Настройка групп и параметров администратора по умолчанию
Первое, что необходимо сделать для управления списками ACL на веб-сервере, – заблокировать возможность управления ресурсами хранилищ данных. Иными словами, следует определить, кто имеет право на доступ к хранилищу.
В Windows 2000 устанавливается набор учетных записей администраторов, групп и пользователей по умолчанию. При установке IIS эти параметры не изменяются. В таблице 4.3 приведены учетные записи и группы по умолчанию при установке на изолированный компьютер.
Спектр прав и разрешений администраторов очень широк (см. табл. 4.4). Администратор имеет полный набор прав по управлению системой и осуществляет всесторонний контроль над ней.
Administrators (Администраторы) Backup Operators (Операторы резервного копирования) Guests (Гости) Power Users (Опытные пользователи) Replicator (Репликатор) Users (Пользователи) Everyone (Все пользователи) Web Anonymous Users (Анонимные пользователи интернета) Web Applications (При-ложения интернета) |
SYSTEM (Система) CREATOR OWNER (Владелец-создатель) AUTHENTICATED USERS (Авторизованные пользователи) ANONYMOUS LOG-IN (Анонимный вход) BATCH (Пакетный файл) Service (Служба) CREATOR GROUP (Группа создателя) DIALUP (Удаленный доступ) INTERACTIVE NETWORK TERMINAL SERVICE USERS (Пользователи службы терминала) |
Administrator (Администратор). Guest (Гость). IUSR_computername (IUSR_имя_компьютера). IWAM_computername (IWAM_имя_компьютера). TsInternetUser. |
Traverse Folder/Execute File (Проход по каталогам/запуск файла) | Traverse Folder позволяет открывать каталог для доступа к другим файлам и каталогам, независимо от разрешений, имеющихся у пользователя относительно данной папки (только для каталогов). Используется только в том случае, если у пользователя нет права Bypass Traverse Checking (Обход проверки прохода). Execute File позволяет запускать файлы программ (только для файлов). |
List Folder/Read Data (Просмотр каталога/чтение данных) | List Folder позволяет просматривать имена файлов и подкаталога (только для каталогов). Read Data позволяет осуществлять считывание файлов (только для файлов). |
Read Attributes (Считывание атрибутов) | Позволяет просматривать NTFS-атрибуты файла. |
Read Extended Attributes (Считывание расширенных атрибутов) | Позволяет просматривать расширенные атрибуты файла, определяемые разными программами. |
Create Files/Write Data (Создание файлов/запись данных) | Create Files позволяет создавать файлы в каталоге (только для каталогов). Write Data позволяет изменять и/или перезаписывать файлы (только для файлов). |
Create Folders/Append data (Создание каталогов/присоединение данных) | Create Folders позволяет создавать папки внутри папки (только для каталогов). Append data позволяет вносить изменения в конец файла (только для файлов). |
Write Attributes (Запись атрибутов) | Позволяет изменять атрибуты NTFS файлов (например, "только чтение" или "скрытый"). |
Write Extended Attributes (Запись расширенных атрибутов) | Позволяет изменять расширенные атрибуты файла, специфичные для определенной программы. |
Delete Subfolders and Files (Удаление подкаталогов и файлов) | Позволяет удалять подкаталоги и файлы независимо от присвоения подкаталогу или файлу разрешения Delete (Удаление). |
Delete (Удаление) | Позволяет удалять файл или каталог. |
Read Permissions (Чтение разрешений) | Позволяет просматривать разрешения, установленные для каталога или файла. |
Change Permissions (Изменение разрешений) | Позволяет изменять разрешения для файла или каталога. |
Take Ownership (Присвоение права собственности) | Позволяет присваивать право собственности для файла или каталога. |
Как правило, во всех учетных записях отсутствует возможность полного управления списками ACL веб-сервера, если только пользователь не наделяется полномочиями администратора. Даже в этом случае его полномочия ограничиваются некоторым неполным набором администраторских привилегий и ресурсов. Например, веб-менеджер наделяется следующими разрешениями в корневом каталоге диска с содержимым веб-сервера (но только для этого каталога и только на этом диске).
- Modify (Изменение). Внесение изменений в каталог.
- Read & Execute (Чтение и выполнение). Запуск исполняемых программ.
- List Folder Contents (Просмотр содержимого каталога). Просмотр перечня файлов в каталогах.
- Read (Чтение). Просмотр файлов данных в каталоге.
- Write (Запись). Сохранение новых файлов в каталоге.
Этот набор разрешений включает практически все функции всестороннего контроля над системой, за исключением некоторых. В таблице 4.5, взятой из документации Microsoft по IIS, отражены отличия прав и разрешений веб-менеджера от полномочий, позволяющих полностью управлять системой.
Учетные записи других пользователей веб-сервера (не являющихся менеджерами или администраторами), как правило, являются довольно ограниченными и обычно соответствуют лишь разрешениям на чтение (как при анонимном доступе).
Проход по папкам/Выполнение файла | v | v | v | ||
Просмотр папки/Чтение данных | v | v | v | v | |
Чтение атрибутов | v | v | v | v | |
Чтение расширенных атрибутов | v | v | v | v | |
Создание файлов/Запись данных | v | v | |||
Создание папок/Присоединение данных | v | v | |||
Запись атрибутов | v | v | |||
Запись расширенных атрибутов | v | v | |||
Удаление подпапок и файлов | |||||
Удаление | v | v | |||
Чтение разрешений | v | v | v | v | |
Изменение разрешений | |||||
Присвоение прав владения |