Занятие 7. Устранение проблем, связанных с разрешениями
(Продолжительность занятия 20 минут)
Чаще всего пользователь сталкивается с такой проблемой, как невозможность получить доступ к ресурсам. На этом занятии описаны некоторые наиболее распространенные проблемы, связанные с разрешениями, и методы их устранения.
Проблема 1
Пользователь не может получить доступ к ресурсу.
Решение
Проверьте разрешения, присвоенные учетной записи пользователя и группам, членом которых он является. Если пользователю или какой-нибудь из групп, в которых он состоит, присвоено разрешение No Access (Нет доступа), пользователь не получит доступ к ресурсу.
Если файл был скопирован в пределах одного тома NTFS либо скопирован (перемещен) на другой том NTFS, то разрешения для него могут измениться изза наследования разрешений папки-источника.
Проблема 2
Пользователь может удалить файл, даже если ему присвоено разрешение No Access (Нет доступа) для этого файла.
В файловых системах UNIX пользователи, имеющие разрешения на запись для папок, могут удалять из них файлы. Так как Windows NT обеспечивает совместимость со стандартом POS1X (и, в частности, работу с файловыми системами UNIX), разрешение NTFS Full Control (Полный контроль) для папки позволяет пользователю удалить файл из этой папки даже при разрешении No Access (Нет доступа) для этого файла.
Решение
Лишите пользователя стандартного разрешения NTFS Full Control (Полный контроль) для этой папки и присвойте ему все индивидуальные разрешения для этой папки. Тем самым Вы предоставите пользователю все возможности разрешения Full Control (Полный контроль), но запретите ему удаление тех файлов папки, для которых он имеет разрешение No Access (Нет доступа).
Проблема 3
Вы добавили пользователя в группу, чтобы разрешить ему использовать ресурсы, но пользователь по-прежнему не может получить доступ к ресурсу.
Решение
Попросите пользователя выйти из системы, а затем снова зарегистрироваться, либо попросите его полностью отключиться от удаленного компьютера и попытаться снова подключиться к нему. В результате этих действий будет обновлен список групп, в состав которых входит пользователь.
При каждой регистрации пользователя в системе и его авторизации компьютером под управлением Windows NT для пользователя создается так называемый дескриптор безопасности (access token). Он содержит информацию обо всех группах, в которые входит пользователь. Для обновления дескриптора (например, что- бы учесть информацию о включении пользователя в новую группу), пользователь должен либо выйти из системы и зарегистрироваться снова, либо отключиться от удаленного компьютера и затем снова подключиться к нему.
> Выявление неправильных разрешений
Предположим, Вы — администратор сервера, на котором существует иерархия папок ппепктяппенняя ня пигунке
Установлены следующие права доступа к папкам «Данные» и «Отчеты».
Папка |
Сетевое имя |
Пользователь или группа |
Права доступа |
Данные |
Data |
Administrators (Администраторы) Managers (Менеджеры) |
Full Control (Полный контроль) Read (Чтение) |
Данные\ Менеджеры\ Отчеты |
MgrReports |
Administrators (Администраторы) |
Full Control |
|
|
Managers (Менеджеры) |
Full Control |
Для папок установлены следующие разрешения NTFS.
Папка |
Пользователь или группа |
Разрешения |
Данные |
Administrators (Администраторы) |
Full Control (Полный контроль) |
|
Managers (Менеджеры) |
Read (Чтение) |
Менеджеры |
Managers (Менеджеры) |
Add & Read (Чтение и запись) |
|
Creator Owner (Создатель/владелец) |
Full Control |
Отчеты |
Managers (Менеджеры) |
Add & Read |
|
Creator Owner (Создатель/владелец) |
Full Control |
Пользователь User1 — член группы Managers (Менеджеры) — сообщил Вам, что не может получить надлежащий доступ к папке «Отчеты». Подключившись к общей папке «Данные», он вправе лишь просматривать папки «менеджеры» и «Отчеты», но не создавать новые файлы или изменять файлы, владельцем которых он является. В чем заключается проблема и как ее устранить?
Удаление файла пользователем, имеющим разрешение No Access
В этом упражнении Вы смоделируете ситуацию, описанную в разделе «Проблема 2»: пользователь имеет разрешение Full Control (Полный контроль) для папки и No Access (Нет доступа) для файла этой папки. Сначала присвойте эти разрешения.
> Создание папки с разрешением Full Control
> Создание файла NoAccess.txt, имеющего разрешение No Access
Появится следующее сообщение:
You have denied access to drive:\LabFiles\FullAccess\NoAccess.txt. Nobody will be able to access drive:\LabFlles\FullAccess\NoAccess.txt and only the owner will be able to Change the permissions. Do you wish to continue?
(Доступ к диск:\LabFiles\FullAccess\NoAccess.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoAccess.txt сможет только владелец. Продолжить выполнение?) 3. Щелкните кнопки Yes (Да) и ОК, чтобы вернуться в Windows NT Explorer.
> Проверка действия разрешения Full Control для папки FullAccess
Delete noaccess.txt
Удалось ли Вам это сделать? Почему?
Как предотвратить подобную ситуацию?
> Создание папки и присвоение ей специальных разрешений
В этом упражнении Вы присвоите группе Everyone (Все) специальные разрешения для папки FullAccess.
Обратите внимание, что группа Everyone (Все) выбрана по умолчанию.
Появится диалоговое окно Special Directory Access (Специальный доступ к каталогам).
Теперь группе Everyone (Все) присвоено специальное разрешение для папки FullAccess.
> Создание файла и установка для него разрешения No Access
You have denied access to drive:\LabFiles\FullAccess\NoDelete.txt. Nobody will be able to access drive:\LabFiles\FullAccess\NoDelete.txt and only the owner will be able to change the permissions. Do you wish to continue?
(Доступ к диск:\LabFiles\FullAccess\NoDelete.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoDelete.txt сможет только владелец. Продолжить выполнение?)
> Проверка действия разрешения для папки FullAccess
Удалось ли Вам его открыть? Почему?
Delete noDelete.txt Удалось ли Вам это сделать? Почему?
Резюме
Дополнительную информацию о ... |
Вы найдете в ... |
разрешениях NTFS |
главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning |
томах FAT и NTFS |
главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit |
файловой системе NTFS |
главе 3, «Disk Management Basics», руководства Resource Guide комплекта документации Microsoft Windows NT Server Resource Kit; главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit |
маркерах доступа |
главе 2, «Network Security and Domain Planning», руководства Networking Guide комплекта документации Microsoft Windows NT Server Resource Kit |