7.2. Наследование
В структуре предоставления доступа существуют два типа полномочий: наследуемые и явные.
Наследуемые полномочия – это полномочия, получаемые от родительского объекта дочерним объектом. Разрешения для такого объекта устанавливаются неявно – администратор не предпринимает в отношении этого объекта никаких дополнительных регламентирующих действий. По умолчанию при создании вложенной папки она наследует полномочия родительской папки.
Явные полномочия – это полномочия, которые администратор компьютера задает для папок или файлов в явном виде, т.е. предпринимает дополнительные регламентирующие действия в отношении этих объектов.
Явные полномочия отличаются от наследуемых тем, что на них не распространяются полномочия, приписанные их родительским объектам.
Если необходимо, чтобы дочерние объекты не наследовали полномочия родительского объекта, то это наследование можно блокировать на родительском или дочернем уровне. Здесь важно на каком уровне блокируется наследование. При блокировании на родительском уровне ни одна из вложенных папок не наследует полномочия. При выборочном блокировании на дочернем уровне некоторые папки наследуют полномочия, а некоторые – нет.
Чтобы блокировать полномочия на родительском уровне, необходимо сделать следующее: в закладке «Безопасность» свойств объекта сбросить флажок «Переносить наследование от родительского объекта разрешения на этот объект».
Если флажки полномочий в колонках «Разрешить» или «Запретить» затенены (недоступны), это означает, что данные полномочия наследуются от родительского объекта (рис. 7.6).
Рис. 7.6. Пример окна безопасности с
недоступными разрешениями
Существует три способа изменить эту ситуацию:
1) сбросить флажок «Переносить наследование от родительского объекта разрешения на этот объект», после чего можно будет вносить изменения в полномочия или изменять состав пользователей или групп в списке;
2) изменить полномочия для родительской папки;
3) выбрать противоположные полномочия «Разрешить» или «Запретить», чтобы переопределить наследуемые полномочия.
Если не установлены оба флажка «Разрешить» или «Запретить», то пользователи или группы могут получать полномочия путем участия в группе. В противном случае отсутствие явной установки флажка «Разрешить» или «Запретить» фактически означает запрет доступа данного типа.
7.3. Право владения
Как правило, право предоставлять и изменять полномочия делегировано только администраторам. Исключением является ситуация, когда пользователь является владельцем рассматриваемой папки или файла. Каждый объект раздела NTFS имеет владельца. Владельцем объекта назначается его создатель. Владелец может контролировать доступ к созданному им объекту вплоть до запрета доступа к нему любому пользователю.
Р
Рис.
7.7. Окно
закладки «Безопасность» папки Catalog
Пользователь решает изменить разрешения безопасности для созданной им папки Catalog, чтобы иметь монопольное право пользования этой папкой.
Для этого ему необходимо добавить свою учетную запись в список полномочий явным образом и отменить полномочия, полученные папкой Catalog от ее родителя (сбросить флажок «Переносить наследование от родительского объекта разрешения на этот объект»).
После этого даже администратор увидит сообщение «Доступ запрещен», если попытается открыть эту папку.
Так как после таких действий доступ к папке могут иметь только пользователь с учетной записью tuivm и владелец, то теперь администратору, для того, чтобы получить доступ к этому файлу, необходимо стать владельцем.
О
Рис.
7.8. Окно
изменения владельца папки Catalog
Независимо от статуса папки администратор может стать ее владельцем. При следующем входе пользователь с учетной записью tuivm по-прежнему будет иметь доступ к папке Catalog, но не будет являться владельцем, т.е. не сможет устанавливать разрешения. При отсутствии соответствующих разрешений пользователь с учетной записью tuivm не сможет вновь получить статус владельца этой папки.