Определение эффективного метода управления доступом

Управление доступом является неотъемлемой частью NDS и структуры файловой системы NetWare. Оно определяет, какие действия может произвести пользователь, и к каким ресурсам и информации можно получить доступ.

Эффективную структуру защиты создать легко, поскольку большинство необходимых прав автоматически присваивается при создании объектов Каталога.

Администраторы могут управлять пользователями и группами, которым необходим доступ к ресурсам, например, к данным и программам, находящимся в файлах и каталогах. Они также могут защитить от несанкционированного доступа все объекты на уровне сервера.

Управление доступом к объектам Каталога осуществляется при помощи следующих процедур, систем и функций:

Аутентификация

Когда клиент NetWare производит запрос на осуществление доступа к сети, например, при регистрации, сервер начинает процесс, называемый аутентификацей. При аутентификации клиентские запросы сертифицируются путем добавления к каждому запросу уникального кода. Этот уникальных код в дальнейшем используется для того, чтобы определять для каждого запроса следующую информацию.

Например, аутентификация происходит, когда пользователь делает запрос на регистрацию. NDS в ответ возвращает уникальный код, добавляемый к регистрационной информации пользователя (пароль, адрес рабочей станции и время). На основе контекста и регистрационного имени процедура аутентификации идентифицирует объект Пользователь на других серверах и проверяет его права на использование конкретных ресурсов.

Аутентификация дает возможность поддерживать в сети NetWare 4 единую регистрацию для всех серверов сети.

Аутентификация позволяет зарегистрированному в сети пользователю получать доступ ко всем сетевым ресурсам, на которые у него имеются права. Если пользователь обладает недостаточными правами, доступ запрещается. При аутентификации проверяются права пользователя как на ресурсы Каталога, так и на ресурсы файловой системы.

Защита NDS и файловой системы

NetWare 4 поддерживает два отдельных вида защиты - для дерева Каталога и для файловой системы.

Защита NDS воздействует на управление деревом Каталога и входящими в него объектами. Защита этого типа используется для управления объектами Каталога и их свойствами, например, для доступа к свойствам объектов Каталога, процедурам регистрации и т.д.

Защита файловой системы NetWare влияет на то, как объекты Каталога получают доступ к расположенным на сетевых томах файлам и каталогам. Защита этого типа обеспечивает управление прикладными программами и файлами данных, хранящимися на сетевых серверах.

Защита файловой системы в NetWare 4 осталась практически такой же, что и в предыдущих версиях NetWare. Для поддержки таких функций, как сжатие данных и миграция данных, было добавлено несколько новых атрибутов.

Защита NDS и защита файловой системы основаны на одних и тех же принципах, но работают независимо друг от друга. Это позволяет управлять сетевыми ресурсами и данными вместе или по отдельности.

Общими принципами защиты NDS и файловой системы являются.

Назначения опекунов

Назначение опекунов определяет, какой уровень доступа имеют объекты Каталога к другим объектам Каталога и их свойствам, а также к файлам и каталогам файловой системы. Эти назначения делаются при помощи явного назначения прав на объекты Каталога и их свойства, файлы и каталоги файловой системы.

Некоторые назначения опекунов делаются автоматически при инсталляции и при создании определенных объектов, например, объектов Пользователь и Сервер NetWare. Чтобы получить дополнительную информацию, см. "Назначения опекунов по умолчанию".

Эти назначения имеют следующие характеристики.

Наследование

Поскольку дерево Каталога и файловая система являются древовидными иерархическими структурами, присвоенные дереву Каталога или файловой системе права распространяются вниз по дереву. Это называется наследованием. Наследование позволяет правам, назначенным на верхних уровнях дерева или файловой системы, распространяться вниз на подчиненные уровни. Права, полученные от более высоких уровней, называются наследуемыми правами. Наследуемые права распространяются вниз по дереву, не требуя дополнительных назначений опекунов.

Фильтр наследуемых прав

Наследуемые права контролируются путем блокировки отдельных прав при помощи фильтра наследуемых прав (IRF).

В дереве Каталога объекты автоматически получают, или наследуют, права, назначенные их родительским объектам. IRF используется для частичной или полной блокировки наследования прав подчиненными объектами.

Однако важно помнить, что предоставлять права при помощи IRF нельзя. IRF может лишь блокировать права, присвоенные объектам, расположенным на более высоких уровнях дерева. Тем не менее IRF можно активизировать для всех файлов, каталогов, объектов Каталога и свойств объектов.

Право Супервизор для объектов и их свойств можно заблокировать при помощи IRF. Однако право Супервизор для файлов и каталогов при помощи IRF заблокировать нельзя.

