Лекция № 4. Файлы и папки. Управление данными

Традиционно создать общую папку на локальном компьютере можно, используя Проводник. Для создания общей папки на удаленном компьютере необходимо использовать оснастку Общие папки. В Windows Server 2003 существуют стандартные общие папки: корень каждого жесткого диска и системный каталог. Они не отображаются в обозревателе, но к ним всегда можно обратиться по UNC-пути, дополнив его значком $. Подключаться к таким папкам могут только администраторы.

К общим папкам, созданным с помощью консоли Общие папки, может подключаться любой пользователь в зависимости от настроенных разрешений. С помощью указанной консоли также можно управлять свойствами общих папок: количеством одновременных подключений, сетевым именем, доступностью файлов в автономном режиме, разрешением для общего ресурса, разрешениями NTFS и пр. Также можно опубликовать общий ресурс в AD (после этого папку можно будет искать в AD, как и любой объект).

Разрешений доступа к общим ресурсам три:

1. Чтение (пользователь может просматривать список папок, содержимое и атрибуты файлов, просматривать подпапки внутри родительской папки и запускать программы внутри папки);

2. Изменение (пользователь может создавать файлы, папки, редактировать их, изменять атрибуты файлов, удалять файлы и папки внутри родительской папки и выполнять все действия, установленные разрешением Чтение);

3. Полный доступ (в дополнение к правам разрешения Изменение пользователи могут изменять разрешение файлов и становиться их владельцами).

Для конкретного пользователя разрешения доступа к общему ресурсу определяются прямой суммой разрешений, назначенных его учетных записей, и всем группам, членом которых он является. Причем, явный запрет приоритетнее явного разрешения.

Система разрешений доступа к общему ресурсу недостаточно гибкая и надежная. Поэтому данные, к которым необходимо предоставить общий доступ, рекомендуется размещать на томах NTFS, т.к. эта файловая система предоставляет собственные инструменты для защиты файлов и папок. С помощью разрешений NTFS можно ужесточить доступ к общему ресурсу.

С помощью оснастки Общая папка можно управлять сеансами сетевых пользователей, подключившихся к общим ресурсам, и открытыми файлами.

Удаленных пользователей можно известить об отключении от общего ресурса, а потом отключить их. При этом нужно помнить, что если удаленные пользователи были подключены к общему ресурсу с использованием сервера терминалов, подключение будет тут же восстановлено. Поэтому для действительного отключения пользователя необходимо сначала изменить разрешения на данный общий ресурс (и разрешения общего доступа и NTFS-разрешений) и только потом разорвать сеанс пользователя.

Разрешения NTFS настраиваются на вкладке Безопасность свойств общего ресурса. Если общий ресурс расположен на томе NTFS, а вкладка Безопасность не отображается, то необходимо снять флажок напротив параметра Использовать простой общий доступ в консоли Свойства папки в Панели управления. На вкладке Безопасность формируется ACL для общего ресурса. После авторизации пользователя в системе для учетной записи последнего создается Маркер доступа. В дальнейшем Маркеры доступа сравниваются с ACL-объектов и пользователь получает те или иные права на доступ. Добавлять, удалять и изменять разрешения можно для любых участников безопасности (в т.ч. для компьютеров независимо от пользователей и в зависимости от входа пользователя в сеть). Для этого достаточно проставить галочки разрешения или запрета того или иного права на вкладке Безопасность.

Разрешения на вкладке Безопасность в первом окне упорядочены по шаблону, а во втором перечислены в списке. Шаблоны – это совокупность разрешений из списка.

В Windows Server 2003 поддерживается система наследования разрешений, которые означают, что разрешения, назначенные родительской папке, наследуются всеми ее дочерними объектами. Унаследованные разрешения отображаются в виде серых флажков. Разрешения, назначенные явно, помечаются черными флажками. При желании этот порядок можно изменить: унаследованные разрешения можно прямо заменить явными или полностью отменить наследование для папки, сняв соответствующий флажок. При этом унаследованные разрешения можно скопировать (они просто станут явными) или удалить (ACL дочерних объектов не будет содержать разрешений, назначенных родительской папке).

