Разрешения и дескрипторы безопасности

Каждому контейнеру или объекту назначен набор сведений управления доступом. Этот набор данных, называемый дескриптором безопасности, определяет, какой тип доступа разрешается пользователям и группам. Дескриптор безопасности создается автоматически вместе с контейнером или объектом. Типичным примером объекта с дескриптором безопасности является файл.

Разрешения определяются в дескрипторе безопасности объекта. Разрешения ставятся в соответствие, или назначаются, конкретным пользователям или группам. Например, встроенной группе «Администраторы» могут быть назначены разрешения на чтение, запись и удаление файла temp.dat, а группе «Операторы архива» - только на чтение и запись.

Каждое назначение разрешений пользователю или группе представлено в системе как запись управления доступом (ACE). Весь комплект элементов разрешений в дескрипторе безопасности называется набором разрешений, или таблицей управления доступом (ACL). Так, набор разрешений для файла Temp.dat включает два элемента: один для встроенной группы «Администраторы», другой для группы «Операторы архива».

Явные и унаследованные разрешения

Существуют два типа разрешений: явные разрешения и унаследованные разрешения.

  • Явные разрешения устанавливаются по умолчанию на недочерние объекты при их создании или в результате действия пользователя на недочерние, родительские или дочерние объекты.

  • Унаследованные разрешения наследуются объектом от родительского объекта. Унаследованные разрешения облегчают управление разрешениями и обеспечивают единообразие разрешений всех объектов, находящихся в данном контейнере.

По умолчанию объекты наследуют разрешения контейнера, в котором они создаются. Например, если создать папку с именем «Моя папка», то все файлы и подпапки, создаваемые в этой папке, автоматически унаследуют ее разрешения. Таким образом, разрешения папки «Моя папка» являются явными, а разрешения для находящихся в ней файлов и подпапок - унаследованными.

Примечание

Унаследованные разрешения «Запретить» не запрещают доступ к объекту, если объект имеет явный элемент разрешения «Разрешить». Явные разрешения имеют приоритет над унаследованными разрешениями, включая наследуемые разрешения «Запретить».

Дополнительные ссылки


Содержание