Megosztások Szerkesztette: Kovács Nándor Felh. irodalom: Kis Balázs: Windows XP haladókönyv
Megosztott erőforrások [XP297] A többfelhasználós környezetben a hálózati operációs rendszer legfontosabb faladata, hogy a felhasználókat szabályozott módon juttassa hozzá az erőforrásokhoz. Ennek a szabályzásnak lényegében három eleme van: ki, mihez és hogyan férhet hozzá. Hogy ezt a szabályzást meg tudja valósítani ehhez a következőket tartja nyilván: a felhasználókat, az erőforrásokat, és a hozzáférési jogokat (a felhasználókat és erőforrásokat összerendelő kapcsolat) A hozzáférés szabályozásának általános elvei [XP279]: A felhasználók két lépcsőben férhetnek hozzá az erőforrásokhoz: 1. a rendszerhez való hozzáférés: a bejelentkezés vagy hitelesítés 2. az erőforrásokra vonatkozó engedélyek (hozzáférési jogok) A bejelentkezés módjai: 1. Bejelentkezés helyben: a felhasználót a számítógép saját adatbázisa tartja nyilván 2. Bejelentkezés egy másik számítógépre hálózaton keresztül: A távoli számítógép saját felhasználó-adatbázisa alapján kell megadni egy ottani nevet és jelszavat. 3. Tartományi bejelentkezés: A felhasználók egy közös nyilvántartásban: a tartomány címtárában vannak nyilvántartva. A felhasználót bejelentkezésekor a címtárt kezelő tartományvezérlő hitelesíti. A windows XP által védhető erőforrások: 1. Az NTFS lemezeken tárolt állományok és könyvtárak 2. A hálózat felé létrehozott könyvtármegosztások 3. Nyomtatók 4. A rendszerleíró adatbázis kulcsai és bejegyzései 5. A címtáradatbázis objektumai
Az erőforrások tulajdonjoga [XP289] Az erőforrás tulajdonosa: A védhető erőforrásoknak van tulajdonosuk (kivéve a könyvtármegosztást). Kezdetben az, aki létrehozta az erőforrást. A tulajdonos nem rendelkezik automatikusan teljes hozzáféréssel a birtokban lévő erőforrás fölött, de szabályozhatja azt, hogy a többi felhasználó hogyan férjen hozzá. A hozzáférés-szabályozás joga: Nem a tulajdonos az egyetlen, aki szabályozhatja az erőforrásához való hozzáférést. Minden erőforráshoz megadható a hozzáférés-szabályozás joga. A tulajdonos mellett mindazok rendelkeznek ezzel e joggal, akiknek teljes hozzáférésük van. Saját tulajdonba vétel jog: A tulajdonjogot más felhasználónak átengedni nem lehet, de lehet jogot adni az erőforrás tulajdonjogának átvételére. aki rendelkezik ezzel a joggal, átveheti fölötte a tulajdonjogot. A rendszergazda kitüntetett szerepe: Az XP-ben alapértelmezés szerint a rendszergazda átveheti a tulajdonjogot bármilyen erőforrás fölött. A rendszergazda előnyben részesül a felhasználók magánjellegű adatainak védelmével szemben. Ez egy rendszerszintű jogosultság, ami házirend segítségével szabályozható. Ez a beállítás a Helyi biztonsági házirendben található, amit csak a rendszergazda tud megváltoztatni. Címtár alapú hálózatnál ugyanez a csoportházirenddel szabályozható. Itt megadható, hogy mely csoportok vagy felhasználók rendelkezzenek ezzel a kitüntetett szereppel.
