RMVezba3 PDF

Висока школа електротехнике и рачунарства Рачунарске мреже
III ВЕЖБА
3. ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА 2
3.1 ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА (ЕНГ. SHARE PERMISSIONS) 2

3.2 ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА (ЕНГ. SECURITY OR NTFS PERMISSIONS) 2
ВЕЖБЕ 3
АКТИВНОСТ 1: ПОСТУПАК ДЕЉЕЊА ФОЛДЕРА 3

АКТИВНОСТ 2 : УПОТРЕБА ГРУПА ЗА КОНТРОЛУ ПРИСТУПА 5
АКТИВНОСТ 3 : ПОВЕЗИВАЊЕ СА ДЕЉЕНИМ ФОЛДЕРИМА 7
МАПИРАЊЕ МРЕЖНОГ ДИСКА 7
УПОТРЕБА UNC ПУТАЊЕ 7
АКТИВНОСТ 4 : ПРЕГЛЕД ДЕЉЕНИХ ФОЛДЕРА НА СЕРВЕРУ 8
НЕДОСТАЦИ ЗАШТИТЕ РЕСУРСА ДОЗВОЛАМА ЗА ДЕЉЕНЕ ФОЛДЕРЕ 8
АКТИВНОСТ 5 : УПОЗНАВАЊЕ СА NTFS ДОЗВОЛАМА 9
АКТИВНОСТ 6 : УПРАВЉАЊЕ НАСЛЕЂИВАЊЕМ ДОЗВОЛА 10
АКТИВНОСТ 7 : КОМБИНОВАЊЕ ДОЗВОЛА ЗА ДЕЉЕНЕ ФОЛДЕРЕ И NTFS ДОЗВОЛА 12
АКТИВНОСТ 8 : ПРЕГЛЕД ЕФЕКТИВНИХ ДОЗВОЛА 15
АКТИВНОСТ 9 : ВЛАСНИШТВО НАД ФАЈЛОВИМА 16
Циљ вежбе је да се студенти упознају са дозволама које је могуће подесити над

фолдерима у циљу заштите од неауторизованог приступа. У практичном делу вежбе
биће извршена анализа два типа дозвола и то дозвола над дељеним фолдерима и
дозвола над објектима фајл система. Поред тога биће речи и о томе како се
наведени типови дозвола комбинују. На крају вежбе биће споменут појам
власништва над фајловима.
3. Дозволе над дељеним фолдерима и дозволе на нивоу система

фајлова
3.1 Дозволе над дељеним фолдерима (енг. Share Permissions)
Сервери у мрежи често имају улогу фајл сервера (послужитеља датотека). Фајл сервер омогу-
ћава да клијенти преко мреже приступају систему фајлова на серверу. На тај начин клијенти могу да
користе удаљени систем фајлова на серверу као да је реч о локалном.
На Windows оперативном систему за дељење фајлова задужена је компонента под називом „Fi-
le and Printer Sharing for Microsoft Network“, која постоји и на клијентским и на серверским верзијама
Windows-а. То значи да у мањим мрежама и клијентске радне станице могу имати улогу фајл сервера
(са највише 10 клијената). У већим мрежама улогу фајл сервера обично има посебан, наменски
рачунар са серверским оперативним системом.
Да би део фајл система са сервера (читав диск, или неки фолдер са подфолдерима) био досту-
пан клијентима преко мреже, мора се претходно прогласити дељеним („Shared“). Саставни део дељења
фолдера је и одређивање дозвола за дељене фолдере.
Дозволе за дељене фолдере описују ниво приступа који поједини корисници имају када том
ресурсу, дељеном фолдеру, приступају преко мреже. У оквиру вежби, за организовање приступа
дељеним фолдерима биће коришћене локалне групе, у које су учлањене глобалне групе, у које су
учлањени појединачни корисници.
3.2 Дозволе на нивоу система фајлова (енг. Security or NTFS Permissions)