Эквивалентность по правам

Эквивалентность по правам дает возможность присваивать права при посредстве ассоциации. Это означает, что объект может получить права, будучи связан с другими объектами, например, контейнерами, группами или организационными функциями.

Эквивалентность по правам позволяет объекту стать эквивалентным по правам другому объекту. Каждый объект по умолчанию является эквивалентным по правам объекту [Root] и опекуну объекта [Public]. Это гарантирует, что все объекты смогут производить поиск и перемещаться по дереву Каталога.

Эквивалентность по правам распространяется вниз по дереву вне зависимости от назначений опекунов. Поэтому права, присвоенные объекту, не влияют на права, приобретенные при помощи эквивалентности по правам. Например, объект Пользователь может быть сделан эквивалентным по правам объекту Группа, обладающему правом Супервизор на все объекты дерева. Любые явно присвоенные данному объекту Пользователь права в конкретном объекте Подразделение не повлияют на права, полученные при помощи эквивалентности по правам.

Подразумеваемая эквивалентность по правам

Каждый объект является эквивалентным по правам всем объектам, представляющим собой часть его полного имени (характерного имени). Это свойство называется подразумеваемой эквивалентностью по правам.

Подразумеваемая эквивалентность по правам является характеристикой схемы Каталога и не может модифицироваться. Поэтому подразумеваемую эквивалентность по правам нельзя просматривать при помощи утилит NetWare.

Эквивалентность по правам не обладает транзитивностью. Например, объект Пользователь, эквивалентный по правам объекту ADMIN, получает эквивалентность по правам, которую объект ADMIN может иметь для других объектов.

Эквивалентность по правам и наследование

Эквивалентность по правам отличается от наследования тем, что наследование позволяет правам распространяться вниз по дереву от родительских объектов к дочерним, пока права не будут заблокированы при помощи IRF. Эквивалентность по правам действует лишь на те права, которые были явно предоставлены объектам, поддерживающим это свойство.

Следует помнить, что наследование можно заблокировать при помощи IRF, тогда как эквивалентность по правам и назначения опекунов заблокировать нельзя. Эквивалентность по правам и назначения опекунов должны предоставляться и отменяться явным образом.

Это важно понять, поскольку все объекты в контейнере Подразделение автоматически являются эквивалентными по правам этому контейнеру. Включение IRF для объекта Подразделение не подействует на права, полученные от объекта Подразделение благодаря эквивалентности по правам.

Действующие права

Права, которыми обладает объект, зависят от сочетания явных назначений опекунов, наследования и IRF. Это сочетание определяет действующие права объекта.

Действующие права объекта контролируют его доступ к другим объектам и их свойствам. Эти права определяют, какие действия объект может производить на определенном уровне дерева Каталога или файловой системы.

Объект Пользователь может иметь явное назначение опекунов на уровне Организации, однако IRF может сильно повлиять на его права на более низком уровне объекта Подразделение. Это важно учитывать при определении действующих прав конкретного объекта.

Защита NDS

Доступ пользователя к конечным объектам и контейнерам после регистрации определяется структурой защиты NDS. Основой защиты NDS является список управления доступом (ACL).

ACL - это свойство каждого объекта Каталога. Оно определяет, кто может получать доступ к объекту (опекуны) и какие действия каждый опекун может производить (права).

Объекты, перечисленные в ACL какого-либо объекта, могут иметь различные права на свойства этого объекта. Например, если в ACL объекта Принтер перечислено десять пользователей, каждый из этих десяти пользователей может иметь различные права на данный объект и его свойства. Один пользователь может иметь право Чтение, другой - право Удаление и т.п.

Чтобы изменить уровень доступа опекуна к объекту, необходимо модифицировать элемент опекуна в ACL этого объекта. Назначения опекунов и фильтр наследуемых прав могут изменять только те опекуны, которые имеют право Запись на свойство ACL.

В ACL имеются два типа прав.

Иными словами, права на объект определяют, кто может получать доступ к объекту, и какие действия с этим объектом можно производить. Права на свойства уточняют область контроля доступом, определяя свойства объекта, к которым можно получить доступ.

Права на объект

Права на объект определяют, какие действия с данным объектом могут производить его опекуны. Права на объект контролируют объект как отдельный элемент дерева Каталога, но не предоставляют опекунам доступа к информации, хранящейся в свойствах объекта (если только у опекуна нет права Супервизор, включающего право Супервизор и на свойства объекта).

В приведенной ниже таблице перечислены права на объект, которые могут быть присвоены опекунам.

