Міністерство освіти і науки України Національний університет «Львівська політехніка» Кафедра АСУ Лабораторна робота з дисципліни “Комп’ютерні мережі”  Лабораторна робота № 2. ДОЗВОЛИ ТА КВОТИ NTFS. ШИФРУВАННЯ ФАЙЛІВ: EFS. Мета роботи: Навчитись ефективно налагоджувати систему логічного розділення доступу до об’єктів файлової системи в ОС Windows XP Professional; управляти квотами на томах NTFS та використовувати шифровану файлову систему EFS. Теоретичні відомості. Права доступу (дозволи) для файлів і каталогів Встановлюючи користувачам певні дозволи на доступ до файлів і каталогів (папок), адміністратори системи можуть захищати конфіденційну інформацію від несанкціонованого доступу. Кожен користувач має певний набір дозволів на доступ до кожного об'єкту файлової системи. Крім того, користувач може бути власником файлу або папки, якщо сам їх створює. Питання передачі права володіння розглядається нижче. Дозволи користувача на доступ до об'єктів файлової системи працюють за принципом доповнення (адитивності). Це значить, що діючі дозволи, тобто ті дозволи, які користувач реально має відносно конкретного каталогу або файлу, утворюються зі всіх прямих і непрямих дозволів, призначених користувачу для цього об'єкту за допомогою логічної функції АБО. Наприклад, якщо користувач має прямо призначений дозвіл для каталогу на читання, а опосередковано через членство в групі йому дано дозвіл на запис, то в результаті користувач зможе читати інформацію у файлах каталогу і записувати в них дані. Слід зазначити, що правило додавання дозволів за допомогою логічного АБО не виконується, коли користувач має певний дозвіл, а групі, в яку він входить, відмовлено в цьому дозволі (або навпаки). В цьому випадку відмова в дозволі (Deny) має вищий пріоритет над наданням дозволу, тобто в результаті користувач не матиме цього дозволу. Поява можливості відмови користувачу або групі в дозволі для файлів і каталогів зробила непотрібним дозвіл No Access, що застосовувався в Windows NT 4.0. Тепер для відмови користувачу в дозволі на доступ до якого-небудь файлу або каталогу слід включити користувача в групу, якій відмовлено в дозволі Full Control (Повний доступ) для даного об'єкту файлової системи. Кожен зі стандартних дозволів складається з набору спеціальних (особливих) дозволів, що задають можливість виконання тієї або іншої дії з файлами або каталогами. У табл. 3 показано відповідність стандартних і спеціальних дозволів для файлів і каталогів. Детальний опис спеціальних дозволів наведено в табл. 4. Таблиця 3 Відповідність стандартних і спеціальних дозволів Спеціальні дозволи Стандартні дозволи   Full Control Modify Read & Execute List Folder Contents Read Write  Traverse Folder/Execute File (Огляд папок/ Виконання файлів) + + + +    List Folder/Read Data (Зміст папок/ Читання даних) + + + + +   Read Attributes (Читання атрибутів) + + + + +   Read Extended Attributes (Читання додаткових атрибутів) + + + + +   Creat Files/Write Data (Створення файлів/Запис даних) + +    +  Create Folders/Append Data (Створення папок/ Дозапис даних) + +    +  Write Attributes (Запис атрибутів) + +    +  Write Extended Attributes (Запис додаткових атрибутів) + +    +  Delete Subfolders and Files (Видалення підпапок і файлів) +       Delete (Видалення) + +      Read Permissions (Читання дозволів) + + + + + +  Change Permissions (Зміна дозволів) +       Take Ownership (Зміна власника) +        Хоча дозволи "List Folder Contents" ("Список вмісту папки") і "Read & Execute" ("Читання і виконання") включають одні і ті ж спеціальні дозволи, вони успадковуються по-різному. Дозвіл "List Folder Contents" успадковується тільки каталогами, але не файлами, і відображається тільки при перегляді дозволів на доступ до папок. Дозвіл "Read & Execute" успадковується як файлами, так і папками, і завжди відображаєт...