Самоучитель системного администратора. 5-е издание

Download 19,93 Mb.

Pdf ko'rish

bet	45/141
Sana	27.06.2022
Hajmi	19,93 Mb.
	#710588

1 ... 41 42 43 44 45 46 47 48 ... 141

Bog'liq
Samouchitel-sistemnogo-administratora RuLit Me 610071

Глава 4
Таблица 4.3.
Группы пользователей
Группа
Включает объекты
Допустимые вложения групп
Локальная
Пользователи
Универсальные и глобальные группы
любого
домена
Локальная безопасности
Пользователи
Глобальные группы
Глобальная
Пользователи
Глобальные группы этого же домена
Глобальная безопасности
Глобальная группа
Нет
Универсальная
Пользователи и компью-
теры
Универсальные и глобальные группы
любого
домена
Начиная с Windows 2000, в режиме native mode администраторы могут изменять
типы групп, а именно — преобразовывать группу безопасности (Security group)
в группу рассылки (Distribution group), и наоборот. Возможна также смена области
действия группы с универсальной на доменную.
Обратите только внимание, что наличие вложенных групп в некоторых случаях
может препятствовать преобразованию типа родительской группы.
Ролевое управление
Современные прикладные программы предусматривают работу с данными пользо-
вателей, имеющих различающиеся функциональные обязанности. Для регулирова-
ния прав доступа к возможностям программы принято использовать
ролевое управ-
ление
. Роль представляет собой предварительно настроенный набор прав пользова-
теля, выполняющего определенные обязанности (директор, главный бухгалтер,
кассир и т. п.). При подключении нового пользователя такой системы администра-
тору достаточно предоставить ему тот или иной предварительно подготовленный
набор прав.
Прикладные программы могут создавать роли как для группы безопасности в до-
мене, так и для локальных групп на том компьютере, где работает программа.
Администратору остается только включить необходимых пользователей (или груп-
пу пользователей, если таковая уже создана) в состав соответствующей роли.
Результирующее право: разрешить или запретить?
При назначении прав можно определить как
разрешение
, так и
запрещение
на вы-
полнение какой-либо операции. Если пользователь входит в несколько групп, то
каждая из них может иметь свой набор разрешений и запретов для той или иной
операции. Как формируется итоговое разрешение, особенно если разрешения раз-
личных групп противоречат друг другу?
Первоначально проверяется, существуют ли
запреты
на выполнение операций для
какой-либо из групп, в которые входит пользователь, и для самой учетной записи.
Если хотя бы для одной группы определен запрет доступа, то система сформирует
отказ в операции. Затем проверяется наличие разрешений на
доступ
. Если хотя бы

Информационные системы предприятия
171
для одной группы будет найдено разрешение, то пользователь получит право вы-
полнения желаемого действия.
В соответствии с описанным правилом обработки, если пользователь, как член
одной группы, имеет разрешение на выполнение действия, а как член другой груп-
пы — запрет, то результатом явится отказ в выполнении операции.
Следует быть крайне осторожным при назначении явных запретов. Очень легко
(если на компьютере используется сложная структура групп) запретить даже само-
му себе выполнение тех или иных операций.
П
РИМЕЧАНИЕ
Существует единственное отступление от принципа преимущества запрета перед
разрешением, известное авторам. Это определение итогового разрешения на основе
наследуемых
и
явно указанных
прав, которое описано в
разд. «Наследуемые разре-
шения: будьте внимательны»
далее в этой главе
.
Разрешения общего доступа и разрешения безопасности
Для объектов, предоставляемых в совместное использование, существуют два типа
разрешений. Это разрешения общего доступа и разрешения безопасности.
Разрешения
общего доступа
определяют право на использование того или иного
ресурса при сетевом подключении. Если у пользователя нет такого права (или
это действие запрещено явно), то он просто не сможет
подключиться
к запра-
шиваемому ресурсу.
Разрешение
безопасности
— это разрешение на уровне прав доступа файловой
системы. Оно существует при работе в файловой системе типа NTFS и проверя-
ется
независимо
от разрешений общего доступа. Иными словами, если пользова-
телю разрешено подключаться к этому ресурсу по сети, но доступ к файлам за-
прещен разрешениями безопасности, то в итоге работа с такими файлами будет
невозможна. Если диск с ресурсами имеет формат файловой системы FAT
(FAT32), то доступ по сети будет контролироваться
только
разрешениями об-
щего доступа.
П
РИМЕЧАНИЕ
Типичной ошибкой пользователей, связанной с наличием двух типов разрешений, яв-
ляется предоставление в совместное использование папок, находящихся на рабочем
столе. После предоставления общего доступа к таким папкам другие пользователи не
могут открыть файлы и т. п. Связана эта ошибка с тем, что рабочий стол — это папка
в профиле пользователя. А разрешение безопасности на профиль пользователя по
умолчанию разрешает доступ к нему
только
этому пользователю и администратору
компьютера. Поэтому для возможности работы других пользователей с такой общей
папкой необходимо добавить для них
разрешения безопасности
на уровне файловой
системы.
Поскольку разрешения общего доступа и разрешения безопасности в определенной
степени дублируют друг друга (с точки зрения результата), то на практике их
обычно комбинируют в зависимости от желаемых условий доступа:

172
Глава 4
права доступа ко всем объектам сетевого ресурса одинаковы для всех пользова-
телей — в этом случае разрешения общего доступа и разрешения безопасности
выставляются идентичными для всех заданных групп пользователей;
права доступа различны для разных объектов сетевого ресурса. Часто бывает
так, что к одним файлам нужно предоставить полный доступ, а другие — разре-
шить только просматривать и т. д. В этом случае можно настроить права досту-
па следующим образом:
•
разрешения общего доступа устанавливаются по максимально возможным
правам. Так, если часть файлов должна быть доступна только для чтения, а

Download 19,93 Mb.

Do'stlaringiz bilan baham:

1 ... 41 42 43 44 45 46 47 48 ... 141