Kontrola dostępu do zasobów

Transkrypt

1 Kontrola dostępu do zasobów 1 (Pobrane z slow7.pl) Do zarządzania dostępem do zasobów można użyć mechanizmów kontroli dostępu wbudowanych w systemy z rodziny Windows Server. Podmiotem zabezpieczeń może być konto użytkownika, które można uwierzytelnić a także grupa zabezpieczeń i konta komputerów. Podmiotom zabezpieczeń nadaje się uprawnienia, aby zezwolić na określony dostęp. Uprawnienia otwierają lub zamykają dostęp do zasobów sieciowych. Kontrola dostępu to proces autoryzowania użytkowników, grup i komputerów w celu udostępniania obiektów znajdujących się w sieci lub na komputerze. Podmiotom zabezpieczeń nadaje się uprawnienia, aby zezwolić na dostęp. Uprawnienia otwierają lub limitują dostęp do zasobów sieciowych. Podmiotami zabezpieczeń są na przykład użytkownik, grupa zabezpieczeń i konta komputerów. Każdy podmiot zabezpieczeń jest oznaczany unikatowym identyfikatorem zabezpieczeń (SID). Identyfikator ten jednoznacznie wskazuje konkretny podmiot zabezpieczeń (np. konto użytkownika, grupę, itd.). Jest to ciąg alfanumeryczny generowany podczas tworzenia konta. Prawa definiują, jakie operacje dany użytkownik (a raczej element o danym numerze SID) może wykonać na danym obiekcie. Zalecane jest przypisywanie praw do grupy użytkowników, a nie do poszczególnych osób. Numer SID jest unikatowy. W systemie Windows Server 2003/2008 mechanizmy kontroli dostępu rozpoznają podmioty zabezpieczeń na podstawie ich identyfikatorów SID, a nie nazw. Jeśli na przykład przypadkowo usuniesz konto użytkownika, po czym utworzysz je ponownie przy użyciu tej samej nazwy i innych informacji, otrzyma ono nowy identyfikator SID. Nowe konto będzie miało nazwę starego konta, ale nie odziedziczy przypisanych mu uprawnień. Uprawnienia są związane z identyfikatorem SID. Kluczowymi pojęciami z tym związanymi są uprawnienia, własność obiektu, dziedziczone uprawnienia, prawa użytkownika i audyt obiektu. Uprawnienia

2 2 (Pobrane z slow7.pl) Uprawnienia określają rodzaj dostępu przydzielany użytkownikowi lub grupie do obiektu lub do właściwości obiektu. Używając interfejsu kontroli dostępu, można nadawać uprawnienia NTFS do obiektów takich jak pliki i foldery, obiektów Active Directory, rejestrów lub obiektów systemu takich jak procesy. Dobrą praktyką jest nadawanie uprawnień dla grup, ponieważ zwiększa to wydajność systemu podczas weryfikowania dostępu do obiektu. Można by się zastanawiać czemu do grupy a nie do konkretnego użytkownika, odpowiedź jest prosta wyobraź sobie sytuację, gdy musisz zezwolić 50 użytkownikom na dostęp do drukarki, możesz to oczywiście zrobić na zasadzie przydzielenia uprawnienia każdemu z osobna ale po co? O wiele szybciej wykonasz taką czynność, gdy utworzysz np. grupę o nazwie "dostęp do drukarki" następnie dodasz tych 50 użytkowników do tej grupy i nadasz uprawnienie do drukowania właśnie tej grupie. Do każdego obiektu można nadać uprawnienia dla: grup, użytkowników i innych obiektów posiadających identyfikator zabezpieczeń (SID) w domenie, grup i użytkowników w domenie i domenach zaufanych, lokalnych użytkowników i grup na komputerach gdzie dany obiekt się znajduje. Uprawnienia jakie możesz nadać obiektowi są zależne od jego typu. Np. uprawnienia, które są związane z plikiem różnią się od uprawnień nadawanym np. drukarką. Lecz jest cześć uprawnień która jest wspólna dla większości typów obiektów. Są to: Odczyt/Read Modyfikacja/Modify Zmień właściciela/change owner Skasuj/Delete Każdy znajdujący się w sieci kontener i obiekt ma dołączony zestaw informacji dotyczących kontroli dostępu. Informacje te, znane jako deskryptory zabezpieczeń, kontrolują typ dostępu przyznany użytkownikom i grupom. Deskryptory zabezpieczeń są tworzone automatycznie wraz z tworzonym kontenerem lub obiektem. Typowym przykładem obiektu z deskryptorem zabezpieczeń jest plik. Uprawnienia są zdefiniowane w deskryptorze zabezpieczeń obiektu. Uprawnienia są przypisane do określonych grup lub użytkowników. Na przykład grupa Administratorzy może mieć w przypadku pliku dane.dat przypisane uprawnienia Odczyt, Zapis i Usuwanie, podczas gdy grupa Operatorzy może mieć przypisane tylko uprawnienia Odczyt i Zapis. Każde przypisanie uprawnień użytkownikowi lub grupie jest nazywane wpisem uprawnień, który jest rodzajem wpisu kontroli dostępu (ACE, Access Control Entry). Cały zbiór wpisów uprawnień, znajdujących się w deskryptorze zabezpieczeń, jest nazywany zbiorem uprawnień lub listą kontroli dostępu (ACL, Access Control List). Dlatego do zbioru uprawnień pliku dane.dat należą dwa wpisy uprawnień, jeden dla grupy Administratorzy, a drugi dla grupy Operatorzy. Na filmie poniżej przedstawione jest nadanie uprawnień do zasobu Temp dwóm użytkownikom znajdującym się w różnych grupach. Przyczym jeden uzyskuje pełny dostęp a drugi ograniczony.

