Опубликован: 15.10.2008 | Доступ: свободный | Студентов: 3143 / 506 | Оценка: 4.48 / 4.23 | Длительность: 45:21:00
Лекция 6:

Файловые системы и функции

< Лекция 5 || Лекция 6: 12345 || Лекция 7 >

Коррекция полномочий

Вы можете задавать более детальные настройки безопасности NTFS путем создания групп безопасности и последующего добавления конкретных полномочий для этих групп к дискам, папкам и файлам. Пользователи, которым требуется созданный вами настроенный набор полномочий, могут получать его путем их добавления в соответствующую группу. Например, вам может потребоваться добавление групп для определенных отделов (бухучет, исследования, ИТ и т.д.) и последующее задание более сильных полномочий по папкам, которые требуются сотрудникам этих отделов). Это лучше, чем перемещение пользователей в группы административного уровня, которые дали бы им повышенные полномочия по всем объектам.

Создание группы безопасности для настраиваемых полномочий

Вы можете создать новую группу безопасности для домена и затем включить в эту группу членов, которым требуются полномочия, назначаемые вами этой группе в определенных папках. В оснастке Active Directory Users and Computers перейдите к уровню, на котором вы хотите создать эту группу. Вы можете создать группу в домене, в организационной единице или в папке домена (например, в папке Users). Вы можете даже создать группу в папке Built-in для домена, но обычно я избегаю этого (просто чтобы поддерживать стандартный подход) и создаю мои новые группы в папке Users. Щелкните правой кнопкой на этом контейнере и выберите в контекстном меню пункт New/Group, после чего появится диалоговое окно New Object-Group.


Задайте имя группы и выберите область действия группы (Group scope) и тип (Group type). Группы, которые вы создаете для задания полномочий и прав пользователей, это всегда группы безопасности (Security), в том время как группы, которые вы создаете для обмена информацией (например, для вашей программы электронной почты), это группы рассылки (Distribution). Область действия групп варьируется в зависимости от того, как вы хотите использовать группу, и от текущей конфигурации вашего предприятия.

Глобальные группы (Global). В глобальные группы можно включать пользователей из домена. Допускается вложенность глобальных групп, если все эти глобальные группы находятся в одном домене. Вы можете поместить глобальную группу в локальную группу на любом сервере. Вы можете также поместить глобальную группу внутри локальной группы доверяемого домена (а это на самом деле означает, что вы можете поместить глобальную группу почти всюду в лесу).

Локальные в домене группы (Domain local).Локальные в домене группы это глобальные группы, которые нельзя поместить в локальные группы доверяемых доменов. Иначе внутри их собственного домена вы можете создавать их в группах других типов.

Если вы создаете группу на компьютере, который не является контроллером домена, то можете также выбрать тип группы "local". Эта группа существует только на данном компьютере, и в нее можно включать только локальных пользователей..

Универсальные группы.Универсальные группы (Universal) имеют намного больше возможностей, поскольку они обладают намного большей гибкостью относительно объектов, внутри которых они могут находиться и которые они могут содержать.

  • Вы можете поместить в любую универсальную группу любую глобальную группу из любого домена.
  • Вы можете поместить любую универсальную группу в любую другую универсальную группу.
  • Вы можете поместить любую универсальную группу в любую локальную или локальную в домене группу.

Опция создания универсальной группы недоступна, пока ваш домен не станет работать в собственном режиме (native mode),когда все контроллеры домена работают под управлением Windows 2000 или Windows Server 2003. Более подробную информацию по созданию, использованию и управлению группами см. в "Управление группами и организационными единицами" .

Добавление группы к объекту и задание полномочий

После того, как вы создали и заполнили группу, для которой хотите задать специализированные полномочия, вы можете добавить эту группу к списку элементов, которые имеют набор полномочий для определенного объекта, используя следующие шаги.

  1. Во вкладке Security щелкните на кнопке Add, чтобы открыть диалоговое окно Select Users, Computers, or Groups.
  2. Введите имя группы, для которой хотите задать полномочия.
  3. Щелкните на кнопке OK, чтобы добавить эту группу в список Group или в список имен пользователей.

После добавления группы в список вкладки Security вы можете задать полномочия. Щелкните на флажке Allow или Deny рядом с полномочиями, которые вы хотите разрешить или запретить. Затем щелкните на кнопке OK.

Действующие полномочия (Effective Permissions)

В Windows Server 2003 введена удобная возможность: во вкладке Security диалогового окна свойств объекта выводятся действующие полномочия для пользователей и групп, которые определены для этого объекта. Это не является чем-то новым, и всегда являлось важным фактором в определении доступа для заданного пользователя, но теперь вы можете видеть эту информацию вместо ее определения собственными средствами. Действующие полномочия – это "реальные" полномочия, которые получает пользователь в соответствии с его членством в группах,

Щелкните на кнопке Advanced диалогового окна Security и перейдите во вкладку Effective Permissions. Щелкните на кнопке Select, введите имя пользователя или группы и щелкните на кнопке OK. Соответствующие флажки будут указывать действующие полномочия пользователя или группы по этому объекту.

Эти полномочия рассчитываются с учетом членства в группах и наследуемых полномочий. Система также просматривает все доменные и локальные группы, в которые включен данный пользователь или группа. Полномочия разделяемого доступа в этом расчете не учитываются.

Учет значения Deny для полномочий

Если вы просматриваете действующие полномочия для определенного пользователя, и результаты вас не устраивают или если пользователь жалуется на недостаточные права, проверьте все полномочия по данному объекту, чтобы увидеть, не выбрано ли значение Deny для определенных полномочий для какой-либо группы. Большинство администраторов используют значение Deny, чтобы переопределить полномочия, которые они считают слишком широкими для определенной группы. Однако эти действия могут оказаться опасными, если вы не понимаете, что полномочия со значением "deny" учитываются в первую очередь, когда Windows определяет, может ли определенный пользователь выполнять конкретную задачу. Если встречается значение Deny, это может означать, что другие назначенные права, возможно, не учитываются.

Избегайте использования явных полномочий Deny кроме тех случаев, когда у вас нет иного способа получить конкретный уровень полномочий, которые требуются для определенной группы. Затем тщательно проверьте наследуемые полномочия и убедитесь, что ваши полномочия "deny" не подавляют базовые полномочия, такие как Read.

< Лекция 5 || Лекция 6: 12345 || Лекция 7 >
Григорий Дроздов
Григорий Дроздов
Россия, Санкт-Петербург, Санкт-Петербургский гуманитарный университет профсоюзов, 2006