На этом занятии Вы познакомитесь
со всеми этапами присвоения разрешений NTFS.
Изучив материал этого занятия,
Вы сможете:
описать условия, необходимые
для присвоения разрешений NTFS;
присваивать учетным записям
пользователей и групп разрешения NTFS на доступ к файлам и папкам.
Условия
присвоения разрешений
Чтобы присваивать разрешения
NTFS, нужно быть владельцем папки или файла или иметь одно из следующих разрешений:
стандартное — Full
Control (Полный контроль);
специальное, включающее
индивидуальное разрешение Change Permissions (Смена разрешений);
специальное, включающее
индивидуальное разрешение Take Ownership (Смена владельца): имея его,
пользователь может сначала объявить себя владельцем
файла или папки, а затем изменить разрешения на доступ к этому ресурсу.
Разрешения
по умолчанию
По умолчанию присваиваются
следующие разрешения NTFS.
При форматировании тома
и установке файловой системы NTFS право Full Control (Полный контроль)
автоматически присваивается группе Everyone (Все); это обеспечивает
полный доступ к тому всем пользователям, имеющим привилегию Logon locally
(Локальная регистрация).
При создании на томе
NTFS новой папки или файла наследуются разрешения папки, в которой объект
был создан.
Осторожно! При установке
Windows NT на том NTFS некоторым системным папкам автоматически присваиваются
определенные разрешения NTFS. Не изменяйте разрешения, присвоенные системным папкам
и файлам. Полный список этих разрешений Вы найдете в документе Microsoft Windows
NT Server Concepts and Planning.
Разрешения NTFS на доступ
к папкам и файлам
Чтобы изменить разрешения
NTFS, в Windows NT Explorer (Проводник) щелкните файл или папку правой кнопкой
мыши, выберите из появившегося меню пункт Properties
(Свойства), щелкните вкладку Security (Безопасность) и нажмите кноп ку
Permissions (Разрешения).
Если Вы измените разрешения
для файла, появится диалоговое окно File Permissions (Разрешения: Файл),
если же для папки, будет открыто диалоговое окно Directory Permissions
(Разрешения: Папка).
В таблице описаны параметры
этих диалоговых окон.
Параметр
Выполняемая функция
Replace Permissions
on Subdirectories (Сменить
разрешения для подкаталогов)
Флажок доступен только
для папок и по умолчанию — сброшен. Если же он установлен, существующие
разрешения будут изменены для всех папок, вложенных в данную папку. Этот
параметр не влияет на разрешения для вложенных файлов
Replace Permissions
on Existing Files (Сменить
разрешения для существующих файлов)
Флажок доступен только
для папок и по умолчанию — установлен. В этом случае существующие разрешения
будут изменены для всех файлов, содержащихся в данной папке. При этом
разрешения для файлов, содержащихся во вложенных папках, изменены не будут
Name (Имя)
В этом поле перечислены
разрешения на доступ к данному файлу или папке, присвоенные пользователю
или группе. В первой паре скобок указаны разрешения для папки, а во второй
— разрешения для всех новых файлов, которые будут созданы в этой папке
Type of Access
(Тип доступа)
В этом поле перечислены
разрешения на доступ к файлу или папке, присвоенные текущему пользователю
(группе) в области Name (Имя). Здесь можно изменить разрешения
> Присвоение
группе Users разрешений на доступ к папке
В этом упражнении Вы присвоите
группе Users (Пользователи) разрешение Add & Read (Чтение и запись)
и отмените разрешения, присвоенные по умолчанию группе Everyone (Все).
Зарегистрируйтесь в
системе по учетной записи Administrator (Администра-тор) и запустите
Windows NT Explorer (Проводник).
Раскройте папку LabFiles,
щелкните правой кнопкой мыши папку Public и выберите в появившемся меню пункт
Properties (Свойства).
Щелкните вкладку Security
(Безопасность), а затем — кнопку Permissions (Разрешения). Появится
диалоговое окно Directory Permissions (Разрешения: Каталог). Обратите
внимание, что по умолчанию группе Everyone (Все) присвоено разрешение
Full Control (Полный контроль).
В диалоговом окне Directory
Permissions (Разрешения: Каталог) щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей
и групп).
Убедитесь, что в поле
List Names From (Список имен с) указано имя Вашего домена.
