Права на доступ к файлам и каталогам.Понятие владельца
Права на доступ к файлам и каталогам определяют, может ли пользователь осуществлять к ним доступ и, если да, — то, как именно. Пользователь, создавший файл или каталог, является его владельцем. Владение файлом или каталогом позволяет пользователю изменять права на доступ к нему. Администратор может вступить во владение файлом или каталогом без согласия владельца, но не может передать его обратно во владение прежнему владельцу. Чтобы передать владение файлом, администратор должен зарегистрироваться под именем другого пользователя и взять файл во владение. Права на доступ к файлам и каталогам кумулятивны. Исключение составляет No Access (нет доступа), имеющее превосходство над остальными. Допустим, пользователь Львов имеет доступ к файлу FILE1 только на чтение. Одновременно он входит в группу «Инженеры», обладающую правом изменения (change) файла FILE1. Значит, Львов обладает возможностью как чтения, так и изменения файла FILE1. А вот если бы Львов входил в группу «Бухгалтерия», не имеющую доступа к файлу, он тоже не имел бы доступа к этому файлу. Запрет как отдельная сущность действует для тех же самых видов, что и право. На первый взгляд кажется странным, зачем специально определять запрет, еслиые указание права на какой-либо доступ равносильно запрету. Но как следует из приведенного примера, права кумулятивны, что не всегда удобно. Предположим, что Львов, входящий в группу «Инженеры», тем не менее, не должен обладать возможностью изменять файл FILE1. Только назначив ему конкретный запрет можно лишить такой возможности, оставив, в то же время, все другие, предоставляемые членством в группе «Инженеры». Предоставление прав на доступ к файлам и каталогам — основа защиты в Windows NT, управляемой пользователями.
Рабочее задание
- Создать две группы пользователей, преподаватели и студенты, и завести в них по два пользователя.
- Назначить квоту на дисковое пространство
- Настроить локальную и глобальную политики
- Создать для каждого пользователя
- Раздать права на доступ к файлу
Ход работы
Для просмотра и модификации свойств учетной записи достаточно щелкнуть имя пользователя или группы и на экране появится диалоговое окно User Properties.
Диалоговое окно User Properties, вкладка General
Диалоговое окно содержит следующие вкладки:
• General — общее описание пользователя; все параметры необяза-
тельные;
• Address — домашний и рабочий адрес пользователя; все параметры
необязательные;
• Account — обязательные параметры учетной записи;
• Telephone/notes — необязательные параметры;
• Organization — дополнительные необязательные сведения;
• Membership — обязательная информация о принадлежности пользователя к группам;
• Dial-in — параметры удаленного доступа;
• Object — идентификационные сведения о пользовательском объекте;
• Security — информация о защите объекта.
Необязательные параметры можно и не вводить, но они полезны при поиске того или иного пользователя по второстепенным признакам.
Диалоговое окно User Properties, вкладка Account
Здесь следует указать:
• характеристики пароля (должен ли пользователь его изменить при следующем входе в домен, имеет ли пароль ограничения по сроку);
• не заблокирована ли учетная запись;
• срок истечения времени действия учетной записи;
• профиль пользователя и его домашний каталог;
• время работы;
• рабочие станции, с которых допустим вход в домен.
Для включения пользователя в ту или иную группу выберите вкладку Membership. Появится список групп, в которые входит пользователь. Поскольку, обычно, пользователь может входить в группы, принадлежащие любому домену в дереве, имена групп записываются с указанием относительного пути в каталоге Active Directory.
Диалоговое окно User properties, вкладка Membership
Чтобы включить пользователя в новую группу, выделите ее в списке и щелкните кнопку Add. Чтобы исключить пользователя из группы, выделите ее в списке и щелкните кнопку Remove.
Права доступа к пользовательскому объекту станут доступны для просмотра и редактирования, если выбрать вкладку Security. Если рассматриваемый объект не является контейнером, то для него определяются наиболее общие разрешения, приведенные в таблице 2-1.
Таблица 2-1
Право доступа | Описание | Учетные записи, которым право доступа предоставлено по умолчанию |
Full Control Read Write System | Полный доступ Чтение Запись | Administrators, Account operators, System Administrators, Account operators, System, Authenticated users. Self Administrators, Account operators, |
Таблица 2-1 (продолжение)
Право доступа | Описание | Учетные записи, которым право доступа предоставлено по умолчанию |
Send To | Отправить | Administrators, Account operators, |
System | ||
Send As | Отправить как | Administrators, Account operators, |
System, Self | ||
Receive as | Принять как | Administrators, Account operators, |
System, Self | ||
Force change | Форсировать | Administrators, Account operators, |
password | смену пароля | System |
Change | Изменять | Administrators, Account operators, |
password | пароль | System, Self, Everyone |
Диалоговое окно User Properties, вкладка Security
Обратите внимание на то, что доступ можно не только предоставлять (поле Allow), но и запрещать (поле Deny). Это позволяет избежать создания множества дополнительных групп с наборами прав доступа,
немногим отличающимися друг от друга.