Уколико је диск Windows рачунара форматиран са NTFS фајл системом, онда је могуће контро-
лисати приступ фајловима и фолдерима уз помоћ NTFS дозвола. Заштита на нивоу система фајлова
има предност у односу на заштиту приступа дозволама за дељене фолдере. Дозволе, на нивоу система
фајлова односе се и на кориснике који фајлу или фолдеру приступају са локалног рачунара, као и на
кориснике који приступају преко мреже (уколико је фолдер дељен). Супротно томе, дозволе за дељене
фолдере уопште се не односе на кориснике који фолдеру приступају локално. Постоје и друге
предности NTFS дозвола: могућа је прецизнија контрола јер постоји више могућих нивоа приступа,
могуће је подесити NTFS дозволе за појединачне фајлове.
2
Вежбе
Активност 1: Поступак дељења фолдера
Фолдери се могу делити на неколико начина, а најједноставнији поступак је из прозора „Windows
Explorer“.
1. Отворити „Computer“ прозор („Start“ -> „Computer“), а затим, двоструким кликом отворити диск C:
2. На диску C: направити фолдер „Проба“.
3. Уочити на диску C: фолдер „Проба“, притиснути десним кликом миша, и изабрати опцију
„Properties“.
4. Изабрати картицу „Sharing“.
5. Кликнути на дугме "Advanced Sharing".
6. У новоотвореном прозору селектовати опцију "Share this folder".
7. Име под којим се фолдер види на мрежи („Share name“) може бити различито од имена које
фолдер има на диску. Ову могућност нећемо користити.
8. Додатно, може се унети опис дељеног фолдера који корисници могу да виде када претражују
мрежу у пољу „Description“ (сада не уносимо ништа).
9. Кликнути на дугме „Permissions“ како бисмо одредили ко и на какав начин може да приступа
овом фолдеру преко мреже.
Слика 3.1 : Дељење фолдера
3
Слика 3.2 : Дозволе за дељене фолдере
У горњем пољу наведени су објекти, односно корисници и групе (тренутно само група „Eve-
ryone“), а у доњем делу наведене су дозволе које су том објекту дате.
Постоје 3 дозволе које се могу дати некоме над дељеним фолдером:
 „Read“ могућност да се чита, односно отвори фолдер, подфолдер и фајлови у њима.
 „Change“ омогућава, поред дозвола читања, и могућност измена, додавање и брисање фајлова
и фолдера унутар подфолдера.
 „Full Control“ омогућава , поред дозвола за мењање садржаја фолдера, и могућност да се ме-
њају дозволе над фајловима и фолдерима (овде се мисли на NTFS дозволе које се раде
касније).
Група „Everyone“ је уграђена системска група која обухвата све кориснике. Видимо да је у току
дељења фолдера овој групи дата (колона „Allow“), дозвола „Read“, односно читање.
Дијалог за подешавање дозвола има колону „Allow“ за додељивање дозвола, и колону „Deny“ за
одузимање дозвола. Експлицитно одузимање дозвола обично није неопходно. Групе које нису наведене
у листи имплицитно немају никакве дозволе за приступ.
Пример за употребу „Deny“ колоне био би: „сви корисници у Београду треба да имају приступ
али не и корисници који раде као службеници“. Тада бисмо могли да групи која обухвата све кориснике
у Београду дамо („Allow“) дозволу за читање, а да корисницима који су службеници у Београду
одузмемо („Deny“) исту дозволу. Ако неки корисник има и дозволу и исту такву забрану, забрана
надјачава дозволу и корисник нема право приступа. Другачијом употребом група могла би се избећи
употреба „Deny“ колоне и остварити једноставнија и прегледнија листа за контролу приступа. У оквиру
вежби неће бити коришћена колона „Deny“.
10. Кликнути на дугме „ОК“.
4
11. Уочити да је иконица која представља фолдер измењена како би означила да је фолдер дељен.
Активност 2 : Употреба група за контролу приступа