Право Описание
ПросмотрДает право видеть объект в дереве Каталога. Также позволяет пользователю, производящему поиск, видеть этот объект, если он удовлетворяет критериям поиска. (Это верно лишь при сравнении базового класса объекта или частичного имени, в остальных случаях требуется право Сравнение на свойства объекта).
СозданиеДает право создавать новый объект внутри объекта-контейнера в дереве Каталога. Это право применимо лишь к объектам-контейнерам, поскольку конечные объекты не могут включать в себя другие объекты.
УдалениеДает право удалять объект из дерева Каталога. Однако объект-контейнер не может быть удален, если перед этим не были удалены все содержащиеся в нем объекты.
Кроме того, для удаления объектов необходимо право Запись на все существующие свойства объекта.
ПереименованиеДает право изменять частичное имя объекта, то есть изменять свойство имени. Это приводит к изменению полного имени объекта.
СупервизорПредоставляет все права на объект и на все его свойства. Каждый, кто обладает правом Супервизор на какой-либо объект, может получить доступ ко всем свойствам этого объекта. Право Супервизор можно заблокировать при помощи фильтра наследуемых прав (IRF).

Права на свойства

Если права на объект дают вам возможность видеть объект, удалять объект, создавать новый объект и т.д., то только право Супервизор на свойства позволяет видеть информацию, хранящуюся в свойствах объекта.

Для просмотра хранящейся в свойствах объекта информации необходимо иметь нужные права на свойства. Права на свойства контролируют доступ к каждому свойству объекта.

Права на свойства относятся не к самим объектам Каталога, а лишь к их свойствам. NDS предоставляет вам гибкие возможности при решении вопроса о том, к какой из хранящейся в свойствах информации смогут получать доступ другие пользователи.

В приведенной ниже таблице описаны права на свойства, которые можно присвоить опекуну.

Право Описание
Добавление и Удаление себяПозволяет добавлять или удалять самого себя в качестве значения свойства, однако не дает возможности изменять другие значения свойства.
Это право используется только для тех свойств, где объект Пользователь может быть включен в список значений, например, для списков членов групп или списков рассылки.
Это право включается в право Запись, то есть, если право Запись предоставлено, то операции Добавление и Удаление себя тоже разрешены.
СравнениеПозволяет сравнивать любое значение со значением, хранящимся в свойстве. Результатом сравнения может быть Истина или Ложь, однако значения свойства получить нельзя.
ЧтениеПозволяет считывать значение свойства.
Это право также включает право Сравнение, то есть, если право Чтение предоставлено, операции сравнения тоже разрешены.
СупервизорПредоставляет все права на данное свойство. Право Супервизор можно заблокировать при помощи фильтра наследуемых прав (IRF).
ЗаписьПозволяет добавлять, изменять или удалять любые значения свойства.
Это право включает права Добавление и Удаление себя, то есть, если право Запись предоставлено, то операции Добавление и Удаление себя тоже разрешены.
Право Запись на свойство Список управления доступом - то же самое, что и право Супервизор на объект, то есть право предоставлять права.

Права на свойства могут быть назначены одним из двух следующих способов.

Защита файловой системы NetWare

Защита файловой системы NetWare действует на уровне сервера. На сервере содержатся тома, где хранятся каталоги, содержащие файлы. Защита файловой системы не пересекается со структурой защиты NDS.

Тем не менее доступ к файловой системе основан на тех же принципах, что и защита NDS. К этим основным принципам относятся назначения опекунов, наследование и эквивалентность по правам. Файловая система также использует фильтр наследуемых прав (IRF), участвующий в определении действующих прав.

NOTE: В предыдущих версиях NetWare IRF файловой системы назывался маской наследуемых прав (IRM).

Однако между защитой NDS и защитой файловой системы есть небольшие различия.

Права доступа к файловой системе

После того, как пользователь зарегистрировался в сети, доступ к файлам и каталогам определяется структурой защиты файловой системы NetWare. Основой защиты файловой системы NetWare является таблица элементов каталога (DET).

В DET хранится информация, связанная с доступом к каталогам и файлам. Она содержит информацию об именах файлов и каталогов на томе, а также свойства.

К примеру, элемент может содержать следующую информацию.

Для получения доступа к файлам и каталогам необходимо иметь достаточные права доступа к файловой системе.

В приведенной ниже таблице перечислено, какие права на файловую систему можно использовать в NetWare 4 при назначениях опекунов.

