Самоучитель системного администратора. 5-е изд
жүктеу/скачать 20,51 Mb. Pdf көрінісі
|
Cамоучитель системного администратора книга
Глава 4 Таблица 4.3. Группы пользователей Группа Включает объекты Допустимые вложения групп Локальная Пользователи Универсальные и глобальные группы любого домена Локальная безопасности Пользователи Глобальные группы Глобальная Пользователи Глобальные группы этого же домена Глобальная безопасности Глобальная группа Нет Универсальная Пользователи и компью- теры Универсальные и глобальные группы любого домена Начиная с Windows 2000, в режиме native mode администраторы могут изменять типы групп, а именно — преобразовывать группу безопасности (Security group) в группу рассылки (Distribution group), и наоборот. Возможна также смена области действия группы с универсальной на доменную. Обратите только внимание, что наличие вложенных групп в некоторых случаях может препятствовать преобразованию типа родительской группы. Ролевое управление Современные прикладные программы предусматривают работу с данными пользо- вателей, имеющих различающиеся функциональные обязанности. Для регулирова- ния прав доступа к возможностям программы принято использовать ролевое управ- ление . Роль представляет собой предварительно настроенный набор прав пользова- теля, выполняющего определенные обязанности (директор, главный бухгалтер, кассир и т. п.). При подключении нового пользователя такой системы администра- тору достаточно предоставить ему тот или иной предварительно подготовленный набор прав. Прикладные программы могут создавать роли как для группы безопасности в до- мене, так и для локальных групп на том компьютере, где работает программа. Администратору остается только включить необходимых пользователей (или груп- пу пользователей, если таковая уже создана) в состав соответствующей роли. Результирующее право: разрешить или запретить? При назначении прав можно определить как разрешение , так и запрещение на вы- полнение какой-либо операции. Если пользователь входит в несколько групп, то каждая из них может иметь свой набор разрешений и запретов для той или иной операции. Как формируется итоговое разрешение, особенно если разрешения раз- личных групп противоречат друг другу? Первоначально проверяется, существуют ли запреты на выполнение операций для какой-либо из групп, в которые входит пользователь, и для самой учетной записи. Если хотя бы для одной группы определен запрет доступа, то система сформирует отказ в операции. Затем проверяется наличие разрешений на доступ . Если хотя бы Информационные системы предприятия 171 для одной группы будет найдено разрешение, то пользователь получит право вы- полнения желаемого действия. В соответствии с описанным правилом обработки, если пользователь, как член одной группы, имеет разрешение на выполнение действия, а как член другой груп- пы — запрет, то результатом явится отказ в выполнении операции. Следует быть крайне осторожным при назначении явных запретов. Очень легко (если на компьютере используется сложная структура групп) запретить даже само- му себе выполнение тех или иных операций. П РИМЕЧАНИЕ Существует единственное отступление от принципа преимущества запрета перед разрешением, известное авторам. Это определение итогового разрешения на основе наследуемых и явно указанных прав, которое описано в разд. «Наследуемые разре- шения: будьте внимательны» далее в этой главе . Разрешения общего доступа и разрешения безопасности Для объектов, предоставляемых в совместное использование, существуют два типа разрешений. Это разрешения общего доступа и разрешения безопасности. Разрешения общего доступа определяют право на использование того или иного ресурса при сетевом подключении. Если у пользователя нет такого права (или это действие запрещено явно), то он просто не сможет подключиться к запра- шиваемому ресурсу. Разрешение безопасности — это разрешение на уровне прав доступа файловой системы. Оно существует при работе в файловой системе типа NTFS и проверя- ется независимо от разрешений общего доступа. Иными словами, если пользова- телю разрешено подключаться к этому ресурсу по сети, но доступ к файлам за- прещен разрешениями безопасности, то в итоге работа с такими файлами будет невозможна. Если диск с ресурсами имеет формат файловой системы FAT (FAT32), то доступ по сети будет контролироваться только разрешениями об- щего доступа. П РИМЕЧАНИЕ Типичной ошибкой пользователей, связанной с наличием двух типов разрешений, яв- ляется предоставление в совместное использование папок, находящихся на рабочем столе. После предоставления общего доступа к таким папкам другие пользователи не могут открыть файлы и т. п. Связана эта ошибка с тем, что рабочий стол — это папка в профиле пользователя. А разрешение безопасности на профиль пользователя по умолчанию разрешает доступ к нему только этому пользователю и администратору компьютера. Поэтому для возможности работы других пользователей с такой общей папкой необходимо добавить для них разрешения безопасности на уровне файловой системы. Поскольку разрешения общего доступа и разрешения безопасности в определенной степени дублируют друг друга (с точки зрения результата), то на практике их обычно комбинируют в зависимости от желаемых условий доступа: 172 Глава 4 права доступа ко всем объектам сетевого ресурса одинаковы для всех пользова- телей — в этом случае разрешения общего доступа и разрешения безопасности выставляются идентичными для всех заданных групп пользователей; права доступа различны для разных объектов сетевого ресурса. Часто бывает так, что к одним файлам нужно предоставить полный доступ, а другие — разре- шить только просматривать и т. д. В этом случае можно настроить права досту- па следующим образом: • разрешения общего доступа устанавливаются по максимально возможным правам. Так, если часть файлов должна быть доступна только для чтения, а жүктеу/скачать 20,51 Mb. Достарыңызбен бөлісу:
|