Групповая настройка прав доступа. Кому назначаются права доступа

После проделанной подготовительной работы можно приступить к изучению работы с правами файлов в NTFS . Для этого следует:

Выбрать любой файл или папку;

Щелчком правой кнопкой мыши вызвать контекстное меню;

В контекстном меню выбрать режим Свойства ;

Открыть вкладку Безопасность ;

Откроется окно безопасности файла или папки (рис.1.8.).

В открывшейся вкладке видно, каким группам пользователей и какой именно доступ разрешен. В операционной системе и, в частности, ее файловой системе, действует пра­вило: к файловому объекту имеют доступ только перечисленные пользовате­ли, в соответствии с указанными им правами.

В новейших операционных системах действует более глобальное правило: все, что явно не разрешено – запрещено. В соответствии с этим, любой пользователь, не принадлежащий к группе пользователей, указанных во вкладке Безопасность получит отказ при доступе к папке C:\Windows . В старых ОС линейки Windows 9x считалось, что запрещено только то, что явным образом запрещено – любой объ­ект, который не имеет явного запрета в использовании, является доступным.

Рисунок 1.8. Окно свойств безопасности папки

В старых ОС это означает, что каждый раз при создании какого-либо объекта пользова­тель должен сам вручную прописывать доступ, который к нему запре­щен. Если пользователю нужно часто создавать новые объекты, то невозможно сразу на всех поставить корректные права доступа (или можно забыть запретить дос­туп другим пользователям). В этом случае как минимум, несколько минут или даже часов на таких файлах бу­дет оставаться доступ для всех пользователей, т.е. с такого компьютера любой человек или программа может скопировать любую ин­формацию или даже стереть ОС, если такая возмож­ность не была заранее закрыта пользователем или системным администра­тором. Данную ситуацию используют вирусы, которые могут получить полный контроль над ОС, файлами, личной информацией.

Благодаря введению новой политики безопасности Microsoft удалось не только сократить число краж информации пользователей, но и значительно сократить число вирусов и троянских программ. Однако, даже в этом случае, любые попытки фирмы разработчика уберечь от утраты информации могут окончиться ничем, если пользователь будет работать под правами Администратора ОС. Пользователь, при­надлежащий к группе системных администраторов имеет все права и ситуация становится аналогичной ситуации в линейке ОС Windows 9x . Поэтому рекомендуется работать в системе под правами обычного пользователя группы Users .

В окне свойств системы безопасности (рис.1.8.) находятся следующие группы пользователей: SYSTEM , Администраторы , Опытные пользователи, Пользователи , СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ . В эти группы входят также специфические возможности файловой системы или группы, от имени которых работает ОС или определенные программы и сервисы. К числу последних групп принадлежит группа SYSTEM, от имени которой выступает ОС Windows ХР .

Случается когда доступ для ОС к какому-либо объекту или к папке закрывается, например, из-за того, что группа SYSTEM была удалена из свойств папок по причине активности вирусов. Если папка содержит файлы пользователя, то он может получить невозможность доступа к ней, а если папка является системной, то Windows может перестать функционировать корректно.

Это связано с тем, что при запуске программы или файла управление передается ОС, после чего она выполняет инструкцию пользователя. Если ОС доступ закрыт, то она откажется выполнить запрос пользователя, особенно, если был дан запрет на папку, в которой находится сама ОС, в этом случае система не загрузится. Для того чтобы восстановить группу SYSTEM в ее свойствах и реанимировать ОС, можно загрузиться с другой ОС Windows XP . При этом следует учесть, что если обновления, поставленные на другую ОС, будут отличаться от тех, которые стояли на данной системе, то возможны различные проблемы.

