Занятие 7. Устранение проблем, связанных с разрешениями

(Продолжительность занятия 20 минут)

Чаще всего пользователь сталкивается с такой проблемой, как невозможность получить доступ к ресурсам. На этом занятии описаны некоторые наиболее распространенные проблемы, связанные с разрешениями, и методы их устранения.

• распознать основные причины отказа в доступе к рессурсам;
• усиранять основные проблемы, связанные с разрешениями.

Проблема 1

Пользователь не может получить доступ к ресурсу.

Решение

Проверьте разрешения, присвоенные учетной записи пользователя и группам, членом которых он является. Если пользователю или какой-нибудь из групп, в которых он состоит, присвоено разрешение No Access (Нет доступа), пользователь не получит доступ к ресурсу.

Если файл был скопирован в пределах одного тома NTFS либо скопирован (перемещен) на другой том NTFS, то разрешения для него могут измениться изза наследования разрешений папки-источника.

Проблема 2

Пользователь может удалить файл, даже если ему присвоено разрешение No Access (Нет доступа) для этого файла.

В файловых системах UNIX пользователи, имеющие разрешения на запись для папок, могут удалять из них файлы. Так как Windows NT обеспечивает совместимость со стандартом POS1X (и, в частности, работу с файловыми системами UNIX), разрешение NTFS Full Control (Полный контроль) для папки позволяет пользователю удалить файл из этой папки даже при разрешении No Access (Нет доступа) для этого файла.

Решение

Лишите пользователя стандартного разрешения NTFS Full Control (Полный контроль) для этой папки и присвойте ему все индивидуальные разрешения для этой папки. Тем самым Вы предоставите пользователю все возможности разрешения Full Control (Полный контроль), но запретите ему удаление тех файлов папки, для которых он имеет разрешение No Access (Нет доступа).

Проблема 3

Вы добавили пользователя в группу, чтобы разрешить ему использовать ресурсы, но пользователь по-прежнему не может получить доступ к ресурсу.

Решение

Попросите пользователя выйти из системы, а затем снова зарегистрироваться, либо попросите его полностью отключиться от удаленного компьютера и попытаться снова подключиться к нему. В результате этих действий будет обновлен список групп, в состав которых входит пользователь.

При каждой регистрации пользователя в системе и его авторизации компьютером под управлением Windows NT для пользователя создается так называемый дескриптор безопасности (access token). Он содержит информацию обо всех группах, в которые входит пользователь. Для обновления дескриптора (например, что- бы учесть информацию о включении пользователя в новую группу), пользователь должен либо выйти из системы и зарегистрироваться снова, либо отключиться от удаленного компьютера и затем снова подключиться к нему.

> Выявление неправильных разрешений

Предположим, Вы — администратор сервера, на котором существует иерархия папок ппепктяппенняя ня пигунке

Установлены следующие права доступа к папкам «Данные» и «Отчеты».

Папка	Сетевое имя	Пользователь или группа	Права доступа
Данные	Data	Administrators (Администраторы) Managers (Менеджеры)	Full Control (Полный контроль) Read (Чтение)
Данные\ Менеджеры\ Отчеты	MgrReports	Administrators (Администраторы)	Full Control
		Managers (Менеджеры)	Full Control

Для папок установлены следующие разрешения NTFS.

Папка	Пользователь или группа	Разрешения
Данные	Administrators (Администраторы)	Full Control (Полный контроль)
	Managers (Менеджеры)	Read (Чтение)
Менеджеры	Managers (Менеджеры)	Add & Read (Чтение и запись)
	Creator Owner (Создатель/владелец)	Full Control
Отчеты	Managers (Менеджеры)	Add & Read
	Creator Owner (Создатель/владелец)	Full Control

Пользователь User1 — член группы Managers (Менеджеры) — сообщил Вам, что не может получить надлежащий доступ к папке «Отчеты». Подключившись к общей папке «Данные», он вправе лишь просматривать папки «менеджеры» и «Отчеты», но не создавать новые файлы или изменять файлы, владельцем которых он является. В чем заключается проблема и как ее устранить?

ответ

Удаление файла пользователем, имеющим разрешение No Access

В этом упражнении Вы смоделируете ситуацию, описанную в разделе «Проблема 2»: пользователь имеет разрешение Full Control (Полный контроль) для папки и No Access (Нет доступа) для файла этой папки. Сначала присвойте эти разрешения.

> Создание папки с разрешением Full Control

1. Зарегистрируйтесь в системе по учетной записи Аdministrator и запустите Windows NT Explorer (Проводник).
2. В папке LabFiles создайте папку FullAccess.
3. Убедитесь, что группа Everyone (Все) имеет разрешение NTFS Full Control (Полный контроль) для папки LabFiles\FullAccess.

> Создание файла NoAccess.txt, имеющего разрешение No Access

1. В папке FullAccess создайте текстовый файл NoAccess.txt.
2. Присвойте группе Everyone (Все) разрешение No Access (Нет доступа) для файла NoAccess.txt.

