Права доступа и их присвоение

В Windows XP при защите папок, файлов, принтеров и прочих ресурсов

очень важную роль играют разрешения, тесно связанные с учетными записями.

Задавать разрешения можно двумя различными способами. Во-первых, каждому объекту можно назначить собственный набор разрешений (их часто называют объектными разрешениями), которые регулируют локальный доступ к ресурсу.

Кроме локальных объектных разрешений вы можете задать и разрешения

на общий ресурс, действие которых распространяется на ресурсы совместного использования, размещенные на компьютере. Эти разрешения определяют уровень доступа удаленных пользователей к такому ресурсу по сети.

Права определяют возможность пользователя (или группы) выполнять

конкретные действия. Войдя в систему, пользователь может выполнять только операции, определенные правами его учетной записи, которые либо были назначены ей непосредственно, либо получены через членство в группе. Ниже приведен список конкретных прав пользователей.

– Архивирование файлов и каталогов (Back up files and directories). Это

право позволяет выполнять резервное копирование файлов и каталогов на оп-

ределенном компьютере и является преимущественным по сравнению с разрешениями на эти файлы и каталоги. Обратите внимание, что данное право не дает пользователю возможности просматривать содержимое файлов и каталогов, если только у него нет явного права на это.

– Восстановление файлов и каталогов (Restore files and directories).

Имея такое право, пользователь может восстанавливать файлы с резервных копий. Обратите внимание: право на архивирование не означает, что пользователь может восстанавливать файлы, и наоборот.

– Вход в качестве пакетного задания (Log on as a batch job). Это право

дает пользователю возможность входить в систему в качестве объекта пакетной очереди.

– Вход в качестве службы (Log on as a service). Это право дает пользова-

телю возможность выполнять функции безопасности и предназначено специ-

ально для того, чтобы процессы могли регистрироваться в системе как службы.

– Добавление рабочих станций к домену (Add workstations to domain).

Имея такое право, пользователь может добавлять в домен рабочие станции,

благодаря чему они начинают признавать учетные записи и глобальные группы домена (что открывает возможность регистрации с этих рабочих станций). Задать это право вы можете, только работая с Диспетчером пользователей для доменов User Manager for Domain.

– Доступ к компьютеру из сети (Access this computer from network). Это

право дает пользователю возможность подключаться к компьютеру через сеть.

– Завершение работы системы (Shut down the system). Это право дает

пользователю возможность завершать работу системы.

– Загрузка и выгрузка драйверов устройств (Load and unload device

drivers). Обладая этим правом, пользователь может загружать и выгружать

драйверы устройств. Когда вы управляете доменом, это право относится к ос-

новному и резервному (резервным) контроллерам домена. За пределами домена это право применимо только к компьютеру, на котором оно задано.

– Закрепление страниц в памяти (Lock pages in memory). Имея такое

право, пользователь может закреплять страницы в памяти, предотвращая тем

самым их сброс на диск.

– Замена маркера уровня процесса (Replace a process level token). Бла-

годаря этому праву пользователь получает возможность изменять маркер доступа процесса.

– Извлечение компьютера из стыковочного узла (Remove computer

from docking station). Определяет, может ли пользователь отключать переносной компьютер от стыковочного узла, не входя в систему. Если эта политика включена, пользователь должен войти в систему перед тем, как отключать компьютер от стыковочного узла. Если эта политика отключена, пользователь может отсоединять компьютер от стыковочного узла, не входя в систему.

– Изменение параметров среды оборудования (Modify firmware environment

values). Это право разрешает пользователю изменять переменные сис-

темной среды.

– Изменение системного времени (Change the system time). Имея такое

право, пользователь может настраивать системные часы.

– Локальный вход в систему (Log on locally). Это право разрешает поль-

зователю локально входить в систему. По соображениям безопасности вы едва ли захотите, чтобы пользователь локально регистрировался на сервере или на основном либо резервных контроллерах домена, хотя такая возможность тоже не исключена.

– Настройка квот памяти для процесса (Increase quotas). Определяет,

какие учетные записи могут использовать процесс, обладающий разрешением «Запись свойства» для доступа к другому процессу, с целью увеличить назначенную последнему квоту ресурсов процессора. Данное право пользователя определено в объекте групповой политики стандартного контроллера домена, а также в локальной политике безопасности рабочих станций и серверов.