За уредну контролу приступа на вежбама користићемо глобалне и локалне групе, на већ
наведен начин: корисници ће бити учлањени у глобалне групе, глобалне групе ће бити учлањене у
локалне групе, локалним групама ће бити додељене дозволе за приступ дељеним фолдерима.
Претпоставимо да је задатак следећи: на серверу је потребно направити дељени фолдер „Из-
вештаји“ који ће бити доступан преко мреже. Само корисници који раде у администрацији, службеници,
треба да могу да приступе том фолдеру. Требало би да службеници у том фолдеру могу да читају,
креирају и бришу своје фајлове и фолдере.
У ранијим активностима већ смо урадили први корак: сви корисници су организовани у глобалне
групе према функцији на послу. Тако већ имамо глобалну групу „Службеници“ која обухвата све
кориснике који нас интересују.
Следећи корак је да креирамо локалну групу за приступ дељеном ресурсу. Пошто се ресурс –
фолдер зове „Извештаји“, креираћемо и истоимену локалну групу:
1. Отворити алатку „Active Directory Users and Computers“.
2. У левом пољу уочити организациону јединицу „Групе“, притиснути десним кликом миша,
изабрати „New“, а затим „Group“.
3. Изабрати „Domain Local“ ( доменска локална) као тип групе, са називом „Извештаји“.
4. Притиснути на „ОК“.
5. У десном пољу уочити глобалну групу „Службеници“, притиснути је десним кликом миша и
изабрати опцију „Properties“.
6. Провере ради, изабрати картицу „Members“, овде се виде чланови ове групе, корисници који су
службеници.
7. Изабрати картицу „Member Of“. Овде се ова глобална група може учланити у неку локалну.
8. Кликнути на дугме „Add“.
9. У дијалогу „Select Groups“, у пољу „Enter the Object Names to Select“ унети „Извештаји“ (назив
локалне групе у коју учлањујемо).
10. Притиснути на „OK“.
11. Притиснути на „OK“. За сада смо постигли следеће: службеници су учлањени у групу
„Службеници“, ова група је учлањена у групу „Извештаји“.
12. Отворити „Computer“, а затим и диск C:
13. На диску C: креирати фолдер „Извештаји“.
14. Притиснути десним кликом миша по фолдеру „Извештаји“ и изабрати опцију „Properties“.
15. Изабрати картицу „Sharing“.
16. Кликнути на дугме "Advanced Sharing".
17. Изабрати „Share this folder“, а затим дугме „Permissions“.
18. Пошто не желимо да сви корисници имају приступ овом фолдеру, селектоваћемо групу
„Everyone“, и притиснути дугме „Remove“ како бисмо је избацили из листе.
5
20. У дијалогу „Select Users,Computers, or Groups“ , у пољу „Enter the Object Names to Select“ унети
„Извештаји“ (име локалне групе којој дајемо права).
22. Сада се група „Извештаји“ појавила у листи, при чему јој је додељена „Read“ дозвола.
23. У колони „Allow“, означити опцију „Change“.
24. Кликнути на дугме „OK“.
25. Кликнути на дугме „OK“.
На овај начин смо комбиновањем глобалних и локалних група, додељивањем дозвола за деље-
не фолдере локалним групама, обезбедили корисницима потребан ниво приступа.
На исти начин потребно је решити следеће потребе корисника:
1. Потребно је направити и делити фолдер „Пројекат“. Требало би да сви корисници коју су про-
грамери могу да читају, креирају и бришу фајлове и фолдере у том фолдеру:
a) креирати локалну групу „Пројекат“,
b) глобалну групу „Програмери“ учланити у локалну групу „Пројекат“,
c) креирати фолдер „Пројекат“ и делити га,
d) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Пројекат“ и
доделити „Change“ дозволу.
2. Потребно је направити и делити фолдер „Промо“. Требало би да сви корисници који су
дизајнери могу да читају, креирају и бришу фајлове и фолдере у том фолдеру:
a) креирати локалну групу „Промо“,
b) глобалну групу „Дизајнери“ учланити у локалну групу „Промо“,
c) креирати фолдер „Промо“ и делити га,
d) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Промо“ и доделити
„Change“ дозволу.
3. Потребно је направити и делити фолдер „Информације“. Требало би да сви корисници из
Београда и сви корисници из Новог Сада могу да само читају фајлове и фолдере у том
фолдеру:
a) креирати локалну групу „Информације“,
b) глобалну групу „БГКорисници“ учланити у локалну групу „Информације“,
c) глобалну групу „НСКорисници“ учланити у локалну групу „Информације“,
d) креирати фолдер „Информације“ и делити га,
e) из листе за контролу приступа избацити групу „Everyone“, убацити групу „Информације“ и
доделити „Read“ дозволу.
6
Активност 3 : Повезивање са дељеним фолдерима

Ова активност се ради на клијентској радној станици а не на серверу. Показаћемо неколико на-
чина на које се клијент може повезати на дељени фолдер на серверу.
Мапирање мрежног диска

Један од начина да се користи дељени фолдер јесте да се мапира мрежни диск. Мапирање
значи да се дељеном фолдеру додели словна ознака (нпр. P:) као да се ради о локалном диску.
1. Са клијентске станице (Windows XP) пријавити се на домен као корисник jpetrovic (ово је
корисник који је дизајнер) и лозником „Password2“.
2. Отворити „Computer“, „My Network Places“, „Entire Network“, „Microsoft Windows Network“, иконицу
која представља домен, иконицу која представља сервер. Сада се виде сви дељени фолдери
на серверу.
3. Уочити фолдер „Промо“, притиснути десним кликом миша и изабрати „Map Network Drive“.
4. Из падајуће листе „Drive“ изабрати слово P:; тиме смо изабрали да ће дељени фолдер „Промо“
на радној станици бити доступан као да се ради о локалном диску P:
5. Оставити укључену опцију „Reconnect at Logon“; тиме смо изабрали да се ово мапирање диска
P: на дељени фолдер „Промо“ на серверу запамти за овог корисника када се поново пријави на
радну станицу.
6. Кликнути на дугме „Finish“; од сада је кориснику jpetrovic дељени фолдер доступан као диск P:
7. Како бисмо проверили дозволе, на диску P: креирати текстуални фајл „letak.txt“ („File“ -> „New“,
„Text Document“; укуцати неколико слова). Овај корисник посредством чланства у групи
дизајнери требало би да има „Change“ дозволу.
8. Одјавити се као корисник jpetrovic.
Употреба UNC путање