Однако если на не желающей загружаться ОС стоят более ранние обновления, чем на ОС, которая используется для восстановления, то проблем быть не должно. Это связано с тем, что выполняется условие обратной совместимости, поддерживаемое компанией Microsoft во всех ее продуктах линейки Windows NT . Пользователь получит доступ ко всем файлам, включая сжатые, исключением являются только за­шифрованные данные. Если необходимо получить доступ к ним, то нужно иметь специальную криптографическую информацию, кото­рую необходимо передать новой ОС. После того как была произведена загрузка с другой ОС Windows XP , необходимо дать команду на добавление доступа к этой папке группы SYSTEM . После перезагрузки в оригинальной ОС, можно провести окончательную проверку или настройку.

Случай гораздо проще, если был запрещен доступ группы SYSTEM к пользовательской папке. Для устранения этой проблемы доста­точно обеспечить наследование прав от папки уровнем выше, а по­том дать системе команду, из того же окна наследования прав, на замеще­ние предыдущих свойств наследуемыми свойствами.

Вторая специфическая группа: СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ представ­ляет собой специальную запись, в которую помещается идентификатор поль­зователя, который является владельцем этого объекта файловой системы, в случае наследования прав. По аналогии с этим, ГРУППА-СОЗДАТЕЛЬ представляет собой запись группы, в которую помещается первичная группа пользователя, который является владельцем этого объекта файловой систе­мы в случае наследования прав.

Остальными группами, имеющими доступ, являются: Администратор , Опытный пользователь , Пользователь , что означает наличие доступа у админи­страторов системы, опытных пользователей и простых пользователей, соот­ветственно. В ОС все или почти все пользователи должны входить в состав группы Пользователи (Users ), в крайнем случае, можно присвоить права группы Опытный пользователь (Power Users ), но никогда не следует давать права группы Администратор (Administrators ).

Для группы Пользователи имеется ряд прав, помеченных флажком для работы с папкой Windows (рис.1.9.). Поля: Разрешить и Запретить означают разрешен ли доступ или запрещен, соответственно, в зависимости от того, в каком столбце стоит флажок для данного права доступа объекта. В зависимости от установленных прав определяется, может пользователь совершать операцию или нет. Пользователь может сам менять права расстановкой/отменой флажка. Если флажки неактивны (темный цвет флажкового поля) и пользователь не может вносить изменения, то, следовательно, у него недостаточно прав на опера­цию.

Рисунок 1.9. Права группы Пользователи

Разрешения для пользователя (рис.1.9.):

- полный доступ – пользователь, принадлежащий к указанной группе, может выполнять любые операции над папкой;

- изменить – означает возможность модификации файлов или папки, в за­висимости от того, чем является защищаемый объект;

- чтение и выполнение – возможность чтения и исполнения файлов папки;

- список содержимого папки – доступ к списку содержимого папки;

- чтение – доступ на чтение содержимого папки;

- запись – разрешение на запись означает возможность, изменять или создавать новые файлы, а если такое право доступа стоит для одного файла, то и возможность записи в него группе пользователей или одному пользователю, для которого рядом с этим правом доступа стоит флажок;

- особые разрешения – используются для уточнения набора прав, которым может обладать пользо­ватель, для их редактирования следует нажать кнопку Дополнительно , выбрать из списка требуемого пользователя, а потом нажать кнопку Изменить .

Администраторы имеют полные права на доступ к системной папке Windows . Аналогичные пра­ва имеет и пользователь SYSTEM , так как от его имени работает сама ОС Windows XP (рис.1.10.).

Рисунок 1.10. Права группы System

Права пользователей группы Опытные пользователи отличаются от прав групп System и Администратор только отсутствием пункта Полный доступ .

С объектом разграничения доступа связывается дескриптор безопасности SD (security descriptor), содержащий следующую информацию:

o идентификатор безопасности (SID) владельца объекта;

o идентификатор безопасности первичной группы владельца;

o дискреционный список контроля доступа (discretionary access control list, DACL);

o системный список контроля доступа (system access control list, SACL).

Списки управления доступом

o Список SACL управляется администратором системы и предназначен для аудита безопасности.

o Список DACL управляется владельцем объекта и предназначен для идентификации пользователей и групп, которым предоставлен или запрещен определенный тип доступа к объекту.