3 3 (Pobrane z slow7.pl) Właściciel obiektu Gdy dany obiekt jest tworzony, jest mu przypisywany właściciel. Domyślnie, właścicielem obiektu jest jego twórca. Nie ma znaczenia, jakie posiada on uprawnienia do obiektu, ponieważ zawsze może je zmienić. Administrator, który musi naprawić lub zmienić uprawnienia do pliku, musi rozpocząć od przejęcia pliku na własność. W rodzinie systemów Windows Server właścicielem domyślnym jest grupa Administratorzy. Właściciel może zawsze zmieniać uprawnienia do obiektu, nawet jeśli nie ma do niego żadnego dostępu. Własność może uzyskać: Administrator. Grupa Administratorzy ma domyślnie przyznane prawo użytkownika Przejmowanie na własność plików lub innych obiektów.

4 4 (Pobrane z slow7.pl) Każdy użytkownik i każda grupa z uprawnieniem Przejęcie na własność do danego obiektu. Użytkownik, który ma przywilej Przywracanie plików i katalogów. Własność można przenieść w następujący sposób: Własność może przejąć administrator. Aktualny właściciel może przyznać uprawnienie Przejęcie na własność innym użytkownikom, pozwalając im przejąć obiekt na własność w dowolnym czasie. Aby dopełnić przekazywania, użytkownik musi rzeczywiście przejąć własność. Użytkownik, który ma przywilej Przywracanie plików i katalogów, może kliknąć dwukrotnie ikonę Inni użytkownicy i grupy i wybrać dowolnego użytkownika lub grupę, aby przypisać im własność. Dziedziczenie uprawnień Dziedziczenie uprawnień jest mechanizmem ułatwiającym pracę administratorom w nadawaniu uprawnień i zarządzaniu nimi. Mechanizm polega na tym, że obiekty znajdujące się w danym kontenerze automatycznie otrzymują (dziedziczą) wszystkie jego uprawnienia. Np. wszystkie pliki w folderze w momencie tworzenia dziedziczą uprawnienia od tego folderu. Prawa użytkownika Dzięki prawom użytkownika, można nadawać specyficzne przywileje dla użytkowników (kont indywidualnych użytkowników) i grup w środowisku komputerów. Umożliwiają one użytkownikom wykonywanie specyficznych akcji takich jak wykonywanie kopii zapasowej plików i folderów czy interaktywne logowanie do systemu. Prawa użytkownika różnią się od uprawnień, ponieważ są przypisywane do kont użytkownika, a uprawnienia są połączone z obiektem. Mimo, że prawa użytkownika mogą być przypisywane do indywidualnych kont użytkowników, zalecane jest by nadawać je korzystając z grup. Prawa użytkowników przypisane grupie są stosowane do wszystkich członków grupy, dopóki pozostają jej członkami. Jeśli użytkownik jest członkiem wielu grup, jego prawa użytkownika kumulują się, co oznacza, że użytkownik ma więcej niż jeden zestaw praw. Do przypisywania praw użytkownikom wykorzystywana jest przystawka Zasady zabezpieczeń lokalnych (Local Security Settings). Audyt obiektu Posiadając prawa administratora można śledzić zakończone sukcesem lub porażką dostępy użytkowników do obiektów. Korzystając z interfejsu kontroli dostępu użytkownika można wybrać

