Занятие 6. Файлы и папки

Раздел 2. Настройка разрешений файловой системы

Серверы Windows поддерживают детализированный механизм управления доступом к файлам и папкам — разрешения NTFS. Разрешения доступа к ресурсам хранятся в виде записей управления доступом (access control entries, АСЕ) в таблице ACL, которая является частью дескриптора безопасности каждого ресурса. При обращении к ресурсу маркер безопасности доступа пользователя, содержащий идентификаторы защиты (security identifier, SID) учетной записи пользователя и групп, членом которых тот является, сравнивается с идентификаторами SID в АСЕ-записях таблицы ACL. Этот процесс авторизации практически не изменился со времен Windows NT. Тем не менее детали реализации авторизации, средства управления доступом к ресурсам и специфика настройки доступа изменялись с каждой версией Windows.

В этом разделе обсуждаются особенности и новые функции управления доступом к ресурсам в Windows Server 2003. Вы научитесь использовать редактор ACL для управления шаблонами разрешений, наследованием, особыми разрешениями и узнаете, как определить итоговые действующие разрешения для пользователя или группы.

Настройка разрешений

Проводник Windows является наиболее распространенным средством управления разрешениями доступа к ресурсам, как на локальном томе, так и на удаленном сервере. В отличие от общих папок, Проводник позволяет настраивать разрешения локально и удаленно.

Редактор таблицы управления доступом

Как и в предыдущих версиях Windows, для настройки безопасности файлов и папок на любом томе NTFS нужно щелкнуть ресурс правой кнопкой, в контекстном меню выбрать Свойства (Properties) [или Общий доступ и безопасность (Sharing And Security)] и перейти на вкладку Безопасность (Security). Открывшееся диалоговое окно может называться по-разному: Разрешения (Permissions), Параметры безопасности (Security Settings), вкладка Безопасность (Security) или Редактор таблицы управления доступом (редактор ACL). Независимо от названия оно выглядит одинаково. Пример вкладки Безопасность (Security) окна свойств папки Docs см. на рис. 6-4.

Рис. 6-4. Редактор ACL в окне свойств лапки Docs

До появления Windows 2000 разрешения были довольно простыми, но в Windows 2000 и последующих версиях Microsoft предоставила более гибкие и мощные способы управления доступом к ресурсам. Мощь добавила сложности, и теперь редактор ACL состоит из трех диалоговых окон.

Первое диалоговое дает общую картину настроек безопасности и разрешений для ресурса и позволяет выбрать отдельную учетную запись, для которой определен доступ, чтобы просмотреть шаблоны разрешений, назначенные этому пользователю, группе или компьютеру. Каждый шаблон в этом окне — совокупность разрешений, которые вместе обеспечивают некий типичный уровень доступа. Например, чтобы пользователь мог прочитать файл, необходимо предоставить несколько разрешений низкого уровня. Чтобы скрыть эту сложность, вы можете применить шаблон Чтение и выполнение (Read & Execute), а ОС сама настроит нужные разрешения доступа к файлу или папке.

Чтобы более подробно изучить данную таблицу ACL, щелкните кнопку Дополнительно (Advanced), откроется второе окно редактора ACL — Дополнительные параметры безопасности для Docs (Advanced Security Settings For Docs), показанное на рис. 6-5. Здесь перечислены конкретные записи управления доступом, назначенные данному файлу или папке. Сведения в этом перечне максимально приближены к реальной информации, которая хранится в самой таблице ACL. Второе диалоговое окно позволяет также настраивать аудит, управлять правами владения и определять действующие разрешения.

Если выбрать разрешение в списке Элементы разрешений (Permission Entries) и щелкнуть Изменить (Edit), откроется третье диалоговое окно редактора ACL. В окне Элемент разрешения для Docs (Permission Entry For Docs), показанном на рис. 6-6, перечислены подробные, наиболее детализированные разрешения, которые составляют элемент разрешений в списке Элементы разрешений (Permissions Entries) во втором диалоговом окне и в списке Разрешения для (Permissions For) в первом окне.