Элементы списков управления доступом

Каждый элемент списка DACL (access control entry, ACE) определяет права доступа к объекту одному пользователю или группе. Каждый ACE содержит следующую информацию:

o идентификатор безопасности SID субъекта, для которого определяются права доступа;

o маска доступа (access mask, AM), которая специфицирует контролируемые данным ACE права доступа;

o признак наследования прав доступа к объекту, определенных для родительского объекта.

Элементы списка DACL могут быть двух типов – элементы, запрещающие определенные в них права доступа (Access-allowed ACE), и элементы, запрещающие определенные в них права доступа (Access-denied ACE). Элементы для запрещения субъектам использования определенных прав доступа должны размещаться в «голове» списка, до первого из элементов, разрешающих использование субъектом тех или иных прав доступа.

Права доступа (разрешения)

o В операционной системе Windows различаются специальные, стандартные и общие (родовые, generic) права доступа к объектам. Специальные права доступа определяют возможность обращения к объекту по свойственному только данной категории объектов методу – чтение данных из объекта, запись данных в объект, чтение атрибутов объекта, выполнение программного файла и т.д.

o Стандартные права доступа определяют возможность доступа к объекту по методу, применимому к любому объекту, – изменение владельца объекта, изменение списка DACL объекта, удаление объекта и т.д.

Права доступа (разрешения)

Каждое из общих прав доступа представляет собой комбинацию специальных и стандартных прав и предоставляет возможность обращения к объекту с помощью некоторого набора методов доступа. Примеры общих прав доступа:

o чтение , включающее в себя чтение DACL объекта, чтение данных из объекта, чтение его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

o запись , включающая в себя чтение DACL объекта, запись и добавление данных в объект, запись его атрибутов и расширенных атрибутов, использование объекта для синхронизации;

o выполнение , включающее в себя чтение DACL объекта, чтение его атрибутов, выполнение программного файла и использование объекта для синхронизации.

Разграничение доступа к объектам

Маркер доступа субъекта, обращающегося к некоторому объекту, поступает в локальную службу безопасности LSA. От LSA маркер доступа поступает к монитору безопасных ссылок (security reference monitor, SRM), который просматривает DACL из дескриптора безопасности SD соответствующего объекта и принимает решение R о предоставлении доступа субъекту или отказе в доступе. Получив от SRM результат R, LSA передает его субъекту, запросившему доступ к объекту.

Алгоритм проверки прав доступа к объекту

1. Если SID из маркера доступа субъекта AT не совпадает с SID, содержащемся в элементе ACE списка контроля доступа к объекту, то осуществляется переход к следующему ACE, иначе переход к п. 2.

2. Если в элементе ACE запрещается доступ к объекту для субъекта с данным SID, но этот субъект является владельцем объекта и запрашиваемая маска доступа содержит только попытку доступа к объекту по методу «чтение (или) изменение дискреционного списка контроля доступа к объекту» (чтение или смена разрешений, запись DAC), то доступ субъекта к объекту разрешается, иначе осуществляется переход к п.3.

3. Если в элементе ACE запрещается доступ к объекту для субъекта с данным SID, то сравниваются запрашиваемая маска доступа и маска доступа, определенная в ACE. Если при сравнении находится хотя бы один общий метод доступа, то попытка доступа субъекта к объекту отклоняется, иначе происходит переход к следующему ACE.

4. Если в элементе ACE разрешается доступ к объекту для субъекта с данным SID, то также сравниваются запрашиваемая маска доступа и маска доступа, определенная в ACE. Если при этом маски доступа полностью совпадают, то доступ субъекта к объекту разрешается, иначе происходит переход к следующему ACE.

5. Если достигнут конец списка DACL из дескриптора безопасности объекта, то попытка доступа субъекта к объекту отклоняется.

