En guide till filsystembehörigheter. NTFS-behörighetsrevisionssystemresurser

NTFS-behörigheter

I förra föreläsningen pratade vi om nätverkssäkerhet och begreppet behörigheter, men det är värt att återkomma till detta nu, eftersom behörigheter bara är tillgängliga på NTFS-hårddiskar. I det här avsnittet kommer vi att prata om funktionerna hos NTFS för att skydda dina filer från nyfikna ögon. Till skillnad från FAT-systemet kan åtkomst till delade resurser inte aktiveras eller inaktiveras. NTFS ger en granularitetsnivå som bara tillåter de du vill ha tillgång till och filtrerar bort alla andra.

Behörigheter för en enskild användare

Innan du diskuterar behörigheter för användare och grupper, såväl som själva filerna, är det viktigt att gå igenom grunderna för hur behörigheter fungerar. Först visar vi dig vad arv är, och sedan ska vi titta på ett verktyg i Windows XP Professional som borde hjälpa dig, men som kan bli en stötesten om du inte förstår dess funktioner.

Arv

Det kanske bara finns ett par användare på nätverket, eller så kan det finnas tusentals. Genom att ställa in anpassade behörigheter för NTFS-volymer och mappar kan denna uppgift vara relativt enkel i en organisation med sex personer. Som redan noterats i föreläsningar 9 Om en organisation börjar växa gör det mycket enklare att hantera behörigheter genom att dela in användare i specifika grupper.

Du bör först skapa en uppsättning behörigheter för en specifik grupp, till exempel ingenjörer. I det här fallet, när en ny ingenjör dyker upp i organisationen, läggs han automatiskt till i denna grupp. Samtidigt ärvs behörigheter för den här gruppen.

Notera. Arv gäller även andra objekt på en NTFS-volym. Om du till exempel ställer in behörigheter för en specifik mapp och sedan skapar en undermapp i den, befriar arvsrätten dig från att skapa en ny uppsättning behörigheter för den undermappen eftersom den ärver behörigheterna för den överordnade mappen.

Om du anser att en grupp ingenjörer behöver utfärda eller förnya ett specifikt tillstånd är det lätt att göra det. När den har ändrats (vilket vi kommer att prata om senare i denna föreläsning) tilldelas den nya behörigheten till varje medlem i den gruppen.

Å andra sidan kan en viss ingenjör behöva tillstånd som andra inte behöver. Du kan, genom att logga in på ingenjörsgruppen, göra de ändringar som krävs för denna användare, och han kommer att få en ny behörighet som inte kommer att ärvas av honom genom att tillhöra denna grupp. I det här fallet kommer tillståndet inte att gälla för andra gruppmedlemmar.

Nytt för Windows XP Professional är enkel fildelning. Den här funktionen är aktiverad när du installerar Windows XP Professional för första gången eller när du delar en volym eller mapp. För att aktivera fler verktyg för användaråtkomstkontroll måste enkel fildelning inaktiveras.

Du kanske undrar varför enkel fildelning behövs om den här funktionen måste inaktiveras. Endast för att underlätta processen att dela filer och mappar. Med enkel fildelning aktiverad finns det inte många konfigurationer för hur användare kan komma åt filer, skrivare etc. Detta ger ett enkelt sätt att dela filer. Men om du vill kontrollera vem som kan komma åt filer bör enkel fildelning inaktiveras. För att göra detta, följ dessa steg.

Välj Start\Den här datorn, klicka sedan på Verktyg och välj Mappalternativ.

Klicka på fliken Visa i dialogrutan Mappalternativ.

Bläddra igenom listan med inställningar i fönstret Avancerade inställningar och markera eller avmarkera kryssrutan Använd enkel fildelning.

Klicka på OK.

Notera. Om du enbart inaktiverar enkel fildelning hindrar du dig från att ställa in filbehörigheter. Du bör också placera alla dina filer och mappar på en NTFS-volym eller -partition.

Behörigheter för mappar och volymer

Behörigheter styr vad en användare eller grupp kan göra med ett objekt i nätverket eller på sin lokala dator. Behörigheter stöds endast när enkel fildelning är inaktiverad och på en NTFS-formaterad hårddisk. I tabell 10.2 listar de behörigheter som tilldelats mappar och i tabell 10.3- för filer.

Skapa och hantera behörigheter

Genom att skapa behörigheter för enskilda filer, mappar och NTFS-volymer kan du dra nytta av många fler säkerhetsalternativ än vad FAT-filsystemet erbjuder. Fliken Egenskaper för den valda mappen eller volymen innehåller en säkerhetsflik. Genom att klicka på den kan du se ett antal alternativ för att kontrollera åtkomsten.

Följ dessa steg för att konfigurera behörigheter för en given mapp eller volym.

Ange volymen eller mappen som du ska ställa in behörigheter för.

Högerklicka på den och välj Egenskaper.

Välj fliken Säkerhet.

Notera. Om NTFS-volymen är delad måste du ställa in behörigheter via fliken Säkerhet istället för att använda knappen Behörigheter på fliken Delning.

I egenskapsfönstret som visas ser du två fönster. Det övre fönstret innehåller en lista över användare och grupper ( ris. 10.7). Längst ner finns en lista med behörigheter för användaren som kan ställas in och justeras. Återigen, den här fliken är endast tillgänglig för NTFS-formaterade volymer.

Ris. 10.7. Fliken Säkerhet i dialogrutan Egenskaper

Genom att klicka på en specifik användare eller grupp kan du ställa in behörigheter för dem i det nedre fönstret. Följande behörigheter är tillgängliga.