5 5 (Pobrane z slow7.pl) obiekt, który chcemy sprawdzać, lecz najpierw trzeba uruchomić tą funkcjonalność przy pomocy przystawki Local Security Settings włączając Zasady inspekcji (Audit object Access) w Local Policy. Następnie można zobaczyć te powiązane z bezpieczeństwem zdarzenia w dzienniku Security w narzędziu Podgląd zdarzeń (Event Viewer). Zarządzanie uprawnieniami Każdy udostępniany obiekt w naszej sieci posiada zbiór informacji o kontroli dostępu do niego, innymi słowy informacje zawarte w tym zbiorze służą do weryfikacji czy dany użytkownik/grupa ma prawo z tego obiektu korzystać. Uprawnienia jak zostało wspomniane są zdefiniowane w deskryptorze bezpieczeństwa obiektu i są przypisane do użytkowników i grup. Istnieją dwa typy uprawnień: uprawnienia, które przypiszemy bezpośrednio - czyli takie które są nadawane bezpośrednio na obiekcie przez użytkownika. uprawnienia dziedziczone - czyli nadawane bezpośrednio od obiektu znajdującego się wyżej w drzewie hierarchii (od obiektu nadrzędnego - rodzica). Taki mechanizm ułatwia nam zadania związane z zarządzaniem uprawnieniami i zapewnia integralność uprawnień dla wszystkich obiektów wewnątrz danego kontenera - nie musimy nadawać uprawnień do każdego folderu/pliku znajdującego się w np. folderze, wystarczy że uprawnienia nadamy folderowi w którym te podfoldery/pliki się znajdują. Tak jak zostało wspomniane wyżej, domyślnie, wszystkie obiekty wewnątrz danego kontenera przejmują (dziedziczą) od niego uprawnienia w momencie, kiedy są tworzone. Na przykład, kiedy tworzymy folder o nazwie Dokumenty, wszystkie tworzone w nim podfoldery i pliki automatycznie dziedziczą od niego uprawnienia. Folder Dokumenty posiada uprawnienia przypisane bezpośrednio a podfoldery i pliki mają uprawnienia dziedziczone. Jeśli chcemy wyłączyć dziedziczenie uprawnień należy w folderze nadrzędnym w ustawieniach uprawnień specjalnych w sekcji Zastosuj do (Apply on to) wybrać opcję Tylko ten folder (This folder only).

6 6 (Pobrane z slow7.pl) Rysunek 1 Wyłączenie dziedziczenia uprawnień Uprawnienia specjalne dostępne są poprzez zakładkę Permissions. W przypadku, gdy chcemy by tylko kilka plików lub folderów w kontenerze nie dziedziczyło uprawnień należy wybrać na każdym z nich polecenie Properties, następnie zakładkę Security, kliknąć przycisk Advanced a potem odznaczyć opcję Dołącz uprawnienia dziedziczne z tego obiektu nadrzędnego (Include inheritable permissions from this object's parent). Filmik opisujący mechanizm dziedziczenia - 2 użytkowników mający dostęp do jednego folderu, przyczym w folderze tym znajdują się katalogi przypisane im grupom w których się znajdują, sprowadza się to do tego że mogą zapisywać w katalogu głównym ale dostęp do podkatalogów jest ograniczony.

7 7 (Pobrane z slow7.pl) Jeśli check box Zezwól (Allow) lub Odmów (Deny) powiązany z uprawnieniem jest wyszarzony, oznacza to uprawnienie jest dziedziczone z folderu nadrzędnego. Są trzy metody zmiany dziedziczonych uprawnień: wskazać uprawnienie przeciwne (Allow lub Deny), by nadpisać uprawnienie przekazane po kontenerze nadrzędnym, odznaczyć check box Include inheritable permissions from this object's parent. Uzyskamy wtedy możliwość modyfikacji ustawień dziedziczenia a także będziemy mogli usuwać użytkowników/grupy z listy ACL. Po takiej modyfikacji folder/plik nie będzie więcej dziedziczył uprawnień od folderu nadrzędnego, wykonać zmianę na folderze nadrzędnym, a foldery/pliki znajdujące się wewnątrz folderu, poniżej odziedziczą te ustawienia. W większości przypadkach ustawienie Deny nadpisuje Allow, nie dotyczy to sytuacji, kiedy folder dziedziczy konfliktowe ustawienia od różnych rodziców. W takim wypadku obiekt dziedziczy ustawienie od rodzica bliższego w drzewie folderów. Dla konkretnego obiektu system ma pewien domyślny poziom ustawień zabezpieczeń. Uprawnienia standardowe są zdefiniowanymi zestawami uprawnień wykorzystywanymi najczęściej przez administratorów w codziennym zarządzaniu. Uprawnienia specjalne są bardziej szczegółową listą uprawnień. Zawartość listy dostępnych uprawnień standardowych różni się w zależności od rodzaju obiektu, dla którego modyfikowane są zabezpieczenia.

