Встроенные группы пользователей и их права
Мощность и гибкость системы безопасности Windows NT во многом определяется наличием в ней достаточно широкого набора прав групп пользователей на выполнение системных действий. Для иллюстрации этого утверждения в следующих двух таблицах приводятся списки изменяемых и встроенных прав для встроенных групп Windows NT.
Первой показана таблица изменяемых прав встроенных групп.
В следующей таблице представлены встроенные права встроенных групп.
| Права | Admini- strators | Server Opera- tors | Account Opera- tors | Print Opera- tors | Backup Opera- tors | Every- one | Users | Guests |
| Log on locally (локаль- ный логиче- ский вход) | Есть | Есть | Есть | Есть | Есть | Нет | Нет | Нет |
| Access this computer from network (доступ к данному компь- ютеру через сеть) | Есть | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Take ownership of files (устано- вление прав собстве- нности на файлы) | Есть | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Manage auditing and security log (управ- ление аудитом и учетом событий, связан- ных с безопас- ностью) | Есть | Нет | Нет | Нет | Нет | Есть | Нет | Есть |
| Change the system time (изме- нение систе- много времени) | Есть | Есть | Нет | Нет | Нет | Нет | Нет | Есть |
| Shutdown the system (оста- нов систе- мы) | Есть | Есть | Нет | Нет | Есть | Нет | Нет | Нет |
| Force shutdown from remote system (иници- ирование останова с удален- ной системы) | Есть | Есть | Нет | Нет | Нет | Нет | Нет | Нет |
| Backup files and directories (резерв- ное копиро- вание файлов и катало- гов) | Есть | Есть | Есть | Есть | Есть | Нет | Нет | Нет |
| Restore files and directories (восста- новление файлов и катало- гов со стримера) | Есть | Есть | Нет | Нет | Есть | Нет | Нет | Нет |
| Load and unload device drivers (загрузка и выгрузка драй- веров устр-в) | Есть | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Add work- station to domain (добавле- ние рабочих станций к домену) | Есть | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Встроенные права | Administ- rators | Server Opera- tors | Account Opera- tors | Print Opera- tors | Backup Opera- tors | Every- one | Users | Guests |
| Create and manage user accounts (создание и управление пользова- тельской учетной информа- цией) | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Create and manage global groups (создание и управление глобаль- ными группами) | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Assign user rights (назначение прав для пользова- телей) | Нет | Нет | Нет | Нет | Нет | Есть | Нет | Нет |
| Manage auditing of system events (управление аудитом системных событий) | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Lock the server (блоки- рование сервера) | Нет | Нет | Нет | Нет | Нет | Нет | Нет | Нет |
| Override the lock of the server (преодоле- ние блокировки сервера) | Есть | Есть | Есть | Нет | Нет | Нет | Нет | Нет |
| Format server's hard disk (формати- рование жесткого диска сервера) | Нет | Нет | Нет | Нет | Нет | Есть | Есть | Есть |
| Create common groups (создание общих групп) | Есть | Есть | Есть | Есть | Есть | Есть | Есть | Есть |
| Keep local profile (хранение локального профиля) | ||||||||
| Share and stop sharing directories (разделе- ние и прекра- щение разделения каталогов) | ||||||||
| Share and stop sharing printers (разделе- ние и прекра- щение разделения принтеров) |
При создании новых групп администратор может наделить их любым изменяемым правом, но распоряжаться встроенными правами он не может — они являются неотъемлемыми атрибутами встроенных и только встроенных групп.
Выводы
- Основными задачами подсистемы ввода-вывода являются:
· организация параллельной работы процессора и устройств ввода-вывода при обеспечении приемлемого уровня реакции каждого драйвера и минимизации общей загрузки процессора;
· согласование скоростей работы процессора, оперативной памяти и устройств ввода-вывода;
· разделение устройств ввода-вывода между процессами; О обеспечение удобного логического интерфейса к устройствам ввода-вывода. Q Подсистема ввода-вывода обычно имеет ярко выраженную многослойную структуру, которая помогает объединить большое количество разнотипных драйверов в систему с общим интерфейсом.
- Драйверы делятся на низкоуровневые, непосредственно управляющие работой контроллеров внешних устройств, и высокоуровневые, обеспечивающие логический интерфейс к устройствам, например драйверы файловых систем.
- Для координации работы драйверов в подсистеме ввода-вывода может выделяться особый модуль, называемый менеджером ввода-вывода.
