Zajęcia 5 zakres prac I materiały pomocnicze zakres prac



Pobieranie 126,56 Kb.
Strona3/5
Data23.10.2017
Rozmiar126,56 Kb.
1   2   3   4   5

Własność (Ownership) obiektu


Każdy obiekt ma właściciela, niezależnie od tego, czy znajduje się na woluminie NTFS czy w usłudze Active Directory. Właściciel kontroluje, w jaki sposób ustawiane są uprawnienia do obiektu i komu uprawnienia takie są nadawane.

Ważne:

  • Administrator, który musi naprawić lub zmienić uprawnienia do pliku, musi rozpocząć od przejęcia pliku na własność.

W rodzinie systemów Windows Server 2003 właścicielem domyślnym jest grupa Administrators. Właściciel może zawsze zmieniać uprawnienia do obiektu, nawet jeśli nie ma do niego żadnego dostępu.

Własność może uzyskać:



  • Administrator. Grupa Administrators ma domyślnie przyznane prawo użytkownika Take ownership (Przejęcie na własność) plików lub innych obiektów.

  • Każdy użytkownik i grupa z uprawnieniem Take ownership do danego obiektu.

  • Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów).

Własność można przenieść w następujący sposób:

  • Aktualny właściciel może przyznać uprawnienie Take ownership innym użytkownikom, pozwalając im przejąć obiekt na własność w dowolnym czasie. Aby dopełnić przekazywania, użytkownik musi rzeczywiście przejąć własność.

  • Własność może przejąć Administrator.

  • Użytkownik, który ma przywilej Restore files and directories (Przywracanie plików i katalogów), może kliknąć dwukrotnie ikonę Other users and groups (Inni użytkownicy i grupy) i wybrać dowolnego użytkownika lub grupę, aby przypisać im własność.



    1. Ważne wskazówki dotyczące uprawnień i praw użytkowników


Uprawnienia jest lepiej przypisywać do grup, a nie do użytkowników


W szczególnych przypadkach należy użyć uprawnień Deny (Odmów)


  • Odmowy uprawnień należy używać do wyłączenia podzestawu grupy, której przyznano uprawnienia.

  • Odmowy można użyć do wyłączenia szczególnego uprawnienia po przyznaniu użytkownikowi lub grupie pełnej kontroli.


Korzystać z szablonów zabezpieczeń

  • Zamiast konfigurować poszczególne uprawnienia, zawsze gdy to możliwe, używać szablonów.


Jeżeli to możliwe, unikać wprowadzania zmian w domyślnych wpisach zabezpieczeń obiektów systemu plików, szczególnie folderów systemowych i folderów głównych

  • Zmiana uprawnień domyślnych może spowodować nieoczekiwane problemy z dostępem lub pogorszenie skuteczności zabezpieczeń.


Nigdy nie odmawiać dostępu (nie stosować Deny) do obiektu grupie Everyone (Wszyscy)

  • Jeżeli odmówi się uprawnienia do obiektu grupie Everyone, odmówi się go także administratorom. Lepszym rozwiązaniem jest usunięcie grupy Everyone, jeżeli udzieli się uprawnienia do tego obiektu innym użytkownikom, grupom lub komputerom.


Przypisywać uprawnienia do obiektu znajdującego się jak najwyżej w drzewie, a następnie zastosować dziedziczenie, aby propagować ustawienia zabezpieczeń w całym drzewie

  • Można szybko i efektywnie stosować ustawienia kontroli dostępu dla wszystkich obiektów podrzędnych lub poddrzewa obiektu nadrzędnego. Dzięki temu można uzyskać największe efekty najmniejszym wysiłkiem. Ustanawiane ustawienia uprawnień powinny być odpowiednie dla większości użytkowników, grup i komputerów.


Uwagi:

  • Odziedziczone uprawnienia Deny nie zapobiegają dostępowi do obiektu, jeżeli obiekt ma jawny wpis uprawnienia Allow.

  • Jawne uprawnienia mają wyższy priorytet od uprawnień odziedziczonych, nawet odziedziczonych uprawnień Deny.



    1. Jaki wpływ na uprawnienia do plików i folderów ma dziedziczenie


Po ustawieniu uprawnień (permissions) do folderu nadrzędnego (parent folder) nowe pliki i podfoldery tworzone w folderze dziedziczą te uprawnienia.
Aby pliki i podfoldery nie dziedziczyły uprawnień, podczas konfigurowania uprawnień specjalnych do folderu nadrzędnego należy zaznaczyć na liście Apply onto (Zastosuj dla) pozycję This folder only (Tylko ten folder).

Aby tylko określone pliki i podfoldery nie dziedziczyły uprawnień, należy kliknąć prawym przyciskiem myszy plik lub podfolder, kliknąć polecenie Properties (Właściwości), kliknąć kartę Security (Zabezpieczenia), kliknąć przycisk Advanced (Zaawansowane), a następnie wyczyścić pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. (Zezwalaj na propagowanie dziedziczonych uprawnień z obiektu nadrzędnego do tego obiektu i wszystkich obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.).


Jeśli pola wyboru są zacieniowane, plik lub folder odziedziczył uprawniania po folderze nadrzędnym. Istnieją trzy sposoby wprowadzania zmian do uprawnień dziedziczonych:
- Wprowadzeni zmiany do folderu nadrzędnego, a plik lub folder będzie dziedziczyć te uprawnienia.

- Zaznaczenie uprawnienia przeciwnego (Allow or Deny) (Zezwalaj lub Odmów), aby zastąpić


uprawnienie dziedziczone.
- Wyczyszczenie pole wyboru Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here. Następnie można wprowadzać zmiany do uprawnień lub usunąć użytkownika albo grupę z listy uprawnień. Jednak plik lub folder nie będzie już wtedy dziedziczyć uprawnień po folderze nadrzędnym.

W większości przypadków uprawnienie Deny (Odmów) zastępuje Allow (Zezwalaj), chyba że folder dziedziczy skonfliktowane ustawienia po różnych obiektach nadrzędnych. W takim przypadku pierwszeństwo ma ustawienie dziedziczone po obiekcie nadrzędnym, znajdującym się najbliżej w poddrzewie.

Tylko uprawnienia dziedziczne są dziedziczone przez obiekty podrzędne. Ustawiając uprawnienia do obiektu nadrzędnego, można zdecydować za pomocą listy Apply onto (Zastosuj dla), czy foldery lub podfoldery mogą je dziedziczyć.
Uprawnienia użytkownika lub grupy do obiektu można sprawdzić za pomocą Effective Permissions tool (narzędzia Czynne uprawnienia).




1   2   3   4   5


©operacji.org 2017
wyślij wiadomość

    Strona główna