Право Дает возможность
Управление доступомДобавлять и удалять опекунов и изменять права на файлы и каталоги.
СозданиеСоздавать подкаталоги и файлы
УдалениеУдалять каталоги и файлы
Просмотр файлаПросматривать файл и имена каталогов в структуре файловой системы
ИзменениеПереименовывать файлы и каталоги и изменять атрибуты файлов
ЧтениеОткрывать и считывать файлы, а также открывать, считывать и выполнять приложения
СупервизорПредоставить все перечисленные здесь права
ЗаписьОткрывать, записывать и модифицировать файл

Есть три права, которые необходимо использовать осторожно.

Атрибуты файловой системы

Атрибуты файловой системы назначают права на отдельные каталоги и файлы. Некоторые атрибуты обладают смыслом, только в случае их применения на файловом уровне, другие применимы как на уровне файлов, так и на уровне каталогов.

При назначении атрибутов файлов и каталогов будьте внимательны. Атрибут применяется ко всем пользователям.

Например, если вы присвоите файлу атрибут Запрет стирания, то никто, даже владелец файла или администратор системы, не сможет удалить этот файл. Однако любой пользователь, имеющий право Изменение, сможет изменить этот атрибут и разрешить удаление.

В Табл. 8-1 перечислены и описаны права на файлы и каталоги, сохраняемые в таблице элементов каталога (DET).

Table 8-1. Атрибуты файлов и каталогов

Атрибут Описание Относится
AАтрибут Нужно архивировать указывает, что файл был модифицирован после того, как резервное копирование производилось в последний раз. Этот атрибут устанавливается автоматически.Только к файлам
CiАтрибут Копировать нельзя запрещает пользователям Macintosh копировать файл. Этот атрибут отменяет права опекунов Чтение и Просмотр файла.Только к файлам
CcАтрибут Нельзя сжать указывает, что файл нельзя сжимать в связи с тем, что это не приводит к выигрышу в объеме свободного пространства.Только к файлам
CoАтрибут Сжат указывает, что этот файл сжат.Только к файлам
DcАтрибут Не сжимать запрещает сжатие данных для всех файлов в каталоге или для отдельных файлов. Этот атрибут отменяет установки автоматического сжатия для файлов, доступ к которым не производился в течение указанного числа дней.К файлам и каталогам
DiАтрибут Запрет стирания указывает, что удалить данный файл или каталог нельзя. Этот атрибут отменяет право опекунов Удаление.К файлам и каталогам
DmАтрибут Не мигрировать запрещает перенос файлов и каталогов с жесткого диска данного сервера на другие накопители.К файлам и каталогам
DsАтрибут Не распределять запрещает выделение подблоков для данных.Только к файлам
HАтрибут Скрытый скрывает файлы каталоги, запрещая их вывод при помощи команды DIR. Пользователи, имеющие право Просмотр файла, для просмотра списка файлов и каталогов, имеющих атрибут Скрытый, могут воспользоваться утилитой FILER или командой NDIR.К файлам и каталогам
IАтрибут Индексированный позволяет обеспечить быстрый доступ к файлам большого объема, в результате индексирования файлов, для которых имеется более 64 элементов в таблице размещения файлов (FAT). Этот атрибут устанавливается автоматически.Только к файлам
IcАтрибут Сжать немедленно обеспечивает сжатие файлов сразу после их закрытия. Если этот атрибут установлен для каталога, после закрытия будут сжиматься все файлы каталога.К файлам и каталогам
MАтрибут Мигрирован указывает, что файл был перенесен с жесткого диска сервера на другой носитель.Только к файлам
NАтрибут Нормальный указывает, что атрибут Чтение-Запись установлен, а атрибут Совместно используемый - нет. Это установка атрибутов по умолчанию для всех новых файлов.К файлам и каталогам
PФлаг Очищаемый указывает, что файл или каталог следует полностью стереть из файловой системы сразу после удаления. Стертые файлы и каталоги восстановить нельзя.К файлам и каталогам
RiАтрибут Переименовать нельзя запрещает изменять имя файла или каталога.К файлам и каталогам
RoАтрибут Только чтение запрещает вносить в файл изменения. При его установке атрибуты Запрет стирания и Переименовать нельзя устанавливаются автоматически.Только к файлам
RwАтрибут Чтение-Запись позволяет производить запись в файл. Все файлы создаются с этим атрибутом.Только к файлам
ShАтрибут Совместно используемый позволяет одновременный доступ нескольких пользователей к файлу. Этот атрибут обычно используется вместе с атрибутом Только чтение.Только к файлам
SyАтрибут Системный скрывает файл или каталог, в результате чего он не может быть просмотрен при помощи команды DIR. Такой файл может просмотреть пользователь, имеющий право Просмотр файла, при помощи утилиты FILER или команды NDIR. Атрибут Системный обычно устанавливается для файлов операционной системы, например, для системных файлов DOS.К файлам и каталогам
TАтрибут Транзакционный разрешает трассировку и защиту файла при помощи системы трассировки транзакций (TTS).Только к файлам
XАтрибут Только исполнимый запрещает копировать, модифицировать и делать резервные копии файла. Переименовывать такой файл можно. Единственным способом снятия этого атрибута является удаление файла. Этот атрибут следует использовать для файлов программ, например, .EXE и .COM. Перед тем, как установить для файла флаг Только исполнимый, сделайте его резервную копию, чтобы иметь возможность заменить его в случае повреждения.Только к файлам

