3.1.5. Действующие разрешения

Вы можете назначить различные разрешения на доступ к какому-либо файлу или папке для учетной записи пользователя и для групп, в которых он состоит. В этом случае при доступе к объекту, для которого у пользователя определены различные разрешения, будут определены действующие разрешения, являющиеся суммой всех назначенных разрешений. Например, если для учетной записи пользователя определены разрешения на чтение для папки, а группе, в которую этот пользователь входит, определены разрешения на запись, то при доступе к этой папке он получит разрешения и на чтение, и на запись.

Но если среди разрешений, составляющих сумму, встречается запрет (deny) на какое-либо действие, этот запрет перекрывает все разрешения (allow) на это и зависимые действия. Например, если пользователю назначить полный доступ к папке, а группе, в которую пользователь входит, поставить запрет на действие "Список содержимого папки", этот пользователь не сможет ни зайти в папку, ни удалить ее, несмотря на имеющийся у него полный доступ. Но, имея разрешения на полный доступ, он может изменить соответствующие разрешения и вернуть себе возможность работать с этой папкой.

В предыдущих версиях Windows действующие разрешения приходилось вычислять "вручную", в Windows ХР Professional появилась возможность быстро выяснить сумму всех разрешений на доступ к файлу или папке (рис. 3.2).

Рис. 3.2. Вычисление действующих разрешений

Единственным неудобством этого инструмента является обманчивый вид элемента для ввода имени группы или пользователя. В нем мигает текстовый курсор, как будто предлагая ввести текст с клавиатуры. Но ввести туда имя можно лишь через нажатие кнопки Выбрать и последующие действия в открывшемся окне.

Кроме того, при назначении разрешений следует учитывать, что разрешения на доступ к файлам имеют приоритет перед разрешениями на доступ к папкам. Если пользователь не имеет доступа к папке, но имеет доступ к файлу, находящемуся внутри этой папки, он сможет работать с ним, используя полный путь к файлу. К примеру, пользователь не имеет доступа к папке d: exts, но имеет доступ к файлу file.txt, который находится внутри этой папки. Тогда, выполнив команду notepad d: extsfiie.txt, пользователь сможет открыть этот файл в текстовом редакторе.

Все указанное выше будет действовать только в том случае, если пользователь имеет привилегию Обход перекрестной проверки (Bypass Traverse Checking). Эта привилегия позволяет пользователю проходить через папки, к которым иначе у него нет доступа, на пути к объекту в файловой системе NTFS или в реестре. Данная привилегия не разрешает пользователю выводить список содержимого папки, а дает возможность только проходить через нее. По умолчанию группа Все (Everyone) имеет эту привилегию.

Примечание

В Windows ХР Professional, в отличие от Windows 2000, группа Все больше не включает в себя группу Анонимный вход.

Данный текст является ознакомительным фрагментом.