Соотношение индивидуальных и стандартных разрешений для файлов

Таблица 5.3

Стандартное разрешение	Индивидуальные разрешения
No Access	Ни одного
Read	RX
Change	RWXD
Full Control	Все

Для каталогов в Windows NT определено семь стандартных разрешений: No Access, List, Read, Add, Add & Read, Change и Full Control. В табл. 5.4 показано соответствие стандартных разрешений индивидуальным разрешениям для каталогов, а также то, каким образом эти стандартные раз­решения преобра­зуются в индивидуальные разрешения для файлов, входя­щих в каталог, в том случае, если файлы наследуют разрешения каталога.

Соотношение стандартных и индивидуальных
разрешений для каталогов

Таблица 5.4

Стандартные разрешения	Индивидуальные разрешения для каталога	Индивидуальные разрешения для файлов каталога при наследовании
No Access	Ни одного	Ни одного
List	RX	Не определены
Read	RX	RX
Add	WX	Не определены
Add & Read	RWX	RX
Change	RWXD	RWXD
Full Control	Все	Все

При создании файла он наследует разрешения каталога указанным способом только в том случае, если у каталога установлен признак наследо­вания его раз­решений. Стандартная оболочка Windows NT – Windows Explorer – не позво­ляет установить такой признак для каждого разрешения от­дельно (то есть задать маску наследования), управляя наследованием по принципу «все или ничего». Существует ряд правил, которые определяют действие разрешений.

Пользователи не могут работать с каталогом или файлом, если они не имеют явного разрешения на это или не относятся к группе, кото­рая имеет соответствующее разрешение.

Разрешения имеют накопительный эффект, за исключением разреше­ния No Access, которое отменяет все остальные имеющиеся разре­шения. Например, если группа Engineering имеет разрешение Change для ка­кого-то файла, а группа Finance имеет для этого файла только разрешение Read и Петров яв­ляется членом обеих групп, то у Петрова будет разрешение Change. Однако если разрешение для группы Finance изменится на No Ac­cess, то Петров не сможет использовать этот файл, несмотря на то, что он член группы, которая имеет доступ к файлу.

По умолчанию в окнах Windows Explorer находят свое отражение стан­дартные права, а переход к отражению индивидуальных прав происходит только при вы­полнении некоторых действий. Это стимулирует администра­тора и пользовате­лей к использованию тех наборов прав, которые разработ­чики ОС посчитали наиболее удобными.

Вопросы для самопроверки

184. Какие характеристики безопасности используются в общей модели объекта, применяемого для разделяемых ресурсов в ОС Windows NT?

185. Какие схемы хранения объектов используются в ОС Windows NT?

186. Какой метод доступа (централизованный или распределенный) применяется в Windows NT?

187. Какие классы операций доступа поддерживаются в Windows NT?

188. Какие правила в Windows NT используются для назначения списка ACL вновь создаваемому объекту?

189. По каким правилам в ОС Windows NT определяются действия разрешений?

Контрольные вопросы

190. Как именуется программа, используемая в ОС Windows NT для проверки прав доступа к объектам?

191. В чем смысл встроенных пользователей и групп в ОС
Windows NT?

192. Может ли администратор Windows NT создавать пользователей и группы и самостоятельно назначать им права?

193. Наследуются ли права группы ее членами?

194. Что понимается под словосочетанием «токен доступа» (access token)?

195. Какие объекты в Windows NT снабжаются дескрипторами
безопасности?

196. Может ли менять ACL объекта пользователь, который его создал?

197. Если администратор Windows NT стал владельцем некоторого объекта, принадлежащего другому пользователю, а затем захотел вернуть владение объектом прежнему хозяину, то может ли он это сделать?

198. В чем отличие элементов ACL Windows NT от ОС UNIX?

199. Допустимо ли в Windows NT управлять доступом к файлам и каталогам для ФС типа FAT?

200. Какие типы разрешений определены в Windows NT?

201. Перечислите стандартные разрешения ОС Windows NT, применяемые для файлов.

202. Перечислите стандартные разрешения ОС Windows NT, применяемые для каталогов.

ОТВЕТЫ НА ВОПРОСЫ ДЛЯ САМОПРОВЕРКИ

1. Заменяет реальные машинные команды командами высокого уровня.

2. Создание и уничтожение процессов, распределение процессорного времени, обеспечение процессов ресурсами, синхронизация и межпроцессное взаимодействие.

3. Использование объемов памяти больших размеров, превышающих размер наличной физической памяти.

4. Преобразует символьные имена файлов в физические адреса данных на диске, организует совместный доступ к данным, защищает данные от несанкционированного доступа.

5. Логический вход в систему, назначение прав доступа к файлам и принтерам, ограничение на выполнение системных действий, аудит со-бытий.

24. Экранирует от пользователя все низкоуровневые аппаратные интерфейсы.

25. Сетевая надстройка к операционной системе.

26. Интерфейс между потребителем и поставщиком услуг (службой).

27. Да.

35. Структурная организация ОС на основе различных программных модулей.