Следствия из рассмотренного алгоритма

o Если DACL объекта пуст, то любой доступ к нему запрещен всем субъектам, за исключением владельца объекта, которому разрешены чтение и (или) изменение списка контроля доступа к объекту.

o Если у объекта нет дескриптора безопасности (например, у папок и файлов, размещенных на дисках под управлением файловой системы FAT), то любые пользователи и группы могут получить любые права доступа к данному объекту.

С каждым объектом, который находится в ведении Mac OS X, связан опреде­ленный набор прав доступа (в unix-среде используется термин привилегии до­ступа), который полностью определяет, кто является владельцем этот объекта и что с ним могут делать разные пользователи.

Эти права можно просмотреть в окне свойств объекта – команда Файл>>Свойства , раздел Общий доступ и права доступа.

Кому назначаются права доступа

В окне свойств объекта, в колонке Имя указаны пользователи или точнее, ка­тегории пользователей, которые обладают какими-то специфическими права­ми на этот объект: зарегистрированный пользователь обозначен силуэтом одного человека, группа – два силуэта и все остальные – три силуэта. Рассмо­трим их подробнее.

Зарегистрированный пользователь . По умолчанию первым таким пользо­вателем указан владелец - тот, кто создал этот объект. Им может быть любой зарегистрированный пользователь или root (в Finder root фигурирует под име­нем system).

Группа . В окне свойств обычно указывается ее имя, в нашем примере это staff. Само понятие группы используется для того, чтобы так-то отделить от «всех остальных» некий определенный круг людей, которым нужно дать осо­бые права доступа к этому объекту.

Например, если речь идет о каком-то важном документе в пределах организа­ции, - скажем, рабочем расписании, - то доступ к нему с правом чтения могут иметь все сотрудники этой структуры, а право изменять его - только строго определенный круг лиц. Администратор, определяющий привилегии доступа к этому файлу, объединит людей, имеющих право вносить коррективы в файл, в отдельную группу и даст ей нужные права.

В Mac OS по умолчанию заданы и используются такие группы: Admin - все зарегистрированные администраторы, и в том числе tool, Wheel - все зареги­стрированные системные администраторы, по умолчанию это только root, и Staff – все зарегистрированные пользователи и root, группы можно создавать в панели Учетные зашей в Системных настредтках.

Остальные (everyone) – это все иные пользователи, которые не являются владельцами этого элемента и не входят в группу, обладающую особыми права­ми по отношению к этому объекту.

Какие бывают права доступа

Что касается прав, связанных с определенным объектом, то в Finder вы сможе­те задать такие из них:

Только чтение обозначает, что пользователь может, если это файл, откры­вать его, а если папка – открывать и копировать ее содержимое. Обычно такие права имеют документы и папки, предназначенные лишь для просмотра. Поль­зователь с правом «только чтение» не сможет как-то изменять или удалять эти объекты. Визуальным обозначением папки, содержимое которой вы не можете изме­нять, служит значок «перечеркнутый карандаш», который появляется В левом нижнем углу окна Finder.

Только запись (почтовый ящик) обозначает, что пользователь может со­хранять в этой папке свои файлы. При этом если в паре с пей не идет право «чтение», то он. даже не сможет видеть, что находится внутри этой папки. По­лучается такой «черный ящик», в который можно только что-либо бросить.

Чтение и запись – пользователь имеет все права: он может- и открывать этот элемент, и изменять его, и удалять. Обычно такие права доступа имеют создан­ные вами папки и документы.

Нет доступа – полное отсутствие каких-либо прав по отношению к этому объекту. Пользователь сможет только видеть его иконку – и все. Так, если вы откроете личную папку другого пользователя, то папки, которые вы не можете открывать, будут обозначены дорожным знаком «Проезд запрещен».

Настройка прав доступа к объекту

Когда вы создадите в своей личной папке новую папку или сохраните сюда соб­ственный файл, этот объект получит такие права доступа: владелец имеет все права – может и записывать в нее файлы, и открывать содержащиеся объекты; члены группы staff (то есть зарегистрированные пользователи), могут просматривать ее содержимое; все остальные (то есть те, кто подключился к вашему Маку с гостевыми правами) - тоже просматривать ее содержимое.

