- •Управление доступом
- •1.Общие сведения
- •Разрешения
- •2.Владение объектом
- •3.Явные и унаследованные разрешения
- •4.Влияние наследования на разрешения для файлов и папок
- •5.Разрешения и дескрипторы безопасности
- •6.Разрешения
- •7.Идентификаторы безопасности
- •Известные идентификаторы безопасности (специальные группы)
- •8.Разрешения на файловом сервере
- •9.Смена унаследованных разрешений
- •10.Советы и рекомендации Разрешения
- •Права пользователей
- •11.Действующие разрешения
- •12.Разрешения для файлов и папок
- •13.Выбор объектов для применения разрешений
- •14.Особые разрешения для файлов и папок
6.Разрешения
Управление объектами осуществляют диспетчеры объектов. Для каждого типа объектов предусмотрен свой диспетчер. Ниже в таблице перечислены типы объектов и разделы, в которых описываются их диспетчеры и процедуры управления этими объектами.
Тип объекта |
Описание разрешений |
Процедуры |
Файлы и папки |
Разрешения для файлов и папок |
Установка, просмотр, смена и удаление разрешений для файлов и папок или Установка, просмотр, смена и удаление особых разрешений для файлов и папок |
Общие ресурсы |
Разрешения для общих ресурсов |
Задание разрешений для общего ресурса |
Разделы реестра |
Обеспечение безопасности реестра |
Добавление пользователей или групп в список разрешений |
Службы |
Разрешения служб |
Безопасность файловой системы, реестра и системных служб локального компьютера |
Принтер |
Разрешения системы безопасности для печати |
Задание и отмена разрешений на доступ к принтеру |
Подключения к службам терминалов |
Разрешения для подключений или Управление доступом к подключению |
Организация управления доступом к подключениям |
Объект групповой политики |
Применение фильтра к групповой политике в соответствии с членством в группе безопасности или Разрешения по умолчанию |
Задание разрешений для управления групповой политикой |
Объект WMI |
Авторизация пользователей WMI и задание разрешений |
Авторизация пользователей WMI и задание разрешений |
7.Идентификаторы безопасности
Идентификаторы безопасности (SID) — это числовые коды, обозначающие пользователей и группы. Для каждой записи таблицы управления доступом существует идентификатор безопасности, указывающий пользователя или группу, для которых доступ разрешен, запрещен или подлежит аудиту.
Известные идентификаторы безопасности (специальные группы)
Идентификатор |
Описание |
Анонимный вход (S-1-5-7) |
Пользователь, который подключился к компьютеру, не предъявив имя пользователя и пароль |
Прошедшие проверку (S-1-5-11) |
Все пользователи и компьютеры, прошедшие проверку подлинности. Сюда не включаются пользователи, вошедшие с гостевой учетной записью, даже если они предъявляли пароль |
Пакетные файлы (S-1-5-3) |
Все пользователи, вошедшие в систему с помощью какого-либо средства обработки очередей программ, такого как планировщик заданий. |
Создатель-владелец (S-1-3-0) |
Прототип в наследуемой записи таблицы управления доступом. Когда эта запись наследуется, система заменяет данный прототип идентификатором безопасности текущего владельца объекта |
Группа-создатель (S-1-3-1) |
Прототип в наследуемой записи таблицы управления доступом. Когда эта запись наследуется, система заменяет данный прототип идентификатором безопасности основной группы текущего владельца объекта |
Удаленный доступ (S-1-5-1) |
Все пользователи, вошедшие в систему через подключение удаленного доступа |
Все (S-1-10) |
На компьютерах, работающих под управлением Windows XP Professional, группа «Все» включает в себя группы «Прошедшие проверку» и «Гость». На компьютерах, работающих под управлением более ранних версий Windows, группа «Все» включает группы «Прошедшие проверку», «Гость» и «Анонимный доступ». Дополнительные сведения см. в разделе Различия между параметрами безопасности по умолчанию |
Интерактивные (S-1-5-4) |
Все пользователи, входящие в систему на локальном компьютере или через подключение к удаленному рабочему столу |
Локальная система (S-1-5-18) |
Учетная запись службы, используемая операционной системой |
Сеть (S-1-5-2) |
Все пользователи, входящие в систему через сетевое подключение. Описатели доступа для интерактивных пользователей не содержат идентификатор безопасности «Сеть» |
Self (или Principal Self) (S-1-5-10) |
Прототип в записи таблицы управления доступом для объекта Active Directory, обозначающего пользователя, группу или компьютер. Предоставление разрешений объекту с идентификатором Principal Self означает предоставление разрешений участнику безопасности, соответствующему этому объекту. В ходе проверки доступа операционная система заменяет данный прототип идентификатором участника безопасности, представленного объектом |
Служба (S-1-5-6) |
Группа, в которую включаются все участники безопасности, вошедшие в систему в качестве службы. Членством в этой группе управляет операционная система |
Пользователи сервера терминалов (S-1-5-13) |
Все пользователи, вошедшие на сервер Terminal Services 4.0, работающий в режиме совместимости приложений. |
.