Clericos писал(а):P.S. Прошу прощения, если опять задел чьи-то чувства (что уже бывало, к сожалению). Я не фанат MS. Просто 15 лет админю Win сети и чуть-чуть netware/groupwise, с проблемами этими сталкивался только в начале карьеры.
p.s. Знаю, у Novell попроще и удобнее будет.
Я админю венду (с самой первой версии NT 3.1), NW (с версии 2.15C), *nix (linux с самых первых версий, с начала 1990-х) уже более двадцати лет, хорошо знаю сильные и слабые стороны и тех и других. Более того, многократно доводилось курсы по этой тематике проводить, народ учить (и сейчас учу, н-р, курс по ИТ безопасности в НГУ, я активно использую сравнение управления доступом в венде, NW, *nix-ах). Так что за просвещение спасибо, но мне конкретно оно какбэ не очень нужно - сам кого хочешь научу
Про назначение прав в венде ОДИН РАЗ и их раздачу используя группы (привет AGUDLP ), думаю, все в курсе. Просто в очередной раз был констатирован факт, что права на NFTS а) статические б) долго "прорастают". И всё.
Clericos писал(а):Это, КСТАТИ, отдельная особенность которую нужно знать Netware админу. После добавления в группу/исключения из группы - это вступает в силу через некоторое (лень искать в документации) время, либо сразу если человек перелогинился.).
Про эту особенность, опять же, думаю, любой мало-мальски грамотный админ в курсе. Т.к. исключение из группы попадает под те же правила - удалил пользователя из группы, у которой назначены права, а юзер продолжает иметь доступ к ресурсу - это некоторых админов реально раздражает . Пока либо ишак не сдохнет, либо время жизни тикета не истечёт, либо пока юзер не перелогинится . Кстати, сейчас дефолтное время жизни сервисного тикета - которое вам лень искать - 10 часов. В более ранних версиях венды дефолт lifetime был посерьёзнее - 7 суток
Да, вспомнил ещё одну удобную вещь в раздаче прав на NTFS, эквивалента которой у NW не было и нет - возможность сделать DENY в DACL, а не только ALLOW. Пример, когда это удобно, навскидку: дал права какой-то группе на несколько разных ресурсов, и требуется для одного ресурса закрыть доступ для одного юзера, члена этой группы. Решение с DENY простое: делаем на требуемом ресурсе DENY для этого одного юзера, не удаляя его из группы. В Netware/OES запретить доступ одному юзеру можно только удалив его из списка членов группы, т.к. из-за эквивалента по безопасности он всегда будет иметь права НЕ МЕНЬШЕ, чем имеет группа.
Это (эквивалентность по безопасности) ещё более ярко проявляется, если, н-р, дать права какому-нибудь контейнерному объекту (OU) - после этого все объекты, у которых FDN содержит в правой части имя этого контейнерного объекта, будут иметь права не меньше, чем этот контейнерный объект. Т.е., если назначить RWECMFA для .LAB1.LAB.CORP на какой-нибудь ресурс, все юзеры с именем вида .User.LAB1.LAB.CORP меньше прав уже иметь не могут (н-р, если захочется оставить им только RF). Т.к. DENY нет, права могут только "добавляться", а не "вычитаться" И IRF действует НА ТО, на что назначены права, а НЕ НА ТОГО, кому они назначены. Т.е., урезать права на файлы/папки ниже по дереву - пожалуйста, а уменьшить права юзеру, если он получил эти права по эквиваленту безопасности (группа, контейнер) - обломись.