НИЖЕГОРОДСКИЙ ГОСУДАРСТВЕННЫЙ

ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

Кафедра «Вычислительные системы и технологии»

Лабораторная работа №4

“Администрирование и управление ресурсами

Windows Server 2003R2”

Выполнил:
студент группы 08-В2
Дубинин С.Н.

Проверил:
Кочешков А.А.

г. Нижний Новгород
2011г.
 1 Ознакомиться с составом встроенных локальных учетных записей и
групп.
1.1 Изучить назначение и возможности локальных групп.
1.2 Изучить свойства локальных учетных записей Администратор, Гость.
Встроенные учетные записи и группы найдем в оснастке Управление
компьютером консоли администрирования.

Рассмотрим встроенные учетные записи в виде таблицы:

Учетная запись Описание

Предоставляет полный доступ на управление сервером и позволяет при
необходимости назначать права пользователей и разрешения на
управление доступом. Эта запись должна использоваться только для задач,
Администратор выполнение которых требует учетных данных администратора.
Учетная запись «Администратор» используется при первой установке
сервера. Эта учетная запись позволяет выполнять необходимые действия
до того, как пользователь создаст свою собственную учетную запись.
Используется теми, кто не имеет реальной учетной записи на компьютере.
Если учетная запись пользователя отключена, но не удалена, он также
может воспользоваться учетной записью «Гость». Учетная запись «Гость»
не требует пароля. По умолчанию она отключена, но ее можно включить.
Гость
По умолчанию учетная запись «Гость» входит в группу «Гости» и
позволяет пользователю войти на сервер. Дополнительные права, как
любые разрешения, могут быть присвоены группе «Гости» членом группы
«Администраторы».
Это основная учетная запись для запуска сеанса компонента «Удаленный
помощник». Она создается автоматически при запросе на сеанс
компонента «Удаленный помощник» и имеет ограниченный доступ к
HelpAssistant компьютеру. Данная учетная запись управляется службой «Диспетчер
сеанса справки для удаленного рабочего стола» и автоматически удаляется
при отсутствии отложенных запросов для компонента «Удаленный
помощник».

Рассмотрим права по умолчанию для встроенных групп:

Опытные
Админист Операторы
Права пользовате Пользователи Гости
раторы архива
ли
Разрешение локального
входа + + + + +
Доступ к компьютеру из
сети + + + + +
Архивирование файлов и
каталогов + + - - -
Обход перекрестной
проверки + + + + -
Настройка квот памяти
для процесса + - - - -
Восстановление файлов и
каталогов + + - - -
2
Завершение работы
системы. + + + - -
Разрешение входа в
систему через службы
терминалов
+ - - - -
Изменение системного
времени + - + - -
Создание файла подкачки
+ - - - -
Отладка программ
+ - - - -
Увеличение приоритета
диспетчирования + - - - -
Принудительное
удаленное завершение
работы
+ - - - -
Загрузка и выгрузка
драйверов устройств + - - - -
Управление аудитом и
журналом безопасности + - - - -
Изменение параметров
среды оборудования + - - - -
Профилирование одного
процесса + - + - -
Профилирование
загруженности системы + - - - -
Отключение компьютера
от стыковочного узла + - + - -
Смена владельца файлов
и других объектов + - - - -
2 Создать локальную учетную запись и определить ее свойства.
Создание учетных записей и групп занимает важное место в обеспечении
безопасности Windows Server 2003, поскольку, назначая им права доступа и привилегии,
администратор получает возможность ограничить пользователей в доступе к
конфиденциальной информации компьютерной сети, разрешить или запретить им
выполнение в сети определенного действия, например архивацию данных или завершение
работы компьютера.
Зарегистрироваться с помощью этой учетной записи, рассмотреть свойства и
расположение профиля пользователя, назначение основных подкаталогов.
Создам учетную запись user1. Так как я создаю ее на контроллере домена, то я так
же задаю доменное имя user1@dom2.local. Далее задаю пароль для учетной записи, при
этом стоит учитывать его сложность, иначе система выдаст предупреждение. Задам
пароль 123456qwerty. Установим свойства для данного пользователя: Запретить смену
пароля пользователем и Срок действия пароля не ограничен.
По умолчанию созданный пользователь находится в группе Пользователи в домене
DOM2.
Добавим пользователя в группу Операторы настройки сети, для того чтобы
пользователь имел некоторые административные права для управления настройкой
сетевых параметров. На вкладке Входящие звонки разрешим удаленный доступ через

3
VPN или модем. Остальные свойства оставим без изменения, так как большинство из них
имеет информационную направленность.
Пользователь был создан успешно, вход в систему осуществлен.
Путь к профилю пользователя: C:\Documents and Settings\user1

