Instytut Sterowania i Systemów Informatycznych
Uniwersytet Zielonogórski
Systemy operacyjne
Laboratorium
Zarządzanie dostępem do zasobów przy wykorzystaniu grup
Cel ćwiczenia
Ćwiczenie ma na celu praktyczne zapoznanie się z systemem Windows 2000 w zakresie
tworzenia rożnych rodzajów grup użytkowników oraz określania uprawnień do zasobów.
Ponadto ćwiczenie obejmuje zarządzanie danymi na partycjach NTFS.
Podstawowe pojęcia
" Grupa
Jest to zbiór kont użytkowników, wykorzystywany do zarządzania dostępem do
zasobów. Pozwala ona na przypisywanie uprawnień do zasobów. Użytkownik przypisany
do grupy dziedziczy wszystkie prawa i uprawnienia przyznane grupie. Konto użytkownika
może należeć do wielu grup
" Grupa w grupie roboczej - zasada ALP (Account, Local group, Permissions):
tworzona jest na komputerach, które nie są kontrolerami domeny
nie można jej utworzyć na kontrolerze domeny, gdyż nie posiada on niezależnej
od Active Directory bazy danych zabezpieczeń (a taką bazą jest właśnie SAM)
informacje o nich przechowywane są w SAM (Security Account Manager), która
jest lokalną bazą danych informacji o zabezpieczeniach komputera
informacje o nich nie są umieszczane w Active Directory
wykorzystywane są do przypisywania uprawnień do zasobów i praw do wykonywania
zadań systemowych na komputerach, na których są tworzone
W grupie roboczej mogą być tworzone tylko grupy lokalne. Grupy te mogą zawierać
tylko lokalne konta użytkowników, nie mogą być członkami innych grup oraz mogą
je tworzyć członkowie grupAdministratorsiAccount Operators
" Wbudowane grupy lokalne
Członkowie tych grup posiadają prawa do wykonywania zadań systemowych. Występują
na wszystkich komputerach pracujących pod Windows 2000. Nie można ich usuwać.
" Grupy specjalne, tożsamości specjalne
W sposób automatyczny łączą użytkowników dla celów obsługi systemowej. Użytkownik
staje się automatycznie członkiem jednej z tych grup podczas wykonywania określonych
czynności w systemie. Nie dostępne w Active Directory.
Opis ćwiczenia
1. Wykorzystanie grup
Grupa w domenie:
" tworzona wyłącznie w kontrolerze domeny,
" domyślnie mogą być tworzone wyłącznie przez członków jednej z grup wbudowanych:
AdministratorsiAccount Operators
" administrator może nadać również innym użytkownikom prawo tworzenia grup
" informacje przechowywane są w Active Directory
" przypisywanie uprawnień do zasobów i praw do wykonywania zadań w dowolnym
komputerze w domenie
Rodzaje grup przechowywanych w Active Directory
" dystrybucyjna (distribution)  służy tylko jako lista użytkowników, nie można
w niej przydzielać praw. Część oprogramowania współpracuje tylko z nimi,
" bezpieczeństwa (security)  właściwości grupy dystrybucyjnej powiększone o
możliwość przydzielania uprawnień,
Zakres grup
Określa, gdzie grupa może być użyta w środowisku domenowym oraz ewentualną
możliwość ich zagnieżdżania. Zakres grup może być następujący:
(a)Global użytkownicy o podobnych wymaganiach w dostępie do sieci; mogą
do nich należeć konta użytkowników i innych grup globalnych tylko z domeny, w
której dana grupa jest tworzona; mogą być dodawane do innych grup globalnych,
uniwersalnych i domenowych grup lokalnych; zasoby mogą znajdować się w
dowolnej domenie,
(b)Domain local  określenie praw dostępu do zasobów w określonej, jednej
domenie; członkostwo w tych grupach nie podlega żadnym ograniczeniom; nie
mogą być zagnieżdżane, nawet w ramach tej samej domeny; zasoby muszą
znajdować się w tej samej domenie, nie koniecznie jednak w samym kontrolerze
domeny,
(c)Universal kontrolery domeny pracują pod Windows 2000; członkostwo nie
podlega żadnym ograniczeniom; grupy mogą być zagnieżdżane w innych domenowych
grupach lokalnych i grupach uniwersalnych w dowolnej domenie,
Strategia wykorzystania grup w pojedynczej domenie  AGDLP
(a) Utworzyć i umieścić użytkowników w grupie globalnej (A - Accounts,G -
Global group)
(b) W każdej domenie utworzyć grupy odpowiedzialne za uprawnienia do zasobów
w tej domenie (DL - Domain Local group)
2
(c) Określić uprawnienia grupy lokalnej (a więc jej zasobów) (P - Permissions)
(d) Przypisać grupy globalne do lokalnych - grupa globalna może być członkiem
grupy lokalnej, ale NIE odwrotnie!
