plik

��RozdziaB 6: Pliki i foldery 187 Lekcja 2: Konfigurowanie uprawnieD systemu plik�w 1 Serwery systemu Windows poprzez NTFS obsBuguj dokBadn kontrole dostpu do poszczeg�lnych plik�w i folder�w. Uprawnienia dostpu do zasobu s przechowywane w postaci wpis�w kontroli dostpu (ACE) listy ACL, kt�ra jest czs'ci opisu zabezpieczeD ka|dego zasobu. Je[li u|ytkownik pr�buje uzyska dostp do zasobu, |eton dostpu u|ytkownika, zawierajcy identyfikatory zabezpieczeD SID konta u|ytkownika i kont grup, jest por�wnywany pod ktem zgodno[ci z identyfikatorami SID we wpisach ACE list ACL. Ten proces uwierzytelnienia nic zmieniB si zasadniczo od wprowadzenia systemu Windows NT. Natomiast szczeg�By implementacji uwierzytelnienia, narzdzia zarzdzania i specyfika konfigurowania dostpu do zasob�w s r�|ne w ka|dej wersji systemu Windows. Niniejsza lekcja omawia nowe cechy kontroli dostpu systemu Windows Server 2003. Opisane zostan sposoby wykorzystywania edytora ACL do zarzdzania szablonami uprawnieD, dziedziczeniem, upraw- nieniami specjalnymi oraz oceny uprawnieD efektywnych u|ytkownika lub grupy. MateriaBy om�wione podczas lekcji pozwalaj na " Konfigurowanie uprawnieD za pomoc edytora ACL systemu Windows Server 2003 " Zarzdzanie dziedziczeniem uprawnieD ACL " Okre[lanie uprawnieD czynnych " Sprawdzanie uprawnieD czynnych " Zmian wBa[ciciela plik�w i folder�w " Przenoszenie wBasno[ci plik�w i folder�w Szacunkowy czas lekcji: 30 minut Konfigurowanie uprawnieD Program Windows Explorer (Eksplorator Windows) jest najcz[ciej u|ywanym narzdziem rozpoczyna- jcym zarzdzanie uprawnieniami dostpu do zasob�w, zar�wno na wolumenach lokalnych, jak i serwerach zdalnych. Inaczej ni| dla folder�w udostpnionych, Eksplorator Windows mo|e by zdalnie i lokalnie u|ywany do konfigurowania uprawnieD. Edytor listy ACL (Access Control List) Tak jak we wcze[niejszych wersjach systemu Windows, zabezpieczenia dla plik�w i folder�w mog by konfigurowane na dowolnym wolumenie NTFS. W tym celu nale|y prawym przyciskiem myszy klikn zas�b i wybra polecenie Properties (WBa[ciwo[ci) lub Sharing And Security (Udostpnianie i zabezpieczenia), a nastpnie klikn zakBadk Security (Zabezpieczenia). Wy[wietlony interfejs nazywany jest r�|nie: okno dialogowe Perntissions (Uprawnienia), okno dialogowe Security Settings (Ustawienia zabezpieczeD), zakBadka Security (Zabezpieczenia) lub edytor ACL. Jakakolwiek nazwa zostanie u|yta, okno wyglda tak samo. Na rysunku 6-4 zostaB przedstawiony przykBadowy widok zakBadki Security (Zabezpieczenia) w oknie dialogowym Properties (WBa[ciwo[ci) dla zasobu Docs. 188 MCSE Training Kit: Egzamin 70-290 Rysunek 6-4 Edytor ACL w oknie dialogowym Properties (WBa[ciwo[ci) dla zasobu Docs Przed wersj systemu Windows 2000 uprawnienia byBy do[ uproszczone. Firma Microsoft dla wersji Windows 2000 (i p�zniejszych) wprowadziBa znacznie bardziej elastyczn i silniejsz kontrol dostpu do zasob�w. Silniejsze narzdzie jest r�wnie| bardziej zBo|one. Obecnie edytor ACL ma trzy okna dia- logowe, a w ka|dym z nich obsBugiwane s inne i wa|ne funkcje. Pierwsze okno dialogowe udostpnia og�lny przegld ustawieD zabezpieczeD i uprawnieD zasobu, Umo|liwia zaznaczenie ka|dego konta, dla kt�rego zdefiniowany zostaB dostp i przegldanie szablonu uprawnieD przydzielonych dla danego u|ytkownika, grupy bdz komputera. Ka|dy szablon uprawnia pokazany w tym oknie dialogowym stanowi zestaw uprawnieD, kt�re razem umo|liwiaj konfigurowanie poziomu dostpu. Na przykBad, aby zezwoli u|ytkownikowi odczyta plik, wymagane jest okre[lenie kilku jednostkowych uprawnieD. ZBo|ono[ tego procesu zostaBa ukryta, a u|ytkownik po prostu zaznacza szablon uprawnieD Allow: Read & Execute (Zezwalaj: Zapis i wykonanie), a system Windows w tle ustawia odpowiednie uprawnienia do pliku i foldera. Aby przeglda szczeg�Bowo list ACL, nale|y klikn przycisk Advanced (Zaawansowane). Urucho- mione zostanie drugie okno dialogowe edytora ACL Advanced Security Settings For Docs (Zaawan- sowane ustawienia zabezpieczeD dla Docs). Okno to pokazane zostaBo na rysunku 6-5. Umieszczora tu zostaBa lista okre[lonych wpis�w kontroli dostpu, kt�re zostaBy przypisane do pliku lub foldera. Lista jest najbli|szym przybli|eniem, dostpnym w interfejsie u|ytkownika, rzeczywistych informacj przechowywanych na li[cie ACL. Inne okna dialogowe umo|liwiaj konfigurowanie inspekcji, zara- dzanie wBasno[ci i sprawdzanie uprawnieD czynnych. RozdziaB 6: Pliki i foldery 189 Rysunek 6-5 Okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD; edytora ACL Po zaznaczeniu uprawnienia na li[cie Permission Entries (Wpisy uprawnienia) i kilkniciu przycisku Edit (Edytuj), wy[wietlone zostanie trzecie okno dialogowe edytora ACL. Okno to, Permission Entry For Docs (Wpis uprawnienia dla Docs), pokazane zostaBo na rysunku 6-6. Zawiera list szczeg�Bowych, pojedynczych uprawnieD i stanowi pewnego rodzaju kompromis pomidzy wpisami uprawnieD drugiego okna dialogowego (lista wpis�w uprawnieD) a pierwszym oknem dialogowym (lista uprawnieD u|ytkownika). Rysunek 6-6 Okno dialogowe Permission Entry (Wpis uprawnienia) edytora ACL C\ Wskaz�wka egzaminacyjna Przystawka Shared Folders (Foldery udostpnione) udostpnia edytor ACL. Nale|y otworzy okno wBa[ciwo[ci foldera udostpnionego i klikn zakBadk Security (Zabezpie- czenia). MCSE Training Kit: Egzamin 70-290 Dodawanie i usuwanie wpis�w uprawnienia Dla ka|dego podmiotu zabezpieczeD mo|na zezwala lub zabrania przydziaBu uprawnieD. W systemie Windows Server 2003 wystpuj nastpujce podmioty zabezpieczeD: u|ytkownicy, grupy, komputery oraz specjalna klasa obiektu InetOrgPerson (opisana w specyfikacji RFC 2798), kt�ra jest u|ywana do reprezentowania u|ytkownik�w w pewnych sytuacjach dotyczcych katalog�w r�|nych platform. Aby doda uprawnienie, nale|y klikn przycisk Add (Dodaj) na