Механизм наследования прав объектами файловой системы

Механизм наследования прав объектами файловой системы

Механизм наследования облегчает администраторам задачи назначения разрешений и управления ими. Благодаря этому механизму разрешения, установленные для контейнера (объекта, который может содержать другие объекты, например, для папки), автоматически распространяются на все объекты групповой политики этого контейнера. Например, файлы, создаваемые в папке, наследуют разрешения этой папки. Контейнер групповой политики представляет собой объект службы каталогов. Он состоит из субконтейнеров для хранения сведений о групповой политике пользователя и компьютера. Контейнер групповой политики содержит следующие данные:

— сведения о версии, которые используется для синхронизации с данными из шаблона групповой политики;

— сведения о состоянии, которые указывают, включен или отключен объект групповой политики для данного сайта, домена или подразделения;

— список компонентов, который отображает, какие расширения групповой политики имеют параметры в объекте групповой политики.

В контейнере групповой политики хранится информация для оснасток Установка программного обеспечения и Перенаправление папки, которые являются расширениями групповой политики.

Объекты групповой политики представляют собой набор параметров групповой политики. Объектами групповой политики главным образом являются документы, создаваемые оснасткой Групповая политика. Объекты групповой политики хранятся на уровне домена и оказывают влияние на пользователей и компьютеры узлов, доменов и подразделений. Кроме того, каждый компьютер с операционной системой Windows имеет единственную хранящуюся локально группу параметров, которая называется локальным объектом групповой политики.

Для знакомства с механизмом наследования прав объектами файловой системы NTFS нужно в окне вкладки Безопасность (рис. 14.) нажать кнопку Дополнительно. В появившемся окне (рис. 15.) отображается список объектов – пользователей и групп, которые имеют различные права к данному объекту файловой системы. Это окно повторяет окно свойств систем безопасности файловой системы, изображенной на рис. 9., но с двумя дополнениями.

Рис. 15. Расширенные настройки системы безопасности

файловой системы для папок C:WINDOWS (а)и C:WINDOWSinf (б)

Рис. 16. Окно расширенных свойств безопасности для папки С:WINDOWSjava

Добавлено два столбца: Унаследовано от и Применять к. Столбец Унаследовано от определяет, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами. Например, если папка C:WINDOWS (рис. 15а).) имеет определенный набор свойств безопасности файловой системы (прав доступа), то и папка C:WINDOWSinf (рис. 15б).) будет иметь права, унаследованные от папки C:WINDOWS.

Наследование файловых прав доступа происходит потому, что стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним разрешения, добавляя их к явно заданным в этом окне (рис. 15 б).). Строка C:WINDOWS в столбце Унаследовано представляет собой путь объекта, от которого происходит наследование. Далеко не все объекты файловой системы из папки C:WINDOWS наследуют ее свойства, например, папка C:WINDOWSjava (рис. 16.). Данная папка не использует механизма наследования файловой системы, так как в списке объектов, использующих права доступа, указано , а также по тому, что не стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.

Дата добавления: 2015-11-04 ; просмотров: 677 | Нарушение авторских прав

них групп принадлежит группа SYSTEM, от имени которой выступает ОС

Случается когда доступ для ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка содержит файлы пользователя, то он может получить невозможность доступа к ней, а если папка является системной, то Windows может перестать функционировать корректно.

Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP . При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы.

Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT . Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только зашифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, которую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP , необходимо дать команду на добавление доступа к этой папке группы SYSTEM . После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку.

Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы достаточно обеспечить наследование прав от папки уровнем выше, а потом дать системе команду, из того же окна наследования прав, на замещение предыдущих свойств наследуемыми свойствами.

Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представляет собой специальную запись, в которую помещается идентификатор пользователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой системы в случае наследования прав.

Остальными группами, имеющими доступ, являются: Администратор ,

Опытный пользователь , Пользователь , что означает наличие доступа у администраторов системы, опытных пользователей и простых пользователей, соответственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи ( Users ), в крайнем случае, можно присвоить

права группы Опытный пользователь ( Power Users ), но никогда не следует давать права группы Администратор ( Administrators ).

Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.1.9.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на операцию.