Рис. 6-5. Диалоговое окно Дополнительные параметры безопасности редактора ACL

Рис. 6-6. Диалоговое окно Элемент разрешения редактора ACL

Добавление и удаление элементов разрешений

Любому участнику безопасности можно предоставить или запретить доступ к ресурсу. В Windows Server 2003 допустимые участники безопасности: пользователи, группы, компьютеры и специальный класс объектов InetOrgPerson (см. RFC 2798), который представляет пользователей в некоторых ситуациях при совместной работе разных платформ. Чтобы добавить разрешение, щелкните Добавить (Add) в первом или втором диалоговом окне редактора ACL. В диалоговом окне Выбор: «Пользователи», «Компьютеры» или «Группы» (Select User, Computer Or Group) выберите нужного участника безопасности и разрешения. Интерфейс диалоговых окон слегка изменился по сравнению с предыдущими версиями Windows, но не настолько, чтобы опытный администратор не смог им овладеть. Для удаления явного разрешения, которое вы добавили в ACL, выберите нужный пункт списка и щелкните Удалить (Remove).

Изменение разрешений

Для изменения разрешения достаточно на вкладке Безопасность (Security) окна свойств установить или снять флажки Разрешить (Allow) или Запретить (Deny), в результате чего применяется соответствующий шаблон разрешений.

Для более тонкой настройки щелкните кнопку Дополнительно (Advanced), выберите элемент разрешения и щелкните кнопку Изменить (Edit). Изменить можно только явные разрешения. Унаследованные разрешения обсуждаются далее на этом занятии.

Диалоговое окно Элемент разрешения для Docs (Permission Entry For Docs), показанное на рис. 6-6, позволяет изменить разрешения и указать границы наследования разрешений в раскрывающемся списке Применять (Apply Onto).

Внимание! Вы должны хорошо понимать влияние изменений, сделанных в этом диалоговом окне. Вы можете благодарить Microsoft за возможность тонкой настройки, но с ростом детализации повышается сложность и вероятность допустить ошибку.

Новые участники безопасности

Windows Server 2003, в отличие от Windows NT 4, позволяет добавлять компьютеры или группы компьютеров в ACL, обеспечивая этим большую гибкость управления доступом к ресурсам на основе клиентских компьютеров, независимо от пользователя, который пытается получить доступ. Предположим, вы намерены установить компьютер с общим доступом в комнате отдыха сотрудников, но не хотите, чтобы руководители просматривали с него секретные данные. Если добавить этот компьютер в таблицы ACL и запретить с него доступ к секретным данным, руководитель не сможет обратиться к секретным данным из комнаты отдыха и будет работать с ними только с собственного компьютера.

Windows Server 2003 также позволяет управлять доступом к ресурсу в зависимости от способа входа в систему. Вы можете добавить в ACL особые учетные записи: Интерактивные (Interactive) — пользователи, которые зарегистрировались локально, Сеть (Network) — сетевое подключение, например система Windows, на которой запущена служба Клиент для сетей Microsoft (Client for Microsoft Networks), и Пользователь сервера терминалов (Terminal Server User) — пользователи, подключившиеся через службу Дистанционное управление рабочим столом (Remote Desktop) или службы терминалов.

Шаблоны разрешений и особые разрешения

Шаблоны разрешений на вкладке Безопасность (Security) первого диалогового окна представляют собой совокупность особых разрешений, которые полностью перечислены в третьем диалоговом окне Элемент разрешения (Permissions Entry). Большинство шаблонов и особых разрешений говорят сами за себя, а другие мы не будем обсуждать в этой книге. Однако некоторые моменты заслуживают упоминания.

Изменение разрешений по умолчанию для GOS в Windows Server

В этой статье обсуждается изменение разрешений по умолчанию для объектов групповой политики ..

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 321476

Аннотация

Может потребоваться усилить безопасность для групп групповой политики, чтобы запретить всем, кроме надежной группы администраторов, изменять групповую политику. Это можно сделать, изменяя атрибут DefaultSecurityDescriptor объекта classScema контейнера групповой политики. Однако это изменение влияет только на только что созданные GOS. Для существующих групповой политики можно изменить разрешения непосредственно в контейнере групповой политики (CN=,CN=System,DC=domain. ) и шаблоне групповой политики ( \ \ политики \ SYSVOL \ \ домена ). Эта процедура также может помочь предотвратить случайное обновление административных шаблонов (ADM-файлов) в шаблонах групповой политики файлами ADM на неуправленных рабочих станциях.

