Владислав Карпюк - Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270

В Windows ХР Professional, в отличие от Windows 2000, группа Всебольше не включает в себя группу Анонимный вход.

Для того чтобы просмотреть, назначить или изменить разрешения на доступ к файлу или папке, надо открыть вкладку Безопасность(Security) окна Свойстваэтой папки или файла. Открывшееся окно (на рис. 3.3 показаны разрешения для папки) позволяет просмотреть, каким пользователям и группам доступ уже разрешен и какие разрешения им предоставлены, а также дает возможность предоставить доступ другим пользователям и группам или изменить уже назначенные разрешения.

Примечание

В Windows ХР Professional вкладка Безопасностьможет не отображаться. Для того чтобы включить ее отображение, запустите Проводник, в меню Сервисвыберите Свойства папки.На вкладке Видснимите флажок Использовать простой общий доступ к файлам (рекомендуется).

Рис. 3.3.Просмотр разрешений объекта

С помощью кнопки Дополнительноможно вызвать окно, позволяющее устанавливать специальные разрешения, задавать параметры наследования, изменять владельца и просматривать действующие разрешения (рис. 3.4).

Щелкнув два раза по какой-либо строке в списке Элементы разрешенийили выбрав строку и нажав кнопку Изменить,можно открыть окно, с помощью которого устанавливаются особые разрешения (рис. 3.5).

У каждого объекта имеется владелец – при создании объекта пользователь, создавший его, автоматически становится его владельцем. В дальнейшем этот статус может получить другой пользователь. Смена владельца может произойти, если:

□ текущий владелец или любой пользователь, имеющий полный доступ к файлу или папке, предоставляет другому пользователю разрешение Смена владельца,после чего тот может в любой момент стать владельцем объекта;

Рис. 3.4.Окно Дополнительные параметры безопасности для Documents and Settings

□ владельцем становится член группы Администраторынезависимо от имеющихся прав. После этого любой член группы Администраторыможет назначать разрешения на доступ к объекту.

Необходимо понимать, что назначить владельца нельзя, можно только предоставить право пользователю или группе пользователей стать им. Для действительного изменения пользователь, обладающий соответствующими правами, должен явно указать себя владельцем. Для этого следует предпринять следующие шаги:

1. В окне Свойствафайла или папки на вкладке Безопасностьнажать кнопку Дополнительно.

2. Перейти на вкладку Владелеци выбрать свое имя в списке Изменить владельца на.

3. Если объект – это папка, новый владелец должен установить флажок Заменять владельца субконтейнеров и объектов,для того чтобы стать владельцем всех вложенных папок и файлов.

4. Нажать кнопку ОК.

Рис. 3.5.Настройка особых разрешений

Как видно на рис. 3.4, окно дополнительных параметров безопасности дает возможность настроить аудит безопасности.

Аудит безопасности обеспечивает наблюдение за различными событиями, затрагивающими безопасность. Отображение системных событий необходимо для определения злоумышленников или идентификации попыток несанкционированного доступа к данным системы. Примером события, подлежащего аудиту, является неудачная попытка доступа.

Наиболее общими типами событий для аудита являются:

□ доступ к объектам, таким как файлы и папки;

□ управление учетными записями пользователей и групп;

□ вход пользователей в систему и выход из нее.

Кроме этого, создается журнал безопасности – специальный журнал событий, содержащий сведения о событиях системы безопасности, указанных в политике аудита.

Подробнее об аудите ресурсов и событий см. гл. 7.

Можно намного упростить дальнейшую администраторскую работу по назначению разрешений на доступ к файлам и папкам, предотвратить несанкционированный доступ к информации, облегчить поиск решения в случае возникновения проблем, связанных с разрешениями, если следовать некоторым правилам:

□ не назначайте разрешения отдельным пользователям, а предоставляйте доступ определенным группам. Объединяйте в группы тех пользователей, которым требуется доступ к одним и тем же ресурсам. Если вам, например, понадобится предоставить доступ к общим файлам компании новому пользователю какого-либо отдела, просто добавьте его учетную запись в группу, уже содержащую остальных пользователей из этого отдела. Если потом будет нужно запретить доступ, просто исключите пользователя из группы. Тем самым вы избавите себя от долгих поисков всех папок и файлов, к которым имеет доступ этот пользователь;

□ для облегчения администрирования объединяйте файлы аналогичного содержания в отдельные папки или на отдельные диски. К примеру, можно объединять таким способом файлы приложений, документы, домашние папки пользователей. Для системных файлов выделите отдельный том. Таким образом, вы сможете назначать разрешения на доступ не к отдельным файлам, а целым папкам. Помимо этого, вы облегчите выполнение задач поиска данных и выполнение процедур резервного копирования;

□ предоставляйте пользователям только тот уровень доступа, который необходим им для работы. Это уменьшит вероятность случайного или намеренного удаления или повреждения важной информации;

□ явно запрещайте доступ только в том случае, если требуется предотвратить выполнение конкретных действий определенному пользователю или группе пользователей;

□ пользуйтесь возможностью наследования разрешений, начинайте назначать разрешения с верхних уровней каталогов;

□ не запрещайте группе Вседоступ к системным файлам и папкам. Иначе вы просто не сможете работать с операционной системой;

□ назначьте полный доступ к общим папкам группе Создатель-владелец,если вы хотите, чтобы пользователи могли сами выдавать разрешения на доступ к созданным ими файлам.

При копировании или перемещении файлов и папок, разрешения, назначенные для доступа к ним, могут измениться, создавая проблемы тому, кому необходимо работать с этими данными, или наоборот, предоставляя доступ для тех, кто не должен его иметь. Чтобы избежать подобных проблем, необходимо понимать, что происходит с разрешениями при копировании и перемещении файлов и папок.