Atribuindo permissões
As permissões são privilégios concedidos a entidades de
sistema específicos , como usuários , grupos ou computadores , permitindo-lhes
realizar uma tarefa ou acessar um recurso . Por exemplo , você pode conceder
uma permissão específica do usuário para ler um arquivo ao mesmo tempo negar
que mesmo usuário as permissões necessárias para modificar ou excluir o
arquivo. O Windows Server 2012 tem vários conjuntos de permissões , que operam
de forma independente um do outro. Para fins de compartilhamento de arquivos,
você deve estar familiarizado com a operação dos seguintes sistemas de
permissão:
·
As permissões de compartilhamento:
controlar o acesso a pastas em uma rede. Para acessar um
arquivo em uma rede, o usuário deve ter permissões de compartilhamento
apropriados ( e permissões NTFS adequadas se a pasta compartilhada é em um
volume NTFS) .
·
Permissões NTFS:
Controlar o acesso
aos arquivos e pastas armazenados em volumes de disco formatados com o sistema
de arquivos NTFS. Para acessar um arquivo , tanto no sistema local ou em uma
rede , um usuário deve ter as permissões NTFS adequadas.
Estes sistemas de permissão de operar independentemente um
do outro e , por vezes, combinam-se para proporcionar uma maior proteção a um
recurso específico . Para usuários de rede ser capaz de acessar uma pasta
compartilhada em uma unidade NTFS , você deve conceder as permissões de
compartilhamento e permissões NTFS. Como você viu anteriormente, você pode
conceder essas permissões, como parte do processo de criação da ação, mas você
também pode modificar as permissões em qualquer momento depois.
Entendendo a arquitetura de permissão do Windows
Para armazenar as permissões, cada um desses elementos tem uma lista de controle de acesso ( ACL). Uma ACL é uma coleção de permissões individuais, sob a forma de entradas de controle de acesso (ACEs) . Cada ACE consiste em uma entidade de segurança (isto é, o nome do usuário, grupo ou computador concedidas as permissões) e as permissões específicas atribuídas a essa entidade de segurança. Quando você gerenciar permissões em qualquer um dos sistemas de permissão do Windows Server 2012, você está, na verdade, criando e modificando as ACEs em uma ACL.
Para gerenciar permissões no Windows Server 2012 , você pode
usar uma aba em Propriedades do elemento protegido, com as entidades de
segurança listadas na parte superior e as permissões associadas a eles na parte
inferior. As permissões de compartilhamento são normalmente encontradas nas abas
Permissões de compartilhamento e permissões NTFS.Todos os sistemas de permissão
Windows usam a mesma interface de base. Server Manager também fornece acesso NTFS
e permissões de compartilhamento usando uma interface um pouco diferente.
Entendendo as permissões básicas e avançadas
As permissões de proteção de um arquivo não são como senhas.
As permissões são projetadas para ser granular , o que permite a concessão de
graus específicos de acesso a entidades de segurança.
Para fornecer essa granularidade, cada um dos sistemas de
permissão do Windows tem uma variedade de permissões que você pode atribuir a
uma entidade de segurança em qualquer combinação. Dependendo do sistema de
permissão com a qual você está trabalhando, você pode ter dezenas de diferentes
permissões disponíveis para um único elemento do sistema.
O Windows oferece combinações pré-configurada adequada para
a maioria das tarefas de controle de acesso comum. Quando você abrir a opção de
propriedades de um elemento do sistema e olhar a guia segurança , as permissões
NTFS que você vê são chamados permissões básicas .
Por exemplo, o sistema de permissões NTFS tem 14 permissões
avançadas você pode atribuir a uma pasta ou arquivo. No entanto, também existem
seis permissões básicas. Na maioria dos casos, os
administradores trabalham apenas com permissões básicas. Muitos administradores
raramente, ou nunca, trabalharam diretamente com permissões avançadas.
Se você achar que é necessário no seu ambiente trabalhar com
permissões avançadas, o Windows torna possível. Quando você clicar no botão
Avançado na guia Segurança de qualquer opção de propriedades, uma caixa de
diálogo Configurações de segurança avançadas, o que lhe permite acessar
diretamente as ACEs para o elemento do sistema selecionado.
Permitir e negar permissões
Quando você atribuir permissões a um elemento do sistema,
você está, na verdade, criando um novo ACE na ACL do elemento. Existem dois
tipos básicos de ACE: Permitir e Negar. Isso torna possível abordar as tarefas
de gerenciamento de permissão de duas direções:
Aditivo: Iniciar sem permissões e conceder as permissões aos
objetos conforme o necessário
Diminutivo: concedendo todas as permissões possíveis e negar somente o que não pode ser visto.
A maioria dos administradores preferem a abordagem aditiva,
porque o Windows, por padrão, tenta limitar o acesso. Em uma hierarquia de
permissões planejada, o uso de negar permissões é muitas vezes desnecessário.
Muitos administradores desaprovam seu uso porque misturar “permitir” e “ negar”
pode dificultar a resolução de problemas.
Herança de permissões
O princípio mais importante na gestão de permissão é que as
permissões tendem a correr para baixo através de uma hierarquia. Isso é chamado
de herança de permissão . Herança de permissão significa que elementos pai
passar suas permissões para baixo (pasta filho)e seus elementos subordinados.
Por exemplo, quando você concede Alice permissão para acessar a raiz da unidade
D, todas as pastas e subpastas na unidade D herdam essas permissões , e Alice
pode acessá-los .
O princípio da herança simplifica muito o processo de
atribuição de permissão . Sem ele, você teria que conceder permissões
individuais para cada arquivo, pasta, objeto e etc. Com a herança , você pode
conceder acesso a um sistema de arquivo inteiro , criando um conjunto de
permissões.
