Возможности файловой системы NTFS по ограничению доступа к файлам и каталогам
Рассмотрим основные возможности, связанные как с организацией различных прав доступа к файлам и каталогам при использовании сетевого доступа, так и локальные ограничения на файлы и каталоги. NTFS рассматривает каталоги (папки) и файлы как разнотипные объекты и ведёт отдельные (хотя и перекрывающиеся) списки прав доступа для каждого типа [36]. Ниже перечислены права NTFS, назначаемые папкам (соответствующие права для файлов приведены ниже):
¨ нет доступа (no access) (None)(нет);
¨ полный доступ (full control) (All)(All) (все)(все);
¨ право чтения (read) (RX)(RX) (чтение)(чтение);
¨ право добавления (add) (WX)(not specified) (запись/выполнение не указано);
¨ право добавления и чтения (add&read) (RWX)(RX) (чтение/запись/выполнение) (чтение/выполнение);
¨ право просмотра (list) (RX)(not specified) (чтение/выполнение)(не указано);
¨ право изменения (change) (RWXD)(RWXD) (чтение/запись/ выполнение/ удаление) (чтение/запись/выполнение/удаление).
Обратите внимание на два выражения в скобках, указанные после имени права доступа. Первое выражение относится к самой папке, а второе – ко всем файлам, которые могут быть созданы внутри неё. Например, при полном доступе для папки разрешаются любые действия, однако пользователь с полным доступом к папке также будет обладать полным правом доступа ко всем созданным в ней файлам (если только права доступа к файлу не были изменены его владельцем или администратором). Другими словами, в NTFS файлы и папки по умолчанию наследуют права доступа, установленные для их родительской папки, однако эти права могут быть изменены любым пользователем, которому разрешено изменять права доступа для соответствующих объектов NTFS.
Файлы в NTFS могут обладать следующими правами:
¨ полный доступ (full control) (All) (все);
¨ нет доступа (no access) (None) (нет);
¨ право изменения (change) (RWXD) (чтение/запись/выполнение/удаление);
¨ право чтения (read) (RX) (чтение/выполнение).
Для прав доступа NTFS, как и для прав общих каталогов, действует принцип поглощения. Исключение составляет право «нет доступа», отменяющее действие всех остальных прав.
При сетевом подключении пользователей права NTFS могут вступить в конфликт с правами общих каталогов. В такой ситуации применяется право доступа с наиболее жесткими ограничениями. У многих возникают проблемы с пониманием получаемых при сетевом доступе ограничений. Однако здесь можно легко разобраться, если помнить, что при доступе по сети к каталогам и файлам, располагающихся на томах с NTFS, у нас получаются задействованными два последовательных механизма. Сначала мы получаем доступ к файлам, который был определён сетевыми механизмами. Это право «нет доступа» – «по access», право на «чтение» – «read», право «изменение» – «change» и «полный доступ» – «full control». После этого вступают в силу ограничения на файлы и каталоги, определённые свойствами NTFS. То есть нам нужно преодолеть последовательно два препятствия. Другими словами, итоговые права на папки и файлы будут определяться максимальными ограничениями, которые были заданы в каждом из механизмов.
Помимо перечисленных прав имеется ещё так называемый специальный доступ (Special Access). Если выбрать это право доступа, то на самом деле появляется возможность выбирать несколько прав одновременно из следующего перечня:
¨ полный доступ (full control) (All);
¨ чтение (read) (R);
¨ запись (write) (W);
¨ выполнение (execute) (X);
¨ удаление (delete) (D);
¨ изменение разрешений (change permissions) (P);
¨ изменение владельца (take ownership) (O).
В принципе можно было бы выбирать любые совокупности перечисленных разрешений, однако на практике это, увы, не работает. Например, нельзя указать право Х (исполнение) без права R (чтение), хотя в других системах управления файлами такое право обеспечивается. Оно позволяет выполнять программу, файл которой помечен таким атрибутом, но не дает возможности её скопировать. Многие другие комбинации специальных разрешений тоже не работают должным образом и это надо обязательно иметь в виду. Лучше пользоваться штатными правами на файлы и каталоги, которые были перечислены выше.
Рассмотрим теперь, что происходит с правами на защищённые файлы в NTFS при их перемещении. Папки более высокого уровня в NTFS обычно обладают теми же правами, что и находящиеся в них файлы и папки. Например, если вы создаете папку внутри другой папки, для которой администраторы обладают правом полного доступа, а операторы архива – правом чтения, то новая папка унаследует эти права. То же относится и к файлам, копируемым из другой папки или перемещаемым из другого раздела NTFS.
Если папка или файл перемещается в другую папку того же раздела NTFS, то атрибуты безопасности не наследуются от нового объекта-контейнера. Например, если из папки с правами чтения для группы everyone файл перемещается в папку того же раздела с полным доступом для той же группы, то для перемещенного файла будет сохранено исходное право чтения. Дело в том, что при перемещении файлов в границах одного раздела NTFS изменяется только указатель местонахождения объекта, а все остальные атрибуты (включая атрибуты безопасности) остаются без изменений.
Три следующих важных правила помогут определить состояние прав доступа при перемещении или копировании объектов NTFS:
¨ При перемещении файлов в границах раздела NTFS сохраняются исходные права доступа.
¨ При выполнении других операций (создании или копировании файлов, а также их перемещении между разделами NTFS) наследуются права доступа родительской папки.
¨ При перемещении файлов из раздела NTFS в раздел FAT все права NTFS теряются.
Дата добавления: 2022-02-05; просмотров: 407;