plik


ÿþRozdziaB 6: Pliki i foldery 187 Lekcja 2: Konfigurowanie uprawnieD systemu plików 1 Serwery systemu Windows poprzez NTFS obsBuguj dokBadn kontrole dostpu do poszczególnych plików i folderów. Uprawnienia dostpu do zasobu s przechowywane w postaci wpisów kontroli dostpu (ACE) listy ACL, która jest czs'ci opisu zabezpieczeD ka|dego zasobu. Je[li u|ytkownik próbuje uzyska dostp do zasobu, |eton dostpu u|ytkownika, zawierajcy identyfikatory zabezpieczeD SID konta u|ytkownika i kont grup, jest porównywany pod ktem zgodno[ci z identyfikatorami SID we wpisach ACE list ACL. Ten proces uwierzytelnienia nic zmieniB si zasadniczo od wprowadzenia systemu Windows NT. Natomiast szczegóBy implementacji uwierzytelnienia, narzdzia zarzdzania i specyfika konfigurowania dostpu do zasobów s ró|ne w ka|dej wersji systemu Windows. Niniejsza lekcja omawia nowe cechy kontroli dostpu systemu Windows Server 2003. Opisane zostan sposoby wykorzystywania edytora ACL do zarzdzania szablonami uprawnieD, dziedziczeniem, upraw- nieniami specjalnymi oraz oceny uprawnieD efektywnych u|ytkownika lub grupy. MateriaBy omówione podczas lekcji pozwalaj na " Konfigurowanie uprawnieD za pomoc edytora ACL systemu Windows Server 2003 " Zarzdzanie dziedziczeniem uprawnieD ACL " Okre[lanie uprawnieD czynnych " Sprawdzanie uprawnieD czynnych " Zmian wBa[ciciela plików i folderów " Przenoszenie wBasno[ci plików i folderów Szacunkowy czas lekcji: 30 minut Konfigurowanie uprawnieD Program Windows Explorer (Eksplorator Windows) jest najcz[ciej u|ywanym narzdziem rozpoczyna- jcym zarzdzanie uprawnieniami dostpu do zasobów, zarówno na wolumenach lokalnych, jak i serwerach zdalnych. Inaczej ni| dla folderów udostpnionych, Eksplorator Windows mo|e by zdalnie i lokalnie u|ywany do konfigurowania uprawnieD. Edytor listy ACL (Access Control List) Tak jak we wcze[niejszych wersjach systemu Windows, zabezpieczenia dla plików i folderów mog by konfigurowane na dowolnym wolumenie NTFS. W tym celu nale|y prawym przyciskiem myszy klikn zasób i wybra polecenie Properties (WBa[ciwo[ci) lub Sharing And Security (Udostpnianie i zabezpieczenia), a nastpnie klikn zakBadk Security (Zabezpieczenia). Wy[wietlony interfejs nazywany jest ró|nie: okno dialogowe Perntissions (Uprawnienia), okno dialogowe Security Settings (Ustawienia zabezpieczeD), zakBadka Security (Zabezpieczenia) lub edytor ACL. Jakakolwiek nazwa zostanie u|yta, okno wyglda tak samo. Na rysunku 6-4 zostaB przedstawiony przykBadowy widok zakBadki Security (Zabezpieczenia) w oknie dialogowym Properties (WBa[ciwo[ci) dla zasobu Docs. 188 MCSE Training Kit: Egzamin 70-290 Rysunek 6-4 Edytor ACL w oknie dialogowym Properties (WBa[ciwo[ci) dla zasobu Docs Przed wersj systemu Windows 2000 uprawnienia byBy do[ uproszczone. Firma Microsoft dla wersji Windows 2000 (i pózniejszych) wprowadziBa znacznie bardziej elastyczn i silniejsz kontrol dostpu do zasobów. Silniejsze narzdzie jest równie| bardziej zBo|one. Obecnie edytor ACL ma trzy okna dia- logowe, a w ka|dym z nich obsBugiwane s inne i wa|ne funkcje. Pierwsze okno dialogowe udostpnia ogólny przegld ustawieD zabezpieczeD i uprawnieD zasobu, Umo|liwia zaznaczenie ka|dego konta, dla którego zdefiniowany zostaB dostp i przegldanie szablonu uprawnieD przydzielonych dla danego u|ytkownika, grupy bdz komputera. Ka|dy szablon uprawnia pokazany w tym oknie dialogowym stanowi zestaw uprawnieD, które razem umo|liwiaj konfigurowanie poziomu dostpu. Na przykBad, aby zezwoli u|ytkownikowi odczyta plik, wymagane jest okre[lenie kilku jednostkowych uprawnieD. ZBo|ono[ tego procesu zostaBa ukryta, a u|ytkownik po prostu zaznacza szablon uprawnieD Allow: Read & Execute (Zezwalaj: Zapis i wykonanie), a system Windows w tle ustawia odpowiednie uprawnienia do pliku i foldera. Aby przeglda szczegóBowo list ACL, nale|y klikn przycisk Advanced (Zaawansowane). Urucho- mione zostanie drugie okno dialogowe edytora ACL  Advanced Security Settings For Docs (Zaawan- sowane ustawienia zabezpieczeD dla Docs). Okno to pokazane zostaBo na rysunku 6-5. Umieszczora tu zostaBa lista okre[lonych wpisów kontroli dostpu, które zostaBy przypisane do pliku lub foldera. Lista jest najbli|szym przybli|eniem, dostpnym w interfejsie u|ytkownika, rzeczywistych informacj przechowywanych na li[cie ACL. Inne okna dialogowe umo|liwiaj konfigurowanie inspekcji, zara- dzanie wBasno[ci i sprawdzanie uprawnieD czynnych. RozdziaB 6: Pliki i foldery 189 Rysunek 6-5 Okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD; edytora ACL Po zaznaczeniu uprawnienia na li[cie Permission Entries (Wpisy uprawnienia) i kilkniciu przycisku Edit (Edytuj), wy[wietlone zostanie trzecie okno dialogowe edytora ACL. Okno to, Permission Entry For Docs (Wpis uprawnienia dla Docs), pokazane zostaBo na rysunku 6-6. Zawiera list szczegóBowych, pojedynczych uprawnieD i stanowi pewnego rodzaju kompromis pomidzy wpisami uprawnieD drugiego okna dialogowego (lista wpisów uprawnieD) a pierwszym oknem dialogowym (lista uprawnieD u|ytkownika). Rysunek 6-6 Okno dialogowe Permission Entry (Wpis uprawnienia) edytora ACL C\ Wskazówka egzaminacyjna Przystawka Shared Folders (Foldery udostpnione) udostpnia edytor ACL. Nale|y otworzy okno wBa[ciwo[ci foldera udostpnionego i klikn zakBadk Security (Zabezpie- czenia). MCSE Training Kit: Egzamin 70-290 Dodawanie i usuwanie wpisów uprawnienia Dla ka|dego podmiotu zabezpieczeD mo|na zezwala lub zabrania przydziaBu uprawnieD. W systemie Windows Server 2003 wystpuj nastpujce podmioty zabezpieczeD: u|ytkownicy, grupy, komputery oraz specjalna klasa obiektu InetOrgPerson (opisana w specyfikacji RFC 2798), która jest u|ywana do reprezentowania u|ytkowników w pewnych sytuacjach dotyczcych katalogów ró|nych platform. Aby doda uprawnienie, nale|y klikn przycisk Add (Dodaj) na