Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Примечание j. Если пользователь является членом универсальной группы, то при входе его в сеть необходимые права должны быть проверены с сервера глобального каталогаЕсли пользователь является членом универсальной группы, то при входе его в сеть необходимые права должны быть проверены с сервера глобального каталога, а не с любого контроллера домена. Для ускорения операций проверки, начиная с Windows Server 2003, введена возможность кэширования членства универсальных групп. Включение кэширования осуществляется через оснастку управления сайтом: необходимо выделить соответствующий сайт и в правом окне оснастки открыть свойства NTDS Settings. После чего установить соответствующий параметр в значение "включено" и отредактировать расписание кэширования (в случае необходимости).
Преобразования групп Начиная с Windows 2000 с режима native mode, администраторы могут изменять типы групп, а именно преобразовывать группу безопасности в Distribution Group, и наоборот. Возможна также смена области действия группы с универсальной на доменную. Наиболее полные возможности преобразования существуют в режимах сервера для Windows 2000 или Windows Server 2003. Обратите только внимание, что наличие вложенных групп в некоторых случаях может препятствовать преобразованию типа родительской группы.
Результирующее право: разрешить или запретить? При назначении прав можно определить как разрешение, так и запрещение на выполнение какой-либо операции. Если пользователь входит в несколько групп, то каждая из них может иметь свой набор разрешений и запретов для данной операции. Как формируется итоговое разрешение, особенно если разрешения различных групп противоречат друг другу? Первоначально проверяется, существуют ли запреты на выполнение операций для какой-либо из групп, в которые входит пользователь, и для самой учетной записи. Если хотя бы для одной группы определен запрет доступа, то система сформирует отказ в операции. Затем проверяется наличие разрешений на доступ. Если хотя бы для одной группы будет найдено разрешение, то пользователь получит право выполнения желаемого действия. В соответствии с описанным правилом обработки, если пользователь как член одной группы имеет разрешение на выполнение действия, а как член другой группы — запрет, то результатом явится отказ в выполнении опера-ПИ. Следует быть крайне осторожным при назначении явных запретов. Очень легко (если на компьютере используется сложная структура групп) запретить даже самому себе выполнение тех или иных операций. { Примечание) Существует единственное отступление от данного принципа преимущества запрета перед разрешением, известное автору. Это определение итогового разрешения на основе наследуемых и явно указанных прав, которое описано в разд. "Наследуемые разрешения: будьте внимательны" далее в этой главе. |
В последних версиях Windows система позволяет отобразить результирующие разрешения доступа к данном объекту для любого пользователя или группы. Эта операция вызывается из меню дополнительных параметров безопасности соответствующего объекта системы (рис. 5.12). Дополнительные параметры безопасности для СКС
J±*J
Р«эр«уения| Ачаит] В«иелец Дгйстсуюшие р«решч«о |
0 списке отображаются разрешения, которьи бдау даны еыбран«оЙ грчппе яли польэжателю. исключительно на основе рал ращений, полученных непосредственно через членство в грушах. Сруппв или польхватель. (Маоонинй Виктория Ваосрьеемв
Дейстечкчш-а разрешения;
* Ц^Г-^ь j
□ Полный доступ Обзор палок / Выполнение Файлов Содержание папки У Чтение данных Чтение атрибутов Чтение дополнительных атрибутов Создание Файлов / Запись данных Создание папок / Дозапись данных Запись атрибутов Запись дополнительных атрибутов Удаление педпапок и Файлов Удаление
Дополнительно об <аЕ^1^ У*^. А?^г^^Щ^ p$jftyuj^*tft
ОК. I Отмена ';,.,:'■:■>,'_ ------------ 1 ■■■ Г ■ II I ------- * ------------ -_ J
Рис. 5.12. Результирующее разрешение
Разрешения общего доступа и разрешения безопасности Для объектов, предоставляемых в совместное использование, существуют два решение безопасности— это разрешение на уровне прав доступа файло-й системы. Оно существует при использовании файловой системы типа FS и проверяется независимо от разрешений общего доступа. Иными сло-и. если пользователю разрешено подключаться к этому ресурсу по сети, доступ к файлам запрещен разрешениями безопасности, то в итоге работа такими файлами будет невозможна. Если на диске с ресурсами использова-файловая система FAT (FAT32), то доступ по сети будет контролироваться лько разрешениями общего доступа.
|