Dotazů týkajících se zabezpečení a zejména přístupových práv se na tomto webu objevilo mnoho. Protože se jedná prakticky o stále to stejné, tedy nepochopení principu fungování přístupových práv, přinášíme v tomto tipu celkový pohled. Zaměříme se samozřejmě na Vistu, ale většina z uvedeného platí i ve Windows XP nebo Windows 2000.
Jak se chovají práva?
Několik zásadních pravidel:
1. Práva se vztahují na jednotlivé objekty (soubory, složky) a definují se pro skupiny uživatelů nebo jednotlivé uživatele. Například určitý soubor může číst uživatel Novák, nebo určitou složku může měnit skupina uživatelů Users.
2. Práva je možné dědit z nadřazeného objektu. Například řeknu, že složka je pro čtení skupině uživatelů Users a zároveň řeknu, že všechny podřízené objekty této složky (soubory, podsložky a sooubory v podsložkách) budou používat stejná práva.
3. Právo je buď uděleno, nebo odebráno. Nikdy obojí zároveň (logicky), nicméně nemusí být právo pro uživatele vůbec stanoveno. Pak se použije právo skupiny, do které uživatel patří.
4. Priorita zákazu. Jelikož jeden uživatel může být ve více skupinách (a i pro něj osobně může být právo definováno), pak stačí byť jediné odebrání práva a už jej nemá. Například pokud skupina Users má povoleno čtení, ale uživatel Karel, který je jejím členem, má čtení zakázáno, pak Karel ve výsledku čtení povoleno nemá.
5. Každý objekt (složka, soubor) má svého vlastníka. Práva může nastavovat vlastník, nebo ten, kdo má právo práva nastavovat.
6. Vlastnictví se nelze zříct. Mohu ale jako vlastník povolit převzetí vlastnictví někým jiným a ten si jej pak může přivlastnit.
7. Ani administátor nemůže měnit práva, pokud není vlastníkem nebo to nemá přímo povoleno. Může se však kdykoli stát vlastníkem.
Praktické závěry
Nejčastějším dotazem v diskuzích bývá: proč nemohu smazat soubor, když jsem administrátor. Ponechme ještě chvíli stranou Ochranu uživatelského účtu (UAC) a předpokládejme, že akci mazání skutečně provádíte jako adminsitrátor. Jenže pokud na to nemáte právo, protože vám jej vlastník odebral, tak soubor prostě nesmažete. Můžete ale vlastnictví převzít. Po převzetí vlastnictví je nutné uzavřít všechna okna nastavování práv (Vista vám to dokonce doporučí, v XP na to musíte myslet sami) a znovu je otevřít. Jako vlastníci už můžete sobě povolit smazání. A teprve pak mazat. Představme si tedy situaci, kdy na disku leží složka "Odpad", kterou chceme smazat. Není prázdná, prakticky ani nevíme, co v ní je, protože se do ní nedostaneme (kdo ví, kdo ji vytvořil). Jak na to, ve Vistě? Zde je přesný postup:
1. Nejdříve získáme vlastictví: klepněte pravým tlačítkem na složku a zvolte Properties.
2. Přejděte na záložku Security a zvolte Advanced. Je pravděpodobné, že už v tuto chvíli vás Vista zarazí, protože když nemáte žádná práva ke složce, tak se ani nesmíte dozvědět, kdo ta práva má. Jste ale administrátoři!
3. V otevřeném okně něco použitelného uvidíte jen na záložce Owner. Právě zde totiž můžete práva převzít. Klepněte na Edit. Budete muset potvrdit UAC.
4. Zvolte nového vlastníka, buď skupinu Adminsitrators, nebo přímo sebe. Je to jedno, ale aby vás UAC co nejméně obtěžovalo, zvolte spíše svoje jméno. Označte volbu Replace owner on subcontainers and objects a stiskněte OK.
5. Chvíli to bude trvat. Až vše proběhne, Vista vás upozorní, že máte pozavírat všechna okna vlastností, takže to udělejte.
6. Nyní jsme vlastníky složky i všech vnořených objektů, takže si nastavíme právo Full control, ať je můžeme smazat. Klepněte znovu na složku pravým tlačítkem a zvolte Properties.
7. Nyní by už přechod na záložku Security měl být bez problémů. Opět zvolte Advanced.
8. Hned na první záložce Permissions zvolte Edit, potvrďte UAC.
9. Nejdříve zabráníme tomu, aby se do složky dostala nějaká práva z nadřazené složky, takže pokud je zatržítko Include inheritable permissions from this object's parents označené, tak je odškrtněte. Objeví se dialog, co s právy, zvolte Remove a práva budou odstraněna.
10. Nyní stiskněte Add, zadejte svoje jméno (případně stačí Administrators), potvrďte.
11. Ve sloupci Allow označte Full Control (označí se i všechna ostatní zatržítka) a stiskněte OK
12. Nyní jste opět v okně Advanced Security, v seznamu vidíte jen svoje jméno, protože ostatní práva jsme odebrali.
13. Označte Replace all existing inheritable permissions on all descendants with inheritable permissions from this object a stiskněte OK.
14. Až vše proběhne, pozavírejte opět všechna okna s vlastnostmi složky.
15. A nyní byste už měli být složku schopni normálně smazat.
Jak být opravdu administrátor
UAC způsobující to, že i administrátoři pracují s normálními právy, je hezká věc, ale ne každá aplikace dá Vistě jasně najevo, že určitou operaci může provést jen admin. Příkladem je ICQ 5.1 a volba Load on startup Windows. Ačkoli ji v nastaveních ICQ změníte, nic se nestane. Protože běžný uživatel nemůže měnit nastavení počítače (který program se spouští po startu Windows), byť by byl administrátor (ICQ se normálně díky UAC spustí jakoby je spouštěl běžný uživatel). V tomto (a podobných případech) vynuťte spuštění jako adminsitrátor. Stiskněte klávesu Win a napište kus názvu programu, třeba právě ICQ. Program se vyhledá a v nabídce Start objeví. Klepněte na program pravým tlačítkem myši a zvolte Run as administrator. Objeví se ochrana UAC, ale po jejím odklepnutí se ICQ skutečně spusí s právy administrátora, takže volba Load on startup Windows půjde změnit.
Převzato z webu - stejný postup platí u Windows 7
Žádné komentáře:
Okomentovat