Правила защиты
В данном разделе кратко описываются полномочия доступа NetWare
Directory Services и файловой системы NetWare.
- Объекты-контейнеры могут содержать другие объекты-контейнеры
и объекты-листья. Полномочия, если они не блокируются новым назначением
полномочий или фильтром наследуемых полномочий, передаются по
этим структурам сверху вниз.
- Когда фильтр наследуемых полномочий изменяет полномочия контейнера
или файловой системы, новый набор полномочий действует для всех
объектов, расположенных ниже этой точки.
- Для изменения полномочий на файл или каталог необходимы права
Access Control (управление доступом) или фильтр IFR.
- Полномочия Supervisor предоставляют пользователю неограниченные
права на каталоги файловой системы и объекты.
- Можно отменить все полномочия пользователя на объект (даже
если это пользователь ADMIN), поэтому будьте аккуратны. Никогда
не следует отменять полномочия Supervisor пользователя, если другому
пользователю не предоставлены на данный объект полномочия Supervisor,
иначе это может полностью аннулировать возможность управления
объектом.
- Полномочия на файловую систему предоставляются отдельно от
полномочий на объекты NDS. Вы можете предоставить пользователю
права на каталог, не предоставляя ему полномочий на том, сервер
или объект-контейнер, который этот каталог содержит. Однако пользователи,
которые имеют на том права Supervisor, имеют права супервизора
на все каталоги данного тома.
- Пользователь, имеющий полномочия на объект, в зависимости
от предоставленных ему прав, может изменить или удалить этот объект
и создать внутри него другие объекты.
- Объект содержит специальную информацию о том, что он представляет,
- характеристики. Характеристики могут просматриваться и изменяться
другими пользователями (в зависимости от прав на характеристики
объекта).
- Полномочия на характеристики объекта могут быть полными или
конкретными. Если предоставлены полномочия на все характеристики
(All Properties), то пользователь имеет полномочия на все характеристики,
на которые не предоставлены полномочия Selected Property. Если
полномочия Selected Property предоставлены на одну или более характеристик,
то эти полномочия переопределяют полномочия на характеристики,
предоставленные правами All Properties.
- Полномочия Selected Property (выбранная характеристика) в
контейнере не передаются вниз по структуре другим объектам. Причина
этого очевидна - объекты в других объектах обычно имеют другой
тип объекта и другие характеристики.
- Чтобы изменить полномочия и характеристики объекта, требуется
право доступа Write.
- В дереве каталога NDS полномочия передаются вниз в объекты
тома, так что супервизор имеет полномочия Supervisor на каталоги
и файлы.
- Наследуемые полномочия могут переопределяться путем назначения
на более низких уровнях дерева NDS или дерева файловой системы
новых полномочий.
- Полномочия супервизора не могут блокироваться в файловой системе,
но могут блокироваться в дереве каталога NDS.
- Пользователь с полномочиями на контейнер имеет те же полномочия
на каждый объект контейнера, включая содержащиеся в контейнере
другие контейнеры. Однако фильтр наследуемых полномочий может
эти полномочия блокировать.
- Объекты-листья в контейнере получают все назначения полномочий,
которые предоставлены контейнеру. Если контейнер имеет полномочия
на каталог, то объекты-листья в данном контейнере также будут
иметь полномочия на этот каталог.
- Чтобы предоставить пользователю непосредственный доступ к
сети, назначьте ему защиту, эквивалентную пользователю, имеющему
необходимый доступ к системе. Имейте в виду, что этот новый пользователь
может просматривать все каталоги, принадлежащие пользователю,
которому он приравнивается.
- Создайте в контейнерах шаблоны и перед созданием новых пользователей
присвойте им заданные по умолчанию полномочия и ограничения. После
этого все создаваемые в контейнере объекты получают полномочия
и права на характеристики заданного пользовательского шаблона.