Дополнительные сведения

При этом применяются разрешения, указанные в атрибуте DefaultSecurityDescriptor объекта classSchema в схеме. По этой причине объект groupPolicyContainer получает ACL из атрибута DefaultSecurityDescriptor в cn=Group-Policy-Container,CN=Schema,CN=Configuration,DC=forestroot. object. Редактор групповой политики также применяет эти разрешения к папке, вложенным папок и файлам в шаблоне групповой политики (политики SYSVOL \ \ ).

Для изменения атрибута DefaultSecurityDescriptor объекта classSchema контейнера групповой политики можно использовать следующий процесс. Так как это изменение схемы, запускается полная репликация для всех компьютеров в лесу. Разрешения схемы написаны с помощью языка определения дескриптора безопасности (SDDL). Дополнительные сведения о SDDL можно получить на следующем веб-сайте Майкрософт:

Изменение атрибута DefaultSecurityDescriptor для объекта classSchema контейнера групповой политики:

Войдите в контроллер домена хозяина схемы леса с помощью учетной записи, которая является членом группы администраторов схемы.

Запустите Mmc.exe, а затем добавьте оснастку «Схема».

Щелкните правой кнопкой мыши схему Active Directory и выберите «Мастер операций».

Щелкните «Схема» может быть изменена на этом контроллере домена, а затем нажмите кнопку «ОК».

Используйте редактор ADSI, чтобы открыть контекст именования схемы, а затем найдите объект CN=Group-Policy-Container с типом classSchema.

Просмотр свойств объекта и поиск атрибута defaultSecurityDescriptor.

Чтобы удалить разрешения на записи для администраторов домена, необходимо ввести в значение следующую строку, чтобы разрешения на записи были только у администраторов предприятия:

Чтобы предоставить дополнительную группу разрешений на написание, в конец предыдущего текста следует вписать следующий текст:

— ИД безопасности группы, которой вы предоставляете разрешения.

Изменение атрибута defaultSecurityDescriptor не изменяет дескрипторы безопасности для существующих GGPOs. Однако вы можете использовать вышеперечисленную полную строку для замены ACL для существующих GGPOs в сочетании с таким средством, как sdutil.exe.

Внесите новую строку в поле атрибута редактирования, выберите «Установить», «Применить» и «ОК».

Если вы пытаетесь ограничить доступ к администраторам домена или администраторам предприятия, необходимо в поле разрешений схемы по умолчанию для объекта Grouppolicycontainer отказать. Эти группы будут добавлять addional ACL к объекту групповой политики при его создания. Для администраторов домена необходимо добавить администраторов домена, а для администраторов предприятия — администратора. Добавление запрета — единственный способ отлажить эти группы.

Техническая поддержка для версий Windows на основе x64

Изготовитель оборудования предоставляет техническую поддержку и поддержку для 64-х версий Windows. Изготовитель оборудования обеспечивает поддержку, так как к вашему оборудованию была включена 64-х версия Windows. Возможно, изготовитель оборудования настроил установку Windows с помощью уникальных компонентов. Уникальные компоненты могут включать определенные драйверы устройств или необязательные параметры для повышения производительности оборудования. Корпорация Майкрософт предоставит разумные усилия, если вам потребуется техническая помощь в работе с 64-й версией Windows. Однако может потребоваться связаться с производителем напрямую. Изготовитель лучше всего поддерживает программное обеспечение, установленное на этом оборудовании.

Разрешения пользователей и уровни разрешений в SharePoint Server User permissions and permission levels in SharePoint Server

ПРИМЕНИМО К: 2013 2016 2019 SharePoint in Microsoft 365 APPLIES TO: 2013 2016 2019 SharePoint in Microsoft 365

Уровни разрешений по умолчанию это предварительно заданные наборы разрешений, которые можно назначить отдельным пользователям, группам пользователей или группам безопасности на основе функциональных требованиях пользователей и требованиях к безопасности. Уровни разрешений SharePoint Server определяются на уровне семейства сайтов и по умолчанию наследуются от родительского объекта. Default permission levels are predefined sets of permissions that you can assign to individual users, groups of users, or security groups, based on the functional requirements of the users and on security considerations. SharePoint Server permission levels are defined at the site collection level and are inherited from the parent object by default.