В области Names
(Имена) щелкните строку Users (Пользователи), а затем — кнопку Add
(Добавить), В области AddNames (Добавить имена) появится группа
Users (Пользователи).
В списке Type of
Access (Тип доступа) выберите строку Add & Read (Чтение и запись)
и щелкните кнопку ОК. Группа Users (Пользователи) появится в
диалоговом окне Directory Permissions (Разрешения: Каталог). Обратите
внимание, что рядом с текстом Add & Read (Чтение и запись) появилось
обозначение (RWX)(RX). В первой паре скобок указаны разрешения для папки,
во второй — разрешения для ее файлов.
В области Name
(Имя) щелкните строку Everyone (Все) (если она еще не выбрана), а затем
— кнопку Remove (Удалить). Группа Everyone (Все) исчезнет из
списка.
>
Присвоение группе Creator Owner разрешений на доступ к папке.
В этом упражнении Вы присвоите
группе Creator Owner (Создатель/владелец) разрешение Full Control
(Полный контроль), чтобы пользователи могли изменять свои файлы.
В диалоговом окне Directory
Permissions (Разрешения: Каталог) щелкните кнопку Add (Добавить).
Появится диалоговое окно Add Users and Groups (Добавление пользователей
и групп).
Убедитесь, что в поле
List Names From (Список имен с) указано имя Вашего домена.
В области Names
(Имена) щелкните строку Creator Owner (Создатель/владелец), а затем
— кнопку Add (Добавить).
В списке Type of
Access (Тип доступа) выберите строку Full Control (Полный контроль)
и щелкните кнопку ОК.
Группа Creator Owner
(Создатель/владелец) с разрешением Full Control (Полный контроль)
появится в диалоговом окне Directory Permissions (Разрешения: Каталог).
>
Присвоение группе Administrators разрешений на доступ к папке
Появится диалоговое
окно Add Users and Groups (Добавление пользователей и групп).
Убедитесь, что в поле
List Names From (Список имен с) указано имя Вашего домена.
В области Names
(Имена) щелкните строку Administrators (Администраторы), а затем —
кнопку Add (Добавить).
В списке Type of
Access (Тип доступа) выберите строку Full Control (Полный контроль)
и щелкните кнопку ОК.
Обратите внимание: в
диалоговом окне Directory Permissions (Разрешения: Каталог) указано,
что группы Administrators (Администраторы) и Creator Owner
(Создатель/владелец) имеют разрешение Full Control (Полный контроль),
а группа Users (Пользователи) — разрешение Add & Read
(Чтение и запись).
Установите флажок
Replace Permissions on Subdirectories (Сменить разрешения для подкаталогов),
чтобы распространить новые разрешения на все папки данной ступени иерархии.
Убедитесь, что флажок
Replace Permissions on Existing Files (Сменить разрешения для существующих
файлов) установлен, и щелкните кнопку ОК.
Появится следующее сообщение:
Do you want to replace
the security information on all existing subdirectories within drive:\LabFiles\Public?
(Заменить параметры
безопасности для всех существующих подкаталогов в диск:\LabFiles\Public?)
Щелкните кнопку Yes
(Да), чтобы вернуться в диалоговое окно Public Properties (Свойства:
Public). Щелкните кнопку ОК, чтобы изменения вступили в силу.
Средствами программы
Notepad (Блокнот) создайте в папке Lab Files\ Public файл с именем Chapter6.txt.
>
Проверка действия разрешений NTFS для папки Public
В этом упражнении Вы попытаетесь
открыть, изменить и удалить файлы, созданные двумя различными пользователями.
Зарегистрируйтесь в
системе по учетной записи CustomerService6 (Сотрудник службы поддержки)
и запустите программу Windows NT Explorer (Проводник).
Раскройте папку LabFiles\Public.
Попытайтесь создать
файл в папке Public. Удалось ли Вам это сделать? Почему?
В этом упражнении Вы присвоите
разрешения NTFS на основании примерного плана, приведенного в «Шаблоне планирования
разрешений NTFS» приложения «Шаблоны планирования».
В приложении «Шаблоны
планирования» найдите «Шаблон планирования разрешений NTFS».
Зарегистрируйтесь в
системе по учетной записи Administrator (Администратор).
Запустите программу
Windows NT Explorer (Проводник) и откройте папку Lab Files.
