Списки управления доступомРефераты >> Программирование и компьютеры >> Списки управления доступом
Важно, что такие разрешения затруднят пользователям установку программного обеспечения. Также будет невозможна запись в .ini файлы в системном каталоге.
Количество пользователей с правами администратора рекомендуется свести к минимуму. Учетную запись Guest лучше удалить, хотя она при установке (по умолчанию) и так отключена, а вместо этой учетной записи создать для каждого пользователя свою временную учётную запись с соответствующими разрешениями и правами.
4.2 Изменение разрешений NTFS с помощью программы Xcacls.exe
4.2.1 Введение
В данном параграфе подробно рассмотрены вопросы использования программы Xcacls.exe (Extended Change Access Control List) для просмотра и редактирования разрешений NTFS для файлов и папок.
С помощью Xcacls.exe можно установить все параметры безопасности для файловой системы, доступ к которым осуществляется из командной строки в проводнике Windows (с этой целью Xcacls.exe отображает и изменяет списки управления доступом (ACL) файлов).
Рекомендуется использовать Xcacls.exe в процессе автоматической установки Windows 2000 Professional или Windows 2000 Server. С ее помощью устанавливаются исходные права доступа для папок, в которых располагаются файлы операционной системы. В процессе переноса программного обеспечения на серверы и рабочие станции Xcacls.exe обеспечивает одноступенчатую защиту от удаления пользователем файлов и папок.
Программа Xcacls.exe входит в состав пакета Windows 2000 Resource Kit. Загрузить Xcacls.exe можно со следующего веб-узла корпорации Microsoft: http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/xcacls-o.asp
4.2.2 Синтаксис Xcacls.exe
xcacls <имя_файла> [/T] [/E] [/C] [/G <пользователь>:<разрешение>;<особ_доступ>] [/R <пользователь>] [/P <пользователь>:<разрешение>;<особ_доступ> [ .]] [/D <пользователь> [ .]] [/Y]
,где
|
<имя_файла> — имя файла или папки, которой обычно назначается список (ACL) или запись (ACE) управления доступом. Могут быть использованы любые стандартные подстановочные знаки. |
|
/T - Рекурсивно просмотреть текущую и все вложенные папки, назначая указанные права доступа всем файлам и папкам, которые удовлетворяют определенным требованиям. |
|
/E - Редактировать список управления доступом (а не заменять его). Например, после выполнения команды {XCACLS test.dat /G Administrator:F} доступом к файлу test.dat обладает только учетная запись администратора. Все примененные ранее записи АСЕ отменяются. |
|
/C - Xcacls.exe продолжает работу даже после получения сообщения “Отказано в доступе”. Если параметр /C не указан, появление этого сообщения приводит к остановке программы. |
|
/G <пользователь>:<разрешение>;<особ_доступ> - Предоставить пользователю доступ к определенному файлу или папке. |
Переменная <разрешение> служит для назначения указанных прав доступа к файлам и определения особой маски доступа к файлам для папок. Переменная <разрешение> принимает следующие значения:
|
Ø R |
чтение |
|
Ø C |
изменение (запись) |
|
Ø F |
полный доступ |
|
Ø P |
изменение разрешений (особый доступ) |
|
Ø O |
смена владельца (особый доступ) |
|
Ø X |
право запуска (особый доступ) |
|
Ø E |
чтение (особый доступ) |
|
Ø W |
запись (особый доступ) |
|
Ø D |
удаление (особый доступ) Переменная <особ_доступ> используется только с папками; принимает те же значения, что и переменная <разрешение>, или следующее особое значение: T - значение не определено - назначить запись ACE для папки без указания записи, которая используется с создаваемыми в этой папке файлами. Должно быть указано хотя бы одно право доступа. Текст между точкой с запятой и параметром Т не учитывается. |
Прочие параметры (также назначаются в проводнике Windows) представляют собой подмножество всех возможных комбинаций базовых прав доступа. По этой причине особые права доступа к папкам (например, LIST или READ) отсутствуют.
|
/R <пользователь> |
Отменить права доступа для указанного пользователя. |
|
/P <пользователь> : <разрешение> ; <особ_доступ> |
Поменять права доступа для указанного пользователя. Переменные <разрешение> и <особ_доступ> определяются по правилам, описанным для параметра /G. |
|
/D <пользователь> |
Запретить пользователю доступ к файлу или папке. |
|
/Y |
Отменить вывод запроса на подтверждение изменения прав доступа. Программа CACLS выводит такой запрос по умолчанию. По этой причине, если команда CACLS используется в составе командного файла, его выполнение прерывается до получения ответа на запрос. Параметр /Y используется для подавления вывода окна запроса в случае использования Xcacls.exe в режиме пакетной обработки файлов. |
Важно отметить, что многие папки и файлы получают разрешения через механизм наследования. Следовательно, изменение разрешений для одной папки может повлиять на другие объекты.
4.2.3 Просмотр разрешений
Программа Xcacls.exe используется для просмотра разрешений для файлов и папок. Например, после ввода в командной строке: xcacls C:\winnt, будет получен следующий результат:
c:\WINNT BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F CREATOR OWNER:(OI)(CI)(IO)F
