Лабораторная работа №8

Тема: Использование приёмов работы с файловой системой NTFS. Назначение разрешений доступа к файлам и папкам.

Время выполнения: 2 часа

Цель: Научиться устанавливать разрешения NTFS для файлов и для папок для отдельных пользователей и групп в операционной системы Windows ХР, а также устранять проблемы доступа к ресурсам.

 

Содержание работы и последовательность ее выполнения

1. Теоретические сведения

Общие сведения об использовании разрешений NTFS

Разрешения NTFS позволяют явно указать, какие пользователи и группы имеют доступ к файлам и папкам и какие операции с содержимым этих файлов или папок им разрешено выполнять. Разрешения NTFS при­менимы только к томам, отформатированным с использованием файловой системы NTFS. Они не предусмотрены для томов, использующих файло­вые системы FAT или FAT32. Система безопасности NTFS эффективна не­зависимо от того, обращается ли пользователь к файлу или папке, разме­щенным на локальном компьютере или в сети.

Разрешения, устанавливаемые для папок, отличаются от разрешений, устанавливаемых для файлов. Администраторы, владельцы файлов или папок и пользователи с разрешением «Полный доступ» имеют право на­значать разрешения NTFS пользователям и группам для управления досту­пом к этим файлам и папкам. Список управления доступом

В NTFS хранится список управления доступом (access control list —ACL) для каждого файла и папки на томе NTFS. В этом списке перечисле­ны пользователи и группы, для которых установлены разрешения для фай­ла или папки, а также сами назначенные разрешения. Чтобы пользователь получил доступ к ресурсу, в ACL должна быть запись, называемая эле­мент списка управления доступом (access control entry — АСЕ) для этого пользователя или группы, к которой он принадлежит. Эта запись назначит запрашиваемый тип доступа (например, Чтение) пользователю. Если в ACL нет соответствующей АСЕ, то пользователь не получит доступ к ресурсу.

Множественные разрешения NTFS

Вы можете установить несколько разрешений пользователю и всем груп­пам, членом которых он является. Для этого вы должны иметь представление о правилах и приоритетах, по которым в NTFS назначаются и объединяются множественные разрешения и о наследовании разрешений NTFS.

Эффективные разрешения. Эффективные разрешения пользователя для ресурса — это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Ес ли у пользователя есть разрешение «Чтение» для папки, и он входит в группу, у которой есть разрешение «Запись» для той же папки, значит, у этого пользователя есть оба разрешения.

Установка разрешений NTFS и особых разрешений

Вы должны руководствоваться определенными принципами при ус­тановке разрешений NTFS. Устанавливайте разрешения согласно потреб­ностям групп и пользователей, что включает в себя разрешение или пре­дотвращение наследования разрешений родительской папки подпапками и файлами, содержащимися в родительской папке.

Если вы уделите немного времени на планирование ваших разреше­ний NTFS и будете соблюдать при планировании несколько принципов, то обнаружите, что разрешениями легко управлять.

• Для упрощения процесса администрирования сгруппируйте файлы по папкам следующих типов: папки с приложениями, папки с данными, лич­ные папки. Централизуйте общедоступные и личные папки на отдельном томе, не содержащем файлов операционной системы и других приложе­ний. Действуя таким образом, вы получите следующие преимущества:

— сможете устанавливать разрешения только папкам, а не отдельным фай­лам;

— упростите процесс резервного копирования, так как вам не придется де­лать резервные копии файлов приложений, а все общедоступные и лич­ные папки находятся в одном месте.

  • Устанавливайте для пользователей только необходимый уровень досту­па. Если необходимо чтение файла, установите пользователю разрешение Чтение для этого файла. Это уменьшит вероятность случайного изменения файла или удаления важных документов и файлов приложений пользова­телем.
  • Создавайте группы согласно необходимому членам группы типу досту­па, затем установите соответствующие разрешения для группы. Назначай­те разрешения отдельным пользователям только в тех случаях, когда это необходимо.
  • При установке разрешений для работы с данными или файлами прило­жений установите разрешение Чтение и выполнение для групп Пользо­ватели и Администраторы. Это предотвратит случайное удаление файлов приложений или их повреждение вирусами или пользователями.
  • При установке разрешений для папок с общими данными назначьте раз­решения Чтение и выполнение и Запись группе Пользователи и разре­шение Полный доступ для группы Создатель-владелец. По умолчанию пользователь, создавший документ, также является его владельцем. Владе­лец файла может дать другому пользователю разрешение на владение фай­лом. Пользователь, который принимает такие права, в этом случае стано­вится владельцем файла. Если вы установите разрешение Чтение и вы­полнение и Запись группе Пользователи и разрешение Полный доступ группе Создатель-владелец, то пользователи получат возможность читать и изменять документы, созданные другими пользователями, а также чи­тать, изменять и удалять файлы и папки, создаваемые ими.
  • Запрещайте разрешения, только если необходимо запретить отдельный тип доступа определенному пользователю или группе.
  • Поощряйте пользователей в установке разрешений для файлов и папок, которые они создают, и научите их это делать самостоятельно.

