4.7.3. Контроль доступа к файлам и каталогам
Сам список ACL состоит из элементов управления доступом (Access Control Element, АСЕ), которые соответствуют одному идентификатору. Список ACL с добавлением идентификатора владельца называют характеристиками безопасности.
Для разделяемых ресурсов в Windows XP применяется общая модель объекта, которая содержит такие характеристики безопасности, как набор допустимых операций, идентификатор владельца, список управления доступом.
Проверки прав доступа для объектов любого типа выполняются централизованно с помощью монитора безопасности (Security Reference Monitor), работающего в привилегированном режиме.
Операционные системы |
283 |
4.7.3. Контроль доступа к файлам и каталогам
Для системы безопасности Windows характерно большое количество различных встроенных (предопределенных) субъектов доступа - отдельных пользователей и групп (Administrator, System, Guest, группы Users, Administrators, Account, Operators и др.).
Смысл этих встроенных пользователей и групп состоит в том, что они наделены определенными правами. Это облегчает работу администратора по созданию эффективной системы разграничения доступа. Во-первых, за счет того, что нового пользователя можно внести в какую-либо группу. Во- вторых, можно добавлять (изымать) права встроенных групп. Наконец, можно создавать новые группы с уникальным набором прав.
Операционные системы |
284 |
4.7.3. Контроль доступа к файлам и каталогам
Все объекты при создании снабжаются дескрипторами безопасности, содержащими список управления доступом и список пользователей и групп, имеющих доступ к данному объекту.
Владелец объекта, обычно пользователь, который его создал, обладает возможностью изменять ACL объекта, чтобы позволить или не позволить другим осуществлять доступ к объекту.
Однако он может выполнить требуемую операцию с объектом, став его владельцем (такая возможность предусмотрена), а затем как владелец получить полный набор разрешений.
Однако вернуть владение предыдущему владельцу объекта администратор не может, поэтому пользователь всегда может узнать о том, что с его файлом (принтером и т. п.) работал администратор.
Операционные системы |
285 |
4.7.3. Контроль доступа к файлам и каталогам
В Windows NT/2000/XP администратор может управлять доступом пользователей к каталогам и файлам только в разделах диска, в которых установлена файловая система NTFS, разделы FAT не поддерживаются, так как в этой ФС у файлов и каталогов отсутствуют атрибуты для хранения списков управления доступом.
Разрешения в Windows бывают индивидуальные (специальные) и стандартные. Индивидуальные относятся к элементарным операциям над каталогами и файлами, а стандартные разрешения являются объединением нескольких индивидуальных разрешений.
Операционные системы |
286 |
4.7.3. Контроль доступа к файлам и каталогам
Стандартные разрешения |
Специальные разрешения |
|
|
||
|
Операционные системы |
287 |
4.7.3. Контроль доступа к файлам и каталогам
Операционные системы |
288 |
Квоты дискового пространства
Файловая система NTFS в Windows Server 2003 поддерживает дисковые квоты (disk quotas), позволяющие ограничивать объем дискового пространства, с которым может работать тот или иной пользователь.
Установка квот дает возможность более эффективно управлять размещением информации на диске, поскольку теперь дисковое пространство можно распределять между пользователями в соответствии с их потребностями.
Кроме того, введение дисковых квот принуждает пользователей более аккуратно работать с компьютером, в частности систематически удалять ненужные файлы.
Операционные системы |
289 |
Квоты дискового пространства
Операционные системы |
290 |
Системный загрузчик Windows NT/2000/XP/Vista
Операционные системы класса Windows NT имеют возможность загружать не одну операционную систему, а несколько, то есть системный загрузчик Windows NT/ 2000/ХР является менеджером загрузки.
Для указания установленных операционных систем и выбора одной из них используется файл boot.ini. Этот файл является текстовым. Он обрабатывается программой ntldr, которая, собственно, и является системным загрузчиком и на которую передается управление из внесистемного загрузчика.
Операционные системы |
291 |
Системный загрузчик Windows NT/2000/XP/Vista
Файл boot.ini состоит из двух секций. Пример файла boot.ini
[boot loader] timeout=10
default=mult1(0)disk(0)rdisk(0)part1tion(2)\WINNT [operating systems] multi(0)disk(0)rdisk(0)part1tion(2)\WINNT="IT.MTC.EDU Microsoft Windows 2000 Server RUS" /fastdetect multi(0)disk(0)rdisk(1)partition(2)\WIN2KP="Staff.MTC.EDU Microsoft Windows 2000 Professional RUS" /fastdetect
multi(0)disk(0)rdisk(0)partition(4)\WIN2K_S="SQL server on M$ Windows 2000 Server RUS" /fastdetect
Операционные системы |
292 |