Как видите, права, которые получает каждая создаваемая вами папка, очень демократичны (они существенно отличаются от предустановленных папок - к ним имеете доступ только вы, как владелец). Если вы не хотели бы, чтобы каж­дый пользователь вашего компьютера имел доступ ко всей информации в этой папке, обязательно отредактируйте связанные с ней права.

В окне выбора пользователей и групп есть объект Адресная книга. Выделив его, вы получите доступ к списку людей, чьи контакты хранятся в вашей Адресной книге. Пользователи, которых вы. добавите туда, будут автоматически регистрироваться па вашем Маке только для сетевого доступа.

Пользователи или группы, которые в окне свойств находятся в верхней части списка пользователей, имеют преимущество перед нижними. Например, если вы добавите в список группу kids и дадите им права чтения и записи, то они уже не будут ограничены правами группы staff, хоть и будут входить в ее число.

Учтите, что свободно изменять права доступа к объектам могут только админи­страторы. Если обычный пользователь, например, попробует «чужой» документ сделать «своим», ему придется ввести пароль администратора.

Групповая настройка прав доступа

Как быть, если необходимо изменить права доступа к нескольким объектам? Конечно, вам не придется перебирать их по одному. Есть несколько вариантов решения этой задачи.

Нужно изменить права доступа к нескольким объектам , которые находятся в одной папке, но не ко всему содержимому этой папки. Выделите нужные объ­екты. Это должны бьть однородные объекты, то есть, только файлы или толь­ко папки. Дальше, удерживая нажатой клавишу Alt, выберите Файл>Показать инспектор. Откроется общее окно свойств, в котором вы, развернув раздел Общий доступ и прав доступа, сможете изменить нрава доступа к всем вы­деленным объектам.

Нужно изменить права доступа к папке (диску) и всем объектам, которые на­ходятся внутри. Может случиться, что из-за ваших неправильных действий или некорректной работы каких-то программ были изменены права доступа к вашей личной папке или ее содержимому Это может повлиять на работу программ, хранящих свои файлы в вашей личной папке (например, Mail и Адресной кни­ги).

Если при попытке запустить такую программу вы получите сообигение, что «Программа не отвечает» или что-то в этом роде, проверьте, правильно ли за­даны привилегии доступа к папке -/Библиотеки/.

Вы должны быть единственным пользователем с правами чтения и записи. Все остальные должны иметь категорию «нет доступа».

Игнорировать права доступ на диске (томе) , В окне свойств незагрузочно­го диска, в разделе Общий доступ и пра&а доступа, есть опция Игнорировать владельцев в этом томе. Если она отключена, то есть права доступа на этом томе принимаются во внимание, вы можете столкнуться с ситуацией, что вам недоступны ваши же документы, которые находятся в старой личной папке (из которой вы давно «переехали»).

В таком случае включите Игнорировать владельцев в этом томе и спокойно открывайте все документы. Иногда для этого, может потребоваться перезагру­зить компьютер.

«Скорая помощь» для прав доступа

Советую очень осторожно относиться к изменению прав доступа, особенно к папкам, содержащим системные и программные компоненты. После некото­рых, казалось бы, совершенно безобидных изменений – например, запрещения всем остальным пользователям иметь доступ к системным папкам – возможна неправильная работа системы и остальных программ.

Поэтому лучше ограни­читься настройкой прав для своих собственных папок, которые вы хотели бы скрыть от всеобщего доступа.

Но не всегда положение дел с правами будет зависеть только от вас. Есть ряд ситуаций, после которых возможны изменения в правах доступа к системным компонентам, что чревато сбоями в работе системы и некоторых программ. Перечислим основные причины появления проблем с правами.

Установщики программ сторонних производителей могут некорректно уста­навливать права для своих папок и файлов, и даже для папки /Программы/, Симптомом таких нарушений становится появление вопросительного знака вместо иконок программ в Доке и, возможно, проблемы с подключением к Интернету.

