uprawnienia systemu plikow, Szkoła, Technik informatyk, SOiSK, Windows, Server [ Pobierz całość w formacie PDF ]
Rozdział 6: Pliki i foldery 187
Lekcja 2: Konfigurowanie uprawnień systemu plików
Serwery systemu Windows poprzez NTFS obsługują dokładną kontrole dostępu do poszczególnych plików i
folderów. Uprawnienia dostępu do zasobu są przechowywane w postaci wpisów kontroli dostępu (ACE)
listy ACL, która jest częs'cią opisu zabezpieczeń każdego zasobu. Jeśli użytkownik próbuje uzyskać dostęp
do zasobu, żeton dostępu użytkownika, zawierający identyfikatory zabezpieczeń SID konta użytkownika i
kont grup, jest porównywany pod kątem zgodności z identyfikatorami SID we wpisach ACE list ACL. Ten
proces
uwierzytelnienia
nic zmienił się zasadniczo od wprowadzenia systemu Windows NT. Natomiast
szczegóły implementacji uwierzytelnienia, narzędzia zarządzania i specyfika konfigurowania dostępu do
zasobów są różne w każdej wersji systemu Windows.
Niniejsza lekcja omawia nowe cechy kontroli dostępu systemu Windows Server 2003. Opisane zostaną
sposoby wykorzystywania edytora ACL do zarządzania szablonami uprawnień, dziedziczeniem, upraw-
nieniami specjalnymi oraz oceny uprawnień efektywnych użytkownika lub grupy.
Materiały omówione podczas lekcji pozwalają na
• Konfigurowanieuprawnień za pomocą edytora ACL systemu Windows Server 2003
• Zarządzanie dziedziczeniem uprawnień ACL
• Określanie uprawnień czynnych
• Sprawdzanieuprawnień czynnych
• Zmianę właściciela plików i folderów
• Przenoszenie własności plików i folderów
Szacunkowy czas lekcji: 30 minut
Konfigurowanie uprawnień
Program
Windows Explorer
(Eksplorator Windows) jest najczęściej używanym narzędziem rozpoczyna-
jącym zarządzanie uprawnieniami dostępu do zasobów, zarówno na wolumenach lokalnych, jak i serwerach
zdalnych. Inaczej niż dla folderów udostępnionych, Eksplorator Windows może być zdalnie i lokalnie
używany do konfigurowania uprawnień.
Edytor listy ACL (Access Control List)
Tak jak we wcześniejszych wersjach systemu Windows, zabezpieczenia dla plików i folderów mogą być
konfigurowane na dowolnym wolumenie NTFS. W tym celu należy prawym przyciskiem myszy kliknąć
zasób i wybrać polecenie
Properties
(Właściwości) lub
Sharing And Security
(Udostępnianie i
zabezpieczenia), a następnie kliknąć zakładkę
Security
(Zabezpieczenia). Wyświetlony interfejs nazywany
jest różnie: okno dialogowe
Perntissions
(Uprawnienia), okno dialogowe
Security Settings
(Ustawienia
zabezpieczeń), zakładka
Security
(Zabezpieczenia) lub edytor ACL. Jakakolwiek nazwa zostanie użyta,
okno wygląda tak samo. Na rysunku 6-4 został przedstawiony przykładowy widok zakładki
Security
(Zabezpieczenia) w oknie dialogowym
Properties
(Właściwości) dla zasobu Docs.
188
MCSE Training Kit: Egzamin 70-290
Rysunek 6-4
Edytor ACL w oknie dialogowym Properties (Właściwości) dla zasobu Docs
Przed wersją systemu Windows 2000 uprawnienia były dość uproszczone. Firma Microsoft dla wersji
Windows 2000 (i późniejszych) wprowadziła znacznie bardziej elastyczną i silniejszą kontrolę dostępu do
zasobów. Silniejsze narzędzie jest również bardziej złożone. Obecnie edytor ACL ma trzy okna dia-
logowe, a w każdym z nich obsługiwane są inne i ważne funkcje.
Pierwsze okno dialogowe udostępnia ogólny przegląd ustawień zabezpieczeń i uprawnień zasobu,
Umożliwia zaznaczenie każdego konta, dla którego zdefiniowany został dostęp i przeglądanie szablonu
uprawnień przydzielonych dla danego użytkownika, grupy bądź komputera. Każdy szablon uprawnia
pokazany w tym oknie dialogowym stanowi zestaw uprawnień, które razem umożliwiają konfigurowanie
poziomu dostępu. Na przykład, aby zezwolić użytkownikowi odczytać plik, wymagane jest określenie
kilku jednostkowych uprawnień. Złożoność tego procesu została ukryta, a użytkownik po prostu zaznacza
szablon uprawnień
Allow: Read & Execute
(Zezwalaj: Zapis i wykonanie), a system Windows w tle
ustawia odpowiednie uprawnienia do pliku i foldera.
