info@dcs.pl

+48 22 548 60 00
  1. dcs.pl
  2. Blog
  3. Zarządzanie uprawnieniami (nie dla) każdego
31-03-2016 Marcin Zawadzki

Zarządzanie uprawnieniami (nie dla) każdego

Pisząc wcześniej na temat zarządzania uprawnieniami poprzez klasy .NET Framework-a  przy tworzeniu narzędzi które działają na uprawnieniach folderów pominąłem, częściowo świadomie, jeden ważny problem – duża część programistów i administratorów IT nie zdaje sobie sprawy jak działa system uprawnień w Windowsie. 
 
Jako, że drogi czytelniku na pewno jesteś wyjątkiem i należysz do bardziej świadomej większości prawdopodobnie wiesz czym różnią się uprawnienia na katalogu od uprawnień na udziale sieciowym i jakie uprawnienia należy ustawić aby twój kolega mógł przeczytać plik ale już go nie zapisać. Wiesz również co oznaczają skróty ACL, ACE, DACL i SACL. Zdajesz sobie również sprawę, że System Access Control List, jak sama nazwa wskazuje nie jest to lista uprawnień kontrolująca dostęp do zasobów i nie służy do ustawienia uprawnień.

Przykład DACL

Przeglądając przykłady działania na uprawnieniach nie zastanawiasz się co to znaczy „(A;OICI;GRGWGX;;;AU” – w końcu SDDL jako język opisu uprawnień nie ma przed Tobą tajemnic. Mając zapisane wszystkie reguły bezpieczeństwa (zarówno Allow i Deny) i znając przynależność użytkownika do grup jesteś w stanie ustalić wynikowe uprawnienia, nie korzystając z zakładki Effective Permission w zaawansowanych uprawnieniach folderu. Jesteś również w stanie precyzyjnie opisać kiedy uprawnienia są dziedziczone z folderu nadrzędnego i jak przerwać dziedziczenie na poziomie podfolderu. Przypisując uprawnienia robisz to zawsze mając na względzie ewentualny wpływ na wydajność całego systemu plików.

Zaawansowany widok nadawania uprawnień

Bez problemu możesz dać użytkownikowi uprawnienia do zapisywania plików bez możliwości tworzenia katalogów korzystając z zaawansowanego ekranu uprawnień. W razie potrzeby przecież zawsze możesz użyć polecenia ICACLS do wykonania kopi zapasowej uprawnień. Nie masz też trudności z przywróceniem uprawnień na pojedynczym folderze, mając kopię uprawnień dla całego dysku.

Skasowany użytkownik

Widząc w uprawnieniach użytkownika, którego nazwa zaczyna się od S-1 – wiesz, że oznacza skasowanego użytkownika, przecież Well-know SID w tej formie się nie pokaże. Jesteś w stanie też na podstawie struktury identyfikatora SID powiedzieć, czy był to użytkownik lokalny czy domenowy (i z której domeny). W razie potrzeby utworzysz nowe konto dla użytkownika i zmienisz skryptem powershell uprawnienia na takie jak miał skasowany użytkownik. 
 
Zarządzając codziennie uprawnieniami wiesz jak zachowają się uprawnienia kiedy kopiujesz lub przenosisz folder, wiesz także do czego służy przełącznik /O oraz /X polecenia XCOPY i zawsze uzyskasz prawidłowy efekt nawet jeżeli serwer na który przenosisz dane jest w nowej domenie. 
 
Znasz również dokładnie mechanizm działania Previous Version i problemy związane z uprawnieniami w przypadku odtwarzania plików i folderów są dla Ciebie całkowicie abstrakcyjne. 
 
I w tym momencie – zapewne tak samo jak ja – zastanawiasz się w jakim celu dostarczamy narzędzia do zarządzania infrastrukturą IT skoro istnieje Server Core i Powershell.exe.

Zdjęcie pochodzi z serwisu https://pixabay.com/en/game-figure-symbolism-leader-group-598036/

Powiązane

Self-Service i bezpieczeństwo firmy
Zawładnij Exchange'em - czyli zarządzanie skrzynkami współdzielonymi
Zarządzanie uprawnieniami w Microsoft .NET

0 komentarze

Kategorie

Tagi

administracja bezpieczeństwo it case study django CMS dla firm hosting intranet kampanie sms kampanie SMS konferencja masowe wysyłki sms migracje monitorowanie aplikacji narzędzia .NET o nas portale firmowe programowanie python SQL system ubezpieczeniowy systemy intranetowe system zarządzania treścią testy produktów ubezpieczenia uprawnienia wdrożenia zasoby sieciowe