У разним апликацијама, у дијалозима „Open“, „Save“ и сличним, као и у „Start“ -> „Run“ пољу,
можемо се директно реферисати на дељени фолдер на мрежи, без претраживања мреже и мапирања
мрежног диска. За ово се користи UNC (Universal Naming Convention) путања. UNC путања до дељеног
фолдера „Projekat“ на серверу „Serverxy“ изгледала би као:
\\Serverxy\Projekat
Односно, уместо да претражујемо „My Network Places“, до дељеног фолдера можемо доћи на
следећи начин: „Start“ -> „Run“, укуцамо „\\Serverxy\Projekat“ и притиснемо на „ОК“.
1. Пријавити се на радну станицу као корисница vjankovic (она је програмерка и требало би да има
дозволе за фолдер „Пројекат“).
2. Кликнути на дугме „Start“, изабрати опцију „Run“.
3. У „Run“ пољу унети специјалан случај UNC путање, без фолдера: „\\Serverxy“ (xy треба
заменити са бројем рачунара).
5. На овај начин видимо све дељене фолдере на серверу.
6. Како бисмо проверили функционисање дозвола, потребно је покушати да се отвори фолдер
7
„Промо“. Ова корисница не би требало да има довољна права.

7. Отворити фолдер „Пројекат“, креирати текстуални фајл „program.txt“ („File“ -> „New“, „Text
Document“; укуцати неколико слова). Ова корисница посредством чланства у групи
„Програмери“ требало би да има „Change“ дозволу.
8. Сачувати фајл и затворити прозор дељеног фолдера.
9. Кликнути на дугме „Start“, изабрати опцију „Run“.
10. У „Run“ пољу унети комплетну UNC путању, без фолдера: \\Serverxy\Projekat (xy треба
заменити бројем рачунара).
11. Кликнути на дугме „ОК“; овако смо директно отворили дељени фолдер који нас интересује.
12. Отворити претходно креирани фајл „program.txt“. Ово је потребно ради следеће активности.
Активност 4 : Преглед дељених фолдера на серверу

Ова активност ради се на серверу, док истовремено клијенти преко мреже приступају дељеним
фолдерима и имају отворене фајлове.
На Windows оперативном систему постоји посебна алатка која омогућава напредније могућно-
сти за управљање дељеним фолдерима. То је алатка „Computer Management“.
1. На серверу покренути алатку „Computer Management“: „Start“ -> „Administrative Tools“ ->
„Computer Management“.
2. У левом пољу уочити „Shared Folders“ и притиснути на знак „+“ поред иконице.
3. У левом пољу изабрати „Shares“, како бисмо у десном пољу видели све фолдере са сервера
који су доступни корисницима; уочити фолдере C$ и Admin$; то су скривени административни
дељени фолдери које може да користи администратор навођењем UNC путање. Односе се на
диск C: и фолдер „Windows“.
4. У левом пољу изабрати „Sessions“ како бисмо у десном пољу видели корисничке сесије са
сервером. Притиснути десним кликом на „Sessions“ и уочити доступне опције.
5. У левом пољу изабрати „Open Files“ како бисмо у десном пољу видели фајлове које су
корисници отворили на серверу. Притиснути десним кликом на „Open Files“ и уочити доступне
опције
Недостаци заштите ресурса дозволама за дељене фолдере

Заштита ресурса помоћу дозвола за дељене фолдере има своје недостатке:
 Пре свега ове дозволе утичу на корисника само ако он ресурсу приступа преко мреже. Уколико
корисник може да интерактивно ради на серверу, дозволе за дељене фолдере се не односе на
њега (подразумевано корисници не могу да се пријаве на домен контролер, али могу на остале
сервере);
 Дозволе које се поставе за дељени фолдер важе за све фајлове у том фолдеру, и све подфол-
дере. Није могуће над неким подфолдером или појединачним фајлом поставити другачије
дозволе.
Ситуација ипак није тако лоша јер Windows има још један, флексибилнији систем заштите на
нивоу система фајлова – NTFS дозволе. Комбиновањем дозвола за дељене фолдере и NTFS дозвола
могуће је постићи жељени ниво заштите.
8
Активност 5 : Упознавање са NTFS дозволама

