Примечание j. Если пользователь является членом универсальной группы, то при входе его в сеть необходимые права должны быть проверены с сервера глобального ка­талога

Если пользователь является членом универсальной группы, то при входе его в сеть необходимые права должны быть проверены с сервера глобального ка­талога, а не с любого контроллера домена. Для ускорения операций проверки, начиная с Windows Server 2003, введена возможность кэширования членства универсальных групп. Включение кэширования осуществляется через оснастку управления сайтом: необходимо выделить соответствующий сайт и в правом окне оснастки открыть свойства NTDS Settings. После чего установить соответ­ствующий параметр в значение "включено" и отредактировать расписание кэширования (в случае необходимости).

Преобразования групп

Начиная с Windows 2000 с режима native mode, администраторы могут изме­нять типы групп, а именно преобразовывать группу безопасности в Distri­bution Group, и наоборот. Возможна также смена области действия группы с универсальной на доменную. Наиболее полные возможности преобразования существуют в режимах сервера для Windows 2000 или Windows Server 2003.

Обратите только внимание, что наличие вложенных групп в некоторых слу­чаях может препятствовать преобразованию типа родительской группы.

Результирующее право: разрешить или запретить?

При назначении прав можно определить как разрешение, так и запрещение на выполнение какой-либо операции. Если пользователь входит в несколько групп, то каждая из них может иметь свой набор разрешений и запретов для данной операции. Как формируется итоговое разрешение, особенно если раз­решения различных групп противоречат друг другу?

Первоначально проверяется, существуют ли запреты на выполнение опера­ций для какой-либо из групп, в которые входит пользователь, и для самой учетной записи. Если хотя бы для одной группы определен запрет доступа, то система сформирует отказ в операции. Затем проверяется наличие разреше­ний на доступ. Если хотя бы для одной группы будет найдено разрешение, то пользователь получит право выполнения желаемого действия.

В соответствии с описанным правилом обработки, если пользователь как член одной группы имеет разрешение на выполнение действия, а как член другой группы — запрет, то результатом явится отказ в выполнении опера-ПИ.

Следует быть крайне осторожным при назначении явных запретов. Очень легко (если на компьютере используется сложная структура групп) запретить даже самому себе выполнение тех или иных операций.

{ Примечание)

Существует единственное отступление от данного принципа преимущества за­прета перед разрешением, известное автору. Это определение итогового раз­решения на основе наследуемых и явно указанных прав, которое описано в разд. "Наследуемые разрешения: будьте внимательны" далее в этой главе. |

В последних версиях Windows система позволяет отобразить результирую­щие разрешения доступа к данном объекту для любого пользователя или группы. Эта операция вызывается из меню дополнительных параметров безопасности соответствующего объекта системы (рис. 5.12).

Дополнительные параметры безопасности для СКС

J±*J

Р«эр«уения| Ачаит] В«иелец Дгйстсуюшие р«решч«о |

0 списке отображаются разрешения, которьи бдау даны еыбран«оЙ грчппе яли польэжателю. исключительно на основе рал ращений, полученных непосредственно через членство в грушах.

Сруппв или польхватель. (Маоонинй Виктория Ваосрьеемв

Дейстечкчш-а разрешения;

* Ц^Г-^ь j

□

Полный доступ

Обзор палок / Выполнение Файлов

Содержание папки У Чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Создание Файлов / Запись данных

Создание папок / Дозапись данных

Запись атрибутов

Запись дополнительных атрибутов

Удаление педпапок и Файлов

Удаление

Дополнительно об <аЕ^1^ У*^. А?^г^^Щ^ p$jftyuj^*tft

ОК. I Отмена ';,.,:'■:■>,'_

------------ 1 ■■■ Г ■ II I ------- * ------------ -_ J

Рис. 5.12. Результирующее разрешение

Разрешения общего доступа и разрешения безопасности

Для объектов, предоставляемых в совместное использование, существуют два
типа разрешений. Это разрешения общего доступа и разрешения безопасно-
сти. Разрешения общего доступа определяют право на использование данно-
го ресурса при сетевом подключении. Если у пользователя нет такого права
(или это действие запрещено явно), то он просто не сможет подключиться
к запрашиваемому ресурсу. I

решение безопасности— это разрешение на уровне прав доступа файло-й системы. Оно существует при использовании файловой системы типа FS и проверяется независимо от разрешений общего доступа. Иными сло-и. если пользователю разрешено подключаться к этому ресурсу по сети, доступ к файлам запрещен разрешениями безопасности, то в итоге работа такими файлами будет невозможна. Если на диске с ресурсами использова-файловая система FAT (FAT32), то доступ по сети будет контролироваться лько разрешениями общего доступа.