A megosztás- és fájlszintű jogosultságok
Kísérletünkben a fájl- és megosztásszintű jogosultságok egymásra hatását vizsgáljuk egy megosztott mappában végzett fájlműveletek segítségével.
A felhasználónak egy mappában található fájlokra különböző jogosultságokat kell beállítania, majd meg kell osztania a mappát. Ezt követően a felhasználó különböző felhasználói neveken bejelentkezve megpróbál fájlműveleteket végrehajtani.
A kísérlethez szükséges két helyi hálózatra kapcsolt, Windows XP operációs rendszerrel telepített számítógép.
A kísérletben szereplő lépések végrehajtásához mindkét számítógépen rendszergazda jogosultsággal kell rendelkeznünk.
Előkészületek
Nevezzük ki a számítógépeket 'A' és 'B' számítógépnek!
Jelentkezzünk be rendszergazdaként mindkét számítógépbe.
Hozzuk létre az alábbi felhasználókat mindkét számítógépen! (A felhasználók létrehozásakor kapcsoljuk ki A következő bejelentkezéskor meg kell változtatni a jelszót jelölőnégyzetet!)
Felhasználó név | Jelszó |
Teszt1 | Password1 |
Teszt2 | Password2 |
Teszt3 | Password3 |
Hozzuk létre az alábbi csoportokat A számítógépen:
Csoport név | Tagok |
TesztCsoport1 | Teszt1 |
TesztCsoport2 | Teszt2 |
Ellenőrizzük, hogy 'A' számítógépen a Windows egyszerűsített fájlmegosztás funkciója kikapcsolt állapotban van-e! Ehhez nyissuk meg a Sajátgép ablakát, és jelenítsük meg a Mappa beállításai párbeszéd panelt az Eszközök menü Mappa beállításai parancsára. Válasszuk a Nézet fület és szükség szerint kapcsoljuk ki az Egyszerű fájlmegosztás használata jelölőnégyzetet.
A fájl és mappaszintű jogosultságok beállítását és módosítását a továbbiakban mindig 'A' számítógépen végezzük el!
A kísérlet lépései
Hozzunk létre egy mappát a C: meghajtó főkönyvtárában TesztMegosztas néven.
Első lépésben a mappához minden felhasználónak teljeskörű fájlszintű hozzáférést fogunk biztosítani.
Kattintsunk a mappa nevére az egér jobb gombjával, majd a megjelenő gyorsmenüben válasszuk a Tulajdonságok parancsot. A TesztMegosztas tulajdonságai panelen válasszuk a Biztonság fület. Az C: meghajtóról örökölt alapértelmezett jogosultságok eltávolításához kattintsunk a Speciális gombra és kapcsoljuk ki az Örökölt engedélyek alkalmazása jelölőnégyzetet. A megjelenő panelen válasszuk az Eltávolítás gombot. Zárjuk be a TesztMegosztas - Speciális biztonsági beállítások panelt az OK gombbal, majd a megjelenő figyelmeztető panelen kattintsunk az Igen gombra. Ezzel visszatértünk a TesztMegosztas tulajdonságai panelre.
Ezt követően adjunk a mappához Teljes hozzáférés jogkört a helyi Rendszergazdák csoport számára, és Módosítás jogkört Mindenki csoport számára.
Kattintsunk az Alkalmaz gombra és térjünk át a Megosztás fülre a mappa megosztásának beállításához. A Megosztás fülön válasszuk a Megosztva az alábbi néven rádiógombot és a Megosztási név rovatban hagyjuk meg az alapértelmezésben felkínált TesztMegosztas nevet. Az Engedélyek gombra kattintva adjunk Módosítás jogkört a Mindenki csoport számára.
Ellenőrizzük a beállított jogosultságokat! Jelentkezzünk be 'B' számítógépen Teszt1 felhasználóként és az A számítógép megosztott mappájában hozzunk létre egy új mappát Teszt1M néven. Ismételjük meg a műveletet Teszt2 és teszt Teszt3 felhasználókkal is, egy Teszt2M és egy Teszt3M létrehozásával. Jelentkezzünk ki 'B' számítógépből.
