? владельцем становится член группы Администраторы независимо от имеющихся прав. После этого любой член группы Администраторы может назначать разрешения на доступ к объекту.
Необходимо понимать, что назначить владельца нельзя, можно только предоставить право пользователю или группе пользователей стать им. Для действительного изменения пользователь, обладающий соответствующими правами, должен явно указать себя владельцем. Для этого следует предпринять следующие шаги:
1. В окне Свойства файла или папки на вкладке Безопасность нажать кнопку Дополнительно.
2. Перейти на вкладку Владелец и выбрать свое имя в списке Изменить владельца на.
3. Если объект – это папка, новый владелец должен установить флажок Заменять владельца субконтейнеров и объектов, для того чтобы стать владельцем всех вложенных папок и файлов.
4. Нажать кнопку ОК.
Рис. 3.5. Настройка особых разрешений
Аудит
Как видно на рис. 3.4, окно дополнительных параметров безопасности дает возможность настроить аудит безопасности.
Аудит безопасности обеспечивает наблюдение за различными событиями, затрагивающими безопасность. Отображение системных событий необходимо для определения злоумышленников или идентификации попыток несанкционированного доступа к данным системы. Примером события, подлежащего аудиту, является неудачная попытка доступа.
Наиболее общими типами событий для аудита являются:
? доступ к объектам, таким как файлы и папки;
? управление учетными записями пользователей и групп;
? вход пользователей в систему и выход из нее.
Кроме этого, создается журнал безопасности – специальный журнал событий, содержащий сведения о событиях системы безопасности, указанных в политике аудита.
Подробнее об аудите ресурсов и событий см. гл. 7.
3.1.7. Планирование разрешений NTFS
Можно намного упростить дальнейшую администраторскую работу по назначению разрешений на доступ к файлам и папкам, предотвратить несанкционированный доступ к информации, облегчить поиск решения в случае возникновения проблем, связанных с разрешениями, если следовать некоторым правилам:
? не назначайте разрешения отдельным пользователям, а предоставляйте доступ определенным группам. Объединяйте в группы тех пользователей, которым требуется доступ к одним и тем же ресурсам. Если вам, например, понадобится предоставить доступ к общим файлам компании новому пользователю какого-либо отдела, просто добавьте его учетную запись в группу, уже содержащую остальных пользователей из этого отдела. Если потом будет нужно запретить доступ, просто исключите пользователя из группы. Тем самым вы избавите себя от долгих поисков всех папок и файлов, к которым имеет доступ этот пользователь;
? для облегчения администрирования объединяйте файлы аналогичного содержания в отдельные папки или на отдельные диски. К примеру, можно объединять таким способом файлы приложений, документы, домашние папки пользователей. Для системных файлов выделите отдельный том. Таким образом, вы сможете назначать разрешения на доступ не к отдельным файлам, а целым папкам. Помимо этого, вы облегчите выполнение задач поиска данных и выполнение процедур резервного копирования;
? предоставляйте пользователям только тот уровень доступа, который необходим им для работы. Это уменьшит вероятность случайного или намеренного удаления или повреждения важной информации;
? явно запрещайте доступ только в том случае, если требуется предотвратить выполнение конкретных действий определенному пользователю или группе пользователей;
? пользуйтесь возможностью наследования разрешений, начинайте назначать разрешения с верхних уровней каталогов;
? не запрещайте группе Все доступ к системным файлам и папкам. Иначе вы просто не сможете работать с операционной системой;
? назначьте полный доступ к общим папкам группе Создатель-владелец, если вы хотите, чтобы пользователи могли сами выдавать разрешения на доступ к созданным ими файлам.
3.1.8. Копирование и перемещение объектов
При копировании или перемещении файлов и папок, разрешения, назначенные для доступа к ним, могут измениться, создавая проблемы тому, кому необходимо работать с этими данными, или наоборот, предоставляя доступ для тех, кто не должен его иметь. Чтобы избежать подобных проблем, необходимо понимать, что происходит с разрешениями при копировании и перемещении файлов и папок.
Копирование файлов и папок
Когда вы копируете файлы и папки с одного тома NTFS на другой, или в пределах одного тома, разрешения изменяются в соответствии с установленными разрешениями на том томе или папке, куда происходит копирование.
При этом Windows ХР Professional рассматривает копию как новый файл, а вы становитесь его создателем и владельцем. Конечно, при условии, что у вас есть разрешение на запись.
Если вы копируете данные на устройство с файловой системой FAT или FAT32, все разрешения теряются, поскольку эти системы не поддерживают такую возможность.
Перемещение файлов и папок
При перемещении файлов и папок разрешения, установленные для них, могут меняться или оставаться прежними в зависимости от того, куда происходит перемещение.
При перемещении в пределах одного тома NTFS следует учитывать следующее:
? файл или папка сохраняет первоначальные разрешения;
? вы должны иметь разрешение на запись для места назначения;
? вы должны иметь разрешение на изменение для перемещаемого файла или папки, так как после переноса файла на место назначения происходит удаление первоначального объекта;
? вы становитесь создателем и владельцем.
При перемещении файла или папки между томами NTFS наследуются разрешения той папки, которая является местом назначения. Остальные замечания, относящиеся к перемещению в пределах одного тома, остаются в силе и для перемещения между томами.
3.1.9. Установка разрешений из командной строки
Утилита командной строки CACLS (Control ACLs, управление таблицами доступа) позволяет просматривать и редактировать разрешения в Windows ХР Professional и Windows ХР Home Edition. И еще одна утилита, XCACLS (Extended CACLS, расширенное управление таблицами доступа) находится в архиве \Support\Tools\support.cab на установочном диске Windows ХР Professional.
Для любителей повозиться с командной строкой приводим справку по использованию команды cacls (листинг 3.1).
Листинг 3.1. Использование утилиты cacls
3.2. Общий доступ к папкам
Папки общего доступа (Shared Folders) предоставляют пользователям удаленных компьютеров возможность работы с данными по сети. Открывая общий доступ к папке, вы позволяете другим пользователям использовать содержимое этой папки. Какие действия могут выполняться с файлами и папками общего доступа, зависит от выданных разрешений. Ограничения на доступ могут задаваться как разрешениями NTFS, так и разрешениями папок общего доступа. При использовании файловых систем FAT и FAT32 назначать разрешения на доступ к данным можно только средствами папок совместного пользования.
3.2.1. Модели предоставления общего доступа
Windows ХР Professional предлагает две модели предоставления общего доступа:
? простой общий доступ к файлам (Simple File Sharing). Чтобы открыть общий доступ этим способом, достаточно установить один флажок на вкладке Доступ окна Свойства папки, как показано на рис. 3.6. Еще один флажок позволяет разрешить изменение файлов по сети. Но такая простота достигается за счет ограничения функциональных возможностей. Вы не сможете назначить различные и детализированные разрешения для разных пользователей. В этой модели Windows ХР Professional использует гостевую учетную запись (Guest account) для всех сетевых подключений;
? классический способ предоставления общего доступа. Этот способ работает так же, как и в Windows 2000 и, ранее, в Windows NT. Когда вы разрешаете общий доступ к папками, вы должны указать разрешения на общий доступ и разрешения NTFS для тех объектов, которые будут предоставлены в совместное пользование. Бы можете предоставить различный доступ на обоих уровнях разрешений для любого пользователя или группы пользователей. Также вы можете ограничить количество одновременных подключений к общему ресурсу.
Примечание