Дополнительно к перечисленным правам доступа для пользовательского объекта, определены еще несколько (см. таблицу 2-2).
Таблица 2-2
Право доступа | Описание | Учетные записи, которым право доступа предоставлено по умолчанию |
List contents | Полный | Administrators, Account operators, |
доступ | System, Authenticated users. Self | |
Read all | Чтение всех | Administrators, Account operators, |
properties | свойств | System, Authenticated users. Self |
Write all | Запись всех | Administrators, Account operators, |
properties | свойств | System |
Add/Remove | Добавлять | Administrators, Account operators, |
self as a | самого себя в | System |
member | качестве члена | |
Delete | Удалять | Administrators, Account operators, |
System | ||
Read | Чтение | Administrators, Account operators, |
permissions | прав доступа | System, Authenticated users. Self |
Modify | Изменять | Administrators, Account operators, |
permissions | права доступа | System |
Modify owner | Изменять | Administrators, Account operators, |
владельца | System |
Чтобы добавить нового пользователя в организационную единицу (OU), щелкните ее имя правой кнопкой мыши, выберите в контекстном меню команду New/User. Появится диалоговое окно Create User. w.
Это диалоговое окно во многом похоже на аналогичное в User Manager for domains. В нем так же можно указать общее имя пользователя (сп), его полное имя, пароль (со сроком действия, если есть), запрещено ли использование этой учетной записи. Отличие же состоит в том, что теперь, не создав пользователя, нельзя определить его свойства. Ранее же такая возможность предоставлялась еще до фактического добавления учетной записи в базу.
Свойства групп можно просмотреть так же, как и свойства любого объекта в каталоге: щелкнуть правой кнопкой мыши имя группы и в контекстном меню выбрать команду Properties. Перед Вами появится диалоговое окно Group Properties.
Диалоговое окно Group Properties, вкладка General
В диалоговом окне Group Properties есть вкладки со следующей информацией:
• General — общей о группе, а также список ее членов;
• Membership — о том, в какие группы входит выбранная группа;
• Managed by — об администраторе группы;
• Object — об объекте-группе;
• Security — о правах доступа к объекту-группе.
Список членов группы представлен в виде относительного имени пользователей в каталоге, например, domain /Users/Account Name. Для добавления новых пользователей надо щелкнуть кнопку Add и выбрать пользователей этого или иного домена.
Диалоговое окно Group Properties, вкладка Membership
Для включения группы в еще одну группу щелкните кнопку Add и укажите нужную группу. Для исключения выбранной группы из другой — выделите в списке имя той группы, которую надо покинуть, и щелкните кнопку Remove.
Добавление новой группы выполняется почти так же, как и добавление нового пользователя. Разница лишь в том, что, добавляя группу Вы первоначально указываете только имя объекта.
Для редактирования доменной политики следует щелкнуть кнопку Edit в группе Domain security policy на вкладке General диалогового окна Domain Properties. На экране появится диалоговое окно Default Domain Policy Properties. С его помощью можно изменять:
• максимальный срок действия пароля;
• минимальную длину пароля;
• минимальный срок неизменности пароля;
• уникальность пароля;
• блокировку учетных записей при неудачной регистрации;
• продолжительность блокировки;
• а также некоторые другие параметры.
Если администратор задал параметр Password never expires для конкретного пользователя, тот может не менять пароль. Но такая практика рекомендуется только для служебных учетных записей, от имени которых исполняются сервисы в системе.
Параметр Password uniquiness позволяет запоминать в системе от 1 до 24 паролей, что обеспечивает уникальные пароли для пользователя на протяжении длительного времени.
Включив флажок Password must be strong cистема сама позаботится о том, чтобы пароль содержал как минимум три из перечисленных ниже типа символов:
• прописные буквы латинского алфавита;
• строчные буквы латинского алфавита;
• цифры;
• специальные символы.
Если включен флажок User must logon in order to change password,
пользователю придется прежде, чем изменить пароль, зарегистрироваться в системе. Иначе он сделает это и без регистрации. Регулирование этого параметра особенно актуально, когда истекает срок действия пароля. Если флажок включен, пользователь самостоятельно не изменит пароль, и ему придется обратиться к администратору. Если нет, пароль можно изменить, не ставя администратора в известность,
Открыв вкладку Account Lockout диалогового окна Default Domain
Policy Properties, Вы попадете в раздел доменной политики, позволяющий обезопасить Вашу систему от «словарных атак»- — программ, взламывающих систему защиты путем перебора в поисках пароля наиболее часто используемых слов и фраз из словаря. Чтобы такая программа не могла работать, установите максимальное число неудачных попыток регистрации (по умолчанию пять), после которых учетная запись будет заблокирована. Можно также указать время, через которое счет неудачных попыток сбросится (по умолчанию 20 минут), и время, в течение которого учетная запись будет блокирована (по умолчанию 1 час). После удачной регистрации счет неудачных регистрации будет обнулен.