Задание на практику для группы СА 21 (08.06- 11.06)
учебно-методический материал

Лабораторная работа №8

Тема: Использование приёмов работы с файловой системой NTFS. Назначение разрешений доступа к файлам и папкам.

Время выполнения: 2 часа

Цель: Научиться устанавливать разрешения NTFS для файлов и для папок для отдельных пользователей и групп в операционной системы Windows ХР, а также устранять проблемы доступа к ресурсам.

Содержание работы и последовательность ее выполнения

1. Теоретические сведения

Общие сведения об использовании разрешений NTFS

Разрешения NTFS позволяют явно указать, какие пользователи и группы имеют доступ к файлам и папкам и какие операции с содержимым этих файлов или папок им разрешено выполнять. Разрешения NTFS применимы только к томам, отформатированным с использованием файловой системы NTFS. Они не предусмотрены для томов, использующих файловые системы FAT или FAT32. Система безопасности NTFS эффективна независимо от того, обращается ли пользователь к файлу или папке, размещенным на локальном компьютере или в сети.

Разрешения, устанавливаемые для папок, отличаются от разрешений, устанавливаемых для файлов. Администраторы, владельцы файлов или папок и пользователи с разрешением «Полный доступ» имеют право назначать разрешения NTFS пользователям и группам для управления доступом к этим файлам и папкам. Список управления доступом

В NTFS хранится список управления доступом (access control list —ACL) для каждого файла и папки на томе NTFS. В этом списке перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения. Чтобы пользователь получил доступ к ресурсу, в ACL должна быть запись, называемая элемент списка управления доступом (access control entry — АСЕ) для этого пользователя или группы, к которой он принадлежит. Эта запись назначит запрашиваемый тип доступа (например, Чтение) пользователю. Если в ACL нет соответствующей АСЕ, то пользователь не получит доступ к ресурсу.

Множественные разрешения NTFS

Вы можете установить несколько разрешений пользователю и всем группам, членом которых он является. Для этого вы должны иметь представление о правилах и приоритетах, по которым в NTFS назначаются и объединяются множественные разрешения и о наследовании разрешений NTFS.

Эффективные разрешения. Эффективные разрешения пользователя для ресурса — это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Ес ли у пользователя есть разрешение «Чтение» для папки, и он входит в группу, у которой есть разрешение «Запись» для той же папки, значит, у этого пользователя есть оба разрешения.

Установка разрешений NTFS и особых разрешений

Вы должны руководствоваться определенными принципами при установке разрешений NTFS. Устанавливайте разрешения согласно потребностям групп и пользователей, что включает в себя разрешение или предотвращение наследования разрешений родительской папки подпапками и файлами, содержащимися в родительской папке.

Если вы уделите немного времени на планирование ваших разрешений NTFS и будете соблюдать при планировании несколько принципов, то обнаружите, что разрешениями легко управлять.

• Для упрощения процесса администрирования сгруппируйте файлы по папкам следующих типов: папки с приложениями, папки с данными, личные папки. Централизуйте общедоступные и личные папки на отдельном томе, не содержащем файлов операционной системы и других приложений. Действуя таким образом, вы получите следующие преимущества:

— сможете устанавливать разрешения только папкам, а не отдельным файлам;

— упростите процесс резервного копирования, так как вам не придется делать резервные копии файлов приложений, а все общедоступные и личные папки находятся в одном месте.

• Устанавливайте для пользователей только необходимый уровень доступа. Если необходимо чтение файла, установите пользователю разрешение Чтение для этого файла. Это уменьшит вероятность случайного изменения файла или удаления важных документов и файлов приложений пользователем.
• Создавайте группы согласно необходимому членам группы типу доступа, затем установите соответствующие разрешения для группы. Назначайте разрешения отдельным пользователям только в тех случаях, когда это необходимо.
• При установке разрешений для работы с данными или файлами приложений установите разрешение Чтение и выполнение для групп Пользователи и Администраторы. Это предотвратит случайное удаление файлов приложений или их повреждение вирусами или пользователями.
• При установке разрешений для папок с общими данными назначьте разрешения Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ для группы Создатель-владелец. По умолчанию пользователь, создавший документ, также является его владельцем. Владелец файла может дать другому пользователю разрешение на владение файлом. Пользователь, который принимает такие права, в этом случае становится владельцем файла. Если вы установите разрешение Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ группе Создатель-владелец, то пользователи получат возможность читать и изменять документы, созданные другими пользователями, а также читать, изменять и удалять файлы и папки, создаваемые ими.
• Запрещайте разрешения, только если необходимо запретить отдельный тип доступа определенному пользователю или группе.
• Поощряйте пользователей в установке разрешений для файлов и папок, которые они создают, и научите их это делать самостоятельно.