Администраторы, пользователи с разрешением Полный доступ и владельцы файлов и папок могут устанавливать разрешения для отдельных пользователей и групп.

Дополнительно Позволяет получить доступ к дополнительным воз­можностям поиска, включая возможность поиска уда­ленных учетных записей пользователей, учетных за­писей с неустаревшими паролями и учетных записей, по которым не подключались определенное количест­во дней.

Назначение или запрещение особых разрешений

Щелкните кнопку Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности, где перечисле­ны группы и пользователи и установленные для них разрешения для этого объекта. В поле Элементы разрешений также указано, от какого объекта разрешения унаследованы и к каким объектам применимы. Вы можете воспользоваться диалоговым окном Дополнительные параметры безо­пасности для изменения разрешений, установленных для пользователя или группы. Для изменения разрешений, установленных для пользователя или группы, выделите пользователя и щелкните кнопку Изменить. Откроется диалоговое окно Элемент разрешения для. Затем выделите или отмените определенные разрешения, которые вы хотите изменить.

  2. Задание для самостоятельной работы

Задание 1. Открыть Microsoft Virtual PC

Задание 2. Загрузить виртуальную машину Windows ХР и создать новую учетную запись uir.

Задание 3. Загрузить виртуальную машину Windows ХР с учетной записью uir.

Задание 4. Определение разрешений NTFS по умолчанию для только что созданной папки.

Запустить Проводник, создать папки C:\FoIderl и C:\FoIderl\Folder2. Просмотреть разрешения, установленные для создан­ных папок, щелкнув по вкладке Безопасность диалогового окна свойств папки. Обратить внимание на наследование разрешений папкой Folder2 от родительской папки Folder 1.

Если на экране не видна вкладка Безопасность, вам следует уточ­нить два вопроса:

1) Раздел вашего диска отформатирован как NTFS или как FAT? Только на разделах NTFS используются разрешения NTFS, и, таким обра­зом, только на разделах NTFS видна вкладка Безопасность.

2) Используете вы простой общий доступ к файлам или нет? Щелк­ните кнопку Отмена, чтобы закрыть диалоговое окно свойств папки. В пункте меню Сервис выберите пункт Свойства папки. В диалоговом окне Свойства папки перейдите на вкладку Вид. В списке Дополнительные параметры снимите флажок Использовать простой общий доступ к файлам (рекомендуется) и щелкните ОК.

Определить для какой группы установлены особые разрешения. Щелкнуть кнопку Дополнительно, выделить эту группу и просмотреть установленные разрешения.

Закрыть диалоговое окно свойств папки. Закрыть окно Проводник и завершить сеанс.

Задание 5. Создать новую учетную запись uir-1.

Задание 6. Войти в систему с учетной записью uir-1. Запустить Проводник, войти в папку C:\FoIderl. Создать два текстовых документа, присвоив им имена file 1 и file 2

Попытаться выполнить следующие операции с файлом filel: открыть файл; изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему?

Завершить сеанс работы и войти в систему, используя учетную за­пись uir-2. Запустить Проводник, войти в папку C:\Folderl. Попытаться выполнить следующие операции с файлом fiie2: открыть файл; изменить файл; удалить файл. Какие действия вы смогли успешно совершить и по­чему? В настоящее время ваша регистрационная запись — uir-2. Можете ли вы изменить разрешения, установленные для пользователя, пока вы под­ключены как uir-2? Почему? Завершить сеанс.

 Задание 7. Установить разрешения NTFS для папки C:\Folderl. При этом необходимо соблюдать следующие правила:

1) все пользователи должны иметь возможность читать документы и файлы в папке Folderl;

2) все пользователи должны иметь возможность создавать докумен­ты в папке Folderl;

3) все пользователи должны иметь возможность изменять содержа­ние, свойства и разрешения для создаваемых ими документов в папке Folderl;

4) пользователь uir-2 несет ответственность за содержимое папки Folderl и должен иметь возможность изменять и удалять все файлы в пап­ке Folderl.