8 8 (Pobrane z slow7.pl) Tabela 1 Uprawnienia standardowe i wchodzące w ich skład uprawnienia szczegółowe ( Uprawnienia specjalne Pełna kontrola (Full Control) Modyfikacja (Modify) Odczyt i wykonanie (Read& Execute) Pokazanie zawartości folderu (List Folder Contents (tylko dla folderów)) Odczyt (Read) Zapis (Write) Przechodzenie przez folder /Wykonywanie plików (Traverse Folder/Execute x x x x File) Wyświetlenie zawartości folderu /Odczytywanie plików (List Folder/Read x x x x x Data) Odczyt atrybutów (Read Attributes) x x x x x Odczyt atrybutów rozszerzonych (Read x x x x x Extended Attributes) Tworzenie plików/zapis danych (Create x x x Folders/Append Data) Tworzenie folderów/dołączanie danych (Create x x x Folders/Append Data) Zapis atrybutów (Write Attributes) x x x Zapis atrybutów rozszerzonych (Write x x x Extended Attributes) Usuwanie podfolderów I plików (Delete Subfolders x and Files) Usuwanie (Delete) x x Odczyt uprawnień (Read Permissions) x x x x x x Zmiana uprawnień (Change Permissions) x Przejęcie na własność (Take Ownership) x Synchronize x x x x x x Dostęp do interesującego nas folderu na serwerze plików możemy określić na dwóch poziomach:

9 9 (Pobrane z slow7.pl) uprawnień ustawionych na udostępnionym folderze, uprawnień NTFS zdefiniowanych na folderze (ale mogą to być również pliki). Uprawnienia udostępnienia najczęściej stosujemy by określić dostęp do komputerów z systemem plików FAT32, lub innych komputerów nieobsługujących systemu NTFS. Uprawnienia udostępnienia i NTFS są wobec siebie niezależne i rzeczywiste uprawnienia do udostępnionego folderu zależą zarówno od uprawnień do udostępnionego folderu jak i od uprawnień NTFS (które są bardziej restrykcyjne). W tabeli 2 są przedstawione typowe/sugerowane uprawnienia dla różnych typów udostępnionych folderów - taka ściągawka pozwalająca nam bez zastanawiania się wykonać typowe zadania związane z kontrolą do zasobów. Oczywiście jest to jedna z alternatyw i propozycji, ponieważ niektórzy administratorzy wyżej stawiają metodę, która polega na nadaniu uprawnień Full Control dla grupy Everyone, a ograniczenie dostępu dopiero na poziomie NTFS. Tabela 2 Sugerowane uprawnienia dla różnych typów folderów Typ folderu folder publiczny - folder dostępny dla wszystkich użytkowników sieci Uprawnienia udostępnionego folder Uprawnienie Zmiana/Change do grupy Users folder do Uprawnienie składowania ważnych Zmiana/Change dla plików - folder w grupy Users. którym użytkownicy Nadane uprawnienie umieszczają istotne Pełna kontrola/full dokumenty, które tylko Control dla grupy czytać mogą np. grupa kierowników kierowników folder aplikacji - w folderze są umieszczone aplikacje uruchamiane z sieci Uprawnienie Odczyt/Read dla grupy Users. Uprawnienia NTFS Uprawnienie Modyfikacja/ Modify dla grupy Users Uprawnienie Zapis/Write dotyczące tylko tego folderu (ang. This folder only) dla grupy Users (Zaawansowane). Jeśli wymagała by taka potrzeba by użytkownik potrzebował pewnych uprawnień do plików, które umieścił w tym folderze, można stworzyć wpis uprawnień dla grupy Creator Owner i zasosować do podfolderów i plików ( Subfolder and files Only) Uprawnienie Odczyt/Read, Odczyt i wykonanie/read and Execute oraz Pokaż zawartość folderu/list folder Content dla grupy Users.