Администраторы, пользователи с разрешением Полный доступ и владельцы файлов и папок могут устанавливать разрешения для отдельных пользователей и групп.

Дополнительно Позволяет получить доступ к дополнительным возможностям поиска, включая возможность поиска удаленных учетных записей пользователей, учетных записей с неустаревшими паролями и учетных записей, по которым не подключались определенное количество дней.

Назначение или запрещение особых разрешений

Щелкните кнопку Дополнительно, чтобы открыть диалоговое окно Дополнительные параметры безопасности, где перечислены группы и пользователи и установленные для них разрешения для этого объекта. В поле Элементы разрешений также указано, от какого объекта разрешения унаследованы и к каким объектам применимы. Вы можете воспользоваться диалоговым окном Дополнительные параметры безопасности для изменения разрешений, установленных для пользователя или группы. Для изменения разрешений, установленных для пользователя или группы, выделите пользователя и щелкните кнопку Изменить. Откроется диалоговое окно Элемент разрешения для. Затем выделите или отмените определенные разрешения, которые вы хотите изменить.

  2. Задание для самостоятельной работы

Задание 1. Открыть Microsoft Virtual PC

Задание 2. Загрузить виртуальную машину Windows ХР и создать новую учетную запись uir.

Задание 3. Загрузить виртуальную машину Windows ХР с учетной записью uir.

Задание 4. Определение разрешений NTFS по умолчанию для только что созданной папки.

Запустить Проводник, создать папки C:\FoIderl и C:\FoIderl\Folder2. Просмотреть разрешения, установленные для созданных папок, щелкнув по вкладке Безопасность диалогового окна свойств папки. Обратить внимание на наследование разрешений папкой Folder2 от родительской папки Folder 1.

Если на экране не видна вкладка Безопасность, вам следует уточнить два вопроса:

1) Раздел вашего диска отформатирован как NTFS или как FAT? Только на разделах NTFS используются разрешения NTFS, и, таким образом, только на разделах NTFS видна вкладка Безопасность.

2) Используете вы простой общий доступ к файлам или нет? Щелкните кнопку Отмена, чтобы закрыть диалоговое окно свойств папки. В пункте меню Сервис выберите пункт Свойства папки. В диалоговом окне Свойства папки перейдите на вкладку Вид. В списке Дополнительные параметры снимите флажок Использовать простой общий доступ к файлам (рекомендуется) и щелкните ОК.

Определить для какой группы установлены особые разрешения. Щелкнуть кнопку Дополнительно, выделить эту группу и просмотреть установленные разрешения.

Закрыть диалоговое окно свойств папки. Закрыть окно Проводник и завершить сеанс.

Задание 5. Создать новую учетную запись uir-1.

Задание 6. Войти в систему с учетной записью uir-1. Запустить Проводник, войти в папку C:\FoIderl. Создать два текстовых документа, присвоив им имена file 1 и file 2

Попытаться выполнить следующие операции с файлом filel: открыть файл; изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему?

Завершить сеанс работы и войти в систему, используя учетную запись uir-2. Запустить Проводник, войти в папку C:\Folderl. Попытаться выполнить следующие операции с файлом fiie2: открыть файл; изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему? В настоящее время ваша регистрационная запись — uir-2. Можете ли вы изменить разрешения, установленные для пользователя, пока вы подключены как uir-2? Почему? Завершить сеанс.

 Задание 7. Установить разрешения NTFS для папки C:\Folderl. При этом необходимо соблюдать следующие правила:

1) все пользователи должны иметь возможность читать документы и файлы в папке Folderl;

2) все пользователи должны иметь возможность создавать документы в папке Folderl;

3) все пользователи должны иметь возможность изменять содержание, свойства и разрешения для создаваемых ими документов в папке Folderl;

4) пользователь uir-2 несет ответственность за содержимое папки Folderl и должен иметь возможность изменять и удалять все файлы в папке Folderl.