Уровни разрешений по умолчанию Default permission levels

Уровни разрешений по умолчанию состоят из набора разрешений, позволяющих пользователям выполнить ряд связанных задач. SharePoint Server предоставляет семь уровней разрешений. Вы можете настроить разрешения в пяти этих уровнях. Невозможно настроить разрешения уровней «Ограниченный доступ» и «Полный доступ». Default permission levels are made up of a set of permissions that enable users to perform a collection of related tasks. SharePoint Server includes seven permission levels. You can customize the permissions contained within five of these permission levels. You cannot customize the permissions within the Limited Access and Full Control permission levels.

Хотя вы не можете напрямую изменить уровни разрешений «Ограниченный доступ» и «Полный доступ», можно сделать отдельные разрешения недоступными для всего веб-приложения. При этом эти разрешения удаляются из уровней «Ограниченный доступ» и «Полный доступ». Дополнительные сведения см. в разделе Управление разрешениями для веб-приложения в SharePoint Server. Although you cannot directly edit the Limited Access and Full Control permission levels, you can make individual permissions unavailable for the entire web application, which removes those permissions from the Limited Access and Full Control permission levels. For more information, see Manage permissions for a web application in SharePoint Server.

В приведенной ниже таблице перечислены уровни разрешений по умолчанию для сайтов групп в SharePoint Server. The following table lists the default permission levels for team sites in SharePoint Server.

Уровень разрешений Permission level	Описание Description	Разрешения, включенные по умолчанию Permissions included by default
Только просмотр View Only	Позволяет пользователям просматривать страницы приложений. Уровень разрешений «Только просмотр» используется для группы «Просмотр служб Excel». Enables users to view application pages. The View Only permission level is used for the Excel Services Viewers group.	Просмотр страниц приложений View Application Pages Просмотр элементов View Items Просмотр версий View Versions Создание оповещений Create Alerts Самостоятельное создание сайтов Use Self Service Site Creation Просмотр страниц View Pages Просмотр сведений о пользователях Browse User Information Использование удаленных интерфейсов Use Remote Interfaces Использование функций интеграции клиентов Use Client Integration Features Открытие Open
Ограниченный доступ Limited Access	Позволяет пользователям получать доступ к общим ресурсам и определенным активам. Уровень «Ограниченный доступ» используется вместе с детальными разрешениями для предоставления пользователям доступа к определенному списку, библиотеке документов, папке, элементу списка или документу без предоставления доступа ко всему сайту. Уровень «Ограниченный доступ» невозможно изменить или удалить. Enables users to access shared resources and a specific asset. Limited Access is designed to be combined with fine-grained permissions to enable users to access a specific list, document library, folder, list item, or document, without enabling them to access the whole site. Limited Access cannot be edited or deleted.	Просмотр страниц приложений View Application Pages Просмотр сведений о пользователях Browse User Information Использование удаленных интерфейсов Use Remote Interfaces Использование функций интеграции клиентов Use Client Integration Features Открыть Open
Чтение Read	Позволяет приложениям просматривать страницы, элементы списков и загружать документы. Enables users to view pages and list items, and to download documents.	Разрешения уровня «Ограниченный доступ», а также: Limited Access permissions, plus: Просмотр элементов View Items Открытие элементов Open Items Просмотр версий View Versions Создание оповещений Create Alerts Самостоятельное создание сайтов Use Self-Service Site Creation Просмотр страниц View Pages
Участие Contribute	Позволяет пользователям управлять личными представлениями, изменять элементы и сведения о пользователях, удалять версии в существующих списках и библиотеках документов, а также добавлять, удалять и обновлять личные веб-части. Enables users to manage personal views, edit items and user information, delete versions in existing lists and document libraries, and add, remove, and update personal Web Parts.	Разрешения уровня «Чтение», а также: Read permissions, plus: Добавление элементов Add Items Редактирование элементов Edit Items Удаление элементов Delete Items Удаление версий Delete Versions Обзор каталогов Browse Directories Редактирование личных данных пользователей Edit Personal User Information Управление личными представлениями Manage Personal Views Добавление и удаление личных веб-частей Add/Remove Personal Web Parts Обновление личных веб-частей Update Personal Web Parts
Изменение Edit	Позволяет пользователям управлять списками. Enables users to manage lists.	Разрешения уровня «Участие», а также: Contribute permissions, plus: Управление списками Manage Lists
Проектирование Design	Позволяет пользователям просматривать, обновлять, удалять, утверждать и настраивать элементы или страницы веб-сайта. Enables users to view, add, update, delete, approve, and customize items or pages in the website.	Разрешения уровня «Изменение», а также: Edit permissions, plus: Добавление и настройка страниц Add and Customize Pages Применение тем и границ Apply Themes and Borders Применение таблиц стилей Apply Style Sheets Переопределение поведения списков Override List Behaviors Утверждение элементов Approve Items
Полный доступ Full Control	Предоставляем пользователям полный доступ к веб-сайту. Enables users to have full control of the website.	Все разрешения All permissions

