При назначении прав можно определить как разрешение, так и запрещение на выполнение какой-либо операции. Если пользователь входит в несколько групп, то каждая из них может иметь свой набор разрешений и запретов для данной операции. Как формируется итоговое разрешение, особенно если разрешения различных групп противоречат друг другу? Первоначально проверяется, существуют ли запреты на выполнение операций для какой-либо из групп, в которые входит пользователь, и для самой учетной записи. Если хотя бы для одной группы определен запрет доступа, то система сформирует отказ в операции. Затем проверяется наличие разрешений на доступ. Если хотя бы для одной группы будет найдено разрешение, то пользователь получит право выполнения желаемого действия. В соответствии с описанным правилом обработки, если пользователь как член одной группы имеет разрешение на выполнение действия, а как член другой группы — запрет, то результатом явится отказ в выполнении операции. Следует быть крайне осторожным при назначении явных запретов. Очень легко (если на компьютере используется сложная структура групп) запретить даже самому себе выполнение тех или иных операций.
Существует единственное отступление от данного принципа преимущества запрета перед разрешением, известное автору. Это определение итогового разрешения на основе наследуемых и явно указанных прав, которое описано далее в этой статье.
В последних версиях Windows система позволяет отобразить результирующие разрешения доступа к данном объекту для любого пользователя или группы. Эта операция вызывается из меню дополнительных параметров безопасности соответствующего объекта системы.
Разрешения общего доступа и разрешения безопасности
Для объектов, предоставляемых в совместное использование, существуют два типа разрешений. Это разрешения общего доступа и разрешения безопасности. Разрешения общего доступа определяют право на использование данного ресурса при сетевом подключении. Если у пользователя нет такого права (или это действие запрещено явно), то он просто не сможет подключиться к запрашиваемому ресурсу.
Разрешение безопасности— это разрешение на уровне прав доступа файловой системы. Оно существует при использовании файловой системы типа NTFS и проверяется независимо от разрешений общего доступа. Иными словами, если пользователю разрешено подключаться к этому ресурсу по сети, но доступ к файлам запрещен разрешениями безопасности, то в итоге работа с такими файлами будет невозможна. Если на диске с ресурсами использована файловая система FAT (FAT32), то доступ по сети будет контролироваться только разрешениями общего доступа.
Типичной ошибкой пользователей, связанной с наличием двух типов разрешений, является предоставление в совместное использование папок, находящихся на рабочем столе. После предоставления общего доступа к таким папкам другие пользователи не могут открыть файлы и т. п. Связана эта ошибка с тем, что рабочий стол — это папка в профиле пользователя. А разрешение безопасности на профиль пользователя по умолчанию разрешает доступ к нему только этому пользователю и администратору компьютера. Поэтому для возможности работы других пользователей с такой общей папкой необходимо добавить для них разрешения безопасности на уровне файловой системы.
Поскольку эти разрешения в определенной степени дублируют друг друга (сточки зрения результата), то на практике их обычно комбинируют в зависимости от желаемых условий доступа.
Права доступа ко всем объектам сетевого ресурса одинаковы для всех пользователей. В этом случае разрешения общего доступа и разрешения безопасности вы- ставляются идентичными для всех заданных групп пользователей.
Права доступа различны для различных объектов сетевого ресурса
Часто бывает так, что к одним файлам нужно предоставить полный доступ, а другие разрешить только просматривать и т. д. В этом случае можно настроить права доступа следующим образом. Разрешения общего доступа устанавливаются по максимально возможным правам. Так, если часть файлов должна быть доступна только для чтения, а часть и для редактирования, то разрешения общего доступа следует ус- тановить как "полный доступ" для всех групп пользователей, которым ре- суре должен быть доступен по сети. А разрешениями безопасности нужно выполнить точную настройку: установить разрешение только для чтения для одних папок, полный доступ — для других, запретить доступ к определенным папкам для некоторых групп пользователей и т. д. Такой подход упростит структуру ресурсов сети при сохранении всех необходимых разрешений.
