أذونات NTFS. أسرار NTFS - الحقوق والأذونات وميراثها - تحديد أذونات NTFS والأذونات الخاصة

لماذا تحتاج المنظمة في معظم الحالات إلى خادم؟ Active Directory وRDS وخادم الطباعة ومجموعة من الخدمات الصغيرة والكبيرة الأخرى. ربما يكون الدور الأكثر وضوحًا للجميع هو خادم الملفات. يعمل الناس معه، على عكس الأدوار الأخرى، بوعي أكبر. يتذكرون ما هو المجلد الموجود فيه، وأين المستندات الممسوحة ضوئيًا، وأين تقاريرهم، وأين الفاكسات، وأين المجلد العام الذي يكون فيه كل شيء ممكنًا، حيث يكون الوصول فقط إلى أحد الأقسام، وأين إلى قسم آخر، وعن البعض ليس لديهم أي فكرة على الإطلاق

أريد أن أتحدث عن الوصول إلى الشبكة والمجلدات المحلية على الخادم.

يتم الوصول إلى الموارد المشتركة على الخادم، كما يعلم الجميع جيدًا، باستخدام بروتوكول SMB 3.0. يمكن أن يكون الوصول إلى المجلدات عبر الشبكة محدودًا بأذونات SMB وNTFS. تعمل أذونات SMB فقط عند الوصول إلى مجلد مشترك عبر الشبكة وليس لها أي تأثير على توفر مجلد معين محليًا. تعمل أذونات NTFS عبر الشبكة ومحليًا، مما يوفر مرونة أكبر في إنشاء حقوق الوصول. لا تعمل أذونات SMB وNTFS بشكل منفصل، ولكنها تكمل بعضها البعض، وفقًا لمبدأ التقييد الأكبر للحقوق.

من أجل مشاركة مجلد في Server 2012 في مجموعة SMB Share Cmdlets، ظهر الأمر New-SMBShare cmdlet. باستخدام أمر cmdlet هذا كمثال، سنرى جميع الخيارات المتاحة عند إنشاء مجلد مشترك، باستثناء تكوينات المجموعة (هذا موضوع كبير منفصل).

يبدو إنشاء مجلد مشترك جديد أمرًا بسيطًا للغاية:
net share homefolder=s:\ivanivanov /grant:"admin"، كامل /grant:"folderowner"، تغيير /grant:"manager"، قراءة /cache:programs /remark:"Ivanov" أو
new-smbshare homefolder s:\ivavanivanov -برامج وضع التخزين المؤقت -مسؤول الوصول الكامل -مالك مجلد الوصول إلى التغيير -مدير الوصول للقراءة -لا يمكن الوصول إلى الكل -وضع تعداد المجلدات القائم على الوصول -وصف "إيفانوف"

دعونا معرفة ذلك:

-name هو اسم المجلد المشترك الموجود على الشبكة، والذي قد يختلف عن اسم المجلد الموجود على الكمبيوتر المحلي. يبلغ الحد الأقصى 80 حرفًا ولا يمكن استخدام توجيه الإخراج وفتحة البريد.

المسار هو المسار إلى المجلد المحلي الذي يجب مشاركته. يجب أن يكون المسار كاملاً، من جذر القرص.

يقوم وضع التخزين المؤقت بتعيين استقلالية الملفات في مجلد مشترك.

ما هو الملف غير المتصل؟

الملف غير المتصل هو نسخة من ملف موجود على الخادم. توجد هذه النسخة على جهاز الكمبيوتر المحلي الخاص بك وتسمح لك بالعمل مع الملف دون الاتصال بالخادم. عند الاتصال، تتم مزامنة التغييرات. متزامنة في كلا الاتجاهين: إذا قمت بإجراء تغييرات على ملفك غير المتصل بالإنترنت، فسيتم تغيير الملف الموجود على الخادم في المرة التالية التي تتصل فيها؛ إذا قام شخص ما بإجراء تغييرات على الخادم، فسيتم تغيير نسختك المحلية. إذا حدثت تغييرات في كلا الملفين في وقت واحد، فسنحصل على خطأ في المزامنة وسيتعين علينا اختيار الإصدار الذي سيتم حفظه. لن أستخدم هذه الميزة للتعاون، ولكن إذا أنشأنا كرة لكل مستخدم وقمنا بتقييد وصول الآخرين إلى القراءة، دون القدرة على الكتابة، فسنحصل على الفوائد التالية:

  • لا يعتمد العمل على الشبكة - قد يحترق المفتاح، أو قد يتم إعادة تشغيل الخادم، أو قد ينقطع السلك أو قد يتم إيقاف تشغيل نقطة الوصول - يعمل المستخدم مع نسخته دون أن يلاحظ أنك تعرضت لحادث ما هناك، عندما تتم استعادة اتصال الشبكة، وينتقل عمله إلى الخادم.
  • يمكن للمستخدم العمل في أي مكان: في البلاد، على متن حافلة، على متن طائرة - في تلك الأماكن التي لا يتوفر فيها اتصال VPN لسبب ما.
  • حتى إذا كان المستخدم يعمل عبر VPN، ولكن الاتصال إما بطيء جدًا أو ينقطع باستمرار، فمن الأسهل العمل مع نسخة غير متصلة بالإنترنت ومزامنة التغييرات بدلاً من محاولة القيام بشيء ما على الخادم.
  • يمكن للمستخدم اختيار ماذا ومتى يريد المزامنة، إذا أتيحت له الفرصة.

يقبل القيم التالية:
  • لا شيء - الملفات غير متاحة دون الاتصال بالإنترنت، ويتطلب الوصول إلى الملفات الوصول إلى الخادم
  • دليل - يختار المستخدمون أنفسهم الملفات التي ستكون متاحة دون اتصال بالإنترنت
  • البرامج - كل شيء في المجلد متاح دون اتصال بالإنترنت (المستندات والبرامج (الملفات ذات الامتداد *.exe، *.dll))
  • المستندات – المستندات متوفرة، والبرنامج غير متوفر
  • Branchcache - يحدث التخزين المؤقت على خوادم BranchCache بدلاً من الكمبيوتر المحلي للمستخدم، ويختار المستخدمون الملفات غير المتصلة بأنفسهم
-noaccess، -readaccess، -changeaccess، -fullaccess أذونات المشاركة.

تتمتع هذه التصاريح بميزة واحدة كبيرة - فهي بسيطة جدًا.

Noaccess سكرتير،مضيف - السكرتير والمسؤول ليس لديهم ما يفعلونه في المجلدات المشتركة لقسم المحاسبة
-مدقق الوصول للقراءة - يمكن للمدقق الذي يتحقق من عمل قسم المحاسبة رؤية أسماء الملفات والمجلدات الفرعية في المجلد المشترك، وفتح الملفات للقراءة، وتشغيل البرامج.
-changeaccess accountant - يمكن للمحاسبين في المجلد المشترك الخاص بهم إنشاء ملفات ومجلدات فرعية، وتغيير الملفات الموجودة، وحذف الملفات والمجلدات الفرعية
-مسؤول الوصول الكامل - الوصول الكامل هو الوصول للقراءة + الوصول إلى التغيير بالإضافة إلى القدرة على تغيير الأذونات.

عندما تقوم بإنشاء مجلد مشترك، يتم تطبيق القاعدة الأكثر تقييدًا تلقائيًا - يتم منح مجموعة الجميع إذن القراءة.

تنطبق هذه الأذونات فقط على المستخدمين الذين لديهم حق الوصول إلى المجلد المشترك عبر الشبكة. عند تسجيل الدخول محليًا، على سبيل المثال في حالة الخادم الطرفي، سيرى كل من السكرتير ومدير التوريد كل ما يريدانه في قسم المحاسبة. تم إصلاح هذا من خلال أذونات NTFS. تنطبق أذونات SMB على كافة الملفات والمجلدات الموجودة في المشاركة. يتم أيضًا إجراء المزيد من الضبط الدقيق لحقوق الوصول باستخدام أذونات NTFS.

Concurrentuserlimit باستخدام هذه المعلمة، يمكنك تحديد الحد الأقصى لعدد الاتصالات بالمجلد المشترك. من حيث المبدأ، يمكن استخدامه أيضًا لتقييد الوصول إلى مجلد، واستكمال أذونات NTFS، ولكن عليك فقط التأكد من العدد المطلوب من الاتصالات.

الوصف وصف للمورد المشترك الذي يكون مرئيًا في بيئة الشبكة. الوصف شيء جيد جدًا يتجاهله الكثير من الناس.

تشفير البيانات

في الشركات الصغيرة والمتوسطة قبل الإصدار 3.0، كانت الطريقة الوحيدة لحماية حركة المرور من خادم الملفات إلى العميل هي VPN. تعتمد كيفية تنفيذه بالكامل على تفضيلات مسؤول النظام: أنفاق SSL أو PPTP أو IPSEC أو أي شيء آخر. في Server 2012، يعمل التشفير بشكل خارج الصندوق، على شبكة محلية عادية أو عبر شبكات غير موثوقة، دون الحاجة إلى أي حلول خاصة للبنية التحتية. يمكن تمكينه للخادم بأكمله أو للمجلدات المشتركة الفردية. خوارزمية التشفير في SMB 3.0 هي AES-CCM، واستبدلت خوارزمية التجزئة HMAC-SHA256 بـ AES-CMAC. والخبر السار هو أن SMB 3.0 يدعم AES (AES-NI) للأجهزة، والخبر السيئ هو أن روسيا لا تدعم AES-NI.

ما هي مخاطر تمكين التشفير؟ لأن العملاء الذين يدعمون SMB 3.0 فقط، أي Windows 8، سيكونون قادرين على العمل مع المجلدات المشتركة المشفرة، والسبب مرة أخرى هو الحد الأقصى المسموح به لتقييد حقوق المستخدم. من المفترض أن المسؤول يعرف ما يفعله، وإذا لزم الأمر، سيمنح حق الوصول للعملاء الذين لديهم إصدار مختلف من SMB. ولكن نظرًا لأن SMB 3.0 يستخدم خوارزميات تشفير وتجزئة جديدة، فلن يتم تشفير حركة المرور من العملاء الذين لديهم إصدار مختلف من SMB، وستكون هناك حاجة إلى VPN. سيساعدك الأمر set-smbserverconfiguration –rejectunencryptedaccess $false على السماح لجميع العملاء بالاتصال بخادم الملفات مع تمكين التشفير.
في التكوين الافتراضي (حركة المرور غير المشفرة إلى المجلدات المشتركة المشفرة محظورة)، إذا حاولنا الوصول إلى مجلد عميل بإصدار SMB أقل من 3.0 على العميل، فسنتلقى "خطأ في الوصول". على الخادم، ستتم إضافة الحدث 1003 إلى سجل Microsoft-Windows-SmbServer/Operational، حيث يمكنك العثور على عنوان IP الخاص بالعميل الذي حاول الوصول.

تشفير SMB وEFS هما شيئان مختلفان ولا يرتبطان بأي شكل من الأشكال ببعضهما البعض، أي أنه يمكن استخدامه على وحدات تخزين FAT وReFS.