36. Аппаратура, ядро, утилиты и приложения.

37. Согласовать прикладной программный интерфейс с функциями операционной системы.

38. Большая часть кода пишется на языке, трансляторы которого имеются на всех машинах, аппаратно зависимый код изолируется в нескольких модулях.

50. В привилегированном режиме остается небольшая часть ОС, соответствующая базовым механизмам, работа которых в пользовательском режиме невозможна.

51. Микроядро использует механизмы, аналогичные взаимодействию клиента и сервера путем обмена сообщениями.

52. Возможность ОС выполнять приложения, написанные для дру-гих ОС.

53. Библиотечные функции одной ОС подготавливаются в среде другой ОС. За счет выполнения этих функций на родном процессоре скорость работы приложения существенно повышается.

64. Количество задач, выполняемых системой в единицу времени; интерактивная работа пользователя; способность системы выдерживать заранее заданные интервалы времени между запуском задачи и получением результатов.

65. Нет.

66. Квант времени, выдаваемый системой каждому процессу.

67. Выдерживание заданного интервала времени между запуском задачи и получением результата.

74. В мультипрограммной среде в каждый момент времени выполняется только одна задача, а в мультипроцессорной – несколько, но каждая на своем процессоре.

75. Нет.

76. Нет.

81. Обеспечение процессов необходимыми ресурсами, синхронизация потоков, «зачистка» завершившихся процессов.

82. Нет.

83. Определяет момент времени смены активного потока, выбирает на выполнение готовый поток.

84. При значительном увеличении кванта времени, когда любая задача может быть решена за один квант.

85. Потоки реального времени, потоки с переменным приоритетом.

101. Символьные адреса – присваивает пользователь при написании программы.

Виртуальные адреса (математические или логические адреса) –вырабатывает транслятор, переводящий программу на машинный язык.

Физические адреса – соответствуют номерам ячеек оперативной памяти, где будут расположены переменные и команды.

102. Замена всех виртуальных адресов один раз во время загрузки процесса.

Программа загружается в виртуальных адресах, но во время обращения к ОП они преобразуются в физические адреса ОП.

103. Вытесняемая (paged) и невытесняемая (non-paged).

110. Алгоритмы, основанные на перемещении сегментов процессов между ОП и дисками, и алгоритмы, в которых внешняя память не используется.

111. Свопинг (swapping) – образы процессов перемещаются целиком.

Виртуальная память (virtual memory) – только части образов процессов (сегменты и страницы) перемещаются между ОП и диском.

112. Файл свопинга или страничный файл.

113. Нет, так как в этом случае отсутствует механизм прав доступа к областям ОП.

129. Блок-ориентированные и байт-ориентированные.

130. Да.

131. Логическая модель заменяет физическую структуру хранимых данных на более удобную, представляя ее в виде файла.

132. Обычные файлы, каталоги и специальные файлы.

133. Один файл – одно полное имя.

134. Принципы размещения файлов, каталогов и системной информации на реальном устройстве.

135. Одно.

152. На системную (загрузочная запись, FAT, корневой каталог) и область данных.

153. Главная таблица файлов (MFT).

154. Атрибут. Данные также являются атрибутом файла, как и его имя.

155. Для разбиения упорядоченных имен файлов на группы с целью сокращения поиска нужного файла.

169. Нет. В роли общего ресурса могут выступать различные внешние устройства: принтеры, модемы, графопостроители и т.п. Область памяти, используемая для обмена данными между процессами, также является разделяемым ресурсом. Сами процессы в некоторых случаях выступают в роли разделяемого ресурса, когда пользователи посылают процессам сигналы, на которые процесс должен реагировать.

170. Пользователь осуществляет доступ к разделяемым ресурсам не непосредственно, а с помощью прикладных процессов, запускаемых от его имени или группы, которой принадлежит пользователь.

171. Нет. Для файла – чтение, запись, удаление. Для принтера – перезапуск, очистка очереди, приостановка печати.

172. Избирательный доступ, когда для каждого объекта сам владелец может определить допустимые операции с объектами.

Мандатный доступ (обязательный, принудительный) – это такой подход к определению прав доступа, при котором система наделяет пользователя определенными правами по отношению к каждому разделяемому ресурсу в зависимости от того, к какой группе пользователей он принад-лежит.

173. Реальные идентификаторы субъектов задаются процессу при его порождении, а по эффективным идентификаторам проверяются права доступа процесса к файлу. Эффективные идентификаторы могут заменить реальные, но в исходном состоянии они совпадают с реальными.

184. Набор допустимых операций.

Идентификатор владельца.

Управление доступом.

185. Древовидная иерархическая структура для файлов и каталогов.

Иерархическая структура «родитель-потомок» для процессов.

Для устройств – принадлежность к определенному типу устройств и связь с устройствами других типов.

186. Централизованный.

187. Разрешения (permissions) – это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам любого типа: файлам, каталогам, принтерам, секциям памяти и т.д.