Рассмотрим свойства данной учетной записи по вкладкам:

Общие
Данная вкладка повторяет диалоговое окно создания новой учетной записи кроме
полей ввода пароля.
Если учетная запись активна и не заблокирована, то флажок «Заблокировать
учетную запись» недоступен. Система блокирует пользователя, который превышает
лимит числа неудачных попыток входа в систему. Эта функция безопасности затрудняет
несанкционированный вход в систему. Если система блокирует учетную запись, то
флажок «Заблокировать учетную запись» становится доступным, и администратор может
снять флажок, чтобы разрешить доступ.
Членство в группах
Данная вкладка позволяет добавить учетную запись пользователя в группу или
удалить учетную запись из нее. По умолчанию созданная учетная запись добавляется в
группу «Пользователи».
Профиль
Учетной записи можно назначить свою домашнюю папку для хранения и
восстановления файлов пользователя. Большинство приложений открывают домашнюю
папку для операций открытия и сохранения файлов, что упрощает пользователям поиск
своей информации. В командной строке домашняя папка является начальным текущим
каталогом. Домашняя папка может располагаться как на локальном жестком диске
пользователя, так и на общедоступном сетевом. Каталог на локальном диске доступен
только с одной рабочей станции, а к сетевому диску можно обращаться с любого
компьютера сети, что расширяет среду пользователя.
Среда
Эта вкладка позволяет настроить среду для клиента «Службы удаленных рабочих
столов». На данной вкладке можно указать программу, которая будет открываться при
каждом подключении пользователя к серверу «Узел сеансов удаленных рабочих столов».
Указанная программа является единственной программой, которая может быть
использована пользователем в сеансе «Службы удаленных рабочих столов». Когда
пользователь закроет программу, подключение к серверу «Узел сеансов удаленных
рабочих столов» будет закрыто. Если учетной записи требуется предоставить рабочую
папку, то ее следует указать ее местоположение в поле «Рабочая папка».
Сеансы
Данная вкладка позволяет настроить параметры тайм-аута и переподключения для
сеансов «Службы удаленных рабочих столов».
Тайм-ауты:
 Завершение отключенного сеанса - максимальный период времени, в
течение которого сеанс отключенного пользователя остается открытым на сервере
«Узел сеансов удаленных рабочих столов». Если указано «Никогда», сеанс
отключенного пользователя остается открытым неограниченное время.
 Ограничение активного сеанса - максимальный период времени, в течение
которого сеанс «Службы удаленных рабочих столов» пользователя может
оставаться активным, прежде чем будет автоматически отключен или завершен.
 Ограничение бездействующего сеанса - максимальный период времени, в
течение которого сеанс «Службы удаленных рабочих столов» может оставаться

4
 бездействующим (без ввода со стороны пользователя), прежде чем будет
автоматически отключен или завершен.

Удаленное управление
Данная вкладка позволяет настроить параметры удаленного управления для сеанса
«Службы удаленных рабочих столов пользователя».
Профиль служб терминалов
Данная вкладка позволяет настроить среду профиля пользователя для удаленного
подключения к серверу «Узел сеансов удаленных рабочих столов».

Windows Server создал локальный профиль при первом входе под учетной записью
kochin. Данный пользовательский профиль хранится в папке \Documents and Settings\
pechen. Часть файла реестра в пользовательском профиле - это кэшированная копия части
реестра HKEY CURRENT USER, хранящаяся под именем Ntuser.dat. Остальную часть
профиля образует структура папок конкретного пользователя. Ntuser.dat определяет
оборудование данного компьютера, установленное ПО и настройки рабочей среды.
Структура папок и находящиеся в них значки (ссылки) определяют рабочий стол
пользователя и окружения для приложений.

В таблице опишу содержимое структуры папок, включаемой в профиль пользователя.

Папка Содержимое
Application Data Данные, сохраняемые приложениями.
Cookies Информация и предпочтения пользователей с интернет-сайтов.
Desktop Объекты рабочего стола.
Favorites Ссылки на избранные места в интернете.
Local Settings Данные приложений, журналы и временные файлы.
My Documents Документы пользователя.
My Recent Documents Ссылки на недавно использовавшиеся документы.
NetHood Ссылки на объекты сетевого окружения.
PrintHood Ссылки на объекты папки принтеров.
SendTo Ссылки на цели «Отправить»
Start Menu Ссылки на списки программ.
Templates Шаблоны пользователя.