Рисунок 1.9. Права группы Пользователи

Разрешения для пользователя (рис.1.9.):

— полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;

— изменить – означает возможность модификации файлов или папки, в зависимости от того, чем является защищаемый объект;

— чтение и выполнение – возможность чтения и исполнения файлов пап-

— список содержимого папки – доступ к списку содержимого папки;

— чтение – доступ на чтение содержимого папки;

— запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному поль-

зователю, для которого рядом с этим правом доступа стоит флажок; — особые разрешения – используются для уточнения набора прав, кото-

рым может обладать пользователь, для их редактирования следует нажать кнопку Дополнительно , выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить .

Администраторы имеют полные права на доступ к системной папке Windows . Аналогичные права имеет и пользователь SYSTEM , так как от его имени работает сама ОС Windows XP (рис.1.10.).

Рисунок 1.10. Права группы System

Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ .

1.7. Механизм наследования прав объектами файловой системы

Для продолжения исследования системы прав доступа файловой системы NTFS в окне вкладки Безопасность (рис.1.10) следует нажать кнопку Дополнительно (рис.1.11.). В появившемся окне отображен список объектов – пользователей и групп, которые имеют различные права к данному объекту файловой системы. Данное окно повторяет окно свойств систем безопасности файловой системы, изображенной на рис.1.10, с двумя исключениями.

Во-первых, появился новый пункт списка Унаследовано от , что означает, есть ли у прав пользователей или их групп, приведенных в списке, наследование от предыдущих объектов файловой системы и если да, то откуда. При использовании механизма наследования все каталоги и файлы, создаваемые внутри другого внешнего каталога, от которого ведется наследование, будут создаваться с аналогичными правами. Если папка C:WINDOWS

(рис.1.10) имеет определенный набор свойств безопасности файловой системы (прав доступа), то и папка C:WINDOWSinf будет иметь те же права, которые унаследованы от папки C:WINDOWS (рис.1.12.).

Рисунок 1.11. Расширенные настройки системы безопасности файловой системы для папки C:WINDOWS

Рисунок 1.12. Окно расширенных свойств безопасности для папки C:WINDOWSinf

Наследование файловых прав доступа происходит, так как стоит флажок в режиме Наследовать от родительского объекта применимые к дочерним разрешения, добавляя их к явно заданным в этом окне (рис.1.12.).

Строка C:WINDOWS в столбце Унаследовано представляет собой путь объекта, от которого происходит наследование. Далеко не все объекты файловой системы из папки C:WINDOWS наследуют ее свойства, например, свойства папки C:WINDOWSjava (рис.1.13.).

Рисунок 1.13. Окно расширенных свойств безопасности для папки C:WINDOWSjava

Данная папка не использует механизма наследования файловой системы, так как в списке объектов, использующих права доступа, указано не унаследовано >, а также по тому, что не стоит флажок в режиме Наследо-

вать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне .

1.8. Особые разрешения

Во вкладке Разрешения кнопки Добавить и Удалить (рис.1.13.) ответственны, соответственно, за добавление и удаление пользовательских прав как отдельных пользователей, так и их групп. Кнопка Изменить позволяет проводить более точную раздачу пользователям и их группам прав файловой системы. Это важно для профессиональных системных администраторов и экспертов по компьютерной безопасности.

Для просмотра полного набора прав, которыми обладает файловый объект следует выбрать пользователя или группу пользователей и нажать кнопку Изменить (рис.1.14). Появится новое окно Объект с расширенными правами:

Рисунок 1.14. Расширенные права доступа для папки C:WINDOWSjava

— режим Полный доступ означает, что выбранный пользователь или группа будут иметь все права над данным файловым объектом;

— режим Обзор папок / Выполнение файлов означает, что данному пользователю или группе разрешено перемещаться по каталогу, если это каталог, и выполнять данный файл, если это файл;

— режим Содержание папки / Чтение данных означает возможность для пользователя группы производить просмотр каталога, если данный объект каталог и читать данные, если это файл;

— режимы Чтение атрибутов и Чтение дополнительных атрибутов оз-

начают разрешение на просмотр атрибутов (свойств файлов: скрытый, только чтение и пр.) и расширенных атрибутов (определяемых конкретными программами), соответственно;

