Права на доступ к файлам и каталогам в NTFS

Практическая работа №3
Права на доступ к файлам и каталогам в NTFS
Цель: Получить навыки управления правами доступа в NTFS, усвоить принципы работы ACL
и ACE.
Необходимо:
1) Компьютер с установленной системой VirtualBox
2) Установленная в VirtualBox операционная система Windows 2000\2003\XP
3) Учетная запись пользователя с правами администратора.
4) Справочная система MS Windows
Краткие теоретические сведения
В файловой системе NTFS реализована возможность достаточно гибкого управления правами
доступа к файлам и каталогам.
В MS Windows реализованы две отдельных схемы контроля доступа к файлам и каталогам:
- контроль доступа к файлам и каталогам на уровне файловой системы
- контроль доступа к каталогам по сети (sharing).
В первом случае контроль осуществляется системой на основе записей в ACL (Access Control
List) привязанных к файлам и каталогам. Права назначаются в Explorer (контекстное меню –
Общий доступ и безопасность… закладка Безопасность). Существует возможность назначить
сгруппированные права (они перечислены в закладке Безопасность) и подробные права
(список доступен через кнопку Дополнительно).
Права, по умолчанию, наследуются от родительского каталога к вложенным файлам и к
каталогам. Наследование можно отключать. По каждому праву можно установить разрешение
и прямой запрет.
Подробное описание прав можно найти в справке Windows.
Легенда: В компании «Новые Технологии» участились случаи утечки данных. Было принято
решение, среди прочих мер, организовать систему обмена файлами между отдельными
сотрудниками и разными группами сотрудников, средствами политик безопасности
доступными в операционной системе Windows.
Порядок выполнения работы:
1) Создать группы пользователей: бухгалтера, мененджеры, рядовые сотрудники и пользователя
директор.
Пользователи создаются в оснастке «Локальные пользователи и группы». Доступ к ней можно
получить
через
консоль
«управление компьютером» (Панель
управления
–
Администрирование – Управлением компьютера)
2) Создать в корневом каталоге диска «С» систему каталогов представленную на рисунке *
3) В каталоге Reports on wages создать файл help.txt
4) Назначить права группе пользователей рядовые сотрудники так чтобы:
 пользователь, состоящий в группе смог бы копировать файлы "drag-and-drop" в каталог
Reports for managers, но не смог бы просматривать его содержимое
 пользователь, состоящий в группе, смог бы изменять содержимое файла help.txt но не
удалять
1

5)
6)
7)
8)
9)
пользователь, состоящий в группе, смог бы переименовать каталог Usual documents, но при
этом не смог бы поменять на него атрибуты и права других пользователей
назначить группе пользователей бухгалтеры следующие права:
 пользователь, состоящий в группе не смог бы просмотреть или изменить содержимое
папки Reports for managers
 он смог бы изменять содержимое остальных каталогов и создавать в них файлы.
назначить группе пользователей менеджеры следующие права:
 пользователь, состоящий в группе имеет возможность полного редактирования
содержимого всех папок кроме Reports for managers
 запретить пользователю состоящему в группе возможность удаления файлов из каталога
Reports for managers
Пользователю директор реализовать возможность полного редактирования всех каталогов и их
содержимого
Обеспечить общий доступ к папке Usual documents со всех компьютеров сети,
воспользовавшись командой Net Share.
Выполнить пункт 5, с помощью утилиты calcs или xcalcs.
Проверить работу прав можно или войдя в систему под другим пользователем, или
воспользоваться службой RanAs (консольная команада ranus), или воспользоваться системой
управления удаленным рабочим столом).
В отчет:
на адрес edu-net@yandex.ru
в заголовке письма: №группы ФИО №работы латинскими буквами (например: 5555 Fedor
Sumkin 3)
В отчет ответы на вопросы:
1) списки прав на каталоги и файлы всех пользователей и групп (скриншоты или вывод
консольных команд).
2) Тексты команд из пунктов 8 и 9 и их консольный вывод.
3) ответы на вопросы:
- в чем смысл прав запрещения, если простое не назначение прав разрешения субъекту
безопасности не позволяет ему получать соответствующий доступ?
- в чем смысл механизма владения файлом или каталогом?
- что это за группы Creator Owner, System (и еще Everyone)? Кто их создает? Кто в них
входит? Какие у них SID?
- какие консольные утилиты, позволяют назначать права NTFS (Resorce Kit Windows 2003
server)?
- как взаимодействуют системы контроля прав доступа по сети и через каталоги NTFS?
Отчет выслать в течении 2-х недель после выполнения работы. Еще одна неделя отводится на
ответы на возможные вопросы и исправления.
2