Права – определяются для субъектов типа группа на выполнение некоторых системных операций: установку системного времени, архивирование файлов, дефрагментацию диска, выключение компьютера и т. п. В этих операциях участвует особый объект доступа – операционная система в целом. Именно права отличают одну встроенную группу пользователей от другой. Некоторые права у встроенной группы являются также встроенными – их у данной группы нельзя удалить. Остальные права встроенной группы можно удалять или добавлять.
Возможности пользователей определяются для отдельных пользователей или групп на выполнение действий, связанных с формированием их операционной среды, например, изменение состава главного меню программ, возможность пользоваться пунктом меню Выполнить и т. п. За счет уменьшения набора возможностей, которые по умолчанию доступны пользователю, администратор может «заставить» пользователя работать с той операционной средой, которую администратор считает наиболее подходящей и ограждающей пользователя от возможных ошибок. Реализуются возможности, как правило, в домене при помощи механизма групповых политик безопасности.
Разрешения – это множество операций, которые могут быть определены для субъектов всех типов по отношению к объектам любого типа. Разрешения предоставляются и аннулируются владельцем объекта (или администратором). Разрешения доступа к файлам и каталогам реализуются операционной системой только при использовании файловой системы NTFS.
Права и разрешения, данные группе, автоматически предоставляются ее членам, позволяя администратору рассматривать большое количество пользователей как единицу учетной информации и минимизировать свои действия.
Возможности в виде групповых политик безопасности распространяются только на специальные организационные единицы – подразделения, в состав которых могут входить как пользователи, так и компьютеры. На группы пользователей действие групповых политик безопасности не распространяется. Групповая политика для пользователя определяет его возможности работы на рабочих станциях домена. Групповая политика для компьютера определяет возможности работы на нем пользователей домена.
Групповая политика безопасности состоит из набора параметров безопасности. Конкретный параметр безопасности может реализовывать одну из трех политик: политика включена, политика отключена и политика не задана.
Подразделения с разными групповыми политиками безопасности можно вкладывать друг в друга. При этом параметры безопасности, заданные в групповой политике внутренней (дочерней) организационной единицы, переопределяют соответствующие параметры безопасности внешнего подразделения (кроме параметров, для которых в групповой политике дочернего подразделения политика не задана).
Разрешения на доступ к файлам и каталогам при использовании файловой системы NTFS бывают индивидуальные и основные. Индивидуальные разрешения относятся к элементарным операциям над файлами и каталогами, а основные разрешения являются объединением нескольких индивидуальных разрешений.
На рис. 2.14 приведен интерфейс утилиты назначения основных разрешений пользователям и группам пользователей на примере каталога wincmd.
Рис. 2.14. Интерфейс назначения разрешений на файлы и каталоги
Следует отметить существование в операционной системе групп пользователей SYSTEM и СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ, которых нет в явном виде в числе локальных пользователей и групп пользователей в консоли Управление компьютером, но для которых тоже можно задать набор разрешений.
В файловой системе NTFS версии 5, используемой в операционных системах Windows 2000/ XP, имеется 6 основных разрешений на каталог и 5 основных разрешений на файл.
В табл. 2.5 приведены наборы индивидуальных разрешений для всех вариантов основных разрешений.
|
Таблица 2.5
|
Соответствие основных и индивидуальных разрешений
|
Индивидуальные разрешения
|
Основные разрешения
|
Полный доступ
|
Изменение
|
Чтение и выполнение
|
Список содержимого папки
|
Чтение
|
Запись
|
Обзор папок/ Выполнение файлов
|
+
|
+
|
+
|
+
|
|
|
Содержание папок/ Чтение данных
|
+
|
+
|
+
|
+
|
+
|
|
Чтение атрибутов
|
+
|
+
|
+
|
+
|
+
|
|
Чтение дополнительных атрибутов
|
+
|
+
|
+
|
+
|
+
|
|
Создание файлов/ Запись данных
|
+
|
+
|
|
|
|
+
|
Создание папок/ Дозапись данных
|
+
|
+
|
|
|
|
+
|
Запись атрибутов
|
+
|
+
|
|
|
|
+
|
Запись дополнительных атрибутов
|
+
|
+
|
|
|
|
+
|
Удаление подпапок и файлов
|
+
|
|
|
|
|
|
Удаление
|
+
|
+
|
|
|
|
|
Чтение разрешений
|
+
|
+
|
+
|
+
|
+
|
+
|
Смена разрешений
|
+
|
|
|
|
|
|
Смена владельца
|
+
|
|
|
|
|
|
Доступ к основным разрешениям осуществляется с помощью закладки Безопасность в свойствах файла или каталога (см. рис. 2.14).
Каждое из основных разрешений может быть в явном виде разрешено или запрещено. Если разрешение не отмечено как разрешенное или запрещенное, то считается, что оно не запрещено.
Таким образом, конкретное разрешение может быть задано тремя способами: разрешено (в явном виде), не запрещено, запрещено.
Итоговое разрешение для конкретного пользователя вычисляется как сумма всех разрешений по записям ACE, образующих список ACL файла или каталога. Например, если в списке ACL у пользователя имеется разрешение на запись, а членам группы, в которую он входит, присвоено разрешение на чтение, то этот пользователь будет иметь итоговое разрешение и на чтение, и на запись.
Запрет имеет большую силу, нежели явное разрешение!!!