وضع تعداد المجلدات هذا هو التعداد القائم على الوصول. مع تمكين التعداد القائم على الوصول، لن يتمكن المستخدمون الذين ليس لديهم حق الوصول إلى المجلد المشترك من رؤيته على خادم الملفات وستكون هناك أسئلة أقل حول سبب عدم قدرتي على الوصول إلى هذا المجلد أو ذاك. يرى المستخدم مجلداته التي يمكن الوصول إليها ولا يحاول التدخل في شؤون الآخرين. تم تعطيل الافتراضي.

  • أساس الوصول - تمكين
  • غير مقيد - إيقاف
-مؤقت يقوم رمز التبديل هذا بإنشاء مجلد مشترك مؤقت، وسيتم إنهاء الوصول إليه بعد إعادة تشغيل الخادم. بشكل افتراضي، يتم إنشاء المجلدات المشتركة الدائمة.

أذونات NTFS

باستخدام أذونات NTFS، يمكننا التمييز بين الحقوق في المجلد بمزيد من التفاصيل. يمكننا منع مجموعة معينة من تغيير ملف معين، مع ترك إمكانية تحرير الملف الرئيسي بأكمله؛ في نفس المجلد، قد يكون لدى مجموعة مستخدمين حقوق التحرير في ملف واحد ولن تتمكن من عرض الملفات الأخرى التي تم تحريرها بواسطة مجموعة مستخدمين أخرى والعكس صحيح. باختصار، تتيح لنا أذونات NTFS إنشاء نظام وصول مرن للغاية، والشيء الرئيسي هو عدم الخلط بينه لاحقا. بالإضافة إلى ذلك، تعمل أذونات NTFS عند الوصول إلى مجلد عبر شبكة، واستكمال أذونات الوصول العامة، وعند الوصول إلى الملفات والمجلدات محليًا.

هناك ستة أذونات أساسية، وهي عبارة عن مزيج من 14 إذنًا متقدمًا.

الأذونات الأساسية
السيطرة الكاملة– الوصول الكامل إلى مجلد أو ملف، مع إمكانية تغيير حقوق الوصول وقواعد التدقيق للمجلدات والملفات

يُعدِّل– الحق في قراءة محتويات المجلد وتغييرها وعرضها وحذف المجلدات/الملفات وتشغيل الملفات القابلة للتنفيذ. يتضمن القراءة والتنفيذ والكتابة والحذف.

القراءة والتنفيذ (القراءة والتنفيذ)- الحق في فتح المجلدات والملفات للقراءة، دون القدرة على الكتابة. من الممكن أيضًا تشغيل الملفات القابلة للتنفيذ.

قائمة محتويات المجلد (listdirectory)– الحق في عرض محتويات المجلد

يقرأ- الحق في فتح المجلدات والملفات للقراءة، دون القدرة على الكتابة. يتضمن محتويات المجلد / قراءة البيانات، وسمات القراءة، وقراءة السمات الموسعة، وأذونات القراءة

يكتب– الحق في إنشاء المجلدات والملفات وتعديل الملفات. يتضمن إنشاء الملفات / كتابة البيانات (بيانات الكتابة)، وإنشاء المجلدات / إلحاق البيانات (بيانات الملحق)، وكتابة السمات (سمات الكتابة)، وكتابة السمات الموسعة

أذونات إضافية
لقد قمت بتعيين إذن واحد فقط من أصل 14 إذنًا على مجلد ورأيت ما حدث. في العالم الحقيقي، تكون الأذونات الأساسية كافية في معظم الحالات، لكنني كنت مهتمًا بسلوك المجلدات والملفات ذات الحقوق الأقل.

اجتياز المجلد / تنفيذ الملف (اجتياز)– الحق في تشغيل وقراءة الملفات، بغض النظر عن حقوق الوصول إلى المجلد. لن يتمكن المستخدم من الوصول إلى المجلد (سيظل ما يوجد في المجلد لغزًا)، ولكن الملفات الموجودة في المجلد ستكون متاحة عبر رابط مباشر (كامل أو نسبي أو مسار UNC). يمكنك وضع مجلدات اجتياز المجلد، وعلى الملف أي أذونات أخرى يحتاجها المستخدم للعمل. لن يتمكن المستخدم من إنشاء الملفات وحذفها في المجلد.

صفات القراءة- الحق في عرض سمات الملف لمجلد أو ملف.
لا يمكنك عرض محتويات المجلد أو الملفات أو تغيير أي سمات.

قراءة السمات الإضافية (قراءة السمات الموسعة)– الحق في عرض سمات إضافية للمجلد أو الملف.

الشيء الوحيد الذي يمكنني العثور عليه حول السمات الإضافية هو أنها تُستخدم لتوفير التوافق مع الإصدارات السابقة مع تطبيقات OS/2. (Windows Internals، الجزء 2: تغطية Windows Server 2008 R2 وWindows 7). ولا أعرف أي شيء آخر عنهم.

إنشاء الملفات / كتابة البيانات (كتابة البيانات)- يمنح المستخدم القدرة على إنشاء ملفات في مجلد لا يمكنه الوصول إليه. يمكنك نسخ الملفات إلى مجلد وإنشاء ملفات جديدة في المجلد. لا يمكنك عرض محتويات المجلد أو إنشاء مجلدات جديدة أو تغيير الملفات الموجودة. لن يتمكن المستخدم من تغيير أي ملف، حتى لو كان هو مالك هذا الملف - فقط قم بإنشائه.

إنشاء المجلدات / إضافة البيانات (بيانات الإلحاق)- يمنح المستخدم القدرة على إنشاء مجلدات فرعية داخل مجلد وإلحاق البيانات بنهاية الملف دون تغيير المحتوى الموجود.

فحص

كل شيء واضح فيما يتعلق بإنشاء المجلدات الفرعية: سيعمل دليل ni c:\testperms\testappend –itemtype كما هو متوقع - سيقوم بإنشاء مجلد فرعي testappend في مجلد testperms، والذي لا يمكن للمستخدم الوصول إليه. دعونا نحاول إضافة سطر إلى نهاية الملف - لنقم بمحاكاة نوع من التسجيل. حدث جديد >> c:\testperms\user.log تم رفض الوصول.
حسنًا... إنه لا يعمل في CMD. وإذا كان الأمر كذلك. ac c:\testperms\user.log حدث جديد ac: تم رفض الوصول إلى المسار "C:\testperms\user.log".
ماذا عن الحزام الناقل؟ "الحدث الجديد" | ملف خارجي c:\testperms\user.log -إلحاق ملف خارجي: تم رفض الوصول إلى المسار "C:\testperms\user.log".
وهذا لا يعمل بهذه الطريقة.

لنبدأ جلسة السحر الأسود: استخدم فئة الملف، وطريقة AppendText. نحصل على كائن السجل.
$log = ::appendtext("c:\testperms\user.log") حدث استثناء عند استدعاء "AppendText" باستخدام الوسيطات "1": "تم رفض الإذن في المسار 'c:\testperms\user.log'."
أعتقد أن AppendAllText لم يعد يستحق المحاولة
$log = ::appendalltext("c:\testperms\user.log"،newevent") استثناء عند استدعاء "AppendAllText" مع الوسيطات "2": "تم رفض الإذن في المسار 'c:\testperms\user.log'" "
والنقطة واضحة من حيث المبدأ. فقط الطرق المذكورة أعلاه ليس لها الحق في إضافة بيانات إلى ملف، بل تحتاج إلى الكتابة إلى ملف. لكن في الوقت نفسه، سنمنح الفرصة لتغيير الملف، وليس فقط إضافة سجلات، أي أننا نفتح الفرصة المحتملة لتدمير محتويات الملف بالكامل.

نحن بحاجة إلى إعادة النظر في المفهوم: دعونا لا نتلقى كائن سجل، لكننا ننشئ كائنًا جديدًا نقوم فيه بتعيين جميع المعلمات التي تهمنا. نحن بحاجة إلى شيء يمكننا من خلاله تحديد حقوق الوصول بشكل صريح. نحتاج إلى FileStream، وبشكل أكثر تحديدًا، سيساعدنا FileStream Constructor (String، FileMode، FileSystemRights، FileShare، Int32، FileOptions). هناك حاجة إلى المعلمات التالية:

  • المسار إلى الملف واضح
  • كيفية فتح ملف - افتح الملف وابحث عن نهاية الملف
  • حقوق الوصول إلى الملفات - إضافة البيانات
  • الوصول إلى كائنات FileStream الأخرى - غير مطلوب
  • حجم المخزن المؤقت – الافتراضي 8 بايت
  • خيارات إضافية - لا
اتضح شيء من هذا القبيل:
$log = new-object io.filestream("c:\testperms\user.log",::append,::appenddata,::none,8,::none)
يعمل! لقد أنشأنا كائن سجل، دعونا نحاول كتابة شيء ما هناك. تقبل طريقة FileStream.Write القيم الواردة بالبايت. نقوم بتحويل الحدث الذي نريد تسجيله إلى بايت - فئة التشفير، وطريقة GetEncoding (لا نحتاج إلى هراء في الإخراج) وGetBytes (في الواقع، تحويل)
$event = "لقد وقع حدث جديد." $eventbytes = ::getencoding("windows-1251").getbytes($event)
معلمات FileStream.Write:
ماذا اكتب؛ من أين تبدأ الكتابة؟ عدد البايتات المراد كتابتها
نكتب:
$log.write($eventbytes,0,$eventbytes.count)
دعونا تحقق.
gc c:\testperms\user.log gc: تم رفض الوصول إلى المسار "C:\testperms\user.log".
كل شيء على ما يرام، ليس لدى المستخدم الحق في عرض ما هو مكتوب. قم بتسجيل الدخول كمسؤول.
gc c:\testperms\user.log حدث حدث جديد.
كل شيء يعمل.

يجب أيضًا منح المجلد الذي يوجد به الملف، بالإضافة إلى إذن إنشاء المجلدات / إضافة البيانات، إذن محتويات المجلد / قراءة البيانات. الملف يكفي فقط لإنشاء مجلدات/إضافة بيانات مع تعطيل الوراثة. لن يكون من الممكن حماية المستخدم بشكل كامل (ويمكن أن يكون المستخدم أيضًا مهاجمًا) من الملفات التي يجب أن يكتب فيها شيئًا ما، ولكن من ناحية أخرى، وبصرف النظر عن قائمة الملفات الموجودة في المجلد، فلن يتمكن المستخدم من ذلك رؤية أي شيء ولن تكون قادرة على فعل أي شيء.

الاستنتاج من ذلك بسيط: لن تتمكن من تنفيذ التسجيل الآمن لأي شيء في الملفات الدفعية؛ يوفر لك PowerShell القدرة على العمل مع كائنات .NET.