1. Отворити „Computer“, а затим диск C: (овај диск је аутоматски, током инсталације оперативног
система, форматиран са NTFS системом фајлова)
2. На диску C: направити фолдер „Проба2“
3. Притиснути десним кликом миша по фолдеру „Проба2“ и изабрати опцију „Properties“
4. Изабрати картицу „Security“
Слика 3.3 : Картица "Security"
Овај фолдер као и сваки фајл или фолдер на дисковима са NTFS системом фајлова има при-
дружену листу за контролу приступа. У листи се налазе локалне и уграђене групе (горњи део дијалог
прозора). Ако селектујемо неку групу, нпр. „Administrators“, у доњем делу дијалог прозора можемо
видети NTFS дозволе над овим фолдером које дата група има.
Дозволе које се овде виде називају се стандардне дозволе. У подразумеваном стању дозволе
које се доделе некој групи над фолдером односе се и на фајлове и подфолдере овог фолдера, односно
дозволе за фолдере се, уколико другачије не одлучимо, преносе и на фајлове унутар фолдера. И овде
постоји разлика у односу на дозволе за дељене фолдере: NTFS дозволе могу се подешавати и за
појединачне фајлове унутар фолдера, док код дозвола за дељење то није случај.
Додељене дозволе значе следеће:
 Full Control: максималне дозволе. Корисници који имају ову дозволу могу не само да мењају
садржај фолдера, него и да сами мењају NTFS дозволе над овим фолдером, чак и ако нису ад-
министратори, чак и ако сами нису креирали овај фолдер. Уколико се пренесу на фајлове,
означавају исту ствар за фајл.
9
 Modify: могућност да се мења садржај овог фолдера или да се фолдер обрише. Мењање
садржаја фолдера значи креирање и брисање ставки, фајлова и фолдера, унутар датог
фолдера. Када се ова дозвола пренесе на фајлове у фолдеру даје могућност измене садржаја
фајла.
 Read&Execute: Могућност да се чита садржај фолдера, покрећу програми у њему, пређе у
фолдер као текући. Уколико се дозвола пренесе на фајл унутар фолдера даје могућност да се
чита садржај фајла и покрећу извршни фајлови.
 List Folder Content: Могућност да се излиста садржај фолдера. Ова дозвола се не преноси на
фајлове унутар фолдера, већ само на подфолдере унутар фолдера.
 Read: Могућност да се чита садржај фолдера, али не и да се пређе у њега као текући. Уколико
се пренесе на фајлове даје могућност да се чита њихов садржај али не и да се покрећу.
 Write: Могућност да се „уписује“ у фолдер, односно да се креирају нови фајлови и фолдери
унутар фолдера. Уколико се пренесе на фајл даје могућност да се уписује у фајл.
Активност 6 : Управљање наслеђивањем дозвола

За ову активност потребно је имати отворен дијалог „Properties“ за фолдер „Proba2“, картица
„Security“.
Као што је већ речено, у подразумеваном стању, дозволе које се подесе за дати фолдер важе и
за подфолдере и фајлове унутар њега. Ово правило важи и за управо креиран фолдер „Proba2“:
дозволе које смо управо погледали „аутоматски“ су се појавиле зато што су се наследиле са вишег
нивоа (корена диска C: у овом случају). Заправо, у овом тренутку, фолдер „Proba2“ и нема сопствену
листу за контролу приступа, већ само назнаку да се на њега односе дозволе са вишег нивоа, какве год
да су. У наставку активности променићемо ово стање, како бисмо могли да подесимо дозволе за
фолдер „Proba2“, независно од дозвола које важе за корен C: диска:
5. Кликнути на дугме „Advanced“.
6. Да бисмо били заштићени од случајне измене дозвола, оперативни систем приказује следећи
дијалог прозор у моду читања. Како бисмо могли да вршимо измене неопходно је клкнути на
дугме "Edit".
7. У новом дијалог прозору можемо извршити напредна подешавања. Међу њима је и по-
дешавање наслеђивања („Inherited From“) са вишег нивоа, како и наслеђивање дозвола на
нижим нивоима („Apply To“). Уочити да је подразумевано укључена опција „Allow inheritable
permissions...“, односно дозволе се подразумевано наслеђују са вишег нивоа.
Слика 3.4 : Прелазак на напредна подешавања
10
Слика 3.5 : Преглед напредних подешавања
8. Уклонити ознаку „Allow inheritable permissions...“ (слика 3.5). Како фолдер не би случајно остао
без икаквих дозвола (забрањен приступ свима), у новом дијалог прозору (слика 3.6) треба
одабрати да се до сада наслеђене дозволе ископирају на овај фолдер:
Слика 3.6 : Копирање наслеђених дозвола
9. Ниво приступа за фолдер „Проба2“ остао је исти, али се од сада дозволе за корен диска C: и
дозволе за фолдер „Проба2“ могу мењати независно.
10. Притиснути дугме „OK“ како бисмо се вратили у дијалог за измену стандардних дозвола.
11. Претпоставимо да желимо да изменимо стандардне дозволе за фолдер „Проба2“. Уместо
подразумеваних дозвола желимо да омогућимо да само локалне уграђене групе „Administrators“
и „Server Operators“ имају приступ фолдеру. Уклонићемо из листе све групе сем групе
„Administrators“. У горњем делу дијалога изабрати групу „Users“ а затим пристиснути на дугме
„Remove“ како бисмо ову групу избацили из листе. Исту ствар урадити и за уграђене системске
групе „SYSTEM“ и „CREATOR OWNER“.
12. Кликнути на дугме „Add“ како бисмо унели нову групу у листу.
13. У дијалог прозору „Select Users, Computers and Groups“ унети „Server Operators“ и кликнути на
11
дугме „OK“.
14. Нова група која се појавила у листи је аутоматски добила „Read&Execute“ дозволу.
15. Претпоставимо да је групи Server Operators потребан виши ниво приступа, како би и сами могли
да мењају дозволе за фајлове у овом фолдеру. У колони „Allow“ изабрати опцију „Full Controll“.
Ова дозвола у себи садржи и све остале дозволе.
Активност 7 : Комбиновање дозвола за дељене фолдере и NTFS дозвола

