NTFS и клопки, За системния администратор

NTFS и клопки

Напоследък забелязах такава тенденция, че потребителите и системните администратори не разбират напълно механизма на работа на NTFS и концепцията за „Валидни разрешения“. Неразбирането на този проблем води до факта, че при предоставяне на права върху определен ресурс на потребител, реалните права на самия потребител се оказват не съвсем същите, както е очаквал администраторът.

Така че ще се опитам да изясня някои от клопките при присвояването на права за пълен контрол на потребителите и при присвояването на права на ниво файл.

Със сигурност се знае, че правото на достъп до даден ресурс (файл/папка) се определя от ACL на самия ресурс. Това обаче не е вярно. Нека да разгледаме типичен случай:

Проблем:

Има папка, да речем,Folder1 и на потребителяJohnSmith е присвоеноправо на пълен контрол върху нея. В този случай потребителятJohnSmith ще има права напълен контрол както върху тази папка, така и върху всички вложени подпапки и файлове. Но ако администраторът иска да даде разрешениеЧетене/Изпълнение на прикачения файлФайл. защото правата за достъп до ресурса се определят от самия ресурс, може да се предположи, че потребителятJohnSmith ще има право на пълен контрол върху цялата папкаFolder1 и всички нейни подпапки, с изключение на файлаFile1. Можете безопасно да проверите това, ако погледнете раздела Ефективни разрешения в допълнителните свойства за сигурност на файла. Въпреки това,JohnSmith идва и тихо изтрива файла. Резонен въпрос „защо така? В края на краищата Ефективните разрешения показват, че потребителят има разрешения само за четене!”. Тук е необходимо да хванете една тънкост:

  • правото за изтриване на файл не идва от разрешенията на самия файл, а на родителската папка.

Въпросът е, че когато премахнетефайл NTFS не взема под внимание разрешенията на самия файл, но гледа вдясно на родителската папка за този файл. И ако погледнете свойствата на родителската папка, там ще бъде отбелязано разрешениетоИзтриване на подпапки и файлове. Няма значение дали файлът наследява разрешения от родителската папка или не. Това е дяснотоИзтриване на подпапки и файлове, което замества правото на самия файл (Четене ) и ви позволява да изтриете този файл.

Решение на проблема:

Много хора се натъкват на този рейк, така че за ефективно и най-важното гарантирано прехвърляне на права потребителят трябва да се ръководи от следните правила:

  • не задавайте разрешения за ресурси на ниво файл, а само на ниво папка;
  • не давайте на потребителитеПълен контрол права върху папката, а самоПромяна ;
  • Създайте йерархия на разрешения под формата на коледно дърво. Тези. увеличаване на правата на потребителя върху ресурса надолу по дървото. С други думи, „най-малко права върху корена на ресурса и разширяване на правата вече върху дъщерните ресурси.

Вторият параграф, означен сПромяна. ЗащоМодифициране, когато по същество еПълен контрол ? Факт е, че правотоПромяна не съдържа правотоИзтриване на подпапки и файлове, което означава, че с права за четене на файла потребителят вече няма да може да го изтрие.

Проблем:

Решение:

решението на тази ситуация (по-точно нейното избягване) ще се основава на следните правила:

  • не задавайте разрешения за ресурси на ниво файл, а само на ниво папка;
  • не давайте на потребителитеПълен контрол права върху папката, а самоПромяна ;
  • не използвайте изричноDeny за ресурси без ясно разбиране как работят NTFS разрешенията;
  • отменете всякакъв вид достъп само ототнемане на изрично/наследено разрешение за действие. И двете ситуации могат да бъдат симулирани и ще получите резултата, който описах. Едно е да се моделира в тестова среда, а друго е, когато администраторите _съзнателно_ правят това в продукцията, а след това във форумите обвиняват Microsoft в крив NTFS, без да разбират как работи. Всъщност разрешенията за NTFS са много сериозна и обширна тема, на която, уви, системните администратори не винаги обръщат нужното внимание. За тези, които се интересуват, мога да подредя два пъзела по втория проблем, както и просто да си помислят на свободното време, че не всичко е толкова просто, колкото изглежда. А именно:
  • и сега намерете някъде файла, изтрит от потребителя.
  • Представете си, че самиятMikeJohnson създаде файл в папка и администраторът даде файлаDeny Full Control на потребителяMikeJohnson. Тези. подобна ситуация, с изключение на факта, че на потребителя е отказан достъп до файл, който той сам е създал. Когато се опитвате да изтриете файл, правотоИзтриване на подпапки и файлове вече не работи, въпреки че съществува. Но докато потребителят не премахне забраната от файла, той няма да може да го изтрие.