Управление правами доступа к файлам для их владельцев в Windows Server 2008
Права автора/владельца объекта в Windows позволяют пользователю, создавшему файл, управлять доступом к нему. Например, если руководитель отдела ИТ работает над конфиденциальными документами, касающимися деловой и информационной политики компании, и хочет открыть доступ к этим документам сотрудникам из других отделов, он может просто дать соответствующие права любым пользователям и группам и запретить доступ тем, кому видеть эти файлы не положено.
Иногда в этом ничего страшного нет, но если автор/владелец документа уходит из компании или переводится на новую должность, он лишается доступа к данному объекту, что становится причиной разнообразных затруднений.
В предыдущих версиях Windows вплоть до Server 2008 эта проблема решалась с помощью протокола SMB (Server Message Block — блок серверных сообщений), который позволял отменить права полного доступа к файлу, разрешив при этом его изменение. Однако ограничения SMB менее эффективны, чем в случае с NTFS (NT File System — файловая система NT), что может стать источником проблем другого рода.
В Windows Server 2008 для этого предусмотрена новая встроенная функция «Права владельца» (Owner Rights), позволяющая администратору отменять ограничения, установленные автором/владельцем документа. Чтобы включить эту функцию для конкретного документа или объекта, нужно добавить запись о правах владельца в список управления доступом (access control list, ACL) для данного объекта. Для этого:
• нажмите правой кнопкой на объекте, в список управления доступом которого хотите внести изменения, и выберите пункт «Свойства» (Properties); • откройте вкладку «Безопасность» (Security) в диалоговом окне свойств объекта; • нажмите кнопку «Добавить» (Add) под окошком «Пользователи и группы» (Group or User Names); • в поле «Выбор пользователей и групп» (Browse for Groups or Users) введите заголовок «Права владельца» (Owner Rights) и нажмите «OK»; • присвойте строке «Права владельца» право изменять файл (Modify), но не давайте прав полного управления (Full Control); • нажмите «OK», чтобы закрыть окно свойств объекта.
Теперь если владелец объекта попытается изменить права доступа к файлу, произойдет одно из двух. В зависимости от операционной системы и прав пользователя, сведения о правах доступа к файлу могут быть заблокированы или при попытке изменить эти права появится сообщение «доступ запрещен».
Что происходит, если владелец не может изменить права доступа к файлу?
В Windows Server 2008 эта проблема решается следующим способом. Случайно лишить себя возможности изменять права доступа к объекту может любой пользователь, даже администратор. Но пользователи, входящие в группу администраторов, могут восстановить права владения файлом для группы администраторов домена, позволив любому члену этой группы (включая первоначального владельца) изменять эти права.
Даже если пользователь, входящий в группу администраторов, лишится возможности изменять права доступа к данному объекту или просматривать его, оставшиеся у него права позволят исправить эту ошибку.
Новая функция позволяет более эффективно согласовать корпоративную политику и политику информационной безопасности, делая работу с правами доступа удобнее для всех пользователей.