pierwszym lub drugim oknie dialogowym edytora ACL. Okno dialogowe Select User, Computer Or Group (Wybór u|ytkownika, komputera lub grupy) umo|liwia znalezienie odpowiedniego podmiotu zabezpieczeD. Nastpnie nale|y wybra wBa[ciwe uprawnienie. W stosunku do poprzednich wersji systemu Windows interfejs nieznacznie si ró|ni, a te niewielkie zmiany nie przeszkodz do[wiadczonemu administratorowi w szybkim opanowaniu programu. Aby usun konkretne uprawnienia dodane do listy ACL, wystarczy zaznaczy je na li[cie i klikn przycisk Removc (UsuD). Modyfikowanie uprawnieD Uprawnienie mo|e by modyfikowane w oknie dialogowym zakBadki Security (Zabezpieczenia) poprzez zaznaczanie lub usuwanie zaznaczenia pól wyboru Allow (Zezwalaj) lub Deny (Odmawiaj), przez co zastosowany zostanie odpowiedni szablon uprawnieD. Je[li kontrola powinna by dokBadniejsza, nale|y klikn przycisk Advanced (Zaawansowane), zaznaczy uprawnienie i klikn przycisk Edit (Edytuj). Edytowane mog by pojedyncze uprawnienia. Dziedziczenie uprawnieD omówione zostanie w dalszej cz[ci lekcji. W oknie dialogowym Permission Entry For Docs (Wpisy uprawnieD dla Docs), pokazanym na rysunku 6- 6, mo|na modyfikowa uprawnienia oraz za pomoc listy rozwijanej Apply Onto (Zastosuj do) okre[la zakres dziedziczenia uprawnieD. Uwaga Istotn spraw jest zrozumienie wpBywu zmian dokonywanych w omawianym oknie dialogowym. Z jednej strony dobrze, |e firma Microsoft umo|liwiBa szczegóBow kontrol, ale z drugiej strony zwikszenie liczby kontrolowanych elementów powoduje skomplikowanie operacji i zwikszone mo|liwo[ci popeBnienia bBdów. Nowe podmioty zabezpieczeD W systemie Windows Scrver 2003, inaczej ni| dla Windows NT 4, istnieje mo|liwo[ dodawania kom- puterów lub grup komputerów do listy ACL, dziki czemu zwikszyBa si elastyczno[ konfigurowania dostpu do zasobów. Obecnie mo|na kontrolowa dostp do zasobu w oparciu o komputer klienta, bez wzgldu na to, który u|ytkownik uzyskuje dostp. PrzykBadowo, mo|e zachodzi potrzeba udostpnienia komputera w holu biura, ale trzeba zapobiec, aby na tym komputerze, podczas przerwy na lunch, mened|er nic mógB uzyska dostpu do wa|nych informacji. Dziki dodaniu komputera do list ACL i odmowie uprawnieD dostpu, mened|er, który uzyskuje dostp do wa|nych informacji na swoim pulpicie, nie uzyska dostpu do tych na komputerze w holu biura. System Windows Servcr 2003 umo|liwia równie| zarzdzanie dostpem do zasobów w oparciu o typ logowania. Do listy ACL mo|na dodawa konta specjalne  Interactwe (Interakcyjni), Network (Sie) oraz Terminal Server User (U|ytkownicy serwera terminali). To|samo[ Interactwe (Interakcyjni) reprezentuje u|ytkowników, którzy do konsoli zalogowali si lokalnie. Grupa Terminal Seroer User RozdziaB 6: Pliki i foldery 191 (U|ytkownicy serwera terminali) to u|ytkownicy, którzy przyBczyli si za pomoc pulpitu zdalnego lub usBug terminalowych. Grupa Network (Sie) reprezentuje poBczenia sieci, na przykBad program Client for Microsoft Networks (Klient sieci Microsoft Networks) systemu Windows. Szablony uprawnieD oraz uprawnienia specjalne Szablony uprawnieD, wy[wietlone na zakBadce Security (Zabezpieczenia) pierwszego okna dialogowego s zestawami uprawnieD specjalnych, które s dokBadnie pokazane w trzecim oknie dialogowym  Permissions Entry For Docs (Wpisy uprawnieD dla Docs). Znaczenie wikszo[ci szablonów i uprawnieD specjalnych Batwo okre[li na podstawie ich nazwy, a z kolei omówienie niektórych pozycji wykracza poza zaplanowany zakres niniejszej ksi|ki. Poni|ej zostaBo wymienionych kilka pozycji, które s warte odnotowania: " Read & Execute (Odczyt i wykonanie) Ten szablon uprawnieD jest wystarczajcy dla u|ytkowników, którzy maj otwiera oraz odczytywa pliki i foldery. Uprawnienia Read & Execute (Odczyt i wykonanie) umo|liwiaj tak|e u|ytkownikowi skopiowanie zasobu, przy zaBo|eniu, |e maj upraw- nieni?, do zapisu w folderze bdz na no[niku docelowym. W systemie Windows brak uprawnieD zabraniajcych kopiowania. Funkcjonalno[ taka bdzie dostpna po wprowadzeniu w systemach Windows technologii Digital Rights Management. " Write and Modify (Zapis i modyfikowanie) Zastosowany do foldera szablon uprawnieD Write (Zapis) umo|liwia u|ytkownikom tworzenie nowych plików bdz folderów, natomiast zastosowany do pliku, umo|liwia modyfikowanie zawarto[ci pliku, jak równie| jego atrybutów (ukryty, systemowy, tylko do odczytu) oraz atrybutów rozszerzonych (zdefiniowanych przez aplikacj  odpowiedzialn" za dany dokument). Szablon Modify (Modyfikowanie) umo|liwia usuwanie obiektu. " Change Permissions (Zmiana uprawnieD) Po doraznym zmodyfikowaniu list ACL mo|na zdziwi si sprawdzajc, kto mo|e modyfikowa uprawnienia. Pierwsza odpowiedz dotyczy wBa[ciciela zasobu. WBasno[ zasobu zostanie omówiona w dalszej cz[ci tej lekcji. Druga odpowiedz wi|e si z faktem, |e ka|dy u|ytkownik, który ma uprawnienie czynne pozwalajce zmienia uprawnienia (Change Permission), mo|e modyfikowa list ACL zasobu. Uprawnienie Change Permission (Zmiana uprawnieD) musi by zarzdzane przy u|yciu trzeciego okna dialogowego edytora ACL. Uprawnienie to jest równie| doBczone do szablonu uprawnieD Fuli Control (PeBna kontrola). Dziedziczenie System Windows Server 2003 obsBuguje dziedziczenie uprawnieD, co po prostu oznacza, |e uprawnienia zastosowane do foldera bd si równie| stosowaBy do plików i folderów znajdujcych si poni|ej danego foldera (dotyczy ustawieD domy[lnych). Dowolne zmiany nadrzdnej listy ACL bd miaBy podobny wpByw na caB zawarto[ tego foldera. Dziedziczenie umo|liwia skupienie administracji w jednym punkcie, czyli zarzdzanie jedn list ACL danej gaBzi lub zasobów znajdujcych si poni|ej danego foldera. Mechanizm dziedziczenia Dziedziczenie jest wynikiem dwóch cech deskryptora zabezpieczeD zasobu. Po pierwsze, uprawnienia mog b\v dziedziczone (ustawienia domy[lne). Tak