный флаг установлен, то описываемый объект имеет только те разрешения, которые получены им от вышележащих, если нет - то собственные, индивидуально установленные. В момент сброса флага система спрашивает, какие установить индивидуальные разрешения: копию унаследованных или никакие.

2. reset permissions on all child objects ... (сброс особо установленных разрешений для дочерних объектов, то есть установить для всех нижележащих объектов указанные в настоящий момент разрешения флаг №1). Это действие выполняется только 1 раз при установке флага, после чего флаг всегда сбрасывается.

3. apply this permissions to objects... (применять это разрешение ко всем нижележащим объектам) - делает описываемое разрешение наследуемым, т.е. тем, которое относится и к нижележащим объектам. Флаг №2 переносит вниз только разрешения, помеченные флагом №3.

Вернемся, наконец, к задаче, сформулированной выше (о сложном доступе к папкам). Попробуйте устроить следующую архитектуру каталогов: на верхнем уровне расположена папка Р11. Под ней расположены папки Р21, Р22, Р23. Под папкой Р21 расположены папки Р31, Р32, Р33. Под папкой Р31 расположены папки Р41, Р42, Р43. А теперь сделайте так, чтобы к папке Р11 доступ был, вход в папки Р21, Р22, Р23 был запрещен, то есть папки Р31, Р32, Р33 и Р42, Р43 вообще не видимы. А к папке Р41 был полный доступ. Это достаточно легко реализовать через механизм общих папок.