Перезагрузившись с другого системного диска и включив опцию Игнориро­вать владельцев в этом томе, вы фактически получаете права суперпользова­теля по отношению ко всем файлам Mac OS X, которые находятся на жестком диске – можете переносить, удалять и изменять даже ее системные компонен­ты. Чтобы избежать дальнейших проблем в работе такой системы, лучше не вы­полнять никаких действий С незнакомыми элементами, даже не открывать их.

Решить проблемы в работе системы, связанные с неправильно установленны­ми правами, можно с помощью программы Дисковая утилита (/Программы/ Служебные программы/). В левом окне профаммы вылелите диск (или раздел диска), где находится «проблемная» Mac OS, в правом – откройте закладку Первая помощь (First Aid). Что можно сделать:

Проверить права доступа . Программа проверит, нет ли конфликтов в правах доступа на этом диске. Вы получите отчет о проверке, на основании которого сможете решить, нужно ли их исправлять или нет.

Восстановить права доступа . Если в ходе проверки прав доступа были обнаружены какие-то проблемы, можете попробовать их исправить. На сообщения типа «ACL обнаружен, но не ожидается», можно не обращать внимания. Наличие ACL не нарушает работы системных компонентов и Дисковая утилита их, как правило, не удаляет.

В Леопарде восстанавливать права доступа можно без перезагрузки с установочного диска, как того требовали предыдущие версии Mac OS. Права доступа ко всем компонентам операционной системы и программам Apple будут сброшены в состояние «по умолчанию». Программы Apple в процессе установки записывают информацию о своих компонентах в папку /Библиотеки/Receipts/. Эти данные дисковая утилита и использует для восстановления прав. Если содержимое папки со сведениями об этих пакетах было уничтожено, утилита восстановит только системные права.

Без изменений останутся программы сторонних производителей, и если они при установке изменяли права доступа к системному программному обеспечению, то после восстановления прав доступа могут работать некорректно.

Средства обмена данными между пользователями

До сих пор мы рассказывали как Mac OS защищает данные пользователей от постороннего доступа. Но есть множество ситуаций, когда наоборот - многие данные, такие как медиатека iTunes или фотоснимки iPhoto должны стать до­ступными всем пользователям одного Мака. Рассмотрим, какие есть средства организацгии обмена файлами всех зарегистрированных пользователей.

Папка Общий доступ . Находится в папке /Пользователи/. Информация вну­три этой папки доступна всем пользователям, – они могут копировать из нее существующие объекпл и записывать свои.

Папка Общие . Находится в вашей личной папке. Информация в этой папке доступна остальным пользователям только с правом чтения. Все могут могут открывать ее, просматривать файлы и что-либо из нее копировать.

Папка Почтовый ящик . Находится в папке -/Общие/). Только вы будете иметь к ней полный доступ. Все остальные могут в нее только что-либо запи­сывать, без права даже просматривать ее содержимое.

Итак, если вам нужно предоставить файл или папку для всеобщего пользования – поместите ее в папку /Пользователи/Общий доступ/. Только не спешите копировать туда свою медиатеку или фототеку. Чтобы разместить в ней файлы каких-то программ, лучше обратиться к справке этих программ – здесь могут быть нюансы относительно того, какие компоненты лучше туда скопировать и как остальным пользователям «подключиться» к общим данным. Но если музыкальные файлы или изображения хранятся у вас за пределами медиатеки или фототеки, можете смело переносить их в папку Общий доступ – они тут же станут доступными для всех пользователей.

Если хотите, чтобы все могли пользоваться вашими файлами, но не могли их удалять или добавлять свои - запишите эти файлы в папку -/Общие/. И, наконец, чтобы передать файл кому-либо лично, бросьте его в Почтовый ящик этого пользователя.

Вы также можете создавать и другие папки для обмена данными, назначая остальным пользователям соответствующие права доступа.

