مهندسی شبکه مایکروسافت

قسمت هفدهم



Inheritance: 
(در اينجا به معناي به ارث بردن مجوزها مي باشد)
كاربر يا گروه مجوزها را از از كاربر يا گروه بالايي خود(parent خود) به ارث مي برد. مثلا وقتي يك يك فولدر مي سازيم خودش از درايو خود مجوز مي گيرد.اگر بخواهيم به اين صورت نباشد و خودمان جداگانه مجوز بدهيم بايد چك مارك inherit ذا برداريم:
روي فولدر يا فايل كه راست كليك كنيم و properties بگيريم در security tab پايين پنجره دكمه ايست به نام Advanced وقتي اين دكمه را مي زنيم پنجره ديگري باز ميشود كه در permission tab در قسمت پايين مي توانيم چك مارك inherit را برداريم.


Deny:
(در اينجا به معناي سلب مجوز و سطح دسترسي مي باشد)
اين نوع سطح دسترسي وقتي استفاده ميشود كه بخواهيم مجوز خاصي را از كاربر يا گروهي بگيريم.
هرگاه بخواهيم كاربر يا گروهي به واسطه عضويت در گروه ديگري مجوز و سطح دسترسي آن گروه را كسب كند و در عين حال نخواهيم آن مجوز را از گروه قبلي سلب كنيم بايد كاربر يا گروه مورد نظر را جداگانه add كنيم و مجوز مربوطه را Deny كنيم.


Take ownership:
(در اينجا به معناي در اختيار گرفتن مالكيت فايل يا فولدر و..)
هرگاه كاربري يك فايل يا فولدري را بسازد مالك آن ميباشد.وقتي روي فايل يا فولدر راست كليك مي كنيم و properties مي گيريم درsecurity tab دكمه advanced را كه ميزنيم در owner tab نام صاحب آن نوشته شده.
3 نفر هستند كه مي توانند اين مالكيت را از آن خود كنند. يعني فايل يا فولدري كه ديگران ساخته اند را مي توانند مالك شوند و هر تغيير را به آن اعمال كنند و يا حتي آن را حذف كنند. 
1. Admin
2. كاربري كه به آن مجوز take ownership بدهيم
3.كاربري كه به آن مجوز و سطح دسترسي full control بدهيم


نكاتي در مورد permissionهايNTFS :
1.اگر بر روي فايل ها permission قرار دهيم specificتر خواهد بود.
2. از بين مجوزهايي كه به كاربر ميدهيم بالاترين مجوز و سطح دسترسي اعمال مي شود.
3. اگر به يك كاربر بالاترين سطح دسترسي و مجوز را بر روي فايل بدهيم ولي بر روي فولدر هيچ مجوزي نداشته باشد اصلا اين كاربر نميتواند وارد فولدر شود.
4.اگر به بك كاربر يك نوع مجوزي را بدهيم و بعد از مدتي آن را حذف كنيم SID آن پاك نمي شود.اگر نام كربري قبلي را كه حذف كرديم دوباره بسازيم يك SID ديگر برايش ساخته خواهد شد.(*)
5. تا جايي كه امكان دارد بايد سعي كنيم از Deny استفاده نكنيم.
6. فقط مواقع ضروري گروهي را عضو گروه ديگر كنيم.
7. اگر بخواهيم به كاربر حداقل مجوزها را بدهيم يا اينكه مجوزها را خيلي جزئي تر و دقيق تر قرار دهيم آنها را edit مي كنيم:
روي فايل يا فولدر راست كليك مي كنيم و properties مي گيريم در security tab دركمه advanced را مي زنيم در پنجره جديد كاربر يا گروه مورد نظر را انتخاب كرده edit را مي زنيم.
8. اگر مجوز read را از كاربر يا گروهي بگيريم ديگر security tab در پنجره properties نخواهد داشت.
9. اگر فايل يا فولدري را در فولدر ديگري كپي كنيم. مجوزهاي قبلي فولدر از بين ميرود و مجوزهاي parent خود (فولدر جديد) را به ارث مي برد.زيرا وقتي كپي انجام مي دهيم درواقع يك موجوديت جديد ايجاد كرديم و ربطي به مبدأ خود ندارد و مجوزهاي قبلي remove ميشود.
10. بايد دقت داشته باشيم وقتي فايلي را كپي مي كنيم در جايي باشد كه مجوز مورد نظر را داشته باشد.
11. اگر فايل را فولدري با وجود داشتن مجوز read باز نشود. مي توانيم آن را در درايو Fat كپي كنيم. در اين صورت باز ميشود.
12. اگر فايل يا فولدري را از يك پارتيشن به پارتيشن ديگر move كنيم مجوزها از بين مي رود. ولي اگر در همان پارتيشن move كنيم مجوزها باقي مي ماند.

(*):
هر نام كاربري كه در كامپيوتر ساخته ميشود يك مشخصه unique به نام SID برايش ساخته ميشود.ما آن را به همان نام كاربر مي بينيم اما كامپيوتر به نام SID (صفر و يك) مي بيند. وقتي روي فايل يا فولدري مجوز ميدهيم براي آن يك ليست ايجاد مي كند به نام ACL
ACL = Access Control List
ACE = Access Control Entry
ACE ها داخل ACL قرار مي گيرند.