   Появится следующее сообщение:

   You have denied access to drive:\LabFiles\FullAccess\NoAccess.txt. Nobody will be able to access drive:\LabFlles\FullAccess\NoAccess.txt and only the owner will be able to Change the permissions. Do you wish to continue?

   (Доступ к диск:\LabFiles\FullAccess\NoAccess.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoAccess.txt сможет только владелец. Продолжить выполнение?) 3. Щелкните кнопки Yes (Да) и ОК, чтобы вернуться в Windows NT Explorer.

> Проверка действия разрешения Full Control для папки FullAccess

1. В папке Lab Files\ FullAccess дважды щелкните файл NoAccess.txt, чтобы открыть его. Удалось ли Вам его открыть? Почему?

   ответ

2. Щелкните кнопку Start (Пуск), выберите в меню пункт Programs (Программы) и щелкните пункт Command Prompt (Командная строка).
3. Перейдите в папку диск:\LabFiles\FullAccess.
4. Удалите файл NoAccess.txt, набрав следующую команду:

   Delete noaccess.txt

   Удалось ли Вам это сделать? Почему?

ответ

Как предотвратить подобную ситуацию?

> Создание папки и присвоение ей специальных разрешений

В этом упражнении Вы присвоите группе Everyone (Все) специальные разрешения для папки FullAccess.

1. Переключитесь в Windows NT Explorer (Проводник), щелкните правой кнопкой мыши папку FullAccess и выберите из появившегося меню пункт Properties (Свойства).
2. Щелкните вкладку Security (Безопасность), затем щелкните кнопку Permissions (Разрешения).

   Обратите внимание, что группа Everyone (Все) выбрана по умолчанию.

3. В списке Type of Access (Тип доступа) выберите строку Special Directory Access (Специальный доступ к каталогам).

   Появится диалоговое окно Special Directory Access (Специальный доступ к каталогам).

4. Щелкните переключатель Other (Избранные разрешения), установите все флажки, соответствующие индивидуальным разрешениям, и щелкните кнопку ОК.
5. Щелкните кнопку ОК, чтобы вернуться в диалоговое окно FullAccess Properties (Свойства: FullAccess). Щелкните кнопку ОК еще раз, чтобы изменения вступили в силу.

   Теперь группе Everyone (Все) присвоено специальное разрешение для папки FullAccess.

> Создание файла и установка для него разрешения No Access

1. В папке FullAccess создайте текстовый файл с именем NoDelete.txt.
2. Присвойте группе Everyone (Все) разрешение Wo Access (Нет доступа) для файла NoDelete.txt. Появится следующее сообщение:

   You have denied access to drive:\LabFiles\FullAccess\NoDelete.txt. Nobody will be able to access drive:\LabFiles\FullAccess\NoDelete.txt and only the owner will be able to change the permissions. Do you wish to continue?

   (Доступ к диск:\LabFiles\FullAccess\NoDelete.txt будет запрещен для всех пользователей, а изменить разрешения на доступ к диск:\LabFiles\FullAccess\NoDelete.txt сможет только владелец. Продолжить выполнение?)

3. Щелкните кнопку Yes (Да), а затем — кнопку ОК.

> Проверка действия разрешения для папки FullAccess

1. В папке Lab Files\ FullAccess дважды щелкните файл NoDelete.txt, чтобы открыть его.

   Удалось ли Вам его открыть? Почему?

   ответ

2. В меню Start (Пуск) выберите пункт Programs (Программы), а затем щелкните пункт Command Prompt (Командная строка).
3. Перейдите в папку диск:\LabFiles\FullAccess.
4. Удалите файл NoDelete.txt, набрав следующую команду:

   Delete noDelete.txt Удалось ли Вам это сделать? Почему?

   ответ

Резюме

• Если пользователь не может получить доступ к ресурсу, проверьте разрешения, присвоенные учетной записи пользователя и групп, членом которых он является.
• Разрешение NTFS Full Control (Полный контроль) для папки позволяет пользователю удалить файл из этой папки, даже если ему присвоено разрешение No Access (Нет доступа) для этого файла. Чтобы избежать подобной ситуации, лишите пользователей стандартного разрешения Full Control (Полный контроль) для этой папки и вместо этого присвойте им все индивидуальные разрешения на доступ к данной папке.
• Если пользователь не может получить доступ к ресурсу после того, как Вы добавили его в группу, имеющую разрешение на использование этого ресурса, попросите пользователя выйти из системы и зарегистрироваться снова или отключиться от ресурса и затем подключиться к нему.

Дополнительную информацию о ...	Вы найдете в ...
разрешениях NTFS	главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning
томах FAT и NTFS	главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit
файловой системе NTFS	главе 3, «Disk Management Basics», руководства Resource Guide комплекта документации Microsoft Windows NT Server Resource Kit; главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit
маркерах доступа	главе 2, «Network Security and Domain Planning», руководства Networking Guide комплекта документации Microsoft Windows NT Server Resource Kit