Россия |
Файловые системы и функции
Наследуемые полномочия
Если вы задаете полномочия для родительской папки, то все файлы и папки, созданные в данной папке, наследуют эти полномочия. Имеется три способа, позволяющих прервать это наследование.
- Удаление наследования на уровне родительской папки, то есть запрет наследования полномочий дочерними объектами.
- Удаление наследования на уровне дочернего объекта.
- В дочернем объекте явное разрешение (allow) или запрет (deny) для определенных полномочий из родительского объекта.
В общем случае вполне подходят наследуемые полномочия, поскольку их легко задавать и поддерживать и так как с ними надежнее работать, чем с полномочиями, управление которыми происходит по отдельности. Если вам приходится изменять и корректировать наследуемые значения, то, возможно, вам нужно пересмотреть организацию папок на сервере. Работая с папкой, создавайте подпапки, которые логически должны содержать те же полномочия, что и родительская папка.
Явно определяемые полномочия и наследуемые полномочия
Явно определяемые полномочия задаются автоматически операционной системой или вручную администратором. Наследуемые полномочия автоматически берутся из родительской папки как результат наследования. Я даю эти очевидные определения для того, чтобы вы знали, что имеются два типа полномочий и что явно заданные полномочия имеют приоритет по сравнению с наследуемыми полномочиями. Вы, конечно, понимаете (или должны понять), что не обязаны прерывать цепочку наследования, чтобы задать необходимые полномочия по дочернему объекту; вам нужно только задать явные полномочия, чтобы запретить/разрешить наследуемые полномочия. Это намного удобнее (и безопаснее), чем отказ от простого и надежного принципа наследуемых полномочий.
Удаление наследования из родительского объекта
Для изменения настройки по умолчанию родительского объекта, чтобы дочерние объекты не наследовали автоматически полномочия, откройте вкладку Security родительского объекта и щелкните на кнопке Advanced. В диалоговом окне Advanced Security Settings (Дополнительные настройки безопасности) выберите нужный элемент (обычно группу) и щелкните на кнопке Edit. Установите флажок Apply These Permissions To Objects And/Or Containers Within This Container Only (Применять эти полномочия к объектам и/или контейнерам только внутри этого контейнера). Если вам нужно, то вы можете изменить полномочия, прежде чем запретить наследование.
Изменение наследуемых полномочий для дочернего объекта
Если вы просматриваете полномочия по родительскому объекту, наследующему полномочия, то сразу обратите внимание, что флажки для полномочий затенены и недоступны (рис. 6.3).
Вы не можете изменять полномочия с затененным флажком, но все же можете вносить изменения в наследуемые полномочия. Вы могли бы, конечно, вносить изменения в полномочия родительского объекта и затем дочерний объект наследовал бы эти полномочия. Но в большинстве случаев это неразумно и даже опасно.
Вы можете выбирать противоположные полномочия (Allow или Deny) для дочернего объекта. В результате создаются явные полномочия, которые замещают наследуемые полномочия. Например, на рис. 6.3, я мог бы явно запретить (Deny) полномочия Read & Execute.
Еще один способ – это щелкнуть на кнопке Advanced (Дополнительно) и выбрать элемент (пользователь или группа), уровни полномочий которого вы хотите удалить из наследования (рис. 6.4). Сбросьте флажок, который указывает наследование.
Рис. 6.4. Вы можете прервать наследование для любого элемента, который имеет полномочия в этом дочернем объекте
Windows выводит диалоговое окно Security, где описывается, что означает прерывание наследования и предлагаются следующие три опции.
- Copy (Копировать).Дублирование наследуемых полномочий, но теперь это явно заданные полномочия вместо наследуемых полномочий, поэтому все флажки становятся доступны и вы можете изменять любые полномочия.
- Remove. Удаление всех наследуемых полномочий, и вы должны создать явные полномочия.
- Cancel.Отмена вашего решения.