Управлние правами доступа к ресурсам

Система безопасности платформы Windows основана на модели безопасности для каждого пользователя или группы пользователей. Каждый пользователь, зарегистрированный в системе, имеет собственную учетную запись, которая содержит персональную информацию о пользователе. Эти данные система использует для проверки подлинности пользователя и для авторизации его при доступе к ресурсам домена. После прохождения процедуры аутентификации пользователю присваивается маркер доступа, идентифицирующий пользователя, его группу, а также определяющий доступные пользователю привилегии в системе для доступа к ресурсам. При этом каждому объекту системы, включая файлы, принтеры, сетевые службы, контейнеры Active Directory и другие, присваивается дескриптор безопасности. Дескриптор безопасности объекта определяет права доступа к объекту и содержит список контроля доступа (ACL – Access Control List), в котором явно определяется, каким пользователям разрешено выполнять те или иные действия с этим объектом. Дескриптор безопасности объекта также определяет, для каких событий должен вестись аудит. Авторизация Windows основана на сопоставлении маркера доступа субъекта с дескриптором безопасности объекта. Управляя свойствами объекта, администраторы могут устанавливать разрешения, назначать право владения и отслеживать доступ пользователей. Каждый дескриптор безопасности может содержать списки двух типов. Системный список управления доступом (SACL – System Access Control List) позволяет отслеживать права и ограничения, установленные для объекта на системном уровне. В этот список могут вносить изменения только те пользователи, которые обладают правами доступа на уровне системы.

Пользовательский список управления доступом (DACL – Discretionary Access Control List) позволяет отслеживать права и ограничения, установленные владельцем данного объекта. DACL может быть изменен пользователем, который указан как текущий владелец объекта.

Оба списка имеют одинаковую структуру. Они могут не содержать ни одной записи либо содержать одну или несколько записей. Каждая запись (ACE – Access Control Entry) состоит из трех частей: в первой указываются пользователи или группы, к которым относится данная запись, во второй – права доступа, а третья информирует о том, предоставляются эти права или отбираются. Дескрипторы безопасности могут быть представлены либо в абсолютном, либо в относительном формате. Абсолютный формат предусматривает запись дескриптора безопасности в память в виде структуры указателей и, поэтому, онболее удобен для обновления содержимого дескриптора.

Задавать список прав доступа можно непосредственно в оконном диалоге Windows в окне свойств объекта (см. рис.1 с определением прав на доступ к файлу), а можно программно, используя специальные API-функции. В листинге 1 представлен фрагмент программы, позволяющей программно изменить права доступа к файлу для некоторого пользователя.

Рис.1. Определения прав доступа к файлу в Windows

Для того чтобы добавить нового пользователя в Windows 7 нажмите кнопку «Пуск». В меню пуск выберите пункт «Панель управления»:

Запуск панели управления

Если в панели управления включен вид по категориям, то в открывшейся панели управления в категории «Учетные записи пользователей и семейная безопасность» выберите пункт «Добавление и удаление учетных записей пользователей»:

панель управления

Если вид панели управления установлен как значки, то выберите пункт «Учетные записи пользователей» и в открывшемся окне вашей учетной записи выберите пункт «управление другой учетной записью».

Откроется окно «Выберите учетную запись для изменения». В этом окне, в верхней его части перечислены все уже существующие в Windows пользователи, их роль в системе, а так же статус (например, «отключена»). Кликнув на существующей учетной записи можно изменить ее параметры, пароль, рисунок, права. Для добавления нового пользователя выберите пункт «Создание учетной записи»:

Выбор учетных записей

В открывшемся окне введите имя новой учетной записи (1) и выберите права нового пользователя в системе: «Администратор» или «Ограниченная запись» (2). Роль «Администратор» имеет наивысшие права в системе. Администратору позволено все: устанавливать программы, настраивать систему, добавлять/удалять пользователей и т.п. Роль «Ограниченная учетная запись» дает пользователю только ограниченный набор прав: выполнять программы, создавать файлы документов и не более того.

После выбора прав пользователя нажмите кнопку «Создание учетной записи» (3):

Создание пользователя

Новый пользователь добавлен. Его запись появится в окне «Выберите учетную запись для изменения». Если необходимо, чтобы пользователь при входе в Windows вводил пароль, новому пользователю нужно добавить этот пароль. Для этого нужно кликнуть левой кнопкой мыши на имени нового пользователя:

Выбор пользователя для изменения его свойств

В окне свойств учетной записи нужно нажать пункт «Создание пароля»:

Свойства пользователя

После чего ввести пароль. Вводимый пароль отображается черными точками, для того, чтобы его нельзя было подсмотреть со стороны. Для того, чтобы не ошибиться при вводе пароля, необходимо так же ввести его подтверждение. Т.е. в поле «Введите пароль для подтверждения» нужно ввести тот же самый пароль (1). Поле «Введите подсказку для пароля» (2) является необязательным, и служит для того, чтобы напомнить пользователю, с чем связан его пароль, если он его забудет. Заполняется по желанию.

По окончании ввода пароля и подтверждения нужно нажать кнопку «Создать пароль» (3):