3 С помощью консоли управления локальными параметрами

безопасности определить наиболее важные компоненты локальной
политики по отношению к пользователям и их стандартные настройки.
3.1 Упорядочить параметры локальной политики в соответствии с группами.
3.2 Опробовать изменение локальной политики по отношению к созданному
пользователю.
Для изучения и изменения локальной политики воспользуемся оснасткой
«Локальные политики безопасности».
В окне «Локальные политики безопасности»находятся основные категории политик:
 Политики учетных записей
Настраивает политику блокировки паролей и учетных записей.
 Локальные политики
Настраивает опции «Политика аудита», «Присвоение прав пользователей» и
«Безопасность»:
5
  Политика аудита
Настраивает аудит сервера, а также аудит успешных и/или ошибочных событий:
o вход учетной записи
o управление учетной записью
o доступ к службе каталогов
o события входа
o доступ к объектам
o изменение политики
o использование привилегий
o отслеживание процессов
o системные события
 Присвоение прав пользователям
Служит для указания прав определенным учетным записям пользователей или
группам (объектам). Для примера запретим локальный вход под учетной записью
user1. В свойствах политики Отклонить локальный вход добавим пользователя
user1.
Теперь при попытке локального входа в систему появляется такое сообщение:

Теперь разрешим локальный вход под данной учетной записью. Для удаления
объекта из политики удалим его из списка в свойствах данной политики.
 Параметры безопасности
Служит для указания параметров безопасности сервера. Эти параметры напрямую
не связаны с IIS (Internet Information Server), но они все же повышают общий
уровень защиты сервера.
 Политики открытого ключа
Поддерживают опции файловой системы Encryption File System (EFS), которая
осуществляет шифрование на уровне файла. При включении EFS в этом окне
настраивается информация агента восстановления.
 Политики ограничения программ
Определяет программы, запускаемые на компьютере, и учетные записи
пользователей, имеющих доступ к этим программам.
 Политики безопасности IP
Указывает использование на сервере протокола IPsec для шифрования канала связи
в сети. Опция имеет три параметра:
 Клиент (только ответ). Использует IPsec при запросе этого протокола другим
компьютером.
 Сервер (только запрос). Пробует установить IPsec-соединение с вышедшим на
связь компьютером. В противном случае устанавливается соединение без
шифрования.
 Безопасный сервер (защищенность обязательна). Принудительное
использование канала связи IPsec. Если другой компьютер не использует IPsec,
установка соединения не состоится.

6
 После определения политики безопасности ее можно экспортировать с одного
компьютера на другой, что позволяет создать единый шаблон и применить его к набору
серверов.

Экспорт и импорт локальной политики безопасности

После настройки системы согласно определенным требованиям шаблон
безопасности можно экспортировать в файл .inf для применения на других системах.
Для этого в меню параметров безопасности выберем команду Действие\Экспортировать
политику. Сохраним нашу настроенную политику под именем myPolitic.inf.
Для настройки локальной политики безопасности используются файлы шаблонов
посредством импортирования файла .inf, содержащего параметры. Таким образом можно
настраивать компьютеры без включения вручную опций на каждом из них. Отдельные
демонстрационные шаблоны безопасности поставляются с Windows Server и находятся в
папке %systemroot%\security\templates. Можно использовать эти шаблоны или создать
свои собственные.
Для импортирования файла шаблона выберем команду Действие\Импортировать
политику и выберем нужный inf файл. Политика безопасности будет импортирована, а ее
параметры –установлены поверх существующих настроек системы.
При изменении параметра политика безопасности обновляется не сразу. Обновление
происходит при загрузке системы либо каждые 5 мин (для контроллеров доменов) и
каждые 90 мин (не для контроллеров доменов). Для немедленного вступления изменений
в силу используется команда Перезагрузить.

4 С помощью консоли "Active Directory - управление пользователями и

компьютерами" изучить состав учетных записей домена, локальных и
глобальных групп домена.
Нарисовать схему связей встроенных учетных записей, глобальных и локальных
групп.
User | Global group | Local group |
x ---------------> x --------------> x
Первые три пункта изучались локальные изолированные учетные записи. В данном
пункте будем рассматривать доменные учетные записи. Для этого будем работать с
оснастками AD в консоли управления.
В Active Directory имеется контейнер Users, содержащий три встроенные
пользовательские учетные записи: Администратор, Гость и Support. Эти учетные записи
создаются автоматически при создания домена. Каждая из этих встроенных учетных
записей имеет свой набор полномочий:

 Администратор имеет полномочия «Полный доступ» по всем ресурсам в

домене и она позволяет назначать полномочия доменным пользователям.
 Гость используется для того, чтобы люди, не имеющие учетной записи в
домене, могли выполнять вход в этот домен. Кроме того, пользователь, учетная
запись которого отключена (но не удалена), может выполнять вход с помощью
учетной запись Гость. Учетная запись Гость отключена по умолчанию.