— режимы Дальнейшие права файловой системы , Создание файлов / Запись данных и Создание папок / Дозапись данных управляют возможностью пользователя или группы создавать файлы и записывать в них информацию, создавать папки и дозаписывать информацию в файлы, соответственно;

— режимы Запись атрибутов и Запись дополнительных атрибутов оз-

начают, соответственно, возможность записи или изменения пользователями или группами пользователей атрибутов или расширенных атрибутов файловой системы;

— режим Удаление подпапок и файлов означает возможность пользователя или группы удалять файлы и папки, даже если право Удаление не указано для этого файла или папки;

— режим Удаление позволяет разрешить пользователю или группе удалить данный файл или папку, если в данном праве не стоит флажок, то можно удалить файл, если предоставлено право Удаление подпапок и файлов ;

— режим Чтение разрешений дает возможность чтения пользователем или группой пользователей прав данного файла или папки, таких как Полный доступ , Чтение и Запись ;

— режим Смена разрешений позволяет изменять пользователю или пользовательской группе права доступа у данного файла или папки, такие как

Полный доступ , Чтение и Запись ;

— режим Смена владельца позволяет данному пользователю или группе стать владельцем данного файлового объекта, в качестве владельца данный пользователь или группа получит возможность всегда изменять права доступа, вне зависимости от того, какие разрешения указанны для этого файлового объекта.

Для установки или удаления любого из перечисленных пользовательских прав доступа файловой системы необходимо поставить флажок рядом с ним

в столбце Разрешить или Запретить , соответственно, для разрешения или запрещения данного права пользователю или группе и нажать кнопку ОК .

Последней опцией данного окна является флажок внизу окна Применять эти разрешения к объектам и контейнерам только внутри этого контей-

нера . Если данный флажок установлен, происходит применение выбранных прав доступа только к выбранному объекту. В противном случае, изменения будут распространяться на все дерево объектов, ниже текущего уровня.

1.9. Владельцы объектов файловой системы

Для определения владельца файловой системы в окне Дополнительные параметры безопасности следует открыть вкладку Владелец (рис.1.15.).

Рисунок 1.15. Вкладка Владелец окна

Дополнительные параметры безопасности C:WINDOWSjava

Владельцами данного объекта являются пользователи группы администраторов. В окне приводится список пользователей, которые могут быть сделаны владельцами файлового объекта. Для того чтобы сделать выбор среди этих пользователей и групп, нужно выбрать владельца и нажать кнопку ОК .

В нижней части окна находится специальное флажковое поле Заменить владельца субконтейнеров и объектов . При его активации в случае смены владельца файлового объекта происходит замена новых владельцев во всех объектах, которые находятся ниже по дереву папок.

1.9. Эффективные права пользователей и групп

Вкладка Действующие разрешения (рис.1.16.) окна Дополнительные параметры безопасности предназначена для проверки тех прав, которые получат пользователи после всех настроек и оптимизаций, которые можно провести в системе. Для проверки установленных прав следует:

— перейти во вкладку Действующие разрешения окна Дополнительные параметры безопасности и нажать кнопку Выбрать (рис.1.16.);

— в появившемся новом окне нажать кнопку Типы объектов (рис.1.17.);

— из списка выбрать объект ( Пользователь , Группа ) и нажать кнопку ОК ;

— в окне Выбор: Пользователь или группа нажать кнопку Дополнительно ;

— появится новое окно Выберите тип объекта (рис.1.17.);

— нажать кнопку Поиск (рис.1.18.);

— из раскрывшегося списка выбрать пользователя или группу и нажать ОК ;

— появится окно с выбранным объектом, нажать кнопку ОК ;

— появится список действующих разрешений для выбранного пользователя или выбранной группы (рис.1.19.).

Рисунок 1.16. Окно анализа эффективных прав пользователя

Рисунок 1.17. Окно выбора типа объекта

Рисунок 1.18. Дополнительное диалоговое окно выбора пользователя

Рисунок 1.19. Действующие разрешения выбранного пользователя

В результате выполненных действий ОС покажет, какие права имеет данный пользователь по отношению к данному объекту файловой системы

Для системы безопасности файловой системы нет особой разницы между Файлами и папками . Описанные выше действия применимы и к файлам.

