- •Управление доступом
- •1.Общие сведения
- •Разрешения
- •2.Владение объектом
- •3.Явные и унаследованные разрешения
- •4.Влияние наследования на разрешения для файлов и папок
- •5.Разрешения и дескрипторы безопасности
- •6.Разрешения
- •7.Идентификаторы безопасности
- •Известные идентификаторы безопасности (специальные группы)
- •8.Разрешения на файловом сервере
- •9.Смена унаследованных разрешений
- •10.Советы и рекомендации Разрешения
- •Права пользователей
- •11.Действующие разрешения
- •12.Разрешения для файлов и папок
- •13.Выбор объектов для применения разрешений
- •14.Особые разрешения для файлов и папок
3.Явные и унаследованные разрешения
Существуют два типа разрешений: явные и унаследованные.
Явные разрешения устанавливаются по умолчанию при создании объекта или назначаются пользователем.
Унаследованные разрешения передаются от родительского объекта к дочернему. Наследование разрешений облегчает управление доступом и обеспечивает единообразие разрешений для всех объектов, находящихся в данном контейнере.
По умолчанию объекты наследуют разрешения контейнера, в котором они создаются. Например, если создать папку с именем «Моя папка», то все файлы и подпапки, создаваемые в этой папке, автоматически унаследуют ее разрешения. Таким образом, разрешения папки «Моя папка» являются явными, а разрешения для находящихся в ней файлов и подпапок — унаследованными.
4.Влияние наследования на разрешения для файлов и папок
После того как установлены разрешения на доступ к родительской папке, создаваемые в ней новые файлы и подпапки будут наследовать эти разрешения. Если требуется предотвратить наследование разрешений, при настройке особых разрешений на доступ к родительской папке выберите в списке Применять пункт Только для этой папки. В случаях, когда необходимо отменить наследование разрешений только для некоторых файлов или подпапок, щелкните этот файл или подпапку правой кнопкой мыши, выберите команду Свойства, перейдите на вкладку Безопасность и снимите флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
Если флажки затенены, значит, этот файл или папка унаследовали разрешения от родительской папки. Изменить унаследованные разрешения можно тремя способами.
Внесите изменения в разрешения для родительской папки, и они будут унаследованы данным файлом или папкой.
Измените разрешение на противоположное (Разрешить вместо Запретить или наоборот), чтобы отменить унаследованное разрешение.
Снимите флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне. Теперь можно изменить разрешения или удалить пользователя или группу из списка разрешений. Однако после этого данный файл или папка больше не будет наследовать разрешения от родительской папки.
Флажок Запретить имеет более высокий приоритет, чем флажок Разрешить, если только объект не наследует от различных папок противоречащие друг другу значения этих параметров. В таких случаях в силу вступает значение, унаследованное от родительской папки, ближайшей к объекту в иерархической структуре.
Дочерние объекты наследуют только наследуемые разрешения. Устанавливая разрешения для родительского объекта, можно указать в списке Применять, смогут ли эти разрешения наследоваться папками и подпапками. Если требуется узнать, какие разрешения на доступ к данному объекту предоставлены тому или иному пользователю или группе, это можно сделать в любой момент с помощью средства вычисления действующих разрешений.
5.Разрешения и дескрипторы безопасности
Каждому контейнеру и объекту в сети назначается набор данных, относящихся к управлению доступом. Этот набор данных, называемый дескриптором безопасности, определяет, какой тип доступа разрешается пользователям и группам. Дескриптор безопасности создается автоматически вместе с контейнером или объектом. Типичным примером объекта с дескриптором безопасности является файл.
Разрешения определяются в дескрипторе безопасности объекта. Разрешения сопоставляются, или назначаются, конкретным пользователям или группам. Например, группе «Администраторы» могут быть назначены разрешения на чтение, запись и удаление файла Temp.dat, а группе «Операторы» — только на его чтение и запись.
Каждое назначение разрешений пользователю или группе описывается элементом разрешения, или записью управления доступом (ACE). Весь комплект элементов разрешений в дескрипторе безопасности называется набором разрешений. Так, набор разрешений для файла Temp.dat включает два элемента: один для группы «Администраторы» и другой для группы «Операторы».