Em algumas situações , um administrador pode querer impedir
que elementos subordinados herdem permissões de seus pais. Há duas maneiras de
fazer isso:
·
Desligue herança: Ao atribuir permissões avançadas , você pode
configurar uma ACE para não passar suas permissões aos elementos subordinados.
Isto bloqueia eficazmente o processo.
·
Negar permissões: Quando você atribuir uma permissão Negar a um
elemento do sistema , ela substitui qualquer Permitir que as permissões que o
elemento pode ter herdado de seus objetos pai .
Permissões Efetivas
Ela calcula as permissões concedidas ao usuário ou grupo especificado. O cálculo leva em conta as permissões em vigor relativas à participação em um grupo, bem como qualquer permissão herdada do objeto pai. Ela pesquisa todos os grupos de domínio e locais dos quais o usuário ou o grupo é membro.
O grupo "Todos" sempre será incluído se o usuário ou o grupo selecionado não for membro do grupo "Logon anônimo". Na família Windows Server°2003, o grupo Todos não inclui mais Logon Anônimo.
A ferramenta "Permissões efetivas" somente produz uma aproximação das permissões de um usuário. As permissões reais do usuário podem ser diferentes, pois elas podem ser concedidas ou negadas dependendo do modo de logon de um usuário. Essas informações específicas de logon não podem ser determinadas pela ferramenta <b>Permissões efetivas</b> já que o usuário não está conectado; portanto, as permissões efetivas exibidas refletirão apenas as especificadas pelo usuário ou pelo grupo, e não as especificadas pelo logon.
Por exemplo, se um usuário estiver conectado a esse computador através de um compartilhamento de arquivo, o logon desse usuário será marcado como logon de rede. As permissões podem ser concedidas ou negadas à rede SID (identificador de segurança) que o usuário conectado recebe, portanto, um usuário terá permissões diferentes quando estiver conectado localmente das permissões concedidas quando estiver conectado por meio de uma rede
Por exemplo, se um usuário estiver conectado a esse computador através de um compartilhamento de arquivo, o logon desse usuário será marcado como logon de rede. As permissões podem ser concedidas ou negadas à rede SID (identificador de segurança) que o usuário conectado recebe, portanto, um usuário terá permissões diferentes quando estiver conectado localmente das permissões concedidas quando estiver conectado por meio de uma rede
Definindo permissões de compartilhamento
No Windows Server 2012, as pastas compartilhadas têm o seu
próprio sistema de permissões, que é independente dos outros sistemas de
permissão do Windows. Para os usuários da rede acessar compartilhamentos em um servidor de
arquivos, você deve conceder-lhes as permissões de compartilhamento
apropriadas. Por padrão, a identidade especial “Todo mundo “ recebe a permissão
de Permitir controle total de todas as novas ações criadas.
Usando esta interface, você pode adicionar objetos de
segurança e permitir ou negar-lhes as três permissões de compartilhamento. Para
ter um controle avançado sobre essas permissões, abra o " server mananger", clique
em "File and Storage Services", clique em "Shares", clique com o botão direito no titulo do compartilhamento depois propriedades,
em seguida em permissões e finalizando, permissões avançadas
Entendendo autorização NTFS
No sistema de permissões NTFS, que ReFS também suporta, as entidades
de segurança envolvidas são usuários e grupos, que o Windows se refere usando
identificadores de segurança (SID). Quando um usuário tenta acessar um arquivo
ou pasta NTFS, o sistema lê o token de acesso de segurança do usuário, que
contém os SIDs para a conta do usuário e todos os grupos aos quais o usuário
pertence. O sistema então compara esses SIDs para os armazenados no arquivo ou
ACEs da pasta para determinar o que o usuário pode acessar. Este processo é
chamado de autorização.
Atribuindo permissões NTFS avançadas
No Windows Server 2012, a capacidade de gerenciar permissões
avançadas está integrado à interface que você usa para gerenciar permissões
básicas.
Na caixa de diálogo Entrada de permissão, clique no Permissões
Avançadas . Você poderá então atribuir permissões avançadas em qualquer
combinação, tal como faria permissões básicas.
Combinando permissões de compartilhamento e NTFS
É importante que os administradores de servidor de arquivos entendam que o sistema NTFS e sistema de
compartilhamento estão completamente separados , e que, para os usuários da
rede acessar arquivos em uma unidade NTFS compartilhada , eles devem ter ambas permissões
configuradas corretamente.
As permissões de compartilhamento e NTFS atribuídas a um
arquivo ou pasta podem entrar em conflito . Por exemplo, se um usuário tem
permissão NTFS de gravar e modificar uma pasta, mas não tem a permissão de
compartilhamento Alterar , o usuário não será capaz de modificar um arquivo
nessa pasta.
O sistema de permissão de compartilhamento é o mais simples
dos sistemas de permissão do Windows , e fornece apenas uma proteção básica
para recursos compartilhados de rede em
contraste com o muito mais complexo sistema de permissões NTFS. Geralmente, os
administradores de rede preferem usar NTFS ou permissões de compartilhamento,
mas não ambos. As permissões de compartilhamento oferecem proteção limitada,
mas isso pode ser suficiente em algumas redes pequenas.
·
As permissões de compartilhamento também pode
ser a única opção em um computador com unidades FAT32 porque o sistema de
arquivos FAT não tem seu próprio sistema de permissão. Em grandes redes que já possuem um sistema bem
planejado de permissões NTFS , as permissões de compartilhamento não são necessárias .
Nenhum comentário:
Postar um comentário