Основываясь на полученной информации, определить, как следует изменить разрешения для соответствия этим четырем критериям?

Войти в систему, используя учетную запись uir. Открыть Провод­ник. Открыть папку Folderl. Щелкнуть правой кнопкой мыши значок папки Folderl, затем выбрать пункт меню Свойства. Перейти на вкладку Безопасность диалогового окна свойств папки. На вкладке Безопасность щелкнуть кнопку Добавить. Откроется диалоговое окно Выбор: Пользо­ватели или Группы.

В текстовом поле Введите имена выбираемых объектов ввести uir-2, затем щелкнуть кнопку Проверить имена. В текстовом поле Введи­те имена выбираемых объектов должна появиться надпись <имя компьютера>\тг-2. Это свидетельствует, что Windows ХР Professional обнаружила пользователя uir-2 на компьютере <имя компью­терен и что это действительная учетная запись пользователя. Щелкнуть ОК, чтобы закрыть диалоговое окно Выбор: Пользователи или Группы. Теперь пользователь uir-2 включен в список Группы или пользователи диалогового окна свойств папки Folderl. Какие разрешения установлены для пользователя uir-2?

Щелкнуть кнопку Дополнительно. Откроется диалоговое окно До­полнительные параметры безопасности для Folderl, и вы увидите, что пользователь uir-2 включен в список Элементы разрешений. Убедиться, что строка uir-2 выделена, и щелкнуть кнопку Изменить. Откроется диа­логовое окно Элемент разрешения для Folderl, и вы увидите в текстовом поле Имя учетную запись пользователя uir-2.

В колонке Разрешить щелкнуть Полный доступ. Теперь в колонке Разрешить установлены все флажки. Щелкнуть ОК, чтобы закрыть диало­ говое окно Элемент разрешения для Folder! и щелкнуть ОК, чтобы за­крыть диалоговое окно Дополнительные параметры безопасности для Folder 1. Щелкнуть ОК, чтобы закрыть диалоговое окно свойств папки Folder 1.

Закрыть Проводник и завершить сеанс Windows ХР Professional.

Войти в систему, используя учетную запись uir-2. Запустить Про­водник, войти в папку C:\Folderl. Попытаться выполнить следующие операции с файлом file2: изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему? Завершить сеанс Windows ХР Professional.

 

Задание 8. Проверить, как разрешения NTFS наследуются в иерархии папок.

Войти в систему, используя учетную запись uir-1. Запустить Про­водник, войти в папку C:\Folderl\Folder2. Создать текстовый файл с име­нем ШеЗ в папке. Завершить сеанс Windows ХР Professional.

Войти в систему, используя учетную запись uir-2. Запустить Про­водник, войти в папку C:\Folderl\Folder2. Попытаться выполнить сле­дующие операции с файлом ШеЗ: открыть файл; изменить файл; удалить файл. Какие действия вы смогли совершить и почему? Завершить сеанс Windows ХР Professional.

 Задание 9. Изучить результаты смены владельца файла.

Войти в систему, используя учетную запись uir. В папке C:\Folderl создать текстовый файл file4.

Щелкнуть правой кнопкой мыши значок документа file4, затем вы­брать пункт меню Свойства. Откроется диалоговое окно Свойства: file4с активной вкладкой Общие. Перейти на вкладку Безопасность для просмот­ра разрешений, установленных для файла file4. Щелкнуть кнопку Дополни­тельно. Откроется диалоговое окно Дополнительные параметры безо­пасности для file4 с активной вкладкой Разрешения. Перейти на вкладку Владелец. Кто является текущим владельцем файла file4?

Установка разрешения, позволяющего пользователю сменить вла­дельца.

В диалоговом окне Дополнительные параметры безопасности для file4 перейти на вкладку Разрешения. Щелкнуть кнопку Добавить. От­кроется диалоговое окно Выбор: Пользователи или Группы. Убедиться, что в текстовом поле Размещение, которое расположено вверху диалого­вого окна, выбрано имя вашего компьютера. В текстовом поле Введите имена выбираемых объектов ввести uir-З, затем щелкните кнопку Про­верить имена. Щелкнуть ОК.

