Microsoft Windows XP Professional. Опыт сдачи сертификационного экзамена 70-270
Шрифт:
Таблица 3.4. Состав стандартных встроенных наборов разрешений
Из таблицы видно, что разрешения Список содержимого папки и Чтение и выполнение включают в себя одни и те же особые разрешения. Но наследуются
Кроме того, следует помнить, что группы и пользователи, которым предоставлен полный доступ к папке, могут удалять любые файлы в этой папке, независимо от разрешений на доступ к этим файлам.
3.1.4. Наследование разрешений
Файлы и папки могут наследовать разрешения от родительской папки. По умолчанию наследование включено и любые изменения разрешений доступа к папке распространяются на все вложенные файлы и папки. Наследование разрешений удобно в том случае, если создаваемые внутри какой-либо папки файлы или подпапки должны иметь те же самые разрешения, что и сама папка.
Но если вам надо установить разрешения, отличные от разрешений родительской папки, вы можете отключить возможность наследования. Если вы сделали это для папки, она сама становится родительской для файлов и папок, расположенных в ней. Когда вы отключаете наследование разрешений, система запрашивает у вас, что делать с ранее наследуемыми разрешениями (рис. 3.1).
Рис. 3.1. Перенос или удаление наследуемых ранее разрешений
Если вы хотите оставить наследуемые ранее разрешения или незначительно их изменить, следует нажать кнопку Копировать. Если же вы хотите отменить все используемые ранее разрешения, кроме заданных явно, вам следует воспользоваться кнопкой Удалить.
3.1.5. Действующие разрешения
Вы можете назначить различные разрешения на доступ к какому-либо файлу или папке для учетной записи пользователя и для групп, в которых он состоит. В этом случае при доступе к объекту, для которого у пользователя определены различные разрешения, будут определены действующие разрешения, являющиеся суммой всех назначенных разрешений. Например, если для учетной записи пользователя определены разрешения на чтение для папки, а группе, в которую этот пользователь входит, определены разрешения на запись, то при доступе к этой папке он получит разрешения и на чтение, и на запись.
Но если среди разрешений, составляющих сумму, встречается запрет (deny) на какое-либо действие, этот запрет перекрывает все разрешения (allow) на это и зависимые действия. Например, если пользователю назначить полный доступ к папке, а группе, в которую пользователь входит, поставить запрет на действие "Список содержимого папки", этот пользователь не сможет ни зайти в папку, ни удалить ее, несмотря на имеющийся у него полный доступ. Но, имея разрешения на полный доступ, он может изменить соответствующие разрешения
В предыдущих версиях Windows действующие разрешения приходилось вычислять "вручную", в Windows ХР Professional появилась возможность быстро выяснить сумму всех разрешений на доступ к файлу или папке (рис. 3.2).
Рис. 3.2. Вычисление действующих разрешений
Единственным неудобством этого инструмента является обманчивый вид элемента для ввода имени группы или пользователя. В нем мигает текстовый курсор, как будто предлагая ввести текст с клавиатуры. Но ввести туда имя можно лишь через нажатие кнопки Выбрать и последующие действия в открывшемся окне.
Кроме того, при назначении разрешений следует учитывать, что разрешения на доступ к файлам имеют приоритет перед разрешениями на доступ к папкам. Если пользователь не имеет доступа к папке, но имеет доступ к файлу, находящемуся внутри этой папки, он сможет работать с ним, используя полный путь к файлу. К примеру, пользователь не имеет доступа к папке d:\texts\, но имеет доступ к файлу file.txt, который находится внутри этой папки. Тогда, выполнив команду notepad d:\texts\fiie.txt, пользователь сможет открыть этот файл в текстовом редакторе.
Все указанное выше будет действовать только в том случае, если пользователь имеет привилегию Обход перекрестной проверки (Bypass Traverse Checking). Эта привилегия позволяет пользователю проходить через папки, к которым иначе у него нет доступа, на пути к объекту в файловой системе NTFS или в реестре. Данная привилегия не разрешает пользователю выводить список содержимого папки, а дает возможность только проходить через нее. По умолчанию группа Все (Everyone) имеет эту привилегию.
Примечание
В Windows ХР Professional, в отличие от Windows 2000, группа Все больше не включает в себя группу Анонимный вход.
3.1.6. Назначение или изменение разрешений
Для того чтобы просмотреть, назначить или изменить разрешения на доступ к файлу или папке, надо открыть вкладку Безопасность (Security) окна Свойства этой папки или файла. Открывшееся окно (на рис. 3.3 показаны разрешения для папки) позволяет просмотреть, каким пользователям и группам доступ уже разрешен и какие разрешения им предоставлены, а также дает возможность предоставить доступ другим пользователям и группам или изменить уже назначенные разрешения.
Примечание
В Windows ХР Professional вкладка Безопасность может не отображаться. Для того чтобы включить ее отображение, запустите Проводник, в меню Сервис выберите Свойства папки. На вкладке Вид снимите флажок Использовать простой общий доступ к файлам (рекомендуется).
Рис. 3.3. Просмотр разрешений объекта