اكتب الصفات- السماح للمستخدم بتغيير سمات الملف أو المجلد. كل شيء يبدو بسيطا. ولكن فقط للإجابة على السؤال: "تشغل صور قطتي كل المساحة في ملفي الشخصي تقريبًا ولم يتبق لدي مساحة للمراسلات التجارية. أرغب في ضغط المجلد باستخدام القطط، لكنهم يطلبون مني حقوق المسؤول. لقد قلت أن لدي الحق في تغيير سمات المجلد. هل هذه صفة؟ لماذا لا أستطيع تغييره؟

نعم، يمكن للمستخدم الذي لديه إذن سمة الكتابة تغيير جميع السمات المرئية للملفات والمجلدات تقريبًا، باستثناء سمات الضغط والتشفير. من الناحية الفنية، يتم منح المستخدم الحق في تنفيذ وظيفة SetFileAttributes. ويتم ضغط الملفات بواسطة وظيفة DeviceIOControl، والتي تحتاج إلى تمرير معلمة FSCTL_SET_COMPRESSION إليها، وضغط الملفات بعيد عن وظيفته الوحيدة. من خلال هذه الوظيفة يمكننا إدارة جميع الأجهزة ومواردها في النظام وربما إعطاء المستخدم هذا الحق لأداء هذه الوظيفة يعني جعله مسؤولاً.

مع التشفير، القصة متشابهة: وظيفة EncryptFile، المسؤولة عن التشفير، تتطلب أن يكون لدى المستخدم حقوق محتويات المجلد / قراءة البيانات، وإنشاء الملفات / كتابة البيانات، وقراءة السمات، وكتابة السمات، والمزامنة على كائن. لن يعمل شيء بدونهم.

اكتب السمات الموسعة. حسنًا، هذه هي التطبيقات المستخدمة للتوافق مع الإصدارات السابقة مع تطبيقات OS/2، نعم. حسنًا، بدأت مؤخرًا إضافة أحصنة طروادة (ZeroAccess.C) إلى السمات الموسعة للملف C:\Windows\system32\services.exe. ربما يكون من المفيد إيقاف تشغيلها على أعلى مستوى؟ لا أستطيع الإجابة على هذا السؤال؛ نظريًا، ربما يكون الأمر يستحق ذلك؛ وعمليًا في الإنتاج، لم أجربه.

حذف المجلدات الفرعية والملفات. (حذف الدلائل الفرعية والملفات)إذن مثير للاهتمام ينطبق فقط على المجلدات. تتمثل الفكرة في السماح للمستخدم بحذف المجلدات الفرعية والملفات الموجودة في المجلد الأصلي دون منح إذن الحذف.

لنفترض أن هناك كتالوج منتجات يقوم المستخدمون بإدخال البيانات فيه. يوجد كتالوج المجلد الأصلي، ويوجد بالداخل مجلدات فرعية مرتبة أبجديًا، من الألف إلى الياء، مع بعض الأسماء بداخلها. تتغير الأسماء كل يوم، ويتم إضافة شيء ما، وتغيير شيء ما، ويصبح شيئًا قديمًا ويجب حذف المعلومات القديمة. ولكن لن يكون الأمر جيدًا جدًا إذا قام شخص ما، بسبب الجهل أو النية الخبيثة، بتدمير دليل K بالكامل، وهو أمر محتمل جدًا إذا كان لدى المستخدمين حق الحذف. إذا قمت بسحب حق الحذف من المستخدمين، فيمكن للمسؤول تغيير وظيفته بأمان، لأنه سيلبي طلبات حذف هذا الاسم أو ذاك طوال اليوم.

هذا هو المكان الذي يتم فيه حذف المجلدات الفرعية والملفات. يتم تعطيل الوراثة لجميع الحروف الأبجدية ويتم إضافة حق حذف المجلدات الفرعية والملفات إلى المستخدمين. ونتيجة لذلك، لن يتمكن المستخدمون من حذف حرف واحد في مجلد الكتالوج، ولكن يمكنهم حذف أي شيء داخل الحروف.

يمسح.كل شيء بسيط هنا. الإزالة هي الإزالة. لا يعمل بدون إذن القراءة.

أذونات القراءةيمنح المستخدم الحق في عرض الأذونات على مجلد أو ملف. لا يوجد إذن - لا يرى المستخدم الأذونات في علامة التبويب "الأمان".

تغيير الأذونات- يسمح للمستخدم بتغيير الأذونات، مما يجعل المستخدم مسؤولاً عن المجلد. يمكن استخدامه، على سبيل المثال، لتفويض السلطة إلى الدعم الفني. بدون الحق في قراءة الأذونات فإنه لا معنى له. لا يعني تغيير الأذونات تغيير مالك المجلد.

تغيير المالك (الاستحواذ)- بالنسبة للمبتدئين، من هو المالك. المالك هو المستخدم الذي قام بإنشاء الملف أو المجلد.

تكمن خصوصية المالك في أنه يتمتع بحق الوصول الكامل إلى المجلد الذي تم إنشاؤه، ويمكنه منح الأذونات للمجلد الذي تم إنشاؤه، ولكن الأهم من ذلك أنه لا يمكن لأحد حرمان المالك من حق تغيير الأذونات في المجلد أو الملف الخاص به. إذا أنشأ Vasya مجلدًا، ومنح Petya حق الوصول الكامل، ودخل Petya ورفض وصول المستخدم إلى المجلد بشكل عام وVasya على وجه الخصوص، فيمكن لـ Vasya بسهولة استعادة الوضع الراهن، لأنه مالك المجلد. لن تتمكن Petya من تغيير مالك المجلد، حتى لو كان لديه إذن تغيير المالك. علاوة على ذلك، حتى Vasya لا يستطيع تغيير المالك، على الرغم من حقيقة أنه أنشأ المجلد. ينطبق حق تغيير المالك فقط على مجموعة المسؤولين أو مسؤولي المجال.

ولكن إذا أنشأت Petya ملفًا داخل مجلد Vasya ولم تمنح Vasya إمكانية الوصول إليه، فلا يمكن لـ Vasya إلا أن يفكر ويتساءل ما هو السر الموجود داخل هذا الملف. لن يتمكن Vasya من تغيير حقوق الوصول إلى الملف، لأن مالك الملف هو Petya. أيضًا، لن يتمكن Vasya من تغيير مالك الملف - يعد تغيير مالك الحاويات الفرعية والكائنات أيضًا امتيازًا لمجموعة المسؤولين، التي لا ينتمي إليها Vasya. الخيار الوحيد المتبقي لفاسيا هو إلقاء نظرة على ملف بيتيا داخل مجلده.

ندير

يستخدم CMD icacls المعروفة لإدارة الأذونات. في PowerShell، تبدو إدارة أذونات NTFS كما يلي:

احصل على الكائن الذي سنقوم بتعيين الأذونات عليه
$acl = get-acl c:\testperms
قم بإنشاء سلسلة ذات حقوق باستخدام فئة System.Security.AccessControl.FileSystemAccessRule. يمكننا تعيين المعلمات التالية:

  • اسم المجموعة/المستخدم – لمن نقوم بإعداد قائمة التحكم بالوصول (ACL) من أجله
  • الدقة – ACE (يقبل القيم المحددة في المنشور)
  • ينطبق على - في واجهة المستخدم الرسومية، هذه قائمة منسدلة في خيارات الأمان المتقدمة. في الواقع، يستغرق الأمر ثلاث قيم فقط: لا شيء (على هذا المجلد فقط)، وcontainerinherit (ينطبق على جميع المجلدات الفرعية)، وobjectinherit (ينطبق على جميع الملفات). يمكن الجمع بين القيم.
  • تطبيق هذه الأذونات على الكائنات والحاويات فقط داخل هذه الحاوية (خانة الاختيار في واجهة المستخدم الرسومية) - أيضًا 3 قيم: لا شيء (يتم مسح خانة الاختيار)، وراثيًا (ينطبق ACE فقط على نوع الكائن المحدد)، nopropagateinherit (تطبيق الأذونات فقط داخل هذه الحاوية ).
  • القاعدة - السماح (السماح) أو الرفض (الرفض)
سيبدو سطر الأذونات الافتراضي كما يلي:
$permission = "contoso.com\admin"،"التحكم الكامل"،"،containerinherit،objectinherit"،"none"،،allow"
قم بإنشاء ACE جديد بالأذونات المحددة أعلاه
$ace = كائن جديد Security.accesscontrol.filesystemaccessrule $permission
وقم بتطبيق ACE المنشأ حديثًا على الكائن
$acl.setaccessrule($ace) $acl | مجموعة ACL ج:\testperms

دعونا نضع ذلك موضع التنفيذ

مسلحًا بمعرفة أذونات SMB وNTFS، ومن خلال الجمع بينهما، يمكنك إنشاء قواعد وصول بأي تعقيد على الإطلاق. بعض الأمثلة:
يكتب أذونات الشركات الصغيرة والمتوسطة أذونات NTFS
مجلد للجميع (عام) المستخدمون - القراءة/الكتابة المستخدمون - التغيير
صندوق اسود. يرسل المستخدمون تقارير واقتراحات وافتراءات سرية - تقرأها الإدارة. المستخدمون - القراءة/الكتابة
دليل - القراءة / الكتابة		 المستخدمون - الإدخال، ينطبق على هذا المجلد فقط. من المفترض أن كتابة ملف إلى هذا المجلد هي تذكرة ذهاب فقط، حيث لا توجد طريقة ملائمة لتحرير الملفات المحفوظة في هذا المجلد دون عرض محتويات المجلد (بالمناسبة، لا توجد طريقة سهلة الاستخدام للكتابة في مثل هذا المجلد أيضًا). والمشاهدة تنتهك الخصوصية.

القيادة - التغيير.
التطبيقات المستخدمون - القراءة المستخدمون - القراءة والقراءة والتنفيذ وعرض محتويات المجلد.

وبطبيعة الحال، قد تتطلب بعض التطبيقات حقوقًا إضافية للعمل. ولكن في الحالة العامة، على سبيل المثال، يكفي تخزين الأدوات المساعدة لتشخيص النظام (نفس جناح SysInternals).

ملفات تعريف المستخدم كل مستخدم - القراءة/الكتابة إلى المجلد الخاص به كل مستخدم – قم بالتغيير إلى المجلد الخاص به.

تعتبر الأذونات في Windows أمرًا مثيرًا للجدل. فمن ناحية، الحلول الأساسية بسيطة جدًا وتغطي 90% من الحالات. ولكن عندما تبدأ الحاجة إلى مزيد من الضبط: مجموعات مستخدمين مختلفة، ومجلد واحد، ومتطلبات الأمان للمجلدات المشتركة، فقد يكون من الصعب جدًا التعامل مع الأذونات الإضافية والميراث والمالكين.

آمل ألا أكون قد أربكت أحداً أكثر.


عند تثبيت نظام التشغيل Windows XP، سيُطلب منك تهيئة القسم الموجود الذي تم تثبيت نظام التشغيل عليه إلى نظام الملفات NTFS. إذا ما هو؟

يوفر نظام الملفات NTFS مزيجًا من الأداء والموثوقية والكفاءة التي لا يمكن لـ FAT تحقيقها. كانت أهداف التصميم الرئيسية لـ NTFS هي توفير أداء عالي السرعة لعمليات الملفات القياسية، مثل القراءة والكتابة والبحث، وتوفير إمكانات إضافية، بما في ذلك إصلاح نظام الملفات التالف على الأقراص الكبيرة للغاية.