pierwszym lub drugim oknie dialogowym edytora ACL. Okno dialogowe Select User, Computer Or Group (Wyb�r u|ytkownika, komputera lub grupy) umo|liwia znalezienie odpowiedniego podmiotu zabezpieczeD. Nastpnie nale|y wybra wBa[ciwe uprawnienie. W stosunku do poprzednich wersji systemu Windows interfejs nieznacznie si r�|ni, a te niewielkie zmiany nie przeszkodz do[wiadczonemu administratorowi w szybkim opanowaniu programu. Aby usun konkretne uprawnienia dodane do listy ACL, wystarczy zaznaczy je na li[cie i klikn przycisk Removc (UsuD). Modyfikowanie uprawnieD Uprawnienie mo|e by modyfikowane w oknie dialogowym zakBadki Security (Zabezpieczenia) poprzez zaznaczanie lub usuwanie zaznaczenia p�l wyboru Allow (Zezwalaj) lub Deny (Odmawiaj), przez co zastosowany zostanie odpowiedni szablon uprawnieD. Je[li kontrola powinna by dokBadniejsza, nale|y klikn przycisk Advanced (Zaawansowane), zaznaczy uprawnienie i klikn przycisk Edit (Edytuj). Edytowane mog by pojedyncze uprawnienia. Dziedziczenie uprawnieD om�wione zostanie w dalszej cz[ci lekcji. W oknie dialogowym Permission Entry For Docs (Wpisy uprawnieD dla Docs), pokazanym na rysunku 6- 6, mo|na modyfikowa uprawnienia oraz za pomoc listy rozwijanej Apply Onto (Zastosuj do) okre[la zakres dziedziczenia uprawnieD. Uwaga Istotn spraw jest zrozumienie wpBywu zmian dokonywanych w omawianym oknie dialogowym. Z jednej strony dobrze, |e firma Microsoft umo|liwiBa szczeg�Bow kontrol, ale z drugiej strony zwikszenie liczby kontrolowanych element�w powoduje skomplikowanie operacji i zwikszone mo|liwo[ci popeBnienia bBd�w. Nowe podmioty zabezpieczeD W systemie Windows Scrver 2003, inaczej ni| dla Windows NT 4, istnieje mo|liwo[ dodawania kom- puter�w lub grup komputer�w do listy ACL, dziki czemu zwikszyBa si elastyczno[ konfigurowania dostpu do zasob�w. Obecnie mo|na kontrolowa dostp do zasobu w oparciu o komputer klienta, bez wzgldu na to, kt�ry u|ytkownik uzyskuje dostp. PrzykBadowo, mo|e zachodzi potrzeba udostpnienia komputera w holu biura, ale trzeba zapobiec, aby na tym komputerze, podczas przerwy na lunch, mened|er nic m�gB uzyska dostpu do wa|nych informacji. Dziki dodaniu komputera do list ACL i odmowie uprawnieD dostpu, mened|er, kt�ry uzyskuje dostp do wa|nych informacji na swoim pulpicie, nie uzyska dostpu do tych na komputerze w holu biura. System Windows Servcr 2003 umo|liwia r�wnie| zarzdzanie dostpem do zasob�w w oparciu o typ logowania. Do listy ACL mo|na dodawa konta specjalne Interactwe (Interakcyjni), Network (Sie) oraz Terminal Server User (U|ytkownicy serwera terminali). To|samo[ Interactwe (Interakcyjni) reprezentuje u|ytkownik�w, kt�rzy do konsoli zalogowali si lokalnie. Grupa Terminal Seroer User RozdziaB 6: Pliki i foldery 191 (U|ytkownicy serwera terminali) to u|ytkownicy, kt�rzy przyBczyli si za pomoc pulpitu zdalnego lub usBug terminalowych. Grupa Network (Sie) reprezentuje poBczenia sieci, na przykBad program Client for Microsoft Networks (Klient sieci Microsoft Networks) systemu Windows. Szablony uprawnieD oraz uprawnienia specjalne Szablony uprawnieD, wy[wietlone na zakBadce Security (Zabezpieczenia) pierwszego okna dialogowego s zestawami uprawnieD specjalnych, kt�re s dokBadnie pokazane w trzecim oknie dialogowym Permissions Entry For Docs (Wpisy uprawnieD dla Docs). Znaczenie wikszo[ci szablon�w i uprawnieD specjalnych Batwo okre[li na podstawie ich nazwy, a z kolei om�wienie niekt�rych pozycji wykracza poza zaplanowany zakres niniejszej ksi|ki. Poni|ej zostaBo wymienionych kilka pozycji, kt�re s warte odnotowania: " Read & Execute (Odczyt i wykonanie) Ten szablon uprawnieD jest wystarczajcy dla u|ytkownik�w, kt�rzy maj otwiera oraz odczytywa pliki i foldery. Uprawnienia Read & Execute (Odczyt i wykonanie) umo|liwiaj tak|e u|ytkownikowi skopiowanie zasobu, przy zaBo|eniu, |e maj upraw- nieni?, do zapisu w folderze bdz na no[niku docelowym. W systemie Windows brak uprawnieD zabraniajcych kopiowania. Funkcjonalno[ taka bdzie dostpna po wprowadzeniu w systemach Windows technologii Digital Rights Management. " Write and Modify (Zapis i modyfikowanie) Zastosowany do foldera szablon uprawnieD Write (Zapis) umo|liwia u|ytkownikom tworzenie nowych plik�w bdz folder�w, natomiast zastosowany do pliku, umo|liwia modyfikowanie zawarto[ci pliku, jak r�wnie| jego atrybut�w (ukryty, systemowy, tylko do odczytu) oraz atrybut�w rozszerzonych (zdefiniowanych przez aplikacj odpowiedzialn" za dany dokument). Szablon Modify (Modyfikowanie) umo|liwia usuwanie obiektu. " Change Permissions (Zmiana uprawnieD) Po doraznym zmodyfikowaniu list ACL mo|na zdziwi si sprawdzajc, kto mo|e modyfikowa uprawnienia. Pierwsza odpowiedz dotyczy wBa[ciciela zasobu. WBasno[ zasobu zostanie om�wiona w dalszej cz[ci tej lekcji. Druga odpowiedz wi|e si z faktem, |e ka|dy u|ytkownik, kt�ry ma uprawnienie czynne pozwalajce zmienia uprawnienia (Change Permission), mo|e modyfikowa list ACL zasobu. Uprawnienie Change Permission (Zmiana uprawnieD) musi by zarzdzane przy u|yciu trzeciego okna dialogowego edytora ACL. Uprawnienie to jest r�wnie| doBczone do szablonu uprawnieD Fuli Control (PeBna kontrola). Dziedziczenie System Windows Server 2003 obsBuguje dziedziczenie uprawnieD, co po prostu oznacza, |e uprawnienia zastosowane do foldera bd si r�wnie| stosowaBy do plik�w i folder�w znajdujcych si poni|ej danego foldera (dotyczy ustawieD domy[lnych). Dowolne zmiany nadrzdnej listy ACL bd miaBy podobny wpByw na caB zawarto[ tego foldera. Dziedziczenie umo|liwia skupienie administracji w jednym punkcie, czyli zarzdzanie jedn list ACL danej gaBzi lub zasob�w znajdujcych si poni|ej danego foldera. Mechanizm dziedziczenia Dziedziczenie jest wynikiem dw�ch cech deskryptora zabezpieczeD zasobu. Po pierwsze, uprawnienia mog b\v dziedziczone (ustawienia