При назначении прав можно определить как разрешение, так и запрещение на выполнение какой-либо операции. Если пользователь входит в несколько групп, то каждая из них может иметь свой набор разрешений и запретов для данной операции. Как формируется итоговое разрешение, особенно если разрешения различных групп противоречат друг другу?

Первоначально проверяется, существуют ли запреты на выполнение операций для какой-либо из групп, в которые входит пользователь, и для самой учетной записи. Если хотя бы для одной группы определен запрет доступа, то система сформирует отказ в операции. Затем проверяется наличие разрешений на доступ. Если хотя бы для одной группы будет найдено разрешение, то пользователь получит право выполнения желаемого действия.

В соответствии с описанным правилом обработки, если пользователь как член одной группы имеет разрешение на выполнение действия, а как член другой группы - запрет, то результатом явится отказ в выполнении операции.

Следует быть крайне осторожным при назначении явных запретов. Очень легко (если на компьютере используется сложная структура групп) запретить даже самому себе выполнение тех или иных операций.

Примечание Существует единственное отступление от данного принципа преимущества запрета перед разрешением, известное автору. Это определение итогового разрешения на основе наследуемых и явно указанных прав, которое описано в разд. "Наследуемые разрешения: будьте внимательны" далее в этой главе.

Ролевое управление | Самоучитель системного администратора | Разрешения общего доступа и разрешения безопасности


Самоучитель системного администратора



Новости за месяц

  • Август
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
  • 21
  • 22
  • 23
  • 24
  • 25
  • 26
  • 27
  • 28
  • 29
  • 30
  • 31