- •Управление доступом
- •1.Общие сведения
- •Разрешения
- •2.Владение объектом
- •3.Явные и унаследованные разрешения
- •4.Влияние наследования на разрешения для файлов и папок
- •5.Разрешения и дескрипторы безопасности
- •6.Разрешения
- •7.Идентификаторы безопасности
- •Известные идентификаторы безопасности (специальные группы)
- •8.Разрешения на файловом сервере
- •9.Смена унаследованных разрешений
- •10.Советы и рекомендации Разрешения
- •Права пользователей
- •11.Действующие разрешения
- •12.Разрешения для файлов и папок
- •13.Выбор объектов для применения разрешений
- •14.Особые разрешения для файлов и папок
10.Советы и рекомендации Разрешения
Старайтесь устанавливать разрешения для групп, а не для отдельных пользователей.
Поскольку непосредственное сопровождение учетных записей пользователей, как правило, неэффективно, назначать разрешения отдельным пользователям следует лишь в исключительных случаях.
Устанавливайте разрешения, которые могли бы наследоваться дочерним объектам.
Лучше назначать не индивидуальные разрешения, а разрешения Полный доступ, если это допустимо.
Запретить доступ может потребоваться в следующих случаях:
чтобы исключить каких-либо пользователей из группы, которой предоставлены определенные разрешения;
чтобы отменить какое-либо особое разрешение, если пользователю или группе уже предоставлен полный доступ.
Права пользователей
Назначайте права на максимально высоком уровне дерева контейнера, насколько это возможно. Таким образом достигается наиболее широкий охват действующими правами. Назначаемые права должны подходить большинству участников безопасности.
Для распространения прав в дереве используйте механизм наследования. Параметры управления доступом будут быстро и эффективно применены ко всем дочерним объектам или в поддереве родительского объекта.
Администраторам рекомендуется использовать учетную запись с ограниченными разрешениями для выполнения повседневных задач, не связанных с администрированием, и учетную запись с более широкими правами только для выполнения отдельных административных задач. Чтобы для этого не требовалось каждый раз выходить из системы и затем входить повторно, войдите с обычной учетной записью и затем с помощью команды Запустить как запускайте программы, требующие более широких прав.
11.Действующие разрешения
Чтобы узнать, какими разрешениями на доступ к данному объекту обладает тот или иной пользователь или группа, можно воспользоваться средством вычисления действующих разрешений. Это средство позволяет определить, какие разрешения предоставлены конкретному пользователю или группе.
При вычислении действующих разрешений принимаются во внимание разрешения, обеспечиваемые групповой принадлежностью, а также разрешения, унаследованные от родительского объекта. Во время вычисления просматриваются все домены и локальные группы, к которым принадлежит данный пользователь или группа.
При вычислении разрешений не проверяются следующие идентификаторы безопасности: «Анонимный вход», «Прошедшие проверку», «Пакетные файлы», «Группа-создатель», «Создатель-владелец», «Удаленный доступ», «Контроллеры домена предприятия», «Интерактивные», «Сеть», «Прокси», «Ограниченные», «Self», «Служба», «Система» и «Пользователь сервера терминалов». Примером может служить пользователь, выполняющий удаленный доступ к файлу.
Действующие разрешения, предоставленные пользователю или группе, помечаются галочкой.
Группа «Все» принимается во внимание всегда, кроме случаев, когда выбранный пользователь или группа принадлежит к группе «Анонимный вход». В Windows XP Professional группа «Все» больше не включает в себя группу «Анонимный вход».