jak przedstawiono to na rysunku 6-5, uprawnienie Allow I 'sers to Read & Execute (Zezwalaj u|ytkownikom na odczyt i wykonanie) jest dodatkowo okre[lone w polu Apply to (Zastosuj dla: Ten folder, podfoldery i pliki). Jednak|e te ustawienia same nie s wystarczajce, aby zadziaBaBo dziedziczenie. Dodatkowo wymagane jest, aby podczas tworzenia I nowego obiektu nie zostaBo zmienione domy[lne zaznaczenie pola wyboru Allow Inheritable Permissiom I From The Parent To Propagate To This Object... (Zezwalaj na propagowanie dziedziczenia uprawnieD I z obiektu nadrzdnego do tego obiektu..). Tak wic nowo utworzony plik lub folder bdzie dziedziczyB uprawnienia po obiekcie nadrzdnym, I a tak|e ka|da zmiana w obiekcie nadrzdnym bdzie miaBa wpByw na podrzdne pliki i foldery. Warto I zapozna si z tym dwuetapowym wprowadzaniem dziedziczenia, poniewa| stanowi ono dwa ró|ne I sposoby zarzdzania dziedziczeniem: z punktu widzenia obiektu nadrzdnego oraz z punktu widzenia I obiektu podrzdnego. W ka|dym oknie dialogowym edytora ACL dziedziczenie uprawnieD jest ró|nic wy[wietlane. W pierw- I szym i trzecim oknie dialogowym, zakBadka Security (Zabezpieczenia) oraz Permissions Entry ForDoa I (Wpisy uprawnieD dla Docs) dziedziczone uprawnienia pokazywane s jako nieaktywne zaznaczenia I (przyciemnione), dla odró|nienia ich od uprawnieD przydzielanych do zasobu bezpo[rednio (nazywane I uprawnieniami  wyraznymi"). W drugim oknie dialogowym - AdvancedSecurity Settings (Zaawanso- I wanc ustawienia zabezpieczeD)  program pokazuje dla ka|dego uprawnienia, na podstawie którego I foldera uprawnienie jest dziedziczone. Uniewa|nianie dziedziczenia Dziedziczenie umo|liwia konfigurowanie uprawnieD w najwy|szym punkcie drzewa foldera. Takie pocztkowe uprawnienia oraz ich zmiany bd propagowane do wszystkich plików i folderów tego drzewa, których domy[lna konfiguracja umo|liwia dziedziczenie. Czasami jednak zachodzi potrzeba zmodyfikowania uprawnieD podfoldcrów lub plików tak, aby u|yt- kownicy lub grupy uzyskiwali dodatkowy dostp, a czasem, aby dostp ten byB bardziej ograniczony. Uprawnienia dziedziczone nie mog by usuwane z listy ACL. Mo|na natomiast uniewa|ni dziedziczone uprawnienie przez przydzielenie uprawnienia bezpo[redniego. Alternatywnym rozwizaniem jest zablokowanie dziedziczenia i utworzenie caBej bezpo[redniej listy ACL. Aby uniewa|ni dziedziczone uprawnienia poprzez ich zastpienie uprawnieniami bezpo[rednimi, wystarczy po prostu zaznaczy pole wyboru odpowiedniego uprawnienia. Na przykBad, je[li folder dziedziczy uprawnienie Allow Read (Zezwalaj na odczyt) przydzielone do grupy Sales Rcps i je[li dla grupy Sales Rcps nale|y zabroni tego dostpu do foldera, wystarczy zaznaczy pole wyboru Deny Red (Odmawiaj odczytu). Aby uniewa|ni wszystkie dziedziczone uprawnienia, nale|y dla zasobów otworzy okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) i usun zaznaczenie opcji Alina Inheritable Permissions From The Parent To Propagate To This Object... (Zezwalaj na propagowanie dzie- dziczenia uprawnieD z obiektu nadrzdnego do tego obiektu..). Zablokowane zostanie dziedziczenie wszystkich uprawnieD pochodzcych z obiektu nadrzdnego. Nastpnie trzeba skonfigurowa dostp do zasobu poprzez przydzielenie wystarczajcych uprawnieD bezpo[rednich. Aby uBatwi tworzenie uprawnieD bezpo[rednich w li[cie ACL, podczas blokowania dziedziczenia system Windows przedstawia u|ytkownikowi dwie mo|liwo[ci. U|ytkownik mo|e skopiowa lub usun wpisy uprawnieD. Odpowiednie okno dialogowe przedstawione zostaBo na rysunku 6-7. RozdziaB 6: Pliki i foldery 193 Rysunek 6-7 Kopiowanie lub usuwanie wpisów uprawnieD Kopiowanie tworzy uprawnienia bezpo[rednie identyczne z odziedziczonymi uprawnieniami. Nastpnie mo|na usun konkretne wpisy uprawnienia, je[li nie maj dotyczy danego zasobu. Po uruchomieniu funkcji Remoue (UsuD) lista ACL bdzie pusta i bdzie mo|na do niej dodawa wpisy uprawnieD. Taki sam rezultat uzyskuje si po umieszczeniu na li[cie ACL uprawnieD bezpo[rednich. Tak wic, kwesti jest raczej, czy Batwiej bdzie rozpocz okre[lanie uprawnieD od zera, czyli od pustej listy ACL, czy rozpocz od skopiowania dziedziczonych uprawnieD i zmodyfikowa list do wymaganego ksztaBtu. Je[li nowa lista ACL jest istotnie ró|na od listy dziedziczonych uprawnieD, lepiej uruchomi funkcj Remove (UsuD). Je[li natomiast nowa lista ACL ró|ni si niewiele, bardziej wydajne bdzie jej skopiowanie. Dziedziczenie blokowane jest poprzez usunicie zaznaczenia opcji AUow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD). W takim przypadku ka|dy dostp do zasobu jest zarzdzany przez uprawnienia bezpo[rednie przydzielone do tego pliku lub foldera. {adna zmiana listy ACL foldera nadrzdnego nie bdzie miaBa wpBywu na dany zasób. Pomimo, |e uprawnienia obiektu nadrzdnego mog by dziedziczone, obiekt podrzdny ich nie dziedziczy. Blokowanie dziedziczenia nale|y stosowa ostro|nie, poniewa| komplikuje to zarzdzanie, sprawdzanie i rozwizywanie problemów zwizanych z dostpem do zasobu. Ponowna instalacja dziedziczenia Istniej dwa sposoby ponownej instalacji dziedziczenia: z punktu widzenia zasobu podrzdnego lub z punktu widzenia foldera nadrzdnego. Rezultaty ró|ni si nieznacznie. Potrzeba ponownego wBczenia dziedziczenia dla zasobu mo|e mie miejsce, je[li dziedziczenie zostaBo zablokowane przypadkowo lub je[li zmieniBy si potrzeby przedsibiorstwa. W takim przypadku wystarczy po prostu w oknie dialogowym AdvancedSecurity Settings (Zaawansowane ustawienia zabezpieczeD) ponownie 7aznaczy opcj AUow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD). Uprawnienia dziedziczone po obiekcie nadrzdnym nic maj wpBywu na zasób. Pozostaj wszystkie uprawnienia bezpo[rednie przydzielone do zasobu. Wynikowa lista ACL jest poBczeniem uprawnieD bezpo[rednich, które mog by usuwane oraz odziedziczonych uprawnieD. Z tego wzgldu, niektóre odziedziczone uprawnienia mog nic by uwidaczniane w pierwszym i trzecim oknie dialogowym edytora ACL. Na przykBad, je[li zasób ma uprawnienie bezpo[rednie Allows Sales Reps Read & Execute (Zezwalaj grupie Sales Reps na odczyt i wykonanie), a folder nadrzdny ma takie same uprawnienie, to po zezwoleniu dziedziczenia dla obiektu podrzdnego, w rezultacie obiekt podrzdny bdzie miaB zarówno dziedziczone, jak i bezpo[rednie uprawnienia. Odpowiednie zaznaczenia bd widoczne w pierwszym i trzecim oknie dialogowym. W interfejsie uprawnienia bezpo[rednie przesBaniaj uprawnienia dziedziczone. Jednak w rzeczywisto[ci odziedziczone uprawnienia s przedstawiane, o czym mo|na si przekona przegldajc drugie okno dialogowe - AdvancedSecurity Settings (Zaawansowane ustawienia zabezpieczeD). 