Раније креирани фолдер „Проба2“ није дељен и корисници му не могу приступати преко мреже.
Фолдер могу користити само корисници који имају права да се пријаве локално на сервер који је
истовремено и контролер домена. И уграђена локална група „Administrators“ и „Server Operators“ имају
ту привилегију.
На серверу се налазе и фолдери који су дељени и доступни корисницима преко мреже. Када
корисници преко мреже приступају тим фолдерима на њихов ниво приступа утичу дозволе за дељене
фолдере које смо подешавали у претходној вежби. С друге стране, ти фолдери се налазе на диску који
је форматиран са NTFS системом фајлова, па ти фолдери и фајлови имају и сопствене NTFS дозволе,
које такође утичу на нечији ниво приступа, без обзира да ли корисник приступа преко мреже или
локално. То значи да када корисници приступају дељеном фолдеру преко мреже, на њих се примењују
два система дозвола: дозволе за дељене фолдере и NTFS дозволе.
Поставља се питање шта се дешава када дозволе за дељене фолдере и NTFS дозволе нису
усаглашене. На пример, уколико NTFS дозволе дају некој групи „Read&Execute“, a дозволе за дељене
фолдере „Full Controll“. У том случају на корисника се примењују рестриктивније дозволе (које дају
мање права). У овом конкретном случају, без обзира што дозволе за дељене фолдере дају „Full
Controll“, NTFS дозволе су рестриктивније, и на крају ће одредити стваран ниво приступа.
Исто би се десило и у супротном случају: NTFS дозвола „Full Controll“, и „Read“ дозвола за де-
љене фолдере. И тада би корисници који приступају преко мреже могли само да читају фајлове.
Проблем у овом примеру је у томе што уколико корисници приступају локално (интерактивно за
сервером, а не преко мреже), дозволе за дељене фолдере („Read“) на њих се не примењују, већ само
NTFS дозволе које дају максимална права.
Како би се избегле овакве недоумице („шта је рестриктивније?“ и „шта ако корисник приступи
локално?“), препоручује се да се потребан ниво приступа одређује искључиво NTFS дозволама, при
чему се дозволе за дељене фолдере могу максимално разлабавити како би NTFS дозволе увек биле
рестриктивније од њих.
Дакле препорука је следећа:
1. Жељени ниво приступа над фолдером подешавамо искључиво NTFS дозволама. Оне су свака-
ко прецизније, а осим тога важе за било какав приступ фолдеру (нема недоумице „шта ако
корисник приступа локално?“).
2. Како би корисници приступали фолдеру преко мреже, потребно га је делити. У току тог поступка
доделити уграђеној системској групи „Authenticated Users“ (сви аутентиковани корисници)
дозволу „Full Controll“ за дељени фолдер. Пошто смо на овај начин дозволе за дељене
фолдере максимално разлабавили, претходно подешене NTFS дозволе увек ће бити
рестриктивније, и биће сасвим јасно шта се на корисника примењује: NTFS дозволе.
Прецизно подешавање дозвола за дељене фолдере неопходно је само уколико су фајлови на
FAT систему фајлова на коме не постоје NTFS дозволе.
12
Пошто се фолдери „Извештаји“, „Инфо“, „Промо“ и „Пројекат“ налазе на диску са NTFS систе-
мом фајлова, подесићемо NTFS дозволе за те фолдере како бисмо постигли жељени ниво приступа за
поједине локалне групе. Како не би било забуне око тога какав је ниво приступа у зависности од начина
приступа, постојеће дозволе за дељене фолдере ћемо разлабавити на ниво „Full Control“ дозвола за
групу „Authenticated Users“:
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Извештаји“.
2. Притиснути десним кликом миша по фолдеру и изабрати опцију „Properties“, а затим картицу
„Security“.
4. Кликнути на дугме "Edit".
5. Очистити ознаку „Allow inheritable permissions...“.
6. Притиснути на „Copy“ како бисмо копирали наслеђене дозволе.
7. Притиснути на „ОК“ како бисмо се вратили на стандардне дозволе.
8. Потребно је избацити све групе сем „Administrators“ из листе: изабрати „Users“ а затим
„Remove“, исто урадити и за групе „SYSTEM“ и „CREATOR OWNER“.
10. У дијалогу „Select Users, Computers and Groups“ унети „Izveštaji“.
12. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фолдера,
потребно је (у колони „Allow“ ) означити опцију „Modify“. Не напушати „Properties“ дијалог. Пошто
су NTFS дозволе подешене, подесићемо и дозволе за дељене фолдере.
13. Изабрати картицу „Sharing“, а затим и дугме „Permissions“.
14. Кликнути на дугме „Add“ и у новом дијалог прозору унети „Auth“, а затим „Check Names“, како би
група „Authenticated Users“ била пронађена на основу започетог уноса.
16. Управо унешена група „Authenticated Users“ добила је „Read“ дозволу. Потребно јој је доделити
„Full Controll“ дозволу.
17. Сада можемо групу „Izveštaji“ уклонити из листе дозвола. Селектовати је и изабрати опцију
„Remove“.
18. Притиснути дугме „OK“.
Сличан поступак је и за фолдер „Info“, само су NTFS дозволе „Read&Execute“:
19. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“.
„Security“.
13
28. У дијалогу „Select Users, Computers and Groups“ унети „Info“.
30. Група је аутоматски добила „Read&Execute“. Ове дозволе су и потребне.
35. Сада можемо групу „Info“ уклонити из листе дозвола. Селектовати је и изабрати опцију
„Remove“.
Слично је и за фолдер „Promo“. Истоимена локална група треба да може да мења садржај фолдера
(„Modify“):
37. Отворити „Computer“ а затим диск C:. Уочити фолдер „Promo“.
„Security“.
41. Очистити ознаку „Allow inheritable permissions...“
46. У дијалогу „Select Users, Computers and Groups“ унети „Promo“.
48. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фолдера
потребно је (у колони „Allow“ ) означити опцију „Modify“.
14
53. Сада можемо групу „Promo“ уклонити из листе дозвола. Селектовати је и изабрати опцију
„Remove“.
За фолдер „Projekat“ доделићемо истоименој групи „Full Controll“ NTFS дозволу.
55. Отворити „Computer“ а затим диск C:. Уочити фолдер „Projekat“.
„Security“.
64. У дијалогу „Select Users, Computers and Groups“ унети „Projekat“.
66. Група је аутоматски добила „Read&Execute“. Како би могли да мењају садржај фолдера, као и
дозволе за фајлове, потребно је (у колони „Allow“ ) означити опцију „Full Controll“.
71. Сада можемо групу „Projekat“ уклонити из листе дозвола. Селектовати је и изабрати опцију
„Remove“.
На овај начин смо контролу приступа у потпуности одредили NTFS дозволама.
Активност 8 : Преглед ефективних дозвола