В папке LabFiles щелкните
правой кнопкой мыши папку или файл (из перечисленных в «Шаблоне планирования
разрешений NTFS») и выберите в появившемся меню пункт Properties (Свойства).
Если Вы выбрали папку,
настройте следующие параметры; в противном случае — пропустите этот пункт.
Установите флажок
Replace Permissions on Subdirectories (Сменить разрешения для подкаталогов).
Убедитесь, что установлен
флажок Replace Permissions on Existing Files (Сменить
разрешения для существующих файлов).
Щелкните кнопку
Add (Добавить), чтобы присвоить пользователям или локальным группам разрешения
на папку или файл.
Появится диалоговое
окно Add Users and Groups (Добавление пользователей и групп).
Щелкните кнопку Show
Users (Пользователи).
В области Names
(Имена) выберите пользователя или локальную группу (из перечисленных в «Шаблоне
планирования разрешений NTFS») и щелкните кнопку Add (Добавить).
Имя пользователя или
локальной группы появится в области Add Names (Добавить имена).
В списке Туре of
Access (Тип доступа) выберите соответствующие разрешения.
Присвойте пользователям
и группам соответствующие разрешения для всех файлов и папок, перечисленных
в «Шаблоне планирования разрешений NTFS». Папку Public можно пропустить, поскольку
разрешения для нее были установлены в предыдущем упражнении.
Закройте Windows NT
Explorer и выйдите из системы.
>
Проверка действия разрешений для папки при подключении пользователя по сети
В этом упражнении Вы смоделируете
подключение по сети — подключитесь к собственному компьютеру, чтобы проверить
действие разрешений для папки Manuals (Руководства).
Зарегистрируйтесь в
системе по учетной записи User6.
Щелкните кнопку Start
(Пуск), выберите пункт Run (Выполнить), затем в поле Open (Открыть)
введите строку \\имя_компьютера\Риbliс (вместо имя_ компьютера
подставьте имя своего компьютера) и щелкните кнопку ОК.
Появится окно Public
on имя_компьютера.
Раскройте папку Manuals
и попытайтесь создать в ней файл. Удалось ли Вам это сделать? Почему?
Закройте Windows NT
Explorer и выйдите из системы.
>
Теперь проделайте то же самое, зарегистрировавшись по другой учетной записи.
Зарегистрируйтесь в
системе по учетной записи CustomerService6.
Щелкните кнопку
Start (Пуск), выберите пункт Run (Выполнить), затем в поле Open
(Открыть) введите строку \\имя_компьютера\Publiс (вместо имя_
компьютера подставьте имя своего компьютера) и щелкните кнопку ОК.
Запустите Windows NT
Explorer (Проводник) и раскройте папку LabFiles\ Public\Manuals.
Попытайтесь создать
файл в этой папке. Удалось ли Вам это сделать? Почему?
Закройте Windows NT
Explorer и выйдите из системы.
Специальные разрешения
В большинстве случаев для
защиты папок и файлов вполне достаточно стандартных разрешений. Однако иногда
приходится применять специальные разрешения для присвоения учетным записям групп
и пользователей нужных комбинаций индивидуальных разрешений*. Ниже приведены
примеры таких ситуаций.
Если требуется предоставить
пользователю право манипулировать разрешениями для файлов, владельцем которых
он не является, присвойте ему разрешение Change Permissions (P) (Смена
разрешений).
Чтобы защитить программные
файлы от случайного удаления или от инфицирования вирусами, присвойте всем
учетным записям пользователей, в том числе и административным, разрешение
Read (R) (Чтение) для исполняемых файлов.
Чтобы разрешить администраторам
модифицировать исполняемые файлы присвойте группе Administrators (Администраторы)
разрешение Change Permissions (P) (Смена разрешений). Оно позволит
администраторам изменять при необходимости разрешения для файлов, доступных
по умолчанию только для чтения.
Примечание Специальные
разрешения одинаковы для папок и файлов. * В частности, специальными считаются
все индивидуальные разрешения. — Прим. ред.
>
Присвоение стандартных разрешений для папки Games
В этом упражнении Вы присвоите
локальным группам Administrators (Администраторы) и Users (Пользователи)
стандартное разрешение Read (Чтение), чтобы подготовиться к следующему
упражнению.
Зарегистрируйтесь в
системе по учетной записи Administrator (Администратор).