domy[lne). Tak jak przedstawiono to na rysunku 6-5, uprawnienie Allow I 'sers to Read & Execute (Zezwalaj u|ytkownikom na odczyt i wykonanie) jest dodatkowo okre[lone w polu Apply to (Zastosuj dla: Ten folder, podfoldery i pliki). Jednak|e te ustawienia same nie s wystarczajce, aby zadziaBaBo dziedziczenie. Dodatkowo wymagane jest, aby podczas tworzenia I nowego obiektu nie zostaBo zmienione domy[lne zaznaczenie pola wyboru Allow Inheritable Permissiom I From The Parent To Propagate To This Object... (Zezwalaj na propagowanie dziedziczenia uprawnieD I z obiektu nadrzdnego do tego obiektu..). Tak wic nowo utworzony plik lub folder bdzie dziedziczyB uprawnienia po obiekcie nadrzdnym, I a tak|e ka|da zmiana w obiekcie nadrzdnym bdzie miaBa wpByw na podrzdne pliki i foldery. Warto I zapozna si z tym dwuetapowym wprowadzaniem dziedziczenia, poniewa| stanowi ono dwa r�|ne I sposoby zarzdzania dziedziczeniem: z punktu widzenia obiektu nadrzdnego oraz z punktu widzenia I obiektu podrzdnego. W ka|dym oknie dialogowym edytora ACL dziedziczenie uprawnieD jest r�|nic wy[wietlane. W pierw- I szym i trzecim oknie dialogowym, zakBadka Security (Zabezpieczenia) oraz Permissions Entry ForDoa I (Wpisy uprawnieD dla Docs) dziedziczone uprawnienia pokazywane s jako nieaktywne zaznaczenia I (przyciemnione), dla odr�|nienia ich od uprawnieD przydzielanych do zasobu bezpo[rednio (nazywane I uprawnieniami wyraznymi"). W drugim oknie dialogowym - AdvancedSecurity Settings (Zaawanso- I wanc ustawienia zabezpieczeD) program pokazuje dla ka|dego uprawnienia, na podstawie kt�rego I foldera uprawnienie jest dziedziczone. Uniewa|nianie dziedziczenia Dziedziczenie umo|liwia konfigurowanie uprawnieD w najwy|szym punkcie drzewa foldera. Takie pocztkowe uprawnienia oraz ich zmiany bd propagowane do wszystkich plik�w i folder�w tego drzewa, kt�rych domy[lna konfiguracja umo|liwia dziedziczenie. Czasami jednak zachodzi potrzeba zmodyfikowania uprawnieD podfoldcr�w lub plik�w tak, aby u|yt- kownicy lub grupy uzyskiwali dodatkowy dostp, a czasem, aby dostp ten byB bardziej ograniczony. Uprawnienia dziedziczone nie mog by usuwane z listy ACL. Mo|na natomiast uniewa|ni dziedziczone uprawnienie przez przydzielenie uprawnienia bezpo[redniego. Alternatywnym rozwizaniem jest zablokowanie dziedziczenia i utworzenie caBej bezpo[redniej listy ACL. Aby uniewa|ni dziedziczone uprawnienia poprzez ich zastpienie uprawnieniami bezpo[rednimi, wystarczy po prostu zaznaczy pole wyboru odpowiedniego uprawnienia. Na przykBad, je[li folder dziedziczy uprawnienie Allow Read (Zezwalaj na odczyt) przydzielone do grupy Sales Rcps i je[li dla grupy Sales Rcps nale|y zabroni tego dostpu do foldera, wystarczy zaznaczy pole wyboru Deny Red (Odmawiaj odczytu). Aby uniewa|ni wszystkie dziedziczone uprawnienia, nale|y dla zasob�w otworzy okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) i usun zaznaczenie opcji Alina Inheritable Permissions From The Parent To Propagate To This Object... (Zezwalaj na propagowanie dzie- dziczenia uprawnieD z obiektu nadrzdnego do tego obiektu..). Zablokowane zostanie dziedziczenie wszystkich uprawnieD pochodzcych z obiektu nadrzdnego. Nastpnie trzeba skonfigurowa dostp do zasobu poprzez przydzielenie wystarczajcych uprawnieD bezpo[rednich. Aby uBatwi tworzenie uprawnieD bezpo[rednich w li[cie ACL, podczas blokowania dziedziczenia system Windows przedstawia u|ytkownikowi dwie mo|liwo[ci. U|ytkownik mo|e skopiowa lub usun wpisy uprawnieD. Odpowiednie okno dialogowe przedstawione zostaBo na rysunku 6-7. RozdziaB 6: Pliki i foldery 193 Rysunek 6-7 Kopiowanie lub usuwanie wpis�w uprawnieD Kopiowanie tworzy uprawnienia bezpo[rednie identyczne z odziedziczonymi uprawnieniami. Nastpnie mo|na usun konkretne wpisy uprawnienia, je[li nie maj dotyczy danego zasobu. Po uruchomieniu funkcji Remoue (UsuD) lista ACL bdzie pusta i bdzie mo|na do niej dodawa wpisy uprawnieD. Taki sam rezultat uzyskuje si po umieszczeniu na li[cie ACL uprawnieD bezpo[rednich. Tak wic, kwesti jest raczej, czy Batwiej bdzie rozpocz okre[lanie uprawnieD od zera, czyli od pustej listy ACL, czy rozpocz od skopiowania dziedziczonych uprawnieD i zmodyfikowa list do wymaganego ksztaBtu. Je[li nowa lista ACL jest istotnie r�|na od listy dziedziczonych uprawnieD, lepiej uruchomi funkcj Remove (UsuD). Je[li natomiast nowa lista ACL r�|ni si niewiele, bardziej wydajne bdzie jej skopiowanie. Dziedziczenie blokowane jest poprzez usunicie zaznaczenia opcji AUow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD). W takim przypadku ka|dy dostp do zasobu jest zarzdzany przez uprawnienia bezpo[rednie przydzielone do tego pliku lub foldera. {adna zmiana listy ACL foldera nadrzdnego nie bdzie miaBa wpBywu na dany zas�b. Pomimo, |e uprawnienia obiektu nadrzdnego mog by dziedziczone, obiekt podrzdny ich nie dziedziczy. Blokowanie dziedziczenia nale|y stosowa ostro|nie, poniewa| komplikuje to zarzdzanie, sprawdzanie i rozwizywanie problem�w zwizanych z dostpem do zasobu. Ponowna instalacja dziedziczenia Istniej dwa sposoby ponownej instalacji dziedziczenia: z punktu widzenia zasobu podrzdnego lub z punktu widzenia foldera nadrzdnego. Rezultaty r�|ni si nieznacznie. Potrzeba ponownego wBczenia dziedziczenia dla zasobu mo|e mie miejsce, je[li dziedziczenie zostaBo zablokowane przypadkowo lub je[li zmieniBy si potrzeby przedsibiorstwa. W takim przypadku wystarczy po prostu w oknie dialogowym AdvancedSecurity Settings (Zaawansowane ustawienia zabezpieczeD) ponownie 7aznaczy opcj AUow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD). Uprawnienia dziedziczone po obiekcie nadrzdnym nic maj wpBywu na zas�b. Pozostaj wszystkie uprawnienia bezpo[rednie przydzielone do zasobu. Wynikowa lista ACL jest poBczeniem uprawnieD bezpo[rednich, kt�re mog by usuwane oraz odziedziczonych uprawnieD. Z tego wzgldu, niekt�re odziedziczone uprawnienia mog nic by uwidaczniane w pierwszym i trzecim oknie dialogowym edytora ACL. Na przykBad, je[li zas�b ma uprawnienie bezpo[rednie Allows Sales Reps Read & Execute (Zezwalaj grupie Sales Reps na odczyt i wykonanie), a folder nadrzdny ma takie same uprawnienie, to po zezwoleniu dziedziczenia dla obiektu podrzdnego, w rezultacie obiekt podrzdny bdzie miaB zar�wno dziedziczone, jak i bezpo[rednie uprawnienia. Odpowiednie zaznaczenia bd widoczne w pierwszym i trzecim oknie dialogowym. W interfejsie uprawnienia bezpo[rednie przesBaniaj uprawnienia dziedziczone. Jednak w rzeczywisto[ci odziedziczone uprawnienia s przedstawiane, o czym mo|na si przekona przegldajc drugie okno dialogowe - AdvancedSecurity Settings (Zaawansowane ustawienia zabezpieczeD). 