По ограничению доступа к файлам и каталогам

По ограничению доступа к файлам и каталогам

Рассмотрим основные возможности, связанные как с организацией различных - прав доступа к файлам и каталогам при использовании сетевого доступа, так и локальные ограничения на файлы и каталоги. NTFS рассматривает каталоги (папки) и файлы как разнотипные объекты и ведет отдельные (хотя и перекры­вающиеся) списки прав доступа для каждого типа [36]. Ниже перечислены права NTFS, Назначаемые папкам (соответствующие права для файлов приведены ниже):

Q нет доступа (no access) (Шпе)(нет);

Q полный доступ (full control) (А11)(А11) (все)(все);

Q право чтения (read) (RX)(RX) (чтение)(чтение);

Q право добавления (add) (WX)(not specified) (запись/выполнение не указано);

О право добавления и чтения (add&read) (RWX)(RX) (чтение/запись/выпол­нение) (чтение/выполнение);

О право просмотра (list) (RX)(not specified) (чтение/выполнение)(не указано);

Q право изменения (change) (RWXD)(RWXD) (чтение/запись/ выполнение/ удаление) (чтение/запись/выполнение/удаление).

Обратите внимание на два выражения в скобках, указанные после имени права доступа. Первое выражение относится к самой папке, а второе — ко всем фай­лам, которые могут быть созданы внутри нее. Например, при полном доступе для папки разрешаются любые действия, однако пользователь с полным досту­пом к папке также будет обладать полным правом доступа ко всем созданным в ней файлам (если только права доступа к файлу не были изменены его владель­цем или администратором). Другими словами, в NTFS файлы и папки по умол­чанию наследуют права доступа, установленные для их родительской папки, од­нако эти права могут быть изменены любым пользователем, которому разрешено изменять права доступа для соответствующих объектов NTFS.

Файлы в NTFS могут обладать следующими правами:

Q полный доступ (full control) (All) (все);

а нет доступа (no access) (None) (нет);

Q право изменения (change) (RWXD) (чтение/запись/выполнение/удаление);

Q право чтения (read) (RX) (чтение/выполнение).

Для прав доступа NTFS, как и для прав общих каталогов, действует принцип поглощения. Исключение составляет право «нет доступа», отменяющее действие всех остальных прав.

При сетевом подключении пользователей права NTFS могут вступить в конфликт с правами общих каталогов. В такой ситуации применяется право доступа с наи­более жесткими ограничениями. У многих возникают проблемы с пониманием получаемых при сетевом доступе ограничений. Однако здесь можно легко разо­браться, если помнить, что при доступе по сети к каталогам и файлам, распола­гающихся на томах с NTFS, у нас получаются задействованными два последо-

нательных механизма. Сначала мы получаем доступ к файлам, который был определен сетевыми механизмами. Это право «нет доступа» — «no access», право на «чтение» — «read», право «изменение» — «change» и «полный доступ» — «full control». После этого вступают в силу ограничения на файлы и каталоги, опреде­ленные свойствами NTFS. То есть нам нужно преодолеть последовательно два препятствия. Другими словами, итоговые права на папки и файлы будут опреде­ляться максимальными ограничениями, которые были заданы в каждом из меха­низмов.

Помимо перечисленных прав имеется еще так называемый специальный доступ (Special Access). Если выбрать это право доступа, то на самом деле появляется возможность выбирать несколько прав одновременно из следующего перечня:

Q полный доступ (full control) (All);

Q чтение (read) (R);

Q запись (write) (W);

Q выполнение (execute) (X);

О удаление (delete) (D);

Q изменение разрешений (change permissions) (P);

Q изменение владельца (take ownership) (O).

В принципе можно было бы выбирать любые совокупности перечисленных раз­решений, однако на практике это, увы, не работает. Например, нельзя указать право X (исполнение) без права R (чтение), хотя в других системах управления файлами такое право обеспечивается. Оно позволяет выполнять программу, файл которой помечен таким атрибутом, но не дает возможности ее скопировать. Мно­гие другие комбинации специальных разрешений тоже не работают должным образом и это надо обязательно иметь в виду. Лучше пользоваться штатными правами на файлы и каталоги, которые были перечислены выше.

Рассмотрим теперь, что происходит с правами на защищенные файлы в NTFS при их перемещении. Папки более высокого уровня в NTFS обычно обладают теми же правами, что и находящиеся в них файлы и папки. Например, если вы создаете папку внутри другой папки, для которой администраторы обладают правом полного доступа, а операторы архива — правом чтения, то новая папка унаследует эти права. То же относится и к файлам, копируемым из другой папки или перемещаемым из другого раздела NTFS.

Если папка или файл перемещается в другую папку того же раздела NTFS, то ат­рибуты безопасности не наследуются от нового объекта-контейнера. Например, если из папки с правами чтения для группы everyone файл перемещается в пап­ку того же раздела с полным доступом для той же группы, то для перемещенного файла будет сохранено исходное право чтения. Дело в том, что при перемещении файлов в границах одного раздела NTFS изменяется только указатель местона­хождения объекта, а все остальные атрибуты (включая атрибуты безопасности) остаются без изменений.

Три следующих важных правила помогут определить состояние прав доступа при перемещении или копировании объектов NTFS:

Q При перемещении файлов в границах раздела NTFS сохраняются исходные права доступа.

Q При выполнении других операций (создании или копировании файлов, а так­же их перемещении между разделами NTFS) наследуются права доступа ро­дительской папки.

Q При перемещении файлов из раздела NTFS в раздел FAT все права NTFS те­ряются.

📎📎📎📎📎📎📎📎📎📎