Безопасность IIS

       

Присвоение прав полного доступа группам Administrators и System


После исключения ненужных групп из списков ACL накопителей можно добавить нужные группы и учетные записи и установить для них права и разрешения. Группы по умолчанию Administrators (Администраторы) и System (Система) добавляются в обязательном порядке. Группа System представляет операционную систему, которой, естественно, требуется доступ ко всем ресурсам компьютера. Члены группы Administrators осуществляют управление сервером. Можно добавить и другие группы, если стратегия управления и политика безопасности организации предусматривает использование вспомогательных ролей с некоторыми наборами администраторских полномочий.

Для добавления нужных групп выполните следующие шаги.

  1. Откройте окно Start\Administration Tools\Computer Management (Пуск\Администрирование\Управление компьютером) и найдите диски компьютера в дереве ресурсов консоли или перейдите к соответствующему устройству с помощью Проводника Windows.
  2. Щелкните правой кнопкой на нужном диске и в появившемся меню выберите Properties для открытия окна Local Disk Properties (Свойства локального диска). Откройте вкладку Security (Безопасность) и нажмите на кнопку Add (Добавить) для добавления новых групп в ACL.
  3. Выделите группы Administrators и System и нажмите на кнопку Add для внесения изменения. Нажмите на OK для сохранения изменений и возврата в окно Local Disk Properties.


После добавления групп и учетных записей установите права и разрешения. Группам Administrators и System следует присвоить права полного доступа к устройству и настроить устройство на наследование разрешений при создании новых директорий на диске.

Ниже приведены инструкции по установке разрешений для каждой группы или учетной записи, добавленной в список ACL.

  1. На вкладке Security (Безопасность) окна Local Disk Properties (Свойства локального диска) выделите группу Administrators в верхнем окне, чтобы отобразить права и разрешения групп в нижнем окне, как показано на рисунке.


  2. Отметьте опцию Full Control Allow (Разрешить полный доступ) для включения всех разрешений для группы, затем нажмите на Apply (Применить) для сохранения изменений.
    Для новой учетной записи нужно включить наследование для рассматриваемого объекта.
  3. Нажмите на кнопку Advanced (Дополнительно), расположенную внизу диалогового окна, чтобы отобразить окно Access Control Settings for Local Disk (Параметры контроля доступа для локального диска) (см. рисунок).



  4. На вкладке Permissions (Разрешения) отметьте опцию Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions (Сброс разрешений на всех дочерних объектах и передача наследуемых разрешений). Нажмите на OK, чтобы сервер обновил реестр Windows 2000, записав в него новые настройки. В запросе на подтверждение нажмите на кнопку Yes (Да) для продолжения работы. Совет. При выполнении процедуры может появиться сообщение об ошибке, информирующее о том, что разрешения в файле Pagefile.sys не могут быть обновлены, так как файл занят. Этот файл используется процессом виртуальной памяти компьютера, и сообщение об этой ошибке всегда отображается при включенной виртуальной памяти. Проигнорируйте эту ошибку.
  5. Повторите шаги 1 – 4 для каждого носителя информации. Совет. Перед нажатием на кнопку OK для переустановки разрешений для всех объектов убедитесь, что все остальные приложения и файлы закрыты, иначе при обновлении реестра появятся сообщения об ошибках.



Содержание раздела