В Active Directory группы различаются по типу (группы безопасности и группы

распространения) и по области действия (локальные в домене, глобальные и
универсальные):
7
  Группы безопасности — каждая группа данного типа имеет идентификатор
безопасности (SID), поэтому группы безопасности используются для назначения
разрешений при определении прав доступа к различным сетевым ресурсам.
 Группы распространения — группы этого типа не имеют идентификатора
безопасности, поэтому не могут использоваться для назначения прав доступа, их
главное назначение — организация списков рассылки для почтовых программ
(например, для Microsoft Exchange Server).
 Локальные в домене могут содержать — глобальные группы из любого домена,
универсальные группы, глобальные учетные записи пользователей из любого
домена леса, используются — при назначении прав доступа только к ресурсам
"своего" домена;
 Глобальные могут содержать — только глобальные учетные записи пользователей
"своего" домена, используются — при назначении прав доступа к ресурсам любого
домена в лесу;
 Универсальные могут содержать — другие универсальные группы всего леса,
глобальные группы всего леса, глобальные учетные записи пользователей из
любого домена леса, используются — при назначении прав доступа к ресурсам
любого домена в лесу.

Таким образом, при настройке доступа к ресурсу, мы можем оперировать несколькими

типами субъектов безопасности:

 Локальными
Они определяется в локальной базе данных диспетчера учетных записей
безопасности (SAM) на компьютере. У каждого компьютера на основе Windows
имеется локальный SAM, содержащий всех пользователей на данном
компьютере.
 Глобальными
Они определены в контроллерах домена

Различие между локальными и доменными учетными записями заключается в их

охвате. Доменные учетные записи могут быть использованы на любом компьютере в
домене, тогда как локальные учетные записи действительны только на компьютере, на
котором определены.

8
 Схема связей встроенных учетных записей, глобальных и локальных групп

User Global Group Local Group

Администратор Администраторы Администраторы

домена

Администраторы
предприятия

Администраторы
схемы

Владельцы-создатели
групповой политики
Пользователи

Пользователи домена

Support Help Service Group

Гость Гости домена Гости

5 Придумать пользователей с определенными свойствами в некоторой

модельной ситуации.
-"руководитель" - пользователь - директор конторы;
-"игрок" - пользователь, которому надо только время от времени играть в игры;
-"прикладник" - пользователь, постоянно использующий только
несколько фиксированных программ;
-"продвинутый юзер" - пользователь, которому надо устанавливать собственные
программы и получать информацию о настройках системы;
-"зам. админа" по управлению пользователями;
-"зам. админа" по управлению данными и резервному копированию;
-"секретчик";
...
5.1 Создать новые учетные записи пользователей.
5.2 Сформировать глобальные группы. Определить привилегии новых
пользователей путем включения глоб.групп в локальные.
9
1. Создадим учетную запись IvanIvanov для зам. администратора по управлению
данными и резервным копированием с помощью оснастки «Active Directory –
пользователи и компьютеры»:

2. Сформируем по функциональным обязанностям сотрудника глобальную группу

AssistantDataAdmin:

Область действия группы – глобальная

Тип группы – группа безопасности

3. Включим учетную запись IvanIvanov в подготовленную глобальную группу

AssistantDataAdmin в свойствах учетной записи. Теперь данная учетная запись
является членом глобальных групп «Пользователи домена» и
«AssistantDataAdmin».
4. Сформируем локальные группы на основе разрешений для доступа к
конкретным ресурсам: «Data».
5. Включим глобальную группу «AssistantDataAdmin» в доменную локальную
группу «Data» в свойствах глобальной группы.

10
 6. Дадим разрешения на доступ к ресурсам локальной группе «Data».
Предположим, зам. администратора по данным должны иметь право на чтение
и запись в папку Backup (полномочия Изменить, Чтение и выполнение, Список
содержимого папки, Чтение, Запись) и чтение папки Data (полномочия Список
содержимого папки и Чтение).
7. Можно в «Политике безопасности домена» разрешить локальной группе «Data»
выполнять архивирование и восстановление файлов и каталогов.