- Аппаратные драйверы делятся на блок-ориентированные, обеспечивающие доступ к устройствам с поблочной непосредственной адресацией, и байт-ориентированные, управляющие устройствами, поддерживающими побайтный не адресуемый обмен.
- Файл — это именованная область внешней памяти, в которую можно записывать и из которой можно считывать данные. Основными целями использования файлов являются: долговременное и надежное хранение информации, а также совместный доступ к данным.
- Файловая система представляет собой комплекс системных программных средств, реализующих различные операции с файлами, таких как создание, уничтожение, чтение, запись, именование и поиск файлов. Под файловой системой понимают также набор всех файлов и служебных структур данных, хранящихся на внешнем устройстве.
- Кроме обычных файлов ОС, как правило, поддерживает такие типы файлов, как каталоги, символьные связи, именованные конвейеры и специальные файлы.
- Специальный файл является универсальной моделью устройства ввода-вывода, представляя его для остальной части операционной системы и прикладных процессов в виде неструктурированного набора байт, то есть в виде обычного файла.
- Современные файловые системы имеют иерархическую структуру, упрощающую именование файлов и их поиск.
- Физическая организация файловой системы подразумевает способы размещения и адресации отдельных частей файлов в разделах и секторах дисковой памяти, а также способы организации служебной информации, описывающей размещение файлов и их атрибуты.
- Для синхронизации совместно работающих процессов, пытающихся использовать один и тот же файл одновременно, в файловых системах реализуется механизм блокировки файлов и отдельных записей в файлах.
- Механизм контроля доступа к файлам позволяет администраторам многопользовательских ОС задавать для отдельных пользователей и групп пользователей набор операций, которые им разрешается выполнять над отдельным файлом или группой файлов, объединенных в каталог.
- Управление доступом в ОС осуществляется на основе одного из двух базовых подходов: избирательного доступа, когда владелец файла самостоятельно может определить права доступа к файлу и мандатного доступа, при котором права доступа определяются членством пользователя в определенной группе, и пользователь не может их произвольно изменять или делегировать.
- Права доступа к файлу могут присваиваться явно, а могут наследоваться у родительского каталога, что сокращает количество ручных операций и упрощает логику доступа.
Задачи и упражнения
1. За счет каких устройств удается распараллелить ввод-вывод даже в однопроцессорных системах?
2. Какие функции выполняет менеджер ввода-вывода?
3. Какие из следующих утверждений правильны?
- А) драйвер выполняет низкоуровневые функции по управлению устройством ввода-вывода;
- В) драйвер выполняет функции управления файловой системой;
- С) все функции драйвера вызываются по прерываниям;
- D) драйвер является частью подсистемы ввода-вывода;
- Е) драйвер организует взаимодействие модулей ядра операционной системы;
- F) драйвер работает в привилегированном режиме.
4. Какие два типа ресурсов, связанных с диском, требуется выделить процессу, чтобы он выполнил запись данных на диск?
5. Каким из двух типов драйверов — блок-ориентированным или байт-ориентированным — обслуживается диск?
6. С какой целью в некоторых файловых системах характеристики файла отделяются от его имени?
7. Какие программные компоненты поддерживают структуру файла в тех ОС, где файл представлен последовательносью байт?
8. С какого каталога начинается «раскрутка» полного имени файла?
9. Операционная система выделяет файлам пространство на диске:
- А) секторами;
- В) дорожками;
- С) кластерами;
- D) цилиндрами.
10. Выберите размер кластера для файловой системы FAT16, устанавливаемой в разделе, который разделен на секторы размером 512 байт и имеет общий объем 272 Мбайт. Оцените, сколько в этом случае кластеров будет содержать область данных, а также какой размер необходимо отвести таблице FAT. Учтите, что размер кластера должен быть равен степени двойки. Примите во внимание также, что стандартным размером корневого каталога для жестких дисков является размер в 32 сектора.
11. При каких условиях можно автоматически гарантированно восстановить в файловой системе FAT удаленный файл?
12. Сформулируйте основную цель введения в ОС системного вызова open.
13. В какой из типов систем управления доступом — избирательной или мандатной — пользователю предоставляется большая свобода действий?
14. Какой смысл имеет операция «выполнить каталог» в ОС UNIX?
15. С помощью какого механизма пользовательский процесс может запускать на выполнение привилегированные утилиты операционной системы UNIX?
16. Чем отличается разрешение Full Control для файлов от разрешения Change в Windows NT?
17. Какие действия по отношению к файлу А разрешены пользователю ОС Windows NT, если он лично имеет разрешение Change, а для группы, в которую он входит, задано разрешение No Access?