Full kontroll. Tillåter en användare eller grupp att läsa, skapa, ändra och ta bort filer.

Ändra. Tillåter användare att ta bort filer och mappar, göra behörighetsändringar eller ta äganderätten till en fil eller mapp från en annan användare.

Läs & kör. Tillåter användare att läsa och köra filer utan att göra ändringar i innehållet i den delade volymen eller mappen.

Lista mappinnehåll. Tillåter användare att se innehållet i mappar.

Läsa. Tillåter användare att se innehållet i en volym eller mapp. De kan också öppna filer, men får inte spara ändringar.

Skriva. Tillåter användare att skriva till mappar eller volymer, men hindrar dem från att öppna filer eller visa en lista med filer.

Särskilda behörigheter. Genom att klicka på knappen Avancerat kan du tillämpa särskilda behörigheter.

Begränsning av antalet användare

Beroende på storleken och strukturen på din organisation kanske du inte kan tillåta alla att komma åt samma volym samtidigt. Om du vill sätta en gräns för antalet användare som kan komma åt en volym eller mapp samtidigt, öppna dialogrutan Behörigheter och välj fliken Delning ( ris. 10.8).

Ange ett av följande alternativ i avsnittet Användargräns.

Maximalt tillåtet Tillåt åtkomst för det maximala antalet nätverksanvändare.

Tillåt detta antal användare Tillåt endast åtkomst för det angivna antalet användare.

Mer information om behörigheter finns i kap. 9.

I förra föreläsningen pratade vi om nätverkssäkerhet och begreppet behörigheter, men det är värt att återkomma till detta nu, eftersom behörigheter bara är tillgängliga på NTFS-hårddiskar. I det här avsnittet kommer vi att prata om funktionerna hos NTFS för att skydda dina filer från nyfikna ögon. Till skillnad från FAT-systemet kan åtkomst till delade resurser inte aktiveras eller inaktiveras. NTFS ger en granularitetsnivå som endast tillåter de du vill ha tillgång till och filtrerar bort alla andra.

Behörigheter för en enskild användare

Innan du diskuterar behörigheter för användare och grupper, såväl som själva filerna, är det viktigt att gå igenom grunderna för hur behörigheter fungerar. Först visar vi dig vad arv är, och sedan ska vi titta på ett verktyg i Windows XP Professional som borde hjälpa dig, men som kan bli en stötesten om du inte förstår dess funktioner.

Arv

Det kanske bara finns ett par användare på nätverket, eller så kan det finnas tusentals. Genom att ställa in anpassade behörigheter för NTFS-volymer och mappar kan denna uppgift vara relativt enkel i en organisation med sex personer. Som nämnts i kapitel 9, när en organisation börjar växa, blir det mycket enklare att hantera behörigheter genom att dela in användare i specifika grupper.

Du bör först skapa en uppsättning behörigheter för en specifik grupp, till exempel ingenjörer. I det här fallet, när en ny ingenjör dyker upp i organisationen, läggs han automatiskt till i denna grupp. Samtidigt ärvs behörigheter för den här gruppen.

Notera. Arv gäller även andra objekt på en NTFS-volym. Till exempel, om du ställer in behörigheter för en specifik mapp och sedan skapar en undermapp i den, befriar arvsrätten dig från att skapa en ny uppsättning behörigheter för den undermappen eftersom den ärver behörigheterna för den överordnade mappen.

Om du anser att en grupp ingenjörer behöver utfärda eller förnya ett specifikt tillstånd är det lätt att göra det. När den har ändrats (vilket vi kommer att prata om senare i denna föreläsning) tilldelas den nya behörigheten till varje medlem i den gruppen.

Å andra sidan kan en viss ingenjör behöva tillstånd som andra inte behöver. Du kan, genom att logga in på ingenjörsgruppen, göra de ändringar som krävs för denna användare, och han kommer att få en ny behörighet som inte kommer att ärvas av honom genom att tillhöra denna grupp. I det här fallet kommer tillståndet inte att gälla för andra gruppmedlemmar.

Nytt för Windows XP Professional är enkel fildelning. Den här funktionen är aktiverad när du installerar Windows XP Professional för första gången eller när du delar en volym eller mapp. För att aktivera fler verktyg för användaråtkomstkontroll måste enkel fildelning inaktiveras.

Du kanske undrar varför enkel fildelning behövs om den här funktionen måste inaktiveras. Endast för att underlätta processen att dela filer och mappar. Med enkel fildelning aktiverad finns det inte många konfigurationer för hur användare kan komma åt filer, skrivare etc. Detta ger ett enkelt sätt att dela filer. Men om du vill kontrollera vem som kan komma åt filer bör enkel fildelning inaktiveras. För att göra detta, följ dessa steg.

1. Välj Start\Den här datorn, klicka sedan på Verktyg och välj Mappalternativ.
2. Klicka på fliken Visa i dialogrutan Mappalternativ.
3. Bläddra igenom listan med inställningar i fönstret Avancerade inställningar och markera eller avmarkera kryssrutan Använd enkel fildelning.
4. Klicka på OK.

Notera. Om du enbart inaktiverar enkel fildelning hindrar du dig från att ställa in filbehörigheter. Du bör också placera alla dina filer och mappar på en NTFS-volym eller -partition.

Behörigheter för mappar och volymer

Behörigheter styr vad en användare eller grupp kan göra med ett objekt i nätverket eller på sin lokala dator. Behörigheter stöds endast när enkel fildelning är inaktiverad och på en NTFS-formaterad hårddisk. B listar de behörigheter som tilldelats mappar och B listar behörigheterna att tilldela filer.