194 MCSE Training Kit: Egzamin 70-290 Druga metoda ponownej instalacji dziedziczenia przeprowadzana jest w obiekcie nadrzdnym. Dla danego foldera, w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) nale|y zaznaczy pole wyboru Replace Permission Entries On AU Chi/J Objects With Entries Shown Her That Apply To Child Objects (ZamieD wpisy uprawnienia na wszystkich obiektach podrzdnych na wpisy tutaj pokazane, stosowane do obiektów podrzdnych). W rezultacie wszystkie listy ACL podfolderów i plików zostan usunite. Zastosowane zostan uprawnienia obiektu nadrzdnego. DziaBania przypominaj wic metod wyburzenia starego domu i zbudowanie w tym miejscu nowego budynku. Po u|yciu tej opcji, inaczej ni| podczas ponownej instalacji dziedziczenia dla obiektów podrzdnych, zostaje usunite ka|de uprawnienie bezpo[rednie zastosowane do podfoderów i plików. Poniewa| dziedziczenie zostaBo odtworzone, ka|da zmiana listy ACL foldera nadrzdnego jest propagowana do podfolderów i plików. Od tego momentu, dla podfolderów i plików mo|liwe jest okre[lanie nowych uprawnieD bezpo[rednich. Po zastosowaniu opcja Replace Permissions (Zastp uprawnienia) speBniBa swoje zadanie, a wprowadzone uprawnienia obiektu nadrzdnego bdzie mo|na modyfikowa. Uprawnienia czynne Czsto zdarza si, |e u|ytkownicy nale| do kilku grup, a grupy te maj przydzielony ró|ny poziom dostpu do zasobów. Je[li lista ACL zawiera wiele wpisów, u|ytkownik musi mie mo|liwo[ oceny uprawnieD, które zostaBy mu przydzielone na podstawie jego czBonkostwa w grupach. Uprawnienia wynikowe nazywane s uprawnieniami czynnymi. Wskazówka egzaminacyjna Uprawnienia czynne s czstym zadaniem egzaminacyjnym w wikszo[ci obowizkowych egzaminów dotyczcych systemu Microsoft Windows Sen/er 2003, jak równie| w przypadku innych egzaminów dotyczcych przykBadowo projektowania. Warto zwróci szczególn uwag na informacje i zagadnienia omawiane w wiczeniach praktycznych dotyczce uprawnieD czynnych, aby by pewnym doskonaBego opanowania tego tematu. Okre[lanie uprawnieD czynnych Poni|ej wymienione zostaBy reguBy pozwalajce okre[li uprawnienia czynne: " Uprawnienia plików uniewa|niaj uprawnienia folderów. W zasadzie nie jest to reguBa, ale w dokumentacji jest czsto w ten sposób przedstawiana i warto j omówi. Ka|dy zasób obsBuguje list ACL. Jedynie lista ACL odpowiedzialna jest za okre[lanie dostpu do zasobu. Pomimo, |e na li[cie ACL mog pojawia si wpisy dziedziczone po obiekcie nadrzdnym, to s jednak wpisami listy ACL danego zasobu. Okre[lajc dostp, podsystem zabezpieczeD nie sprawdza uprawnieD foldera nadrzdnego. Tak wic reguBa ta mogBaby brzmie: Znaczenie ma jedynie lista ACL danego zasobu. " Uprawnienia zezwalajce sumuj si. Dla danego u|ytkownika, poziom dostpu do zasobu mo|e by okre[lany przez uprawnienia przydzielone do grup, do których u|ytkownik nale|y. Uprawnienia Allow (Zezwalaj) przydzielone w |etonie zabezpieczeD u|ytkownika do dowolnego obiektu u|ytkownika, grupy bdz identyfikatorów ID komputera bd stosowane do tego u|ytkownika. Tak wic uprawnienia czynne s sum wszystkich uprawnieD Allow (Zezwalaj). Je[li grupa Sales Repsmado foldera uprawnienia Allow Read & Execute oraz Write (Zezwalaj na Odczyt i wykonanie oraz Zapis), za[ dla grupy Sales Managers dopuszczone zostaBy uprawnienia Read & Execute oraz Delete (Odczyt i wykonanie oraz Usuwanie), to u|ytkownik, który nale|y do obu grup, bdzie RozdziaB 6: Pliki i foldery 195 miaB uprawnienia czynne równowa|ne z szablonem uprawnieD Modijy: Read &Execute, Write oraz Delete. " Odmowa uprawnieD ma pierwszeDstwo w stosunku do zezwoleD. Odmowa uprawnienia uniewa|nia wpis dotyczcy zezwolenia dostpu. Rozszerzajc przykBad zamieszczony powy|ej, je[li dla grupy Temporary Employees odmówiono uprawnienia Read (Odczyt) i je[li u|ytkownik nale|y do grup Sales Reps oraz Temporary Employees, to nie bdzie mógB odczyta foldera. Informacja Zalecan praktyk jest ograniczanie stosowania odmowy uprawnieD, a zamiast tego zezwalanie na minimalne uprawnienia, które pozwalaj wykonywa zadania. Odmowa uprawnieD komplikuje dodatkowo administracj list ACL i powinna by stosowana tylko wtedy, kiedy jest to abso- lutnie konieczne, aby odmówi dostpu u|ytkownikom, którzy uprawnienia do zasobu maj przydzie- lone poprzez czBonkostwo w innych grupach. Wskazówka egzaminacyjna Je[li u|ytkownik nie mo|e uzyska dostpu do zasobu ze wzgldu na odmow uprawnieD, a dostp ten jest potrzebny, nale|y usun odmow uprawnieD lub usun u|ytkownika z grupy, do której odmowa uprawnieD zostaBa zastosowana. Je[li natomiast odmowa uprawnieD jest dziedziczona, udostpnienie zasobu mo|na zrealizowa poprzez dodanie uprawnienia bezpo[redniego Allow (Zezwalaj). " Uprawnienia bezpo[rednie maj pierwszeDstwo nad uprawnieniami dziedziczonymi. Wpis uprawnienia, który zostaB bezpo[rednio zdefiniowany dla zasobu uniewa|nia sprzeczny wpis upraw- nienia dziedziczonego. DziaBanie takie wynika z podstawowych zaBo|eD projektu: Folder nadrzdny okre[la  reguB" dziki temu, |e dziaBa