Наследуемые разрешения: будьте внимательны
По умолчанию вновь создаваемые ресурсы наследуют свои разрешения безопасности от родителей. Так, при сохранении нового файла его разрешения будут установлены по разрешениям той папки, в которой создается файл. При необходимости изменения прав внутри такой структуры наследования легко можно добавить новые права для любых учетных записей. С исключением дело обстоит несколько сложнее. Сначала необходимо разорвать цепочку наследования (в диалоговом окне, открывающемся при нажатии кнопки Дополнительно в свойствах безопасности, снять флажок Разрешить наследование разрешений от родительского объекта...) и отредактировать список установленных прав. Назначение разрешений файловой системы обычно не представляет особой сложности. При этом наиболее частый вопрос, который возникает у пользователей, — это изменение прав доступа, когда в свойствах объекта они отображаются квадратиками с серым фоном. Такое отображение свидетельствует о том, что разрешения на данный объект наследуются от родительского. Для того чтобы изменить их, необходима данную связь разорвать. Эта операция выполняется через кнопку Дополнительно— достаточно снять уже упоминавшийся флажок Разрешить наследование.... Разрешения, которые добавлены к списку унаследованных, называют явно установленными. Явно установленные разрешения имеют преимущество перед унаследованными. При этом не работает принцип верховенства запрета. Если унаследовано право запрета на доступ, а явно задано разрешение, то в результате пользователь сможет выполнять операции с файлами. В свойствах файла отмечены как запреты (унаследованы от родительской папки, выделены серым фоном флажка выбора), так и явно назначенные полные права владения. В этом случае будет действовать явное назначение прав. Пользователь сможет выполнять с файлом любые операции, несмотря на наличие запрета. В такой ситуации результирующие права неверно отображались самой системой: было показано полное отсутствие прав, несмотря на наличие разрешения полного доступа.
Администратору следует внимательно отнестись к такому правилу, поскольку это может привести к неучитываемым возможностям доступа к данным. Причем на компьютере автора окно отображения результирующих прав доступа неверно показывало существующие разрешения: права доступа к файлу не были показаны, хотя они фактически имелись.
Восстановление доступа к ресурсам
В условиях предприятия нередки ситуации, когда необходимо получить доступ к ресурсам, разрешения на использование которых не существует. Это могут быть файлы уволившегося пользователя или ресурсы, ставшие недоступными для всех пользователей вследствие ошибки, произошедшей при наложении разрешений. Для разрешения подобных ситуаций используется специальное право — право владельца объекта. Владелец объекта — эта та учетная запись, от имени которой создан данный объект. У владельца объекта есть неотъемлемое право — назначать разрешения безопасности. Иными словами, если пользователь создал файл, а потом администратор запретил ему с помощью разрешений безопасности доступ к этому файлу, то пользователь как владелец этого файла сможет в любой момент восстановить работу с данным ресурсом (или предоставить право работы другому пользователю). Владельца объекта можно заменить. По умолчанию возможностью присвоить себе право владельца объекта обладают только администраторы.
Для получения доступа к объектам в общем случае администратор должен выполнить следующие действия:
1. Сначала стать владельцем этих объектов (выполняется через кнопку Дополнительно в настройках безопасности). 2. Воспользовавшись правом владельца объекта, установить для него желаемые разрешения безопасности.
Обратите внимание, что квоты использования дискового пространства рассчитываются по владельцам объектов, поэтому после того как для получения разрешения безопасности администратор стал владельцем некоей папки, объем этой папки перешел из квоты пользователя в квоту администратора.
Обход перекрестной проверки
Если пользователю запрещен доступ к текущей папке, но разрешен к вложенной, то он сможет, например, открыть файл из последней, указав явным образом полный путь к нему. Эту особенность принято называть обходом перекрестной проверки. Настройкой параметров безопасности можно запретить данную возможность. Однако такое решение должно применяться только в особых, специально аргументированных случаях, поскольку оно повлечет сбои в работе многих программ (например, невозможность работы в Outlook Web Access). Администратору следует учитывать данный вариант предоставления прав доступа и правильно настраивать соответствующие параметры.