194 MCSE Training Kit: Egzamin 70-290 Druga metoda ponownej instalacji dziedziczenia przeprowadzana jest w obiekcie nadrzdnym. Dla danego foldera, w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) nale|y zaznaczy pole wyboru Replace Permission Entries On AU Chi/J Objects With Entries Shown Her That Apply To Child Objects (ZamieD wpisy uprawnienia na wszystkich obiektach podrzdnych na wpisy tutaj pokazane, stosowane do obiekt�w podrzdnych). W rezultacie wszystkie listy ACL podfolder�w i plik�w zostan usunite. Zastosowane zostan uprawnienia obiektu nadrzdnego. DziaBania przypominaj wic metod wyburzenia starego domu i zbudowanie w tym miejscu nowego budynku. Po u|yciu tej opcji, inaczej ni| podczas ponownej instalacji dziedziczenia dla obiekt�w podrzdnych, zostaje usunite ka|de uprawnienie bezpo[rednie zastosowane do podfoder�w i plik�w. Poniewa| dziedziczenie zostaBo odtworzone, ka|da zmiana listy ACL foldera nadrzdnego jest propagowana do podfolder�w i plik�w. Od tego momentu, dla podfolder�w i plik�w mo|liwe jest okre[lanie nowych uprawnieD bezpo[rednich. Po zastosowaniu opcja Replace Permissions (Zastp uprawnienia) speBniBa swoje zadanie, a wprowadzone uprawnienia obiektu nadrzdnego bdzie mo|na modyfikowa. Uprawnienia czynne Czsto zdarza si, |e u|ytkownicy nale| do kilku grup, a grupy te maj przydzielony r�|ny poziom dostpu do zasob�w. Je[li lista ACL zawiera wiele wpis�w, u|ytkownik musi mie mo|liwo[ oceny uprawnieD, kt�re zostaBy mu przydzielone na podstawie jego czBonkostwa w grupach. Uprawnienia wynikowe nazywane s uprawnieniami czynnymi. Wskaz�wka egzaminacyjna Uprawnienia czynne s czstym zadaniem egzaminacyjnym w wikszo[ci obowizkowych egzamin�w dotyczcych systemu Microsoft Windows Sen/er 2003, jak r�wnie| w przypadku innych egzamin�w dotyczcych przykBadowo projektowania. Warto zwr�ci szczeg�ln uwag na informacje i zagadnienia omawiane w wiczeniach praktycznych dotyczce uprawnieD czynnych, aby by pewnym doskonaBego opanowania tego tematu. Okre[lanie uprawnieD czynnych Poni|ej wymienione zostaBy reguBy pozwalajce okre[li uprawnienia czynne: " Uprawnienia plik�w uniewa|niaj uprawnienia folder�w. W zasadzie nie jest to reguBa, ale w dokumentacji jest czsto w ten spos�b przedstawiana i warto j om�wi. Ka|dy zas�b obsBuguje list ACL. Jedynie lista ACL odpowiedzialna jest za okre[lanie dostpu do zasobu. Pomimo, |e na li[cie ACL mog pojawia si wpisy dziedziczone po obiekcie nadrzdnym, to s jednak wpisami listy ACL danego zasobu. Okre[lajc dostp, podsystem zabezpieczeD nie sprawdza uprawnieD foldera nadrzdnego. Tak wic reguBa ta mogBaby brzmie: Znaczenie ma jedynie lista ACL danego zasobu. " Uprawnienia zezwalajce sumuj si. Dla danego u|ytkownika, poziom dostpu do zasobu mo|e by okre[lany przez uprawnienia przydzielone do grup, do kt�rych u|ytkownik nale|y. Uprawnienia Allow (Zezwalaj) przydzielone w |etonie zabezpieczeD u|ytkownika do dowolnego obiektu u|ytkownika, grupy bdz identyfikator�w ID komputera bd stosowane do tego u|ytkownika. Tak wic uprawnienia czynne s sum wszystkich uprawnieD Allow (Zezwalaj). Je[li grupa Sales Repsmado foldera uprawnienia Allow Read & Execute oraz Write (Zezwalaj na Odczyt i wykonanie oraz Zapis), za[ dla grupy Sales Managers dopuszczone zostaBy uprawnienia Read & Execute oraz Delete (Odczyt i wykonanie oraz Usuwanie), to u|ytkownik, kt�ry nale|y do obu grup, bdzie RozdziaB 6: Pliki i foldery 195 miaB uprawnienia czynne r�wnowa|ne z szablonem uprawnieD Modijy: Read &Execute, Write oraz Delete. " Odmowa uprawnieD ma pierwszeDstwo w stosunku do zezwoleD. Odmowa uprawnienia uniewa|nia wpis dotyczcy zezwolenia dostpu. Rozszerzajc przykBad zamieszczony powy|ej, je[li dla grupy Temporary Employees odm�wiono uprawnienia Read (Odczyt) i je[li u|ytkownik nale|y do grup Sales Reps oraz Temporary Employees, to nie bdzie m�gB odczyta foldera. Informacja Zalecan praktyk jest ograniczanie stosowania odmowy uprawnieD, a zamiast tego zezwalanie na minimalne uprawnienia, kt�re pozwalaj wykonywa zadania. Odmowa uprawnieD komplikuje dodatkowo administracj list ACL i powinna by stosowana tylko wtedy, kiedy jest to abso- lutnie konieczne, aby odm�wi dostpu u|ytkownikom, kt�rzy uprawnienia do zasobu maj przydzie- lone poprzez czBonkostwo w innych grupach. Wskaz�wka egzaminacyjna Je[li u|ytkownik nie mo|e uzyska dostpu do zasobu ze wzgldu na odmow uprawnieD, a dostp ten jest potrzebny, nale|y usun odmow uprawnieD lub usun u|ytkownika z grupy, do kt�rej odmowa uprawnieD zostaBa zastosowana. Je[li natomiast odmowa uprawnieD jest dziedziczona, udostpnienie zasobu mo|na zrealizowa poprzez dodanie uprawnienia bezpo[redniego Allow (Zezwalaj). " Uprawnienia bezpo[rednie maj pierwszeDstwo nad uprawnieniami dziedziczonymi. Wpis uprawnienia, kt�ry zostaB bezpo[rednio zdefiniowany dla zasobu uniewa|nia sprzeczny wpis upraw- nienia dziedziczonego. DziaBanie takie wynika z podstawowych zaBo|eD projektu: Folder nadrzdny okre[la reguB" dziki