Skapa och hantera behörigheter

Genom att skapa behörigheter för enskilda filer, mappar och NTFS-volymer kan du dra nytta av många fler säkerhetsalternativ än vad FAT-filsystemet erbjuder. Fliken Egenskaper för den valda mappen eller volymen innehåller en säkerhetsflik. Genom att klicka på den kan du se ett antal alternativ för att kontrollera åtkomsten.

Följ dessa steg för att konfigurera behörigheter för en given mapp eller volym.

1. Ange volymen eller mappen som du ska ställa in behörigheter för.
2. Högerklicka på den och välj Egenskaper.
3. Välj fliken Säkerhet.

Notera. Om NTFS-volymen är delad måste du ställa in behörigheter via fliken Säkerhet istället för att använda knappen Behörigheter på fliken Delning.

I egenskapsfönstret som visas ser du två fönster. Det övre fönstret innehåller en lista över användare och grupper (). Längst ner finns en lista med behörigheter för användaren som kan ställas in och justeras. Återigen, den här fliken är endast tillgänglig för NTFS-formaterade volymer.

Ris. 10.7. Fliken Säkerhet i dialogrutan Egenskaper

Genom att klicka på en specifik användare eller grupp kan du ställa in behörigheter för dem i det nedre fönstret. Följande behörigheter är tillgängliga.

• Full kontroll. Tillåter en användare eller grupp att läsa, skapa, ändra och ta bort filer.
• Ändra. Tillåter användare att ta bort filer och mappar, göra ändringar i behörigheter eller ta äganderätten till en fil eller mapp från en annan användare.
• Läs & kör. Tillåter användare att läsa och köra filer utan att göra ändringar i innehållet i den delade volymen eller mappen.
• Lista mappinnehåll. Tillåter användare att se innehållet i mappar.
• Läsa. Tillåter användare att se innehållet i en volym eller mapp. De kan också öppna filer, men får inte spara ändringar.
• Skriva. Tillåter användare att skriva till mappar eller volymer, men hindrar dem från att öppna filer eller visa en lista med filer.
• Särskilda behörigheter. Genom att klicka på knappen Avancerat kan du tillämpa särskilda behörigheter.

Begränsning av antalet användare

Beroende på storleken och strukturen på din organisation kanske du inte kan tillåta alla att komma åt samma volym samtidigt. Om du behöver sätta en gräns för antalet användare som samtidigt kan komma åt en volym eller mapp, öppna dialogrutan Behörigheter och välj fliken Delning (Figur 10.8).

Ange ett av följande alternativ i avsnittet Användargräns.

• Maximalt tillåtet Tillåt åtkomst för det maximala antalet nätverksanvändare.
• Tillåt detta antal användare Tillåt endast åtkomst för det angivna antalet användare.

Mer information om behörigheter finns i kap. 9.

Ett detaljerat och komplext behörighetssystem används för att kontrollera användaråtkomst till mappar och filer. Windows-objektets åtkomstkontrollmekanism är en av de mest detaljerade bland kända operativsystem. Det finns minst 14 NTFS-behörigheter för filer och mappar som kan aktiveras eller inaktiveras – och kontrolleras. Dessa behörigheter kan tilldelas filer eller mappar och till användare eller grupper. Du kan också tilldela den ordning i vilken behörigheter ärvs för filer eller mappar och användare eller grupper. Det är lätt att gå vilse i labyrinten av tillstånd. Den här artikeln kommer att diskutera hur mapp- och filbehörigheter fungerar och de mest effektiva sätten att tillämpa dem.

Grunderna för objektåtkomst

Användaren kommer aldrig i direkt kontakt med något Windows-objekt. All åtkomst till objekt sker genom program (till exempel Windows Explorer, Microsoft Office) eller processer. Ett program som får åtkomst till resurser på uppdrag av en användare utför en procedur som kallas identitetsstöld. Ett program som får åtkomst till en fjärrresurs utför en procedur som kallas delegering.

Efter att en användare har registrerat sig, bearbetas användarens systemidentifierare (SID) och grupp-SID av processen lsass.exe, som genererar en säker åtkomsttoken för användaren. Säkerhetstoken innehåller även annan information, inklusive användarens tilldelade rättigheter (behörigheter), användarens sessions-ID (unikt för varje session) och en behörighetsmask som beskriver vilken typ av åtkomst som begärs. Rättigheterna som tilldelats en användare kan ses med kommandot

Om ett program får åtkomst till en skyddad resurs på uppdrag av en användare, begär Windows säkerhetsreferensövervakare användarens säkerhetsåtkomsttoken från programmet. Säkerhetsmonitorn analyserar sedan token för att fastställa användarens effektiva behörigheter och tillåter eller nekar användarens begärda operation. Effektiva behörigheter beskrivs mer i detalj nedan.

Dela behörigheter

Alla skyddade Windows-objekt – inklusive filer, mappar, resurser, skrivare och registernycklar – bibehåller säkerhetsbehörigheter. Alla Windows-mappar kan göras offentliga för att tillåta fjärråtkomst. Delbehörigheter kan tilldelas alla mappar och skrivarobjekt i Windows, men behörigheterna gäller endast om objektet nås via en nätverksresurs. Mappdelningsbehörigheter inkluderar Full kontroll, Ändra och Läs.

