Определение действующих разрешений для срайлов и папок
Как уже говорилось, пользователь или группа получают разрешения на доступ к файлам или папкам непосредственно и через членство в группах (учтите, что в доменах Windows 2000 и Windows Server 2003 группы могут быть членами других групп). Поэтому, когда возникает вопрос "а какие же в конце концов права имеет данный пользователь?", ответ получить не так просто и быстро. Системы Windows XP Professional и Windows Server 2003 предлагают новую возможность – определение действующих разрешений (effective permissions).
Упомянутое средство особенно хорошо работает в домене, а для компьютеров – членов рабочей группы данная возможность, похоже, реализована "не до конца": вы можете определить разрешения только для пользователей или групп, непосредственно указанных в окне Security (Безопасность). Если же пользователь получает разрешения через членство в группе, то никакие разрешения не отображаются.
Как выполняется процедура определение действующих разрешений – рассмотрим на примере. Допустим, пользователь Mike, входящий в группу Managers, имеет для файла Picture.jpg разрешения Write, в то время как для группы определено разрешение Read. Чтобы определить все права, которые пользователь имеет в отношении данного файла, нужно выполнить следующие операции:
- Выберите файл и перейдите на вкладку Security (Безопасность).
- Нажмите кнопку Advanced (Дополнительно) и в окне Advanced Security Settings (Дополнительные параметры безопасности) перейдите на вкладку Effective Permissions (Действующие разрешения).
- Нажмите кнопку Select (Выбрать). Откроется окно Select Users, Computers, or Groups (Выбор: Пользователи, компьютеры или группы), аналогичное тому, какое появляется при добавлении разрешений (см. рис. 4.6).
- Выберите пользователя и нажмите кнопку ОК.
Теперь на вкладке Effective Permissions (Действующие разрешения) будут отображены все разрешения, которые выбранный пользователь имеет по отношению к данному объекту (рис. 4.13). Как можно видеть, пользователь Mike имеет и прямое разрешение Write, и косвенное разрешение Read через членство в группе Managers.
Рис. 4.13. Вкладка Effective Permissions позволяет увидеть все разрешения для выбранного пользователя или группы
При определении действующих разрешений нужно помнить о том, что пользователь может иметь права на операции с объектом, назначенные не с помощью механизма разрешений, а через политики безопасности. Например, пользователь может изменять владельца объекта, даже если у него нет разрешения Take Ownership, однако если такое право ему дано в политиках безопасности.