Глава 16
Управление и обеспечение доступа к ресурсам (3.0)
Для доступа к ресурсам необходимы правильная идентификация и соответствующие разрешения. Для доступа к файлам по сети не требуются дополнительные конфигурационные действия: нужно только проверить, что к ресурсу открыт общий доступ, и что у данного пользователя есть разрешения на выполнение нужного действия (чтения, записи, удаления и т. п.). Такой транзакционный анализ маркера доступа пользователя подразумевает чтение записей в таблице управления доступом (ACL) данного ресурса, и их сравнение с идентификатором безопасности (SID) в данном маркере. Если службы безопасности, управляющие этим процессом доступа к ресурсу, определяют, что комбинация идентификаторов SID и их разрешений достаточна для выполнения требуемого действия, то разрешение и доступ предоставляются; иначе доступ к ресурсу запрещается.
Доступ на основе разрешений реализуется средствами ОС в зависимости от файловой системы, установленной на устройстве хранения, где расположен требуемый ресурс. Например, в FAT32, даже под управлением Windows Server 2003, нельзя задать разрешения на уровне файловой системы: для этого необходимы разрешения NTFS.
Однако разрешения общего ресурса можно задавать независимо от файловой системы носителя, где хранится ресурс. Такие разрешения контролируются исключительно средствами ОС, и они применяются к любому субъекту, который обращается к данному ресурсу по сети.
Службы терминалов предоставляют другой тип доступа к ресурсам, представляя пользователям по сети локальную среду. Формирование и использование этой виртуальной локальной среды требует дополнительных разрешений и настроек, но доступ к ресурсам (файлам и папкам) по-прежнему определяется разрешениями общего ресурса и разрешениями NTFS. Понимание этих дополнительных настроек и возможностей — ключ к правильному использованию служб терминалов.
Проверяемые знания и навыки и рекомендуемые упражнения
Навыки, необходимые для освоения тематического сектора «Управление и обеспечение доступа к ресурсам» на экзамене 70-290: Администрирование и поддержка среды Microsoft Windows Server 2003 включает следующие задачи.
· Настройка доступа к общим папкам.
o Упражнение 1. Задание разрешений для отдельных пользователей и групп. Создание все более сложных вложенных групп и разрешений, например реализация двух- или трехуровневого набора разрешений для учетной записи пользователя путем ее включения в несколько групп, а также формирование иерархии групп.
o Упражнение 2. Настройка разрешений для общих сетевых ресурсов. Настройка для тех же ресурсов разрешений NTFS и анализ действующих разрешений для пользователя.
· Устранение неполадок служб терминалов.
o Упражнение 1. Настройка служб терминалов в режиме Remote Desktop for Administration (Удаленный рабочий стол для администрирования), с учетом разрешения или запрета доступа отдельным пользователям. Задание свойств для полномочных пользователей, чтобы они могли управлять путями к своим профилям, домашними каталогами и активировать удаленное управление своими сеансами из других сеансов служб терминалов.
o Упражнение 2. Настройка групповой политики для пользователей служб терминалов с целью перенаправления вывода локального принтера и накопителя в сеанс служб терминалов. Знание назначения и функциональности каждого из этих параметров.
· Настройка разрешений файловой системы.
o Упражнение 1. Задание разрешений для отдельных пользователей и групп. Создание все более сложных вложенных групп и разрешений, например реализация двух- или трехуровневого набора разрешений для учетной записи пользователя путем ее включения в несколько групп, а также формирование иерархии групп.
o Упражнение 2. Настройка разрешений NTFS для объектов файловой системы. Настройка для тех же ресурсов разрешений общего ресурса и анализ действующих разрешений для пользователя.
· Устранение неполадок доступа к общим файлам и папкам.
o Упражнение 1. Доступ к свойствам файла, для которого заданы сложные разрешения NTFS в отношении нескольких групп пользователей. Выбор пользователя — члена нескольких из этих групп, которому назначены разрешения для данного файла. Переход на вкладку Effective Permissions (Действующие разрешения) при помощи кнопки Advanced (Дополнительно) на вкладке Security (Безопасность). Ввод имени пользователя для определения его действующих разрешений в отношении данного файла.
o Упражнение 2. Доступ к свойствам папки, в отношении которой несколько групп обладают разными разрешения NTFS. Переход на вкладку Effective Permissions (Действующие разрешения) при помощи кнопки Advanced (Дополнительно) на вкладке Security (Безопасность). Ввод имени группы для определения ее действующих разрешений в отношении данной папки.
Дополнительные материалы
В этом разделе приведен список дополнительной литературы, разделенный по темам. При подготовке к экзамену проштудируйте эти источники.
Тема 3.1
· Повторите главу 6. Эта глава посвящена разрешениям общего ресурса, разрешениям NTFS и аудиту доступа к ресурсам.
· Корпорация Microsoft. Часто задаваемые вопросы: Технологии безопасности. Это бесплатный интернет-ресурс, размещенный по адресу: http://www.microsoft.com/windowsserver2003/community/centers/security/security_faq.asp.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