temu, |e dziaBa dziedziczenie. Obiekt podrzdny mo|e wymaga dostpu, kt�ry nie jest zgodny z reguB i dlatego uprawnienie jest dodawane bezpo[rednio do listy ACL obiektu podrzdnego. Uprawnienie bezpo[rednie ma pierwszeDstwo. Wskaz�wka egzaminacyjna DziaBanie omawianej reguBy powoduje, |e bezpo[rednie uprawnienie zezwalajce (Allow) uniewa|nia dziedziczone uprawnienie zabraniajce (Denyj. Sprawdzanie uprawnieD czynnych Umo|liwienie kontrolowania jednostkowych uprawnieD i dziedziczenia obsBugiwanego w systemie plik�w NTFS komplikuje zarzdzanie tymi uprawnieniami. Stosujc te wszystkie uprawnienia do u|ytkownik�w i grup nasuwa si pytanie: w jaki spos�b dla u|ytkownika okre[li rzeczywiste uprawnienia i poziom dostpu do zasob�w. Firma Microsoft opracowaBa dBugo oczekiwane narzdzie uBatwiajce udzielenie odpowiedzi na powy|sze pytanie. Przedstawiona na rysunku 6-8 zakBadka Effecthe Permissions (Czynne uprawnienia) znajdujca si w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD), umo|liwia z dobrym przybli|eniem okre[lenie dla u|ytkownika wynikowych uprawnieD dostpu do zasobu. MCSE Training Kit: Egzamin 70-290 Rysunek 6-8 ZakBadka Effectwe Permissions (Czynne uprawnienia) w oknie dialogowym Advancei Security Settings (Zaawansowane ustawienia zabezpieczeD) Aby u|y programu Effectwe Permissions (Czynne uprawnienia), nale|y klikn przycisk Select (Wybierz) i okre[li u|ytkownika, grup lub wbudowane konto, kt�re bdzie analizowane. Nastpnie system Windows Server 2003 wygeneruje list uprawnieD czynnych. Lista ta jest jedynie przybli|eniem i nie uwzgldnia uprawnieD do udostpnionego zasobu okre[lonego wewntrz konta, a tak|e nic sprawdza specjalnego czBonkostwa konta, takiego jak: " Anonymous Logon (Logowanie anonimowe) " Bacch(Wsad) " Creator Group (Grupa tw�rc�w) " Dialup " Enterprise Domain Controllers (Kontrolery domeny przedsibiorstw) " Interactivc (Interaktywny) " Nctwork (Sie) " Proxy " Restricted (Z ograniczeniami) " Remote Interactive Logon (Zdalny) " Service (UsBuga) " System " Terminal Server User (U|ytkownik serwera terminali) " Other Organization (Inna organizacja) " TBus Organization (Ta organizacja) Lista ACL mo|e zawiera wpisy dla kont grup Network (Sie) lub Interactwe (Interaktywny). Dziki temu, u|ytkownik w zale|no[ci od sposobu zalogowania si (interakcyjnie czy poprzez sie) uzyskuje r�|ny poziom dostpu do zasob�w. Poniewa| podczas sprawdzania uprawnieD czynnych u|ytkownik nie jest zalogowany w systemie, pomijane s uprawnienia zwizane ze sposobem logowania. Aby ocena RozdziaB 6: Pliki i foldery 197 uprawnieD byBa precyzyjna, nale|y przeprowadzi jeszcze dodatkowy krok, w kt�rym sprawdzone zostan uprawnienia dla kont specjalnych bdz wbudowanych, takich jak Interactwe (Interaktywny) lub Network (Sie). WBa[ciciel zasobu W systemie Windows Server 2003 okre[lony zostaB specjalny podmiot zabezpieczeD nazwany Creator Owner (Tw�rca-wBa[ciciel) oraz wpis w deskryptorze zabezpieczeD zasobu, kt�ry definiuje wBa[ciciela obiektu. Aby w peBni zrozumie zagadnienia zarzdzania i rozwizywania problem�w zwizanych z uprawnieniami zasob�w, nale|y zapozna si z tymi dwoma elementami obrazu zabezpieczeD. Tw�rca wBa[ciciel Je[li u|ytkownik tworzy plik lub folder (jest to mo|liwe, je[li dla u|ytkownika dopuszczone zostaBy odpowiednie uprawnienia Create Files/Write Data (Tworzenie plik�w/Zapis danych) lub Create Foldersl Append Data (Tworzenie plik�w/ Dodawanie danych)), u|ytkownik staje si tw�rc i pocztkowym wBa[cicielem tego zasobu. Ka|de uprawnienie foldera nadrzdnego przydzielone do konta specjalnego Creator Owner (Tw�rca-wBa[ciciel) zostaje bezpo[rednio przydzielone do tego u|ytkownika. Jako przykBad zaBo|ono, |e folder umo|liwia u|ytkownikom tworzenie plik�w, czyli zezwala na upraw- nienia Create Files/Write Data (Tworzenie plik�w/Zapis danych) oraz |e uprawnienia foldera zezwalaj u|ytkownikom na: Read & Execute oraz Creator Owner Fuli Control (Odczyt i wykonanie oraz Tw�rca wBa[ciciel PeBna kontrola). Ten zestaw uprawnieD bdzie umo|liwiaB Marii utworzenie pliku. Maria, jako tw�rca pliku bdzie miaBa peBn kontrol nad tym plikiem. Ta r�wnie| mo|e utworzy plik i r�wnie| bdzie miaBa peBn kontrol nad swoim plikiem. Jednak ka|da z nich mo|e jedynie odczytywa pliki utworzone przez drug. Tia mogBaby jednak zmieni list ACL pliku, kt�ry utworzyBa, poniewa| w szablonie uprawnieD Fuli Control (PeBna kontrola) doBczone s uprawnienia Change Permission (Zmiana uprawnieD). WBasno[ Je[li z jakichkolwiek powod�w Tia zmodyfikowaBa list ACL i samej sobie odm�wiBa uprawnieD Fuli Control (PeBna kontrola), bdzie mogBa nadal zmienia list ACL, poniewa| wBa[ciciel obiektu zawsze mo|e modyfikowa list ACL swojego obiektu. Takie podej[cie uniemo|liwia u|ytkownikom permanentne zablokowanie swoich wBasnych plik�w lub folder�w. Zalecan praktyk jest zarzdzanie wBasno[ci obiekt�w tak, aby wBa[ciciel obiektu byB prawidBowo zdefiniowany. Zarzdzanie mo|liwe jest tylko cz[ciowo, poniewa| wBa[ciciele mog modyfikowa listy ACL swoich obiekt�w, a tak|e dlatego, |e nowsze technologie, takie jak przydziaB dysku, do obliczania przestrzeni dyskowej u|ywanej przez poszczeg�lnych u|ytkownik�w wykorzystuj atrybut wBasno[". Zarzdzanie wBasno[ci obiekt�w w wersjach wcze[niejszych ni| Windows Server 2003 byBo bardzo niewygodne. System Windows Server 2003 zostaB wyposa|ony w warto[ciowe narzdzie uBatwiajce przenoszenie wBasno[ci. WBa[ciciel obiektu jest okre[lany w deskryptorze zabezpieczeD obiektu. U|ytkownik, kt�ry utworzyB plik lub folder jest pocztkowym jego wBa[cicielem. Inny u|ytkownik mo|e przej lub przypisa wBasno[ obiektu przy zastosowaniu nastpujcych proces�w: 198 MCSE Training Kit: Egzamin 70-290 " Administratorzy mog przejmowa wBasno[. U|ytkownik, kt�ry nale|y do grupy administrator�w systemu lub kt�remu przydzielone zostaBo prawo u|ytkownika Take Ownership (Przejmij na wBasno[) mo|e przej na wBasno[ dowolny obiekt systemu. Aby przej na wBasno[ zas�b, nale|y w oknie dialogowym Aduanced Security Settings (Zaawan- sowane ustawienia zabezpieczeD) klikn zakBadk Owner (WBa[ciciel). Widok zakBadki przedstawiony zostaB na rysunku 6-9. Nastpnie nale|y wybra z listy konto u|ytkownika, zaznaczy pole wyboru Replace Owner On Subcontainers And Objects (ZamieD wBa[ciciela dla podkontcner�w i obiekt�w) oraz klikn przycisk Apply (Zastosuj). You cw t*� c* wopn <***i* cB *� (txct I >ou h�� W n**jwd c*w�tKr� ot prr.