Säkerhetspersoner som tilldelas Full kontroll till ett objekt kan utföra nästan vilken operation som helst på objektet. De kan ta bort, byta namn på, kopiera, flytta och ändra ett objekt. En användare med Full kontroll-behörighet kan ändra dela-behörigheterna för ett objekt och bli ägare till objektet (såvida de inte redan är ägare och inte har ta äganderätt). På så sätt kan alla med Full kontroll-behörighet återkalla andras behörigheter, inklusive administratören (även om administratören alltid kan återta äganderätten och behörigheterna). Möjligheten att ändra behörigheter är ett krav för alla operativsystem med diskretionär åtkomstkontroll (DAC), såsom Windows.

I de flesta fall är den huvudsakliga resursbehörighet som krävs av vanliga användare Ändra. Med behörigheten Ändra kan användaren lägga till, ta bort, redigera eller byta namn på alla resurser i motsvarande mapp. Läsbehörighet låter dig visa, kopiera, byta namn på och skriva ut ett objekt. En användare med läsbehörighet kan kopiera ett objekt till en annan plats där de har full kontrollbehörighet.

NTFS-behörigheter

Om Windows använder NTFS-filsystemet (istället för FAT) har alla filer, mappar, registernycklar och många andra objekt NTFS-behörigheter. NTFS-behörigheter gäller både lokal och fjärråtkomst till ett objekt. För att visa och ändra behörigheterna för en NTFS-fil eller -mapp, högerklicka bara på objektet, välj Egenskaper och gå till fliken Säkerhet.

Tabell 1 visar de 7 totala NTFS-behörigheterna. Sammanfattningsbehörigheter är olika kombinationer av de 14 mer detaljerade behörigheterna som visas i Tabell 2. Du kan visa detaljerade behörigheter genom att öppna dialogrutan Avancerade säkerhetsinställningar för ett objekt genom att klicka på knappen Avancerat på fliken Säkerhet och sedan klicka på knappen Redigera i Fliken Behörigheter. Att bekanta sig med de detaljerade behörigheterna för ett objekt (särskilt ett som kräver ökad säkerhet) är en god vana, även om det kräver mer ansträngning. Sammanfattningsbehörigheter återspeglar inte alltid korrekt status för granulära behörigheter. Till exempel har jag sett en sammanfattning av läsbehörighet när användaren faktiskt hade läs- och körbehörighet.

I likhet med Full Control Share-behörigheten ger Full Control NTFS-behörigheten ägare fler alternativ. Icke-administratörer har ofta Full Control-behörighet på sin hemkatalog och andra filer och mappar. Som nämnts kan en behörighetsinnehavare på denna nivå ändra filens behörigheter och göra sig själv till ägare. Istället för att ge användarna Full Control-behörighet kan du bara ge dem Ändra-behörighet. Om användaren är ägaren till filen kan du, om det behövs, manuellt förhindra honom från att ändra behörigheter.

Tekniskt sett är NTFS-behörigheter kända som diskretionära ACL:er (DACL). Granskningsbehörigheter är kända som system-ACL (SACL). De flesta NTFS-skyddade objekt har båda typerna av behörigheter.

Effekten av Windows Trust Relationships

Som standard har alla Windows 2000 och senare domäner och skogar tvåvägsförtroenderelationer med alla andra domäner i skogen. Om en domän litar på en annan domän, har alla användare i den betrodda domänen samma säkerhetsbehörigheter i den betrodda domänen som gruppen Alla och gruppen Autentiserade användare för den betrodda domänen. I alla domäner tilldelas många behörigheter till dessa grupper som standard, och förtroenderelationer ger implicit breda rättigheter som annars inte skulle beviljas. Tänk på att om inte förtroenden är selektiva, tilldelas alla behörigheter som beviljas grupperna Alla och Autentiserade användare också till alla andra användare i skogen.

Kontrollerar behörigheter från kommandoraden

Administratörer använder ofta kommandoradsverktyg som subinacl.exe, xacls.exe och cacls.exe för att kontrollera NTFS-behörigheter. Subinacl ingår i Windows Server 2003 Resource Kit Tools. Med Subinacl kan du visa och ändra NTFS-behörigheter för filer, mappar, objekt, registernycklar och tjänster. Subinacls viktigaste funktion är att kopiera behörigheterna för en användare, grupp eller objekt och tillämpa dem på en annan användare, grupp eller objekt i samma eller en annan domän. Till exempel, när en användare flyttar från en domän till en annan i Windows skapas ett nytt användarkonto; alla redan existerande SID:n eller behörigheter som är associerade med den ursprungliga användaren återkallas. Genom att kopiera behörigheter till ett nytt användarkonto med Subinacl kan du göra dem identiska. Xcacls fungerar på samma sätt som Subinacl och ingår i Windows 2000 Server Resource Kit.

Cacls-programmet beskrivs i artikeln "Odokumenterade CACLS: Group Permissions Capabilities" publicerad av Microsoft. Detta är ett äldre verktyg som har inkluderats i Windows sedan Windows NT. Cacls är inte lika användbart som Subinacl eller Xacls, men verktyget är alltid tillgängligt på Windows. Med Cacls kan du visa och ändra filer och behörigheter efter användare och grupp, men inte skapa granulära NTFS-behörigheter. För närvarande är Cacls begränsad till att arbeta med behörigheter Ingen åtkomst, Läs, Ändra och Full kontroll, vilket motsvarar NTFS-behörigheter men inte Dela-behörigheter. Dessutom motsvarar läsbehörigheten för Cacls läs- och körbehörigheten för NTFS-systemet.

