Использование прав доступа NTFS
Позвольте для начала немного повториться. Для каждого объекта, который хранится в томе NTFS, поддерживается контрольный список доступа (ACL). Этот список определяет перечень пользователей, которым разрешен доступ к данному объекту. Каждая запись в таком списке именуется ACE (access control entry). Для того, чтобы разрешить или отказать в доступе к объекту (файлу или папке), необходимо модифицировать ACE. Делать это могут владельцы объекта, члены группы "Администраторы" и обычные пользователи, которым разрешили это сделать либо первые, либо вторые.
В Windows XP при включенной опции "Использовать простой общий доступ ко всем файлам" возможности по изменению прав доступа весьма ограничены. Заблокировав эту опцию (в меню "Проводника": "Сервис" > "Свойства папки" > "Вид"), получите доступ к набору прав NTFS, а это уже, как говорится, совсем другое дело. Кстати, пользователям XP Home Edition, чтобы блокировать "простой общий доступ", придется переводить компьютер в безопасный режим. Управление правами производится на закладке "Безопасность" в свойствах объекта.
В Windows ХР управление доступом к ресурсам реализовано с помощью набора предопределенных базовых прав доступа (их шесть): полный доступ, чтение, запись и так далее. Но есть еще и одиннадцать специальных прав доступа, с помощью которых разрешения настраиваются более тонко. Добраться к ним можно, нажав "Дополнительно" на вкладке "Безопасность", после чего нужно два раза щелкнуть на имени пользователя. Использование предопределенных прав упрощает процесс администрирования. Фактически, если вы устанавливаете флаг "Чтение и выполнение", операционная система (ОС) сама устанавливает пять отдельных прав доступа: выполнение файлов; чтение данных, атрибутов, дополнительных атрибутов, разрешений. Считается, что шести предопределенных прав в обычных случаях вполне достаточно.
Права доступа предоставляются установкой флажка в столбце "Разрешить". Флажки "Запретить" устанавливаются, когда требуется явно запретить применение указанного права доступа пользователю. Они имеют высший приоритет, по сравнению с разрешениями, и применяются, в основном, для внесения ясности при наложении прав нескольких пользователей. Если требуется полностью блокировать доступ к объекту, выберите для ненавистного пользователя "Запретить" в строке "Полный доступ".
Наследование прав - яблоко от
яблони...
Кроме прав доступа, устанавливаемых индивидуально, объекты могут наследовать их от родительских папок. По умолчанию, разрешения передаются от папки всем подпапкам. Для просмотра опций наследования следует на вкладке "Безопасность" выбрать "Дополнительно". Если в Windows 2000 единственным признаком наследования являлось затемнение пиктограммы ключей, то в ХР появился даже специальный столбец "Унаследовано от". Дважды щелкнув по соответствующей записи пользователя, можно будет указать метод наследования разрешений: для этой папки ее подпапок и файлов, только для этой папки и так далее.
Для отмены наследования в дополнительных параметрах безопасности следует убрать флажок "Наследовать от родительского объекта..." Имейте в виду, что при удалении наследуемых папкой прав она сама становится новым родительским объектом. По умолчанию, любые права доступа, присваиваемые этой папке, будут передаваться вниз по иерархии к вложенным подпапкам.
Изменение прав при копировании или
перемещении
Нередко случается, что перемещенные или скопированные объекты получают совершенно новые права доступа. Может быть даже такое, что двойной щелчок по файлу может привести к сообщению "Доступ запрещен", даже если пользователю предоставлены все возможные права к текущей папке. Чтобы понять причины возникновения подобных проблем, необходимо разобраться с тем, что происходит, когда мы перемещаем или копируем объекты с одного места на другое. Естественно, в нашем случае речь идет только о дисках с файловой системой NTFS.
При включенной опции "Простой общий доступ" (см. выше) перемещаемые или копируемые объекты получают атрибуты безопасности папки-получателя.
При выключенной опции применяется более сложный набор правил (аналогично и в 2000-й):
- когда копируются файлы или папки на любой раздел NTFS-диска, вновь созданный объект получает права доступа папки-получателя, словно он создавался в ней с самого начала. Исходный объект сохраняет свои права доступа;
- при перемещении объекта в пределах дискового раздела у него сохраняются исходные права доступа;
- перемещение из одного раздела в другой приводит к тому, что объект приобретает права папки-получателя;
- при копировании или перемещении объекта из раздела FAT32 на NTFS вновь созданный объект получает права папки-получателя;
- когда объект копируется или перемещается с NTFS на FAT32, на новом месте он теряет все настройки прав доступа, поскольку FAT32 не может организовывать хранение подобной информации.
Во всех перечисленных случаях вы становитесь создателем и владельцем вновь созданного объекта.
Владельцы объектов
Каждый файл или папка в разделе NTFS имеют владельца, который может предоставлять или отказывать в правах доступа другим пользователям или группам. Владельцы могут заблокировать любого пользователя, включая членов группы "Администраторы". Владелец может предоставлять свои права другому пользователю, если тот является членом группы "Администраторы". Если же другой пользователь имеет ограниченную учетную запись, то вначале нужно изменить ACE объекта и разрешить пользователю полный доступ к файлу или папке, чтобы затем передать ему право владения. Кроме того, любой администратор может получить право собственности на любой объект, хотя и не может передать это право другим пользователям. Меняется владелец здесь: закладка "Безопасность" > "Дополнительно" > "Владелец". Администратору остается только выбрать из списка нужного пользователя и нажать "Применить". Таким образом, возможность ХР иметь личные файлы, к которым якобы не могут получить доступ даже администраторы, не более чем бутафория.
Дмитрий БАРДИЯН
Ограничение доступа к реестру
Как правило, пользователи с ограниченным доступом имеют полный контроль лишь над компонентами реестра, которые распространяются на их учетные записи (ветвь HKCU).
Иногда в целях безопасности имеет смысл блокировать доступ пользователей к средствам редактирования реестра. Чтобы сделать это для конкретного пользователя, сначала дайте права администратора его учетной записи, зайдите под ней и запустите regedit. В ветви HKCU\Software\Microsoft\Windows\CurrentVersion\Policies создайте подкаталог System и в нем - новое значение DisableRegistryTools, равное 1 (тип dword). Не забудьте "забрать" у пользователя права администратора. Теперь при попытке запуска regedit или выполнения файлов с расширением reg будет выводиться сообщение об ошибке.
Для разблокировки снова зайдите под пользователем. Запустите regedit.exe от имени администратора ("Свойства" > "Запустить от имени"). Затем направляйтесь в HKLM\Software\Microsoft\Windows NT\CurrentVersion\ProfileList. Для каждого SID в переменной ProfileImagePath находится имя пользователя. Найдите нужное имя и запомните соответствующий SID. Далее выберите ключ HKU\[SID]\Software\Microsoft\Windows\ CurrentVersion\Policies\System, где измените значение DisableRegistryTools на 0.
Горячие темы