**?-i | b o f t 6 t f � l t o � t s i u lMulei@ci'.ncucamt OwrigecBsnei lo "<"! C A*nrt:e�or ICOMI UMI'A/ln.f^baio.1 {S-AT.it.ao.: tCONTOSOUdmWMoill 0�V'IJi�iorG.oup: I- R�)W�Owt�JWitUbcrrt*n*i:nMott,cl5 Lpam iww abou> e�BKl!� Ot C��l | .;: - | Rysunek 6-9 ZakBadka Owner (WBa[ciciel) w oknie dialogowym Advanced Security Setting (Zaawansowane ustawienia zabezpieczeD) " U|ytkownicy mog przej wBasno[, je[li przydzielone zostaBo im prawo Take Ownership (Przejmij na wBasno[). Specjalne uprawnienie Take Ownership (Przejmij na wBasno[) mo|e by przydzielane dowolnej grupie bdz u|ytkownikowi. U|ytkownicy majcy te uprawnienia mog przejmowa na wBasno[ zas�b, a nastpnie, jako wBa[ciciele, mog modyfikowa list ACL, aby definiowa wymagane uprawnienia. " Administratorzy mog uBatwia przenoszenie wBasno[ci. Administrator mo|e przej wBasno[ dowolnego pliku lub foldera. Nastpnie, jako wBa[ciciel, administrator mo|e zmieni uprawnienia do zasobu, przydzielajc nowemu u|ytkownikowi prawo Allow Take Ownership (Zezwalaj: Przejmij na wBasno[). U|ytkownik ten mo|e teraz przej na wBasno[ dany zas�b. " Uprawnienia Restore Files And Directories (Odtwarzanie plik�w i katalog�w) umo|liwiaj zmian wBasno[ci. U|ytkownik, kt�ry ma uprawnienia Restore Files And Directories (Odtwarzanie plik�w i katalog�w) mo|e jednemu u|ytkownikowi zabra wBasno[ pliku i przydzieli j innemu u|ytkownikowi. Majc takie uprawnienia, wystarczy klikn opcje Othcr Users Or Groups (Inni u|ytkownicy lub grupy), a nastpnie wskaza nowego wBa[ciciela. Jest to nowa funkcja systemu Windows Scrver 2003 i umo|liwia administratorom bdz operatorom kopii zapasowych zarzdzanie i przenoszenie wBasno[ci zasobu bez interwencji u|ytkownika. RozdziaB 6: Pliki i foldery 199 Zadanie kontrolne: Konfigurowanie uprawnieD systemu plik�w W zadaniu tym edytor ACL bdzie wykorzystywany do zabezpieczania zasob�w, sprawdzania uprawnieD czynnych oraz do przenoszenia wBasno[ci plik�w. Nale|y sprawdzi, czy skonfigurowane zostaBy obiekty u|ytkownik�w i grup opisane w sekcji Wymagania". wiczenie 1: Konfigurowanie uprawnieD NTFS 1. Otw�rz folder c:\docs utworzony w zadaniu kontrolnym podczas lekcji 1. 2. Utw�rz folder nazwany Project 101. 3. Otw�rz edytor ACL poprzez kliknicie prawym przyciskiem myszy foldera Project 101, wybranie polecenia Properties (WBa[ciwo[ci), a nastpnie kliknicie zakBadki Security (Zabezpieczenia). 4. Skonfiguruj folder tak, aby dostp do niego byB zgodny z opisem zamieszczonym w poni|szej tabeli. Zadanie to wymaga rozwa|enia oraz skonfigurowania dziedziczenia i uprawnieD dla grup. Podmiot zabezpieczeD Dostp Administratorzy Fuli Control (PeBna kontrola) U|ytkownicy grupy Project Mog odczytywa dane, dodawa pliki i foldery oraz maj peBn kon- 101 Team trol nad utworzonymi przez siebie plikami i folderami. Grupa Managers CzBonkowie tej grupy mog odczytywa i modyfikowa wszystkie pliki, ale nic mog usuwa plik�w, kt�rych nie utworzyli. Mened|erowie powinni mie peBn kontrol nad utworzonymi przez siebie plikami i folerami. Grupa System UsBugi uruchomione za pomoc konta tej grupy powinny mie peBn kntrol. Po zakoDczeniu konfigurowania uprawnieD nale|y klikn przycisk Apply (Zastosuj), a nastpnie klikn przycisk Advanced (Zaawansowane), aby por�wna ustawienia pokazane w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) z ustawieniami pokazanymi na rysunku 6-10. Aby skonfigurowa te uprawnienia, trzeba wyBczy dziedziczenie. W przeciwnym razie wszyscy u|yt- kownicy, a nie tylko nale|cy do grupy Project 101, bd mogli odczytywa pliki foldera Project 101. Folder nadrzdny c:\docs przekazuje uprawnienie Users: Allow Read &Execute (U|ytkownicy: Zezwalaj na odczyt i wykonanie). Jedynym sposobem odmowy tego dostpu jest usunicie zaznaczenia opcji Allow Inheritable Permissions From The Parent... (Zezwalaj na propagowanie dziedziczonych uprawnieD z obiektu nadrzdnego...). Warto zauwa|y, |e wymagania nie okre[laj konieczno[ci odmowy prawa odczytu dla czBonk�w grupy Users (U|ytkownicy), ale r�wnie| wprost nie zostaBo powiedziane, |e uprawnienie to (odczyt) jest wymagane. Prawo odczytu nie zostanie przydzielone ze wzgldu na stosowanie zalecanej zasady przydzielania jedynie minimum wymaganych uprawnieD. Po zablokowaniu dziedziczenia, okno dialogowe Aduanced Security Settings (Zaawansowane ustawienia zabezpieczeD) powinno wyglda tak, jak przedstawia to rysunek 6-10. 