Операционная система NetWare




Определение эффективных прав пользователей по отношению к каталогам и файлам - часть 7


В таблице 2.21 показаны изменения эффективных прав для пользователей Admin и User по отношению к указанным в таблице объектам. Также предполагается, что эти пользователи имеют пустые списки Security Equal To.

Этот пример иллюстрирует, как администратор Admin может потерять управление контейнерным объектом OU=CLASS. Это может произойти в том случае, если Admin назначает пользователя User опекуном объекта OU=CLASS с правами [SBCDR]. Пользователь User может сбросить все признаки в фильтре наследуемых прав IRF объекта OU=CLASS. Т. к. право [S] и все остальные права маскируются, то в этом случае Admin не только потеряет управление объектом OU=CLASS, но он даже не сможет увидеть объект в дереве NDS.

Отметим, что после инсталляции файлового сервера

  • пользователь Admin автоматически получает права [SBCDR] по отношению к объекту [Root],

  • фиктивный опекун [Public] автоматически получает право [B] по отношению к объекту [Root]; это означает, что любой пользователь, который подключается к сети, ещё до Login видит все объекты дерева NDS (право [B] наследуется от [Root] всеми объектами).

    Таблица 2.21. Примеры изменения эффективных прав пользователей

    Admin и User по отношению к объектам

    AdminUser

    Контейнер [Root]

    Наследуемые права--

    IRFSBCDRSBCDR

    Опекунские назначенияSBCDR-

    Эффективные праваSBCDR-

    Контейнер MSTU

    Наследуемые праваSBCDR-

    IRFSBCDRSBCDR

    Опекунские назначения--

    Эффективные праваSBCDR-

    Контейнер CLASS

    Наследуемые праваSBCDR-

    IRF--

    Опекунские назначения-SBCDR

    Эффективные права-SBCDR

    Оконечный объект User

    Наследуемые права-SBCDR

    IRFSBCDRSBCDR

    Опекунские назначения--

    Эффективные права-SBCDR

    Санкционирование доступа к консоли файлового сервера

    Доступ к консоли файлового сервера можно осуществить посредством

  • основной консоли,

  • удалённой консоли (т. е. с рабочей станции).

    Администратор может защитить основную консоль, используя пункт меню "Lock File Server Console" утилиты MONITOR.NLM. После ввода произвольного пароля доступ к консоли (основной и удалённой) блокируется, и администратор может оставить консоль без присмотра.


    Содержание  Назад  Вперед