نظام الملفات NTFS هو نظام ملفات "خاص به" لنظام التشغيل Windows NT، وكما هو معروف WinXP، فهو نوع من استمرار هذا السطر من نظام التشغيل. ولكن إذا كنت ستستخدم العديد من أنظمة التشغيل مثل Windows 9x وWindows XP على جهاز كمبيوتر واحد، فلا يمكن تنسيق وحدة تخزين التمهيد في NTFS، نظرًا لأن خطوط Windows 95 (98) "تفهم" فقط FAT، والأقراص المنسقة في NTFS بالنسبة لهؤلاء، نظام التشغيل ببساطة غير موجود. لا يمكن رؤية الملفات الموجودة على محركات أقراص NTFS إلا باستخدام برامج الطرف الثالث. إذا لم تقم بتهيئة القسم في NTFS أثناء التثبيت، فيمكن القيام بذلك بعد ذلك. في سطر أوامر WindowsXP، تحتاج إلى كتابة "تحويل (اسم محرك الأقراص)/FS:NTFS" بدون علامات الاقتباس.

يوجد أدناه جدول مقارنة بين أنظمة الملفات FAT وNTFS

قيود NTFS الدهون والدهون 32
أبعاد الحجم الحد الأدنى لحجم الحجم هو حوالي 10 ميغابايت. يدعم FAT أحجامًا مختلفة لوحدات التخزين - بدءًا من الأقراص المرنة وحتى 4 جيجابايت.
من الناحية العملية، يوصى بإنشاء مجلدات لا تتجاوز أحجامها 2 تيرابايت. يدعم FAT 32 وحدات تخزين تبدأ من 2 جيجابايت. ما يصل إلى 2 تيرابايت. عند تشغيل Windows XP، يمكن لـ Fat 32 تنسيق وحدات التخزين التي لا يتجاوز حجمها 32 جيجابايت.
لا يمكنك تهيئة الأقراص المرنة باستخدام NTFS. الأقراص التي يقل حجمها عن 512 ميجابايت غير مدعومة.
أحجام الملفات من الناحية النظرية، يمكن أن يصل حجم الملف إلى 16 إكسابايت. يدعم FAT الملفات التي لا يزيد حجمها عن 2 جيجابايت. يدعم FAT 32 الملفات التي لا يزيد حجمها عن 4 جيجابايت.

يحتوي NTFS على ميزات أمان تدعم التحكم في الوصول إلى البيانات وامتيازات المالك، والتي تلعب دورًا حيويًا في ضمان سلامة البيانات المهمة. يمكن أن تتمتع مجلدات وملفات NTFS بحقوق الوصول المخصصة لها بغض النظر عما إذا كانت مشتركة أم لا.
NTFS هو نظام الملفات الوحيد في Windows الذي يسمح لك بتعيين أذونات لملفات مختلفة. من خلال تعيين أذونات محددة للمستخدمين على الملفات والأدلة، يمكن للمستخدم حماية المعلومات الحساسة من الوصول غير المصرح به. تعمل أذونات المستخدم للوصول إلى كائنات نظام الملفات على مبدأ الإضافة. وهذا يعني أن الأذونات الفعالة، أي الأذونات التي يمتلكها المستخدم بالفعل على دليل أو ملف معين، مشتقة من كافة الأذونات المباشرة أو غير المباشرة المعينة للمستخدم على هذا الكائن باستخدام الدالة "Or" المنطقية. على سبيل المثال، إذا كان لدى المستخدم الحق في تعيين إذن القراءة للدليل، وتم منحه إذن الكتابة بشكل غير مباشر من خلال عضوية المجموعة، فإن النتيجة هي أن المستخدم سيكون قادرًا على قراءة المعلومات في ملفات الدليل وكتابة البيانات إليها.
لتعيين إذن مستخدم أو مجموعة للوصول إلى ملف معين، يجب عليك: 1. تحديد الملف بالماوس ثم النقر فوق الزر الأيمن. حدد عنصر الخصائص من قائمة السياق. في نافذة خصائص الملف التي تظهر، انتقل إلى علامة التبويب الأمان. بشكل افتراضي، علامة التبويب هذه غير موجودة؛ لكي تظهر، تحتاج إلى إلغاء تحديد خانة الاختيار مشاركة الملفات البسيطة في خصائص المجلد (استخدم مشاركة الملفات البسيطة).
2. تعرض مجموعة الاسم قائمة بالمستخدمين والمجموعات التي تم منحها بالفعل أذونات لهذا الملف. لإضافة مستخدمين أو مجموعات جديدة أو إزالتها، انقر فوق الزر "إضافة/إزالة". يظهر مربع الحوار "تحديد مستخدمين، مجموعات". في الحقل أدخل أسماء الكائنات المراد تحديدها، اكتب اسم المستخدم، يتيح لك الزر "التحقق من الأسماء" التحقق من صحة الأسماء تهجئة الاسم.
3. في مجموعة الأذونات، يتم تعيين الأذونات. هناك مؤشرات الرفض والسماح. يتم تحديد الخيارات التالية: التحكم الكامل - يتمتع المستخدم بوصول غير مقيد إلى الملف، تعديل - يمكن للمستخدم تعديل الملف، القراءة والتنفيذ، القراءة - يمكن للمستخدم قراءة الملف فقط، الكتابة - يمكن للمستخدم الكتابة إلى الملف .

لضبط الأذونات، انقر فوق الزر "خيارات متقدمة". يظهر مربع الحوار إعدادات الأمان المتقدمة لـ. هنا يمكنك اختياريًا تحديد أذونات إضافية وتكوين سياسات التدقيق وتغيير (عرض) معلومات مالك الملف وإضافة/إزالة المستخدمين الذين يمكنهم الوصول إلى الملف.
الخاصية التالية المفيدة جدًا لنظام الملفات NTFS هي القدرة على تقديم الحصص. عادة ما تكون هذه الخاصية ضرورية لمسؤولي النظام في الشركات الكبيرة حيث يعمل عدد كبير من المستخدمين، والذين ليس لديهم عادة تحديث المعلومات، والذين يقومون بتخزين الملفات غير الضرورية، وبالتالي يشغلون مساحة القرص. وبما أن المسؤول لا يمكنه مراقبة كل هذا، فيمكنه فرض حصة استخدام للقرص على مستخدم معين. بمجرد تعيين الحصص النسبية، يمكن للمستخدم تخزين كمية محدودة من البيانات على وحدة التخزين، بينما قد تبقى مساحة فارغة على هذا القرص. إذا تجاوز المستخدم الحصة المخصصة له، فسيتم إجراء الإدخال المقابل في سجل الأحداث. لتمكين الحصص النسبية على القرص، يجب أن تكون أولاً بتنسيق NTFS، ثم في خصائص المجلد Tools-Folder Options-View، قم بإلغاء تحديد خانة الاختيار Simple File Sharing. يعد ذلك ضروريًا حتى تظهر علامة التبويب "الحصة النسبية" في خصائص القرص. في ذلك، تحتاج إلى تحديد خانة الاختيار تمكين إدارة الحصص. سيؤدي هذا إلى تعيين حصة مخففة، والتي ستصدر تحذيرًا بأن المستخدم، إذا حدث ذلك، قد تجاوز الحصة، ولكن سيكون له الحق في الكتابة. لرفض الوصول إلى وحدة التخزين هذه لمستخدم في حالة تجاوز الحصة النسبية، يجب تحديد خانة الاختيار رفض مساحة القرص للمستخدمين الذين يتجاوزون حد الحصة النسبية. في علامة التبويب نفسها، يمكنك تعيين حجم الحصة المخصصة (تحديد مساحة القرص لـ) والحد الذي يؤدي تجاوزه إلى كتابة تحذير في سجل الأحداث (تعيين مستوى التحذير على) - تعيين العتبة لإصدار رسالة . يتم تعيين هذه الإعدادات بشكل افتراضي لجميع المستخدمين. في نافذة إدخالات الحصة، يمكنك تغيير معلمات الحصة المحددة لمستخدم معين. للقيام بذلك، حدد الحساب المراد تكوينه، واستخدم قائمة السياق لتحديد الخصائص وتكوين الحصة النسبية.
وهناك ابتكار آخر في NTFS 5 - نقاط التثبيت. يمكن للمستخدم تحديد مجلدات مختلفة وغير مرتبطة وحتى محركات الأقراص في النظام كمحرك أقراص أو مجلد واحد. وهذا له أهمية كبيرة لتحديد المعلومات غير المتجانسة الموجودة في النظام في مكان واحد. تتمتع الملفات والمجلدات التي يتم إنشاؤها بهذه الطريقة برقم تعريف فريد، مما يضمن موقعها الصحيح في النظام، حتى لو تم نقل المجلد أو الملف.

في أي نظام يعتمد على تقنيات Windows NT، توجد موارد شبكة خاصة. تنتهي أسماء بعض الموارد بالرمز $؛ وتستخدم موارد الشبكة هذه " شبكة" أو عند فتح موارد الخادم باستخدام الأمر " \\<имя сервера>" لن يكون مرئيًا. ومع ذلك، إذا قمت بتحديد اسم UNC الكامل لمورد الشبكة، فيمكنك رؤية البيانات الموجودة فيه.

دعونا قائمة هذه الموارد:

  • مورد النموذج " \\<имя сервера>\المشرف$" (على سبيل المثال، \\DC1\admin$ ) - مخصص لإدارة الكمبيوتر عن بعد؛ يتوافق المسار دائمًا مع موقع المجلد المثبت عليه نظام Windows؛ يمكن لأعضاء المجموعة فقط الاتصال بهذا المورد المسؤولين, مشغلي الأرشيفو مشغلي الخادم ;
  • مورد النموذج " \\<имя сервера>\< буква диска>$ " (على سبيل المثال، \\DC1\C$ ) - المجلد الجذر لمحرك الأقراص المحدد؛ يمكن لأعضاء المجموعة فقط الاتصال بموارد الشبكة من هذا النوع على خادم Windows المسؤولين, مشغلي الأرشيفو مشغلي الخادم; على أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows XP Professional وWindows 2000 Professional، يمكن لأعضاء المجموعة الاتصال بهذه الموارد المسؤولينو مشغلي الأرشيف ;
  • الموارد " \\<имя сервера>\IPC$" (على سبيل المثال، \\DC1\IP$ ) - يستخدم للإدارة عن بعد؛
  • الموارد " \\<имя сервера>\NETLOGON" (على سبيل المثال، \\DC1\NETLOGON) - يستخدم فقط في وحدات تحكم المجال؛ يتم تخزين البرامج النصية (البرامج النصية) لتسجيل دخول المستخدم، المتوافقة مع الإصدارات السابقة من أنظمة تشغيل Microsoft، في مجلد الشبكة هذا؛
  • الموارد " \\<имя сервера>\SYSVOL" - يستخدم فقط على وحدات تحكم المجال؛ يتم تخزين جزء الملف من سياسات المجموعة في مجلد الشبكة هذا؛
  • الموارد " \\<имя сервера>\طباعة$" - مورد يدعم الطابعات المشتركة؛ على وجه الخصوص، يتم تخزين برامج تشغيل الطابعات المشتركة في هذا المجلد.