10 foldery domowe - tak aby do indywidualnego folderu miał dostęp dany użytkownik. Uprawnienie Pełna kontrola/full Control dla każdego użytkownika na odpowiadającym mu folderze. 10 (Pobrane z slow7.pl) Uprawnienie Pełna kontrola/full Control dla każdego użytkownika na odpowiadającym mu folderze. Udostępnianie folderu Udostępnianie foldera konfiguruje usługę File And Printer Sharing For Microsoft Networks (Udostępnianie plików i drukarek w sieci Microsoft Networks), nazywaną również usługą serwera, tak aby klienci mogli w sieci uzyskiwać dostęp do danego foldera i jego podfolderów a także drukarek. Z pewnością każdy administrator udostępniał folder za pomocą programu Windows Explorer - kliknięcie foldera prawym przyciskiem myszy, wybranie polecenia Udostępnianie i zabezpieczenia (Sharing And Security), ( w nowszych Windowsach opcja Udostępnij) a następnie opcji Udostępnij ten folder (Share This Folder). Udostępnienie można również zrealizować po wybraniu właściwości danego folderu i zakładki Udostępnienie i Zabezpieczenie. Rysunek 2 Udostępnianie zasobu

11 11 (Pobrane z slow7.pl) Foldery udostępnione jak już było wspomniane oferują możliwość dostępu do plików i folderów za pośrednictwem sieci. Użytkownicy mogą połączyć się z takim folderem przez sieć i korzystać ze znajdujących się w nim obiektów. Foldery udostępnione mogą zawierać aplikacje, dane publiczne lub osobiste dane użytkownika. Stosowanie udostępnionych folderów aplikacji pozwala scentralizować proces administrowania, ponieważ administrator może zainstalować i obsługiwać aplikacje na serwerze, a nie na komputerach klienckich. Korzystanie z udostępnionych folderów danych pozwala wprowadzić centralną lokalizację plików wspólnych dla wielu użytkowników, jak również znacznie ułatwia wykonywanie kopii zapasowych danych zawartych takich plikach. Udostępnienie folderu to operacja, w której możliwość dostępu do folderu zostaje zaoferowana jednocześnie wielu użytkownikom. Po udostępnieniu folderu użytkownicy, którzy uzyskają odpowiednie uprawnienia, mogą korzystać ze wszystkich plików i podfolderów znajdujących się w folderze. Foldery udostępnione można umieszczać na serwerze plików lub na dowolnym komputerze w sieci. Dobór plików zawartych w tych folderach może być uzależniony od ich kategorii lub funkcji. Na przykład udostępnione pliki danych można umieszczać w jednym folderze, a udostępnione pliki aplikacji w innym. Udostępnieniem folderów można również sterować za pomocą konsoli MMC jako część konsoli Zarządzanie komputerem (Computer Management) lub jako część konsoli Zarządzanie serwerem plików (File Server Management).

12 12 (Pobrane z slow7.pl) Rysunek 3 Udostępnione zasoby - konsola MMC Sposoby udostępniania Po uruchomieniu przystawki, warto zwrócić uwagę, że niektóre foldery administracyjne systemu są już udostępnione (ustawienia domyślne). Te współdzielone zasoby umożliwiają połączenie do katalogu systemu (najczęściej jest to C:\Windows), jak również do katalogu głównego każdego dysku twardego. W nazwie tych zasobów udostępnionych umieszczany jest znak dolara ($). Oznacz to że folder udostępniony można ukryć. W tym celu za jego nazwą należy wpisać znak dolara ($). Użytkownik nie zobaczy takiego folderu na ekranach interfejsu, ale może do niego przejść po wpisaniu nazwy w formacie UNC (Universal Naming Convention), na przykład \\mojserwer\tajne$ bądź użycie adresu IP zamiast nazwy serwer na przykład \\ \tajne$. Do udostępnionego zasobu administracyjnego mogą dołączyć się jedynie administratorzy. Domyślnie członkowie grupy Administratorzy mają wobec administracyjnych folderów udostępnionych uprawnienie Pełna kontrola. Użytkownik nie może samodzielnie modyfikować uprawnień do tych folderów. Poniżej opisano przeznaczenie administracyjnych folderów udostępnionych. Folder udostępniony np. C$,D$,E$ - foldery te służą do nawiązywania zdalnego połączenia z komputerem i wykonywania zadań administracyjnych. Katalog główny każdej partycji (oznaczony literą dysku) na dysku twardym jest udostępniany automatycznie. Nawiązanie połączenia z tym folderem powoduje uzyskanie dostępu do całej partycji.