Механизм наследования разрабатывался для быстрого, удобного, эффективного и безопасного управления файлами. Так как файлов в больших системах может быть десятки тысяч, то было очень утомительно заниматься каждым файлом отдельно. Это заставило компанию Microsoft разработать и внедрить в файловую систему NTFS более мощную и совершенную систему для управления правами доступа. Специалисты компании выбрали систему наследования прав , т.к. учет механизма наследования делает возможным сделать надежнее и безопаснее распределение прав на файлы и папки даже еще на стадии проектирования системы, до фазы ее развертывания. Данная система предоставляет возможность задать общие права для всех файлов, исправляя их на другие лишь в случаях необходимости.

Но есть и еще один случай, когда может пригодиться механизм наследования. Допустим, при установке нового приложения файл, который приложение копирует в определенную папку, не получает правильно выставленных прав безопасности. В итоге запущенный вирус или какая-либо вредоносная программа может получить непосредственный доступ к этому файлу, а через него и к операционной системе. Такая ситуация случается если данный модуль является частью драйвера и загружается операционной системой на стадии инициализации и загрузки ОС. Использование механизма наследования с заранее продуманными правами доступа полностью устранит возникновение подобных ситуаций. Преимущества механизма наследования очевидны.

2. Практическая часть

2.1. Вопросы по разделу

1. Что, по Вашему мнению, представляет собой файловая система?

2. Перечислите типы файловых систем, используемых линейкой Windows .

3. Опишите строение файловой системы FAT .

4. Перечислите существенные различия между видами файловых систем под общим названием FAT .

5. Почему файловой системе FAT необходимо постоянное обслужива-

6. Какие еще функции следует периодически выполнять в файловой системе FAT и почему?

7. Какие средства управления файловой системой FAT Вы знаете?

8. Какие программы для ускорения доступа к диску Вы знаете? Опишите одну из них.

9. Перечислите недостатки файловой системы FAT . Какой самый основной недостаток?

К ак и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share , наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию — всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

Первая колонка содержит уникальный идентификатор пользователя (SID) , вторая — описание прав (read, write и т.д.) , третья — флаг , указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет).

Основных прав доступа в NTFS четыре:

Read разрешает только чтение файла.
Write разрешает чтение и запись.
Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов.
Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL. Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control .

Наследование

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование .

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А», а в ней папку «Б», то папка «Б» будет иметь те же разрешения, что и папка «А». Следовательно, все файлы в папке «Б» получат разрешения папки «А» .

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет
2. Явное разрешение
3. Неявный запрет
4. Неявное разрешение

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются .

• При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

• При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL, изменяется только ссылка на него в таблице MFT.

• При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

Читайте также:

  1. III. Требования к организации системы обращения с медицинскими отходами
  2. III. Требования к организации системы обращения с медицинскими отходами
  3. IV. Механизмы реализации государственной национальной политики Российской Федерации
  4. IV. Механизмы реализации демографической политики в Ульяновской области на период до 2025 года
  5. T–лимфоцитзависимые (антителонезависимые) эффекторные механизмы иммунитета
  6. V. Механизм проведения конкурса.
  7. Акупунктурные микросистемы и человечек в ухе
Ссылка на основную публикацию
Консольные команды для бателфилд 4
Встречаем и вновь возвращаемся в самый: динамический, красивый, технически богатый и самый заселённый мир с постоянно ведущимися боевыми действиями. Самый...
Как сделать чтобы флешка работала быстрее
Читайте как настроить оптимальную производительность внешнего диска или флешки и ускорить передачу данных на внешний носитель информации и чтение из...
Как сделать ярлык почты на рабочем столе
Хотите быстро писать письма друзьям? Часто пишите Email по работе? Тогда можно просто создать ярлык Email на Вашем рабочем столе...
Конструкция степлера канцелярского схема
Первые степлеры появились во Франции в XVIII веке, их специально изобрели для короля Людовика XV. Но в то время это...
Adblock detector