Aby przeglądać szczegółowo listę ACL, należy kliknąć przycisk
Advanced
(Zaawansowane). Urucho-
mione zostanie drugie okno dialogowe edytora ACL —
Advanced Security Settings For Docs
(Zaawan-
sowane ustawienia zabezpieczeń dla Docs). Okno to pokazane zostało na rysunku 6-5. Umieszczora tu
została lista określonych wpisów kontroli dostępu, które zostały przypisane do pliku lub foldera. Lista
jest najbliższym przybliżeniem, dostępnym w interfejsie użytkownika, rzeczywistych informacj
przechowywanych na liście ACL. Inne okna dialogowe umożliwiają konfigurowanie inspekcji, zara-
dzanie własnością i sprawdzanie uprawnień czynnych.
Rozdział 6: Pliki i foldery 189
Rysunek 6-5
Okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeń;
edytora ACL
Po zaznaczeniu uprawnienia na liście
Permission Entries
(Wpisy uprawnienia) i kilknięciu przycisku Edit
(Edytuj), wyświetlone zostanie trzecie okno dialogowe edytora ACL. Okno to,
Permission Entry For Docs
(Wpis uprawnienia dla Docs), pokazane zostało na rysunku 6-6. Zawiera listę szczegółowych, pojedynczych
uprawnień i stanowi pewnego rodzaju kompromis pomiędzy wpisami uprawnień drugiego okna
dialogowego (lista wpisów uprawnień) a pierwszym oknem dialogowym (lista uprawnień użytkownika).
Rysunek 6-6
Okno dialogowe Permission Entry (Wpis uprawnienia) edytora ACL
C\
Wskazówka egzaminacyjna
Przystawka Shared Folders (Foldery udostępnione) udostępnia edytor
ACL. Należy otworzyć okno właściwości foldera udostępnionego i kliknąć zakładkę Security (Zabezpie-
czenia).
MCSE Training
Kit:
Egzamin
70-290
Dodawanie i usuwanie wpisów uprawnienia
Dla każdego podmiotu zabezpieczeń można zezwalać lub zabraniać przydziału uprawnień. W systemie
Windows Server 2003 występują następujące podmioty zabezpieczeń: użytkownicy, grupy, komputery oraz
specjalna klasa obiektu InetOrgPerson (opisana w specyfikacji RFC 2798), która jest używana do
reprezentowania użytkowników w pewnych sytuacjach dotyczących katalogów różnych platform. Aby
dodać uprawnienie, należy kliknąć przycisk
Add
(Dodaj) na pierwszym lub drugim oknie dialogowym
edytora ACL. Okno dialogowe
Select User, Computer Or Group
(Wybór użytkownika, komputera lub
grupy) umożliwia znalezienie odpowiedniego podmiotu zabezpieczeń. Następnie należy wybrać właściwe
uprawnienie. W stosunku do poprzednich wersji systemu Windows interfejs nieznacznie się różni, a te
niewielkie zmiany nie przeszkodzą doświadczonemu administratorowi w szybkim opanowaniu programu.
Aby usunąć konkretne uprawnienia dodane do listy ACL, wystarczy zaznaczyć je na liście i kliknąć
przycisk
Removc
(Usuń).
Modyfikowanie uprawnień
Uprawnienie może być modyfikowane w oknie dialogowym zakładki
Security
(Zabezpieczenia) poprzez
zaznaczanie lub usuwanie zaznaczenia pól wyboru
Allow
(Zezwalaj) lub
Deny
(Odmawiaj), przez co
zastosowany zostanie odpowiedni szablon uprawnień.
Jeśli kontrola powinna być dokładniejsza, należy kliknąć przycisk
Advanced
(Zaawansowane), zaznaczyć
uprawnienie i kliknąć przycisk
Edit
(Edytuj). Edytowane mogą być pojedyncze uprawnienia.
Dziedziczenie uprawnień omówione zostanie w dalszej części lekcji.
W oknie dialogowym
Permission Entry For Docs
(Wpisy uprawnień dla Docs), pokazanym na rysunku 6-
6, można modyfikować uprawnienia oraz za pomocą listy rozwijanej
Apply Onto
(Zastosuj do) określać
zakres dziedziczenia uprawnień.
Uwaga
Istotną sprawą jest zrozumienie wpływu zmian dokonywanych w omawianym oknie dialogowym. Z
jednej strony dobrze, że firma Microsoft umożliwiła szczegółową kontrolę, ale z drugiej strony zwiększenie
liczby kontrolowanych elementów powoduje skomplikowanie operacji i zwiększone możliwości popełnienia
błędów.
Nowe podmioty zabezpieczeń
W systemie Windows Scrver 2003, inaczej niż dla Windows NT 4, istnieje możliwość dodawania
kom-
puterów
lub grup komputerów do listy ACL, dzięki czemu zwiększyła się elastyczność konfigurowania
dostępu do zasobów. Obecnie można kontrolować dostęp do zasobu w oparciu o komputer klienta, bez
względu na to, który użytkownik uzyskuje dostęp. Przykładowo, może zachodzić potrzeba udostępnienia
komputera w holu biura, ale trzeba zapobiec, aby na tym komputerze, podczas przerwy na lunch, menedżer
nic mógł uzyskać dostępu do ważnych informacji. Dzięki dodaniu komputera do list ACL i odmowie
uprawnień dostępu, menedżer, który uzyskuje dostęp do ważnych informacji na swoim pulpicie, nie uzyska
dostępu do tych na komputerze w holu biura.