13 13 (Pobrane z slow7.pl) Admin$ - główny folder systemowy, domyślnie - C:\Windows. Administratorzy mogą używać tego folderu do zasądzania systemem Windows. Print$ - ten folder umożliwia komputerom klienckim dostęp do plików sterowników drukarek. IPC$ - tego folderu używa się podczas zdalnego administrowania komputerem i podczas przeglądania udostępnionych zasobów komputera. FAX$ - ten folder udostępniony jest wykorzystywany do tymczasowego buforowania plików i uzyskiwania dostępu do stron tytułowych przechowywanych na serwerze. Foldery administracyjne Opublikowany folder udostępniony jest to obiekt folderu udostępnionego w usłudze Active Directory. Zaletą takiego rozwiązania jest to że klienci mogą przeszukiwać usługę Active Directory w poszukiwaniu opublikowanych folderów udostępnionych oraz to że nie muszą znać nazwy serwera, aby się połączyć z zasobem sieciowym

14 14 (Pobrane z slow7.pl) Rysunek 4 Publikowanie zasobu w AD

15 15 (Pobrane z slow7.pl) Rysunek 5 Wyszukiwanie udostępnionego zasobu w usłudze AD Mapowanie dysków sieciowych jest mechanizmem, który pozwala uzyskać dostęp do folderu zdalnego za pomocą okna Komputer. Mapowanie dysków sieciowych w Windows jest dostępnie z menu kontekstowego, po zainstalowaniu sieci Microsoft Networks. Żeby zmapować dysk sieciowy należy kliknąć prawym przyciskiem myszy na ikonę Komputer bądź Sieć i wybrać opcje Mapuj dysk sieciowy. Bądź skorzystać z opcji dostępnej w oknie Komputer. Rysunek 6 Mapowanie dysku sieciowego

16 16 (Pobrane z slow7.pl) Rysunek 7 Mapowanie dysku sieciowego Następnie pojawi nam się okno w którym należy wpisać ścieżkę do udziału czyli udostępniony katalog na innym komputerze. Ścieżka powinna mieć postać \\KOMPUTER\KATALOG czyli dla przykładu \\smietnik\temp_usb1_c. Możemy oczywiście tutaj skorzystać z przycisku Przeglądaj i zamiast wpisywać wybrać interesujący nas folder (nawet wewnątrz udostępnionego zasobu. W polu Dysk wybieramy literę dysku pod jaka będzie widoczny udostępniany folder. Zaznaczenie opcji Połącz ponownie po zalogowaniu spowoduje, że nasz zmapowany dysk będzie podłączany zawsze po restarcie komputera.

17 17 (Pobrane z slow7.pl) Rysunek 8 Opcje mapowania dysku sieciowego Jeśli chcemy łączyć się ze zdalnym katalogiem używając innego użytkownika niż domyślny wybierz opcje Połącz przy użyciu innych poświadczeń. Odtąd nasz zmapowany folder będzie widniał w oknie Komputer jako dysk sieciowy. Rysunek 9 Zmapowany dysk sieciowy - Okno Komputer Procedura odłączania zmapowanego dysku jest również prosta, trzeba na początku wybrać n menu

18 18 (Pobrane z slow7.pl) kontekstowego "Odłącz dysk sieciowy". Pojawi nam się okno z wymienioną listą podłączonych dysków sieciowym, należy zaznaczyć ten który chcemy odłączyć i wybrać "OK". Rysunek 10 Odłączenie wcześniej zmapowanego dysku Dodatkowo cała procedurę mapowania dysku sieciowego możemy wykonać przy pomocy komendy NET USE. Sama komenda NET USE bez parametrów, wyświetli nam listę zmapowanych dysków.

19 19 (Pobrane z slow7.pl) Rysunek 11 Użycie komendy - net use Pozostałe przydatne zastosowania NET USE: NET USE z: \\smietnik\temp_usb1_c -mapujemy dysk z: udział Temp_USB1_C na komputerze smietnik. NET USE z: \\smietnik\temp_usb1_c \katalog - mapujemy na dysk "z:" katalog znajdujący się wewnątrz udziału Temp_USB1_C na komputerze smietnik. Przy mapowaniu czasem będzie potrzebne użycie cudzysłowów, szczególnie gdy mapowany katalog zawiera spacje. NET USE z: \\smietnik\temp_usb1_c nasze_hasło /USER:użytkownik - mapujemy na dysk "z:" udziału Temp_USB1_C na komputerze smietnik jako użytkownik z hasłem nasze_hasło. Jeśli byśmy nie podali hasła byśmy byli o nie zapytani. NET USE z: \\smietnik\temp_usb1_c nasze_hasło /USER:użytkownik /SAVECRED - to samo co wyżej z tym że dzięki użyciu przełącznika dostępnego od Windows XP Professional /SAVECRED dane o użytkowniku i haśle zostaną zapamiętane w celu przywrócenia połączenia. NET USE z: /delete /yes - Odłącza dysk sieciowy "z:" bez potwierdzenia. Jeśli mapujemy dyski sieciowe za pomocą komendy NET USE i chcemy je ustawić na stałe należy użyć przełącznik PERSISTENT:YES, czyli np: NET USE z: z: \\smietnik\temp_usb1_c hasło /USER:użytkownik /PERSISTENT:YES Uprawnienia czynne Częstą sytuacją, która ma miejsce jest to że użytkownicy należą do kilku grupa a różne grupy mają

