Установка доступа к объектам с использованием дискреционного метода ПРД.
Если в файле accord.ini параметр MandatoryAccess=No то используется только дискреционный механизм задания и контроля ПРД.
В главном окне программы (см. Рис. 2) нажмите мышкой правую кнопку в строке "Разграничение доступа", и на экран выводится окно с правами доступа пользователя к ресурсам ПЭВМ (АС), показанное на Рис.16, где по умолчанию, выведен перечень всех доступных корневых каталогов (для сетевых корневых каталогов указано полное сетевое имя), ключей реестра (строки, начинающиеся с «\HKEY_»), сетевых и локальных принтеров.
В этом окне нет деления на диски, каталоги, файлы и т.д., а ведется один общий список объектов. Для того, чтобы запретить доступ к логическому диску достаточно исключить корневой каталог этого диска из списка объектов.
Если какой-либо объект (каталог, файл, раздел реестра, сетевой ресурс, устройство или очередь печати) явно прописан в списке, то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня.
Для того, чтобы сделать какой-либо файл «скрытым», т.е. полностью запретить к нему доступ, нужно включить его в список объектов, но не назначать ни одного атрибута доступа. Более подробно действие атрибутов доступа описано в «Руководстве администратора» (11443195.4012-019 90 01).
 |
Рис. 16. Окно установки дискреционных ПРД к объектам.
ВНИМАНИЕ!
При задании параметров доступа к сетевым ресурсам, необходимо указывать полное сетевое имя ресурса, например: \\SERVER1\VOL2\DOC1\.
В разделе «Объекты» (Рис.16) выберите строку с нужным именем объекта и нажмите кнопку «Редактировать» или клавишу <Enter> - выводится окно для определения правил доступа к объекту, показанное на Рис. 17.
Если Вы хотите удалить какой-либо объект и установленные для него ПРД, то выберите строку с названием объекта, нажмите кнопку «Удалить» или клавишу <Delete>. Подтвердите или отмените удаление.
Для выхода из режима редактирования с сохранением, нажмите кнопку «Запись» или клавишу <F2>, без сохранения – «Закрыть» или <Esc>.
Примечание: при вводе имени файла можно пользоваться простым групповым обозначением имени файла, используя шаблон *.расширение. Например, можно *.bak, *.exe и т.п., нельзя *a.exe, a*.bat, &a.dat, ?a.dat, a.* и т.п.
 |
Рис. 17. Атрибуты доступа к объекту.
При установке дискреционных ПРД могут использоваться следующие атрибуты доступа:
I. Операции с файлами:
R - разрешение на открытие файлов только для чтения.
W - разрешение на открытие файлов для записи.
C - разрешение на создание файлов на диске.
D - разрешение на удаление файлов.
N - разрешение на переименование файлов.
V - видимость файлов. Позволяет делать существующие файлы невидимыми для программ. Этот параметр имеет более выcокий приоритет, чем R,W,D,N,O.
О - эмуляция разрешения на запись информации в файл. Этот параметр имеет более низкий приоритет, чем W (открыть для записи).
II. Операции с каталогом:
M - создание каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
Е - удаление каталогов на диске (или подкаталогов в каталоге, для которого устанавливается атрибут).
G - разрешение перехода в этот каталог.
n – переименование каталога. В ОС Windows, например, удаление папки в "корзину" – это, на самом деле, переименование каталога.
III. Прочее:
Х - разрешение на запуск программ.
IV. Регистрация:
r - регистрируются все операции чтения файлов диска в журнале.
w - регистрируются все операции записи файлов диска в журнале.
Примечание: для группового манипулирования параметрами доступа пользуйтесь кнопками «Сброс» (сбрасывает все параметры), «Чтение» (устанавливает параметры R, V, G, X, A), «Полный» (устанавливает все параметры кроме параметров группы «Регистрация») или соответствующими им горячими клавишами - <Ctrl+C>, <Ctrl+R>, <Ctrl+F> (Рис. 17).
Для каталогов, в том числе и корневого каталога диска, устанавливается отдельный параметр, который очень важен для реализации ПРД – это параметр наследования прав доступа.
Параметр наследования прав доступа может принимать три значения:
S - параметры доступа наследуются существующими и созданными в дальнейшем подкаталогами всех уровней текущего каталога, т.е. для них устанавливаются те же параметры доступа, что и у "родительского" каталога, когда для подкаталогов явно определены атрибуты доступа к ним;
1 - параметры доступа текущего каталога наследуется только подкаталогами следующего уровня;
0 - параметры доступа текущего каталога не наследуются подкаталогами.
Например, если для корня дерева каталогов диска C:\ установить атрибут 0, то остальные каталоги будут доступны пользователю (с любой непротиворечивой комбинацией атрибутов) только при явном описании каталога в списке. Остальные каталоги для данного пользователя как бы не существуют. Если для корневого каталога C:\ установить атрибут S, то все его каталоги и подкаталоги доступны пользователю и правила доступа к ним определяется атрибутами, установленными для C:\. В этом случае отдельный каталог можно включить в список и установить для него персональные атрибуты, отличные от "родительских". Еще раз подчеркиваем, что, если какой-либо объект явно прописан в списке доступа, то для него действуют установленные ПРД, независимо от атрибутов наследования объектов вышестоящего уровня.
Если необходимый Вам объект отсутствует в списке (Рис. 16), нажмите кнопку «Новый» или клавишу <Insert> - на экран выводится расширенное окно «Атрибуты доступа к объектам» (Рис. 18).
Справа в этом окне отображен список всех объектов. Каждый объект выделен цветом, соответствующим наследованию прав доступа и наличию объекта в списке разграничения прав доступа (Таблица 1.).
Таблица 1.
| Наличие объекта в списке | Атрибут наследования прав доступа | Цвет |
| Есть | Полное наследование | Зеленый |
| Есть | Наследование на один уровень | Синий |
| Есть | Нет наследования | Красный |
| Нет | Атрибуты доступа наследуются | Коричневый |
| Нет | Нет доступа | Черный |
 |
Рис. 18. Определение нового объекта и установка ПРД.
Введите в поле «Имя объекта» имя объекта и установите для него необходимые атрибуты. С помощью мыши также можно выбрать имя объекта, щелкнув левой кнопкой мыши на имени объекта в дереве объектов, тогда в поле «Имя объекта» отобразится имя выделенного объекта, а в поле «Тип объекта» - его тип (каталог, файл, реестр). Если у выделенного объекта уже установлены ПРД, то будут установлены соответствующие флаги, если нет, то все флаги будут сброшены. Для сохранения изменений ПРД выделенного объекта, нажмите кнопку «Запись» или клавишу <F2>.
Для выхода из режима редактирования нажмите кнопку «Закрыть» или клавишу <Esc>.
6.13.Сообщения, выдаваемые программой при установке дискреционных ПРД, и порядок действий по ним:
| Сообщение | Причина | Порядок действий |
| «Сохранить изменения для объекта (указывается имя_объекта доступа)?» | После изменения ПРД выделенного объекта не сохранены измене-ния | «Да» - сохранить изменения «Нет» - не сохранять изменения. |