Настройка разрешений файловой системы
Устанавливая пользователям определенные разрешения (permissions) на доступ к файлам и каталогам (папкам), администраторы системы могут защищать конфиденциальную информацию от несанкционированного доступа. Каждый пользователь имеет определенный набор разрешений на доступ к каждому объекту файловой системы. Кроме того, пользователь может быть владельцем файла или папки, если сам их создает.
Разрешения пользователя на Доступ к объектам файловой системы работают по принципу дополнения (аддитивности). Это значит, что действующие разрешения, т. е. те разрешения, которые пользователь реально имеет в отношении конкретного каталога или файла, образуются из всех прямых и косвенных разрешений, назначенных пользователю для данного объекта с помощью логической функции ИЛИ. Например, если пользователь имеет прямо назначенное разрешение для каталога на чтение, а косвенно через членство в группе ему дано разрешение на запись, то в результате пользователь сможет читать информацию в файлах каталога и записывать в них данные.
Следует все же заметить, что правило сложения разрешений с помощью логического ИЛИ не выполняется, когда пользователь имеет определенное разрешение, а группе, в которую он входит, отказано в этом разрешении (или наоборот). В этом случае отказ в разрешении (Deny) имеет более высокий приоритет над предоставлением разрешения, т. е. в результате пользователь не будет иметь данного разрешения. Появление возможности отказа пользователю или группе в разрешении для файлов и каталогов сделало ненужным разрешение No Access, применявшееся в Windows NT 4.0. Теперь для отказа пользователю в разрешении на доступ к какому-либо файлу или папке следует включить пользователя в группу, которой отказано в разрешении Full Control (Полный доступ) для данного объекта файловой системы.
Все операции по работе с разрешениями выполняются из окна программы Windows Explorer (Проводник). Для назначения пользователю или группе разрешения на доступ к определенному файлу:
1. Выберите файл (или папку) и нажмите правую кнопку мыши. Выполните команду Properties (Свойства) контекстного меню. В появившемся окне свойств файла перейдите на вкладку Security (Безопасность)(Рисунок 7).
2. На панели Group or user names (Имена групп или пользователей) показан список пользователей и групп, которым уже предоставлены разрешения для данного файла. Для того чтобы добавить или удалить пользователей или группы, нажмите кнопку Add (Добавить) или Remove (Удалить) соответственно. При добавлении пользователей появится диалоговое окно Select Users, Computers, or Groups (Выбор: Пользователи, компьютеры или группы) (Рисунок 8).
Рисунок 9 Вкладка Security окна свойств файла
Рисунок 10 Диалоговое окно для выбора пользователя или группы
3. Здесь у вас две возможности: вы можете сразу ввести имя в поле Enter the object names to select и нажать кнопку Check Names для проверки введенного имя; если имя правильное, нажмите кнопку ОК. Для поиска нужных имен можно нажать кнопку Advanced. При этом откроется модифицированное окно Select Users, Computers, or Groups, в котором нужно нажать кнопку Find Now (Найти). (На компьютерах — членах домена в этом окне можно также задавать критерии поиска.) В нижней половине окна появится список всех групп и пользователей, имеющихся на компьютере или в домене (Рисунок 9). Выберите необходимое имя и нажмите кнопку ОК. Выбрав нужные имена в окне Select Users, Computers, or Groups, закройте его, нажав кнопку ОК.
Рисунок 11 Список пользователей и групп в домене moscow.epam.com
4. Теперь на панели Permissions (Разрешения) вкладки Security можно назначить или запретить стандартные разрешения для файлов — Full Control (Полный доступ), Modify (Изменить), Read & Execute (Чтение и выполнение), Read (Чтение) и Write (Запись). Для установки разрешения или отказа в разрешении служат флажки Allow (Разрешить) и Deny (Запретить). На вкладке также присутствует кнопка Advanced (Дополнительно), нажав которую можно перейти в окно для задания особых разрешений и опций управления наследованием разрешений.
Рисунок 12 Окно дополнительных параметров безопасности
Флажок Allow inheritable permissions from the parent to propagate to this object and all child objects (Переносить наследуемые от родительского объекта разрешения на этот объект) позволяет управлять наследованием разрешений от родительской папки. Если он сброшен, то все разрешения определяются только явно для выбранной папки, а наследование разрешений будет отменено. Если флажок сбрасывается, система предлагает либо скопировать унаследованные разрешения и применить их явно к папке, либо удалить и оставить только явно заданные разрешения.
Установленный флажок Replace permission entries on all child objects with entries shown here that apply to child objects (Заменить разрешения для дочерних объектов разрешениями, перечисленными для этой папки) позволяет принудительно переопределить разрешения для дочерних объектов, если даже последние имели явно определенные разрешения или сброшенный флажок наследования разрешений. При этом все дочерние папки и файлы будут иметь те же разрешения, что и у выбранной папки, и наследование от родительских объектов будет восстановлено.
Каждое из перечисленных выше стандартных разрешений состоит из набора специальных (особых) разрешений, задающих возможность выполнения того или иного конкретного действия с файлами или каталогами. В Таблица 1 показано соответствие стандартных и специальных разрешений. Более детально установка специальных разрешений рассмотрена ниже.
