Рабочая инструкция по организации и эксплуатированию системы управления правами на файловых серверах на основе pTraffer Access Manager Определения «Администраторы безопасности» - доменная группа, прописывается на все папки, в неё включаются пользователи, не входящие в группу Domain Users, которые могут выдавать\забирать права. «PC_ADMIN» - пользователь, состоящий в группе «Администраторы безопасности», его использует СЗР для изменения доступа к папкам. Уровни доступа – набор прав на сетевую папку, позволяющий выполнять те или иные действия и получать доступ в те или иные ресурсы. Уровни бывают (в разрезе НОВЫХ правил) - полный доступ – это доступ на изменение, без права прямого редактирования “разрешений NTFS” (правая кнопка - безопасность) - доступ на чтение – доступ с правом просмотра и запуска всех файлов, но без возможности редактирования и удаления - доступ на редактирование – доступ с правом создания папок и файлов и изменения файлов, но без права удаления папок и любых файлов Статья I. Подготовка сетевой папки В данном разделе будут объяснены принципы и концепции раздачи доступов, а также техническая подготовка новых сетевых «шар» (не папок в «шарах», а самих «шар»). 1.a.i.1) Итак – создадим тестовую сетевую папку, для этого у нас должна быть группа, например «Администраторы безопасности» 1.a.i.2) В данной группе должен состоять пользователь, например «PC_ADMIN». Здесь следует обратить внимание на то, что название группы будут видеть все пользователи в правах доступа к своим ресурсам (оно не должно вызывать отрицательных эмоций), а пользователь должен НЕ состоять в группе “Domain Users”. Также нужно создать ему почтовый ящик. 1.a.i.3) Теперь создаём тестовую папку «d:\test», расшариваем её с полным доступом для всех (это вызвано рядом факторов, но суть в том, что мы полностью уходим от разрешений шары к «разрешениям NTFS») 1.a.i.4) Выдаём нашей группе «Администраторы безопасности» полные права на эту папку на диске + добавляем особые права запрещения изменения разрешений для группы «Domain users» 1.a.i.5) Добавляем полный доступ для первого «владельца папки», например [email protected] 1.a.i.6) Убираем наследование и все другие “права доступа NTFS”. Должно получится следующее. 1.a.i.7) Важно проверить на дочерних папках (если они есть), что права «Администраторов Безопасности» у наследовались. Например было замечено (при тестированиее на 2008), что они права на следующую дочернюю папку наследуются уже с режимом «только для этой папки». Если это происходит Вы можете использовать консольный вариант выдачи прав. Также следует обратить внимание что утилиты ICACLS нет в XP (но можно скопировать с другой ОС необходимой разрядности) 1 Icacls d:\test /grant “Администраторы безопасности@domain”:(OI)(CI)(F) /T Icacls d:\test /grant “логин_владельца_ресурса”:(OI)(CI)(F) /T1 Icacls d:\test /deny “Domain Users@domain”:(OI)(CI)(WDAC,WO,S) Имеется ввиду «первый» владелец Статья II. Конфигурирования Конфигурирование системы, после правильно подготовки сетевых ресурсов, происходит по принципу «все, что можно настроить выведено в текстовые файлы». Это сделано для того, чтобы при изменении «среды» сотрудники отдела ИТ самостоятельно могли изменить всё что необходимо. Например, по-умолчанию (для вывода списка пользователей) используется текущий домен пользователя, от имени которого запущена программа, но можно форсировать другой домен (естественно у пользователя к нему должен быть доступ), создав файл «domain.txt» в каталоге с программой с необходимым запросом (например «DC=domain,DC=int»). Ввиду ряда технических моментов OC Windows ЕСЛИ программа пишет «Не могу создать архив» - нужно убрать пробелы в пути к программе (локальном или сетевом), а также проверить наличие файла 7z.exe в той же папке. Далее в каталоге с программой должны находится два файла «servers.txt» - содержит список серверов, которые будут отображаться в списке доступных в программе «access_types.txt» - содержит список правил, которые будут отображаться в программе (есть одно которое присутствует автоматически – это «забрать доступ») Если с первым файлов проблем возникнуть не должно, то про второй следует указать, что файл изначально содержит три основных правила, например одно из них «Редактирование (изменение существующих файлов, создание новых<символ табуляции> (OI)(CI)(GW)» Здесь слово «Редактирование» - это название правила, которое будет отображаться в программе Символ открывающейся скобки – начало комментария, который будет отображаться во всплывающей подсказке (OI)(CI)(GW) – набор команд, которые ассоциированы с данным правилом (конкретно здесь применять к текущей папке и файлам, применять к подпапкам и файлам, разрешить доступ на редактирование) Правил может