Arv

Som standard ärver alla filer, mappar och registernycklar behörigheter från den överordnade behållaren. Arv kan aktiveras eller inaktiveras för enskilda filer, mappar eller registernycklar och för enskilda användare eller grupper. Som vi kan se på skärm 1 visar fältet Tillämpa på på fliken Behörigheter i dialogrutan Avancerade säkerhetsinställningar om en viss behörighet är begränsad till den aktuella behållaren eller sträcker sig till undermappar och filer. Administratören kan tilldela en behörighet (per användare) som ärvs eller inte. I det här exemplet har gruppen Alla Läs- och körbehörighet för den aktuella mappen, och denna behörighet ärvs inte.

Om en fil eller mapp ärver de flesta av sina behörigheter, men också har en uppsättning explicita behörigheter, har de senare alltid företräde framför de ärvda rättigheterna. Till exempel kan du ge en användare Full Control-Deny-behörighet på rotkatalogen för en specifik volym och låta alla filer och mappar på enheten ärva dessa behörigheter. Du kan sedan tilldela vilken fil eller mapp som helst på enheten en behörighet som åsidosätter det äldre Full Control-Deny-läget.

Effektiva behörigheter

Windows Security Monitor bestämmer användarnas effektiva behörigheter (de faktiska behörigheter de har i praktiken) baserat på flera faktorer. Som noterats ovan samlar säkerhetsmonitorn först in information om det individuella användarkontot och alla grupper som användaren tillhör, och sammanfattar alla behörigheter som tilldelats alla användar- och grupp-SID:n. Om Neka och Tillåt behörigheter finns på samma nivå, så har Neka vanligtvis företräde. Om Full Control-Deny har företräde har användaren vanligtvis inte tillgång till objektet.

Som standard, när man tar hänsyn till NTFS- och Share-behörigheter (en användare ansluter till en resurs över ett nätverk), bör säkerhetsövervakaren samla in alla Share- och NTFS-behörigheter. Som ett resultat är en användares effektiva behörigheter en uppsättning behörigheter som beviljas av både Share- och NTFS-behörigheter.

Till exempel kan användaren sluta med dela behörigheter Läs och ändra och NTFS-behörigheter Läs och ändra. Effektiva behörigheter är den mest restriktiva uppsättningen av behörigheter. I det här fallet är resolutionerna nästan identiska. Effektiva behörigheter skulle vara Läs och Ändra/Ändra. Många administratörer tror felaktigt att effektiva behörigheter är skrivskyddade på grund av dåliga, alltför förenklade exempel eller föråldrad dokumentation.

Dialogrutan Avancerade säkerhetsinställningar i Windows XP och nyare versioner har nu en flik Effektiva behörigheter (se figur 2). Tyvärr återspeglar fliken Effektiva behörigheter endast NTFS-behörigheter. Den tar inte hänsyn till inverkan av delningsbehörigheter, aktivitetsbaserade grupper där användaren inte är medlem och andra faktorer som krypteringsfilsystemet (EFS). Om EFS är aktiverat på en fil eller mapp kan en användare med lämpliga NTFS- och Share-behörigheter kanske inte komma åt objektet om de inte har EFS-åtkomsträttigheter till mappen eller filen.

• Var försiktig när du beviljar Full Control-behörigheter till vanliga användare. Det är användbart att ge dem tillståndet Ändra istället. I de flesta fall ger detta tillvägagångssätt användarna alla nödvändiga behörigheter utan att tillåta dem att ändra rättigheter eller ta äganderätt.
• Arbeta noggrant med gruppen Alla; Det är bättre att använda gruppen Autentiserade användare (eller användare), eller en speciell grupp med begränsade rättigheter. Viktiga utelämnanden av gruppen Autentiserade användare är frånvaron av gäst och oautentiserad användare.
• Det är inte ovanligt att nätverksadministratörer uppmanas att introducera gästkonton för tredjepartsanvändare (t.ex. konsulter, entreprenörer, frilansande programmerare). Men rättigheterna för en vanlig användare är ofta överflödiga för en gäst. Du bör skapa och använda en grupp vars standardbehörigheter är mycket begränsade (till exempel Full Control-Deny-behörighet för rotkataloger), och sedan uttryckligen tillåta åtkomst endast till de filer och mappar som behövs av detta gästkonto. Explicit tilldelade behörigheter är att föredra eftersom de ger gästanvändare exakt de behörigheter de behöver för att utföra sitt jobb, men inte mer.
• Du bör vara försiktig när du begränsar grupperna Alla och Användare, eftersom administratörer också är medlemmar i dessa grupper.
• När det gäller förtroenderelationer med andra domäner är det användbart att använda envägs- och selektivt förtroende för att begränsa rättigheterna för användare av den betrodda domänen.
• Du bör regelbundet granska NTFS- och Share-behörigheter för att säkerställa att de är så begränsade som möjligt.

Genom att använda dessa riktlinjer och referenstabeller med en kort beskrivning av alla behörigheter kan du säkert ge dig ut i filsystemets labyrint. Administratören kommer säkert att kunna tilldela behörigheter till filer, mappar, användare och grupper.

Tabell 1. Sammanfattning av NTFS-behörigheter

Tabell 2. Detaljerade NTFS-behörigheter

När du installerar Windows XP kommer du att bli ombedd att formatera den befintliga partitionen där operativsystemet installeras till NTFS-filsystemet. Så vad är det?

NTFS-filsystemet ger en kombination av prestanda, tillförlitlighet och effektivitet som FAT inte kan uppnå. De huvudsakliga designmålen för NTFS var att tillhandahålla höghastighetsprestanda för standardfiloperationer, såsom läsning, skrivning, sökning och att tillhandahålla ytterligare funktioner, inklusive att reparera ett skadat filsystem på extremt stora diskar.

