מתארי הרשאות ואבטחה

לכל גורם מכיל ולכל אובייקט ברשת מצורפת ערכת מידע של בקרת גישה. מידע זה, הידוע כמתאר אבטחה, מפקח על סוג הגישה המורשית עבור משתמשים וקבוצות. מתאר האבטחה נוצר באופן אוטומטי עם היווצרות הגורם המכיל או האובייקט. דוגמה אופיינית לאובייקט עם מתאר אבטחה היא קובץ.

ההרשאות מוגדרות בתוך מתאר האבטחה של האובייקט. ההרשאות משויכות או מוקצות למשתמשים ולקבוצות ספציפיים. לדוגמה, עבור הקובץ Temp.dat, ייתכן שלקבוצה המוכללת Administrators, יוקצו הרשאות קריאה, כתיבה ומחיקה, בעוד שלקבוצה Backup Operators יוקצו הרשאות קריאה וכתיבה בלבד.

כל הקצאה של הרשאות למשתמש או לקבוצה מיוצגת במערכת כערך בקרת גישה (ACE). הקבוצה השלמה של ערכי ההרשאות במתאר אבטחה ידועה כערכת הרשאות או כרשימת בקרת גישה (ACL). לכן, עבור קובץ שנקרא Temp.dat, ערכת ההרשאות כוללת שני ערכי הרשאות, אחד עבור הקבוצה המוכללת Administrators ואחד עבור הקבוצה Backup Operators.

הרשאות מפורשות לעומת הרשאות שהתקבלו בירושה

קיימים שני סוגים של הרשאות: הרשאות מפורשות והרשאות המתקבלות בירושה.

  • הרשאות מפורשות הן אלו המוגדרות כברירת מחדל עבור אובייקטים שאינם צאצאים בעת היווצרות אובייקט, או באמצעות פעולת משתמש על אובייקטים שאינם צאצאים, אובייקטי אב או אובייקטי צאצא.

  • הרשאות שעברו בירושה הן ההרשאות המופצות לאובייקט מאובייקט אב. הרשאות שעברו בירושה מקלות על משימת ניהול ההרשאות ומבטיחות עקביות של הרשאות בכל האובייקטים הנמצאים בתוך גורם מכיל נתון.

כברירת מחדל, אובייקטים הנמצאים בתוך גורם מכיל, יורשים ממנו את ההרשאות בעת היווצרותם. לדוגמה, בעת יצירת תיקיה בשם MyFolder, כל תיקיות המשנה והקבצים שנוצרו בתוך MyFolder יורשים באופן אוטומטי את ההרשאות מהתיקיה. לכן, עבור התיקיה MyFolder, קיימות הרשאות מפורשות, בעוד שעבור כל תיקיות המשנה והקבצים בתוך התיקיה, קיימות הרשאות שעברו בירושה.

הערה

הרשאות דחייה שעברו בירושה לא מונעות גישה לאובייקט אם האובייקט כולל ערך הרשאת התרה מפורש. הרשאות מפורשות קודמות להרשאות שעברו בירושה, לרבות הרשאות דחייה שעברו בירושה.

חומר עזר נוסף


תוכן העניינים