Difference between revisions of "Споделяне на файлове между потребители на Windows"
(→edit) |
|||
| Line 192: | Line 192: | ||
[[Windows Video#Advanced Permissions|Използвайте разширените опции за настройка на ACL]] | [[Windows Video#Advanced Permissions|Използвайте разширените опции за настройка на ACL]] | ||
| − | == | + | == Опитна постановка 2 == |
| + | |||
| + | |||
| + | |||
[[Category:Windows]] | [[Category:Windows]] | ||
Revision as of 17:20, 26 February 2012
Contents
Цел на упражнението.
За целта ще се преговорят основните инструменти за управление на потребителите и правата им за достъп до системните настройки и ресурсите в MS Windows.
Теория
В Windows упавлението на сигурнността се базира на потребителски акаунти. Могат да се създадат неограничен брой акаунти, които да бъдат организирани в различни групи. При създаване на потребител или група за неговата идентификация се генерира специален уникален стринг SID (Security IDentifier).
Пример за SID: S-1-5-32-1045337234-12924708993-5683276719-19000.
При вход в системата (log in), след успешна автентификация (въвеждане на парола/ сканиране на пръстов отпечатък), се генерира секретен маркер ( security access token ), който съдържа SID на потребитяла, SID на групите, в които членува и специалните привилегии, които има този потребител. В документацията на Windows тези привилегии се наричат privileges или rights, пример за такива са: възможността на потребителя да съсздава нови акаунти, да прави мрежови настройки и т.н.
При всеки достъп на потребител до обект (ресурс) на операционната система, от секретния маркер се извлича SID на потребителя и се прави проверка дали има отказ или позволение за достъп до искания обект. Към всеки обект (ресурс) е прикачен списък за контрол на достъпа (ACL - Access Control List), в който са описани потребителите/групите чрез техния SID, какви права (permissions) имат или нямат върху дадения обект.
Примерно: Ако обектът е файл, на потребителя Ivan може да се даде право (Allow) да чете файл C:\biogarifii\Maria-CV.doc и да му се отмеме правото (Deny) да го редактира (фиг. 1).
При стартиране на всяка програма към нея се прикачва секретния маркер на потребителя, който е стартира, така програмата ще действа от името на този потребителя.
Опитна постановка 1
За целта ще се създаде виртуална машинa с Windows XP.
Импортирайте виртуалната машина (от файла D:\it\win1.ova), дискът на виртуалната машина да се запише в папка на D:\vashetoIme.
- Физическа настройка на мрежовия интерфейс
- избиране на Internal Network (Вътрешна мрежа),
- Смяна на MAC адрес (Advanced)
- Стартиране на виртуалните компютри
- Да се смени името на компютъра компютъра и работната група.
Задачи за изпълнение
Задача 0. (При работа с Windows XP professional). Да се деактивира Simple File Sharing.
- Simple File Sharing е функция въведена с Windows XP. Simple File Sharing премахва някои елементи от сигурността при споделяне на ресурси. Това помага да се създаде лесно и бързо споделен ресурс, папка или принтер.
Включването на SFS премахва възможността за въвеждане на потребителски пароли и оказване нивата на достъп до споделените ресурси. Когато SFS е включен, потребителите в мрежата няма да бъдат питани за потребителско име и парола при опит да разгледат споделените папки и принтери на компютъра.
Ако компютър с Windows XP Professional е част от Windows домейн, вместо на работна група, този прозорец на включване/изключване на SFS няма никакъв ефект. SFS е винаги изключен за компютри в домейн.
При Windows 7 SFS не съществува, а се ползва HomeGroup с което може да се споделят файлове само между компютри с Windows 7.
Активиране/деактивиране на Simple File Sharing при Windows XP Professional: My Computer -> Tools -> Folder Otions -> View (Tab) -> enable Simple File Sharing (check box). Simple File Sharing отметката би трябвало да е в края на списъка в прозореца Folder Options.
