2.2.1. Режимы доступа к папкам

К числу универсальных возможностей Windows 2000/XP относятся и такие, кото­рые позволяют как на уровне локального компьютера, так и при использовании об­щедоступных сетевых ресурсов ограничивать доступ к файлам и папкам.

Управлением доступом к папкам можно осуществлять двумя способами:

1. управлять доступом, используя стандартный режим "Общий доступ" (в окне "Свойства" выбрать закладку "Доступ", а потом в появившемся окне нажать кнопку "Разрешение"),

2. управлять доступом, используя возможности файловой системы NTFS.

Каждый из методов имеет свои преимущества и недостатки.

Первый вариант удобен тем, что, используя его, можно ограничить в сети доступ к папкам на дисках, отформатированных под файловую систему FAT16 (FAT32). А к недостаткам этого способа относятся:

• доступ к папкам проверяется только для сетевых пользователей (т.е. локальные пользователи будут иметь полный доступ к папкам);

• все разрешения задаются только для папки целиком, а не для отдельных файлов;

• предоставляется небольшой набор параметров для конфигурирования (только полный доступ, изменение и чтение).

Использование разрешений NTFS

Для каждого объекта, который хранится в томе, отформатированном с помощью файловой системы NTFS, Windows поддерживает контрольный список доступа (access control list, ACL). Как следует из названия, этим списком определяется пе­речень пользователей, которым разрешен доступ к данному объекту (обычно идет речь о файле или папке), а также тех пользователей, доступ которых исключается. Индивидуальные пункты в ACL называются записями, контролирующими доступ (access control entries, АСЕ), и содержат следующую информацию:

• идентификатор SID пользователи или группы;

• список разрешений, формирующих право доступа, создаваемое на основе боль­шого списка основных и специальных разрешений — Full Control, Read и Write,

• информация о наследовании, которая определяет, будет ли Windows использо­вать разрешения из родительской папки, и если будет, то каким образом;

• флаг, указывающий на разрешение/запрет доступа.

Для использования второго способа управления доступом к папкам нужно открыть у соответствующего объекта окно свойств и выбрать вкладку "Безопасность" (Security), на которой установить флажки для нужных параметров доступа.

Данный способ имеет следующие преимущества:

• Доступ к папкам проверяется абсолютно для всех пользователей.

• Предоставляется широкий набор параметров для конфигурирования. Запретить и разрешить можно следующую функции: смена владельца, смена и чтение разрешений, удаление, чтение и изменение атрибутов, запись и дозапись данных, чтение данных, обзор папок и выполнение файлов и т.д.

• Для папок можно указывать, как применяются настройки: только внутри этой папки, для дочерних папок, для файлов и так далее.

• Если пользователь является владельцем файла, он может распоряжаться им по своему усмотрению, предоставляя права доступа другим пользователям.

В качестве недостатка, однако, можно отметить, что управлением доступом становится значительно сложнее. Все разрешения носят аддитивный характер, то есть, права складываются из прав группы, в которую входит пользователь, и прав, которыми наделен лично он. При этом нужно помнить, что запрещающие директивы всегда имеют больший приоритет, чем разрешающие, и использовать их надо с осторожностью. Так, если у пользователя есть, например, право на чтение некоторого файла, но он входит в группу, которой это делать запрещено, то он не сможет читать файл.