Станет активным диалоговое окно Элемент разрешения для file4. Обратить внимание на то, что все элементы разрешений для пользователя uir-З не отмечены. В колонке Разрешения установить флажок Разрешить для разрешения Сменить владельца. Щелкнуть ОК. Щелкнуть ОК для того, чтобы вернуться к диалоговому окну свойств файла file4. Щелкнуть ОК для сохранения изменений и закрыть диалоговое окно свойств файла file4. Закрыть Проводник и выйти из системы. Смена владельца файла.

Войти в систему, используя учетную запись uir-З. Запустить Про­водник, войти в папку C:\Folderl. Щелкнуть правой кнопкой мыши зна­чок файла file4 и выбрать пункт меню Свойства. Перейти на вкладку Безопасность для просмотра разрешений для файла. Щелкнуть Дополни­тельно и перейти на вкладку Владелец. В колонке Изменить владельца на выбрать uir-З, затем щелкнуть кнопку Применить. Кто теперь является владельцем файла Ше4?

Щелкнуть ОК, чтобы закрыть диалоговое окно Дополнительные параметры безопасности для file4.

Проверка разрешений для файла в качестве владельца.

Щелкнуть кнопку Дополнительно и снять флажок Наследовать от родительского объекта применимые к дочерним объектам разреше­ния, добавляя их к явно заданным в этом окне. Установить разрешение Полный доступ к текстовому документу file4 и нажать кнопку Приме­нить. Щелкнуть ОК, чтобы закрыть диалоговое окно Дополнительные параметры безопасности для file4. Щелкнуть ОК, чтобы закрыть диало­говое окно свойств файла file4.

 Задание 10. Изучить изменение разрешений и прав владельца при копирова­нии и перемещении папок.

Создание папки при подключении с учетной записью пользователя.

Пока вы зарегистрированы в системе под учетной записью uir-З соз­дать папку с именем Tempi в корневой папке диска С:\. Какие разрешения установлены для этой папки? Кто является владельцем папки?

Создание папок при подключении с учетной записью члена группы Администраторы.

Подключитесь с учетной записью uir и создайте папки Теmp2 и Теmp З в корневой папке диска С:\.

Каковы разрешения для папок, которые вы только что создали? Кто является владельцем папок Теmp 2 и Теmp З?

Установить разрешения для папок Теmp 2 и Теmp З.

Снять флажок Наследовать от родительского объекта примени­мые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне. В открывшемся диалоговом окне щелкните Удалить» для удаления всех разрешений, кроме указанных ниже.

Папка Теmp 2: Администраторы — Полный доступ; Пользовате­ли — Чтение и выполнение.

Папка Теmp З: Администраторы — Полный доступ; Операторы архива — Чтение и выполнение; Пользователи — Полный доступ.

Копирование папки в другую папку на одном и том же томе NTFS.

Пока вы находитесь в системе под учетной записью uir, скопировать папку C:\Temp2 в папку C:\Templ. Для этого выделить значок папки C:\Temp2 и, удерживая нажатой клавишу CTRL, перетащить мышью C:\Temp2в C:\Templ.

Выделив C:\Templ\Temp2, просмотреть разрешения и права вла­дельца, затем сравнить разрешения и права владельца с папкой C:\Temp2.

Перемещение папки на одном и том же томе.

Войти в систему с учетной записью uir-З. В Проводнике выделить значок папки C:\Temp3, затем переместить ее в папку C:\Templ. Что про­изошло с разрешениями и владельцем для папки C:\Templ\Temp3?

Задание 11. Самостоятельно определить? как предотвратить удаление пользо­вателями, имеющими разрешение Полный доступ к папке, файла в этой папке, для которого установлен запрет на разрешение Полный доступ?

 

3. Контрольные вопросы

1. Что такое эффективные разрешения пользователя для ресурса?

2. Какие объекты по умолчанию наследуют разрешения, установ­ленные для родительской папки?

3. Чем отличается разрешение «Удаление» от разрешения «Удале­ние подпапок и файлов»?

4. Какое разрешение NTFS для файлов следует установить для фай­ла, если вы позволяете пользователям удалять файл, но не позво­ляете становиться владельцами файла?

5. Если вы хотите, чтобы пользователь или группа не имела доступ к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?

|Отчет по проделанной работе.

В него должны входить:

  1. Тема работы;
  2. Цель работы;
  3. Время выполнения работы;
  4. Изучить теоретические сведения;
  5. Описать выполнение задания  11;
  6. Продемонстрировать выполненную работу преподавателю;
  7. Ответить на контрольные вопросы.
Яндекс.Метрика