20 20 (Pobrane z slow7.pl) przydzielony różny poziom dostępu do zasobów. Gdy dochodzi do takiej sytuacji, co wcale nie jest rzadkością i lista ACL zawiera wiele wpisów, użytkownik musi mieć możliwość oceny uprawnień, czyli jakie faktycznie uprawnienia ma dany użytkownik do konkretnego zasobu. Uprawnienia wynikowe nazywane są uprawnieniami czynnymi. Należy mieć na uwadze że przy określaniu uprawnień czynnych mają zastosowanie poniższe reguły: uprawnienia NTFS do plików mają priorytet wyższy niż uprawnienia do folderów, uprawnienia zbiorcze stanowią połączenie najwyższych uprawnień NTFS przyznanych użytkownikowi i wszystkim grupom, do których należy użytkownik - uprawnienia czynne są sumą wszystkich uprawnień Allow (Zezwalaj), uprawnienia odmowy powodują zastąpienie wszystkich uprawnień - odmowa uprawnienia unieważnia wpis dotyczący zezwolenia dostępu, uprawnienia bezpośrednie mają pierwszeństwo nad uprawnieniami dziedziczonymi - wpis ustawiony bezpośrednio dla zasobu unieważnia sprzeczny wpis uprawnienia dziedziczonego. Jest to logiczne ponieważ: folder nadrzędny określa "regułę" dzięki temu, że działa dziedziczenie. Obiekt podrzędny może wymagać dostępu, który nie jest zgodny z tą regułą i dlatego uprawnienie jest dodawane bezpośrednio do listy ACL obiektu podrzędnego. Mam nadzieję że poniższa tabela przedstawiająca stan uprawnień przybliży działanie tych reguł. Tabela 3 Stany uprawnień Uprawnienie Modyfikacja zostało użytkownikowi bądź grupie udzielone jawnie - uzyskuje on dostęp w zakresie uwzględnionym w danym uprawnieniu. Nastąpiła jawna odmowa Modyfikacji, użytkownik bądź grupa traci możliwość dostępu w zakresie uwzględnionym w danym uprawnieniu. Dzieje się tak ponieważ do uprawnienia Odmów zawsze jest przypisywany wyższy priorytet niż do uprawnień Zezwalaj. Następuje odmowa Modyfikacji, użytkownik bądź grupa traci możliwość dostępu w zakresie uwzględnionym w danym uprawnieniu. Dzieje się tak ponieważ uprawnienie nie zostało udzielone jawnie dlatego następuje domyślna odmowa dostępu. Następuje dziedziczenie uprawnienia po kontenerze nadrzędnym. Grupa bądź użytkownik uzyskuje dostęp w zakresie uwzględnionym w danym uprawnieniu. Można jawnie Odmówić uprawnienia kontu użytkownika bądź grupy.

21 21 (Pobrane z slow7.pl) Następuje dziedziczenie uprawnienia po kontenerze nadrzędnym. Grupa bądź użytkownik nie uzyskuje dostępu w zakresie uwzględnionym w danym uprawnieniu. Można jawnie udzielić uprawnienia kontu użytkownika bądź grupy. Aby wyświetlić czynne uprawnienia do plików i folderów: 1. W Eksploratorze Windows kliknij prawym przyciskiem myszy plik lub folder, którego czynne uprawnienia chcesz przejrzeć, i wybierz polecenie Właściwości. 2. W oknie dialogowym Właściwości na karcie Zabezpieczenia kliknij przycisk Zaawansowane. 3. W oknie dialogowym Zaawansowane ustawienia zabezpieczeń na karcie Czynne uprawnienia kliknij przycisk Wybierz. 4. W oknie dialogowym Wybieranie: Użytkownik, Komputer lub Grupa w polu Wprowadź nazwę obiektu do wybrania wpisz nazwę użytkownika lub grupy, a następnie kliknij przycisk OK. 5. Pola wyboru zaznaczone w oknie dialogowym Zaawansowane ustawienia zabezpieczeń wskazują czynne uprawnienia użytkownika lub grupy do danego pliku lub folderu. Rysunek 12 Uprawnienia czynne

