Изучи Windows Server 2003 за 15 минут в неделю:
 

Получение результатов. Часть 2: Определение фактического разрешения NTFS в Windows Server 2003

Дэн Диниколо (Dan DiNicolo)

 

В предыдущей статье, посвященной новым свойствам Windows Server 2003, я рассказал о новом инструменте Resultant Set of Policy (RSoP), позволяющем системному администратору генерировать данные о точных настройках групповой политики, примененной к отдельному пользователю или компьютеру, основываясь на настроенных ОГП (объектах групповая политика). К счастью, оснастка RSoP не единственным нововведением в Windows Server 2003, значительно облегчающим жизнь системного администратора. Среди прочих, Microsoft представила новую функцию, позволяющую быстро и эффективно определять фактическое разрешение NTFS, применимое к пользователю или группе.

Способность определять фактические NTFS разрешения, примененные к пользователям или группам, всегда была источником разногласий между сетевыми администраторами. В то время как операционные системы, подобные Novell NetWare уже включили в свой состав подобную функциональную возможность, в NT 4 и Windows 2000 всегда было трудно определить, какие разрешения для определенного ресурса соответствуют каждому пользователю. Например, пользователь может быть членом нескольких групп, каждая из которых имеет разные NTFS разрешения для данного файла или папки. Не составит большого труда определить фактические разрешения в средах с ограниченным числом пользователей или групп, но, если существуют сотни различных групп, каждая с различными уровнями вложенности и различными разрешенными или запрещенными правами, то это превратиться в очень трудоемкий процесс.

Для того чтобы помочь разрешить эту проблему, Microsoft добавила новую функцию интерфейса в окно Advanced properties (дополнительные свойства) вкладки Security (разграничения доступа) для NTFS ресурсов. Эта новая вкладка, называемая Effective Permissions (фактические разрешения). Она позволяет вам определять разрешения, применимые к пользователю или группе, исходя из их членства в группах и различных примененных разрешений. Например, представим, что пользователю по имени Dan прямо дано разрешение Allow Read (разрешено чтение) и Execute (выполнение) для папки, называемой Marketing. Однако учетная запись Dan является членом группы Marketing Users, имеющей разрешение Allow Full Control (разрешен полный контроль) и группы Everyone, с разрешением Read, как это показано на приведенном ниже рисунке.

Обратите внимание: Все рисунки в этой статье созданы с помощью предварительной версии Windows Server 2003. И хотя некоторые из этих рисунков могут выглядеть иначе в финальной версии, функциональные возможности вкладки Effective Permissions не должны измениться.

Исходя из накопительной природы NTFS разрешений, пользователь Dan будет обладать фактическим разрешением Allow Full Control. Этот пример достаточно прост, а вот реальные эксплуатационные среды обычно содержат много большее число групп, как с разрешениями allow (разрешить), так и deny (запретить). В этом случае вкладка Effective Permissions может значительно упростить попытки определить, какими разрешениями обладает (а какими – нет) отдельный пользователь.

Чтобы использовать вкладку Effective Permissions, откройте окно свойств файла или папки, размещенной на разделе с файловой системой NTFS, щелкните вкладку Security, а затем кнопку Advanced. Это вызовет появление окна дополнительных свойств безопасности ресурса, как показано ниже:

Щелчок мышью на вкладке Effective Permissions отображает их настройки, как показано на рисунке, приведенном ниже. Этот интерфейс позволяет добавлять пользователя или группу, для которых вы хотите отобразить информацию о фактических NTFS разрешениях. Например, в данном случае, я выберу учетную запись Dan, щелкнув кнопку Select, а затем введу имя Dan в окне Select User, Group or Computer (выберите пользователя, группу или компьютер), как показано ниже:

После выбора Dan в качестве пользователя, для которого должны быть созданы фактические разрешения, результаты отобразятся в нижней части этого окна, как показано на расположенном ниже рисунке. Обратите внимание, что к учетной записи пользователя Dan применены все разрешения. Это является следствием того, что он является членом группы Marketing Users, для которой установлено разрешение Allow Full Control.

Давайте пойдем дальше и изучим фактические разрешения, связанные с группой Everyone (все). Вместо того чтобы вводить имя пользователя, в данном случае я ввожу имя группы. Напомню, что группе Everyone предоставлено только одно разрешение - Allow Read. Обратите внимание, что в этом случае, список разрешений значительно более ограничен; перечислены только специальные разрешения, связанные со стандартным разрешением Read, как показано ниже. Подобный процесс может быть использован для любых пользователей или групп, для которых требуется получить информацию об эффективных разрешениях.

К сожалению, функция по определению фактических разрешений не лишена определенных недостатков. Прежде всего, этот инструмент не оценивает влияние установленных прав на доступ к общим папкам и, как следствие, результаты, предоставляемые этим инструментом, могут оказаться неточными, исходя из ваших конкретных настроек. Кроме того, этот инструмент определяет только фактические разрешения, исходя из членства пользователей и групп, не принимая во внимание метод входа в систему. Например, хотя большинство входов пользователей в систему происходит интерактивно (локально), все же разрешения, связанные с доступом к ресурсу, могут испытывать влияние разрешений, примененных к таким системным группам, как группа Network. Вследствие этого, фактическим разрешением пользователя может быть full control на локальной системе (основываясь на членстве в группах), но могут оказаться более ограниченными через разрешения, примененные к группе Network.

Фактически, членство в следующих, перечисленных ниже системных группах, не рассматривается при определении эффективных разрешений пользователей и групп:

  • Anonymous Logon
  • Batch, Creator Group
  • Dialup
  • Enterprise Domain Controllers
  • Interactive
  • Network
  • Proxy
  • Restricted
  • Remote
  • Service
  • System
  • Terminal Server User

Исходя из этого, документация по Windows Server 2003 констатирует, что функция Effective Permission предоставляет только приблизительное значение реальных фактических разрешений, примененных к пользователю. Поскольку, безусловно, это небезупречное решение, модель, используемая Microsoft для внедрения разграничения доступа (и способ, которым эти данные хранятся), затрудняет строгое понимание таких вещей, как фактические разрешения. Однако, почти для всех системных администраторов, включение подобного инструмента в Windows Server 2003 поможет сохранить значительное количество времени и энергии и избежать разочарований, испытываемых ранее, при попытках оценить влияние различных NTFS разрешений, особенно в больших средах.

Дэн

Дэн Диниколо является техническим преподавателем, консультантом и автором, а также управляющим редактором сайта 2000Trainers.com. Когда он не занят, то путешествует по свету в качестве ИТ-волонтера от организаций, подобных Geekcorps. Дэн живет в помешанном на хоккее городе Торонто (Канада). Является автором целого ряда технических книг, включая выходящую вскоре CCNA/CCDA Study Guide. С ним можно связаться по электронной почте: dan@2000trainers.com.