Процедуры регистрации и профили

Процедуры регистрации определяют для пользователей назначения дисков, установки захвата и переменных. Они также могут вызывать меню и запускать программы. Чтобы упростить администрирование сети, пользователи и используемые ими ресурсами должны размещаться внутри объектов-контейнеров Подразделение.

Четыре типа процедур регистрации

Когда пользователь регистрируется, утилита LOGIN автоматически выполняет соответствующую процедуру регистрации. Существует четыре ее типа. При создании настраиваемой среды для пользователей они могут использоваться совместно или по отдельности. Кроме процедуры регистрации по умолчанию, все остальные процедуры могут настраиваться.

Процедуры регистрации выполняются в следующем порядке.

Чтобы воспользоваться процедурой регистрации из объекта Организация, Подразделение или Профиль, пользователи должны иметь право Просмотр на этот объект, а также право Чтение на свойство Процедура регистрации этого объекта.

NOTE: Чтобы получить дополнительную информацию о правах Просмотр и Чтение файла, объекта или свойства, см. "Просмотр" и "Права" в книге Концепции.

Планирование эффективных процедур регистрации

Поддержка большого числа процедур регистрации пользователей может отнимать много времени. Попытайтесь включить большую часть настроечной информации в процедуры регистрации контейнеров и профилей, поскольку их количество меньше, и поэтому их легче поддерживать.

Например, если всем пользователям необходим доступ к утилитам NetWare, хранящимся на одном томе, назначение поискового диска следует помещать в процедуру регистрации контейнера, а не в каждую из процедур регистрации пользователя.

Если нескольким пользователям требуются одинаковые процедуры регистрации, создайте процедуру регистрации профиля.

Наконец, включайте в процедуры регистрации пользователя только те индивидуальные настройки, которые нельзя поместить в процедуры регистрации профиля или контейнера.

Поскольку в процессе регистрации пользователя может выполняться до трех процедур, могут возникнуть конфликты. В этом случае последняя из выполняемых процедур (обычно это регистрация пользователя) переназначает все конфликтующие команды из предыдущих процедур.

Процедуры регистрации являются свойствами объектов. В приведенной ниже таблице показаны типы процедур регистрации и соответствующие им типы объектов.

Объект Тип процедуры регистрации
ОрганизацияПроцедура регистрации контейнера
ПодразделениеПроцедура регистрации контейнера
ПрофильПроцедура регистрации профиля
ПользовательПроцедура регистрации пользователя

В планировании эффективных процедур регистрации вам могут помочь следующие соглашения.

Table 8-2. Соглашения по процедурам регистрации

Тема Соглашения
Минимальные процедуры регистрацииМинимальных процедур регистрации не существует. Все четыре типа процедур регистрации являются необязательными. В процедурах регистрации может быть всего одна строка, или, напротив, большое число строк. Команд, использование которых в процедурах регистрации является обязательным, нет.
РегистрМожно пользоваться как верхним, так и нижним регистром. Исключение: переменные-идентификаторы, заключенные в кавычки и предваренные знаком процента (%) должны быть записаны символами верхнего регистра.
Количество символов в строкеМаксимально допустимая длина строки составляет 150 символов. Для удобства чтения рекомендуется использовать строки длиной до 72 символов (распространенная ширина экрана).
Символы и знаки препинанияВсе символы (#. %. ', _) и знаки препинания следует вводить точно так же, как показано в примерах и описаниях синтаксиса.
Количество команд в строкеЗаписывайте по одной команде в строке. Начинайте каждую команду с новой строки. Для завершения записи каждой команды нажимайте <Enter>, и начинайте вводить новую команду.
Автоматически строки считаются одной командой.
Информация, выводимая командой WRITE, выглядит лучше, если команда WRITE повторяется в начале каждой из перенесенных строк.
Последовательность командОбычно команды вводятся в том порядке, в котором их следует выполнять, за следующими исключениями.
  • Команды ATTACH должны предваряться соответствующими командами MAP, что позволяет избежать вывода сообщения, приглашающего пользователя ввести в процессе регистрации имя и пароль.
  • Если для выполнения внешней программы вы используете "#", этот оператор должен быть записан после всех необходимых команд MAP.
  • Если последовательность команд не важна, то близкие команды, например, MAP или WRITE, следует группировать, чтобы читать процедуру регистрации было проще.
Пустые строкиНаличие пустых строк не влияет на выполнение процедуры регистрации. Используйте пустые строки, чтобы визуально разделять группы команд.
Комментарии (REMARK, REM, звездочки и точки с запятой)Строки, начинающиеся с REMARK, REM, звездочки или точки с запятой, считаются комментариями и не отображаются в процессе выполнения процедуры регистрации. Комментарии следует использовать, чтобы записывать назначение каждой команды или группы команд.
Переменные-идентификаторыВводите переменные-идентификаторы в точности так, как указано. Чтобы значение переменной-идентификатора отображалось на экране рабочей станции как часть команды WRITE, идентификатор следует заключить в кавычки и предварить знаком процента (%).

