Самоучитель системного администратора. 5-е издание

Информационные системы предприятия 
173 
Рис. 4.9. 
Дополнительные параметры безопасности 
но право запрета на доступ, а явно задано разрешение, то в результате пользователь 
сможет
выполнять операции с файлами. 
В свойствах файла отмечены как запреты (унаследованы от родительской папки, 
выделены серым фоном флажка выбора), так и явно назначенные полные права 
владения. В этом случае будет действовать 
явное назначение прав
. Пользователь 
сможет выполнять с файлом любые операции, несмотря на наличие запрета. 
В такой ситуации результирующие права неверно отображаются самой системой — 
показано полное отсутствие прав, несмотря на наличие разрешения полного дос- 
тупа. 
П
РИМЕЧАНИЕ
Администратору следует внимательно отнестись к таким ситуациям, поскольку это 
может привести к неучитываемым возможностям доступа к данным. Так, на компьюте-
рах авторов окно отображения результирующих прав доступа неверно демонстриро-
вало существующие разрешения — права доступа к файлу не были показаны, хотя 
они фактически имелись. 
Восстановление доступа к ресурсам 
В условиях предприятия нередки ситуации, когда необходимо получить доступ
к ресурсам, разрешения на использование которых не существует. Это могут быть 
файлы уволившегося пользователя или ресурсы, ставшие недоступными для всех 
пользователей вследствие ошибки, произошедшей при наложении разрешений. 

174 
Глава 4 
Для разрешения подобных ситуаций используется специальное право — право вла-
дельца объекта. 
Владелец объекта
— эта та учетная запись, от имени которой создан объект. У вла-
дельца объекта есть 
неотъемлемое право
— назначать разрешения безопасности. 
Иными словами, если пользователь создал файл, а потом администратор запретил 
ему с помощью разрешений безопасности доступ к этому файлу, то пользователь, 
как владелец этого файла, сможет в любой момент восстановить работу с таким 
ресурсом (или предоставить право работы другому пользователю). 
Владельца объекта можно заменить. По умолчанию возможностью присвоить себе 
право владельца объекта обладают только администраторы. 
Для получения доступа к объектам в общем случае администратор должен выпол-
нить следующие действия: 
1.
Сначала стать владельцем этих объектов — выполняется с помощью кнопки 
Дополнительно
в настройках безопасности. 
2.
Воспользовавшись правом владельца объекта, установить для него желаемые 
разрешения безопасности. 
П
РИМЕЧАНИЕ
Обратите внимание, что квоты использования дискового пространства рассчитывают-
ся соответственно владельцам объектов, поэтому, когда администратор для получе-
ния разрешения безопасности становится владельцем некоей папки, объем этой пап-
ки переходит из квоты пользователя в квоту администратора. 
Обход перекрестной проверки 
Если пользователю запрещен доступ к текущей папке, но разрешен к вложенной, то 
он сможет, например, открыть файл из последней, указав явным образом полный 
путь к нему. Эту особенность принято называть 
обходом перекрестной проверки
. 
Настройкой параметров безопасности можно запретить эту возможность. Однако 
такое решение должно применяться только в особых, специально аргументирован-
ных случаях, поскольку оно повлечет сбои в работе многих программ (например, 
невозможность работы в Outlook Web Access). 
Администратору следует учитывать такой вариант предоставления прав доступа 
и правильно настраивать соответствующие параметры. 
Изменение атрибутов объектов
при операциях копирования и перемещения 
При операциях копирования/перемещения файлов могут меняться их атрибуты. 
Неточное понимание вариантов изменения разрешений может привести к незапла-
нированному результату. Так, если при копировании файла он перестанет
1
быть 
1
Такое поведение было свойственно Windows XP — в последующих версиях система выдает преду-
преждение, что файл после копирования или перемещения будет уже незашифрованным. 