Изменение атрибутов объектов при операциях копирования и перемещения
Установка разрешений на доступ к объектам в Windows не представляет особой сложности. Достаточно выделить объект, открыть его свойства и назначить необходимых пользователей с желаемыми правами. В то же время принципы изменения свойств объектов при их копировании или перемещении часто остаются без внимания, хотя неточное понимание вариантов изменения разрешений может привести к незапланированному результату. Так, если при копировании файла он перестанет быть зашифрованным, а вы по-прежнему считаете информацию, содержащуюся в нем, защищенной, то такой факт может привести к неприятным последствиям. О таких последствиях пользователю стала сообщать Windows Vista, но в случае работы в предыдущих версиях этот факт нужно учитывать самостоятельно.
Описываемые далее правила изменения атрибутов имеют смысл только при файловых операциях на дисках с системой NTFS. Если файл копируется/перемещается на диск с файловой системой FAT32 (FAT), то он теряет атрибуты шифрования, сжатия и т. п. Иными словами, после копирования шифрованного файла на дискету он не будет оставаться зашифрованным. Следует учитывать это и при копировании файлов на сетевые ресурсы, поскольку они могут размещаться на дисках с файловыми системами FAT.
Что необходимо учитывать при выполнении файловых операций? По умолчанию вновь создаваемые объекты наследуют те разрешения, которые присвоены их родителям. Так, файл будет иметь те же параметры безопасности, что и папка, в которой он создается. Иными словами, если вы создаете новый файл в папке, которой присвоен атрибут "зашифрованный", то этот файл также будет зашифрованным. Или если вы создаете файл в папке, к которой нет доступа пользователю Иванов, то и к файлу этот пользователь доступа не получит. При операциях копирования файл создается заново. Поэтому по новому месту он всегда будет иметь атрибуты той папки, в которую скопирован. В результате если вы скопируете зашифрованный файл в незашифрованную папку, то файл в этой папке после завершения операции окажется незашифрованным. Если вы копируете обычный файл в папку с атрибутом "сжатый", то новый файл будет подвергнут динамическому сжатию. Операции перемещения имеют некоторые особенности. Если файл перемещается с одного диска на другой, то операция фактически будет состоять из двух этапов: копирования файла, а потом удаления его по прежнему месту. Поэтому атрибуты файлу будут присвоены по правилам операции копирования. Файл будет иметь атрибут той папки, в которую он помещен. Если файл перемещается в пределах одного диска, то операционная система не выполняет операцию копирования. Файл остается на прежнем месте, только в таблице размещения файлов для него меняется соответствующий указатель. Иными словами, все атрибуты файла остаются неизменными. То есть при перемещении незашифрованного файла в зашифрованную папку на том же диске информация в файле останется незашифрованной.
Результирующие права и утилиты
Как правило, в организации существует достаточно сложная структура групп пользователей с отличающимися правами доступа к информации. При этом часть прав наследуется от родительских групп, некоторые права прописываются за пользователями или группами явно. А для доступа по сети к совместно используемым ресурсам необходимо интегрировать как права доступа, заданные для файловой системы, так и права доступа совместного использования. Поскольку обычно пользователь одновременно входит в несколько групп, то определить, получит ли он в итоге право доступа к данному объекту, часто бывает очень сложно. Поэтому в системе введена возможность отображения результирующего права пользователя. Для того чтобы узнать, какие права пользователь (группа) будет иметь по отношению к некоторому объекту, достаточно открыть свойства объекта, на вкладке Безопасность нажать кнопку Дополнительно и выбрать вкладку Действующие разрешения. После чего необходимо выбрать пользователя, для которого будут определяться действующие права, и посмотреть итоговый результат.
Средствами групповой политики администратор имеет возможность отключения просмотра результирующих прав.
Рекомендации по применению разрешений
Общая рекомендация при назначении прав доступа состоит в преимущественном использовании групп по сравнению с назначением прав для отдельных пользователей. Такой подход упрощает администрирование, позволяет гораздо быстрее, проще и понятнее устанавливать разрешения. Например, для локального компьютера можно создать несколько локальных групп, объединить в них как пользователей данной системы, так и доменные учетные записи, после чего уже с использованием данных групп назначать разрешения на доступ к тем или иным объектам. В общем случае рекомендуется придерживаться следующего порядка назначения разрешений. Необходимые учетные записи следует добавить в глобальные группы домена, глобальные группы домена включить в локальные группы домена и уже для этих локальных групп назначать желаемые разрешения.