Создадим еще одну учетную запись PetrPetrov для зам. администратора по

управлению пользователями. Для учетных записей похожего типа создадим
глобальную группу AssistantUsersAdmin. Создадим локальную группу UserManagment.
Включим глобальную группу AssistantUsersAdmin в локальную группу
UserManagment. Для делегирования административных полномочий буду использовать
мастер «Делегирование управления». В качестве субъекта безопасности выберем
локальную группу UserManagment. Список делегируемых задач данной группе:

 создание, удаление и управление учетными записями пользователей

 переустановление паролей
 чтение информации о всех пользователях
 создание, удаление и управление группами
 изменение членства в группах

Создадим объект групповой политики и выберем раздел Конфигурация Windows –

Параметры безопасности – Политики ограниченного использования программ. В разделе
Уровни безопасности можно выбрать действующий уровень. По умолчанию им является
уровень «Неограниченный». Этот уровень разрешает запуск любых программ, кроме явно
запрещенных правилами. Я не буду использовать данный уровень безопасности,

11
поскольку он используется, когда необходимо запретить использование небольшого
количества программ. А в нашем случае требуется запретить выполнение всех программ
за исключением IE. Для обеспечения данного уровня защиты необходимо использовать
уровень безопасности: Не разрешено.
При смене уровня безопасности с «Неограниченный» на «Не разрешено»
возникает следующее предупреждение:

В узле «Политики ограниченного использования программ» расположены общие

параметры настроек, определяющих применение политик:

 Принудительный (определяет, следует ли проверять библиотеки dll)

 Назначенные типы файлов (список типов файлов, оторые политика будет
идентифицировать как исполняемый код)
 Доверенные издатели (позволяет настраивать реагирование политики на элементы
управления ActiveX и другое подписанное содержимое)

В данном узле оставим все настройки по умолчанию.

Создание правил политики

Правило определяет, разрешить или запретить выполнение программы,
соответствующей указанным в нем условиям. Для сопоставления программы и условия
можно использовать четыре параметра исполняемого файла:

 Зона (которые используют Internet Explorer)

 Путь (идентифицирует исполняемое приложение по его местоположению)
 Сертификат (устанавливаются для файлов, имеющих цифровую подпись
издателя)
 Хеш (для идентификации файла используется его хеш)

Хэш является очень удобным способом задания разрешенных или запрещенных

программ. Хеш – это цифровой «отпечаток» файла, получаемый преобразованием его
содержимого в битовую строку фиксированной длины с помощью специальных
криптографических функций. Хеш однозначно идентифицирует любой файл, независимо
от его названия и месторасположения. Любое, самое незначительное изменение кода
файла приводит к изменению его хеша. И наоборот, два абсолютно идентичных файла
имеют одинаковый хеш. Поэтому правило по хешу не получится так просто «обойти» как
правило по пути исполняемой программы: можно либо переименовать программу, либо ее
переместить в другое место. Стоит конечно оговорится, что данные 2 операции могут
быть выполнены только при наличии соответствующих прав учетной записи.
12
Создадим правило на основе хеша, разрешающее запуск Windows Media Player:

Выбираем файл проигрывателя, его хэш считается автоматически. Тип

безопасности – неограниченный, т.к. я использую уровень безопасности «Не разрешено».
Если файл расположен на другом компьютере, то надо обеспечить к нему доступ с той
машины, где настраивается политика. Я пробовал подключить как сетевой диск
стандартный общий ресурс вида \\pechen-desktop\C$.
Идентификация файла по его хешу является наиболее предпочтительной, позволяя
однозначно определять файл. Его недостаток – это большой первоначальный объем
работы, который необходимо проделать при создании нового набора правил. Этот тип
правил используется по принципу – «один файл, одно правило». Более того, различные
версии одной программы имеют различное значение хеша.
Для управления групповой политикой будет использоваться консоль gpmc. Данная
консоль позволяет удобно управлять групповыми политиками во всем лесе.

13
 Для обеспечения входа пользователя в систему понадобится установить
разрешения для некоторых программ. В моем случае необходимо разрешить запуск
winlogon.exe, userinit.exe и explorer.exe из системной папки %windir%\system32. В другой
ситуации, возможно, потребуются дополнительные разрешения - например, может
возникнуть необходимость обработки сценариев, расположенных на сервере при входе
пользователя в систему. Создаем для них правила пути:

Теперь создадим правило, разрешающее запуск Internet Explorer. Чтобы не дать

возможности пользователю подмены файла и не зависеть от его расположения в файловой
системе, будем использовать правило хеша. Подключаем на сервере, где я произвожу
настройку групповой политики диск C тестового компьютера. Затем я создаю правило для
хеша для файла IEXPLORE.EXE, расположенного в папке Program Files\Internet Explorer.