22 22 (Pobrane z slow7.pl) Żądaną praktyką, która jest często stosowana jest nie nadużywanie odmowy uprawnień, a zamiast tego zezwalanie na minimalne uprawnienia, które pozwalają wykonywać zadania. Wynika to z faktu że jawna odmowa nie może być zniesiona przez żadne inne ustawienie. Pliki trybu offline Pliki trybu offline to mechanizm pozwalający na zarządzanie dokumentami, dający użytkownikowi dostęp do plików w trybach online i offline. Wszystko sprowadza się do tego, że gdy komputer kliencki odłącza się od sieci, cała zawartość pobrana do jego lokalnej pamięci podręcznej pozostaje dostępna. Użytkownicy mogą kontynuować pracę tak, jakby wciąż byli połączeni z siecią. W dalszym ciągu mogą wykonywać operacje edycji, kopiowania, usuwania itp. Można uzyskiwać dostęp do plików oraz je kopiować, edytować, drukować i usuwać dokładnie tak samo, jak w przypadku pracy w trybie online. Po ponownym połączeniu z siecią następuje automatyczna synchronizacja plików znajdujących się na serwerze i na komputerze klienckim. Filmik pokazujący działanie plików trybu offline. Porady praktyczne

23 23 (Pobrane z slow7.pl) W przypadku gdzie dostęp do zasobu jest zabroniony ale uprawnienie to wynika z dziedziczenia a obiekt ma bezpośrednio przypisane uprawnienie zezwalaj, dostęp do obiektu jest możliwy. Dzieje się tak ponieważ uprawnienie nadane bezpośrednio ma pierwszeństwo nad uprawnieniem dziedziczonym. W systemie Wndows Server 2003 i 2008, domyślnie grupa Anonymous nie należy do grupy Everyone, więc uprawnienia przypisane grupie Everyone nie dotyczą grupy Anonymous. Używaj uprawnień Odmów w następujących sytuacjach: Aby wykluczyć podzbiór grupy mającej uprawnienia Zezwalaj; Aby wykluczyć jedno uprawnienie, gdy użytkownikowi lub grupie zostało już przypisane uprawnienie Pełna kontrola. Po skopiowaniu folderu udostępnionego wyjściowy folder udostępniony pozostaje udostępniony, natomiast kopia nie jest udostępniana. Gdy folder udostępniony zostaje przeniesiony w inne miejsce, udostępnianie jest anulowane. Nadanie uprawnienia Full Control do folderu wiąże się z tym, że użytkownicy ci mogą usunąć dowolne pliki w folderze niezależnie od nadanych do nich uprawnień. Nadając użytkownikowi uprawnienie Full Control do folderu pozwala się jemu na przejęcie na własność tego folderu. Jeśli dostęp do folderów chcesz budować na zasadzie przypisywania uprawnień NTFS, nadaj uprawnienia do udostępnionego folderu, jako Full Control dla grupy Everyone. Udzielaj uprawnień grupom, a nie użytkownikom. Ponieważ bezpośrednie obsługiwanie kont użytkowników jest nieefektywne, unikaj nadawania uprawnień poszczególnym użytkownikom. Uprawnienia NTFS mają wpływ zarówno na dostęp lokalny jak i zdalny. Są wykorzystywane niezależnie od używanego protokołu. W celu uproszczenia administrowania grupuj pliki według ich funkcji. Na przykład: Pliki programów umieszczaj w folderach, w których są przechowywane często używane aplikacje; Pliki danych wykorzystywane przez wielu użytkowników grupuj w jeden folder. Nigdy nie odmawiaj dostępu do obiektu grupie Wszyscy. Odmowa dostępu do obiektu tej grupie powoduje odmowę dostępu również administratorom. Zalecanym rozwiązaniem w takim przypadku jest usunięcie grupy Wszyscy i przyznanie uprawnień do obiektu innym użytkownikom, grupom i komputerom. W stosunku do folderów danych nadawaj uprawnienia Odczyt i wykonanie oraz Zapis grupie Użytkownicy, natomiast uprawnienie Modyfikacja grupie Twórca-właściciel. Dzięki temu użytkownicy będą mogli czytać i modyfikować dokumenty tworzone przez innych użytkowników oraz czytać, modyfikować i usuwać pliki i foldery tworzone przez siebie.