dziedziczenie. Obiekt podrzdny mo|e wymaga dostpu, który nie jest zgodny z reguB i dlatego uprawnienie jest dodawane bezpo[rednio do listy ACL obiektu podrzdnego. Uprawnienie bezpo[rednie ma pierwszeDstwo. Wskazówka egzaminacyjna DziaBanie omawianej reguBy powoduje, |e bezpo[rednie uprawnienie zezwalajce (Allow) uniewa|nia dziedziczone uprawnienie zabraniajce (Denyj. Sprawdzanie uprawnieD czynnych Umo|liwienie kontrolowania jednostkowych uprawnieD i dziedziczenia obsBugiwanego w systemie plików NTFS komplikuje zarzdzanie tymi uprawnieniami. Stosujc te wszystkie uprawnienia do u|ytkowników i grup nasuwa si pytanie: w jaki sposób dla u|ytkownika okre[li rzeczywiste uprawnienia i poziom dostpu do zasobów. Firma Microsoft opracowaBa dBugo oczekiwane narzdzie uBatwiajce udzielenie odpowiedzi na powy|sze pytanie. Przedstawiona na rysunku 6-8 zakBadka Effecthe Permissions (Czynne uprawnienia) znajdujca si w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD), umo|liwia z dobrym przybli|eniem okre[lenie dla u|ytkownika wynikowych uprawnieD dostpu do zasobu. MCSE Training Kit: Egzamin 70-290 Rysunek 6-8 ZakBadka Effectwe Permissions (Czynne uprawnienia) w oknie dialogowym Advancei Security Settings (Zaawansowane ustawienia zabezpieczeD) Aby u|y programu Effectwe Permissions (Czynne uprawnienia), nale|y klikn przycisk Select (Wybierz) i okre[li u|ytkownika, grup lub wbudowane konto, które bdzie analizowane. Nastpnie system Windows Server 2003 wygeneruje list uprawnieD czynnych. Lista ta jest jedynie przybli|eniem i nie uwzgldnia uprawnieD do udostpnionego zasobu okre[lonego wewntrz konta, a tak|e nic sprawdza specjalnego czBonkostwa konta, takiego jak: " Anonymous Logon (Logowanie anonimowe) " Bacch(Wsad) " Creator Group (Grupa twórców) " Dialup " Enterprise Domain Controllers (Kontrolery domeny przedsibiorstw) " Interactivc (Interaktywny) " Nctwork (Sie) " Proxy " Restricted (Z ograniczeniami) " Remote Interactive Logon (Zdalny) " Service (UsBuga) " System " Terminal Server User (U|ytkownik serwera terminali) " Other Organization (Inna organizacja) " TBus Organization (Ta organizacja) Lista ACL mo|e zawiera wpisy dla kont grup Network (Sie) lub Interactwe (Interaktywny). Dziki temu, u|ytkownik w zale|no[ci od sposobu zalogowania si (interakcyjnie czy poprzez sie) uzyskuje ró|ny poziom dostpu do zasobów. Poniewa| podczas sprawdzania uprawnieD czynnych u|ytkownik nie jest zalogowany w systemie, pomijane s uprawnienia zwizane ze sposobem logowania. Aby ocena RozdziaB 6: Pliki i foldery 197 uprawnieD byBa precyzyjna, nale|y przeprowadzi jeszcze dodatkowy krok, w którym sprawdzone zostan uprawnienia dla kont specjalnych bdz wbudowanych, takich jak Interactwe (Interaktywny) lub Network (Sie). WBa[ciciel zasobu W systemie Windows Server 2003 okre[lony zostaB specjalny podmiot zabezpieczeD nazwany Creator Owner (Twórca-wBa[ciciel) oraz wpis w deskryptorze zabezpieczeD zasobu, który definiuje wBa[ciciela obiektu. Aby w peBni zrozumie zagadnienia zarzdzania i rozwizywania problemów zwizanych z uprawnieniami zasobów, nale|y zapozna si z tymi dwoma elementami obrazu zabezpieczeD. Twórca wBa[ciciel Je[li u|ytkownik tworzy plik lub folder (jest to mo|liwe, je[li dla u|ytkownika dopuszczone zostaBy odpowiednie uprawnienia Create Files/Write Data (Tworzenie plików/Zapis danych) lub Create Foldersl Append Data (Tworzenie plików/ Dodawanie danych)), u|ytkownik staje si twórc i pocztkowym wBa[cicielem tego zasobu. Ka|de uprawnienie foldera nadrzdnego przydzielone do konta specjalnego Creator Owner (Twórca-wBa[ciciel) zostaje bezpo[rednio przydzielone do tego u|ytkownika. Jako przykBad zaBo|ono, |e folder umo|liwia u|ytkownikom tworzenie plików, czyli zezwala na upraw- nienia Create Files/Write Data (Tworzenie plików/Zapis danych) oraz |e uprawnienia foldera zezwalaj u|ytkownikom na: Read & Execute oraz Creator Owner Fuli Control (Odczyt i wykonanie oraz Twórca wBa[ciciel  PeBna kontrola). Ten zestaw uprawnieD bdzie umo|liwiaB Marii utworzenie pliku. Maria, jako twórca pliku bdzie miaBa peBn kontrol nad tym plikiem. Ta równie| mo|e utworzy plik i równie| bdzie miaBa peBn kontrol nad swoim plikiem. Jednak ka|da z nich mo|e jedynie odczytywa pliki utworzone przez drug. Tia mogBaby jednak zmieni list ACL pliku, który utworzyBa, poniewa| w szablonie uprawnieD Fuli Control (PeBna kontrola) doBczone s uprawnienia Change Permission (Zmiana uprawnieD). WBasno[ Je[li z jakichkolwiek powodów Tia zmodyfikowaBa list ACL i samej sobie odmówiBa uprawnieD Fuli Control (PeBna kontrola), bdzie mogBa nadal zmienia list ACL, poniewa| wBa[ciciel obiektu zawsze mo|e modyfikowa list ACL swojego obiektu. Takie podej[cie uniemo|liwia u|ytkownikom permanentne zablokowanie swoich wBasnych plików lub folderów. Zalecan praktyk jest zarzdzanie wBasno[ci obiektów tak, aby wBa[ciciel obiektu byB prawidBowo zdefiniowany. Zarzdzanie mo|liwe jest tylko cz[ciowo, poniewa| wBa[ciciele mog modyfikowa listy ACL swoich obiektów, a tak|e dlatego, |e nowsze technologie, takie jak przydziaB dysku, do obliczania przestrzeni dyskowej u|ywanej przez poszczególnych u|ytkowników wykorzystuj atrybut  wBasno[". Zarzdzanie wBasno[ci obiektów w wersjach wcze[niejszych ni| Windows Server 2003 byBo bardzo niewygodne. System Windows Server 2003 zostaB wyposa|ony w warto[ciowe narzdzie uBatwiajce przenoszenie wBasno[ci. WBa[ciciel obiektu jest okre[lany w deskryptorze zabezpieczeD obiektu. U|ytkownik, który utworzyB plik lub folder jest pocztkowym jego wBa[cicielem. Inny u|ytkownik mo|e przej lub przypisa wBasno[ obiektu przy zastosowaniu nastpujcych procesów: 198 MCSE Training Kit: Egzamin 70-290 " Administratorzy mog przejmowa wBasno[. U|ytkownik, który nale|y do grupy administratorów systemu lub któremu przydzielone zostaBo prawo u|ytkownika Take Ownership (Przejmij na wBasno[) mo|e przej na wBasno[ dowolny obiekt systemu. Aby przej na wBasno[ zasób, nale|y w oknie dialogowym Aduanced Security Settings (Zaawan- sowane ustawienia zabezpieczeD) klikn zakBadk Owner (WBa[ciciel). Widok zakBadki przedstawiony zostaB na rysunku 6-9. Nastpnie nale|y wybra z listy konto u|ytkownika, zaznaczy pole wyboru Replace Owner On Subcontainers And Objects (ZamieD wBa[ciciela dla podkontcnerów i obiektów) oraz klikn przycisk Apply (Zastosuj). You cw t*» c* wopn <***i* cB *» (txct I >ou h»« W n**jwd c*w«tKr« ot prr.