NTFS-filsystemet är "sitt eget" filsystem för Windows NT, och som WinXP är känt är det en slags fortsättning på denna linje av OS. Men om du ska använda flera operativsystem som Windows 9x och Windows XP på en dator, kan startvolymen inte formateras i NTFS, eftersom Windows 95 (98) raderna "förstår" bara FAT och diskar formaterade i NTFS för dessa OS existerar helt enkelt inte. Filer som finns på NTFS-enheter kan endast ses med program från tredje part. Om du inte formaterade partitionen i NTFS under installationen, kan detta göras efter det. I WindowsXP-kommandoraden måste du skriva "Konvertera (enhetsnamn)/FS:NTFS" utan citattecken.

Nedan finns en jämförelsetabell mellan FAT- och NTFS-filsystem

NTFS har säkerhetsfunktioner som stöder dataåtkomstkontroll och ägarbehörigheter, vilket spelar en avgörande roll för att säkerställa integriteten hos viktig data. NTFS-mappar och -filer kan ha åtkomsträttigheter tilldelade oavsett om de delas eller inte.
NTFS är det enda filsystemet i Windows som låter dig tilldela behörigheter till olika filer. Genom att ställa in användarspecifika behörigheter för filer och kataloger kan användaren skydda känslig information från obehörig åtkomst. Användarbehörigheter att komma åt filsystemobjekt fungerar på principen om tillägg. Detta innebär att effektiva behörigheter, det vill säga de behörigheter som en användare faktiskt har för en viss katalog eller fil, härleds från alla direkta eller indirekta behörigheter som tilldelats användaren för det objektet med hjälp av den booleska "Eller"-funktionen. Till exempel, om en användare har rätt att tilldela läsbehörighet till en katalog, och indirekt ges skrivbehörighet genom gruppmedlemskap, blir resultatet att användaren kommer att kunna läsa information i katalogfilerna och skriva data till dem.
För att tilldela en användare eller grupp behörighet att komma åt en specifik fil måste du: 1. Markera filen med musen och klicka på höger knapp. Välj objektet Egenskaper från snabbmenyn. I fönstret med filegenskaper som visas, gå till fliken Säkerhet. Som standard är den här fliken inte där för att den ska visas måste du avmarkera kryssrutan Enkel fildelning i mappegenskaperna (använd enkel fildelning).
2. Namngruppen visar en lista över användare och grupper som redan har beviljats ​​behörigheter för denna fil. För att lägga till eller ta bort användare eller nya grupper, klicka på knappen Lägg till/ta bort. Dialogrutan Välj användare, grupper visas. Skriv användarnamnet i fältet Kontrollera namn. stavning av namnet.
3. I gruppen Behörigheter ställs behörigheter in. Det finns Neka och Tillåt indikatorer. Följande alternativ är markerade: Full kontroll - användaren har obegränsad tillgång till filen, Ändra - användaren kan ändra filen, Läs & kör, Läs - användaren kan bara läsa filen, Skriv - Användaren kan skriva till filen .

För att finjustera behörigheter, klicka på knappen Avancerat. Dialogrutan Avancerade säkerhetsinställningar för visas. Här kan du valfritt ange ytterligare behörigheter, konfigurera granskningspolicyer, ändra (visa) information om filägare och lägga till/ta bort användare som kan komma åt filen.
Nästa mycket användbara egenskap hos NTFS-filsystemet är förmågan att införa kvoter. Den här egenskapen är vanligtvis nödvändig för systemadministratörer för stora företag där ett stort antal användare arbetar, som inte har för vana att hålla informationen uppdaterad och som lagrar onödiga filer och tar därmed upp diskutrymme. Eftersom administratören inte kan övervaka allt detta kan han införa en diskanvändningskvot för en specifik användare. När kvoterna väl är inställda kan en användare lagra en begränsad mängd data på en volym, medan ledigt utrymme kan finnas kvar på den disken. Om användaren överskrider den tilldelade kvoten kommer en motsvarande post att göras i händelseloggen. För att aktivera kvoter på en disk måste du först och främst vara i NTFS-format, sedan i egenskaperna för mappen Verktyg-Mappalternativ-Visa, avmarkera kryssrutan Enkel fildelning. Detta är nödvändigt för att fliken Quota ska visas i diskegenskaperna. I den måste du markera kryssrutan Aktivera kvothantering. Detta kommer att fastställa en mjuk kvot, som kommer att utfärda en varning om att användaren, om detta händer, har överskridit kvoten, men han kommer att ha rätt att skriva. För att neka åtkomst till denna volym för en användare om kvoten överskrids, måste du markera kryssrutan Neka diskutrymme för användare som överskrider kvotgränsen. På samma flik kan du ställa in storleken på den tilldelade kvoten (Begränsa diskutrymmet till) och tröskeln, som överskrider vilket gör att en varning skrivs i händelseloggen (Ange varningsnivå till) - Ställ in tröskeln för att skicka ett meddelande . Dessa inställningar är inställda som standard för alla användare. I fönstret Kvotposter kan du ändra parametrarna för kvotuppsättningen för en specifik användare. För att göra detta, välj det konto som ska konfigureras, använd snabbmenyn för att välja egenskaper och konfigurera kvoten.
Och ytterligare en innovation i NTFS 5 - monteringspunkter. Användaren kan definiera olika, orelaterade mappar och till och med enheter i systemet som en enhet eller mapp. Detta är av stor betydelse för att på ett ställe identifiera den heterogena information som finns i systemet. Filer och mappar som skapats på detta sätt har ett unikt identifikationsnummer, vilket garanterar korrekt plats i systemet, även om mappen eller filen har överförts.