يمكنك عرض قائمة كاملة بالموارد التي يوفرها هذا الخادم للمشاركة في " الملفات المشتركة"، في الفصل " الموارد المشتركة" (الشكل 8.35):


أرز. 8.35.

في نفس القسم من هذه الأداة الإضافية، يمكنك تعطيل مشاركة الموارد على الشبكة، وتغيير أذونات الشبكة، وإنشاء موارد شبكة جديدة.

بالإضافة إلى موارد الشبكة الخاصة التي يوجد بها الرمز $ في نهاية اسم المورد، والتي تمنح للمجموعات ذات السلطة العالية، يمكن استخدام هذا الرمز لمنح الوصول إلى أي مورد آخر يتم منحه الوصول إلى الشبكة من قبل المسؤول نفسه. في هذه الحالة، سيتم أيضًا إخفاء مورد الشبكة أثناء استعراض الشبكة العادي، ولكن يمكن الوصول إليه عن طريق تحديد اسم UNC الكامل، ويمكن السماح بالوصول إلى مجموعات المستخدمين التي تحتاج إلى هذا المورد.

أذونات NTFS

نؤكد مرة أخرى أن أذونات الشبكة تنطبق فقط عند الوصول إلى الموارد عبر الشبكة. إذا قام المستخدم بتسجيل الدخول محليًا، فلا يمكن الآن التحكم في الوصول إلا باستخدام أذونات NTFS. في وحدة التخزين (القسم) المزودة بنظام FAT، سيكون لدى المستخدم حق الوصول الكامل إلى المعلومات الموجودة على وحدة التخزين هذه.

يمكن تعيين أذونات NTFS عن طريق الفتح ملكياتمجلد أو ملف وانتقل إلى " أمان " (حماية). كما يمكن أن يرى في التين. 8.36، مجموعة أنواع أذونات NTFS أكثر ثراءً بكثير من مجموعة أذونات الشبكة.


أرز. 8.36.

على وحدة تخزين NTFS، يمكنك تعيين أنواع الأذونات التالية للمجلدات:

  • الوصول الكامل ;
  • يتغير ;
  • قراءة وتنفيذ ;
  • قائمة محتويات المجلد ;
  • قراءة ;
  • سِجِلّ ;
  • أذونات خاصة.

لا يوجد عرض للملفات " قراءة محتويات المجلد ".

إذا قمت بالنقر فوق الزر "أذونات". بالإضافة إلى ذلك"، ثم يمكنك ضبط الأذونات.

يمكن أن تكون أذونات NTFS بديهيأو وارث. افتراضيًا، ترث كافة المجلدات أو الملفات أذونات كائن الحاوية هذا ( الكائن الأصل) الذي خلقوا فيه. يؤدي استخدام الأذونات القديمة إلى تسهيل عمل التحكم في الوصول. إذا كان المسؤول بحاجة إلى تغيير حقوق الوصول لمجلد وكل محتوياته، فيكفي القيام بذلك للمجلد نفسه وستؤثر التغييرات تلقائيًا على التسلسل الهرمي الكامل للمجلدات الفرعية والمستندات. في التين. 8.36. ومن الواضح أن المجموعة " المسؤولين"لقد ورث أذونات الكتابة" الوصول الكامل" للمجلد المجلد1. وفي الشكل. 8.37. وتبين أن المجموعة " المستخدمين" لديه مجموعة من الأذونات المعينة بشكل صريح:


أرز. 8.37.

لا يمكنك تغيير الأذونات الموروثة. إذا قمت بالنقر فوق " بالإضافة إلى ذلك"، ثم يمكنك إلغاء وراثة الأذونات من الكائن الأصل. في هذه الحالة، سيقدم النظام خيارين لإلغاء الوراثة: إما نسخ الأذونات الموروثة السابقة في شكل أذونات صريحة، أو حذفها بالكامل.

آلية تطبيق الأذونات

قيل في الفقرة 8.1 أن كل ملف عبارة عن مجموعة من السمات. يتم استدعاء السمة التي تحتوي على معلومات حول أذونات NTFS قائمة نظام الدخول (ACL، قائمة التحكم في الوصول). يظهر هيكل ACL في الجدول. 8.4. يتم استدعاء كل إدخال في قائمة التحكم بالوصول (ACL). عنصر التحكم في الوصول (ACE، دخول التحكم في الوصول).

يسرد الجدول معرفات أمان حساب المستخدم أو المجموعة أو الكمبيوتر (SIDs) والأذونات المقابلة لها. في الأشكال 8.36 أو 8.37، بدلاً من معرفات الأمان (SIDs)، يتم عرض أسماء المستخدمين والمجموعات المضمنة في قائمة التحكم بالوصول (ACL). ينص القسم 4 على أنه عندما يقوم مستخدم بتسجيل الدخول إلى الشبكة (عندما يقوم بالتسجيل في مجال)، ترسل وحدة تحكم المجال رمز وصول يحتوي على معرفات الأمان الخاصة بالمستخدم نفسه والمجموعات التي هو عضو فيها إلى جلسة المستخدم الحالية على حاسوب. عندما يحاول مستخدم تنفيذ إجراء على مجلد أو ملف (ويطلب نوعًا ما من الوصول إلى كائن)، يقوم النظام بمطابقة معرفات الأمان في رمز وصول المستخدم مع معرفات الأمان الموجودة في قائمة التحكم بالوصول (ACL) الخاصة بالكائن. في حالة تطابق معرفات SID معينة، يتم منح المستخدم الأذونات المناسبة للوصول إلى المجلد أو الملف.

لاحظ أنه عندما يقوم المسؤول بتغيير عضوية مجموعة المستخدم (يضم مستخدمًا في مجموعة جديدة أو يزيل مستخدمًا من مجموعة)، فإن رمز الوصول الخاص بالمستخدم لا يتغير تلقائيًا. للحصول على رمز وصول جديد، يجب على المستخدم تسجيل الخروج ثم تسجيل الدخول مرة أخرى. ثم سيتلقى رمز وصول جديد من وحدة تحكم المجال، مما يعكس التغيير في عضوية مجموعة المستخدمين

إجراءات تطبيق الأذونات

مبدأ تطبيق أذونات NTFS للوصول إلى ملف أو مجلد هو نفس مبدأ أذونات الشبكة:

  • أولا، يتم التحقق من الحظر المفروض على أي نوع من الوصول (إذا كان هناك حظر، فهذا النوع من الوصول غير مسموح به)؛
  • ثم يتم التحقق من مجموعة الأذونات (إذا كانت هناك أنواع مختلفة من الأذونات للمستخدم والمجموعات التي ينتمي إليها هذا المستخدم، فسيتم تطبيق مجموعة الأذونات الإجمالية).

ولكن بالنسبة لأذونات NTFS، يصبح المخطط أكثر تعقيدًا بعض الشيء. يتم تطبيق الأذونات بالترتيب التالي:

  • المحظورات الصريحة؛
  • أذونات صريحة؛
  • الموانع الموروثة.
  • الأذونات الموروثة.

إذا لم يتم تحديد معرف SID الخاص بالمستخدم أو معرفات SID للمجموعة التي يكون المستخدم عضوًا فيها في الأذونات الصريحة أو الموروثة، فسيتم رفض الوصول إلى المستخدم.

ملكية مجلد أو ملف

المستخدم الذي قام بإنشاء المجلد أو الملف هو مالكمن هذا الكائن. مالك الكائن لديه الحق في تغيير أذونات NTFSلهذا الكائن، حتى لو تم رفض أنواع الوصول الأخرى. يمكن رؤية المالك الحالي للكائن من خلال الفتح ملكياتالكائن، ثم الإشارة المرجعية " أمان"، ثم النقر على الزر " بالإضافة إلى ذلك"والذهاب إلى الإشارة المرجعية" مالك" (الشكل 8.38):


أرز. 8.38.

انتباه! مدير النظام قد يتغير المالككائن عن طريق تحديد مالك جديد من القائمة المعروضة في هذه النافذة أو من القائمة الكاملة للمستخدمين (بالنقر فوق " مستخدمين أو مجموعات أخرى"). يتم توفير هذه الميزة للمسؤولين من أجل استعادة الوصول إلى كائن في حالة فقدان الوصول بسبب أذونات تم تعيينها بشكل غير صحيح أو حذف حساب لديه حق الوصول الحصري إلى هذا الكائن (على سبيل المثال، الموظف الوحيد الذي كان لديه بقي الوصول إلى الملف، قام المسؤول بحذف حسابه، ونتيجة لذلك فقد الوصول إلى الملف تمامًا، والطريقة الوحيدة لاستعادة الوصول هي نقل ملكية الملف إلى المسؤول أو موظف جديد يعمل كموظف مفصول ).

مشاركة أذونات الشبكة وNTFS

عند الوصول إلى مشاركات الملفات المستضافة على وحدة تخزين NTFS عبر الشبكة، يتم تطبيق مجموعة من أذونات الشبكة وNTFS على المستخدم.

عند الوصول عبر الشبكة، يتم حساب أذونات الشبكة أولاً (من خلال جمع أذونات المستخدم والمجموعات التي ينتمي إليها المستخدم). ثم يتم أيضًا حساب أذونات NTFS عن طريق الجمع. وستكون التصاريح الفعالة الناتجة الممنوحة لتلك الممتلكات المعينة الحد الأدنىمن الشبكة المحسوبة وأذونات NTFS.

التحكم في الوصول باستخدام المجموعات

يتم إنشاء مجموعات المستخدمين خصيصًا لإدارة الوصول إلى الموارد بشكل أكثر فعالية. إذا قمت بتعيين حقوق الوصول لكل مورد لكل مستخدم على حدة، أولاً، فهذا عمل كثيف العمالة للغاية، وثانيًا، يصبح من الصعب تتبع التغييرات في حقوق الوصول عندما يغير المستخدم منصبه في القسم أو ينتقل إلى قسم آخر قسم.

دعونا نكرر المادة من القسم 4. للتحكم في الوصول بشكل أكثر فعالية، يوصى بالمخطط التالي لتنظيم توفير الوصول:

  1. حسابات المستخدمين ( حسابات) يتم تضمينها في مجموعات المجال العمومية ( المجموعات العالمية) وفقًا لهيكل التوظيف في الشركة/المنظمة والمسؤوليات المنجزة؛
  2. يتم تضمين المجموعات العالمية في مجموعات المجال المحلية أو المجموعات المحلية على بعض الخوادم ( المجموعات المحلية المجال, المجموعات المحلية) وفقًا لحقوق الوصول المطلوبة لمورد معين؛
  3. يتم تعيين المجموعات المحلية المناسبة الأذونات اللازمة ( الأذونات) إلى موارد محددة.

تلقى هذا المخطط، بناء على الأحرف الأولى من الكائنات المستخدمة، اسما مختصرا AGLP (أالعد زالمجموعات المحلية لالمجموعات المحلية صالأذونات). مع هذا الترتيب، إذا تمت ترقية المستخدم أو تخفيض رتبته أو نقله إلى قسم آخر، فلا داعي لذلك عرض كافة موارد الشبكة، الوصول الذي يحتاج إلى تغيير لهذا المستخدم. ويكفي أن تتغير وفقا لذلك عضوية المستخدم في المجموعات العالمية، وحقوق الوصول إلى موارد الشبكة لهذا المستخدم سوف تتغير تلقائيا.