**?-i | b o f t 6 t f « l t o « t s i u lMulei@ci'.ncucamt OwrigecBsnei lo "<"! C A*nrt:e»or ICOMI UMI'A/ln.f^baio.1 {S-AT.it.ao.: tCONTOSOUdmWMoill 0»V'IJi«iorG.oup: I- R«)W»Owt»JWitUbcrrt*n*i:nMott,cl5 Lpam iww abou> e»BKl!» Ot C»««l | .;: - | Rysunek 6-9 ZakBadka Owner (WBa[ciciel) w oknie dialogowym Advanced Security Setting (Zaawansowane ustawienia zabezpieczeD) " U|ytkownicy mog przej wBasno[, je[li przydzielone zostaBo im prawo Take Ownership (Przejmij na wBasno[). Specjalne uprawnienie Take Ownership (Przejmij na wBasno[) mo|e by przydzielane dowolnej grupie bdz u|ytkownikowi. U|ytkownicy majcy te uprawnienia mog przejmowa na wBasno[ zasób, a nastpnie, jako wBa[ciciele, mog modyfikowa list ACL, aby definiowa wymagane uprawnienia. " Administratorzy mog uBatwia przenoszenie wBasno[ci. Administrator mo|e przej wBasno[ dowolnego pliku lub foldera. Nastpnie, jako wBa[ciciel, administrator mo|e zmieni uprawnienia do zasobu, przydzielajc nowemu u|ytkownikowi prawo Allow Take Ownership (Zezwalaj: Przejmij na wBasno[). U|ytkownik ten mo|e teraz przej na wBasno[ dany zasób. " Uprawnienia Restore Files And Directories (Odtwarzanie plików i katalogów) umo|liwiaj zmian wBasno[ci. U|ytkownik, który ma uprawnienia Restore Files And Directories (Odtwarzanie plików i katalogów) mo|e jednemu u|ytkownikowi zabra wBasno[ pliku i przydzieli j innemu u|ytkownikowi. Majc takie uprawnienia, wystarczy klikn opcje Othcr Users Or Groups (Inni u|ytkownicy lub grupy), a nastpnie wskaza nowego wBa[ciciela. Jest to nowa funkcja systemu Windows Scrver 2003 i umo|liwia administratorom bdz operatorom kopii zapasowych zarzdzanie i przenoszenie wBasno[ci zasobu bez interwencji u|ytkownika. RozdziaB 6: Pliki i foldery 199 Zadanie kontrolne: Konfigurowanie uprawnieD systemu plików W zadaniu tym edytor ACL bdzie wykorzystywany do zabezpieczania zasobów, sprawdzania uprawnieD czynnych oraz do przenoszenia wBasno[ci plików. Nale|y sprawdzi, czy skonfigurowane zostaBy obiekty u|ytkowników i grup opisane w sekcji  Wymagania". wiczenie 1: Konfigurowanie uprawnieD NTFS 1. Otwórz folder c:\docs utworzony w zadaniu kontrolnym podczas lekcji 1. 2. Utwórz folder nazwany Project 101. 3. Otwórz edytor ACL poprzez kliknicie prawym przyciskiem myszy foldera Project 101, wybranie polecenia Properties (WBa[ciwo[ci), a nastpnie kliknicie zakBadki Security (Zabezpieczenia). 4. Skonfiguruj folder tak, aby dostp do niego byB zgodny z opisem zamieszczonym w poni|szej tabeli. Zadanie to wymaga rozwa|enia oraz skonfigurowania dziedziczenia i uprawnieD dla grup. Podmiot zabezpieczeD Dostp Administratorzy Fuli Control (PeBna kontrola) U|ytkownicy grupy Project Mog odczytywa dane, dodawa pliki i foldery oraz maj peBn kon- 101 Team trol nad utworzonymi przez siebie plikami i folderami. Grupa Managers CzBonkowie tej grupy mog odczytywa i modyfikowa wszystkie pliki, ale nic mog usuwa plików, których nie utworzyli. Mened|erowie powinni mie peBn kontrol nad utworzonymi przez siebie plikami i folerami. Grupa System UsBugi uruchomione za pomoc konta tej grupy powinny mie peBn kntrol. Po zakoDczeniu konfigurowania uprawnieD nale|y klikn przycisk Apply (Zastosuj), a nastpnie klikn przycisk Advanced (Zaawansowane), aby porówna ustawienia pokazane w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) z ustawieniami pokazanymi na rysunku 6-10. Aby skonfigurowa te uprawnienia, trzeba wyBczy dziedziczenie. W przeciwnym razie wszyscy u|yt- kownicy, a nie tylko nale|cy do grupy Project 101, bd mogli odczytywa pliki foldera Project 101. Folder nadrzdny c:\docs przekazuje uprawnienie Users: Allow Read &Execute (U|ytkownicy: Zezwalaj na odczyt i wykonanie). Jedynym sposobem odmowy tego dostpu jest usunicie zaznaczenia opcji Allow Inheritable Permissions From The Parent... (Zezwalaj na propagowanie dziedziczonych uprawnieD z obiektu nadrzdnego...). Warto zauwa|y, |e wymagania nie okre[laj konieczno[ci odmowy prawa odczytu dla czBonków grupy Users (U|ytkownicy), ale równie| wprost nie zostaBo powiedziane, |e uprawnienie to (odczyt) jest wymagane. Prawo odczytu nie zostanie przydzielone ze wzgldu na stosowanie zalecanej zasady przydzielania jedynie minimum wymaganych uprawnieD. Po zablokowaniu dziedziczenia, okno dialogowe Aduanced Security Settings (Zaawansowane ustawienia zabezpieczeD) powinno wyglda tak, jak przedstawia to rysunek 6-10. 200 MCSE Training Kit: Egzamin 70-290 Rysunek 6-10 ZakBadka Permissions (Uprawnienia) okna dialogowego Aduanced Security Setting (Zaawansowane ustawienia zabezpieczeD) Opcja zezwalajca na dziedziczenie zostaBa zablokowana, wic wszystkie uprawnienia wy[wietlane s jako <nic dziedziczono. PeBn kontrol maj czBonkowie grup Administrators (Administratora)'), System oraz Creator Owner (Twórca wBas'ciciel). Nale|y pamita, |e je[li grupa Creator Owner (Twórca- wBa[ciciel) ma peBn kontrol, u|ytkownik, który utworzyB plik lub folder, ma peBn kontrol nad tyra zasobem. Grupa Project 101 zostaBa zaznaczona jako posiadajca specjalne wpisy uprawnieD. Po zazna- czeniu tej pozycji i klikniciu polecenia View/Edit (Przegldaj/Edytuj) mo|na zobaczy uprawnienia przydzielone grupie Project 101 (uprawnienia przedstawione zostaBy na rysunku 6-11). Rysunek 6-11 Specjalne uprawnienia grupy Project 