Раздел 7 элементы администрирования вwindows 2000
Ограничение возможности производить какие-либо действия в ОС может быть достигнуто либо на уровне приложения, либо на уровне учетной записи. Типичный пример ограничения действий пользователя на уровне приложения – установка пароля в документе Microsoft Office. При таком способе ограничения, всем потенциальным пользователям ресурса должны быть известны все существующие на данный момент соглашения, приписанные действиям с ресурсом. Введение учетных записей порождает другой подход: через опознание субъекта (учетной записи) предоставлять ему возможность тех или иных действий по отношению к объекту (файлу или процессу) из приписанного этому объекту множества возможных действий. Реализация первого подхода связана только с возможностью запуска приложения в конкретной ОС и возможностями самого приложения. Второй подход требует расширенных возможностей как самой ОС, так и файловой системы. В качестве объектов, в отношении которых применяются ограничения действий пользователя, выступают как элементы файловой системы (файлы, папки, тома), так и процессы ОС.
В ОС Windows 2000 такая возможность достигается при распределении полномочий пользователей в действиях с объектами за счет дополнительных полей в самих объектах. Далее будем рассматривать среди всех представленных в Windows 2000 объектов только элементы файловой системы.
В терминах Windows 2000 возможные действия пользователя по отношению к объектам файловой системы подразделяются на удаленные и локальные. Удаленными считаются действия, производимые через сетевую среду. Набор удаленных возможных действий пользователя назван «Доступ», а локальных – «Безопасность».
Файловая система FAT позволяет ограничивать полномочия доступа только на уровне диска или папки, и ограничиваются они вариантами «Полный доступ», «Чтение» и «Изменение».
На томе NTFS полномочия можно устанавливать, спускаясь на уровень файлов, что делает набор возможных ограничений значительно шире. Это означает, что для любой папки и файла можно предоставлять отдельным пользователям или группам пользователей возможность производить те или иные действия из числа регламентированных.
Далее остановимся на этом подробнее. Все действия, связанные с установлением тех или иных ограничений на действия пользователя, имеет право производить пользователь, зарегистрировавшийся с учетной записью администратора.
7.1. Конфигурирование полномочий доступа к папке
Задавая права безопасности для папки, администратор, тем самым, задает полномочия для всех файлов и подпапок в этой папке.
Чтобы назначить полномочия для папки, изменить или посмотреть назначенные, необходимо:
1) в окне Проводника (Explorer) щелкнуть правой кнопкой мыши по выбранной папке и выбрать пункт «Свойства» (рис. 7.1);
2) затем щелкнуть по вкладке «Безопасность» (рис. 7.2);
3) для удаления из списка регламентируемых учетных записей отдельной записи, необходимо ее выделить и щелкнуть по кнопке «Удалить»;
4) чтобы добавить учетную запись в список тех, чьи права регламентируются для этой папки (файла), необходимо щелкнуть по кнопке «Добавить», появится диалоговое окно «Выбор пользователей и групп» (рис. 7.3);
5) после выбора пользователей или групп из этого окна, нужно щелкнуть по кнопке ОК;
6
Рис. 7.1. Выбор свойств папки
По выбору пользователя область действия установленных разрешений может распространяться либо только на этот объект, либо переноситься на все дочерние объекты. Перенос разрешений регулируется флажком «Переносить наследуемые от родительского объекта разрешения на этот объект».
В определенных условиях может потребоваться задание, изменение или удаление специальных разрешений для файла или папки. Такие манипуляции можно проводить в окне параметров управления доступом. Открыть это окно можно так:
1) в окне Проводника (Explorer) щелкнуть правой кнопкой мыши на файле или папке и выбрать из контекстного меню пункт «Свойства»;
2) щелкнуть на вкладке «Безопасность» и затем на кнопке «Дополнительно». Появится окно «Параметры управления доступом» (рис. 7.4).
Рис. 7.2. Пример окна вкладки
«Безопасность»
Рис.
7.3. Окно добавления пользователя в
список регламентированных субъектов
для папки или файла
Рис. 7.4. Пример окна «Параметры
управления доступом» для папкиCatalog
Для добавления учетной записи пользователя или группы учетных записей, необходимо щелкнуть на кнопке «Добавить» и дважды щелкнуть по названию учетной записи или группы.
Для просмотра или изменения существующих специальных разрешений надо выделить учетную запись или группу и щелкнуть на кнопке «Показать / Изменить».
Чтобы удалить специальные разрешения, необходимо выделить название учетной записи или группы и щелкнуть на кнопке «Удалить». Недоступность кнопки «Удалить» означает, что для этого объекта установлен перенос разрешений от родительского объекта. Для активации изменений необходимо отменить этот перенос. Этого можно достигнуть, сбросив флажок «Переносить наследование от родительского объекта разрешения на этот объект». После этого изменения разрешений станут доступными.
Изменения специальных разрешений также производятся в окне «Показать / Изменить». Внесение изменений подразумевает изменение перечня объектов и сопоставленных им полномочий. Для этого в списке «Применить» окна «Показать / Изменить» необходимо выбрать объекты, к которым надо применить эти полномочия. Этот список доступен только для папок (рис. 7.5).
Рис.
7.5. Пример
выбора объекта применения измененных
разрешений для папки Catalog
В секции «Разрешения» надо щелкнуть на флажках «Разрешить» или «Запретить» для каждого разрешения.
Чтобы подпапки и файлы не наследовали эти разрешения, надо установить флажок «Применять эти разрешения к объектам и контейнерам только внутри этого контейнера».
В завершении надо щелкнуть на кнопке ОК, чтобы выполнить все внесенные изменения и закрыть эти диалоговые окна.