быть сколько необходимо2. файл «sb_mail.txt» - в нём в первой строке указан почтовый сервер, через который будет отправляться письмо с заявкой, во второй отправитель, а в третьей получатель письма. Особое внимание необходимо обратить на то, что пункт «забрать доступ» действует следующим образом 2 В зависимости от количества они равномерно распределяются по окну программы 1.a.i.1) Сначала удаляет любые ненаследованные(!) “сверху” права с папки и её подпапок 1.a.i.2) В явном виде запрещает любой доступ к папке Например, если необходимо, вы можете сделать правило 3для запрета, например, запуска программ и файлов отдельным правилом, и оно будет запрещать (при наличии доступа на чтение и выше) только это действие. Следует учитывать, что при применении правил ДО этого удаляются все права, которые не унаследованы данным пользователем «сверху». Т.е. если у пользователя был явный полный запрет, то он также удалится перед добавлением доступа на чтение, и в итоге останется только чтение. файл «excludes.txt» содержит имена пользователей, которые НЕ должны отображаться на соответствующей вкладке. Можно использовать маски «*» и «?» 2. Работа пользователей В данном разделе мы рассмотрим несколько стандартных действий пользователей. Статья III. Управление доступами В данном разделе мы рассмотрим пример выдачи доступа другому пользователю, а также принципы, которые при этом выполняются Итак – нам нужно выдать Хайдукову Михаилу доступ на чтение к нашей папке d:\test (\\s010004\test). 1.a.i.1) Пользователь Петрунин запускает специальное ПО 1.a.i.2) Выбирает необходимый сервер (выбо осуществляется двойным кликом, или выбором + нажатием кнопки «Далее») 3 Описание прав - 1.a.i.3) Далее у него в разделе (2) программы видны ТОЛЬКО те папки, к которым у него «полный доступ». 4 1.a.i.4) На самом деле их больше (например на сервере есть папка …\КонсалтТехнология\СИТ\ОРИТ\ - но т.к. к ней доступ никакого у пользователя нет она не отображается в окне программы, впрочем, как и в сетевой папке 5), но доступ у него не полный к Значок папки с замком означает, что у пользователя есть доступ к этой папке, но это не «Полный доступ», соответственно, прав на запрос прав другим пользователям у него нет. Пользователь выбирает папку К КОТОРОЙ хочет выдать доступ 1.a.i.5) Далее выбирает КОМУ этот доступ необходим, затем какой уровень доступа необходим. Удерживая CTRL пользователь может выбрать несколько записей, также присевает сортировка по столбцам. 1.a.i.6) Затем пользователь выбирает один из наборов прав, которые необходимо предоставить 1.a.i.7) И нажимает кнопку «Отправить запрос» 1.a.i.8) Далее пользователю, ответственному за согласование заявок приходит письмо вида 1.a.i.9) Пользователь открывает письмо оценивает целесообразность выдачи доступа и если всё в порядке открывает вложенный архив и запускает бат-файл 1.a.i.10) После завершения применения прав рассылается несоответствующее уведомление Статья IV. Описание принципов Приведём несколько примеров логики выдачи доступов. Считаем что у нас есть дерево папок 1\2\3\4\5, где на уровне 3 есть папки 3,33,333 Чтобы выдать двум пользователям право полного доступа к 1\2\3 нужно выбрать эту папку, двух нужным пользователей и запросить для них «полный доступ» Далее чтобы одному из них запретить доступ к 1\2\3\4 необходимо запросить «Запретить доступ» именно к этой папке. При этом она у пользователя исчезнет Далее чтобы вернуть пользователю доступ необходимо либо o Снова применить нужное правило к к 1\2\3 (удалятся правила со всех подпапок, включая 1\2\3\4), затем будет выдан доступ на 1\2\3 и все подкаталоги, соответсвенно включая 1\2\3\4 o Применить к 1\2\3\4 необходимое правило Нужно заметить, что если будет запрошен доступ, например «Чтение» к 1\2\3\4\5 для пользователя у которого запрещён доступ 1\2\3\4 такой доступ предоставлен не будет (т.к. приоритет имеет наследование «сверху») Также необходимо знать, что скорость выдачи прав зависит, в основном, от количества дочерних объектов папки. Если там 10 000+ объектов выдача прав может проходить довольно долго. Утилита ICACLS поддерживает режим сохранения разрешений на объекты файловой системы в файл, а также их восстановления из этого файла. Данный функционал удобен для резервного копирования разрешений. В списке пользователей, помимо явно скрытых через конфигурационный файл пользователей, не отобьражаются скрытые из адресной книги Exchange пользователи Статья V. Увольнение пользователя Ввиду того, что доступы выдаются на пользователей, а они имеют обыкновение увольняться (в нашем случае – быть удалёнными из AD), чтобы не оставалось «хвостов» вида «S-1-15-…» необходимо при увольнении сотрудника запускать команду вида ICACLS d:\test /remove логин_увольняемого /t