101 Grupa Managers ma uprawnicniayl//ott>: Read, Wriie, Read&Execute (Zezwalaj: Odczyt, Zapis, Odczyt i wykonanie). Szablon ten pozwala równie| utworzy pliki i foldery oraz, podobnie jak dla czBonków grupy Project 101, je[li czBonek grupy Managers tworzy zasób, do tego zasobu przydzielane s dla nie uprawnienia Creator Owner (Twórca wBa[ciciel). Ten zestaw uprawnieD nie pozwala czBonkom grupy RozdziaB 6: Pliki i foldery 201 Managers usuwa plików innych u|ytkowników. Warto zapamita, |e szablon uprawnieD Modify (Modyfikowanie), który nie zostaB przydzielony, zawiera uprawnienie Delete (Usuwanie). wiczenie 2: Stosowanie uprawnieD odmowy 1. ZostaBa wynajta grupa dostawców. Dla dostawców, wszystkie konta u|ytkowników umieszczone zostaBy w grupie Project Contractors i nie nale| do |adnej innej grupy domeny. Co nale|y zrobi, aby uniemo|liwi dostawcom dostp do foldera Project 101, który byB zabezpieczany w poprzednim wiczeniu? Nic. Poniewa| dostawcy nie nale| do |adnej innej grupy domeny, nie maj uprawnieD przydzielanych przez aktualn list ACL, która mogBaby zezwoli na dostp do zasobu. Dlatego nie zachodzi konieczno[ odmowy uprawnieD. 2. ZaBó|my, |e pewne konta u|ytkowników, takie jak konto Scott Bishop, nale| do obu grup Project Contractors oraz Engincers. Co nale|y zrobi, aby uniemo|liwi dostp dla dostawców? W tym przypadku trzeba odmówi uprawnieD (Deny) dla grupy Project Contractors. Poniewa| grupa ta otrzymaBa uprawnienia Allow (Zezwalaj) przydzielone innym grupom, musz one zosta uniewa|nione przez odmow uprawnieD (Deny). 3. Skonfiguruj folder tak, aby dla grupy Project Contractors nastpowaBa odmowa uprawnieD Fuli Control (PeBna kontrola). wiczenie 3: Uprawnienia czynne 1. Dla foldera Project 101, otwórz okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) - uruchomienie okna wBa[ciwo[ci foldera, kliknicie zakBadki Security (Zabezpieczenia), a nastpnie kliknicie przycisku Advanced (Zaawansowane). 2. Kliknij zakBadk Effcctive Permissions (Czynne uprawnienia). 3. Wybierz ka|dego z wymienionych poni|ej u|ytkowników i sprawdz jego uprawnienia. U|ytkownik Czynne uprawnienia Scott Bishop Brak uprawnieD Danielle Tiedt Traverse Folder/Executc File (Przechodzenie przez folder/ Wykonywanie pliku) List Folder/Read Data (Wy[wietalnic zawarto[ci foldera/Odczyt danych) Read Attributes (Odczyt atrybutów) Read Extended Attributes (Odczyt atrybutów rozszerzonych) Create Filcs/Writc Data (Tworzenie plików/Zapis danych) Create Foldcrs/Appcnd Data (Tworzenie folderów/DoBczanie danych) Read Permissions (Odczyt uprawnieD) Lorrin Smith- Traverse Folder/Executc File (Przechodzenie przez folder/ Wykonywanie pliku) Bates List Folder/Read Data (Wy[wietlanie zawarto[ci foldera/Odczyt danych) Read Attributes (Odczyt atrybutów) Read Extended Attributes (Odczyt atrybutów rozszerzonych) Create Files/Write Data (Tworzenie plików/Zapis danych) Create Folders/Appcnd Data (Tworzenie folderów/DoBczanie danych) cig dalszy na nastpnej stronie 202 MCSE Training Kit: Egzamin 70-290 __________________________________________________________cig dalszy ze strony poprzedniej U|ytkownik Czynne uprawnienia Lorrin Smidv Writc Attributes (Zapis atrybutów) Bates (ceL) Write Extended Attributes (Zapis atrybutów rozszerzonych) Read Permissions (Odczyt uprawnieD) Je[li wymienione powy|ej uprawnienia nie zgadzaj si z list uprawnieD utworzon podczas wiczenia, oznacza to, |e na li[cie uprawnieD pojawiB si bBd (w tym przypadku nale|y powróci do wiczenia 1 i 2) lub bBd wystpuje w definicji czBonkostwa grup (w takim przypadku nale|y powróci do sekcji  Wymagania" znajdujcej si na pocztku rozdziaBu). Nale|y wprowadzi korekty, a| uzyskana zostanie zgodno[ list uprawnieD. wiczenie 4: WBasno[ 1. Zaloguj si jako Daniclle Tiedt. 2. Otwórz folder udostpniony przyBczajc si do foldera \\Server01\Docs. 3. Otwórz folder Project 101 i utwórz w nim plik tekstowy nazwany Report. 4. Dla pliku Report, otwórz okno dialogowe Adva.nc.ed Security Settings (Zaawansowane ustawienia zabezpieczeD). 5. Sprawdz, czy wszystkie uprawnienia s dziedziczone po folderze nadrzdnym. Jakie wystpuj ró|nice w listach ACL pomidzy tym obiektem a folderem Project 101? Folder Project 101 przydziela uprawnienia Fuli Control (PeBna kontrola) dla grupy Creator Owner (Twórca wBa[ciciel). Plik Report przydziela uprawnienia Fuli Control (PeBna kontrola) dla u|ytkownika Danielle. Je[li Danielle utworzy plik, jej identyfikatorowi SID zostan przypisane uprawnienia przydzielone specjalnej grupie Creator Owner (Twórca wBa[ciciel). Oprócz tego, uprawnienie grupy Project 101 Team do tworzenia plików i folderów (Create Files oraz Create Folders) jest uprawnieniem foldera i nie wystpuje na li[cie ACL pliku Report. 6. Zaloguj si jako administrator. 7. Dla pliku Report otwórz okno dialogowe Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD). 8. Kliknij zakBadk Owner (WBa[ciciel). 9. Sprawdz, czy Danielle jest na li[cie aktualnych wBa[cicieli. 10. Zaznacz swoje konto u|ytkownika i kliknij przycisk Apply (Zastosuj). Administrator staB si teraz wBa[cicielem obiektu. 11. U|ytkownik posiadajcy uprawnienie Restore Files And Directories (Odtwarzanie plików i katalogów) mo|e przekazywa wBasno[ obiektu innemu u|ytkownikowi. Kliknij opcj Other Users Or Group (Inni u|ytkownicy lub grupy) i zaznacz u|ytkownika Lorrin Smith-Batcs. Po wy[wietleniu konta Lorrin na li[cie Change Owner To (ZmieD wBa[ciciela na:), zaznacz je i kliknij przycisk Apply (Zastosuj). 12. Sprawdz, czy u|ytkownik Lorrin jest nowym wBa[cicielem pliku Report. 