دعونا نضيف ذلك في الوضع الرئيسي لتشغيل مجال Active Directory (الأوضاع " ويندوز 2000 الأساسي" أو " ويندوز 2003") مع ظهور تداخل المجموعات والمجموعات العالمية، المخطط AGLPتم تعديله في الدائرة أغ...جول...ل.ب.

يتم استخدام نظام أذونات مفصل ومعقد للتحكم في وصول المستخدم إلى المجلدات والملفات. تعد آلية التحكم في الوصول إلى الكائنات في Windows واحدة من أكثر الآليات تفصيلاً بين أنظمة التشغيل المعروفة. يوجد ما لا يقل عن 14 إذن NTFS للملفات والمجلدات التي يمكن تمكينها أو تعطيلها - والتحقق منها. يمكن تعيين هذه الأذونات للملفات أو المجلدات وللمستخدمين أو المجموعات. يمكنك أيضًا تعيين الترتيب الذي يتم به توريث الأذونات للملفات أو المجلدات والمستخدمين أو المجموعات. من السهل أن تضيع في متاهة التصاريح. ستناقش هذه المقالة كيفية عمل أذونات المجلدات والملفات والطرق الأكثر فعالية لتطبيقها.

أساسيات الوصول إلى الكائنات

لا يتصل المستخدم أبدًا بشكل مباشر بأي كائن Windows. يتم الوصول إلى الكائنات من خلال البرامج (على سبيل المثال، Windows Explorer، Microsoft Office) أو العمليات. يقوم البرنامج الذي يصل إلى الموارد نيابة عن المستخدم بتنفيذ إجراء يسمى الانتحال. يقوم البرنامج الذي يصل إلى مورد بعيد بتنفيذ إجراء يسمى التفويض.

بعد تسجيل المستخدم، تتم معالجة معرف النظام (SID) الخاص بالمستخدم ومعرفات SID للمجموعة من خلال عملية lsass.exe، التي تنشئ رمز وصول آمن للمستخدم. يحتوي رمز الأمان أيضًا على معلومات أخرى، بما في ذلك الحقوق (الأذونات) المعينة للمستخدم، ومعرف جلسة المستخدم (فريد لكل جلسة)، وقناع الإذن الذي يوضح بالتفصيل نوع الوصول المطلوب. يمكن رؤية الحقوق المخصصة للمستخدم باستخدام الأمر

إذا قام برنامج بالوصول إلى مورد محمي نيابة عن مستخدم، فإن مراقب أمان Windows المرجعي يطلب رمز وصول الأمان الخاص بالمستخدم من البرنامج. تقوم شاشة الأمان بعد ذلك بتحليل الرمز المميز لتحديد الأذونات الفعالة للمستخدم وتسمح أو ترفض العملية المطلوبة للمستخدم. يتم وصف الأذونات الفعالة بمزيد من التفاصيل أدناه.

أذونات المشاركة

يحتفظ كل كائن Windows محمي، بما في ذلك الملفات والمجلدات والمشاركات والطابعات ومفاتيح التسجيل، بأذونات الأمان. يمكن جعل أي مجلد Windows عامًا للسماح بالوصول عن بعد. يمكن تعيين أذونات المشاركة لأي مجلد وكائنات طابعة في نظام التشغيل Windows، ولكن يتم تطبيق الأذونات فقط إذا تم الوصول إلى الكائن من خلال مورد شبكة. تتضمن أذونات مشاركة المجلد التحكم الكامل والتغيير والقراءة.

يمكن لموضوعات الأمان التي تم تعيينها للتحكم الكامل في كائن ما إجراء أي عملية تقريبًا على الكائن. يمكنهم حذف كائن وإعادة تسميته ونسخه ونقله وتعديله. يمكن للمستخدم الذي لديه إذن التحكم الكامل تغيير أذونات مشاركة الكائن ويصبح مالك الكائن (ما لم يكن هو المالك بالفعل وليس لديه إذن الحصول على الملكية). بهذه الطريقة، يمكن لأي شخص لديه إذن التحكم الكامل إلغاء أذونات الآخرين، بما في ذلك المسؤول (على الرغم من أن المسؤول يمكنه دائمًا استعادة الملكية والأذونات). تعد القدرة على تغيير الأذونات أحد متطلبات أي نظام تشغيل مزود بتحكم اختياري في الوصول (DAC)، مثل Windows.

في معظم الحالات، يكون إذن الوصول إلى الموارد الرئيسي الذي يطلبه المستخدمون العاديون هو التغيير. باستخدام إذن التغيير، يمكن للمستخدم إضافة أو حذف أو تحرير أو إعادة تسمية أي موارد في المجلد المقابل. يسمح لك إذن القراءة بعرض كائن ونسخه وإعادة تسميته وطباعته. يمكن للمستخدم الذي لديه إذن القراءة نسخ كائن إلى موقع آخر حيث يكون لديه إذن التحكم الكامل.

أذونات NTFS

إذا كان Windows يستخدم نظام الملفات NTFS (بدلاً من FAT)، فإن كافة الملفات والمجلدات ومفاتيح التسجيل والعديد من الكائنات الأخرى تتمتع بأذونات NTFS. تنطبق أذونات NTFS على كل من الوصول المحلي والبعيد إلى كائن ما. لعرض وتغيير أذونات ملف أو مجلد NTFS، فقط انقر بزر الماوس الأيمن على الكائن، وحدد خصائص، وانتقل إلى علامة التبويب أمان.

يوضح الجدول 1 إجمالي أذونات NTFS السبعة. الأذونات التلخيصية عبارة عن مجموعات مختلفة من الأذونات الأربعة عشر التفصيلية الموضحة في الجدول 2. يمكنك عرض الأذونات التفصيلية عن طريق فتح مربع الحوار إعدادات الأمان المتقدمة لكائن ما عن طريق النقر فوق الزر "خيارات متقدمة" في علامة التبويب "أمان"، ثم النقر فوق الزر "تحرير" في علامة تبويب الأذونات. يعد التعرف على الأذونات التفصيلية للكائن (خاصة الذي يتطلب أمانًا متزايدًا) عادة جيدة، على الرغم من أنها تتطلب المزيد من الجهد. لا تعكس الأذونات الموجزة دائمًا حالة الأذونات التفصيلية بدقة. على سبيل المثال، لقد رأيت ملخصًا لإذن القراءة عندما كان لدى المستخدم بالفعل إذن القراءة والتنفيذ.

على غرار إذن مشاركة التحكم الكامل، يمنح إذن التحكم الكامل NTFS المالكين المزيد من الخيارات. غالبًا ما يكون لدى المستخدمين غير المسؤولين إذن التحكم الكامل في الدليل الرئيسي والملفات والمجلدات الأخرى. كما ذكرنا، يمكن لصاحب الإذن في هذا المستوى تغيير أذونات الملف وجعل نفسه المالك. بدلاً من منح المستخدمين إذن التحكم الكامل، يمكنك فقط منحهم إذن التعديل. إذا كان المستخدم هو مالك الملف، فيمكنك منعه يدويًا من تغيير الأذونات، إذا لزم الأمر.

من الناحية الفنية، تُعرف أذونات NTFS باسم قوائم ACL التقديرية (DACL). تُعرف أذونات التدقيق باسم قوائم ACL الخاصة بالنظام (SACLs). تتمتع معظم الكائنات المحمية بنظام NTFS بكلا النوعين من الأذونات.

تأثير علاقات الثقة في Windows

بشكل افتراضي، كافة المجالات والغابات في نظام التشغيل Windows 2000 والإصدارات الأحدث لها علاقات ثقة ثنائية الاتجاه مع كافة المجالات الأخرى في المجموعة. إذا كان المجال يثق في مجال آخر، فإن كافة المستخدمين في المجال الموثوق به لديهم نفس أذونات الأمان في المجال المانح للثقة مثل مجموعة "الجميع" ومجموعة "المستخدمون المعتمدون" في المجال المانح للثقة. في أي مجال، يتم تعيين العديد من الأذونات لهذه المجموعات بشكل افتراضي، وتوفر علاقات الثقة ضمنيًا حقوقًا واسعة النطاق لا يتم منحها بطريقة أخرى. ضع في اعتبارك أنه ما لم تكن علاقات الثقة انتقائية، فسيتم أيضًا تعيين أي أذونات ممنوحة لمجموعتي "الجميع" و"المستخدمون المعتمدون" إلى كافة المستخدمين الآخرين في المجموعة.

التحقق من الأذونات من سطر الأوامر

غالبًا ما يستخدم المسؤولون أدوات سطر الأوامر مثل subinacl.exe وxacls.exe وcacls.exe للتحقق من أذونات NTFS. يتم تضمين Subinacl في Windows Server 2003 Resource Kit Tools. باستخدام Subinacl، يمكنك عرض وتغيير أذونات NTFS للملفات والمجلدات والكائنات ومفاتيح التسجيل والخدمات. الميزة الأكثر أهمية في Subinacl هي نسخ أذونات المستخدم أو المجموعة أو الكائن وتطبيقها على مستخدم أو مجموعة أو كائن آخر في نفس المجال أو في مجال مختلف. على سبيل المثال، عندما ينتقل مستخدم من مجال إلى آخر في نظام التشغيل Windows، يتم إنشاء حساب مستخدم جديد؛ يتم إبطال كافة معرفات الأمان الموجودة مسبقًا أو الأذونات المرتبطة بالمستخدم الأصلي. عن طريق نسخ الأذونات إلى حساب مستخدم جديد باستخدام Subinacl، يمكنك جعلها متطابقة. يعمل Xcacls بشكل مشابه لـ Subinacl ويتم تضمينه في Windows 2000 Server Resource Kit.

تم وصف برنامج Cacls في مقالة "CACLS غير الموثقة: قدرات أذونات المجموعة" التي نشرتها Microsoft. هذه أداة قديمة تم تضمينها مع Windows منذ Windows NT. Cacls ليست مفيدة مثل Subinacl أو Xacls، ولكن الأداة المساعدة متاحة دائمًا على نظام التشغيل Windows. باستخدام Cacls، يمكنك عرض الملفات والأذونات وتغييرها بواسطة المستخدم والمجموعة، ولكن لا يمكنك إنشاء أذونات NTFS الدقيقة. حاليًا، يقتصر Cacls على العمل مع أذونات عدم الوصول والقراءة والتغيير والتحكم الكامل، والتي تتوافق مع أذونات NTFS ولكن ليس أذونات المشاركة. بالإضافة إلى ذلك، يتوافق إذن القراءة الخاص بـ Cacls مع إذن القراءة والتنفيذ الخاص بنظام NTFS.

