- •1. Теоретическая часть: Файловая система и права доступа
- •1.1. Особенности файловых систем семейства fat
- •1.2. Средства управления файловой системой
- •1.3. Файловая система ntfs и разграничения прав пользователей
- •1.4. Развертывание ntfs
- •1.5. Настройка приложения Проводник для эффективной работы с ntfs
- •1.6. Права доступа пользователей к объектам файловой системы
- •1.7. Механизм наследования прав объектами файловой системы
- •1.8. Особые разрешения
- •1.9. Владельцы объектов файловой системы
- •1.9. Эффективные права пользователей и групп
- •2. Практическая часть
- •2.1. Вопросы по разделу
- •2.2. Упражнение 1
1.7. Механизм наследования прав объектами файловой системы
Для продолжения исследования системы прав доступа файловой системы NTFS в окне вкладки Безопасность (рис.1.10) следует нажать кнопку Дополнительно (рис.1.11.). В появившемся окне отображен список объектов – пользователей и групп, которые имеют различные права к данному объекту файловой системы. Данное окно повторяет окно свойств систем безопасности файловой системы, изображенной на рис.1.10, с двумя исключениями.
Во-первых, появился новый пункт списка Унаследовано от, что означает, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами. Если папка C:\WINDOWS (рис.1.10) имеет определенный набор свойств безопасности файловой системы (прав доступа), то и папка C:\WINDOWS\inf будет иметь те же права, которые унаследованы от папки C:\WINDOWS (рис.1.12.).
Рисунок 1.11. Расширенные настройки системы безопасности
файловой системы для папки C:\WINDOWS
Рисунок 1.12. Окно расширенных свойств безопасности
для папки C:\WINDOWS\inf
Наследование файловых прав доступа происходит, так как стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним разрешения, добавляя их к явно заданным в этом окне (рис.1.12.). Строка C:\WINDOWS\ в столбце Унаследовано представляет собой путь объекта, от которого происходит наследование. Далеко не все объекты файловой системы из папки C:\WINDOWS наследуют ее свойства, например, свойства папки C:\WINDOWS\java (рис.1.13.).
Рисунок 1.13. Окно расширенных свойств безопасности
для папки C:\WINDOWS\java
Данная папка не использует механизма наследования файловой системы, так как в списке объектов, использующих права доступа, указано <не унаследовано>, а также по тому, что не стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
1.8. Особые разрешения
Во вкладке Разрешения кнопки Добавить и Удалить (рис.1.13.) ответственны, соответственно, за добавление и удаление пользовательских прав как отдельных пользователей, так и их групп. Кнопка Изменить позволяет проводить более точную раздачу пользователям и их группам прав файловой системы. Это важно для профессиональных системных администраторов и экспертов по компьютерной безопасности.
Для просмотра полного набора прав, которыми обладает файловый объект следует выбрать пользователя или группу пользователей и нажать кнопку Изменить (рис.1.14). Появится новое окно Объект с расширенными правами:
Рисунок 1.14. Расширенные права доступа для папки C:\WINDOWS\java
режим Полный доступ означает, что выбранный пользователь или группа будут иметь все права над данным файловым объектом;
режим Обзор папок / Выполнение файлов означает, что данному пользователю или группе разрешено перемещаться по каталогу, если это каталог, и выполнять данный файл, если это файл;
режим Содержание папки / Чтение данных означает возможность для пользователя группы производить просмотр каталога, если данный объект каталог и читать данные, если это файл;
режимы Чтение атрибутов и Чтение дополнительных атрибутов означают разрешение на просмотр атрибутов (свойств файлов: скрытый, только чтение и пр.) и расширенных атрибутов (определяемых конкретными программами), соответственно;
режимы Дальнейшие права файловой системы, Создание файлов / Запись данных и Создание папок / Дозапись данных управляют возможностью пользователя или группы создавать файлы и записывать в них информацию, создавать папки и дозаписывать информацию в файлы, соответственно;
режимы Запись атрибутов и Запись дополнительных атрибутов означают, соответственно, возможность записи или изменения пользователями или группами пользователей атрибутов или расширенных атрибутов файловой системы;
режим Удаление подпапок и файлов означает возможность пользователя или группы удалять файлы и папки, даже если право Удаление не указано для этого файла или папки;
режим Удаление позволяет разрешить пользователю или группе удалить данный файл или папку, если в данном праве не стоит флажок, то можно удалить файл, если предоставлено право Удаление подпапок и файлов;
режим Чтение разрешений дает возможность чтения пользователем или группой пользователей прав данного файла или папки, таких как Полный доступ, Чтение и Запись;
режим Смена разрешений позволяет изменять пользователю или пользовательской группе права доступа у данного файла или папки, такие как Полный доступ, Чтение и Запись;
режим Смена владельца позволяет данному пользователю или группе стать владельцем данного файлового объекта, в качестве владельца данный пользователь или группа получит возможность всегда изменять права доступа, вне зависимости от того, какие разрешения указанны для этого файлового объекта.
Для установки или удаления любого из перечисленных пользовательских прав доступа файловой системы необходимо поставить флажок рядом с ним в столбце Разрешить или Запретить, соответственно, для разрешения или запрещения данного права пользователю или группе и нажать кнопку ОК.
Последней опцией данного окна является флажок внизу окна Применять эти разрешения к объектам и контейнерам только внутри этого контейнера. Если данный флажок установлен, происходит применение выбранных прав доступа только к выбранному объекту. В противном случае, изменения будут распространяться на все дерево объектов, ниже текущего уровня.