Занятие 7. Устранение проблем, связанных с разрешениями

(Продолжительность занятия 20 минут)

Чаще всего пользователь сталкивается с такой проблемой, как невозможность получить доступ к ресурсам. На этом занятии описаны некоторые наиболее распространенные проблемы, связанные с разрешениями, и методы их устранения.


Изучив материал этого занятия, Вы сможете:

Проблема 1

Пользователь не может получить доступ к ресурсу.

Решение

Проверьте разрешения, присвоенные учетной записи пользователя и группам, членом которых он является. Если пользователю или какой-нибудь из групп, в которых он состоит, присвоено разрешение No Access (Нет доступа), пользователь не получит доступ к ресурсу.

Если файл был скопирован в пределах одного тома NTFS либо скопирован (перемещен) на другой том NTFS, то разрешения для него могут измениться изза наследования разрешений папки-источника.

Проблема 2

Пользователь может удалить файл, даже если ему присвоено разрешение No Access (Нет доступа) для этого файла.

В файловых системах UNIX пользователи, имеющие разрешения на запись для папок, могут удалять из них файлы. Так как Windows NT обеспечивает совместимость со стандартом POS1X (и, в частности, работу с файловыми системами UNIX), разрешение NTFS Full Control (Полный контроль) для папки позволяет пользователю удалить файл из этой папки даже при разрешении No Access (Нет доступа) для этого файла.

Решение

Лишите пользователя стандартного разрешения NTFS Full Control (Полный контроль) для этой папки и присвойте ему все индивидуальные разрешения для этой папки. Тем самым Вы предоставите пользователю все возможности разрешения Full Control (Полный контроль), но запретите ему удаление тех файлов папки, для которых он имеет разрешение No Access (Нет доступа).

 


Примечание. Эта ситуация — единственное исключение из правила «разрешения для файлов имеют приоритет, над разрешениями для папок».

Проблема 3

Вы добавили пользователя в группу, чтобы разрешить ему использовать ресурсы, но пользователь по-прежнему не может получить доступ к ресурсу.

Решение

Попросите пользователя выйти из системы, а затем снова зарегистрироваться, либо попросите его полностью отключиться от удаленного компьютера и попытаться снова подключиться к нему. В результате этих действий будет обновлен список групп, в состав которых входит пользователь.

При каждой регистрации пользователя в системе и его авторизации компьютером под управлением Windows NT для пользователя создается так называемый дескриптор безопасности (access token). Он содержит информацию обо всех группах, в которые входит пользователь. Для обновления дескриптора (например, что- бы учесть информацию о включении пользователя в новую группу), пользователь должен либо выйти из системы и зарегистрироваться снова, либо отключиться от удаленного компьютера и затем снова подключиться к нему.

> Выявление неправильных разрешений

Предположим, Вы — администратор сервера, на котором существует иерархия папок ппепктяппенняя ня пигунке

packet634.jpg

Установлены следующие права доступа к папкам «Данные» и «Отчеты».

Папка

Сетевое имя

Пользователь или группа

Права доступа

Данные

Data

Administrators (Администраторы)

Managers (Менеджеры)

Full Control (Полный контроль)

Read (Чтение)

Данные\ Менеджеры\ Отчеты

MgrReports

Administrators (Администраторы)

Full Control

Managers (Менеджеры)

Full Control

Для папок установлены следующие разрешения NTFS.

Папка

Пользователь или группа

Разрешения

Данные

Administrators (Администраторы)

Full Control (Полный контроль)

Managers (Менеджеры)

Read (Чтение)

Менеджеры

Managers (Менеджеры)

Add & Read (Чтение и запись)

Creator Owner (Создатель/владелец)

Full Control

Отчеты

Managers (Менеджеры)

Add & Read

Creator Owner (Создатель/владелец)

Full Control

Пользователь User1 — член группы Managers (Менеджеры) — сообщил Вам, что не может получить надлежащий доступ к папке «Отчеты». Подключившись к общей папке «Данные», он вправе лишь просматривать папки «менеджеры» и «Отчеты», но не создавать новые файлы или изменять файлы, владельцем которых он является. В чем заключается проблема и как ее устранить?

ответ

Удаление файла пользователем, имеющим разрешение No Access

В этом упражнении Вы смоделируете ситуацию, описанную в разделе «Проблема 2»: пользователь имеет разрешение Full Control (Полный контроль) для папки и No Access (Нет доступа) для файла этой папки. Сначала присвойте эти разрешения.