Запустите Windows NT
Explorer (Проводник) и раскройте папку LabFiles\Apps.
Щелкните правой кнопкой
мыши папку Games и в появившемся меню выберите пункт Properties (Свойства).
В диалоговом окне
Games Properties (Свойства: Games) щелкните вкладку Security (Безопасность),
а затем — кнопку Permissions (Разрешения).
Выберите группу Everyone
(Все), щелкните кнопку Remove (Удалить), а затем — кнопку Add
(Добавить).
Убедитесь, что в поле
List Names From (Список имен с) указано имя Вашего домена.
В области Names
(Имена) щелкните строку Administrators (Администраторы) а затем — кнопку
Add (Добавить).
В области Names
(Имена) щелкните строку Users (Пользователи) а затем - кнопку Add
(Добавить).
В списке Type of
Access (Тип доступа) выберите строку Read (Чтение) и щелкните кнопку
ОК.
В диалоговом окне
Directory Permissions (Разрешения: Каталог) напротив названий групп
Administrators (Администраторы) и Users (Пользователи) будет
указано присвоенное им разрешение Read (RX)(RX) [Чтение (RX)(RX)].
Это объясняется тем, что стандартное разрешение /Рейс/представляет собой
комбинацию индивидуальных разрешений Read (Чтение) и Execute
(Выполнение).
>
Присвоение специальных разрешений файлам
В этом упражнении Вы присвоите
группе Administrators (Администраторы) специальное разрешение Change
Permissions (Смена разрешений), чтобы позволить ее членам изменять разрешения
для файлов папки Games.
В диалоговом окне Directory
Permissions (Разрешения: Каталог) выберите группу Administrators (Администраторы),
в списке Type of Access (Тип доступа) строку Special File Access
(Специальный доступ к файлам).
Появится диалоговое
окно Special File Access (Специальный доступ к файлам).
Обратите внимание, что
разрешения Read (Чтение) и Execute (Выполнение) выбраны (из
этих индивидуальных разрешений состоит стандартное разрешение Read).
Выберите разрешение
Change Permissions (Р) [Смена разрешений (Р)] и щелкните кнопку ОК.
Обратите внимание, что
рядом с названием группы Administrators (Администраторы)
теперь указано разрешение Special Access (RX)(RXP) [Специальный доступ
(RX)(RXP)]. В первых скобках — разрешения для папки, во вторых- для файлов
этой папки.
Убедитесь, что установлен
флажок Replace Permissions on Existing Files (Сменить разрешения для
существующих файлов) — это позволит распространить выбранное разрешение на
все файлы данной папки.
Два раза щелкните кнопку
ОК, чтобы вернуться в Windows NT Explorer.
>
Проверка действия специальных разрешений для файлов
В Windows NT Explorer
(Проводник) раскройте папку LabFiles\Apps\Games.
Попытайтесь запустить
файл Kolumz.exe. Удалось ли Вам это сделать? Почему?
Попытайтесь удалить
файл Kolumz.exe. Удалось ли Вам это сделать? Почему?
Попытайтесь присвоить
группе Administrators (Администраторы) разрешение Full Control
(Полный контроль) для файла Kolumz.exe. Удалось ли Вам это сделать? Почему?
Резюме
Чтобы присваивать разрешения
NTFS, нужно быть владельцем папки (файла) или иметь одно из следующих разрешений:
стандартное Full Control (Полный контроль) или специальное, включающее
индивидуальное разрешение Change Permissions (Смена разрешений) или
Take Ownership (Смена владельца).
При форматировании
тома файловой системы NTFS группе Everyone (Все) автоматически присваивается
разрешение Full Control (Полный контроль).
Специальные разрешения
используются, когда нужно создать нестандартную комбинацию индивидуальных
разрешений.
Дополнительную
информацию о ...
Вы найдете в ...
стратегии использования
разрешений NTFS
главе 4, «Managing
Shared Resources and Resource Security», документа Microsoft Windows
NT Server Concepts and Planning
присвоении специальных
разрешении
главе 4, «Managing
Shared Resources and Resource Security», документа Microsoft Windows
NT Server Concepts and Planning
управлении доступом
к файлам и папкам
главе 3, «Disk Management
Basics», руководства Resource Guide комплекта документации Microsoft
Windows NT Server Resource Kit
