Можливості файлової системи NTFS по обмеженню доступу до файлів і каталогів


 

Розглянемо основні можливості, зв'язані як з організацією різних прав доступу до файлів і каталогів при використанні мережного доступу, так і локальні обмеження на файли і каталоги. NTFS розглядає каталоги (папки) і файли як різнотипні об'єкти і веде окремі списки прав доступу для кожного типу.

Права NTFS, що призначаються папкам (відповідні права для файлів приведені нижче):

1. немає доступу (no access) (None)(ні);

2. повний доступ (full control) (All)(All) (всі)(всі);

3. право читання (read) (RX)(RX) (читання)(читання);

4. право додавання (add) (WX)(not specified) (запис/виконання) (не вказане);

5. право додавання і читання (add&read) (RWX)(RX) (читання/запис/виконання) (читання/виконання);

6. право перегляду (list) (RX)(not specified) (читання/виконання)(не вказане);

7. право зміни (change) (RWXD)(RWXD) (читання/запис/ виконання/ видалення) (читання/запис/виконання/видалення).

Слід звернути увагу на два вирази в дужках, вказані після імені права доступу. Перший вираз відноситься до самої папки, а друге - до всіх файлів, які можуть бути створені всередині її. Наприклад, при повному доступі для папки дозволяються будь-які дії, але користувач з повним доступом до папки також буде мати повне право доступу до всіх створених у ній файлам (якщо тільки права доступу до файлу не були змінені його власником або адміністратором). Іншими словами, у NTFS файли і папки за замовчуванням успадковують права доступу, установлені для їх батьківської папки, але ці права можуть бути змінені будь-яким користувачем, якому дозволено змінювати права доступу для відповідних об'єктів NTFS.

Файли в NTFS можуть мати наступні права:

1. повний доступ (full control) (All) (всі);

2. немає доступу (no access) (None) (ні);

3. право зміни (change) (RWXD) (читання/запис/виконання/видалення);

4. право читання (read) (RX) (читання/виконання).

 

Для прав доступу NTFS, як і для прав загальних каталогів, діє принцип поглинання. Виключення складає право “немає доступу”, що відмінює дію всіх інших прав.

При мережевому підключенні користувачів права NTFS можуть вступити в конфлікт правами загальних каталогів. У такій ситуації застосовується право доступу з найбільш жорсткими обмеженнями. У багатьох виникають проблеми з розумінням отриманих при мережевому доступі обмежень. Але слід пам'ятати, що при доступі по мережі до каталогів і файлів, які розташовуються на томах з NTFS, будуть задіяні два послідовних механізми. Спочатку ми одержуємо доступ до файлів, який був визначений мережевими механізмами. Це право "немає доступу" – "no access", право на "читання" – "read", право "зміна" – "change" і "повний доступ" – "full control". Після цього набирають сили обмеження на файли і каталоги, визначені властивостями NTFS. Тобто потрібно перебороти послідовно дві перешкоди. Іншими словами, підсумкові права на папки і файли будуть визначатися максимальними обмеженнями, що були задані в кожному з механізмів.

Крім перерахованих прав є ще так званий спеціальний доступ (Special Access). Якщо вибрати це право доступу, то насправді з'являється можливість вибирати декілька прав одночасно з наступного переліку:

1. повний доступ (full control) (All);

2. читання (read) (R);

3. запис (write) (W);

4. виконання (execute) (X);

5. видалення (delete) (D);

6. зміна дозволів (change permissions) (P);

7. зміна власника (take ownership) (0).

У принципі можна було б вибирати будь-які сукупності перерахованих дозволів, але на практиці це, на жаль, не працює. Наприклад, не можна вказати право Х (виконання) без права R (читання), хоча в інших системах керування файлами таке право забезпечується. Воно дозволяє виконувати програму, файл якої позначений таким атрибутом, але не дає можливості її скопіювати. Багато інших комбінацій спеціальних дозволів теж не працюють належним образом і це треба обов'язково мати на увазі. Краще скористатися штатними правами на файли і каталоги, що були перераховані вище.

Розглянемо тепер, що відбувається з правами на захищені файли в NTFS при їх переміщенні. Папки більш високого рівня в NTFS зазвичай мають ті ж права, що і файли, які знаходяться в них, і папки. Наприклад, якщо ви створюєте папку всередині іншої папки, для якої адміністратори мають право повного доступу, а оператори архіву - право читання, то нова папка успадкує ці права. Те ж відноситься і до файлів, які копіюються з іншої папки або переміщуються з іншого розділу NTFS.

Якщо папка або файл переміщується в іншу папку того ж розділу NTFS, то атрибути безпеки не успадковуються від нового об'єкта-контейнера. Наприклад, якщо з папки з правами читання для групи everyone файл переміщується в папку того ж розділу з повним доступом для тієї ж групи, то для переміщеного файлу буде збережене вихідне право читання. Справа в тому, що при переміщенні файлів у межах одного розділу NTFS змінюється тільки покажчик місцезнаходження об'єкта, а всі інші атрибути (включаючи атрибути безпеки) залишаються без змін.

Три наступних важливі правила допоможуть визначити стан прав доступу при переміщенні або копіюванні об'єктів NTFS:

1. При переміщенні файлів в межах розділу NTFS зберігаються вихідні права доступу.

2. При виконанні інших операцій (створенні або копіюванні файлів, а також їх переміщенні між розділами NTFS) успадковуються права доступу батьківської папки.

3. При переміщенні файлів з розділу NTFS у розділ FAT всі права NTFS втрачаються.



Дата добавления: 2016-07-27; просмотров: 1495;


Поиск по сайту:

Воспользовавшись поиском можно найти нужную информацию на сайте.

Поделитесь с друзьями:

Считаете данную информацию полезной, тогда расскажите друзьям в соц. сетях.
Poznayka.org - Познайка.Орг - 2016-2024 год. Материал предоставляется для ознакомительных и учебных целей.
Генерация страницы за: 0.009 сек.