200 MCSE Training Kit: Egzamin 70-290 Rysunek 6-10 ZakBadka Permissions (Uprawnienia) okna dialogowego Aduanced Security Setting (Zaawansowane ustawienia zabezpieczeD) Opcja zezwalajca na dziedziczenie zostaBa zablokowana, wic wszystkie uprawnienia wy[wietlane s jako <nic dziedziczono. PeBn kontrol maj czBonkowie grup Administrators (Administratora)'), System oraz Creator Owner (Tw�rca wBas'ciciel). Nale|y pamita, |e je[li grupa Creator Owner (Tw�rca- wBa[ciciel) ma peBn kontrol, u|ytkownik, kt�ry utworzyB plik lub folder, ma peBn kontrol nad tyra zasobem. Grupa Project 101 zostaBa zaznaczona jako posiadajca specjalne wpisy uprawnieD. Po zazna- czeniu tej pozycji i klikniciu polecenia View/Edit (Przegldaj/Edytuj) mo|na zobaczy uprawnienia przydzielone grupie Project 101 (uprawnienia przedstawione zostaBy na rysunku 6-11). Rysunek 6-11 Specjalne uprawnienia grupy Project 101 Grupa Managers ma uprawnicniayl//ott>: Read, Wriie, Read&Execute (Zezwalaj: Odczyt, Zapis, Odczyt i wykonanie). Szablon ten pozwala r�wnie| utworzy pliki i foldery oraz, podobnie jak dla czBonk�w grupy Project 101, je[li czBonek grupy Managers tworzy zas�b, do tego zasobu przydzielane s dla nie uprawnienia Creator Owner (Tw�rca wBa[ciciel). Ten zestaw uprawnieD nie pozwala czBonkom grupy RozdziaB 6: Pliki i foldery 201 Managers usuwa plik�w innych u|ytkownik�w. Warto zapamita, |e szablon uprawnieD Modify (Modyfikowanie), kt�ry nie zostaB przydzielony, zawiera uprawnienie Delete (Usuwanie). wiczenie 2: Stosowanie uprawnieD odmowy 1. ZostaBa wynajta grupa dostawc�w. Dla dostawc�w, wszystkie konta u|ytkownik�w umieszczone zostaBy w grupie Project Contractors i nie nale| do |adnej innej grupy domeny. Co nale|y zrobi, aby uniemo|liwi dostawcom dostp do foldera Project 101, kt�ry byB zabezpieczany w poprzednim wiczeniu? Nic. Poniewa| dostawcy nie nale| do |adnej innej grupy domeny, nie maj uprawnieD przydzielanych przez aktualn list ACL, kt�ra mogBaby zezwoli na dostp do zasobu. Dlatego nie zachodzi konieczno[ odmowy uprawnieD. 2. ZaB�|my, |e pewne konta u|ytkownik�w, takie jak konto Scott Bishop, nale| do obu grup Project Contractors oraz Engincers. Co nale|y zrobi, aby uniemo|liwi dostp dla dostawc�w? W tym przypadku trzeba odm�wi uprawnieD (Deny) dla grupy Project Contractors. Poniewa| grupa ta otrzymaBa uprawnienia Allow (Zezwalaj) przydzielone innym grupom, musz one zosta uniewa|nione przez odmow uprawnieD (Deny). 3. Skonfiguruj folder tak, aby dla grupy Project Contractors nastpowaBa odmowa uprawnieD Fuli Control (PeBna kontrola). wiczenie 3: Uprawnienia czynne 1. Dla foldera Project 101, otw�rz okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) - uruchomienie okna wBa[ciwo[ci foldera, kliknicie zakBadki Security (Zabezpieczenia), a nastpnie kliknicie przycisku Advanced (Zaawansowane). 2. Kliknij zakBadk Effcctive Permissions (Czynne uprawnienia). 3. Wybierz ka|dego z wymienionych poni|ej u|ytkownik�w i sprawdz jego uprawnienia. U|ytkownik Czynne uprawnienia Scott Bishop Brak uprawnieD Danielle Tiedt Traverse Folder/Executc File (Przechodzenie przez folder/ Wykonywanie pliku) List Folder/Read Data (Wy[wietalnic zawarto[ci foldera/Odczyt danych) Read Attributes (Odczyt atrybut�w) Read Extended Attributes (Odczyt atrybut�w rozszerzonych) Create Filcs/Writc Data (Tworzenie plik�w/Zapis danych) Create Foldcrs/Appcnd Data (Tworzenie folder�w/DoBczanie danych) Read Permissions (Odczyt uprawnieD) Lorrin Smith- Traverse Folder/Executc File (Przechodzenie przez folder/ Wykonywanie pliku) Bates List Folder/Read Data (Wy[wietlanie zawarto[ci foldera/Odczyt danych) Read Attributes (Odczyt atrybut�w) Read Extended Attributes (Odczyt atrybut�w rozszerzonych) Create Files/Write Data (Tworzenie plik�w/Zapis danych) Create Folders/Appcnd Data (Tworzenie folder�w/DoBczanie danych) cig dalszy na nastpnej stronie 202 MCSE Training Kit: Egzamin 70-290 __________________________________________________________cig dalszy ze strony poprzedniej U|ytkownik Czynne uprawnienia Lorrin Smidv Writc Attributes (Zapis atrybut�w) Bates (ceL) Write Extended Attributes (Zapis atrybut�w rozszerzonych) Read Permissions (Odczyt uprawnieD) Je[li wymienione powy|ej uprawnienia nie zgadzaj si z list uprawnieD utworzon podczas wiczenia, oznacza to, |e na li[cie uprawnieD pojawiB si bBd (w tym przypadku nale|y powr�ci do wiczenia 1 i 2) lub bBd wystpuje w definicji czBonkostwa grup (w takim przypadku nale|y powr�ci do sekcji Wymagania" znajdujcej si na pocztku rozdziaBu). Nale|y wprowadzi korekty, a| uzyskana zostanie zgodno[ list uprawnieD. wiczenie 4: WBasno[ 1. Zaloguj si jako Daniclle Tiedt. 2. Otw�rz folder udostpniony przyBczajc si do foldera \\Server01\Docs. 3. Otw�rz folder Project 101 i utw�rz w nim plik tekstowy nazwany Report. 4. Dla pliku Report, otw�rz okno dialogowe Adva.nc.ed Security Settings (Zaawansowane ustawienia zabezpieczeD). 5. Sprawdz, czy wszystkie uprawnienia s dziedziczone po folderze nadrzdnym. Jakie wystpuj r�|nice w listach ACL pomidzy tym obiektem a folderem Project 101? Folder Project 101 przydziela uprawnienia Fuli Control (PeBna kontrola) dla grupy Creator Owner (Tw�rca wBa[ciciel). Plik Report przydziela uprawnienia Fuli Control (PeBna kontrola) dla u|ytkownika Danielle. Je[li Danielle utworzy plik, jej identyfikatorowi SID zostan przypisane uprawnienia przydzielone specjalnej grupie Creator Owner (Tw�rca wBa[ciciel). Opr�cz tego, uprawnienie grupy Project 101 Team do tworzenia plik�w i folder�w (Create Files oraz Create Folders) jest uprawnieniem foldera i nie wystpuje na li[cie ACL pliku Report. 6. Zaloguj si jako administrator. 7. Dla pliku Report otw�rz okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD). 8. Kliknij zakBadk Owner (WBa[ciciel). 9. Sprawdz, czy Danielle jest na li[cie aktualnych wBa[cicieli. 10. Zaznacz swoje konto u|ytkownika i kliknij przycisk Apply (Zastosuj). Administrator staB si teraz wBa[cicielem obiektu. 11. U|ytkownik posiadajcy uprawnienie Restore Files And Directories (Odtwarzanie plik�w i katalog�w) mo|e przekazywa wBasno[ obiektu innemu u|ytkownikowi. Kliknij opcj Other Users Or Group (Inni u|ytkownicy lub grupy) i zaznacz u|ytkownika Lorrin Smith-Batcs. Po wy[wietleniu konta Lorrin na li[cie Change Owner To (ZmieD wBa[ciciela na:), zaznacz je i kliknij przycisk Apply (Zastosuj). 12. Sprawdz, czy u|ytkownik Lorrin jest nowym wBa[cicielem pliku Report. 