A részletes hozzáférés szabályozás [XP281] Ha azt szeretnénk, hogy használhassuk a windows részletes erőforrás szabályozást, akkor a mappabeállításoknál ki kell kapcsolni az Egyszerű fájlmegosztás használata jelölőnégyzetet. (Vezérlőpult, Mappa beállításai) (Erre a Home edition változatban nincsen lehetőség)
Könyvtárak megosztása [XP290] Az XP alatt a logikai lemezek könyvtárait felajánlhatjuk, hogy bárki elérhesse. Ez a megosztás. Állomány kiszolgáló (szerver): Az a számítógép, amelyik ezt a megosztást tartalmazza, állomány-kiszolgálóvá válik, és kiszolgálónak (server) nevezzük. Kliens: Aki pedig ezt a szolgáltatást igénybe veszi, az a kliens. A könyvtárak megosztása által védhető erőforrás: könyvtármegosztás jön létre. Megosztást csak Rendszergazdák, Kiemelt felhasználók vagy Tartományfelelősök (címtárban) végezhetnek.
Megosztás intézővel [XP290-295] Megosztott mappa Kik, milyen joggal férhetnek a megosztott könyvtárhoz. Más névvel új megosztás hozható létre.
Megosztás szabályozása számítógép kezelés programmal Rejtett megosztások: Ezek automatikusan létrejönnek. Ezek a nevek nem jelennek meg, ha a távoli felhasználók megosztott erőforrásokat keresnek. Csak a helyi gépen rendszergazdai jogokkal rendelkezők érhetik el ezeket a megosztásokat. Ezek a felügyeleti megosztások: ADMIN$: A helyi számítógép rendszerkönyvtára (C:\WINDOWS) C$: A helyi gép gyökér könyvtára IPC$: megosztás a hálózati kommunikációhoz. A számítógépek ennek a segítségével látják egymást print$: Megosztott nyomtató esetén ebből a könyvtárból tölthető le a nyomtató illesztőprogramja. A felügyeleti megosztások a házirenddel kikapcsolhatók. Magunk is létrehozhatunk rejtett megosztást, ha a megosztás neve mellé dollárjelet teszünk.
Új megosztás létrehozása
Megosztások megfigyelése Kik csatlakoznak a számítógéphez. Le is választhatunk felhasználókat. Milyen állományok vannak nyitva, amik innen le is zárhatók
A megosztáshoz tartozó hozzáférési jogok [XP301] Teljes hozzáférés: állományok és könyvtárak: olvasása, írása, törlése, futtatása, könyvtárváltás, tulajdonjogok átvétele, hozzáférési jogok beállítása. Módosítás: állományok és könyvtárak: olvasása, írása, törlése, futtatása, könyvtárváltás, aktuális könyvtár beállítása. Olvasás: állományok és könyvtárak: olvasása, futtatása, aktuális könyvtár beállítása. Megosztási jogok A megtagadás az erősebb. Ha egy felhasználó több csoportnak a tagja, a kkor az eredő jog úgy alakul, hogy mindig a megtagadás az erősebb. A megosztáshoz és az állományokhoz tartozó jogok: A megosztáshoz és az állományokhoz adott jogok együttesen érvényesek úgy, hogy mindig a szigorúbb az érvényes. Állományokhoz tartozó jogok
A Mindenki csoport probléma [XP304] 1. A mindenki csoportot távolítsuk el, és ne adjunk neki gyengébb jogot, mert a mindenki csoportba mindenki beletartozik, így az más csoportokat korlátozna. 2. Adjuk meg a megfelelő csoportok hozzáférési jogait. A windowsba beléphetünk nullkapcsolat segítségével, amikor nem kell felhasználót és jelszót megadni. Ilyenkor a Mindenki csoportra vonatkozó beállítások érvényesek. A nullkapcsolati bejelentkezést legjobb letiltani. Ha azt akarjuk, hogy minden, a gépbe bejelentkezett felhasználó valamilyen jogot kapjon, akkor a Hitelesített felhasználó csoportnak adjuk meg ezeket a jogokat. Mindenki ide tartozik, aki névvel és jelszóval (nem nullkapcsolattal) vette használatba a gépet.
