1.7. Механизм наследования прав объектами файловой системы

Для продолжения исследования системы прав доступа файло­вой системы NTFS в окне вкладки Безопасность (рис.1.10) следует нажать кнопку Дополнительно (рис.1.11.). В появившемся окне отображен список объектов – пользователей и групп, кото­рые имеют различные права к данному объекту файловой системы. Данное окно повторяет окно свойств систем безопасности файловой системы, изображенной на рис.1.10, с двумя исключениями.

Во-первых, появился новый пункт списка Унаследовано от, что означает, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами. Если папка C:\WINDOWS (рис.1.10) имеет опреде­ленный набор свойств безопасности файловой системы (прав доступа), то и папка C:\WINDOWS\inf будет иметь те же права, которые унаследованы от папки C:\WINDOWS (рис.1.12.).

Рисунок 1.11. Расширенные настройки системы безопасности

файловой системы для папки C:\WINDOWS

Рисунок 1.12. Окно расширенных свойств безопасности

для папки C:\WINDOWS\inf

Наследование файловых прав доступа происходит, так как стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним разрешения, добавляя их к явно заданным в этом окне (рис.1.12.). Строка C:\WINDOWS\ в столбце Унаследовано представляет собой путь объекта, от которого происходит наследование. Далеко не все объекты файловой системы из папки C:\WINDOWS наследуют ее свойства, на­пример, свойства папки C:\WINDOWS\java (рис.1.13.).

Рисунок 1.13. Окно расширенных свойств безопасности

для папки C:\WINDOWS\java

Данная папка не использует механизма на­следования файловой системы, так как в списке объектов, использующих права доступа, указано <не унаследовано>, а также по тому, что не стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

1.8. Особые разрешения

Во вкладке Разрешения кнопки Добавить и Удалить (рис.1.13.) ответственны, соответственно, за добавление и удаление пользовательских прав как от­дельных пользователей, так и их групп. Кнопка Изменить позволяет прово­дить более точную раздачу пользователям и их группам прав файловой сис­темы. Это важно для профессиональных системных администраторов и экспертов по компьютерной безопасности.

Для просмотра полного набора прав, которыми обладает файловый объект следует выбрать пользователя или группу пользователей и нажать кнопку Изменить (рис.1.14). Появится новое окно Объект с расширенными правами:

Рисунок 1.14. Расширенные права доступа для папки C:\WINDOWS\java

• режим Полный доступ означает, что выбранный пользователь или группа будут иметь все права над данным файловым объектом;

• режим Обзор папок / Выполнение файлов означает, что данному пользователю или группе разрешено перемещаться по каталогу, если это каталог, и выполнять данный файл, если это файл;

• режим Содержание папки / Чтение данных означает возможность для пользователя группы производить просмотр каталога, если данный объект каталог и читать данные, если это файл;

• режимы Чтение атрибутов и Чтение дополнительных атрибутов означают разрешение на просмотр атрибутов (свойств файлов: скрытый, только чтение и пр.) и расширенных атрибутов (определяемых конкретными программами), соответственно;

• режимы Дальнейшие права файловой системы, Создание файлов / Запись данных и Создание папок / Дозапись данных управляют возможностью пользователя или группы создавать файлы и записывать в них информацию, создавать папки и дозаписывать информацию в файлы, соответственно;

• режимы Запись атрибутов и Запись дополнительных атрибутов означают, соответ­ственно, возможность записи или изменения пользователями или группами пользователей атрибутов или расширенных атрибутов файловой системы;

• режим Удаление подпапок и файлов означает возможность пользователя или группы удалять файлы и папки, даже если право Удаление не указано для этого файла или папки;

• режим Удаление позволяет разрешить пользователю или группе удалить данный файл или папку, если в данном праве не стоит флажок, то можно удалить файл, если предоставлено право Удаление подпапок и файлов;

• режим Чтение разрешений дает возмож­ность чтения пользователем или группой пользователей прав данного файла или папки, таких как Полный доступ, Чтение и Запись;

• режим Смена разре­шений позволяет изменять пользователю или пользо­вательской группе права доступа у данного файла или папки, такие как Полный доступ, Чтение и Запись;

• режим Смена владельца позволяет данному пользователю или группе стать владельцем данного фай­лового объекта, в качестве владельца данный пользователь или группа полу­чит возможность всегда изменять права доступа, вне зависимости от того, какие разрешения указанны для этого файлового объекта.

Для установки или удаления любого из перечисленных пользова­тельских прав доступа файловой системы необходимо поставить флажок рядом с ним в столбце Разрешить или Запретить, соответственно, для раз­решения или запрещения данного права пользователю или группе и нажать кнопку ОК.

Последней опцией данного окна является флажок внизу окна Применять эти разрешения к объектам и контейнерам только внутри этого контейнера. Если данный флажок установлен, происходит применение выбранных прав доступа только к выбранному объекту. В противном случае, изменения будут распространяться на все дерево объектов, ниже текущего уровня.