Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени. Вкратце, если вы установили определенные разрешения для папки, то эти разрешения распространяются на все ее файлы и подпапки (хотя обычно во время настройки Windows спрашивает, нужно ли включить наследование). Когда разрешения для родительской папки распространяются также и на дочернюю папку или файл, то говорят, что дочерний объект «наследует» разрешения от родительского. Изменить унаследованные разрешения дочернего объекта невозможно, по крайней мере, пока включено наследование от предка.

I Вкладка Аудит (Auditing) диалогового окна Дополнительные параметры безопасности т •, I (Advanced Security Settings) помогает отслеживать доступ к интересующему вас объ-^ д*. екту. Для того чтобы начать собирать данные доступа, сначала нужно настроить политику аудита в окне Редактор локальной групповой политики (Group Policy) (gpedit. msc). Выберите пункт Конфигурация компьютера\Конфигурация WindowsVlapaMeTpu безопасности\Локальные политики\Политика аудита (Computer Configuration\Windows Settings\Security Settings\LocaI Policies\Audit Policy) и дважды щелкните на любой

записи в правой панели (например, Аудит событий входа в систему (Audit logon events) или Аудит использования привилегий (Audit privilege use)). Так вы включите отслеживание этих событий. Позже можно будет открыть инструмент просмотра событий (eventvwr.msc) и проверить соответствующие журналы. Обратите внимание на то, что параметры на вкладке Аудит (Auditing) также подчиняются правилу наследования, о котором говорилось выше.

Вкладка Действующие разрешения (Effective Permissions) — это инструмент устранения неполадок, с помощью которого можно проверить, как разрешения выбранного объекта влияют на конкретного пользователя. Это особенно полезно при работе с группами пользователей.

Наконец, на вкладке Владелец (Owner) вы настраиваете владение одним или несколькими объектами. Принцип владения объектами в Windows зачастую вызывает непонимание и сложности при настройке разрешений, однако в Windows 7 это один из способов блокировки важных файлов операционной системы и ключей реестра. По умолчанию владелец всех объектов системного уровня — это пользователь СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner) (подробнее об этой учетной записи — во врезке «Кто такой создатель-владелец?»). Для того чтобы изменить подобный файл или папку, сначала необходимо назначить себя его владельцем. Для этого выберите свое имя пользователя в списке групп и пользователей, установите флажок Заменить владельца подконтейнеров и объектов (Replace owner on subcontaintes and objects) и нажмите OK во всех открытых окнах настройки разрешений. Только после этого вы сможете установить необходимые разрешения, заново открыв главное окно настройки разрешений. В этой книге я приводил несколько примеров подобной процедуры, в частности, в главах 3 и 6.

КТО ТАКОЙ СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ?

Время от времени вам будут встречаться упоминания о пользователе СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner). Это имя пользователя можно увидеть в окне настройки разрешений, но найти соответствующую учетную запись с помощью любого из инструментов, описанных в начале главы, невозможно.

Почему? Потому что СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner) - это не учетная запись.

Это некий общий псевдоним, предназначенный д ля защиты объекта. Он гарантирует, что изменить объект сможет только его владелец.

Предположим, пользователь создает на компьютере электронную таблицу Excel и сохраняет ее в общей папке. Потом кто-то другой заходит на тот же компьютер под другим именем пользователя и открывает этот документ. В некоторых случаях, в зависимости от разрешений файла, второй пользователь не сможет изменить файл и сохранить изменения, пока не назначит себя его владельцем.

Эта схема полна сложностей и трудна в понимании, но, к счастью, необходимости углубляться в детали нет. Когда второй пользователь переходит на вкладку Владелец (Owner) диалогового окна Дополнительные параметры безопасности (Advanced Security

Settings), в поле Текущий владелец (Current owner) может отображаться не настоящее имя пользователя, создавшего файл, а псевдоним СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ (Creator Owner). Это ничего не меняет; новый пользователь просто выбирает в списке свое имя и щелкает на кнопке ОК.

Вероятно, чаще всего с соз дател ем - владел ьцем вы будете встречаться при изменении ключей реестра. Windows не позволит модифицировать значение ключа до тех пор, пока вы не сделаете себя его владельцем и не закроете все окна настройки разрешений. Только после этого можно снова открыть те же окна и внести необходимые изменения. Пример подобной ситуации см. в раздаче «Как запретить изменения в разделе реестра».