280 likes | 427 Views
Jogosultság kezelés. Operációs Rendszerek I. Bevezetés. Többfelhasználós rendszerben nem férhet hozzá mindenki mindenhez Windows XP- ben beállítható , hogy ki mihez férhet hozzá , mivel mit csinálhat háromféleképp szabályozhatóak a felhasználók : Egyszerűsített felület ( kétfajta )
E N D
Jogosultságkezelés OperációsRendszerekI.
Bevezetés • Többfelhasználósrendszerbennemférhethozzámindenkimindenhez • Windows XP-benbeállítható, hogykimihezférhethozzá, mivelmitcsinálhat • háromféleképpszabályozhatóak a felhasználók: • Egyszerűsítettfelület (kétfajta) • Adminisztrációsfelület • Parancssor
Bevezetés Parancssor net user parancs különböző variánsai pl: van egy szerverünk, ahova létre kell hozni 150 felhasználó hozzáférését és saját könyvtárát. Grafikus felületen ez néhány óra, parancssorban 1 for. Szintaxisa: net user <username> /add net localgroup <groupname> /add
Jogosultságkezelés • Minden erőforráshoz tartozik egy ACL (Access Control List) • ACL tartalma: • Felhasználó vagy csoport azonosító(SID) • Művelet leírása (írás, olvasás stb.) • Adott művelet engedélyezése, tiltása • Előhozás: állomány tulajdonságai/Biztonság/Speciális
Elemi jogok összetett jogosultságok: egymásra épülnek: pl. az Olvasás és végrehajtás szint tartalmazza ugyanazokat a beállításokat, amelyeket az Olvasás, valamint hozzáad még néhány sajátot..
Minden összetett jog megfelel egy vagy több elemi jognak. A megfeleltetés: Pl. az Írás összetett jogba tartozik a fájlok létrehozása, attribútumok írása stb. Nem szükséges az adott összetett jog minden elemét kiválasztani.
Jogosultságkezelés • Egy felhasználó kétféleképpen szerezhet jogokat • kap valamilyen jogosultságot, • vagy a csoportja. • A saját és az örökölt jogok egyenértékűek. • Ha egy felhasználó többcsoportnak is a tagja, akkor minden csoportjától megörökli az összes jogot (és a tiltásokat is).
Jogosultságkezelés Jogosultságok/Permissions Erőforráshoz hozzáférés állítható Naplózás/Auditing Műveletek naplózása Tulajdonos/Owner Tényleges Jogosultságok /Eff.Perm Ki-mit tehet meg az adott erőforrással
Jogosultságok (1) • Windows opt-in jellegel kezeli a jogosultságot • Csak az férhet hozzá erőforráshoz, akinek engedik • A felhasználó több címen is kaphat jogot (pl. saját név és csoport) • A tagadás mindig erősebb
Jogosultságok (2) • Jogosultság változtatásához kattintsunk az add gombra, majd írjunk be felhasználó vagy csoport nevet • A megfelelő jogosultságokat a pipákkal állíthatjuk
Jogosultságok (3) • Jogokat mindig csoportnak adjunk • Könnyíti a személycserét • Kevesebb bejegyzés az ACL-en • Gyorsabb kiértékelés
Naplózás (1) • Minden felhasználóra beállítható • Sikeres és sikertelen hozzáféréseket naplózhatjuk • Be kell kapcsolni a helyi gépen a naplózást • Vez/Felügyeleti Eszk./Helyi Bizt. Házirend/Naplórend/Obj.Hozzáférés naplózása/sikeres,sikertelen
Feladat • Vegyük saját tulajdonba a Kék hegyek mintaképet • Hozzuk létre Kiss Béla felhasználót (korlátozott) • Állítsunk be naplózást (törlésre, saját tuladonba vételre) • Lépjünk be vele • Póbáljuk meg törölni, illetve saját tulajdonba venni a Kék hegyek mintaképet. • Lépjünk vissza a Hallgatóval és nézzük meg a naplóbejegyzéseket
Naplózás(2) • A naplóbejegyzések az eseménynaplóban fognak megjelenni(vezérlőpult/eseménynapló) • Körültekintően alkalmazzuk, mivel erőforrásigényes
Tulajdonos • Minden erőforrásnak van tulajdonosa • kezdetben a létrehozó • majd aki saját tulajdonba vette • Tulajdont átadni nem lehet, de engedélyezhető az átvétele
Tényleges jogok • Itt tekinthető meg, hogy egy felhasználó milyen jogosultsággal rendelkezik • Nevet be kell írni, ahol pipa van, az mehet
Jogosultságkezelés parancssorból • cacls: • Minden windows XP része, korlátozott használhatósággal • xcacls: • Resource kitben található
cacls használata • cacls filename [/t] [/e] [/c] [/g user|group:perm] [/r user|group [...]] [/p user|group:perm [...]] [/d user|group [...]] • Opciók • /t: könyvtárban és alkönyvráraiban is dolgozik • /e: szerkeszti az ACL-t, nem kicseréli • /c: hibáknál nem áll le • /g user|csoport: engedélyezés: r: olvasás, c: írás, f: teljes elérés • /r user: jog megvonása • /p user|group: felhasználó jogainak lecserélése: n: minden megvonása, r: olvasás, c: írás, f. teljes hozzáférés • /d user|group: hozzáférés tiltása
cacls kimenet értelmezés • Írjuk be: Cacls c:\ • Eredmény (kb) • BUILTIN\Rendszergazdák:(OI)(CI)(IO)F • Rendszergazdák csoportra vonatkozik ez a sor • OI: Object Inherit : ezen könyvtár fájljai örökölni fogják ezt a jogot. • CI: Container Inherit: az alkönyvtárak örökölni fogják ezt a jogot. • IO: Inherit Only: Ez a jog csak öröklődik, erre az objektumra nem vonatkozik. • NP: Non-Propagate: gyermekobjektumok nem fogják örökölni ezt a jogot. • F: Full control • C: Change • W: Write
cacls példa • c mappa minden fájljához és könyvtárához teljes hozzáférés a rendszergazdának • cacls c:\ /t /e /g Administrators:f • C:\ -- itt dolgozzon • /t -- öröklődjenek a jogok • /e -- szerkeszteni szeretnénk • /g Adm. -- administrators csoportnak jog • :f -- teljes hozzáférés
cacls feladat • Adjunk olvasási jogosultságot a hallgató felhasználónak a c:\... fájlhoz. • Ellenőrizzük a GUI-n. caclsfile.txt /e /g hallgato:r
xcacls • Felépítésében hasonló a cacls-hez, azonban részletesebb jogosultság kezelést tesz lehetővé: • /G user:permision[;FolderSpec] • Grant specified user access rights, permision can be: • r Read • c Change (write) • f Full control • p Change Permissions (Special access) • o Take Ownership (Special access) • x EXecute (Special access) • e REad (Special access) • w Write (Special access) • d Delete (Special access) • t Used only by FolderSpec. see below
xcacls • Barátságosabb kimenet • A mezők nagyjából lefedik a GUIban láthatóakat