System Windows Servcr 2003 umożliwia również zarządzanie dostępem do zasobów w oparciu o typ
logowania. Do listy ACL można dodawać konta specjalne —
Interactwe
(Interakcyjni),
Network
(Sieć)
oraz
Terminal Server User
(Użytkownicy serwera terminali). Tożsamość
Interactwe
(Interakcyjni)
reprezentuje użytkowników, którzy do konsoli zalogowali się lokalnie. Grupa
Terminal Seroer User
Rozdział 6: Pliki i foldery 191
(Użytkownicy serwera terminali) to użytkownicy, którzy przyłączyli się za pomocą pulpitu zdalnego lub
usług terminalowych. Grupa
Network
(Sieć) reprezentuje połączenia sieci, na przykład program
Client for
Microsoft Networks
(Klient sieci Microsoft Networks) systemu Windows.
Szablony uprawnień oraz uprawnienia specjalne
Szablony uprawnień, wyświetlone na zakładce
Security
(Zabezpieczenia) pierwszego okna dialogowego są
zestawami uprawnień specjalnych, które są dokładnie pokazane w trzecim oknie dialogowym —
Permissions Entry For Docs
(Wpisy uprawnień dla Docs). Znaczenie większości szablonów i uprawnień
specjalnych łatwo określić na podstawie ich nazwy, a z kolei omówienie niektórych pozycji wykracza poza
zaplanowany zakres niniejszej książki. Poniżej zostało wymienionych kilka pozycji, które są warte
odnotowania:
•
Read & Execute (Odczyt i wykonanie)
Ten szablon uprawnień jest wystarczający dla użytkowników,
którzy mają otwierać oraz odczytywać pliki i foldery. Uprawnienia
Read & Execute
(Odczyt i
wykonanie) umożliwiają także użytkownikowi skopiowanie zasobu, przy założeniu, że mają upraw-
nieni?, do zapisu w folderze bądź na nośniku docelowym. W systemie Windows brak uprawnień
zabraniających kopiowania. Funkcjonalność taka będzie dostępna po wprowadzeniu w systemach
Windows technologii Digital Rights Management.
•
Write and Modify (Zapis i modyfikowanie)
Zastosowany do foldera szablon uprawnień
Write
(Zapis)
umożliwia użytkownikom tworzenie nowych plików bądź folderów, natomiast zastosowany do pliku,
umożliwia modyfikowanie zawartości pliku, jak również jego atrybutów (ukryty, systemowy, tylko do
odczytu) oraz atrybutów rozszerzonych (zdefiniowanych przez aplikację „odpowiedzialną" za dany
dokument). Szablon
Modify
(Modyfikowanie) umożliwia usuwanie obiektu.
•
Change Permissions (Zmiana uprawnień)
Po doraźnym zmodyfikowaniu list ACL można zdziwić się
sprawdzając, kto może modyfikować uprawnienia. Pierwsza odpowiedź dotyczy właściciela zasobu.
Własność zasobu zostanie omówiona w dalszej części tej lekcji. Druga odpowiedź wiąże się z faktem, że
każdy użytkownik, który ma uprawnienie czynne pozwalające zmieniać uprawnienia
(Change
Permission),
może modyfikować listę ACL zasobu. Uprawnienie
Change Permission
(Zmiana
uprawnień) musi być zarządzane przy użyciu trzeciego okna dialogowego edytora ACL. Uprawnienie to
jest również dołączone do szablonu uprawnień
Fuli Control
(Pełna kontrola).
Dziedziczenie
System Windows Server 2003 obsługuje dziedziczenie uprawnień, co po prostu oznacza, że uprawnienia
zastosowane do foldera będą się również stosowały do plików i folderów znajdujących się poniżej danego
foldera (dotyczy ustawień domyślnych). Dowolne zmiany nadrzędnej listy ACL będą miały podobny wpływ
na całą zawartość tego foldera. Dziedziczenie umożliwia skupienie administracji w jednym punkcie, czyli
zarządzanie jedną listą ACL danej gałęzi lub zasobów znajdujących się poniżej danego foldera.
Mechanizm dziedziczenia
Dziedziczenie jest wynikiem dwóch cech deskryptora zabezpieczeń zasobu. Po pierwsze, uprawnienia mogą
b\v dziedziczone (ustawienia domyślne). Tak jak przedstawiono to na rysunku 6-5, uprawnienie
Allow I
'sers to Read & Execute
(Zezwalaj użytkownikom na odczyt i wykonanie) jest dodatkowo określone w polu
Apply to
(Zastosuj dla: Ten folder, podfoldery i pliki). Jednakże te ustawienia same
[ Pobierz całość w formacie PDF ]