Следовательно, если встречается ACE с явным запретом на некоторое разрешение для конкретного пользователя или группы, в которую он входит, то это разрешение всегда будет запрещено для данного пользователя и его группы, даже если в остальных записях данное разрешение будет помечено как разрешенное.
Если администратора не устраивают основные разрешения, то он может сформировать специальные (особые) разрешения как конкретную комбинацию индивидуальных разрешений.
На рис. 2.15 представлен интерфейс окна Windows XP, в котором осуществляется назначение индивидуальных разрешений. Переход в него осуществляется при помощи кнопки Дополнительно с закладки Безопасность в свойствах файла или каталога.
Следует отметить, что выбираемые индивидуальные разрешения можно применить как к папкам и файлам, так и отдельно к файлам или к папкам (см. рис. 2.15 окно Применять).
Если в окне свойств безопасности объекта флажки затенены, то это значит, что разрешения на доступ к данному объекту унаследованы от родительского объекта. Существует три способа изменения унаследованных разрешений:
внести в разрешения на доступ к родительскому объекту изменения, которые будут унаследованы данным объектом;
явно разрешить данное унаследованное разрешение;
снять флажок «Наследовать от родительского объекта применимые к дочерним объектам разрешения» (рис. 2.16).
Рис. 2.15. Окно назначения индивидуальных разрешений
В диалоге (рис. 2.17) предлагается сделать выбор одной из трех альтернатив: скопировать разрешения родительского объекта, удалить разрешения и сформировать их заново или ничего не трогать и вернуться в исходное состояние.
Рекомендуется, когда возможно, назначать разрешения для групп, а не для отдельных пользователей. Другими словами, следует создавать группы безопасности.
При назначении разрешений для папок, в которых расположены приложения или данные справочного характера, т. е. неизменяемые при рядовой работе пользователей, следует заменить стандартные разрешения «полный доступ» для группы «все» на разрешение «чтение и выполнение». Это позволит предотвратить случайное удаление файлов или заражение их вирусами.
Рис. 2.16. Окно изменения наследования разрешений
Рис. 2.17. Диалоговое окно изменения наследований на разрешения
Тем пользователям, которые ответственны за обновление хранящихся в папке файлов, можно дать разрешения «изменение» или другие необходимые разрешения.
Выводы
Все современные операционные системы реализуют мультипрограммирование, при котором на одном процессоре выполняется несколько программ, совместно использующих все ресурсы вычислительной системы.
По критерию эффективности все мультипрограммные операционные системы делятся на системы с пакетной обработкой, системы разделения времени и системы реального времени. Современные персональные компьютеры являются системами разделения времени.
В многопроцессорных системах более эффективным является мультипрограммирование на основе механизма многопоточной обработки.
При создании процесса или потока операционная система формирует его дескриптор, контекст и образ. Смена процессов и потоков выполняется путем планирования и диспетчеризации.
Механизм прерываний позволяет операционной системе реагировать на различные события, происходящие в вычислительной системе.
При распределении памяти между процессами современные операционные системы используют механизм виртуальной памяти, позволяющий запускать на выполнение процессы, требующие оперативной памяти значительно больше, чем реально обладает компьютер.
Для перемещения фрагментов процессов между виртуальной и физической памятью в современных операционных системах широко применяются алгоритмы страничного, сегментного и странично-сегментного распределения памяти.
Данные обладают свойствами временной и пространственной локальности, что используется для повышения производительности вычислительной системы путем применения механизма кэширования оперативной памяти и диска. Кэш-память прозрачна для программ и пользователей. С ней работает только операционная система.
Операционная система управляет устройством ввода-вывода данных через драйвер и контроллер этого устройства. В современных операционных системах драйверы имеют многослойную структуру, позволяющую стандартизировать промежуточные интерфейсы управления группами однотипных устройств и тем самым упростить разработку низкоуровневых драйверов.
Основным типом внешней памяти является накопитель на жестких магнитных дисках (диск). Процедуры подготовки его для хранения данных хорошо стандартизованы и включают низкоуровневое (физическое) форматирование, выполняемое при изготовлении диска, и высокоуровневое (логическое) форматирование, выполняемое пользователем. Основной единицей хранения данных на физическом уровне является сектор, на логическом – кластер.
Главная загрузочная запись (MBR) диска позволяет создать на одном диске до четырех первичных (primary) разделов, в каждом из которых можно сформировать логический диск со своей файловой системой. Однако вместо одного из первичных разделов можно создать расширенный (extended) раздел, в котором можно сформировать сколько угодно логических дисков. Обычно создают один первичный раздел (т. к. только первичный раздел может быть активным и на нем находится системный загрузчик) и один расширенный с необходимым количеством логических дисков.
Система управления файлами является важной частью любой операционной системы и позволяет организовать хранение данных в соответствии с выбранной файловой системой. Для современных операционных систем семейства Windows предпочтение отдается файловой системе NTFS, обладающей целым рядом преимуществ перед файловой системой FAT.
Семейство UNIX-систем использует свои файловые системы (ufs, ext 2 fs, ext 3 fs и др.), отличительной особенностью которых является использование в виде специальных файлов устройств ввода-вывода. Кроме этого, каждый файл имеет персональный индексный дескриптор и может иметь несколько имен. При копировании файла создается новое символьное имя (символическая ссылка), а сам файл остается в одном экземпляре.
В любой современной операционной системе существует механизм контроля доступа к разделяемым ресурсам вычислительной системы. Например, в операционных системах Windows на основе технологии NT контроль доступа к разделяемым ресурсам реализуется на основе прав, возможностей и разрешений.
|