Назначение прав доступа к объектам базы данных для учетных записей, хранящихся в файле рабочей группы, выполняется в Access с помощью диалогового окна Разрешения (User and Group Permissions).

Чтобы открыть диалоговое окно для назначения прав доступа к объектам базы данных:

1. Откройте защищенную базу данных, подключив необходимый файл рабочей группы.
2. Зарегистрируйтесь с именем пользователя, обладающего административными правами.
3. Выберите команду Сервис, Защита, Разрешения (Tools, Security, User and Group Permissions). Появится диалоговое окно Разрешения (User and Group Permissions) (рис. 20.6).

В диалоговом окне Разрешения есть две вкладки: Разрешения (Permissions) и Смена владельца (Change Owner). Рассмотрим вкладку Разрешения. (О функциях второй вкладки рассказывается в разд. "Предоставление права на владение объектами базы данных" этой главы.) С помощью данной вкладки можно определить права доступа к конкретным объектам базы данных для конкретных пользователей и групп. В поле Пользователь (Current User) отображается имя пользователя, которое было применено для регистрации в момент открытия базы данных. В зависимости от того, обладает ли текущий пользователь административными правами или нет, ему будут позволены или запрещены просмотр и изменение прав доступа к объектам базы данных.

Рис. 20.6. Диалоговое окно Разрешения

Чтобы назначить права доступа к объектам базы данных конкретной группе:

1. На вкладке Разрешения выберите переключатель группы (Groups).
2. В списке Пользователи и группы (User/Group Name) отобразится список всех групп в рабочей группе. Выделите в этом списке группу, права доступа которой нужно изменить.
3. ОК.

Чтобы назначить права доступа к объектам базы данных конкретному пользователю:

1. На вкладке Разрешения выберите переключатель пользователи (Users).
2. В списке Пользователи и группы (User/Group Name) отобразится список всех пользователей в рабочей группе. Выделите в этом списке пользователя, права доступа которого нужно изменить.
3. Измените права доступа к объектам базы данных и нажмите кнопку ОК.

Чтобы назначить выбранному пользователю или группе права доступа к объекту базы данных:

1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (Таблица (Table), Запрос (Query), Форма (Form), Отчет (Report) или Макрос (Macro)).

Замечание

В списке имен объектов не будут отображаться скрытые объекты, если в диалоговом окне Параметры (Options) на вкладке Вид (View) не установлен флажок скрытые объекты (Hidden Objects), позволяющий отображать скрытые объекты.

1. В списке Имя объекта (Object Name) выделите имя объекта, права доступа к которому требуется изменить.
2. Чтобы предоставить определенный вид доступа, установите соответствующий флажок в группе Разрешения (Permissions). Чтобы запретить определенный вид доступа, сбросьте соответствующий флажок в этой группе.
3. Нажмите кнопку Применить (Apply) иначе при выборе другого пользователя, группы или другого объекта появится диалоговое окно, требующее подтверждения сделанных изменений. Чтобы подтвердить изменения, нажмите кнопку ОК.

Чтобы назначить пользователю или группе права доступа к базе данных:

1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите элемент База данных (Database).
2. В списке Имя объекта. (Object Name) отобразится элемент <Текущая база дан-ных> ().
3. Применить (Apply).

Чтобы назначить права доступа к создаваемым объектам базы данных, предоставляемые пользователю или группе:

1. На вкладке Разрешения в раскрывающемся списке Тип объекта (Object Type) выберите тип объекта (например, Форма (Form)).
2. В списке Имя объекта (Object Name) выделите элемент, обозначающий новые объекты заданного типа, права доступа к которым требуется изменить (например, <Новые формы> ()).
3. Установите необходимые разрешения и нажмите кнопку Применить (Apply).