13- Czy u|ytkownik Lorrin ma obecnie peBn kontrol nad obiektem? Dlaczego tak lub dlaczego nie? Czy u|ytkownik Danielle zachowaB peBn kontrol lub jego uprawnienia zostaBy zmienione? Sprawdz to za pomoc zakBadki Effective Permissions (Czynne uprawnienia). RozdziaB 6: Pliki i foldery 203 U|ytkownik Lorrin nie ma peBnej kontroli, a jedynie uprawnienia Modijy (Modyfikowanie). Lorrin jest czBonkiem grupy Managcrs, która takie uprawnienia posiada. Uprawnienia Fuli Control (PeBna kontrola) s przypisane grupie Creator Owner (Twórca wBa[ciciel) i przydzielane u|ytkownikowi jedynie wtedy, gdy tworzy obiekt. '" "jl Informacja Zmiana wBa[ciciela, po utworzeniu obiektu, nie modyfikuje w |aden sposób listy ACL >P> Nowy wBa[ciciel lub dowolny u|ytkownik majcy uprawnienia Allow Change Permissions (Zezwalaj: , Zmiana uprawnieD) mo|e jednak modyfikowa list ACL i okre[la odpowiedni dla siebie poziom dostpu do zasobu. Pytania Przedstawione poni|ej pytania maj za zadanie ugruntowa podstawowe informacje prezentowane podczas lekcji. Je[li czytelnik nie potrafi udzieli odpowiedzi, powinien ponownie przejrze materiaB lekcji i powróci jeszcze raz do pytaD. Odpowiedzi na te pytania mo|na znalez w sekcji  Pytania i odpowiedzi", znajdujcej si pod koniec tego rozdziaBu. 1. Jakie s minimalne uprawnienia NTFS umo|liwiajce u|ytkownikowi otwieranie dokumentów i uruchamianie programów przechowywanych w udostpnionym folderze? a. Fuli Conrrol (PeBna kontrola) b. Modify (Modyfikowanie) c. Write (Zapis) ( d. Read 6i Execute (Odczyt i wykonanie) e. List Folder Contents (Wy[wietlanie zawarto[ci foldera) 2. U|ytkownik Bill nie mo|e uzyska dostpu do planu wydziaBu. Po orwarciu zakBadki Security (Zabezpieczenia) dla tego zasobu okazaBo si, |e wszystkie uprawnienia do dokumentu dziedziczone s po folderze nadrzdnym. Grupie, do której nale|y Bill, odmówiono uprawnieD Read (Odczyt). Która z poni|szych metod umo|liwi dostp do planu wydziaBu dla u|ytkownika Bill? a. Zmodyfikowanie uprawnieD foldera nadrzdnego poprzez dodanie uprawnienia BilkAllow Fuli Control (Bill: Zezwalaj na peBn kontrol). b. Zmodyfikowanie uprawnieD foldera nadrzdnego poprzez dodanie uprawnienia BilhAllow Read (Bill: Zezwalaj na odczyt). c. Zmodyfikowanie uprawnieD dokumentu  plan" poprzez dodanie uprawnienia BilliAllow Read (Bill: Zezwalaj na odczyt). d. Zmodyfikowanie uprawnieD dokumentu  plan" poprzez usunicie uprawnienia Allow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD), wybranie polecenia Copy (Kopiuj) i usunicia odmowy uprawnieD (Deny). c. Zmodyfikowanie uprawnieD dokumentu  plan" poprzez usunicie uprawnienia Allow Inheritable Permissions (Zezwalaj na dziedziczenie uprawnieD), wybranie polecenia Copy (Kopiuj) i dodanie uprawnienia BilkAllow Fuli Control (Bill: Zezwalaj na peBn kontrol). f. Usunicie u|ytkownika Bill z grupy, której odmówiono uprawnieD (Deny). 204 MCSE Training Kit: Egzamin 70-290 3. U|ytkownik Bill dzwoniB ponownie informujc, |e w dalszym cigu nie mo|e uzyska dostpu do planu wydziaBu. Administrator u|yB narzdzia EfFective Permissions (Czynne uprawnienia), zaznaczyB konto u|ytkownika Bill i okazaBo si, |e Bill posiada wystarczajce uprawnienia. Czym mo|na wyja[ni rozbie|no[ pomidzy wynikami programu Effective Permissions (Czynne uprawnienia) a informacjami podanymi przez u|ytkownika? Podsumowanie lekcji " Uprawnienia NTFS mog by skonfigurowane za pomoc edytora ACL. Edytor ma trzy okna dialogowe: zakBadka Security (Zabezpieczania), Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) oraz Permission Entry For (Wpisy uprawnieD dla). " UprawnieD mo|na odmawia lub mo|na na nie zezwala. Uprawnienia mog by bezpo[rednie lub dziedziczone. Odmowa (Deny) uprawnienia ma pierwszeDstwo nad zezwoleniem (Allow) uprawnienia. Podobnie, uprawnienia bezpo[rednie maj pierwszeDstwo nad uprawnieniami dziedziczonymi. W rezultacie, bezpo[rednie uprawnienie Allow (Zezwalaj) uniewa|nia dziedziczone uprawnienie Deny (Odmawiaj). " Dziedziczenie umo|liwia administratorom zarzdzanie uprawnieniami w pojedynczym folderze nadrzdnym, który zawiera pliki i foldery, dla których obowizuj te same wymagania zwizane z dostpem do zasobu. Ustawienia domy[lne okre[laj, |e lista ACL nowego obiektu zawiera uprawnienie zezwalajce na dziedziczenie po folderze nadrzdnym. " Istnieje kilka metod zmiany wyników dziaBania dziedziczenia uprawnieD. Mo|na zmodyfikowa uprawnienia pierwotne (obiektu nadrzdnego) i zezwoli, |eby nowe uprawnienia byBy dziedziczone przez obiekt. Mo|na okre[la uprawnienia bezpo[rednie obiektu (uprawnienia takie maj pierwszeDstwo nad uprawnieniami dziedziczonymi) lub mo|na dla obiektu zablokowa dziedziczenie i skonfigurowa list ACL u|ywajc do definiowania dostpu uprawnieD bezpo[rednich. " ZakBadka Effecthe Permissions (Czynne uprawnienia) w oknie dialogowym Advanced Security Settings (Zaawansowane ustawienia zabezpieczeD) jest przydatnym narzdziem umo|liwiajcym dla u|ytkowników lub grup okre[lenie przybli|onego poziomu dostpu do zasobu. Narzdzie analizuje uprawnienia konta, jak równie| uprawnienia grup, do których dane konto nale|y. " WBa[ciciel obiektu mo|e w dowolnym momencie modyfikowa list ACL tego obiektu. U|ytkownik, który ma uprawnienie Take Ownership (Przejmij na wBasno[) mo|e sta si wBa[cicielem obiektu. Administratorzy mog sta si wBa[cicielami dowolnego obiektu systemu. Konta grup Administrators, Backup Operators (Operatorzy kopii zapasowych) oraz inne konta, którym przydzielone zostaBo prawo Restore Files And Directories (Odtwarzanie plików i katalogów) mog zmieni wBa[ciciela pliku lub foldera i cech t przypisywa innemu u|ytkownikowi lub grupie.

Wyszukiwarka

Podobne podstrony:
Linux System Plików
iCare Format Recovery naprawa systemu plikow
Linux System Plików II
Linux konserwacja Systemu Plikow
07 Linux System plików
system plikow
utk1 system plikow ext
Funkcje systemowe systemu plików
Systemy plików
Struktura, odpowiedzialność i uprawnienia w systemie zarządzania BHP
systemy plikow
systemy plików 12 10 2008
Sprawozdanie z Zarządania systemem plików i przestrzenią
System plików

więcej podobnych podstron