Проблем с разрешения, Windows IT Pro
Сървърът е част от Windows NT-базирани операционни системи от деня, в който са родени.
Пълен контрол или промяна
Почти всички специалисти са наясно с опасностите от използването на разрешение за пълен контрол. Кръгът от хора, които трябваше да обмислят сценарии, при които разрешенията за модифициране представляват определена опасност, вече не е толкова широк. Бих могъл да отделя повече от една страница за описание на заплахите, причинени от предоставяне на разрешения за модифициране и пълен контрол на потребителски групи, но в тази статия ще се огранича само до най-сериозните опасности. Имам предвид даване на разрешение за изтриване.
В почти всички случаи, когато файловете се споделят от ИТ специалисти, тази група потребители получава разрешение за промяна или пълен контрол. Така че опасността е, че шаблоните за разрешения за промяна и пълен контрол включват разрешение за изтриване, което по подразбиране се отнася за „тази папка, както и за нейните подпапки и файлове“. След като получи такова разрешение и правото да го наследи, потребител на такава група може да изтрие всеки файл или подпапка, както и всички файлове и подпапки. С други думи, всеки член на екипа може да избере всяка папка, да натисне клавиша Delete - и довиждане, данни. Такова изтриване може да бъде умишлено или случайно, но по някакъв начин може да бъде предотвратено.
Отделете време, за да определите изискванията за папките, до които могат да имат достъп множество потребители, когато си сътрудничат, и не забравяйте, че разрешенията могат да се използват за добро или лошо. Ще можете да проверите дали има няколко начина за разрешаване на проблема с разрешението за изтриване в зависимост от изискванията за папката, на която давате разрешения. Метод първи: можете да предоставите на цялата група разрешение Allow: Write, според което всеки член на групата може да създава и променя файлове и папки. След това трябва да предоставите разрешение за изтриване на ограничена група потребители. Метод втори: Предоставяне на групата Промяна на разрешение, но промяна на обхвата на това разрешение, така че то да се отнася само за файлове. В същото време се запазва възможността за непреднамерено или умишлено изтриване на файлове в папка, но рекурсивното изтриване на подпапки е изключено в случай на неволно изтриване.
Изтриване на подпапки и файлове
Още по-опасно е разрешението за изтриване на подпапки и файлове, записът за контрол на достъпа (ACE) в шаблона за разрешение за пълен контрол. Потребител, който има това разрешение за работа с определена папка, може да изтрие всяка подпапка или файл в нея, дори ако изрично му е било разрешено Deny: Delete разрешение. С други думи, всеки потребител, който е член на група с разрешение за пълен контрол за определена папка, може да изтрие цялото й съдържание и да създаде ситуация на отказ за услуга. Това е значително по-лошо от стандартното разрешение за изтриване, тъй като разрешението за изтриване на подпапки и файлове заменя всички други разрешения, включително изричните разрешения за отказ. Как да не си спомняте револвера в ръцете на маймуната.
За да избегнете тази ситуация, използвайте най-добрата практика номер две: Бъдете изключително внимателни, когато давате разрешение за пълен контрол. Препоръчвам да ограничите разрешенията за пълен контрол до обхвата на системата. Предоставете шаблон за разрешение за промяна плюс разрешение за промяна на разрешения за групи, които трябва да променят разрешенията за папки. Между другото, най-добрата практика номер едно е: Винаги да присвоявате разрешения на групи, а не на потребители. Сега се обръщам към следващия "дразнител".
Вход за контрол на достъпа на създателя
Как да решим този досаден проблем? Помислете за разрешенията, които трябва да имат потребителите на споделената папка. Може да поискате изцяло да премахнете записа за контрол на достъпа на Creator Owner. Ако сте присвоили на членовете на групата шаблон за разрешение Allow: Write, така че те да могат да редактират файловете на своите колеги в споделената папка, не се нуждаете от записа за контрол на достъпа на Creator Owner. Нека Дан, след като изтрие такъв запис, стане член на групата и създаде нов файл. Този файл наследява политиката за достъп на родителската папка, но не създава изрични записи за контрол на достъпа за Дан. Той може да прави промени в досието си, защото е член на групата и когато Дан напусне групата, разрешенията му се премахват. Вярно е, че Дан все още може да се върне в имота си като собственик и да си предостави правата. Ще се справим с този проблем още сега.
Промяна на разрешенията
Служителите във всяка организация трябва да се справят с проблеми, произтичащи от факта, че потребителите, действайки умишлено или неволно, променят разрешенията за достъп до файлове или папки, които те създават. Windows предоставя неявно разрешение (WRITE_DAC), което се присвоява на идентификатора на защитата (SID) на потребителя, който притежава файла или папката. Това разрешение дава на потребителя възможността да променя разрешенията за достъп до обекта дори в ситуации, когато той няма разрешения: Промяна на разрешения без него. Това може да представлява риск за сигурността, тъй като собственикът на файл или папка може да промени политиката за достъп, дефинирана в ACL за родителската папка.
Преди пускането на Windows Vista, единственото реално решение беше да се промени сървърният блок за съобщения (SMB), който е разрешенията за достъп до споделени ресурси. Обикновено администраторите използват разрешения Allow: Full Control като разрешения за SMB. Ако обаче активирате по-ограничителните разрешения за SMB Allow: Change, потребителите могат да предприемат каквито и да било действия, освен да променят разрешенията.