Если используется шаблон сайта, отличный от шаблона сайта группы, отобразится другой список уровней разрешений SharePoint по умолчанию. Например, в следующей таблице показаны дополнительные уровни разрешений, предлагаемые шаблоном публикации. If you use a site template other than the team site template, you will see a different list of default SharePoint permission levels. For example, the following table shows additional permission levels provided with the publishing template.

Уровень разрешений Permission level	Описание Description	Разрешения, включенные по умолчанию Permissions included by default
Ограниченное чтение Restricted Read	Просмотр страниц и документов. Только для сайтов публикации. View pages and documents. For publishing sites only.	Просмотр элементов View Items Открытие элементов Open Items Просмотр страниц View Pages Открытие Open
Утверждение Approve	Изменение и утверждение страниц, элементов списка и документов. Только для сайтов публикации. Edit and approve pages, list items, and documents. For publishing sites only.	Разрешения уровня «Участие», а также: Contribute permissions, plus: Переопределение поведения списков Override List Behaviors Утверждение элементов Approve Items
Управление иерархией Manage Hierarchy	Создание сайтов, изменение страниц, элементов списка и документов, а также изменение разрешений сайта. Только для сайтов публикации. Create sites; edit pages, list items, and documents, and change site permissions. For Publishing sites only.	Разрешения уровня «Разработка» без разрешений «Утверждение элементов», «Применение тем и границ» и «Применение таблиц стилей», а также: Design permissions minus the Approve Items, Apply Themes and Borders, and Apply Style Sheets permissions, plus: Управление разрешениями Manage permissions Просмотр данных веб-аналитики View Web Analytics Data Создание дочерних сайтов Create Subsites Управление оповещениями Manage Alerts Разрешения на перечисление Enumerate Permissions Управление веб-сайтом Manage Web Site

Разрешения пользователей User permissions

В SharePoint Server представлены 33 разрешения, которые используются в уровнях разрешений по умолчанию. Вы можете указать, какие разрешения включены в определенный уровень разрешений (кроме уровней «Ограниченный доступ» и «Полный доступ») или можно создать новый уровень с определенными разрешениями. SharePoint Server includes 33 permissions, which are used in the default permission levels. You can configure which permissions are included in a particular permission level (except for the Limited Access and Full Control permission levels), or you can create a new permission level to contain specific permissions.

Разрешения классифицируются как разрешения списков, разрешения сайтов и личные разрешения в зависимости от объектов, к которым они могут применяться. Например, разрешения сайта применяются к определенному сайту, разрешения списка — только к спискам и библиотекам, а личные разрешения применяются к определенным объектам, таким как личные представления и веб-части. В следующих таблицах описывается, для чего используется каждое разрешение, перечислены зависимые разрешения и соответствующие уровни разрешений. Permissions are categorized as list permissions, site permissions, and personal permissions, depending on the objects to which they can be applied. For example, site permissions apply to a particular site, list permissions apply only to lists and libraries, and personal permissions apply only to certain objects, such as personal views and private Web Parts. The following tables describe what each permission is used for, the dependent permissions, and the permission levels in which it is included.