ميراث

افتراضيًا، ترث كافة الملفات والمجلدات ومفاتيح التسجيل الأذونات من الحاوية الأصلية. يمكن تمكين التوريث أو تعطيله للملفات أو المجلدات أو مفاتيح التسجيل الفردية وللمستخدمين الفرديين أو المجموعات. كما نرى في الشاشة 1، يوضح الحقل "تطبيق على" الموجود في علامة التبويب "الأذونات" في مربع الحوار "إعدادات الأمان المتقدمة" ما إذا كان إذن معين يقتصر على الحاوية الحالية أو يمتد إلى المجلدات الفرعية والملفات. يمكن للمسؤول تعيين إذن (لكل مستخدم) موروث أم لا. في هذا المثال، تمتلك مجموعة "الجميع" إذن القراءة والتنفيذ في المجلد الحالي، ولا يتم توريث هذا الإذن.

إذا ورث ملف أو مجلد معظم الأذونات الخاصة به، ولكنه يمتلك أيضًا مجموعة من الأذونات الصريحة، فإن الأخيرة دائمًا لها الأولوية على الحقوق الموروثة. على سبيل المثال، يمكنك منح المستخدم إذن التحكم الكامل والرفض على الدليل الجذر لوحدة تخزين معينة، وجعل كافة الملفات والمجلدات الموجودة على محرك الأقراص ترث هذه الأذونات. يمكنك بعد ذلك تعيين إذن لأي ملف أو مجلد على محرك الأقراص يتجاوز وضع الرفض الكامل للتحكم الكامل.

أذونات فعالة

يحدد Windows Security Monitor الأذونات الفعالة للمستخدمين (الأذونات الفعلية التي لديهم في الممارسة العملية) بناءً على عدة عوامل. كما هو مذكور أعلاه، يقوم مراقب الأمان أولاً بجمع معلومات حول حساب المستخدم الفردي وكافة المجموعات التي ينتمي إليها المستخدم، ويلخص كافة الأذونات المعينة لجميع معرفات SID الخاصة بالمستخدمين والمجموعات. في حالة وجود أذونات "الرفض" و"السماح" على نفس المستوى، فعادةً ما يكون للرفض الأولوية. إذا كانت الأولوية لرفض التحكم الكامل، فلن يكون لدى المستخدم عادةً حق الوصول إلى الكائن.

افتراضيًا، عند حساب أذونات NTFS والمشاركة (يتصل المستخدم بمورد عبر شبكة)، يجب على مراقب الأمان جمع كافة أذونات المشاركة وNTFS. ونتيجة لذلك، فإن الأذونات الفعالة للمستخدم هي مجموعة من الأذونات الممنوحة بواسطة أذونات المشاركة وNTFS.

على سبيل المثال، قد يحصل المستخدم في النهاية على أذونات المشاركة "القراءة والتغيير"، وأذونات NTFS "القراءة والتعديل". الأذونات الفعالة هي مجموعة الأذونات الأكثر تقييدًا. في هذه الحالة، القرارات متطابقة تقريبا. ستكون الأذونات الفعالة هي القراءة والتغيير/التعديل. يعتقد العديد من المسؤولين عن طريق الخطأ أن الأذونات الفعالة للقراءة فقط، وذلك بسبب الأمثلة الرديئة والمبسطة أو الوثائق القديمة.

يحتوي مربع الحوار "إعدادات الأمان المتقدمة" في نظام التشغيل Windows XP والإصدارات الأحدث الآن على علامة تبويب "الأذونات الفعالة" (انظر الشكل 2). لسوء الحظ، تعكس علامة التبويب "الأذونات الفعالة" أذونات NTFS فقط. ولا يأخذ في الاعتبار تأثير أذونات المشاركة، والمجموعات المستندة إلى النشاط التي لا يكون المستخدم عضوًا فيها، وعوامل أخرى مثل نظام تشفير الملفات (EFS). إذا تم تمكين EFS على ملف أو مجلد، فقد لا يتمكن المستخدم الذي لديه أذونات NTFS ومشاركة مناسبة من الوصول إلى الكائن إذا لم يكن لديه حقوق وصول EFS إلى المجلد أو الملف.

  • كن حذرًا عند منح أذونات التحكم الكامل للمستخدمين العاديين. من المفيد منحهم إذن التعديل بدلاً من ذلك. في معظم الحالات، يوفر هذا الأسلوب للمستخدمين كافة الأذونات اللازمة دون السماح لهم بتغيير الحقوق أو الحصول على الملكية.
  • العمل بعناية مع مجموعة الجميع؛ من الأفضل استخدام مجموعة المستخدمين المصادقين (أو المستخدمين)، أو مجموعة خاصة ذات حقوق محدودة. الإغفالات الهامة لمجموعة Authenticated Users هي غياب الضيف والمستخدم غير المصادق.
  • ليس من غير المألوف أن يُطلب من مسؤولي الشبكة تقديم حسابات ضيوف لمستخدمين خارجيين (مثل المستشارين والمقاولين والمبرمجين المستقلين). لكن حقوق المستخدم العادي غالبًا ما تكون زائدة عن الحاجة بالنسبة للضيف. يجب عليك إنشاء واستخدام مجموعة تكون أذوناتها الافتراضية محدودة للغاية (على سبيل المثال، إذن التحكم الكامل-الرفض للأدلة الجذرية)، ثم السماح صراحةً بالوصول فقط إلى الملفات والمجلدات التي يحتاجها حساب الضيف هذا. يُفضل الأذونات المعينة بشكل صريح لأنها تمنح المستخدمين الضيوف الأذونات التي يحتاجونها بالضبط للقيام بعملهم، ولكن ليس أكثر.
  • يجب أن تكون حذرًا عند تقييد المجموعتين "الجميع" و"المستخدمون"، نظرًا لأن المسؤولين هم أعضاء في هذه المجموعات أيضًا.
  • في حالة علاقات الثقة مع المجالات الأخرى، من المفيد استخدام الثقة الأحادية والانتقائية للحد من حقوق مستخدمي المجال الموثوق.
  • يجب عليك مراجعة أذونات NTFS والمشاركة بشكل دوري للتأكد من أنها محدودة قدر الإمكان.

باستخدام هذه الإرشادات والجداول المرجعية مع وصف موجز لجميع الأذونات، يمكنك المغامرة بأمان في متاهة نظام الملفات. سيتمكن المسؤول من تعيين الأذونات للملفات والمجلدات والمستخدمين والمجموعات بثقة.

الجدول 1. ملخص أذونات NTFS

إذن

فعل

يوفر عرض ونسخ وطباعة وإعادة تسمية الملفات والمجلدات والكائنات. لا يسمح بتشغيل البرامج القابلة للتنفيذ بخلاف ملفات البرامج النصية. يسمح لك بقراءة أذونات الكائنات وسماتها وسماتها الموسعة (مثل بت الأرشيف وEFS). يسمح لك بإدراج الملفات والمجلدات الفرعية للمجلد

قراءة الأذونات، بالإضافة إلى إنشاء الملفات والمجلدات والكتابة فوقها

القائمة (المجلدات فقط)

يسمح لك بعرض أسماء الملفات والمجلدات الفرعية داخل المجلد

أذونات القراءة وتشغيل ملفات البرنامج

يمنح جميع الأذونات باستثناء القدرة على الحصول على الملكية وتعيين الأذونات. يتيح لك قراءة الملفات والمجلدات وحذفها وتعديلها والكتابة فوقها

يوفر التحكم الكامل في المجلدات والملفات، بما في ذلك السماح لك بتعيين الأذونات

أذونات خاصة

يتيح لك إنشاء مجموعات من 14 دقة أكثر تفصيلاً غير مضمنة في أي من إجمالي الدقة الستة الأخرى. تتضمن هذه المجموعة إذن المزامنة

الجدول 2. أذونات NTFS مفصلة

إذن

فعل

اجتياز المجلد/ملف التنفيذ

يسمح لك Traverse Folder بالتنقل عبر المجلدات للوصول إلى الملفات والمجلدات الأخرى، حتى إذا لم يكن لدى مدير الأمان أذونات في مجلد النقل. ينطبق فقط على المجلدات. يصبح Traverse Folder ساري المفعول فقط إذا لم يكن لدى أساس الأمان إذن المستخدم لتجاوز التحقق من الاجتياز (يتم منحه لمجموعة الجميع بشكل افتراضي). يتيح لك تنفيذ الملف تنفيذ ملفات البرنامج. لا يؤدي تعيين إذن Traverse Folder إلى مجلد إلى تعيين أذونات تنفيذ الملف تلقائيًا لجميع الملفات الموجودة في المجلد

قائمة المجلد / قراءة البيانات

يوفر عرض أسماء الملفات والمجلدات الفرعية في مجلد. يؤثر مجلد القائمة على محتويات المجلد فقط، ولا يؤثر على ما إذا كان المجلد الذي تم تعيين الإذن له مدرجًا أم لا. تتيح لك قراءة البيانات عرض الملفات ونسخها وطباعتها

يرى موضوع الأمان سمات الكائن (على سبيل المثال، للقراءة فقط، النظام، مخفي)

قراءة السمات الموسعة

يرى مبدأ الأمان السمات الموسعة للكائن (مثل EFS، والضغط)

إنشاء الملفات / كتابة البيانات

يتيح لك إنشاء الملفات إنشاء ملفات داخل مجلد (ينطبق على المجلدات فقط). تتيح لك ميزة "كتابة البيانات" إجراء تغييرات على ملف والكتابة فوق المحتوى الموجود (ينطبق على الملفات فقط)

إنشاء مجلدات / إلحاق البيانات

يتيح لك إنشاء المجلدات إنشاء مجلدات داخل مجلد (ينطبق على المجلدات فقط). يسمح إلحاق البيانات بإجراء تغييرات على نهاية الملف، لكنه لا يغير البيانات الموجودة أو يحذفها أو يستبدلها (ينطبق على الملفات فقط)

كتابة الصفات

يحدد ما إذا كان بإمكان أساس الأمان الكتابة إلى السمات القياسية (على سبيل المثال، للقراءة فقط، والنظام، والمخفية) أو تغييرها (على سبيل المثال، للقراءة فقط، والنظام، والمخفية) للملفات والمجلدات. لا يؤثر على محتويات الملفات والمجلدات، بل على سماتها فقط.

اكتب السمات الموسعة

يحدد ما إذا كان بإمكان أساس الأمان الكتابة إلى السمات الموسعة أو تغييرها (على سبيل المثال، EFS، والضغط) للملفات والمجلدات. لا يؤثر على محتويات الملفات والمجلدات، بل على سماتها فقط

حذف المجلدات الفرعية والملفات

يسمح لك بحذف المجلدات الفرعية والملفات حتى إذا لم يتم منح إذن الحذف للمجلد الفرعي أو الملف

يسمح لك بحذف مجلد أو ملف. إذا لم يكن لديك إذن حذف لملف أو مجلد، فيمكنك حذفه إذا كان لديك إذن حذف المجلدات الفرعية والملفات في المجلد الأصلي

قراءة الأذونات

تغيير الأذونات

يسمح لك بتغيير الأذونات (على سبيل المثال، التحكم الكامل، القراءة، الكتابة) لملف أو مجلد. لا يسمح لك بتغيير الملف نفسه

يحدد من يمكنه امتلاك ملف أو مجلد. يمكن للمالكين دائمًا الحصول على التحكم الكامل، ولا يمكن إلغاء أذوناتهم على ملف أو مجلد بشكل دائم ما لم يتم إبطال الملكية أيضًا.