Теперь при попытке запуска какой-нибудь программы или команды, кроме

iexplorer.exe возникает ошибка «Невозможно открыть данную программу из-за политики
ограничения применения программного обеспечения». Т.о. видно, что запрет на любой
исполняемый файл работает.
Также можно заставить какую-либо программу из разрешенных к запуску
автоматически стартовать при входе пользователя в систему. Для этого в разделе
Административные шаблоны – Система – Вход в систему редактора политики выберу

14
команду «Запускать указанные программы при входе в систему». Включу данную опцию
в свойствах и выберу программу IE:

Компьютер теперь представляет собой подобие терминала, на котором

пользователь может выполнить только те программы, для которых были созданы правила
политики ограниченного использования программ. Даже выбрав в меню разрешенной
программы команду «Открыть» и указав в диалоге исполняемый файл, который не указан
в правилах, его запуск будет запрещен.
В следующих пунктах я продолжу работать с созданными учетными записями.
6 Рассмотреть систему управления доступом к каталогам и файлам
NTFS.
6.1 Выписать и объяснить состав типов всех возможных субъектов безопасности,
которым может быть предоставлен доступ к ресурсу.
6.2 В каталоге \Student\Temp создать различные подкаталоги и файлы и назначить
разрешения доступа для созданных пользователей.
Уровни разрешений NTFS включают:
 Полный доступ 
Пользователи могут изменять, добавлять, перемещать и удалять файлы, свойства,
связанные с ними, и каталоги. Кроме этого, можно изменить разрешения для всех
файлов и подкаталогов.
 Изменение
Пользователи могут просматривать и изменять файлы и их свойства, включая
удаление и добавление файлов в каталог или свойств файла к файлу.
 Чтение и выполнение
Пользователи могут запускать выполняемые файлы, включая сценарии.
 Список содержимого папки
Пользователи могут просматривать список содержимого папки.
 Чтение
Пользователи могут просматривать файлы и их свойства.
 Запись
Пользователи могут записывать файл.
 Специальные разрешения
Позволяет составлять комбинации из 14 более детальных разрешений, которые не
входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится
разрешение «Синхронизация».
15
Перечисленные выше разрешения по умолчанию на самом деле состоят из целого ряда
индивидуальных разрешений. Изучим их на практике и заполним следующую таблицу:

Полны Чтение и Содержание

Изменит Чтени Запис
й выполнени (только
ь е ь
доступ е папки)
Полный доступ +          
Обзор + + + +    
папок/Выполнение
файлов
Содержание + + + + +  
папки/Чтение данных
Чтение атрибутов + + + + +  
Чтение + + + + +  
дополнительных
атрибутов
Создание + +       +
файлов/Запись данных
Создание + +       +
папок/Дозапись
данных
Запись атрибутов + +       +
Запись + +       +
дополнительных
атрибутов
Удаление подпапок и +          
файлов
Удаление + +        
Чтение разрешений + + + + + +
Смена разрешений +          
Смена владельца +          

Рассмотрим детальные разрешения NTFS в виде таблицы:

Разрешение
Обзор папок / Выполнение файлов
Содержание папки / Чтение данных
Чтение атрибутов
Чтение дополнительных атрибутов
Создание файлов / Запись данных
Описание
Обзор папок позволяет проходить через
промежуточные папки на пути к определенным
папкам или файлам, даже если данный пользователь
не имеет полномочий для работы с этими
промежуточными папками.
Просмотр имен файлов и имен подпапок внутри
папки. Просмотр данных в файлах (и, тем самым,
открытие файлов данных).
Просмотр атрибутов операционной системы,
относящихся к файлу или папке.
Просмотр дополнительных атрибутов, заданных
приложениями, для файла или папки.
Создание файлов внутри папки и внесение
изменений в файл с перезаписью существующего
содержимого.
16
Создание папок / Дозапись данных Создание файлов внутри папки и внесение
изменений в конец файла (но без права изменения,
удаления или перезаписи существующих данных).
Запись атрибутов Изменение атрибутов операционной системы для
файла или папки.
Запись дополнительных атрибутов Изменение дополнительных атрибутов, заданных
приложением, для файла или папки.
Удаление подпапок и файлов Удаление подпапок и файлов, даже если для
текущей папки не заданы полномочия «Удаление».
Удаление Удаление папки или файла.
Чтение разрешений Просмотр полномочий для папки или файла.
Смена разрешений Изменение полномочий, заданных для папки или
файла.
Смена владельца Указание самого себя как владельца папки или
файла.