I alla system som är baserade på Windows NT-teknik finns det speciella nätverksresurser. Namnen på vissa resurser slutar med symbolen $ sådana nätverksresurser använder "; nätverk" eller när du öppnar serverresurser med kommandot " \\<имя сервера>" kommer inte att synas. Men om du anger det fullständiga UNC-namnet för nätverksresursen kan du se data som finns i den.

Låt oss lista dessa resurser:

• formulärets resurs " \\<имя сервера>\admin$" (till exempel \\DC1\admin$ ) - avsedd för fjärrdatoradministration; sökvägen motsvarar alltid platsen för mappen där Windows-systemet är installerat; endast gruppmedlemmar kan ansluta till denna resurs Administratörer, Arkivoperatörer Och Serveroperatörer ;
• formulärets resurs " \\<имя сервера>\< буква диска>$ " (till exempel \\DC1\C$ ) - rotmappen för den angivna enheten; endast gruppmedlemmar kan ansluta till nätverksresurser av denna typ på en Windows-server Administratörer, Arkivoperatörer Och Serveroperatörer; på datorer som kör Windows XP Professional och Windows 2000 Professional kan gruppmedlemmar ansluta till sådana resurser Administratörer Och Arkivoperatörer ;
• resurs" \\<имя сервера>\IPC$" (till exempel \\DC1\IP$ ) - används för fjärradministration;
• resurs" \\<имя сервера>\NETLOGON" (till exempel \\DC1\NETLOGON) - används endast på domänkontrollanter; skript (skript) för användarinloggning, kompatibla med tidigare versioner av Microsofts operativsystem, lagras i denna nätverksmapp;
• resurs" \\<имя сервера>\SYSVOL" - används endast på domänkontrollanter; fildelen av grupppolicyer lagras i denna nätverksmapp;
• resurs" \\<имя сервера>\PRINT$" - en resurs som stöder delade skrivare; speciellt drivrutiner för delade skrivare lagras i den här mappen.

Du kan se en komplett lista över resurser som tillhandahålls av denna server för delning i " Delade mappar", I kapitel" Delade resurser" (Fig. 8.35):

Ris. 8.35.

I samma avsnitt av denna snap-in kan du inaktivera resurser från att dela på nätverket, ändra nätverksbehörigheter och skapa nya nätverksresurser.

Förutom speciella nätverksresurser med symbolen $ i slutet av resursnamnet, tilldelade grupper med hög auktoritet, kan denna symbol användas för att ge åtkomst till vilken annan resurs som helst som beviljas nätverksåtkomst av administratören själv. I det här fallet kommer nätverksresursen också att döljas under normal nätverkssurfning, men kommer att vara tillgänglig genom att ange det fullständiga UNC-namnet, och åtkomst kan tillåtas för de användargrupper som behöver denna resurs.

NTFS-behörigheter

Vi betonar än en gång att nätverksbehörigheter endast gäller vid åtkomst till resurser över nätverket. Om användaren är inloggad lokalt kan åtkomst nu endast kontrolleras med NTFS-behörigheter. På en volym (partition) med FAT-systemet kommer användaren att ha full tillgång till informationen om denna volym.

NTFS-behörigheter kan ställas in genom att öppna Egenskaper mapp eller fil och gå till " Säkerhet " (säkerhet). Som kan ses i fig. 8.36, uppsättningen av NTFS-behörighetstyper är mycket rikare än uppsättningen nätverksbehörigheter.

På en NTFS-volym kan du tilldela följande typer av behörigheter till mappar:

• Full tillgång ;
• Förändra ;
• Läs och kör ;
• Lista över mappinnehåll ;
• Läsning ;
• Spela in ;
• Särskilda behörigheter.

Det finns ingen vy för filer " Läser innehållet i en mapp ".

Om du klickar på knappen "Behörigheter". Dessutom", då kan du finjustera behörigheter.

NTFS-behörigheter kan vara uppenbar eller ärvt. Som standard ärver alla mappar eller filer behörigheterna för det containerobjektet ( föräldraobjekt) där de skapas. Att använda äldre behörigheter gör åtkomstkontrollarbetet enklare. Om en administratör behöver ändra åtkomsträttigheter för en mapp och allt dess innehåll räcker det att göra detta för själva mappen och ändringarna kommer automatiskt att påverka hela hierarkin av undermappar och dokument. I fig. 8,36. det är tydligt att gruppen " Administratörer"har ärvt typbehörighet" Full tillgång" för mapp Mapp 1. Och i fig. 8,37. det visas att gruppen " Användare" har en uppsättning uttryckligen tilldelade behörigheter:

Du kan inte ändra ärvda behörigheter. Om du klickar på " Dessutom", då kan du avbryta arv av behörigheter från det överordnade objektet. I det här fallet kommer systemet att erbjuda två alternativ för att avbryta arv: antingen kopiera de tidigare ärvda behörigheterna i form av explicita behörigheter, eller ta bort dem helt.

Mekanism för att ansöka om behörigheter

I avsnitt 8.1 sades det att varje fil är en uppsättning attribut. Attributet som innehåller information om NTFS-behörigheter anropas åtkomstkontrolllista (ACL, Access Control List). ACL-strukturen visas i tabellen. 8.4. Varje post i ACL anropas åtkomstkontrollelement (ACE, Access Control Entry).