Претходним активностима уредили смо приступ фолдерима путем NTFS дозвола. Те дозволе
појединачни корисници могу да користе на основу тога што су чланови одговарајућих глобалних група,
које су са своје стране учлањене у одговарајуће локалне групе којима смо давали NTFS дозволе.
Могуће је и прегледати ефективне дозволе које корисник има. Ово олакшава откривање ефе-
ктивних дозвола које неки корисник има уколико је, на пример добио дозволе на основу чланства у
неколико група.
1. Отворити „Computer“ а затим диск C:. Уочити фолдер „Info“.
15
„Security“.
4. Изабрати картицу „Effective Permissions“.
5. Кликнути на дугме „Select“.
6. У новом дијалог прозору унети jpetrovic, а затим притиснути на дугме „OK“.
Слика 3.7 : Преглед ефективних дозвола

7. Можемо погледати ефективне дозволе које корисник jpetrovic има над фолдером.
Ове дозволе се на први поглед разликују од дозвола које смо доделили групи „Инфо“. Ради се о
следећем: групи је додељена стандардна дозвола „Read&Execute“. Контрола приступа се у ствари не
остварује стандардним дозволама (које смо доделили) него појединачним дозволама. Ефективне
дозволе су изражене тим појединачним дозволама. Стандардне дозволе (као што је „Read&Execute“)
само су предефинисани, лако употребљиви скупови појединачних дозвола. На овом примеру можемо
да видимо од чега се заправо састоји стандардна дозвола „Read&Execute“.
8. Кликнути на дугме „OK“ и напустити преглед напредних подешавања.
9. Кликнути на дугме „OK“ и напустити преглед својстава фолдера „Info“.
Активност 9 : Власништво над фајловима

Ову активност треба радити на клијентској радној станици.
1. Пријавити се са станице на домен са корисничким именом vjankovic и лозинком „Password2“.
2. Користећи UNC путању (\\Serverxy) повезати се на сервер, а затим отворити дељени фолдер
„Пројекат“.
3. Креирати текстуални фајл „program2.txt“ , унети у њега неколико слова, сачувати га и затворити
едитор текста.
4. Притиснути десним кликом миша по иконици фајла „program2.txt“ и изабрати опцију „Properties“.
16
5. Изабрати картицу „Security“.