7 Войти в систему от имени пользователей и проверить их возможности

доступа к объектам файловой системы.
Соотнести назначенные разрешения доступа с допустимыми и запрещенными
действиями над подкаталогами и файлами (создание, удаление, копирование,
перемещение, изменение содержимого, получение информации о свойствах и др.)
Работа под учетной записью IvanIvanov:
 с объектом безопасности Data:
 может просматривать содержимое папки
 может просматривать файлы и их свойства
 не может создавать файлы

 не может изменять файлы

 не может удалять файлы

17
  не может менять владельца файла
 с объектом безопасности Backup:
 может просматривать содержимое папки
 может просматривать файлы и их свойства
 может создавать файлы
 может изменять файлы
 может удалять файлы
 не может менять владельца файла

Работа под учетной записью PetrPetrov:

 может создавать пользователей
 может создавать группы
 может читать информацию о пользователях

 может удалять пользователей

 может удалять группы

 может изменять членство в группах
 может изменять пароли пользователей

доступа к папкам Data и Backup нет

18
 Список возможных объектов, которые
Список возможных объектов, которые может
может создать под учетной записью
создать под учетной записью Администратор
PetrPetrov

8 Рассмотреть свойства наследования разрешений доступа.

Придумать примеры целесообразного и нецелесообразного применения
наследования.

Если задавать полномочия для родительской папки, то все файлы и папки, созданные в
данной папке, наследуют эти полномочия. Имеется три способа, позволяющих прервать
это наследование:
1. Удаление наследования на уровне родительской папки, то есть запрет
наследования полномочий дочерними объектами.
Для изменения настройки по умолчанию родительского объекта, чтобы дочерние
объекты не наследовали автоматически полномочия, надо рассмотреть детальные
разрешения. Флажок «Применять эти разрешения к объектам и контейнерам только
внутри этого контейнера» позволяет удалять наследование. Если данный флажок
установлен, происходит применение выбранных прав доступа только к
выбранному объекту. В противном случае, изменения будут распространяться на
все дерево объектов, ниже текущего уровня.

2. Удаление наследования на уровне дочернего объекта.

19
 Если просматривать полномочия по объекту, наследующему полномочия, то видно,
что флажки для полномочий затенены и недоступны:

В данном случае нельзя изменять полномочия с затененным флажком, но

все же можно вносить изменения в наследуемые полномочия. Можно, конечно,
вносить изменения в полномочия родительского объекта и затем дочерний объект
наследовал бы эти полномочия. Но в большинстве случаев это опасно. Можно
выбирать противоположные полномочия (разрешить или запретить) для дочернего
объекта. В результате создаются явные полномочия, которые замещают
наследуемые полномочия. Например, я могу явно запретить запись в данную
папку:

3. В дочернем объекте явное разрешение или запрет для определенных

полномочий из родительского объекта.

Явно определяемые полномочия задаются автоматически ОС или вручную

администратором. Наследуемые полномочия автоматически берутся из
родительской папки как результат наследования. Явно заданные полномочия
имеют приоритет по сравнению с наследуемыми полномочиями. Удобнее и
безопаснее задать явные полномочия, чем отказаться от наследуемых полномочий.

Ранее была создана учетная запись IvanIvanov для архивирования данных из папки
Date, которая открыта по чтению. Предположим, что в папке Date\Logs надо формировать
отчеты по результатам архивирования. Таким образом IvanIvanov должен иметь право на
запись в папку Logs. В этом случае я применил явное полномочие на запись в папку Logs.

9 Обосновать необходимость применения свойства владения объектом.

Опробовать смену владельца объекта.
Пользователь, создавший папку или файл, является владельцем данного объекта.
Владелец объекта обладает правами изменения NTFS-разрешений для этого объекта, даже
если ему запрещены другие виды доступа. Администратор или пользователь с правом
смены владельцем могут сменить владельца.
Администратор может восстановить доступ к объекту в случае утери доступа по
причине неправильно назначенных разрешений или удаления учетной записи, имевшей
20
исключительный доступ к данному объекту. Например, уволился единственный
сотрудник, имевший доступ к файлу, администратор удалил его учетную запись,
вследствие этого был полностью потерян доступ к файлу, восстановить доступ можно
единственным способом — передача владения файла администратору или новому
сотруднику.
Сменим владельца объекта. Создадим папку folder под учетной записью IvanIvanov.
Под учетной записью Администратора сменим владельца папки на PetrPetrov:

Установим флаг «Заменить владельца подконтейнеров и объектов» чтобы стать

владельцем всех подпапок и файлов. Смена владельца прошла успешно.

10 Реализовать сетевой доступ к разделяемым файловым ресурсам.