Глобальные процедуры регистрации

В NetWare 4 глобальные системные процедуры регистрации не используются. Каждый создаваемый объект Подразделение включает собственную процедуру регистрации (процедуру регистрации контейнера). Процедуры регистрации выполняются в следующем порядке:

Если вы хотели бы создать процедуру регистрации, обладающую большей степенью общности, и использовать ее при регистрации пользователей из нескольких контейнеров Подразделение, вы можете воспользоваться объектом Профиль для установки конкретных параметров окружения для группы пользователей. Объект Профиль позволяет делать назначения накопителей в дополнение к назначенным при регистрации контейнера.

Создание процедур регистрации по местоположению

Объект Профиль также может использоваться для определения размещения ресурсов в соответствии с местоположением. Например, если на каждом этаже вашего офиса есть три принтера и три очереди печати, и вы хотите приписать конкретную группу пользователей к определенной очереди, вы можете воспользоваться объектом Профиль для захвата конкретной очереди печати. Для пользователей с установленным атрибутом профиля захват нужной очереди будет осуществляться автоматически.

Создание процедур специального назначения

Можно создавать объекты Профиль для процедур специального назначения, например, для установки параметров доступа к приложениям. Например, вы можете создать процедуру регистрации профиля, которая будет использоваться только администраторами, производящими резервное копирование. Такая процедура регистрации может создавать для этих пользователей специальные назначения дисков, обеспечивающие доступ к программам и утилитам резервного копирования.

Административные объекты

Следующие объекты помогают управлять доступом к сети.

Объект пользователя ADMIN

При первой регистрации в новом дереве Каталога вы регистрируетесь как объект Пользователь ADMIN - единственный объект Пользователь, создаваемый в процессе инсталляции NetWare 4. ADMIN создается при первой установке дерева Каталога, а не тогда, когда вы добавляете к существующему дереву другие серверы.

Пользователю ADMIN присваиваются все права (включая право Супервизор) на все объекты и свойства, входящие в дерево Каталога. Это предоставляет пользователю ADMIN полный контроль над деревом.

NOTE: При самой первой регистрации в дереве Каталога вы можете создать объект Пользователь и присвоить ему права Супервизора, чтобы гарантировать, что имеется несколько объектов, обладающих правами, достаточными для полного контроля над деревом. Такой объект может быть жизненно необходим, если объект ADMIN будет случайно удален.

При создании объекта ADMIN ему присваивается право Супервизор на объект Сервер NetWare. Это предоставляет пользователю ADMIN право Супервизор на корневой каталог всех томов NetWare, подключенных к серверу, благодаря чему ADMIN может управлять всеми каталогами и файлами на всех томах дерева Каталога.

ADMIN не имеет специального предназначения, как SUPERVISOR в предыдущих версиях NetWare. Пользователю ADMIN предоставляются права на создание и управление всеми объектами просто потому, что он создается самым первым.

Объект ADMIN в любой момент можно переименовать или удалить, однако перед удалением ADMIN права Супервизора на объект [Root] следует присвоить какому-либо другому пользователю.

NOTE: Если вы создадите объект Пользователь, сделаете его эквивалентным по правам объекту ADMIN, а затем удалите ADMIN, новый объект Пользователь потеряет эту эквивалентность по правам.

WARNING: Ни в коем случае не удаляйте объект ADMIN, не присвоив право Супервизор другому объекту пользователь. Пренебрежение этим может быть гибельным, поскольку вы утратите полный контроль над деревом каталога. Восстановление доступа к дереву может быть выполнено только специалистами технической поддержки фирмы Novell.