Csatlakozás megosztott könyvtárakhoz [XP306] Hálózati helyek rendszermappa Hozzáférés a távoli erőforrásokhoz: Bármelyik megosztott mappára vagy számítógépre kattintva a rendszer bejelentkezik arra a távoli számítógépre, ami azt felkínálja. A kezdeti bejelentkezéssel csak a saját számítógépünkre jelentkezünk be. Ha egy másik számítógéphez akarunk csatlakozni azáltal, hogy erőforrását igénybe kívánjuk venni, akkor arra is be kell jelentkezni. Két eset van: 1. Azonnali hozzáférés: Ha a másik számítógépen létezik felhasználó azzal a névvel és jelszóval, amellyel saját számítógépünkbe is bejelentkeztünk. 2. Bejelentkezéses hozzáférés: ha a másik számítógépen nincs azonos nevű és jelszavú felhasználó, akkor egy párbeszéd ablak segítségével meg kell adni, a távoli számítógép felhasználó-adatbázisában létező nevet és jelszót. 3. Címtára alapú hozzáférés: Ha számítógépünk tagja egy tartománynak, akkor ha kezdetben bejelentkeztünk ebbe a tartományba, automatikusan jogot kaptunk az ide tartozó erőforrásokhoz.l A bejelentkezés önmagában nem elegendő: A bejelentkezett felhasználónak a megfelelő joggal kell rendelkeznie a megosztott erőforrásokhoz. A hálózatban lévő más számítógépek Böngészőlista: A hálózatban lévő megosztott mappák. ezek a hálózat működése közben épülnek fel, és megmaradnak még akkor is, ha a kapcsolat nem létezik.
Állandó kapcsolat megosztott könyvtárakkal [XP310] Alkalmi kapcsolat: Ha a távoli gépek erőforrásait a Hálózati rendszermappán keresztül használjuk akkor mindig alkalmi kapcsolat épül fel, tehát lassú. Állandó kapcsolat: Ha gyors és állandó kapcsolatot szeretnénk, ami a gépbe való bejelentkezéskor épül fel, akkor meghajtót kell csatlakoztatni az illető erőforráshoz: 1. A mappához egy betűt rendelünk, ami után úgy érhetjük el, mintha egy logikai meghajtó lenne. 2. Ki kell pipálni a bejelentkezéskor újracsatlakozás lehetőséget. 3. Megadhatjuk, hogy az állandó kapcsolat felépítéséhez a távoli számítógépbe mely névvel és jelszóval csatlakozzunk. 1 3 2
Hozzáférés szabályozás [XP321] Az NTFS file rendszerben minden könyvtárhoz és állományhoz tárolható egy hozzáférés vezérlő lista (ACL). Ezt a listát szerkesztjük akkor, ha azok biztonság fülén a hozzáférési jogokat állítjuk. Ahhoz, hogy a hozzáférési jogokat állíthassuk: Teljes hozzáférés, vagy Engedélyek olvasása és Engedélyek módosítása jogokkal kell rendelkezni. Elemi és összetett jogok A felhasználók és csoportok hozzáférését elemi és összetett hozzáférési jogok segítségével szabályozhatjuk. Az Összetett jogok több elemi jogot fognak össze, az Elemi jogokkal pedig finomabban szabályozhatunk. Összetett jogok Elemi jogok
A hozzáférési jogok [XP281] Hatályos engedélyek: Meg lehet nézni, hogy egy felhasználónak vagy csoportnak valójában milyen joga van ehhez az erőforráshoz Erőforrás Erőforráshoz jogokkal rendelkező felhasználók vagy csoportok DACL (discretionaly access control list) kötelezően alkalmazandó hozzáférés vezérlő lista Ezen engedélyek egy szülőtől öröklődtek, itt közvetlenül nem módosíthatók, csak ha ezt a pipát le nem szedjük. A megtagadó jogok midig erősebbek a megengedőnél. Ha egy felhasználó tagja egy vagy több csoportnak és egy erőforráshoz kapott jogot, de egy helyen ez meg lett tagadva, akkor nem lesz joga hozzá.