Права (user rights) – определяются для субъектов типа «группа» на выполнение некоторых системных операций: установку системного времени, архивирование файлов, выключение компьютера и т.п. Именно права, а не разрешения отличают одну встроенную группу пользователей от другой. Некоторые права у встроенной группы являются также встроенными – их у группы нельзя отнять. Остальные права можно удалить или добавить из общего списка прав.

Возможности пользователей (user abilities) определяются для отдельных пользователей на выполнение действий, связанных с формированием их операционной среды, например, на изменение состава главного меню и т.д.

188. Если процесс во время создания объекта явно задает все права доступа, то система безопасности приписывает этот ACL объекту.

Если процесс не снабжает объект списком ACL и объект имеет имя, то применяется принцип наследования разрешений.

Если процесс не задал явно ACL для создаваемого объекта и не имеет наследуемых элементов ACL, то используется список ACL по умолчанию из токена доступа процесса.

189. Пользователи не могут работать с каталогом или файлом, если они не имеют явного разрешения на это или же они не относятся к группе, которая имеет соответствующее разрешение. Разрешения имеют накопительный характер за исключением разрешения No Access, которое отменяет все прочие разрешения.

ЛАБОРАТОРНЫЕ РАБОТЫ

Лабораторные работы относятся к практической части курса «Опера­ционные системы, среды и оболочки». Лабораторные работы разделены по содержанию на две группы. Содержание лабораторных работ группы I по­строено на основе операционных систем компании Microsoft.

Группа I со­стоит из следующих лабораторных работ.

1. Системный реестр Windows 9X. Редактор базы данных регистра­ции.

2. Администрирование сетевой ОС Windows XP.

3. Командные центры Windows 9Х.

В качестве базовой операционной системы здесь выбрана самая рас­пространенная на сегодняшний день, наиболее простая и доступная для изучения ОС Windows 9X. Изучаемые в ней компоненты присутствуют во всей серии современных ОС Windows XX.

В группу II входят лабораторные работы по изучению ОС Linux.

4. Установка ОС Red Hat Linux. Режимы работы системы. Инсталляция приложений.

5. Подсистемы управления ОС.

6. Файловые системы. Сетевые сервисы ОС Linux.

Для завершения курса студентам достаточно выполнить именно этот набор лабо­раторных работ. Лабораторные работы группы I выполняются студен­тами, если по каким-либо причинам нет возможности провести лабораторные работы группы II. Лабораторная работа № 3 группы I предназначена для домашнего выполнения. Методика выполнения лабораторных работ и их описание приведены ниже. Завершает практический курс контрольная работа.

Методические указания для проведения лабораторных занятий
и выполнения контрольной работы

1. На лабораторных занятиях студенты получают навыки по на­стройке и администрированию операционной системой (ОС) Windows 9X, изучают возможности манипулирования графическими элементами сис­темы, пре­доставляя или запрещая рядовым пользователям возможность самостоятельно менять настройки системы.

2. Содержание лабораторных занятий группы I:

администрирование ОС Windows XX; редактирование системного реестра; изучение командных центров ОС Windows XX.

3. Содержание лабораторных занятий группы II:

подготовка разделов жесткого диска ПК для инсталляции системы; установка ОС на ПК; инсталляция приложений; администрирование ОС Red Hat Linux; графические и текстовые оболочки; графические системы аутентификации пользователей; файловые системы; сетевые сервисы; сетевые оболочки ОС Red Hat Linux.

4. Контрольная работа завершает практические занятия по курсу.

Вопросы для контрольной работы приведены на стр. 250. Преподаватель составляет варианты контрольной работы, в которые включает не менее десяти вопросов из списка и раздает студентам для выполнения. Ответы оформляются на листке бумаги в напечатанном или рукописном виде и предоставляются для проверки.

Во время проверки контрольной работы определяются неточности и недоработки, которые студент допустил при выполнении лабораторных работ и собственно контрольной работы.

5. Составление отчета. Отчет по лабораторным работам группы I со­ставляется в редакторе Word for Windows. Отчет должен иметь стандарт­ный титульный лист с заголовком «Отчет по лабораторным работам», где далее следует информация о составителе (студент группы, название группы, фамилия и ини­циалы студента) и проверяющем.

На первом листе отчета размещается заголовок «Лабораторная ра­бота № 1», где далее следуют номер задания и результат его выполнения. Резуль­тат может быть графическим или текстовым. Например.

Задание № 1

Окно c результатом выполненного задания помещается в буфер проме­жуточного хранения (кла­виши <Alt>+<Print Screen>), а затем вставляется в соответствующий параграф отчета либо с помощью кнопки «Вставить» па­нели «Стандартная» редактора, либо с помощью клавиш <Shift>+<Insert>.

Указанные действия повторяются для каждого пункта задания.

Методика составления отчета лабораторных работ группы II дана в лабораторной работе № 4. Отчеты по выполненным работам сохраняются на дискете или распечатываются на принтере, после чего предоставляются преподавателю для проверки. Работа, выполненная без замечаний, считается зачтенной.