> Создание папки с разрешением Full Control

  1. Зарегистрируйтесь в системе по учетной записи Аdministrator и запустите Windows NT Explorer (Проводник).
  2. В папке LabFiles создайте папку FullAccess.
  3. Убедитесь, что группа Everyone (Все) имеет разрешение NTFS Full Control (Полный контроль) для папки LabFiles\FullAccess.

> Создание файла NoAccess.txt, имеющего разрешение No Access

  1. В папке FullAccess создайте текстовый файл NoAccess.txt.
  2. Присвойте группе Everyone (Все) разрешение No Access (Нет доступа) для файла NoAccess.txt.

    Появится следующее сообщение:

    You have denied access to drive:\LabFiles\FullAccess\NoAccess.txt. Nobody will be able to access drive:\LabFlles\FullAccess\NoAccess.txt and only the owner will be able to Change the permissions. Do you wish to continue?

    (Доступ к диск:\LabFiles\FullAccess\NoAccess.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoAccess.txt сможет только владелец. Продолжить выполнение?) 3. Щелкните кнопки Yes (Да) и ОК, чтобы вернуться в Windows NT Explorer.

> Проверка действия разрешения Full Control для папки FullAccess

  1. В папке Lab Files\ FullAccess дважды щелкните файл NoAccess.txt, чтобы открыть его. Удалось ли Вам его открыть? Почему?

    ответ

  2. Щелкните кнопку Start (Пуск), выберите в меню пункт Programs (Программы) и щелкните пункт Command Prompt (Командная строка).
  3. Перейдите в папку диск:\LabFiles\FullAccess.
  4. Удалите файл NoAccess.txt, набрав следующую команду:

    Delete noaccess.txt

    Удалось ли Вам это сделать? Почему?

ответ

Как предотвратить подобную ситуацию?

> Создание папки и присвоение ей специальных разрешений

В этом упражнении Вы присвоите группе Everyone (Все) специальные разрешения для папки FullAccess.

  1. Переключитесь в Windows NT Explorer (Проводник), щелкните правой кнопкой мыши папку FullAccess и выберите из появившегося меню пункт Properties (Свойства).
  2. Щелкните вкладку Security (Безопасность), затем щелкните кнопку Permissions (Разрешения).

    Обратите внимание, что группа Everyone (Все) выбрана по умолчанию.

  3. В списке Type of Access (Тип доступа) выберите строку Special Directory Access (Специальный доступ к каталогам).

    Появится диалоговое окно Special Directory Access (Специальный доступ к каталогам).

  4. Щелкните переключатель Other (Избранные разрешения), установите все флажки, соответствующие индивидуальным разрешениям, и щелкните кнопку ОК.
  5. Щелкните кнопку ОК, чтобы вернуться в диалоговое окно FullAccess Properties (Свойства: FullAccess). Щелкните кнопку ОК еще раз, чтобы изменения вступили в силу.

    Теперь группе Everyone (Все) присвоено специальное разрешение для папки FullAccess.

> Создание файла и установка для него разрешения No Access

  1. В папке FullAccess создайте текстовый файл с именем NoDelete.txt.
  2. Присвойте группе Everyone (Все) разрешение Wo Access (Нет доступа) для файла NoDelete.txt. Появится следующее сообщение:

    You have denied access to drive:\LabFiles\FullAccess\NoDelete.txt. Nobody will be able to access drive:\LabFiles\FullAccess\NoDelete.txt and only the owner will be able to change the permissions. Do you wish to continue?

    (Доступ к диск:\LabFiles\FullAccess\NoDelete.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoDelete.txt сможет только владелец. Продолжить выполнение?)

  3. Щелкните кнопку Yes (Да), а затем — кнопку ОК.

> Проверка действия разрешения для папки FullAccess

  1. В папке Lab Files\ FullAccess дважды щелкните файл NoDelete.txt, чтобы открыть его.

    Удалось ли Вам его открыть? Почему?

    ответ

  2. В меню Start (Пуск) выберите пункт Programs (Программы), а затем щелкните пункт Command Prompt (Командная строка).
  3. Перейдите в папку диск:\LabFiles\FullAccess.
  4. Удалите файл NoDelete.txt, набрав следующую команду:

    Delete noDelete.txt Удалось ли Вам это сделать? Почему?

    ответ

Резюме

Дополнительную информацию о ...

Вы найдете в ...

разрешениях NTFS

главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning

томах FAT и NTFS

главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit

файловой системе NTFS

главе 3, «Disk Management Basics», руководства Resource Guide комплекта документации Microsoft Windows NT Server Resource Kit; главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit

маркерах доступа

главе 2, «Network Security and Domain Planning», руководства Networking Guide комплекта документации Microsoft Windows NT Server Resource Kit

 




Сайт создан в системе uCoz