Az elemi és összetett jogok megfeleltetése [XP324-326] Elemi jogok Írás (W) Fájlok létrehozása, adatok írása Mappák létrehozása, adatok hozzáfűzése Attribútumok írása Kiterjesztett attribútumok írása Olvasás (R) Mappa listázása, Adatok olvasása Attribútumok olvasása Kiterjesztett attribútumok olvasása Engedélyek olvasása Olvasás és Végrehajtás (RE) Mappa bejárása, Fájl végrehajtása Módosítás (M) Az eddigi összes szint és Törlés Teljes hozzáférés (FC) Az eddigi összes szint és Almappák, Fájlok törlése Engedélyek módosítása Saját tulajdonba vétel Bizonyos esetekben mást jelentenek a jogok könyvtár és állományok esetén Ha meg akarjuk akadályozni egy állomány törlését, azt csak mappa szinten lehetséges az Almappák és fájlok törlése elemi joggal
Általános elvek a jogok tervezéséhez [XP333] 1. alaposan tervezzük meg a jogok rendszerét. Az legyen egyszerű és áttekinthető. 2. Ne adjunk jogokat a Mindenki felhasználócsoportnak. Ha azt akarjuk, hogy mindenki kapjon valamihez jogot, akkor erre használjuk a Hitelesített felhasználók csoportot. Ha az op. rendszer folyamatainak is hozzá kell férnie a könyvtár tartalmához, akkor emellé a SYSTEM csoportnak is adjunk jogokat. 3. Jogokat ne falhasználóknak, hanem csoportoknak adjunk! 4. A jogokat ne állomány, hanem könyvtár szinten adjunk. Használjuk az öröklődést, amit a lehető legkevesebb szinten kapcsoljunk ki. 5. A SYSTEM csoportnak mindig teljes hozzáférése legyen a Windows és a Documentum and Settings könyvtárakhoz. (Ne változtassuk meg ezek alapértelmezett beállításait). 6. Ha egy számítógép könyvtárát megosztjuk, ne bízzuk egyedül a biztonságot a megosztási hozzáférési jogokra (azok nem elég részletesek) hanem külön adjunk könyvtár jogokat. Ezzel jóval nagyobb lesz a biztonság.
Példa hozzáférési jogok beállítására [XP327] Feladat: Adott a C:\Filmek nevű könyvtár. A cél a következő: - Minden Hitelesített felhasználók olvashasson és végrehajthasson (programokat futtathasson) belőle. - A Rendszergazdák csoportba tartozók minden joggal rendelkezzenek felette. - A Tanulók csoport tagjai ne törölhessenek a könyvtárból, de olvashasson és futtathasson abból. Megoldás: Töröljük le a felesleges felhasználókat és csoportokat (előtte szüntessük meg az öröklődést), majd vegyük egészítsük ki a listát: Hitelesített felhasználók, Rendszergazdák, Tanulók csoportok lesznek a listán az alábbi beállításokkal. Tanulók Speciális (Megtagadás): - Almappák és fájlok törlése - Törlés Öszetett jog (Engedélyezés): - Olvasás és végrehajtás Rendszergazdák Összetett jog (Engedélyezés): - Teljes hozzáférés Hitelesített felhasználók
Örökölt jogok, eredő jog [XP329] Az öröklés: Ha létrehozunk egy új mappát, akkor alapértelmezésben a hozzá tartozó jogok öröklődnek. Ez az öröklés nem csak az előző, hanem az azt megelőző könyvtárakból is származik, egészen a gyökér könyvtárig. Az örökölt jogok módosítása: Az örökölt jogok közvetlenül nem módosíthatók, illetve nem törölhető olyan csoport vagy felhasználó, ami öröklés útján tartozik a mappához. Előtte meg kell szüntetni Öröklés engedélyezése pipát. Az eredő jogok kiszámítása: Az eredő jogok a hozzáadott és örökölt jogokból együttesen származnak, azok egyenrangúak. Egy felhasználóra vagy csoportra megnézhetjük az eredő jogokat a Hatályos engedélyek fülön.