Tabellen listar användar-, grupp- eller datorkontosäkerhetsidentifierare (SID) och deras associerade behörigheter. I figurerna 8.36 eller 8.37, istället för SID:n, visas namnen på användare och grupper som ingår i ACL. Avsnitt 4 angav att när en användare loggar in på nätverket (när han registrerar sig i en domän), skickar domänkontrollanten en åtkomsttoken innehållande SID:n för användaren själv och de grupper som han är medlem i till den aktuella användarsessionen på dator. När en användare försöker utföra en åtgärd på en mapp eller fil (och begär någon typ av åtkomst till ett objekt), matchar systemet säkerhetsidentifierarna i användarens åtkomsttoken med säkerhetsidentifierarna som finns i objektets ACL. Om vissa SID:n matchar, ges användaren lämpliga behörigheter att komma åt mappen eller filen.

Observera att när en administratör ändrar en användares gruppmedlemskap (inkluderar en användare i en ny grupp eller tar bort en användare från en grupp), ändras inte användarens åtkomsttoken automatiskt. För att få en ny åtkomsttoken måste användaren logga ut och logga in igen. Sedan kommer han att få en ny åtkomsttoken från domänkontrollanten, vilket återspeglar förändringen i användargruppsmedlemskap

Procedur för att ansöka om behörigheter

Principen för att tillämpa NTFS-behörigheter för att komma åt en fil eller mapp är densamma som för nätverksbehörigheter:

• först kontrolleras förbud mot alla typer av åtkomst (om det finns förbud är denna typ av åtkomst inte tillåten);
• sedan kontrolleras uppsättningen av behörigheter (om det finns olika typer av behörigheter för en användare och de grupper som denna användare tillhör, tillämpas den totala uppsättningen av behörigheter).

Men för NTFS-behörigheter blir schemat lite mer komplicerat. Behörigheter tillämpas i följande ordning:

• uttryckliga förbud;
• uttryckliga tillstånd;
• ärftliga hämningar;
• ärvda behörigheter.

Om användar-SID eller grupp-SID som användaren är medlem i inte anges i vare sig explicita eller ärvda behörigheter, kommer åtkomst till användaren att nekas.

Äganderätt till en mapp eller fil

Användaren som skapade mappen eller filen är Ägare av detta föremål. Objektägare har rätt att ändra NTFS-behörigheter för detta objekt, även om det nekas andra typer av åtkomst. Den nuvarande ägaren av ett objekt kan ses genom att öppna Egenskaper objekt, sedan bokmärket " Säkerhet" och klicka sedan på knappen " Dessutom"och gå till bokmärket" Ägare" (Fig. 8.38):

Uppmärksamhet! Systemadministratör kan byta ägare objekt genom att välja en ny ägare från listan som erbjuds i det här fönstret eller från hela listan över användare (genom att klicka på " Andra användare eller grupper"). Den här funktionen tillhandahålls administratörer för att återställa åtkomst till ett objekt i händelse av förlust av åtkomst på grund av felaktigt tilldelade behörigheter eller radering av ett konto som hade exklusiv åtkomst till detta objekt (till exempel den enda anställde som hade åtkomst till filen kvar, administratören tog bort kontot, vilket ledde till att åtkomsten till filen förlorades helt, det enda sättet att återställa åtkomsten är att överföra äganderätten till filen till administratören eller en ny anställd som agerar som uppsagd anställd ).

Dela nätverks- och NTFS-behörigheter

När du får åtkomst till filresurser på en NTFS-volym över nätverket, tillämpas en kombination av nätverks- och NTFS-behörigheter för användaren.

Vid åtkomst över ett nätverk beräknas först nätverksbehörigheterna (genom att summera behörigheterna för användaren och de grupper som användaren tillhör). NTFS-behörigheter beräknas då också genom summering. De resulterande effektiva tillstånden som beviljas för den specifika fastigheten blir minimum från beräknade nätverks- och NTFS-behörigheter.

Styr åtkomst med hjälp av grupper

Användargrupper skapas specifikt för att mer effektivt hantera åtkomst till resurser. Om man tilldelar åtkomsträttigheter till varje resurs för varje enskild användare så är detta för det första mycket arbetskrävande arbete, och för det andra blir det svårt att spåra ändringar i åtkomsträttigheter när en användare byter position på en avdelning eller flyttar till en annan avdelning.

Låt oss upprepa materialet från avsnitt 4. För mer effektiv åtkomstkontroll rekommenderas följande schema för att organisera åtkomst:

1. användarkonton ( konton) ingår i globala domängrupper ( globala grupper) i enlighet med företagets/organisationens personalstruktur och det ansvar som utförs;
2. globala grupper ingår i lokala domängrupper eller lokala grupper på någon server ( lokala domängrupper, lokala grupper) i enlighet med de nödvändiga åtkomsträttigheterna för en viss resurs;
3. lämpliga lokala grupper tilldelas nödvändiga behörigheter ( behörigheter) till specifika resurser.

Detta schema, baserat på de första bokstäverna i de använda objekten, fick ett förkortat namn AGLP (A räknas G lokala grupper L lokala grupper P behörigheter). Med detta arrangemang, om en användare befordras eller degraderas eller flyttar till en annan avdelning, finns det inget behov visa alla nätverksresurser, till vilken åtkomst måste ändras för denna användare. Det räcker med att ändra därefter användarmedlemskap i globala grupper, och åtkomsträttigheter till nätverksresurser för denna användare kommer att ändras automatiskt.

Låt oss lägga till att i huvuddriftsläget för Active Directory-domänen (lägen " Windows 2000 grundläggande" eller " Windows 2003") med tillkomsten av häckning av grupper och universella grupper, systemet AGLP modifierad i kretsen AGG...GULL...LP.