Информационные системы предприятия 
175 
зашифрованным, а вы по-прежнему считаете информацию, содержащуюся в нем, 
защищенной, то такой факт может привести к неприятным последствиям. 
П
РИМЕЧАНИЕ
Описываемые далее правила изменения атрибутов имеют смысл только при файло-
вых операциях на дисках с системой NTFS. Если файл копируется/перемещается на 
диск с файловой системой FAT32 (FAT), то он теряет атрибуты шифрования, сжатия
и т. п. Иными словами, после копирования шифрованного файла на флешку он пере-
станет быть зашифрованным. Следует учитывать это и при копировании файлов на 
сетевые ресурсы, поскольку они могут размещаться на дисках с файловыми система-
ми FAT. 
Что необходимо учитывать при выполнении файловых операций? По умолчанию 
вновь создаваемые объекты 
наследуют
те разрешения, которые присвоены их ро-
дителям. Так, файл будет иметь те же параметры безопасности, что и папка, в кото-
рой он создается. Соответственно, если вы создаете новый файл в папке, которой 
присвоен атрибут «зашифрованный», то этот файл также будет зашифрованным. 
Или если вы создаете файл в папке, к которой нет доступа пользователю 
Иванов
,
то 
и к файлу этот пользователь доступа не получит. 
При операциях копирования файл 
создается
заново. Поэтому по новому месту он 
всегда будет иметь атрибуты той папки, в которую скопирован. В результате, если 
вы скопируете зашифрованный файл в незашифрованную папку, файл в этой папке 
после завершения операции окажется незашифрованным. Если вы копируете обыч-
ный файл в папку с атрибутом «сжатый», то новый файл будет подвергнут динами-
ческому сжатию. 
Операции перемещения имеют некоторые особенности: 
если файл перемещается 
с одного диска на другой
, то операция фактически
будет состоять из двух этапов: копирования файла, а потом его удаления
с прежнего места расположения. Поэтому атрибуты файлу будут присвоены по 
правилам операции копирования, и он будет иметь атрибут той папки, в кото-
рую помещен; 
если файл перемещается 
в пределах одного диска
, то операционная система не 
выполняет операцию копирования. Файл остается на прежнем месте, только
в таблице размещения файлов для него меняется соответствующий указатель. 
Иными словами, все атрибуты файла остаются неизменными. Таким образом, 
при перемещении незашифрованного файла в зашифрованную папку на том же 
диске информация в файле останется незашифрованной. 
Результирующие права и утилиты 
Как правило, на предприятии существует достаточно сложная структура групп 
пользователей с отличающимися правами доступа к информации. При этом часть 
прав наследуется от родительских групп, некоторые права прописываются за поль-
зователями или группами явно. А для доступа по сети к совместно используемым 
ресурсам необходимо интегрировать как права доступа, заданные для файловой 
системы, так и права доступа совместного использования. 

176 
Глава 4 
Поскольку обычно пользователь одновременно входит в несколько групп, то опре-
делить, получит ли он в итоге право доступа к тому или иному объекту, часто
бывает очень сложно. Поэтому в системе введена возможность отображения
результирующего права
пользователя. 
Для того чтобы узнать, какие права пользователь (группа) будет иметь по отноше-
нию к некоторому объекту, достаточно открыть свойства объекта, на вкладке 
Без- 
опасность
нажать кнопку 
Дополнительно
и выбрать вкладку 
Действующие
разрешения
. После чего необходимо выбрать пользователя, для которого будут 
определяться действующие права, и посмотреть итоговый результат (рис. 4.10). 
Рис. 4.10. 
Отображение действующих прав доступа к файлу
для выбранного пользователя 
П
РИМЕЧАНИЕ
Средствами групповой политики администратор имеет возможность отключения про-
смотра результирующих прав. 
Рекомендации по применению разрешений 
Общая рекомендация при назначении прав доступа состоит в преимущественном 
использовании групп по сравнению с назначением прав для отдельных пользовате-
лей. Такой подход упрощает администрирование, позволяет гораздо быстрее, про-
ще и понятнее устанавливать разрешения. 

Информационные системы предприятия 
177 
Например, для локального компьютера можно создать несколько локальных групп, 
объединить в них как пользователей этой системы, так и доменные учетные записи, 
после чего уже с использованием созданных групп назначать разрешения на доступ 
к тем или иным объектам. 
В общем случае рекомендуется придерживаться следующего порядка назначения 
разрешений: необходимые учетные записи следует добавить в глобальные группы 
домена, глобальные группы домена включить в локальные группы домена и уже 
для этих локальных групп назначать желаемые разрешения. 
Создание и удаление учетных записей 
После установки операционной системы вы начинаете работу с правами учетной 
записи 
Администратор
(
Administrator
— для интернациональных версий ОС). 
Пользователь 
Администратор
обладает максимальными правами в своей операци-
онной системе — используя права администратора можно создавать, модифициро-
вать, удалять другие учетные записи, выполнять любые операции по настройке 
системы и т. п. 
Настоятельно рекомендуется задать для этой учетной записи длинный и сложный 
пароль. Такой пароль должен состоять из цифр, букв и знаков подчеркивания. Сло-
ва не должны быть словарными. Если вы сами не можете придумать сложный па-
роль, воспользуйтесь генераторами паролей — таких в Интернете множество. 
Для управления учетными записями используются специальные оснастки: управ-
ления компьютером в локальном случае (рис. 4.11) и оснастка управления 
AD | 
Пользователи и компьютеры 
при создании доменных пользователей. 
При создании новых пользователей домена рекомендуется устанавливать для них 
требование смены пароля при первом входе в сеть. 
Управлять учетной записью можно из командной строки. Так, добавить пользова-
теля можно командой: 
NET USER <
имя
> <
пароль
> /ADD 
а удалить: 
NET USER <
имя
> /DELETE 
Если на предприятии используются дополнительные параметры учетной записи 
(название отдела, адрес и т. п.), то более удобно при создании нового пользователя 
перенести в его учетную запись максимум настроек, которые имеют аналогичные 
пользователи. Для этих целей можно воспользоваться операцией 
копирования 
учетной записи
. При копировании программа создает новую учетную запись, в на-
стройки которой будут перенесены те параметры, которые не являются личными 
характеристиками. Например, новая учетная запись будет уже включена в те груп-
пы, в которые входила исходная учетная запись, но такой параметр, как номер те-
лефона (который также может являться одной из характеристик пользователя), ско-
пирован не будет. 

178 

Download 19,93 Mb.

Do'stlaringiz bilan baham: