В Windows NT администратор может управлять доступом пользователей к каталогам и файлам только в разделах диска, в которых установлена файловая система NTFS. Разделы FAT не поддерживаются средствами защиты Windows NT, так как в FAT у файлов и каталогов отсутствуют атрибуты для хранения списков управления доступом. Доступ к каталогам и файлам контролируется за счет установки соответствующих разрешений.
Разрешения в Windows NT бывают индивидуальные и стандартные. Индивидуальные разрешения относятся к элементарным операциям над каталогами и файлами, а стандартные разрешения являются объединением нескольких индивидуальных разрешений.
В табл. 2 показано шесть индивидуальных разрешений (элементарных операций), смысл которых отличается для каталогов и файлов.
Таблица 2
Разрешение
Для каталога
Для файла
Read (R)
Чтение имен файлов и каталогов, входящих в данный каталог, а также атрибутов и владельца каталога
Чтение данных, атрибутов, имени владельца и разрешений файла
Write (W)
Добавление файлов и каталогов, изменение атрибутов каталога, чтение владельца и разрешений каталога
Чтение владельца и разрешений файла, изменение атрибутов файла, изменение и добавление данных файла
Execute (X)
Чтение атрибутов каталога, выполнение изменений в каталогах, входящих в данный каталог, чтение имени владельца и разрешений каталога
Чтение атрибутов файла, имени владельца и разрешений. Выполнение файла, если он хранит код программы
Delete (D)
Удаление каталога
Удаление файла
Change Permission (P)
Изменение разрешений каталога
Изменение разрешений файла
Take Ownership (О)
Стать владельцем каталога
Стать владельцем файла
Для файлов в Windows NT определено четыре стандартных разрешения: No Access, Read, Change и Full Control, которые объединяют индивидуальные разрешения, перечисленные в табл. 3.
Разрешение Full Control отличается от Change тем, что дает право на изменение разрешений (Change Permission) и вступление во владение файлом (Take Ownership).
Таблица 3
Стандартное разрешение
Индивидуальные разрешения
No Access
Ни одного
Read
RX
Change
RWXD
Full Control
Все
Для каталогов в Windows NT определено семь стандартных разрешений: No Access, List, Read, Add, Add&Read, Change и Full Control. В табл. 4 показано соответствие стандартных разрешений индивидуальным разрешениям для каталогов, а также то, каким образом эти стандартные разрешения преобразуются в индивидуальные разрешения для файлов, входящих в каталог в том случае, если файлы наследуют разрешения каталога.
Таблица 4
Стандартные разрешения
Индивидуальные разрешения для каталога
Индивидуальные разрешения для файлов каталога при наследовании
No Access
Ни одного
Ни одного
List
RX
Не определены
Read
RX
RX
Add
WX
Не определены
Add & Read
RWX
RX
Change
RWXD
RWXD
Full Control
Все
Все
При создании файла он наследует разрешения от каталога указанным способом только в том случае, если у каталога установлен признак наследования его разрешений. Стандартная оболочка Windows NT – Windows Explorer не позволяет установить такой признак для каждого разрешения отдельно (то есть задать маску наследования), управляя наследованием по принципу «все или ничего». Существует ряд правил, которые определяют действие разрешений.
Пользователи не могут работать с каталогом или файлом, если они не имеют явного разрешения на это или же они не относятся к группе, которая имеет соответствующее разрешение.
Разрешения имеют накопительный эффект, за исключением разрешения No Access, которое отменяет все остальные имеющиеся разрешения. Например, если группа Engineering имеет разрешение Change для какого-то файла, а группа Finance имеет для этого файла только разрешение Read и Петров является членом обеих групп, то у Петрова будет разрешение Change. Однако если разрешение для группы Finance изменится на No Access, то Петров не сможет использовать этот файл, несмотря на то, что он член группы, которая имеет доступ к файлу.
По умолчанию в окнах Windows Explorer находят свое отражение стандартные права, а переход к отражению индивидуальных прав происходит только при выполнении некоторых действий. Это стимулирует администратора и пользователей к использованию тех наборов прав, которые разработчики ОС посчитали наиболее удобными.
Вопросы для самопроверки
183. Какие характеристики безопасности используются в общей модели объекта, применяемого для разделяемых ресурсов в ОС Windows NT?
184. Какие схемы хранения объектов используются в Windows NT?
185. Какой метод доступа (централизованный или распределенный) применяется в Windows NT?
186. Какие классы операций доступа поддерживаются в Windows NT?
187. Какие правила в Windows NT используются для назначения списка ACL вновь создаваемому объекту?
188. Какие правила определены в Windows NT для определения действий разрешений?
Контрольные вопросы
189. Как именуется программа, используемая в ОС Windows NT для проверки прав доступа к объектам?
190. В чем смысл встроенных пользователей и групп в ОС Win- dows NT?
191. Может ли администратор Windows NT создавать новые группы и новых пользователей, для которых он самостоятельно может определить права?
192. Наследуются ли права группы ее членами?
193. Что понимается под словосочетанием «токен доступа» (access token)?
194. Какие объекты в Windows NT снабжаются дескрипторами без-опасности?
195. Может ли менять ACL объекта пользователь, который его создал?
196. Если администратор Windows NT стал владельцем некоторого объекта, принадлежащего другому пользователю, а затем захотел вернуть владение объектом прежнему хозяину, то может ли он это сделать?
197. В чем отличие элементов ACL Windows NT от ОС UNIX?
198. Допустимо ли в Windows NT управлять доступом к файлам и каталогам для ФС типа FAT?
199. Какие типы разрешений определены в Windows NT?
200. Перечислите стандартные разрешения ОС Windows NT, применяемые для файлов.
201. Перечислите стандартные разрешения ОС Windows NT, применяемые для каталогов.
