- •1.Встроенные локальные учетные записи и группы.
- •2.Создание локальной учетной записи.
- •3.Локальные политики безопасности.
- •4.Состав учетных записей и групп домена.
- •5.Создание пользователей, формирование групп.
- •6.Управление доступом к файлам и каталогам ntfs.
- •7.Действия над созданными объектами.
- •8.Свойства наследования.
- •9.Владение объектом.
- •10.Сетевой доступ к файловым ресурсам.
7.Действия над созданными объектами.
Мы проверили, что права доступа, назначенные группам, соблюдаются.
Например, от учетной записи директора можно просматривать, удалить каталог документооборот, создавать и удалять в нем файлы. Но другие каталоги можно только просмотреть, причем вместе с подкаталогами.
От учетной записи библиотекаря можно делать любые операции с каталогом библиотека. К остальным каталогам нет доступа, нельзя даже открыть и просмотреть содержимое каталога.
От учетной записи учитель истории можно выполнять все те же операции, доступные библиотекарю по отношению к каталогу библиотека, а также, выполнять любые действия над каталогом расписания занятий.
8.Свойства наследования.
Наследование работает благодаря двум характеристикам дескриптора безопасности ресурса:
1.По умолчанию разрешения наследуются.
2.По умолчанию при создании новых объектов установлен флажок «Разрешить наследование разрешений от родительского объекта к этому объекту».
Таким образом, созданный файл или папка будут наследовать разрешения у своего родителя, а изменения разрешений родителя будут отражаться на дочерних файлах и папках.
Диалоговое окно «Дополнительные параметры безопасности» содержит папки, от которых наследуется каждый элемент разрешения.
Наследование позволяет настраивать разрешения на вершине дерева папок. Эти разрешения и их изменения будут распространяться на все файлы и папки в дереве, для которых по умолчанию разрешено наследование. Иногда требуется изменить разрешения подпапки или файла, чтобы расширить или ограничить доступ пользователя или группы. Унаследованные разрешения нельзя удалить из ACL. Их можно перекрыть (заменить), назначив явные разрешения. Либо можно отменить наследование и создать ACL, содержащую только явные разрешения.
В нашем примере наследование можно применить следующим образом. Так как группа делопроизводство должна иметь доступ на чтение и выполнение ко всем каталогам, можно разместить все каталоги в одном и для него назначить разрешение чтения и выполнения для группы делопроизводство. А уже потом назначить для каталога документооборот дополнительные разрешения на полный доступ.
Наследование – мощный инструмент, однако, существуют определенные сложности в планировании. Неудобно использовать наследование, когда объекты, к которым нужно разрешить доступ и объекты, к которым нужно запретить доступ, находятся в одной структуре каталогов, так что разрешения перекрываются. Несмотря на то, что запрет имеет больший приоритет в данной ситуации довольно легко пропустить и не поставить нужный запрет и тогда пользователь сразу получит доступ к защищаемому объекту.
9.Владение объектом.
У каждого объекта есть владелец. Владелец управляет всеми разрешениями доступа к объекту, которым владеет.
Не имеет значения, есть ли у владельца доступ к объекту или нет, он всегда может изменить разрешения доступа.
Например, администратор перед тем как изменить разрешения доступа к объекту всегда сначала становится его владельцем. А для этого существуют специальные права – права на смену владельца.
Чтобы сменить владельца нужно либо быть владельцем объекта, либо иметь право стать владельцем этого объекта.
А затем можно сменить владельца: Свойства БезопасностьДополнительноВладелец.
Я считаю, что свойство владения необходимо, так как это обеспечивает ситуацию, когда за каждый объект кто-либо отвечает. Когда за все существующие объекты несется ответственность, обеспечивается порядок в системе, а если порядка нет, то всегда есть тот самый владелец, который будет нести ответ за какие-либо нарушения.