Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270
Шрифт:
3.1.5. Действующие разрешения
Вы можете назначить различные разрешения на доступ к какому-либо файлу или папке для учетной записи пользователя и для групп, в которых он состоит. В этом случае при доступе к объекту, для которого у пользователя определены различные разрешения, будут определены действующие разрешения, являющиеся суммой всех назначенных разрешений. Например, если для учетной записи пользователя определены разрешения на чтение для папки, а группе, в которую этот пользователь входит, определены разрешения на запись, то при доступе к этой папке он получит разрешения и на чтение, и на запись.
Но если среди разрешений, составляющих сумму, встречается запрет (deny) на какое-либо действие, этот запрет перекрывает все разрешения (allow) на это и зависимые действия. Например, если пользователю назначить полный доступ к папке, а группе, в которую пользователь входит, поставить запрет на действие "Список содержимого папки", этот пользователь не сможет ни зайти в папку, ни удалить ее, несмотря на имеющийся у него полный доступ. Но, имея разрешения на полный доступ, он может изменить соответствующие разрешения и вернуть себе возможность работать с этой папкой.
В предыдущих версиях Windows действующие разрешения приходилось вычислять "вручную", в Windows ХР Professional появилась возможность быстро выяснить сумму всех разрешений на доступ к файлу или папке (рис. 3.2).
Рис. 3.2. Вычисление действующих разрешений
Единственным неудобством этого инструмента является обманчивый вид элемента для ввода имени группы или пользователя. В нем мигает текстовый курсор, как будто предлагая ввести текст с клавиатуры. Но ввести туда имя можно лишь через нажатие кнопки Выбрать и последующие действия в открывшемся окне.
Кроме того, при назначении разрешений следует учитывать, что разрешения на доступ к файлам имеют приоритет перед разрешениями на доступ к папкам. Если пользователь не имеет доступа к папке, но имеет доступ к файлу, находящемуся внутри этой папки, он сможет работать с ним, используя полный путь к файлу. К примеру, пользователь не имеет доступа к папке d:\texts\, но имеет доступ к файлу file.txt, который находится внутри этой папки. Тогда, выполнив команду notepad d:\texts\fiie.txt, пользователь сможет открыть этот файл в текстовом редакторе.
Все указанное выше будет действовать только в том случае, если пользователь имеет привилегию Обход перекрестной проверки (Bypass Traverse Checking). Эта привилегия позволяет пользователю проходить через папки, к которым иначе у него нет доступа, на пути к объекту в файловой системе NTFS или в реестре. Данная привилегия не разрешает пользователю выводить список содержимого папки, а дает возможность только проходить через нее. По умолчанию группа Все (Everyone) имеет эту привилегию.
Примечание
В Windows ХР Professional, в отличие от Windows 2000, группа Все больше не включает в себя группу Анонимный вход.
3.1.6. Назначение или изменение разрешений
Для того чтобы просмотреть, назначить или изменить разрешения на доступ к файлу или папке, надо открыть вкладку Безопасность (Security) окна Свойства этой папки или файла. Открывшееся окно (на рис. 3.3 показаны разрешения для папки) позволяет просмотреть, каким пользователям и группам доступ уже разрешен и какие разрешения им предоставлены, а также дает возможность предоставить доступ другим пользователям и группам или изменить уже назначенные разрешения.
Примечание
В Windows ХР Professional вкладка Безопасность может не отображаться. Для того чтобы включить ее отображение, запустите Проводник, в меню Сервис выберите Свойства папки. На вкладке Вид снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
Рис. 3.3. Просмотр разрешений объекта
С помощью кнопки Дополнительно можно вызвать окно, позволяющее устанавливать специальные разрешения, задавать параметры наследования, изменять владельца и просматривать действующие разрешения (рис. 3.4).
Щелкнув два раза по какой-либо строке в списке Элементы разрешений или выбрав строку и нажав кнопку Изменить, можно открыть окно, с помощью которого устанавливаются особые разрешения (рис. 3.5).
Смена владельца
У каждого объекта имеется владелец – при создании объекта пользователь, создавший его, автоматически становится его владельцем. В дальнейшем этот статус может получить другой пользователь. Смена владельца может произойти, если:
текущий владелец или любой пользователь, имеющий полный доступ к файлу или папке, предоставляет другому пользователю разрешение Смена владельца, после чего тот может в любой момент стать владельцем объекта;
Рис. 3.4. Окно Дополнительные параметры безопасности для Documents and Settings
владельцем становится член группы Администраторы независимо от имеющихся прав. После этого любой член группы Администраторы может назначать разрешения на доступ к объекту.
Необходимо понимать, что назначить владельца нельзя, можно только предоставить право пользователю или группе пользователей стать им. Для действительного изменения пользователь, обладающий соответствующими правами, должен явно указать себя владельцем. Для этого следует предпринять следующие шаги:
1. В окне Свойства файла или папки на вкладке Безопасность нажать кнопку Дополнительно.
2. Перейти на вкладку Владелец и выбрать свое имя в списке Изменить владельца на.
3. Если объект – это папка, новый владелец должен установить флажок Заменять владельца субконтейнеров и объектов, для того чтобы стать владельцем всех вложенных папок и файлов.
4. Нажать кнопку ОК.