Это предупреждение также относится к другим разделам дерева Каталога, где определен объект Пользователь ADMIN. Убедитесь, что на каждом уровне дерева, где определен объект ADMIN, существует объект Пользователь с явно определенным правом Супервизор.

Также важно помнить, что права могут быть как предоставлены, так и отменены на уровне контейнера. Если на уровне контейнера все права были отфильтрованы, и ни один пользователь в контейнере не обладает полными правами, это значит, что в этом контейнере нет объекта с полными административными правами. Это может вызвать проблемы.

Объект Организационная функция

Объект Организационная функция подобен объекту Группа. Основное отличие состоит в том, что объект Группа обычно используется в процедурах регистрации и ориентирован на осуществление действий (например, доступ к приложениям на сервере). Объекты Организационная функция не используются в процедурах регистрации, и в большей степени предназначены для создания объектов-контейнеров администраторов, содержащих небольшое число пользователей по должности. Объект Организационная функция имеет атрибут под названием "Исполнитель".

Исполнителя можно быстро добавлять и удалять из объекта Организационная функция, что облегчает произведение краткосрочных назначений. Если постоянный администратор будет какое-то время отсутствовать, в объект Организационная функция может быть помещен другой пользователь, который на этот период будет обеспечивать управление сетью.

Объекты Организационная функция создаются и обеспечиваются определенными правами в соответствии с необходимыми характеристиками должности. В дальнейшем назначать пользователей в качестве исполнителей Организационной функции можно при помощи утилит NetWare Administrator или NETADMIN.

Резюме

Эффективное планирование сокращает время, необходимое для управления инсталляцией NetWare 4, за счет размещения пользователей, служб и ресурсов в дереве поблизости друг от друга.

Это позволяет присваивать большинство прав контейнеру и передавать эти права вниз по дереву Каталога тем пользователям, которым они необходимы. Например, однократное присвоение прав контейнеру может обеспечить эффективное управление ресурсами, содержащимися в этом контейнере, что сокращает время, затрачиваемое на администрирование дерева Каталога, и снижает сетевой трафик.

Оценка полученных результатов

После того, как вы завершите разработку плана управления доступом, ответьте на приведенные ниже вопросы, чтобы оценить эффективность этого плана.

Значения по умолчанию

Новый пользователь обладает достаточными правами для чтения всех своих свойств, но может просматривать только информацию о членстве в группах, сетевых адресах и сервере по умолчанию для других пользователей. Процедура регистрации является единственным явно прописанным для чтения свойством, определенным для объектов-контейнеров.

Прежде чем свойство может быть использовано (в том числе совместно), администраторы NetWare должны назначить "явного опекуна" этого свойства. Например, конфигурация заданий печати не будет работать, будучи определена на уровне контейнера и не присвоена конкретному пользователю.

Назначения опекунов по умолчанию

При инсталляции устанавливаются следующие назначения опекунов по умолчанию.

Опекун Права Каталога NDS Права на файловую систему
Объект Пользователь, создавший объект Сервер NetWareПраво Супервизор [S] на объект Сервер NetWare 
Объект Пользователь ADMINПраво Супервизор [S] на объект [Root] и созданный им объект Сервер NetWare 
Объект [Root]Право Чтение [R] на свойства Имя сервера хоста и Имя тома хоста всех объектов Том 
Объект [Public]Право Чтение [R] на свойство Сетевой адрес сервера  
Тома сервераПраво Чтение на свойство контейнера Процедура регистрацииПрава Чтение [R] и Просмотр файла [F] на SYS:PUBLIC
Права Чтение [R] и Просмотр файла [F] на SYS:DOC (необязательно)
Права Чтение [R], Просмотр файла [F], Создание [C] и Редактирование [E] на SYS.

Права объекта Пользователь, предоставляемые при создании

Объекты Пользователь при создании по умолчанию наследуют такие права.

Table 8-3. Права объекта Пользователь

Имя объекта Явный опекун Права на объект от PUBLIC Права на свойства для Пользователя
Организация или ПодразделениеИмя контейнераПросмотрПроцедура регистрации: Чтение
Назначение каталогаНетПросмотрНет
Группа[Root]ПросмотрЧлены: Чтение
Процедура профиляНетПросмотрНет
Процедура пользователяИмя пользователяПросмотрВсе свойства: Чтение

Права по умолчанию на объекты и свойства объектов

Права по умолчанию на объекты и свойства объектов NDS для заново создаваемых объектов перечислены в приведенной ниже таблице. Эти права указываются как элементы ACL в следующем формате.

Термин [Entry Rights] обозначает права на сам объект, а [All Attribute Rights] обозначает права на все атрибуты объекта. Значения, не заключенные в скобки (например, Сетевой адрес), являются именами свойств.