– Обход перекрестной проверки (Bypass traverse checking). Пользова-

тель, наделенный этим правом, может перемещаться по дереву каталогов даже в тех случаях, когда у него нет права на обход какого-либо каталога. Право на обход перекрестной проверки не заменяет прав на владение и разрешений. Если у пользователя нет необходимых разрешений на просмотр содержимого каталога, он его и не увидит, хотя пройти через этот каталог сможет.

– Овладение файлами или иными объектами (Take ownership of files or

other objects). Получив такое право, пользователь может овладевать файлами, каталогами и принтерами. Когда вы управляете доменом, это право относится к основному и резервному (резервным) контроллерам домена. За пределами домена оно применимо только к компьютеру, на котором задано.

– Отладка программ (Debug programs). Это право дает пользователю

возможность отлаживать программы.

– Отказ в доступе к компьютеру из сети (Deny access to this computer

from the network). Определяет, каким пользователям запрещается доступ к

данному компьютеру через сеть. Эта политика отменяет политику Доступ к

компьютеру из сети, если учетная запись пользователя контролируется обеими политиками.

– Отказ во входе в качестве пакетного задания (Deny logon as a batch

job). Определяет, какие учетные записи запрещается использовать при входе в систему в качестве пакетного задания. Эта политика отменяет политику Вход в качестве пакетного задания, если учетная запись пользователя контролируется обеими политиками.

– Отказать во входе в качестве службы (Deny logon as a service). Опре-

деляет, каким учетным записям запрещается регистрировать процесс в качестве службы. Эта политика отменяет политику Вход в качестве службы, если учетная запись пользователя контролируется обеими политиками.

– Отклонить локальный вход (Deny logon locally). Определяет, каким

пользователям запрещается вход в систему на данном компьютере. Эта политика отменяет политику Локальный вход в систему, если учетная запись пользователя контролируется обеими политиками.

– Принудительное удаленное завершение (Force shutdown from a remote

system). Это право предусматривает для пользователя возможность при-

нудительно завершать работу системы с удаленного узла (например, по удаленному подключению).

– Профилирование загруженности системы (Profile system

performance). Пользователь, наделенный таким правом, имеет возможность

профилировать общую производительность системы.

– Профилирование одного процесса (Profile single process). Это право

позволяет пользователю профилировать отдельный процесс.

– Работа в режиме операционной системы (Act as part of the operating

system). Это право дает пользователю возможность выступать в качестве доверенной части операционной системы и автоматически предоставляется некоторым подсистемам.

– Разрешать вход в систему через службу терминалов (Deny logon

through terminal services). Определяет, каким пользователям и группам

разрешается входить в систему в качестве клиента служб терминалов.

– Разрешение доверия к учетным записям при делегировании (Enable

computer and user accounts to be trusted for delegation). Определяет, какие

пользователи могут устанавливать атрибут Доверен для делегирования для

объекта «Пользователь» или «Компьютер». Пользователь или объект, наделенный данной привилегией, должен иметь право записи во флаги управления учетной записью объекта «Пользователь» или «Компьютер». Серверный процесс, который работает на компьютере (или в контексте пользователя), доверенном для делегирования, может получать доступ к ресурсам другого компьютера, используя делегированные учетные данные клиента, при условии, что для учетной записи клиента не установлен флаг управления Учетная запись не может быть делегирована. Данное право пользователя определено в объекте групповой политики стандартного контроллера домена, а также в локальной политике безопасности рабочих станций и серверов.

– Синхронизация данных службы каталогов (Synchronize directory service data). Определяет, какие пользователи и группы имеют полномочия синхронизировать данные, относящиеся к службе каталогов. Эта процедура также называется синхронизацией Active Directory.

– Создание журналов безопасности (Generate security audits). Благодаря

этому праву пользователь имеет возможность генерировать записи журнала

безопасности.

– Создание маркерного объекта (Create a token object). Имея такое пра-

во, пользователь может создавать маркеры безопасного доступа.