Основываясь на полученной информации, определить, как следует изменить разрешения для соответствия этим четырем критериям?

Войти в систему, используя учетную запись uir. Открыть Проводник. Открыть папку Folderl. Щелкнуть правой кнопкой мыши значок папки Folderl, затем выбрать пункт меню Свойства. Перейти на вкладку Безопасность диалогового окна свойств папки. На вкладке Безопасность щелкнуть кнопку Добавить. Откроется диалоговое окно Выбор: Пользователи или Группы.

В текстовом поле Введите имена выбираемых объектов ввести uir-2, затем щелкнуть кнопку Проверить имена. В текстовом поле Введите имена выбираемых объектов должна появиться надпись <имя компьютера>\тг-2. Это свидетельствует, что Windows ХР Professional обнаружила пользователя uir-2 на компьютере <имя компьютерен и что это действительная учетная запись пользователя. Щелкнуть ОК, чтобы закрыть диалоговое окно Выбор: Пользователи или Группы. Теперь пользователь uir-2 включен в список Группы или пользователи диалогового окна свойств папки Folderl. Какие разрешения установлены для пользователя uir-2?

Щелкнуть кнопку Дополнительно. Откроется диалоговое окно Дополнительные параметры безопасности для Folderl, и вы увидите, что пользователь uir-2 включен в список Элементы разрешений. Убедиться, что строка uir-2 выделена, и щелкнуть кнопку Изменить. Откроется диалоговое окно Элемент разрешения для Folderl, и вы увидите в текстовом поле Имя учетную запись пользователя uir-2.

В колонке Разрешить щелкнуть Полный доступ. Теперь в колонке Разрешить установлены все флажки. Щелкнуть ОК, чтобы закрыть диало говое окно Элемент разрешения для Folder! и щелкнуть ОК, чтобы закрыть диалоговое окно Дополнительные параметры безопасности для Folder 1. Щелкнуть ОК, чтобы закрыть диалоговое окно свойств папки Folder 1.

Закрыть Проводник и завершить сеанс Windows ХР Professional.

Войти в систему, используя учетную запись uir-2. Запустить Проводник, войти в папку C:\Folderl. Попытаться выполнить следующие операции с файлом file2: изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему? Завершить сеанс Windows ХР Professional.

Задание 8. Проверить, как разрешения NTFS наследуются в иерархии папок.

Войти в систему, используя учетную запись uir-1. Запустить Проводник, войти в папку C:\Folderl\Folder2. Создать текстовый файл с именем ШеЗ в папке. Завершить сеанс Windows ХР Professional.

Войти в систему, используя учетную запись uir-2. Запустить Проводник, войти в папку C:\Folderl\Folder2. Попытаться выполнить следующие операции с файлом ШеЗ: открыть файл; изменить файл; удалить файл. Какие действия вы смогли совершить и почему? Завершить сеанс Windows ХР Professional.

 Задание 9. Изучить результаты смены владельца файла.

Войти в систему, используя учетную запись uir. В папке C:\Folderl создать текстовый файл file4.

Щелкнуть правой кнопкой мыши значок документа file4, затем выбрать пункт меню Свойства. Откроется диалоговое окно Свойства: file4с активной вкладкой Общие. Перейти на вкладку Безопасность для просмотра разрешений, установленных для файла file4. Щелкнуть кнопку Дополнительно. Откроется диалоговое окно Дополнительные параметры безопасности для file4 с активной вкладкой Разрешения. Перейти на вкладку Владелец. Кто является текущим владельцем файла file4?

Установка разрешения, позволяющего пользователю сменить владельца.

В диалоговом окне Дополнительные параметры безопасности для file4 перейти на вкладку Разрешения. Щелкнуть кнопку Добавить. Откроется диалоговое окно Выбор: Пользователи или Группы. Убедиться, что в текстовом поле Размещение, которое расположено вверху диалогового окна, выбрано имя вашего компьютера. В текстовом поле Введите имена выбираемых объектов ввести uir-З, затем щелкните кнопку Проверить имена. Щелкнуть ОК.

