- •Содержание
- •7 Заключение 64
- •Принятые термины и сокращения
- •Назначение программы
- •Запуск редактора прав доступа внимание!
- •Порядок запуска программы aced32
- •Выход из программы
- •Информация о программе
- •Регистрация новой группы пользователей.
- •Редактирование параметров пользователей (прав доступа)
- •Регистрация нового пользователя
- •Печать параметров пользователя
- •Удаление пользователя из списка
- •Внимание!
- •Переименование пользователя в списке
- •Поиск пользователя по идентификатору
- •Синхронизация параметров пользователя с параметрами группы
- •Администрирование подсистемы разграничения доступа
- •Задание имени пользователя
- •Регистрация идентификатора пользователя
- •Установка параметров пароля
- •Задание пароля пользователя
- •Установка детальности протокола работы пользователей
- •Установка режима блокировки экрана
- •Установка временных ограничений для сеанса работы пользователя
- •Блокировка пользователя
- •Установка стартовой задачи пользователя
- •Установка правил разграничения доступа (прд) к объектам доступа
- •Установка доступа к объектам с использованием дискреционного метода прд.
- •Внимание!
- •Установка доступа к объектам с использованием мандатного метода контроля прд.
- •Контроль целостности файлов.
- •«Статический» контроль целостности файлов
- •«Динамический» контроль целостности файлов
- •Установка опций настройки
- •Установка фиксированных сетевых имен ресурсов общего пользования
- •Экспорт/импорт базы данных пользователей и правил разграничения доступа
- •Сохранение/загрузка базы данных пользователей
- •Экспорт/импорт правил разграничения доступа
- •Формирование списка разрешенныхUsBустройств иSDкарт
- •Формирование правил доступа для отдельных программ (процессов)
- •Групповая политика и особенности установки прд на контроллере доменаWindows
- •Заключение
Внимание!
При задании параметров доступа к сетевым ресурсам, необходимо указывать полное сетевое имя ресурса, например: \\SERVER1\VOL2\DOC1\.
При описании правил доступа к съемному устройству (USBфлэш-диску,USBZip-диску) необходимо, чтобы это устройство было подключено к компьютеру. Нажмите кнопку <Новые>, выберите «Съемный диск» в списке, установите ему ПРД и сохраните изменения кнопкой <Сохранить> или клавишей <F2>. В дальнейшем при работе пользователя после подключения соответствующего устройства для него будут действовать установленные ПРД.
ВНИМАНИЕ!В Windows 7 и выше одно и тоже сменное устройство при каждом следующем подключении в рамках одной сессии пользователя монтируется как новый диск. Администраторам стоит прописывать в списке ПРД несколько объектов: \Device\HarddiskVolume7\, \Device\HarddiskVolume8\... и так столько, сколько раз планируется переподключать флеш-накопитель, или добавить объект \DEVICE\ в список ПРД. Чтобы исключить возможные проблемы при подключении нескольких флеш –накопителей, рекомендуется назначать всем сменным дискам, соответствующим одному и тому же устройству, одинаковые ПРД.
ВНИМАНИЕ! Процедура описания правил доступа к съемным дискам (USBфлэш,Zip,floppy, сменныеHDD) выполняется корректно только в том случае, когда сменное устройство подключено к компьютеру ДО запуска программыACED32.EXEи остается подключенным до завершения процедуры сохранения базы данных пользователей. Только в таком варианте редактор ПРД может точно определить соответствие логического диска, под которым съемное устройство отображается вGUIи физического устройства, напримерDevice\Harddisk1\, к которому обращаются запросы уровня ядра операционной системы.
При этом необходимо, чтобы USBустройство предварительно было включено в список разрешенных устройств на данном компьютере. Как выполняется эта операция описано в пункте 6.15 данного руководства. По умолчанию разрешен доступ ко всемUSB-устройствам, т.е. в список объектов включена запись «USB,Vid=*,Pid=*,Sn=*, -, Allowed all USB devices!».
Еще один важный момент – регулирование доступа к стационарным устройствам, которые входят в состав компьютера. В список объектов можно включить такие устройства, как Com1,Com2,LPT1. Действует следующее правило, в отличие от дисковых ресурсов, - если устройство включено в список ПРД, то доступ к нему ЗАПРЕЩЕН, независимо от атрибутов доступа. Сделано это из необходимости поддерживать единый формат записи об объекте доступа, а реально установить режим «только чтение», или «только запись» дляCom/Lptпорта весьма затруднительно. Для того, чтобы список устройств отображался в редакторе ПРД нужно включить флаг «Контроль устройств» в дополнительных опциях программы настройки комплекса Аккорд. Важно! В журнале событий устройства могут отображаться с полными системными именами, напримерLPT1 – это \DEVICE\PARALLEL0, аCom1 – это \DEVICE\SERIAL0.
Для выхода из режима редактирования нажмите кнопку <Закрыть> или клавишу <Esc>.
Таблица 11 - Сообщения, выдаваемые программой при установке дискреционных ПРД, и порядок действий по ним
|
Сообщение |
Причина |
Порядок действий |
|
«Сохранить изменения для объекта (указываетсяимя_объекта)доступа?» |
После изменения ПРД объекта не сохранены изменения |
«Да» - сохранить изменения «Нет» - не сохранять изменения. |