Малко за споделяне и NTFS разрешения - Technoblog IT - сайт за компютри и технологии

Искам да ви разкажа малко за това как правилно да конфигурирате разрешенията на файлов сървър.

Има два вида права върху мрежовите ресурси, това са разрешения за споделяне - тоест разрешение за достъп точно през мрежата и NTFS разрешения - разрешения за достъп до файл или папка.

Малко теория за правата на NTFS. Всеки обект в системата съдържа два ACL (списък за контрол на достъпа), които се наричат ​​DACL и SACL. Списък за дискреционен контрол на достъпа и списък за контрол на системния достъп. Първият ACL контролира достъпа до файлове, а вторият - настройките за проверка на файлове. И двата списъка за достъп съдържат ACE - записи за контрол на достъпа. DACL съдържа SID (идентификатор за сигурност) ​​на потребители и групи и права за достъп, докато SACL съдържа обекта за одит на системата и действията, които трябва да бъдат записани. Одитът е деактивиран по подразбиране.

Когато задаваме достъп до мрежова папка, обикновено присвояваме разрешения за споделяне и ntfs. Правата, които предоставяме, се основават на минималните предоставени права. Например, ако имаме разрешения за споделяне само „четене“ за всички, тогава въпреки факта, че правата за „пълен достъп“ са присвоени на папката, всеки ще има права само за четене. И съответно обратното.

Следователно, в примера по-долу, правилният начин за присвояване на разрешения за споделяне.

малко

По подразбиране даваме на всички пълен достъп до мрежата.

Следващата стъпка е да създадем групи, към които по-късно ще добавим потребители. Например test_folder_read и test_folder_write. Добавяме тези групи за достъп до папката и задаваме правата. Когато задавате права за пълен достъп до папка, никога не поставяйте отметка в квадратчето „пълни права“, четенето и редактирането винаги са достатъчни. Това се дължи на факта, че квадратчето за отметка „пълни права“ дава възможност да промените атрибутите на папката и правата върху нея, с които се съгласяватепотребителите са излишни.

technoblog

Сега имаме следната комбинация от права: въпреки че сме предоставили мрежов достъп на всички, правата за достъп до папката са ограничени до групите за четене и запис и тези, които не са добавени към тях, няма да имат достъп до папката.

Windows сървърът има много интересна функция, наречена ABE - access base enumerate или базирано на достъпа изброяване. Можете да го активирате, като инсталирате ролята „файлови услуги“ и като отидете на модула „управление на споделяне и съхранение“

разрешения

Често има нужда да се даде достъп до подпапка, така че файловете в папките от по-горно ниво да не се виждат. Да приемем, че имаме вложени папки folder1, folder2 и folder3 и трябва да дадем пълен достъп до folder3, но не и достъп за четене до folder1 и folder2. Това става по следния начин. Отиваме в раздела за защита, допълнително папката folder1. Избираме потребителя, който трябва да отиде в тази папка, но не трябва да вижда нейното съдържание. (ако приемем, че ABE е активиран), в противен случай файловете ще бъдат видими, но няма да бъдат достъпни. Задаваме правата на „четене“ и ги прилагаме само към тази папка.

ntfs

Правим същото за folder2. И в folder3 задаваме разрешения за желаната група или потребител. В крайна сметка потребителят ще отиде в папките folder1 и folder2 и ще види само една папка в тях - folder3.

Друг често срещан въпрос е - в folder1 имаме права за групи, които са наследени. Как може потребителят да остави достъп до папките folder1 и folder2, но да откаже достъп до папката folder3, без да засяга други потребители? За да направим това, ще направим следното. Отиваме в настройките за сигурност, раздела допълнителни папки folder3. Щракнете върху бутона „Деактивиране на наследяването“.и сме изправени пред избор - да изчистим всички права за достъп или да преобразуваме наследените права за достъп в изрични. Във втория случай това означава, че всички права ще останат същите, както са били, но вече няма да се наследяват и лесно можем да ги променим.

споделяне

Например, можем изрично да откажем достъп на потребителя до тази папка. И тъй като правилата за отказ имат по-висок приоритет - въпреки че потребителят е в група, която има пълни права - забраната ще прекъсне тези права.