2. Zarządzanie danymi na partycjach NTFS
Uprawnienia NTFS dostępne są tylko w systemie NTFS pod Windows 2000. W
systemie NTFS z każdym plikiem przechowywana jest lista ACL (Access Control
List). Zawiera ona wykaz wszystkich kont użytkowników, grup i komputerów, które
mają zdefiniowane prawo dostępu do pliku lub folderu, łącznie z rodzajem przypisanych
uprawnień.
Uprawnienia NTFS do folderów:
" Read  przeglądanie plików i folderów, podgląd atrybutów i uprawnień do
folderu oraz identyfikacja właściciela,
" Write zakładanie w folderze nowych plików i folderów, zmiana atrybutów
folderu, podgląd uprawnień do folderu oraz identyfikacja właściciela,
" List folder contents przeglądanie listy plików i folderów wewnątrz danego
folderu,
" Read & Execute przechodzenie w drzewie katalogów wewnątrz folderu oraz
wszystkie czynności, na które pozwalają uprawnieniaReadorazList Folder
Contents,
" Modify usunięcie folderu oraz wszelkie działania, na które zezwalają uprawnienia
WriteorazRead&Execute,
" Full Control zmiana uprawnień, przejęcie folderu na własność, usuwanie
plików i folderów zawartych w folderze oraz wszelkie działania, na które zezwala
dowolne inne uprawnienie NTFS do folderów.
Uprawnienia NTFS do plików:
" Read odczyt zawartości pliku, atrybutów i uprawnień do folderu oraz identyfikację
właściciela,
" Write nadpisanie pliku, zmiana atrybutów pliku, podgląd uprawnień do pliku
i identyfikacja właściciela,
" Read&Execute uruchamianie programów oraz wszystkie inne czynności, na
które pozwala uprawnienieRead,
" Modify modyfikacja i usunięcie pliku oraz wszystkie inne czynności, na które
zezwalają uprawnieniaWriteiRead&Execute,
" Full Control zmiana uprawnień, przejęcie pliku na własność oraz wszystkie
czynności, na które zezwala dowolne inne uprawnienie.
Uprawnienia specjalne:
Stosowane są, gdy zachodzi konieczność bardzo precyzyjnego określenia uprawnień
użytkowników, zaś uprawnienia standardowe nie są wystarczające. Spośród uprawnień
specjalnych najważniejsze są:
3
" Change permissions użytkownik ma możliwość zmiany uprawnień do pliku
lub folderu. Posiadanie tego uprawnienia nie umożliwia nadania prawaFull
Control,
" Take ownership użytkownik może stać się właścicielem pliku lub folderu.
Administrator posiada niejawne prawoTake Ownershipdo każdego pliku i
folderu.
Uprawnienia plików, a operacje dyskowe:
" plik przenoszony w ramach jednej partycji NTFS zachowuje swoje uprawnienia,
" plik kopiowany lub przenoszony z partycji dowolnego typu, dziedziczy uprawnienia
katalogu nadrzędnego, w którym będzie się znajdował,
" plik kopiowany lub przenoszony na partycję innego typu niż NTFS, traci swoje
uprawnienia,
" w celu skopiowania folderów (plików) w obrębie jednej lub pomiędzy partycjami
NTFS, należy posiadać prawoReaddo folderu (pliku) z
ródłowego oraz prawo
Writedo folderu docelowego,
" aby przenieść foldery (pliki) w obrębie jednej lub pomiędzy partycjami NTFS,
należy posiadać prawoModifydo folderu (pliku) z
ródłowego oraz prawoWrite
do folderu docelowego
Kompresja danych na partycjach NTFS
W systemie Windows 2000 kompresji mogą podlegać tylko dane niezaszyfrowane.
Możliwe jest oddzielne określanie kompresji folderu i plików. Możliwe jest więc
wystąpienie sytuacji, że skompresowany folder będzie zawierał nieskompresowane
pliki oraz nieskompresowany folder będzie zawierał skompresowane pliki. System
plikó NTFS podaje zawsze rozmiar pliku po ewentualnej kompresji. Istnieje możliwość
włączenia opcji wyróżniania plików skompresowanych. System kompresji jest dla
aplikacji  przezroczysty , tzn. pliki skompresowane przed udostępnieniem ich pewnej
aplikacji są rozpakowywane. Po zamknięciu lub zapisaniu pliku jest on kompresowany
powtórnie.
