Соответствие основных и индивидуальных разрешений

Индивидуальные разрешения	Основные разрешения
	Полный доступ	Изменение	Чтение и выполнение	Список содержимого папки	Чтение	Запись
Обзор папок/ Выполнение файлов	+	+	+	+
Содержание папок/ Чтение данных	+	+	+	+	+
Чтение атрибутов	+	+	+	+	+
Чтение дополнительных атрибутов	+	+	+	+	+
Создание файлов/ Запись данных	+	+				+
Создание папок/ Дозапись данных	+	+				+
Запись атрибутов	+	+				+
Запись дополнительных атрибутов	+	+				+
Удаление подпапок и файлов	+
Удаление	+	+
Чтение разрешений	+	+	+	+	+	+
Смена разрешений	+
Смена владельца	+

Доступ к основным разрешениям осуществляется с помощью закладки Безопасность в свойствах файла или каталога (см. рис. 2.14).

Каждое из основных разрешений может быть в явном виде разрешено или запрещено. Если разрешение не отмечено как разрешенное или запрещенное, то считается, что оно не запрещено.

Таким образом, конкретное разрешение может быть задано тремя способами: разрешено (в явном виде), не запрещено, запрещено.

Итоговое разрешение для конкретного пользователя вычисляется как сумма всех разрешений по записям ACE, образующих список ACL файла или каталога. Например, если в списке ACL у пользователя имеется разрешение на запись, а членам группы, в которую он входит, присвоено разрешение на чтение, то этот пользователь будет иметь итоговое разрешение и на чтение и на запись.

Запрет имеет большую силу, нежели явное разрешение!!!

Следовательно, если встречается ACE с явным запретом на некоторое разрешение для конкретного пользователя или группы, в которую он входит, то это разрешение всегда будет запрещено для данного пользователя и его группы, даже если в остальных записях данное разрешение будет помечено как разрешенное.

Если администратора не устраивают основные разрешения, то он может сформировать специальные (особые) разрешения как конкретную комбинацию индивидуальных разрешений.

На рис. 2.15 представлен интерфейс окна Windows XP, в котором осуществляется назначение индивидуальных разрешений. Переход в него осуществляется при помощи кнопки Дополнительно с закладки Безопасность в свойствах файла или каталога.

Следует отметить, что выбираемые индивидуальные разрешения можно применить как к папкам и файлам, так и отдельно к файлам или к папкам (см. рис. 2.15 окно Применять).

Если в окне свойств безопасности объекта флажки затенены, то это значит, что разрешения на доступ к данному объекту унаследованы от родительского объекта. Существует три способа изменения унаследованных разрешений:

• внести в разрешения на доступ к родительскому объекту изменений, которые будут унаследованы данным объектом;

• явно разрешить данное унаследованное разрешение;

• снять флажок «Наследовать от родительского объекта применимые к дочерним объектам разрешения» (рис. 2.16).

Рис. 2.15. Окно назначения индивидуальных разрешений

В диалоге (рис. 2.17) предлагается сделать выбор одной из трех альтернатив: скопировать разрешения родительского объекта, удалить разрешения и сформировать их заново или ничего не трогать и вернуться в исходное состояние.

Рекомендуется когда возможно, назначать разрешения для групп, а не для отдельных пользователей. Другими словами, следует создавать группы безопасности.

При назначении разрешений для папок, в которых расположены приложения или данные справочного характера, т. е. неизменяемые при рядовой работе пользователей, следует заменить стандартные разрешения «полный доступ» для группы «все» на разрешение «чтение и выполнение». Это позволит предотвратить случайное удаление файлов или заражение их вирусами.

Рис. 2.16. Окно изменения наследования разрешений

Рис. 2.17. Диалоговое окно изменения наследований на разрешения

Тем пользователям, которые ответственны за обновление хранящихся в папке файлов, можно дать разрешения «изменение» или другие необходимые разрешения.

Выводы

1. Все современные операционные системы реализуют мультипрограммирование, при котором на одном процессоре выполняется несколько программ, совместно использующих все ресурсы вычислительной системы.

2. По критерию эффективности все мультипрограммные операционные системы делятся на системы с пакетной обработкой, системы разделения времени и системы реального времени. Современные персональные компьютеры являются системами разделения времени.

3. В многопроцессорных системах более эффективным является мультипрограммирование на основе механизма многопоточной обработки.

4. При создании процесса или потока операционная система формирует его дескриптор, контекст и образ. Смена процессов и потоков выполняется путем планирования и диспетчеризации.

5. Механизм прерываний позволяет операционной системе реагировать на различные события, происходящие в вычислительной системе.

6. При распределении памяти между процессами современные операционные системы используют механизм виртуальной памяти, позволяющий запускать на выполнение процессы, требующие оперативной памяти значительно больше, чем реально обладает компьютер.

7. Для перемещения фрагментов процессов между виртуальной и физической памятью в современных операционных системах широко применяются алгоритмы страничного, сегментного и странично-сегментного распределения памяти.

8. Данные обладают свойствами временной и пространственной локальности, что используется для повышения производительность вычислительной системы путем применения механизма кэширования оперативной памяти и диска. Кэш-память прозрачна для программ и пользователей. С ней работает только операционная система.

9. Операционная система управляет устройством ввода-вывода данных через драйвер и контроллер этого устройства. В современных операционных системах драйверы имеют многослойную структуру, позволяющую стандартизировать промежуточные интерфейсы управления группами однотипных устройств и тем самым упростить разработку низкоуровневых драйверов.

10. Основным типом внешней памяти является накопитель на жестких магнитных дисках (диск). Процедуры подготовки его для хранения данных хорошо стандартизованы и включают низкоуровневое (физическое) форматирование, выполняемое при изготовлении диска, и высокоуровневое (логическое) форматирование, выполняемое пользователем. Основное единицей хранения данных на физическом уровне является сектор, на логическом – кластер.

11. Главная загрузочная запись (MBR) диска позволяет создать на одном диске до четырех первичных (primary) разделов, в каждом из которых можно сформировать логический диск со своей файловой системой. Однако вместо одного из первичных разделов можно создать расширенный (extended) раздел, в котором можно сформировать сколько угодно логических дисков. Обычно создают один первичный раздел (так как только первичный раздел может быть активным и на нем находится системный загрузчик) и один расширенный с необходимым количеством логических дисков.

12. Система управления файлами является важной частью любой операционной системы и позволяет организовать хранение данных в соответствии с выбранной файловой системой. Для современных операционных систем семейства Windows предпочтение отдается файловой системе NTFS, обладающей целым рядом преимуществ перед файловой системой FAT.

13. Семейство UNIX-систем использует свои файловые системы (ufs, ext2fs, ext3fs и др.), отличительной особенностью которых является использование в виде специальных файлов устройств ввода-вывода. Кроме этого, каждый файл имеет персональный индексный дескриптор и может иметь несколько имен. При копировании файла создается новое символьное имя (символическая ссылка), а сам файл остается в одном экземпляре.

14. В любой современной операционной системе существует механизм контроля доступа к разделяемым ресурсам вычислительной системы. Например, в операционных системах Windows на основе технологии NT контроль доступа к разделяемым ресурсам реализуется на основе прав, возможностей и разрешений.