Например, [Creator] объекта Группа имеет право Супервизор на права [Entry Rights] объекта, что означает, что создатель имеет право Супервизор на данный объект.

Объект [Root] имеет право Чтение на свойство объекта Член, что означает, что любой пользователь может считывать информацию о членстве в группе.

Имя объекта Права на объект по умолчанию Права на свойства объекта по умолчанию
Сервер AFP[Creator], [Entry Rights], [S]
[Self], [Entry Rights], [S]
[Public], Сервер обмена сообщениями, [R]
[Public], Сетевой адрес, [R]
Псевдоним[Creator], [Entry Rights], [S] 
Файл ревизии[Creator], [Entry Rights], [S] 
Объект Bindery[Creator], [Entry Rights], [S] 
Очередь Bindery[Creator], [Entry Rights], [S][Root], [All Attribute Rights], [R]
Компьютер[Creator], [Entry Rights], [S] 
Страна[Creator], [Entry Rights], [S] 
Назначение каталога[Creator], [Entry Rights], [S] 
Внешний[Creator], [Entry Rights], [S][Root], Член, [R]
Группа[Creator], [Entry Rights], [S][Root], Член, [R]
Сервер NetWare[Creator], [Entry Rights], [S]
[Self], [Entry Rights], [S]
[Public], Сервер обмена сообщениями, [R]
[Public], Сетевой адрес, [R]
Организация[Creator], [Entry Rights], [S] 
Организационная функция[Creator], [Entry Rights], [S] 
Подразделение[Creator], [Entry Rights], [S][Self], Процедура регистрации, [R]
Сервер печати[Creator], [Entry Rights], [S]
[Self], [Entry Rights], [S]
[Public], Сетевой адрес, [R]
Принтер[Creator], [Entry Rights], [S] 
Профиль[Creator], [Entry Rights], [S] 
Очередь[Creator], [Entry Rights], [S][Root], [All Attribute Rights], [R]
Пользователь[Creator], [Entry Rights], [S]
[Root], [Entry Rights], [B]
[Public], Сервер обмена сообщениями, [R]
[Root], Членство в группе, [R]
[Public], Сетевой адрес, [R]
[Self], [All Attribute Rights], [R]
[Self], Процедура регистрации, [R,W]
[Self], Конфигурация заданий печати, [R,W]
Том[Creator], [Entry Rights], [S][Root], Имя хост-ресурса, [R,W]
[Root], Хост-сервер, [R,W]

Для объектов, созданных при инсталляции NetWare 4, [Creator] - это объект Пользователь ADMIN.

NOTE: Возможность создания пользователем объекта в первую очередь зависит от того, имеет ли пользователь право Создание для контейнера, где создается объект.

При создании объекта сервер оптимизирует ACL для удаления ненужных элементов. Обычно это означает, что удаляется вхождение "[Creator], [Entry Rights], [S]", поскольку в большинстве случаев создатель объекта имеет права Супервизор на контейнер, где находится этот объект, и поэтому наследует право Супервизор на созданный объект.

Однако, если создатель обладает лишь правом Создание на контейнер, ACL сохраняет элемент "[Creator], [Entry Rights], [S]", поскольку в противном случае у создателя объекта не будет на этот объект никаких прав.

Таким образом, если вы создадите объект и установите для него фильтр наследуемых прав, есть вероятность, что вы больше не сможете получить доступ к объекту, даже если эти права будут предоставлены вам элементом ACL "[Creator], [Entry Rights], [S]".

WARNING: Действующие права могут быть либо получены при помощи эквивалентности по правам и наследования, либо явно предоставлены пользователю. При назначении прав для любого свойства объекта NDS следует помнить, каким образом вычисляются действующие права.

WARNING: Не делайте пользователей, не выполняющих административные функции, эквивалентными по правам объектам серверов NDS, например, Серверу NetWare, Серверу AFP или Серверу печати

WARNING: Вам не следует назначать объекту [Public] никаких прав, кроме тех, что присвоены по умолчанию. Любой пользователь, зарегистрирован он или нет, эквивалентен по правам объекту [Public]. Если вы хотите предоставить всем пользователям доступ к какому-либо свойству, лучше присвоить эти права объекту [Root] или контейнеру, где находятся эти пользователи.

К какому разделу следует перейти

ЧтобыПерейдите к
Разработать стратегию миграции для серверов и рабочих станций, работающих под предыдущей версией NetWare или другой сетевой операционной системой Глава 9 "Разработка стратегии миграции"
Создание графика внедрения Глава 10 "Создание графика внедрения"

Назад | Содержание | Вперед