Станет активным диалоговое окно Элемент разрешения для file4. Обратить внимание на то, что все элементы разрешений для пользователя uir-З не отмечены. В колонке Разрешения установить флажок Разрешить для разрешения Сменить владельца. Щелкнуть ОК. Щелкнуть ОК для того, чтобы вернуться к диалоговому окну свойств файла file4. Щелкнуть ОК для сохранения изменений и закрыть диалоговое окно свойств файла file4. Закрыть Проводник и выйти из системы. Смена владельца файла.

Войти в систему, используя учетную запись uir-З. Запустить Проводник, войти в папку C:\Folderl. Щелкнуть правой кнопкой мыши значок файла file4 и выбрать пункт меню Свойства. Перейти на вкладку Безопасность для просмотра разрешений для файла. Щелкнуть Дополнительно и перейти на вкладку Владелец. В колонке Изменить владельца на выбрать uir-З, затем щелкнуть кнопку Применить. Кто теперь является владельцем файла Ше4?

Щелкнуть ОК, чтобы закрыть диалоговое окно Дополнительные параметры безопасности для file4.

Проверка разрешений для файла в качестве владельца.

Щелкнуть кнопку Дополнительно и снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне. Установить разрешение Полный доступ к текстовому документу file4 и нажать кнопку Применить. Щелкнуть ОК, чтобы закрыть диалоговое окно Дополнительные параметры безопасности для file4. Щелкнуть ОК, чтобы закрыть диалоговое окно свойств файла file4.

 Задание 10. Изучить изменение разрешений и прав владельца при копировании и перемещении папок.

Создание папки при подключении с учетной записью пользователя.

Пока вы зарегистрированы в системе под учетной записью uir-З создать папку с именем Tempi в корневой папке диска С:\. Какие разрешения установлены для этой папки? Кто является владельцем папки?

Создание папок при подключении с учетной записью члена группы Администраторы.

Подключитесь с учетной записью uir и создайте папки Теmp2 и Теmp З в корневой папке диска С:\.

Каковы разрешения для папок, которые вы только что создали? Кто является владельцем папок Теmp 2 и Теmp З?

Установить разрешения для папок Теmp 2 и Теmp З.

Снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне. В открывшемся диалоговом окне щелкните Удалить» для удаления всех разрешений, кроме указанных ниже.

Папка Теmp 2: Администраторы — Полный доступ; Пользователи — Чтение и выполнение.

Папка Теmp З: Администраторы — Полный доступ; Операторы архива — Чтение и выполнение; Пользователи — Полный доступ.

Копирование папки в другую папку на одном и том же томе NTFS.

Пока вы находитесь в системе под учетной записью uir, скопировать папку C:\Temp2 в папку C:\Templ. Для этого выделить значок папки C:\Temp2 и, удерживая нажатой клавишу CTRL, перетащить мышью C:\Temp2в C:\Templ.

Выделив C:\Templ\Temp2, просмотреть разрешения и права владельца, затем сравнить разрешения и права владельца с папкой C:\Temp2.

Перемещение папки на одном и том же томе.

Войти в систему с учетной записью uir-З. В Проводнике выделить значок папки C:\Temp3, затем переместить ее в папку C:\Templ. Что произошло с разрешениями и владельцем для папки C:\Templ\Temp3?

Задание 11. Самостоятельно определить? как предотвратить удаление пользователями, имеющими разрешение Полный доступ к папке, файла в этой папке, для которого установлен запрет на разрешение Полный доступ?

3. Контрольные вопросы

1. Что такое эффективные разрешения пользователя для ресурса?

2. Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки?

3. Чем отличается разрешение «Удаление» от разрешения «Удаление подпапок и файлов»?

4. Какое разрешение NTFS для файлов следует установить для файла, если вы позволяете пользователям удалять файл, но не позволяете становиться владельцами файла?

5. Если вы хотите, чтобы пользователь или группа не имела доступ к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?

Отчет по проделанной работе:

В него должны входить:

1. Тема работы;
2. Цель работы;
3. Время выполнения работы;
4. Изучить теоретические сведения;
5. Описать выполнение задания  11;
6. Продемонстрировать выполненную работу преподавателю;
7. Ответить на контрольные вопросы.