Таблица 1 Соответствие стандартных и специальных разрешений для файлов
| Специальные разрешения | Стандартные разрешения | |||
| Full Control | Modify | Read& Execute | Read | Write |
| Traverse Folder/Execute File(Обзор папок/ Выполнение файлов) | + | + | + | |
| List Folder/Read Data(Содержание папок/ Чтение данных) | + | + | + | + |
| Read Attributes (Чтение атрибутов) | + | + | + | + |
| Read Extended Attributes (Чтение дополнительных атрибутов) | + | + | + | + |
| Creat Files/Write Data (Создание файлов/Запись данных) | + | + | + | |
| Create Folders/Append Data (Создание папок/ Дозапись данных) | + | + | + | |
| Write Attributes (Запись атрибутов) | + | + | + | |
| Write Extended Attributes (Запись дополнительных атрибутов) | + | + | + | |
| Delete (Удаление) | + | + | ||
| Read Permissions (Чтение разрешений) | + | + | + | + |
| Change Permissions (Смена разрешений) | + | |||
| Take Ownership (Смена владельца) | + |
Для более тонкой настройки доступа к файлу:
1. На вкладке Security нажмите кнопку Advanced. Появится окно Advanced Security Settings (Дополнительные параметры безопасности), в Windows ХР и Windows Server 2003 оно несколько отличается от аналогичного окна в Windows 2000. На вкладке Permissions отображен список элементов управления доступом для данного файла (Рисунок 10) с именами пользователей или групп, которым предоставлены разрешения для данного объекта, и сами эти разрешения. Обратите внимание на столбец Inherited From (Наследовано от). Вы можете видеть, от какого объекта данный файл унаследовал установленное разрешение для конкретного пользователя или группы.
2. Флажок Allow inheritable permissions from the parent to propagate to this object and all child objects (Переносить наследуемые от родительского объекта разрешения на этот объект) позволяет управлять наследованием разрешений от родительского объекта. Если он сброшен, то все разрешения определяются только явно для выбранного файла, а наследование разрешений будет отменено. Если флажок сбрасывается, система предлагает либо скопировать унаследованные разрешения и применить их явно к файлу, либо удалить и оставить только явно заданные разрешения.
3. Чтобы отредактировать строку в окне Advanced Security Settings, сделайте на ней двойной щелчок, либо нажмите кнопку Edit (Изменить). Появится окно Permissions Entry (Элемент разрешения) (Рисунок 11), где можно предоставить одно или несколько специальных разрешений (special permissions) для файла (или отказать в разрешении), не объединенных в стандартное разрешение. Обратите внимание на то, что разрешения, унаследованные от родительских объектов, изменять нельзя, и они отмечены серым цветом.
Рисунок 13 Окно для редактирования специальных разрешений доступа к файлу
Можно область действия специальных разрешений (список Apply onto(Применять)):
§ This folder only (Только для этой папки);
§ This folder, subfolders and files (Для этой папки, ее подпапок и файлов);
§ This folder and subfolders(Для этой папки и ее подпапок);
§ This folder and files(Для этой папки и ее файлов);
§ Subfolders and files only (Только для подпапок и файлов);
§ Subfolders only (Только для подпапок);
§ Files only (Только для файлов).
Если не установлен флажок Apply these permissions to object and/or containers within this container only(Применять эти разрешения к объектам и контейнерам только внутри этого контейнера), установленные вами разрешения будут распространяться не только на объекты, определенные в списке Apply onto, но и на все объекты, находящиеся ниже по дереву.
Таблица 2 Специальные разрешения для файлов и каталогов
| Специальное разрешение | Описание |
| Traverse Folder / Execute File | Определяет возможность перемещения по каталогам файловой системы вне зависимости от того, имеет или не имеет пользователь разрешения для просмотра пересекаемых в процессе перемещения каталогов. На работу этого разрешения влияет политика безопасности Bypass Traverse Checking (Обход перекрестной проверки) (см. узел Local Policies | User Rights Assignment в параметрах безопасности). Разрешение Execute File (Выполнение файлов) определяет возможность исполнения программ |
| List Folder / Read Data | Определяет возможность просмотра имен файлов или подкаталогов данного каталога (относится только к каталогу). Разрешение Read Data (Чтение данных) определяет возможность просмотра данных файла |
| Read Attributes | Определяет возможность просмотра атрибутов файла или каталога. Сами атрибуты определяются операционной системой |
| Read Extended Attributes | Определяет возможность просмотра дополнительных атрибутов файла или каталога. Сами дополнительные атрибуты определяются операционной системой |
| Create Files /Write Data | Определяет возможность создания файлов внутри каталога (относится только к каталогам). Разрешение Write Data (Запись данных) определяет возможность изменения содержимого файлов или перезаписи существующих данных файла новой информацией (относится только к файлам) |
| Create Folders / Append Data | Определяет возможность создавать подкаталоги внутри данного каталога (относится только к каталогам). Разрешение Append Data (Дозапись данных) определяет возможность присоединения новых данных к существующему файлу без изменения, уничтожения или перезаписи существующей информации (относится только к файлам) |
| Write Attributes | Определяет возможность изменения атрибутов файла или каталога. Атрибуты определяются операционной системой |
| Write Extended Attributes | Определяет возможность изменения дополнительных атрибутов файла или каталога. Дополнительные атрибуты определяются программой и могут быть ею изменены |
| Delete Subfolders and Files | Определяет возможность удаления подкаталогов и файлов, находящихся в данном каталоге, даже если для этих подкаталогов и файлов нет разрешения Delete (Удаление). Это разрешение имеется только у каталогов |
| Delete | Определяет возможность удаления файла или каталога. Если вам отказано в разрешении Delete (Удаление) для данного каталога или файла, вы все же можете удалить их, получив разрешение Delete Subfolders and Files (Удаление подпапок и файлов) на родительский каталог |
| Read Permissions | Определяет возможность чтения таких разрешений для файлов и каталогов, как Full Access, Read и т. д. |
| Change Permissions | Определяет возможность изменения таких разрешений для файлов и каталогов, как Full Access, Read и т. д. |
| Take Ownership | Определяет возможность вступления во владение данным файлом или каталогом. Владелец файла или каталога может всегда изменить разрешения к этому объекту, независимо от других разрешений |