6. Изабрати дугме „Advanced“.
7. Изабрати картицу „Owner“.
Уочити да фајл има свог власника („Current owner of this item“). Корисник који је креирао фајл
постаје његов власник. Власништво над фајлом је важно, јер омогућава измену дозвола: корисница
vjankovic може да мења дозволе над својим фајловима и ако није администратор.
Корисници могу преузети власништво над туђим фајловима само уколико им је први власник
дао то право („Full Control“ стандардна дозвола). Корисници који преузму власништво над туђим
фајловима могу касније аутономно да мењају дозволе над фајлом. Као мера предострожности против
погрешно постављених дозвола, чланови локалне групе „Administrators“ увек, имплицитно, могу да
преузму власништво над фајлом, чак и када немају експлицитне дозволе за то.
8. Кликнути на дугме „ОК“ како бисмо напустили напредна подешавања. У наставку ћемо
симулирати погрешно постављене дозволе.
9. У дијалогу за подешавање стандардних дозвола притиснути на „Add“.
10. У новом дијалог прозору унети „Every“, a затим „Check Names“, како би била пронађена
системска група „Everyone“ на основу унетог текста.
11. Кликнути на дугме „OK“
12. У колони „Deny“ изабрати „Full Control“. Овиме смо свима забранили све дозволе.
13. Притиснути на „ОК“ а затим на „Yes“ када се појави упозорење.
14. Одјавити се са радне станице
Наставак активности се ради на серверу.
15. Отворити „Computer“ а затим диск C:.
16. Отворити фолдер „Projekat“.
17. Покушати отварање фајла „program2.txt“.
18. Покушати брисање фајла „program2.txt“.
19. Притиснути десним кликом миша по фајлу и изабрати опцију „Properties“.
20. Изабрати опцију „Security“.
21. Изабрати картицу „Owner“.
Тренутно чак ни администратор нема довољно дозвола да види тренутног власника, али може
да преузме власништво.
22. У пољу „Change owner to“ изабрати локалну групу „Administrators“ а затим кликнути на дугме
„OK“.
17
Слика 3.8 : Преузимање власништва
23. Кликнути на дугме „ОК“ како бисмо затворили својства фајла.

24. Притиснути десним кликом миша по фајлу и изабрати опцију „Properties“.
25. Изабрати опцију „Security“
26. Селектовати групу „Everyone“, а затим „Remove“.
27. Притиснути „ОК“.
28. Покушати отварање фајла.
29. Затворити фајл.
18

RMVezba3 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

RMVezba3 PDF

Uploaded by

Copyright:

Available Formats

Висока школа електротехнике и рачунарства Рачунарске мреже

3. ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА И ДОЗВОЛЕ НА НИВОУ СИСТЕМА ФАЈЛОВА 2

3.1 ДОЗВОЛЕ НАД ДЕЉЕНИМ ФОЛДЕРИМА (ЕНГ. SHARE PERMISSIONS) 2

АКТИВНОСТ 1: ПОСТУПАК ДЕЉЕЊА ФОЛДЕРА 3

Циљ вежбе је да се студенти упознају са дозволама које је могуће подесити над

3. Дозволе над дељеним фолдерима и дозволе на нивоу система

3.2 Дозволе на нивоу система фајлова (енг. Security or NTFS Permissions)

Слика 3.1 : Дељење фолдера

Слика 3.2 : Дозволе за дељене фолдере

Активност 2 : Употреба група за контролу приступа

Активност 3 : Повезивање са дељеним фолдерима

Мапирање мрежног диска

Употреба UNC путање

„Промо“. Ова корисница не би требало да има довољна права.

Активност 4 : Преглед дељених фолдера на серверу

Недостаци заштите ресурса дозволама за дељене фолдере

Активност 5 : Упознавање са NTFS дозволама

Слика 3.3 : Картица "Security"

Активност 6 : Управљање наслеђивањем дозвола

Слика 3.4 : Прелазак на напредна подешавања

Слика 3.5 : Преглед напредних подешавања

Слика 3.6 : Копирање наслеђених дозвола

Активност 7 : Комбиновање дозвола за дељене фолдере и NTFS дозвола

Активност 8 : Преглед ефективних дозвола

Слика 3.7 : Преглед ефективних дозвола

Активност 9 : Власништво над фајловима

5. Изабрати картицу „Security“.

Слика 3.8 : Преузимање власништва

23. Кликнути на дугме „ОК“ како бисмо затворили својства фајла.

You might also like