نادراً ما يستخدم المسؤولون هذا الإذن. يستخدم للمزامنة في البرامج متعددة العمليات ومتعددة العمليات ويحدد التفاعل بين عدة سلاسل رسائل تصل إلى نفس المورد

تحدثنا في المحاضرة السابقة عن أمان الشبكة ومفهوم الأذونات، لكن الأمر يستحق العودة إلى هذا الآن، حيث أن الأذونات متوفرة فقط على محركات الأقراص الثابتة NTFS. سنتحدث في هذا القسم عن إمكانيات NTFS لحماية ملفاتك من أعين المتطفلين. وعلى عكس نظام FAT، لا يمكن تمكين الوصول إلى الموارد المشتركة أو تعطيله. يوفر نظام NTFS مستوى من التفصيل يسمح فقط لأولئك الذين تريد الوصول إليهم ويقوم بتصفية أي شخص آخر.

أذونات لمستخدم فردي

قبل مناقشة أذونات المستخدمين والمجموعات، وكذلك الملفات نفسها، من المهم مراجعة أساسيات كيفية عمل الأذونات. سنوضح لك أولاً ما هو الميراث، ثم سنلقي نظرة على إحدى الأدوات الموجودة في Windows XP Professional والتي من المفترض أن تساعدك، ولكنها يمكن أن تصبح حجر عثرة إذا لم تفهم ميزاتها.

ميراث

قد يكون هناك عدد قليل من المستخدمين على الشبكة، أو قد يكون هناك الآلاف. من خلال تعيين أذونات مخصصة على وحدات تخزين ومجلدات NTFS، يمكن أن تكون هذه المهمة بسيطة نسبيًا في مؤسسة مكونة من ستة أشخاص. كما هو مذكور في الفصل التاسع، عندما تبدأ المؤسسة في النمو، فإن تقسيم المستخدمين إلى مجموعات محددة يجعل إدارة الأذونات أسهل بكثير.

يجب عليك أولاً إنشاء مجموعة من الأذونات لمجموعة معينة، مثل المهندسين. في هذه الحالة، عندما يظهر مهندس جديد في المؤسسة، تتم إضافته تلقائيًا إلى هذه المجموعة. وفي الوقت نفسه، يتم توريث أذونات هذه المجموعة.

ملحوظة. ينطبق الوراثة أيضًا على الكائنات الأخرى الموجودة على وحدة تخزين NTFS. على سبيل المثال، إذا قمت بتعيين أذونات على مجلد معين ثم قمت بإنشاء مجلد فرعي بداخله، فإن حق الوراثة يحررك من إنشاء مجموعة جديدة من الأذونات لهذا المجلد الفرعي لأنه يرث أذونات المجلد الأصلي.

إذا كنت تعتقد أن مجموعة من المهندسين بحاجة إلى إصدار أو تجديد تصريح معين، فمن السهل القيام بذلك. بمجرد التغيير (وهو ما سنتحدث عنه لاحقًا في هذه المحاضرة)، يتم تعيين الإذن الجديد لكل عضو في تلك المجموعة.

ومن ناحية أخرى، قد يحتاج مهندس معين إلى إذن لا يحتاج إليه الآخرون. ويمكنك من خلال تسجيل الدخول إلى المجموعة الهندسية إجراء التغييرات اللازمة لهذا المستخدم، وسيحصل على إذن جديد لن يرثه بالانتماء إلى هذه المجموعة. وفي هذه الحالة، لن ينطبق الإذن على أعضاء المجموعة الآخرين.

الجديد في Windows XP Professional هو مشاركة الملفات البسيطة. يتم تمكين هذه الميزة عند تثبيت نظام التشغيل Windows XP Professional لأول مرة أو عند مشاركة وحدة تخزين أو مجلد. لتمكين المزيد من أدوات التحكم في وصول المستخدم، يجب تعطيل مشاركة الملفات البسيطة.

قد تتساءل عن سبب الحاجة إلى مشاركة الملفات البسيطة إذا كان لا بد من تعطيل هذه الميزة. فقط لتسهيل عملية مشاركة الملفات والمجلدات. مع تمكين مشاركة الملفات البسيطة، لا توجد العديد من التكوينات لكيفية وصول المستخدمين إلى الملفات والطابعات وما إلى ذلك. وهذا يوفر طريقة سهلة لمشاركة الملفات. ومع ذلك، إذا كنت تريد التحكم في من يمكنه الوصول إلى الملفات، فيجب تعطيل مشاركة الملفات البسيطة. لكي تفعل هذا، اتبع هذه الخطوات.

  1. حدد Start\My Computer، ثم انقر فوق Tools وحدد Folder Options.
  2. في مربع الحوار خيارات المجلد، انقر فوق علامة التبويب عرض.
  3. قم بالتمرير خلال قائمة الإعدادات في نافذة الإعدادات المتقدمة وقم إما بتحديد أو إلغاء تحديد خانة الاختيار استخدام مشاركة الملفات البسيطة.
  4. انقر فوق موافق.

ملحوظة. سيؤدي تعطيل المشاركة البسيطة للملفات وحدها إلى منعك من تعيين أذونات الملف. يجب عليك أيضًا وضع جميع ملفاتك ومجلداتك على وحدة تخزين أو قسم NTFS.

أذونات للمجلدات ووحدات التخزين

تتحكم الأذونات في ما يمكن لمستخدم أو مجموعة فعله بكائن موجود على الشبكة أو على جهاز الكمبيوتر المحلي الخاص بهم. يتم دعم الأذونات فقط عند تعطيل مشاركة الملفات البسيطة وعلى محرك الأقراص الثابتة NTFS. يسرد B الأذونات المخصصة للمجلدات، ويسرد B الأذونات المخصصة للملفات.

الجدول 10.2. أذونات المجلد
إذن
تغيير الأذونات تغيير أذونات المجلد.
إنشاء ملفات قم بإنشاء ملفات جديدة في هذا المجلد.
إنشاء المجلدات قم بإنشاء الدلائل الفرعية في هذا المجلد.
يمسح حذف مجلد.
حذف المجلدات الفرعية والملفات حذف الملفات والدلائل الفرعية حتى لو لم يكن لديك الإذن بإنشائها.
مجلد القائمة عرض محتويات المجلد.
قراءة الصفات عرض سمات المجلد.
قراءة الأذونات عرض أذونات المجلد.
ألحصول على الملكية تعيين حقوق مستخدم آخر لامتلاك مجلد.
مجلد العبور افتح مجلدًا لعرض الدلائل الفرعية والمجلدات الرئيسية.
كتابة الصفات إجراء تغييرات على خصائص المجلد.
الجدول 10.3. أذونات الملف
إذن يسمح أو يرفض هذا الإجراء
إلحاق البيانات إضافة معلومات إلى نهاية الملف دون تغيير المعلومات الموجودة.
تغيير الأذونات إجراء تغييرات على أذونات الملف.
يمسح حذف ملف.
تنفيذ الملف قم بتشغيل البرنامج الموجود في الملف.
قراءة الصفات عرض سمات الملف.
إقرأ البيانات عرض محتويات الملف.
قراءة الأذونات عرض أذونات الملف.
ألحصول على الملكية تعيين حقوق الملكية لهذا الملف من مالك آخر.
كتابة الصفات تغيير سمات الملف.
كتابة البيانات تغيير محتويات الملف.
إنشاء وإدارة الأذونات

من خلال إنشاء أذونات للملفات والمجلدات ووحدات تخزين NTFS الفردية، يمكنك الاستفادة من العديد من خيارات الأمان التي يوفرها نظام الملفات FAT. تشتمل علامة التبويب "خصائص" الخاصة بالمجلد أو وحدة التخزين المحددة على علامة تبويب "أمان". وبالنقر عليه، يمكنك رؤية عدد من الخيارات للتحكم في الوصول.

لتكوين الأذونات لمجلد أو وحدة تخزين معينة، اتبع الخطوات التالية.

  1. حدد وحدة التخزين أو المجلد الذي ستقوم بتعيين الأذونات له.
  2. انقر بزر الماوس الأيمن عليه وحدد خصائص.
  3. حدد علامة التبويب الأمان.

ملحوظة. إذا تمت مشاركة وحدة تخزين NTFS، فيجب عليك تعيين الأذونات من خلال علامة التبويب "أمان" بدلاً من استخدام زر "الأذونات" في علامة التبويب "مشاركة".

في نافذة الخصائص التي تظهر، سترى نافذتين. تحتوي النافذة العلوية على قائمة المستخدمين والمجموعات (). توجد في الأسفل قائمة بأذونات المستخدم التي يمكن تعيينها وتعديلها. مرة أخرى، علامة التبويب هذه متاحة فقط لوحدات تخزين NTFS.

أرز. 10.7.علامة تبويب الأمان في مربع حوار الخصائص

من خلال النقر على مستخدم أو مجموعة محددة، يمكنك تعيين الأذونات لهم في النافذة السفلية. الأذونات التالية متاحة.

  • السيطرة الكاملة. يسمح للمستخدم أو المجموعة بقراءة الملفات وإنشائها وتعديلها وحذفها.
  • يُعدِّل. يسمح للمستخدمين بحذف الملفات والمجلدات، أو إجراء تغييرات على الأذونات، أو الحصول على ملكية ملف أو مجلد من مستخدم آخر.
  • قراءة وتنفيذ. يسمح للمستخدمين بقراءة الملفات وتشغيلها دون إجراء تغييرات على محتويات المجلد أو المجلد المشترك.
  • محتويات مجلد قائمة. يسمح للمستخدمين بعرض محتويات المجلدات.
  • يقرأ. يسمح للمستخدمين بعرض محتويات المجلد أو المجلد. يمكنهم أيضًا فتح الملفات، لكن لا يُسمح لهم بحفظ التغييرات.
  • يكتب. يسمح للمستخدمين بالكتابة في المجلدات أو المجلدات، لكنه يمنعهم من فتح الملفات أو عرض قائمة الملفات.
  • أذونات خاصة. بالنقر فوق الزر "خيارات متقدمة"، يمكنك تطبيق أذونات خاصة.
الحد من عدد المستخدمين

اعتمادًا على حجم مؤسستك وبنيتها، قد لا تتمكن من السماح للجميع بالوصول إلى نفس وحدة التخزين في نفس الوقت. إذا كنت بحاجة إلى تعيين حد لعدد المستخدمين الذين يمكنهم الوصول إلى وحدة تخزين أو مجلد في نفس الوقت، فافتح مربع الحوار "أذونات" وحدد علامة التبويب "مشاركة" (الشكل 10.8).

في قسم حد المستخدم، حدد أحد الخيارات التالية.

  • الحد الأقصى المسموح به السماح بالوصول لأقصى عدد من مستخدمي الشبكة.
  • السماح لهذا العدد من المستخدمين السماح بالوصول فقط لعدد محدد من المستخدمين.

يمكن العثور على مزيد من التفاصيل حول الأذونات في الفصل. 9.

هل أعجبك المقال؟ أنشرها
طباعة هذه المقالة
قمة