13- Czy u|ytkownik Lorrin ma obecnie peBn kontrol nad obiektem? Dlaczego tak lub dlaczego nie? Czy u|ytkownik Danielle zachowaB peBn kontrol lub jego uprawnienia zostaBy zmienione? Sprawdz to za pomoc zakBadki Effective Permissions (Czynne uprawnienia). RozdziaB 6: Pliki i foldery 203 U|ytkownik Lorrin nie ma peBnej kontroli, a jedynie uprawnienia Modijy (Modyfikowanie). Lorrin jest czBonkiem grupy Managcrs, kt�ra takie uprawnienia posiada. Uprawnienia Fuli Control (PeBna kontrola) s przypisane grupie Creator Owner (Tw�rca wBa[ciciel) i przydzielane u|ytkownikowi jedynie wtedy, gdy tworzy obiekt. '" "jl Informacja Zmiana wBa[ciciela, po utworzeniu obiektu, nie modyfikuje w |aden spos�b listy ACL >P> Nowy wBa[ciciel lub dowolny u|ytkownik majcy uprawnienia Allow Change Permissions (Zezwalaj: , Zmiana uprawnieD) mo|e jednak modyfikowa list ACL i okre[la odpowiedni dla siebie poziom dostpu do zasobu. Pytania Przedstawione poni|ej pytania maj za zadanie ugruntowa podstawowe informacje prezentowane podczas lekcji. Je[li czytelnik nie potrafi udzieli odpowiedzi, powinien ponownie przejrze materiaB lekcji i powr�ci jeszcze raz do pytaD. Odpowiedzi na te pytania mo|na znalez w sekcji Pytania i odpowiedzi", znajdujcej si pod koniec tego rozdziaBu. 1. Jakie s minimalne uprawnienia NTFS umo|liwiajce u|ytkownikowi otwieranie dokument�w i uruchamianie program�w przechowywanych w udostpnionym folderze? a. Fuli Conrrol (PeBna kontrola) b. Modify (Modyfikowanie) c. Write (Zapis) ( d. Read 6i Execute (Odczyt i wykonanie) e. List Folder Contents (Wy[wietlanie zawarto[ci foldera) 2. U|ytkownik Bill nie mo|e uzyska dostpu do planu wydziaBu. Po orwarciu zakBadki Security (Zabezpieczenia) dla tego zasobu okazaBo si, |e wszystkie uprawnienia do dokumentu dziedziczone s po folderze nadrzdnym. Grupie, do kt�rej nale|y Bill, odm�wiono uprawnieD Read (Odczyt). Kt�ra z poni|szych metod umo|liwi dostp do planu wydziaBu dla u|ytkownika Bill? a. Zmodyfikowanie uprawnieD foldera nadrzdnego poprzez dodanie uprawnienia BilkAllow Fuli Control (Bill: Zezwalaj na peBn kontrol). b. Zmodyfikowanie uprawnieD foldera nadrzdnego poprzez dodanie uprawnienia BilhAllow Read (Bill: Zezwalaj na odczyt). c. Zmodyfikowanie uprawnieD dokumentu plan" poprzez dodanie uprawnienia BilliAllow Read (Bill: Zezwalaj na odczyt). d. Zmodyfikowanie uprawnieD dokumentu plan" poprzez usunicie uprawnienia Allow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD), wybranie polecenia Copy (Kopiuj) i usunicia odmowy uprawnieD (Deny). c. Zmodyfikowanie uprawnieD dokumentu plan" poprzez usunicie uprawnienia Allow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD), wybranie polecenia Copy (Kopiuj) i dodanie uprawnienia BilkAllow Fuli Control (Bill: Zezwalaj na peBn kontrol). f. Usunicie u|ytkownika Bill z grupy, kt�rej odm�wiono uprawnieD (Deny). 204 MCSE Training Kit: Egzamin 70-290 3. U|ytkownik Bill dzwoniB ponownie informujc, |e w dalszym cigu nie mo|e uzyska dostpu do planu wydziaBu. Administrator u|yB narzdzia EfFective Permissions (Czynne uprawnienia), zaznaczyB konto u|ytkownika Bill i okazaBo si, |e Bill posiada wystarczajce uprawnienia. Czym mo|na wyja[ni rozbie|no[ pomidzy wynikami programu Effective Permissions (Czynne uprawnienia) a informacjami podanymi przez u|ytkownika? Podsumowanie lekcji " Uprawnienia NTFS mog by skonfigurowane za pomoc edytora ACL. Edytor ma trzy okna dialogowe: zakBadka Security (Zabezpieczania), Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) oraz Permission Entry For (Wpisy uprawnieD dla). " UprawnieD mo|na odmawia lub mo|na na nie zezwala. Uprawnienia mog by bezpo[rednie lub dziedziczone. Odmowa (Deny) uprawnienia ma pierwszeDstwo nad zezwoleniem (Allow) uprawnienia. Podobnie, uprawnienia bezpo[rednie maj pierwszeDstwo nad uprawnieniami dziedziczonymi. W rezultacie, bezpo[rednie uprawnienie Allow (Zezwalaj) uniewa|nia dziedziczone uprawnienie Deny (Odmawiaj). " Dziedziczenie umo|liwia administratorom zarzdzanie uprawnieniami w pojedynczym folderze nadrzdnym, kt�ry zawiera pliki i foldery, dla kt�rych obowizuj te same wymagania zwizane z dostpem do zasobu. Ustawienia domy[lne okre[laj, |e lista ACL nowego obiektu zawiera uprawnienie zezwalajce na dziedziczenie po folderze nadrzdnym. " Istnieje kilka metod zmiany wynik�w dziaBania dziedziczenia uprawnieD. Mo|na zmodyfikowa uprawnienia pierwotne (obiektu nadrzdnego) i zezwoli, |eby nowe uprawnienia byBy dziedziczone przez obiekt. Mo|na okre[la uprawnienia bezpo[rednie obiektu (uprawnienia takie maj pierwszeDstwo nad uprawnieniami dziedziczonymi) lub mo|na dla obiektu zablokowa dziedziczenie i skonfigurowa list ACL u|ywajc do definiowania dostpu uprawnieD bezpo[rednich. " ZakBadka Effecthe Permissions (Czynne uprawnienia) w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) jest przydatnym narzdziem umo|liwiajcym dla u|ytkownik�w lub grup okre[lenie przybli|onego poziomu dostpu do zasobu. Narzdzie analizuje uprawnienia konta, jak r�wnie| uprawnienia grup, do kt�rych dane konto nale|y. " WBa[ciciel obiektu mo|e w dowolnym momencie modyfikowa list ACL tego obiektu. U|ytkownik, kt�ry ma uprawnienie Take Ownership (Przejmij na wBasno[) mo|e sta si wBa[cicielem obiektu. Administratorzy mog sta si wBa[cicielami dowolnego obiektu systemu. Konta grup Administrators, Backup Operators (Operatorzy kopii zapasowych) oraz inne konta, kt�rym przydzielone zostaBo prawo Restore Files And Directories (Odtwarzanie plik�w i katalog�w) mog zmieni wBa[ciciela pliku lub foldera i cech t przypisywa innemu u|ytkownikowi lub grupie.

Wyszukiwarka

Podobne podstrony:
Linux System Plików
iCare Format Recovery naprawa systemu plikow
Linux System Plików II
Linux konserwacja Systemu Plikow
07 Linux System plików
system plikow
utk1 system plikow ext
Funkcje systemowe systemu plików
Systemy plików
Struktura, odpowiedzialność i uprawnienia w systemie zarządzania BHP
systemy plikow
systemy plików 12 10 2008
Sprawozdanie z Zarządania systemem plików i przestrzenią
System plików

więcej podobnych podstron