Замечание

Установка или сброс флажков некоторых разрешений влечет установку или сброс других флажков разрешений, поскольку предоставление или отмена определенного вида доступа может привести к предоставлению или отмене другого вида доступа, связанного с измененным. Например, предоставление доступа к таблице вида Чтение данных (Read Data) влечет предоставление доступа Чтение макета (Read Design), а отмена доступа Обновление данных (Update Data) влечет отмену доступа Изменение макета (Modify Design).

Наиболее распространённый способ доступа пользователей к данным - доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

Права доступа к файловой системе NTFS позволяют определять уровень доступа пользователей к размещённым в сети, или локально на вашем компьютере Windows 7 файлам.

Права доступа - разрешение на выполнение операций с определённым объектом, например файлом. Права могут быть предоставлены владельцем или другим имеющим на это право пользователем. Как правило, это администраторы в системе. Если вы являетесь владельцем объекта, то можете предоставить права доступа к этому объекту любому пользователю или группе пользователей.

К каждому контейнеру и объекту в сети прилагается набор информации о контроле доступа к нему. Эта информация называемая дескриптором безопасности управляет типом доступа пользователям и группам. Права доступа, которые определены в дескрипторе безопасности объекта, связаны или назначаются конкретным пользователям и группам.

Права доступа к файлам и папкам определяют тип доступа, который предоставляется пользователю, группе или конкретному компьютеру на файл или папку. Например, можно позволить одному пользователю читать содержимое файла, другому вносить в него изменения, а всем остальным пользователям запретить доступ к файлу. Так же можно устанавливать права доступа к папкам.

Существует два уровня прав доступа:

• Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
• Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

Существует два типа доступа по NTFS:

• Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
• Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Права на наследование.

Существует два типа прав доступа:

• Прямые права доступа: если объект создаётся действием пользователя, доступ, установлен по умолчанию на не дочерние объекты.
• Унаследованный доступ: доступ распространяется на объект от родительского объекта. Наследованный доступ облегчает управление разрешениями и обеспечивает единообразие доступа для всех, находящихся в данном контейнере, объектов.

Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.

Также, не изменяя оригинального назначения доступом, можно установить разрешения на папки и файлы ниже начального пункта наследования. Это сделано для того, чтобы иметь возможность предоставить определённому пользователю или группе пользователей другой доступ к файлу, отличающийся от основного унаследованного доступа.

Существует три способа изменения унаследованного доступа:

• Внести изменения в родительской папке, а затем файлы или папки, унаследуют эти права доступа.
• Изменить доступ на противоположный (разрешить или запретить), чтобы отменить унаследованный доступ.
• Выбрать "не наследовать права доступа от родительского объекта", а затем внести изменения в права или удалить группу или пользователя из списка прав доступа к файлу или папке.

В большинстве случаев, если папка наследует конфликтующие параметры от разных родителей, команда "Запретить" переопределяет команду "Разрешить". В этом случае, ближайший к объекту в поддереве наследуемый от родительского элемента параметр, будет иметь приоритет.

Дочерними объектами наследуются только наследуемые права доступа. Когда установлены права доступа к родительскому объекту, в дополнительных настройках безопасности вам нужно установить, могут ли папки или подпапки их наследовать.

Примечание: Если объект имеет прямое право - "Разрешить", запрет на унаследованное право доступа не препятствует доступу к объекту. Прямые права доступа имеют приоритет над унаследованными правами, даже над унаследованным запретом.

Блокировка наследуемых прав доступа.

После установки прав доступа на родительскую папку, созданные в ней новые файлы и папки, наследуют эти права. Для ограничения доступа к этим файлам и папкам наследование прав доступа может быть заблокировано. Например, все пользователи бухгалтерии могут иметь права на папку УЧЕТА "Изменить". На подпапке ЗАРАБОТНАЯ ПЛАТА, наследуемые права доступа могут быть заблокированы, и предоставлены только некоторым определённым пользователям.

Примечание: Когда наследованные права доступа заблокированы, есть возможность скопировать существующие права, либо создать новые. Копирование существующих прав доступа упрощает процесс настройки ограничений для определённой группы или пользователя.