Próbáljuk ki, milyen jogkör érvényesül abban az esetben, ha egy felhasználó több csoportnak is tagja, és az adott csoportok megosztás szinten eltérő jogosultságokkal rendelkeznek. Módosítsuk A számítógépen a megosztott mappa megosztás szintű jogosultságait (Megosztás fül) úgy, hogy a Mindenki csoportot eltávolítjuk a felhasználók listájáról, helyette pedig felvesszük a TesztCsoport1-et Olvasás, és a TesztCsopor2-t Módosítás jogkörrel.
Jelentkezzünk be 'B' számítógépen Teszt1 felhasználóként és kíséreljük meg a Teszt1M mappa törlését! A Teszt1M mappa törlése sikertelen, mert a Teszt1 felhasználó a TesztCsoport1 tagja, és így csak olvasási jogkörrel rendelkezik a megosztott mappában. Most jelentkezzünk be Teszt3 felhasználóként és kíséreljük meg a Teszt3M mappa törlését! A Teszt3M mappa törlése sikeres, mert a Teszt3 felhasználó a TesztCsoport2 tagja, és így rendelkezik módosítási jogkörrel. Végül jelentkezzünk Teszt2 felhasználóként, aki mindkét csoport tagja, és kíséreljük meg a Teszt2M mappa törlését! A Teszt2M mappa törlése ismét sikeres. Megállapíthatjuk, hogy a felhasználó a megosztásszinten számára beállított jogkörök közül a bővebb jogkört kapta meg. Amennyiben ugyanezen jogköröket nem megosztás, hanem fájlszinten állítottuk volna be, ugyanezt az eredményt kaptuk volna. Jelentkezzünk ki B számítógépből!
Próbáljuk ki, mi történik, ha engedély helyett tiltást léptetünk életbe! Módosítsuk a TesztCsoport2 jogosultságait úgy, hogy megtagadjuk az olvasási jogát a mappában. Jelentkezzünk be 'B' számítógépbe Teszt2 felhasználóként és kíséreljük meg a TesztMegosztas mappa tartalmának megtekintését! A művelet sikertelen, mert a közvetlen tiltás mindig magasabb prioritású, mint az azonos erőforráson beállított engedély. Jelentkezzünk ki 'B' számítógépből!
Próbáljuk ki, mi történik, ha egy felhasználó fájl és megosztás szinten eltérő jogosultságokkal rendelkezik! Állítsuk vissza a TesztCsoport2 Módosítás jogkörét megosztás szinten. Módosítsuk a felhasználók fájlszintű jogköreit (Biztonság fül), úgy hogy a Mindenki csoportot eltávolítjuk a listáról, helyette felvesszük a TesztCsoport1 és TesztCsoport2 csoportokat, Olvasási jogkörrel. Jelentkezzünk be 'B' számítógépbe Teszt3 felhasználóként. A felhasználó megosztás szinten Módosítás, fájl szinten Olvasás jogkörrel rendelkezik. Kíséreljünk meg egy új mappát létrehozni vagy egy létező mappát törölni a megosztott mappában! A művelet sikertelen, mert az effektív jogosultságok a fájlszintű és a mappaszintű jogosultságok metszetéből adódnak.
Következtetések
Amikor egy felhasználó egy megosztott erőforrást használ, az azonos (mappa- vagy fájl-) szinten adott engedélyek összeadódnak, és az így kapott bővebb jogosultság érvényesül. Amennyiben a fájl- és mappaszinten beállított jogkörök eltérőek, ezek metszete, azaz a szűkebb jogosultságok lépnek érvénybe. A közvetlen tiltás magasabb prioritású engedélyeknél, ezért egy erőforrásra beállított engedély és tiltás esetén mindig a tiltás lép érvénybe.