Восстановить наследование можно либо со стороны дочернего ресурса (сохранятся явно назначенные разрешения для дочернего ресурса и скопируются разрешения родительской папки), либо со стороны родительской папки (явные разрешения, назначенные дочерним ресурсом, будут удалены и скопируются разрешения родительской папки).

Для того, чтобы определить список разрешений для каждого конкретного участника безопасности можно воспользоваться вкладкой Действующие разрешения. Действующие разрешения определяются по следующим правилам: разрешения файлов приоритетнее разрешений папок; разрешения, позволяющие доступ, суммируются; разрешения, запрещающие доступ, приоритетнее позволяющих; явные разрешения приоритетнее унаследованных.

По умолчанию разрешения для файлов и папок могут изменять Администраторы и создатели объектов (члены группы Создатель-Владелец). Создатели объектов всегда получают доступа к ACL-объекта, поэтому если необходимо запретить создателю доступ к объекту, администратору необходимо перехватить владение и только потом ограничить доступ пользователя, создавшего объект. Также становиться владельцами объектов могут пользователи или группы, если им предоставлено разрешение NTFS Смена владельца (администраторы могут передавать право владения, привилегия Восстановление файлов и каталогов включает возможность перехвата владения объектом).

Общие ресурсы можно организовать не только в виде общих папок, но и с помощью технологий FTP и Web. Для управления этими объектами в Windows Server 2003 предусмотрена служба IIS 6.0. Эта служба не устанавливается по умолчанию. При установке IIS создается стандартный Web-узел и становится доступной консоль Диспетчер служб IIS. Данная служба представляет собой все необходимое для организации собственного Web или FTP-сервера. Для создания собственных Web и FTP-узлов необходимо использовать специальные мастера, доступные в консоли Диспетчер служб IIS, позволяющие настроить имена узлов, их размещение, порты, страницы по умолчанию и пр. также с помощью Диспетчера службы IIS можно создавать виртуальные каталоги. Также IIS 6.0 имеет систему защиты файлов, состоящую из проверки подлинности, использования NTFS-разрешений и использования IIS-разрешения. Средствами Web подлинность проверяется в следующих вариантах: анонимная проверка (пользователи не вводят реквизитов), обычная проверка (используются реквизиты учетной записи пользователя, передаваемые открытым текстом), краткая проверка (данные пользователя шифруются), расширенная краткая проверка (взаимодействует с AD, а в остальном – то, что краткая), встроенная проверка Windows (имя пользователя и пароль хэшируются перед передачей по сети), проверка по сертификату (использует SSL, возможна если на компьютере установлены и настроены Службы сертификации), проверка в системе.NET Passport (использует SSL на основе учетных записей.NET Passport и предоставляет множество средств защиты). При использовании FTP доступны анонимная и обычная проверки подлинности.

На ресурсы IIS можно назначать собственные разрешения, распространяющиеся на все пользователи и группы: Чтение, Запись, Доступ к тексту сценария, Обзор каталогов. Также можно настраивать разрешения на выполнение сценариев и приложений: Нет, Только сценарии, Сценарии и исполняемые файлы.

На вкладке Дополнительные параметры безопасности свойств общего ресурса можно настроить параметры аудита ресурса. Параметры аудита также наследуются. Аудиту подлежат успешные и неудачные попытки доступа учетной записи пользователя или компьютера к ресурсу с использованием каждого из назначенных разрешений. Аудит необходимо включить через политику безопасности и только потом настроить его параметры через свойства общего объекта. Анализировать события в журналах аудита можно с помощью оснастки Просмотр событий. События доступа к объектам регистрируются в журнале Безопасность.