Kompresja, a operacje dyskowe
" plik przenoszony w ramach jednej partycji NTFS zachowuje atrybut kompresji,
" plik kopiowany lub przenoszony z partycji dowolnego typu, dziedziczy atrybut
kompresji katalogu nadrzędnego, w którym będzie się znajdował,
" plik kopiowany lub przenoszony na partycję inną, niż NTFS nie będzie kompresowany,
" kopiowanie pliku skompresowanego odbywa się trójstopniowo: rozpakowanie
pliku, skopiowanie rozpakowanego pliku, kompresja pliku docelowego.
Konfiguracja przydziałów dyskowych:
Przydziały dyskowe pozwalają na kontrolę ilości miejsca na dysku dla każdego
użytkownika i partycji dyskowej. Wielkość zajętego obszaru dysku dla danego użytkownika
można konfigurować niezależnie dla każdego użytkownika, niezależnie od tego, gdzie
na dysku znajdują się jego pliki i foldery. Cechy przydziałów dyskowych są następujące:
4
" wykorzystanie przestrzeni dyskowej oparte jest na prawie własności do plików
i folderów. Gdy użytkownik kopiuje lub zapisuje nowy plik na partycji NTFS,
miejsce, które ten plik zajmuje obciąża przydział dyskowy użytkownika,
" przydział dyskowy nie uwzględnia kompresji plików. Limit jest obciążany wielkością
plików nieskompresowanych, niezależnie od tego, ile miejsca zajmują faktycznie
na dysku,
" ilość wolnego miejsca dostępnego dla aplikacji bazuje na limicie przydziału
dyskowego,
" przydziały dyskowe kontrolowane są niezależnie dla każdej partycji NTFS,
nawet, jeśli są one zlokalizowane na jednym dysku fizycznym,
" istnieje możliwość określenia limitu, którego przekroczenie spowoduje jedynie
poinformowanie użytkownika o tym fakcie.
Szyfrowanie z użyciem EFS (Encrypting File System)
" Operacje szyfrowania i deszyfrowania są przeprowadzane w tle i są niewidoczne
dla użytkowników aplikacji. Podczas używania pliku jest on automatycznie
deszyfrowany i szyfrowany ponownie podczas zapisu na dysk.
" EFS umożliwia dostęp do zaszyfrowanego pliku tylko autoryzowanemu użytkownikowi.
" Administrator może odzyskać plik zaszyfrowany przez dowolnego użytkownika.
" EFS posiada wbudowany system odzyskiwania danych. Z szyfrowania danych
można korzystać wyłącznie jeśli w systemie istnieje przynajmniej jeden klucz
odzyskiwania. EFS automatycznie generuje klucze odzyskiwania i umieszcza je
w rejestrze systemu, gdy nie jest możliwy dostęp do domeny.
" Wymagany jest przynajmniej jeden agent odzyskiwania EFS. Można wyznaczyć
dowolną liczbę agentów do zarządzania programem odzyskiwania EFS. Każdy
agent wymaga posiadania certyfikatu EFS Recovery Agent.
" Szyfrowanie danych i ich kompresja wykluczają się wzajemnie. Niemożliwa jest
bowiem kompresja danych zaszyfrowanych.
" Po zaszyfrowaniu folderu, pliki w nim zapisane będą automatycznie szyfrowane.
Pliki szyfrowane są blokami, przy pomocy innych kluczy do szyfrowania każdego
bloku. Do szyfrowania wykorzystywany jest szybki algorytm wykorzystujący
klucze symetryczne. Klucze przechowywany jest w polu DDF (Data Decryption
Field) oraz DRF (Data Recovery Field), znajdujących się w nagłówku pliku.
" Podczas otwierania zaszyfrowanego pliku, system EFS automatycznie wykrywa
szyfrowanie i wyszukuje certyfikat użytkownika oraz powiązany z nim klucz
prywatny. EFS wykorzystuje ten klucz do deszyfrowania pola DDF i odblokowania
listy kluczy szyfrujących, co pozwala na jawne wyświetlenie zawartości pliku.
" Możliwa jest zmiana nazwy pliku po zaszyfrowaniu.
" Przy przenoszeniu pliku z folderu zaszyfrowanego do niezaszyfrowanego na tej
samej partycji plik pozostaje zaszyfrowany.
" Dostęp do zaszyfrowanego pliku jest zakazany wszystkim użytkownikom, poza
właścicielem klucza prywatnego. Tylko właściciel klucza lub agent EFS może
5
odszyfrować plik. Użytkownik nie posiadający klucza prywatnego nie będzie
mógł odczytać zawartości pliku nawet, gdy uzyska do niego dostęp (np. mając
prawoTake Ownership).