Задача 1. Да се запишат всички потребителски акаунти на операционната система.
| # | Aкаунт | Описание |
| 1 | ||
| 2 | ||
| 3 | ||
| 4 |
В Windows има три вида потребителски акаунти:
- на локални потребители - позволяват вход в конкретния компютър и ползването на неговите ресурси.
- на членове на домейни - позволяват вход в домейна и ползване на ресурсите на мрежата.
- вградени - за администриране , достъп до локални или мрежови ресурси
За да видите всички потребители на локалната машина стартирайте инструмента "Computer Management":
- Start -> (Run) -> compmgmt.msc -> OK ->System Tools ->Local Users and Groups -> Users
Задача 2. Да се запишат всички потребителски групи на операционната система.
| # | Група | Описание |
| 1 | ||
| 2 | ||
| 3 |
- Когато искаме да дадем едни и същи права на различни потребители, за по лесна администрация можем да обединим потребителите в група и да управляваме правата на групата.
Примерно: искаме всички потребители да имат достъп до файл "news.doc", но само редактори да могат да го променят.
- Създават се две групи Access и Editor
- Файлът "news.doc" се настройва да може да бъде четен от група "Access" и редактиран от група "Editor"
- При създаване на нов потребител се конфигура като член на една от групите, в зависимост от правата, които искаме да му присвоим.
Задача.3. Отговорете на въпросите и добавете потребители:
Създайте два нови потребителя като използвате User Account Tool(Manage Accounts за Windows 7) ( Изберете Users от контролния панел). Единият потребител е администратор с име Admin, а другият да е ограничен с име NetAdmin. ( Само за Windows XP Start -> Run -> nusrmgr.cpl -> OK)
С този инстумент могат да се създават два типа потребители – администратори и ограничени. Те имат предварително фиксирани права
- На кои групи е член потребител Admin?
- На кои групи е член потребител NetAdmin?
Задача.4. Тествайте създадените акаунти.
Опишете как тествате акаунтите!
Задача.5. Настройте правата (rights) на потребител NetAdmin, така че да може да администрира мрежовите настройки.
За улеснение на администрацията съществуват предварително създадени групи. Една от тях е „Network Configuration Operators“. Членовете на тази група могат да администрират мрежовите настройки.
Настройте потребител NetAdmin да е член на тази група.
Тествайте!
Задача.6. Да се създаде задължителна парола за всички потребители.
Споделянето на файлове в мрежата са изключени за даден акаунт, ако последния няма парола.
Start -> (Run) -> secpol.msc -> Account Policies -> Password Policy -> Minimum Password lenght
- Да се тестват създадените потребители.
- Да се създаде нов потребител с програмата Computer Managment.
- Пробвайте другите настройки за паролите.
Задача 7. Да се създаде папка NET и две групи NETUSER и NETREADER. Всички членове на група NETUSER да могат да записват, създават и редактират файлове в папката NET, а членовете на групата NETREADER да могат само да разглеждат съдържанието на папката и файловете в папката.
Редактиране на листа за контрола на достъп до файл (permissions, ACL)
Създайте два нови потребителя единия член на NETUSER, а другия на NETREADER и тествайте.
Допълнителни задачи
Задача.1. Включете автоматичен вход на потребител NetAdmin Стартирайте инструмент "User Accounts"
Start -> Run -> "Control Userpasswords2" (за xp)/ netplwiz( за win 7) -> OK
http://www.sevenforums.com/tutorials/377-log-automatically-startup.html
Задача. 2.
Да се конфигурира достъп до споделана папка "publications" на компютър, който ще се ползва от три вида потребители:
- читател - само може да чете файловете без да ги редактира;
- автор - може да създава файлове и да редактира само създадените от него файлове;
- редактор - има пълни права върху директорията.
За целта да се създадат три групи - EDITOR, AUTHOR, READER и да им се зададат съответните права върху директория publications. Да се създадат три нови акаунта:
- Ivan който да е редактор;
- Maria който да е автор;
- Ilian който да е читател.
Тествайте конфигурацията, опишете процеса на тестване.
Използвайте разширените опции за настройка на ACL