10.1 Назначить разрешения доступа и проверить защищенность файловых ресурсов
при доступе по сети.
10.2 Реализовать сетевую печать и проверить разрешения доступа к принтеру.
Данный пункт был частично выполнен при настройке доступа учетной записи
IvanIvanov к субъектам безопасности Data, Backup и Logs.
Организуем сетевой доступ к принтеру. В панели управления выберем апплет
«Принтеры и факсы», там выделим необходимый принтер и выберем пункт
контекстного меню «Общий доступ». Перед нами появиться следующие окно
конфигурации:

21
 Установив переключатель “Общий доступ к данному принтеру” мы сделаем этот
принтер сетевым. Для настройки параметров доступа перейдем на вкладку
«безопасность». Мы увидим пользователей и группы которым предоставлен доступ и
упрощенные параметры доступа для них. Чтобы настроить доступ более детально нажмем
кнопку «дополнительно» и на вкладке разрешения выберем интересующего нас
пользователя и нажмем кнопку «Изменить»:

Зайдем под доменной учетной записью IvanIvanov. Найдем этот принтер:

Так как печать была разрешена для всех пользователей, то проверим, возможно ли
пользователю с учётной записью IvanIvanov выполнить печать. Как и следовало
ожидать, печать по сети была произведена успешно.

Разрешения доступа на файлы и каталоги:

Право пользователя "Обход перекрестной проверки" (Bypass Traverse Checking).
Выдержка из справки Microsoft: Allows the user to pass through folders to which the user
otherwise has no access while navigating an object path in any Microsoft Windows file system or
in the Registry. This privilege does not allow the user to list the contents of a folder; it allows the
user only to traverse its directories.

22
 Это означает: если есть папка к которой пользователю доступ запрещён и в ней
есть файл, доступ к которому явно разрешён для этого пользователя, то он не сможет
зайти в эту папку (пролистать её содержимое), но сможет точно зная название файла,
открыть его, используя полный путь вида папка\файл. По умолчанию bypass traversal
cheking разрешено всем. Если запретить bypass traversal cheking для пользователей, то
они не получат доступ к файлам на которые у них есть явные разрешения, если папка, в
которой они хранятся, будет для них закрыта на доступ.

Проверка влияния разрешений безопасности на операции с файлами и каталогами.

Имя каталог: TestFold, файл: test.c
Права на Права на Удаление
Чтение (type) Запись (>)
файл каталог (del, erase, rmdir /S /Q)

Полный Полный запрет Отказано в Отказано в

Папка не пуста
доступ для пользователя доступе. доступе

Только разрешение
Полный на запись (на Отказано в Отказано в
Папка не пуста.
доступ остальное - доступе. доступе.
запрет)
Только разрешение
на запись (на rmdir TestFold /S /Q
Полный
доступ
остальное – + + +
ничего не
выставлено)
Только разрешение rmdir TestFold /S /Q
Запрет на
на запись (на +
запись (на Отказано в
остальное -
остальное – + доступе del test.c
ничего не
разрешение)
выставлено) +
Только разрешение rmdir TestFold /S /Q
полный запрет на запись (на +
Отказано в Отказано в
для остальное – del test.c
доступе. доступе.
пользователя ничего не
выставлено) +
Отказано в
доступе
(открыть папку Папка не пуста.
Разрешение на
в графическом
интерфейсе Отказано в
-
запись (на Запрет на чтение del test.c
нельзя, но доступе Не удается найти D:\
остальное - и на запись
перейти в TestFold\test.c
запрет)
каталог можно,
однако нельзя -
прочитать
список файлов)

Копировать каталог, на который у данного пользователя стоит полный запрет

доступа, можно, и в него даже после копирования можно будет зайти, однако, он окажется
пустым.
23
 При копировании каталога с файлом, на который стоит полный запрет, выдается
сообщение об отказе в доступе.

Проверка прав сетевого доступа и локальных прав доступа:

1) Локальные права доступа: Полный доступ

Сетевые права доступа: Полный доступ, Изменение, Чтение
Результат: Все действия разрешено производить

2) Локальные права доступа: Полный доступ

Сетевые права доступа: Чтение
Результат: Переименовать не удалось, сохранить
измененный файл не удалось

3) Локальные права доступа: Полный запрет

Сетевые права доступа: Полный доступ, Изменение, Чтение
Результат: Зайти на сетевой ресурс можно, но в нем не
видно файлов

4) Локальные права доступа: Разрешение на чтение

Сетевые права доступа: Полный доступ, Изменение, Чтение
Результат: Переименовать файл не удалось, сохранить
не удалось.

5) Локальные права доступа: Полный доступ

Сетевые права доступа: Чтение запрещено
Результат: Зайти на сетевой ресурс невозможно
(отказано в доступе)

Вывод:

Целью данной лабораторной работы была детальная настройка созданных учетных

записей с помощью глобальных и локальных групп, делегирования административных
полномочий на управление объектами, применения групповых политик. Для созданных
учетных записей IvanIvanov и PetrPetrov был настроен доступ к объектам файловой
системы, был реализован сетевой доступ к разделяемому сетевому ресурсу – принтеру.

24