" Jeśli klucz prywatny właściciela pliku jest niedostępny, agent odzyskiwania
może otworzyć zaszyfrowany plik, wykorzystując swój klucz prywatny do pola
DRF i odblokowując w ten sposób listę kluczy szyfrujących pliku.
Przebieg ćwiczenia
UWAGA 1 Sposób logowania jako administrator: koniecznie zaznaczyć poleWorkstation
Only, użytkowniklogin: adm, hasło zostanie podane przez prowadzącego zajęcia.
1. Zalogować się jakoadmi utworzyć pięciu użytkowników standardowych o nazwach
Student1,...,Student5.
2. Utworzyć dwie grupy o nazwach Grupa1i Grupa2. Do grupy Grupa1 przypisać
użytkownikówStudent1,Student2iStudent3. Do grupyGrupa2przypisać użytkowników
Student3,Student4iStudent5.
3. Utworzyć na dyskuC:\folder o nazwieDane_grup. Usunąć z listy grup uprawnionych
do korzystania z tego folderu grupęWszyscy. Czy możliwe jest usunięcie grupy
Wszyscy z listy uprawnionych do korzystania z foldera Dane_grup? Odpowiedz

uzasadnij.
4. Zablokować dziedziczenie uprawnień do folderuDane_grup. Czy teraz jest możliwe
usunięcie grupyWszyscyz listy uprawnionych do korzystania z tego foldera?
5. Przypisać uprawnienia domyślne wraz z prawemZapisdo folderuDane_grupgrupie
Grupa1. Przypisać grupieGrupa2prawaWyświetlanie zawartości folderuoraz
Odczyti odmówić prawaZapis. Jakie są efektywne uprawnienia poszczególnych
użytkowników? Zwróć szczególną uwagę na użytkownikaStudent3.
6. Nadaj grupieAdministratorzyprawoPełna kontrolado folderuDane_grupi
utwórz plikAdmin.txto dowolnej treści.
7. Zaloguj się odpowiednio jakoStudent1,Student3orazStudent5i wykonaj na pliku
Admin.txt operacje: otwarcia, zmiany zawartości, zapisu, usunięcia. Wykonanie
których operacji było możliwe?
8. Przeglądnąć zaawansowane prawa dostępu do zasobów plikowych.
9. Zalogować się jakoadmi skonfigurować programWindows Explorerdo wyświetlania
nazw skompresowanych plików i folderów w innym kolorze. Utworzyć folderKompresja
i skopiować do niego dowolne pliki i foldery o łącznym rozmiarze 10MB. Podać
wartości parametrówRozmiariRozmiar na dyskudla tego folderu.
10. Dokonać kompresji folderuKompresja. Odczytać wartości parametrówRozmiari
Rozmiar na dyskudla tego folderu. Porównać otrzymane wyniki z tymi uzyskanymi
w poprzednim punkcie. Wyznaczyć współczynnik kompresji.
11. Skonfigurować domyślne ustawienia przydziałów dyskowych dla dyskuC:, wykorzystując
podane wielkości:Ogranicz miejsce na dysku do: 10 MB,Ustaw poziom ostrzeżeń
na: 6 MB. Podać ilość wolnego miejsca na dysku dla administratora oraz użytkowników
Student1,...,Student5.
6
12. Zalogować się jakoStudent1. Podać ilość wolnego miejsca na dysku. Porównać z
wynikami otrzymanymi w poprzednim ćwiczeniu. Skomentować rezultat.
13. Skopiować folderC:\Winnt\System32do folderuMoje_dane. Jaki jest rozmiar folderu
System32? Czy możliwe było skopiowanie folderuSystem32? Odpowiedz
uzasadnij.
14. Wyłącz przydziały dyskowe dla dyskuC:. Który użytkownik może dokonywać tej
zmiany?
15. Zalogować się jako administrator i wyeksportować na dyskietkę certyfikat szyfrowania
plików dla tego konta. Utwozryć folderSzyfrowane, a w nim plikConfidential.txt
o dowolnej treści.
16. Zalogować się jakoStudent3i zaszyfrować plikConfidential.txtznajdujący się
w folderzeSzyfrowane.
17. Zalogować się jakoadmi odczytać plikConfidential.txtznajdujący się w folderze
Szyfrowane. Czy możliwe jest odczytanie tego pliku? Dlaczego?
18. Zaimportować certyfikat agenta odzyskiwania i odszyfrować plikConfidential.txt
znajdujący się w folderzeSzyfrowane. Czy możliwe jest odczytanie tego pliku?
Dlaczego?
19. Usunąć wszystkich użytkowników, grupy robocze oraz foldery wraz z plikami utworzone
w trakcie trwania laboratorium.
7