Расширенные настройки безопасности

Работа с расширенными настройками безопасности объекта каталога включает:

  • просмотр списка элементов разрешений по субъектам безопасности и расширенных настроек элемента разрешения для субъекта безопасности;

  • добавление, удаление и изменение элементов разрешений;

  • смену владельца объекта каталога;

  • отключение и включение наследования разрешений от других объектов.

Элемент разрешения представляет собой одну запись контроля доступа (ACE), которая описывает, какие права предоставлены или запрещены конкретному субъекту безопасности на данный объект или его потомков.

Просмотр списка элементов разрешений

Для просмотра списка элементов разрешений, используемых для управления доступом субъектов безопасности к выбранному объекту каталога:

  1. Откройте карточку объекта каталога.

  2. В секции «Безопасность» нажмите Расширенные настройки.

    advanced security view list
    Рис. 1. Вкладка со списком элементов разрешений

На открывшейся странице Расширенные настройки безопасности доступна вкладка Разрешения. Каждая строка в списке на вкладке представляет собой запись контроля доступа (ACE). В совокупности записи образуют список управления доступом (DACL) к объекту каталога.

Список отображается в виде таблицы со столбцами:

  • Субъект — субъект безопасности, для которого установлено разрешение;

  • Тип — тип разрешения (разрешено/запрещено);

  • Доступ — действие, которое разрешается или запрещается в рамках разрешения;

  • Унаследовано от — объект, от которого унаследовано разрешение (если наследование включено);

  • Применяется к — область применения разрешения (только к самому объекту; к объекту и к его дочерним объектам, если объект является контейнером; ко всем дочерним объектам; к определенным дочерним объектам).

В каждой строке таблицы доступны дополнительные действия (кнопка button actions):

  • Открыть — просмотр и изменение расширенных настроек элемента разрешения;

  • Удалить — удаление элемента разрешения.

Просмотр расширенных настроек элемента разрешения

Для просмотра расширенных настроек определенного элемента разрешения:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. В строке элемента разрешения нажмите button actions и выберите Открыть.

Открывается боковая панель в режиме просмотра элемента разрешения.

advanced security sidebar 1
Рис. 2. Просмотр элемента разрешения — вкладка «Основные разрешения»
advanced security sidebar 2
Рис. 3. Просмотр элемента разрешения — вкладка «Дополнительные»

На боковой панели отображаются все доступные для объекта элементы разрешения с информацией о том, какие из них установлены для субъекта безопасности, к которому относится выбранный в списке элемент разрешения.

Боковая панель содержит:

  • имя субъекта безопасности, к которому относится выбранный в списке элемент разрешения;

  • переключатель типа разрешения;

    По умолчанию отображаются элементы с типом «Разрешено»; для отображения элементов с типом «Запрещено», выберите в переключателе Запретить.

  • поле для выбора области применения;

    По умолчанию отображаются элементы разрешений, применимые к данному объекту.

  • вкладку Общие разрешения с перечнем операций над объектом каталога или его атрибутами, которые разрешены или запрещены (в зависимости от выбранного типа) для указанного субъекта безопасности (пользователя, группы) в рамках данного элемента разрешения;

    Раздел представляет собой интерпретацию битов маски доступа, находящихся в соответствующей записи контроля доступа (ACE). Объединяет в себе несколько категорий прав доступа к операциям:

    • стандартные права доступа — базовые операции над объектом, такие как удаление объекта, чтение дескриптора безопасности, изменение DACL или изменение владельца;

    • права, специфичные для данного объекта каталога:

      • чтение и запись свойств объекта;

      • создание и удаление дочерних объектов;

      • выполнение подтвержденных операций записи;

    • обобщенные права — агрегированные флаги, объединяющие несколько стандартных и объектных прав, используемые для удобства назначения;

    • расширенные права доступа (Control Access Rights) — права, идентифицируемые значениями GUID и применяемые для логически сложных или административных операций, которые не охватываются стандартными битовыми флагами.

  • вкладку Дополнительные с перечнем свойств (атрибутов) объекта каталога или наборов свойств, к которым применяются разрешения на чтение и запись;

    Объединяет в себе несколько категорий атрибутов:

    • отдельные атрибуты объекта;

    • логические группы атрибутов, определенные в схеме каталога;

    • атрибуты с особыми типами доступа.

  • кнопку Сохранить для сохранения внесенных изменений и кнопку Отменить для выхода из режима просмотра без сохранения изменений.

Добавление элемента разрешения

Для добавления элемента разрешения:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. На вкладке Разрешения нажмите + Добавить.

    advanced security add 1
    Рис. 4. Добавление элемента разрешения

  4. В боковой панели Добавление разрешения нажмите Выберите пользователя или группу.

  5. В диалоговом окне при необходимости измените расположение, в поле Имя выберите субъект безопасности из списка доступных или начните вводить имя существующего субъекта безопасности для поиска по совпадению, выберите его и нажмите Добавить.

    select security principal 1
    select security principal 2
    Рис. 5. Добавление субъекта безопасности

  6. В переключателе Тип выберите тип для добавляемого элемента разрешения.

  7. На вкладке Общие разрешения выберите операции, для которых должно быть установлено разрешение.

    advanced security add 2
    Рис. 6. Выбор операций

  8. Нажмите Сохранить.

В таблице на вкладке Разрешения отображается новая строка с параметрами добавленного элемента разрешения.

advanced security add 3
Рис. 7. Отображение добавленного элемента разрешения в таблице

Изменение элемента разрешения

Для изменения элемента разрешения:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. В списке на вкладке Разрешения выберите строку, соответствующую элементу разрешения, который требуется изменить, нажмите button actions и выберите Открыть.

  4. Внесите требуемые изменения:

    • при необходимости нажмите edit icon и выберите другого субъекта безопасности;

    • выберите тип разрешения;

    • внесите изменения на вкладках Общие разрешения и Дополнительные.

  5. Нажмите Сохранить.

В таблице на вкладке Разрешения отображаются изменения в параметрах элемента разрешения.

Удаление элемента разрешения

Для удаления элемента разрешения:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. В списке на вкладке Разрешения выберите строку, соответствующую элементу разрешения, который требуется удалить, нажмите button actions и выберите Удалить.

Строка с параметрами удаленного элемента разрешения перестает отображаться в таблице на вкладке Разрешения.

Изменение владельца объекта каталога

Для изменения владельца выбранного объекта каталога:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. Рядом с именем текущего владельца нажмите edit icon.

  4. В диалоговом окне при необходимости измените расположение, в поле Имя выберите субъект безопасности из списка доступных или начните вводить имя существующего субъекта безопасности для поиска по совпадению и выберите его.

    change owner 1
    change owner 2
    Рис. 8. Изменение владельца объекта каталога

  5. Нажмите Добавить.

В блоке Владелец отображается выбранный субъект безопасности.

Отключение наследования разрешений

Для отключения наследования разрешений:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. На вкладке Разрешения нажмите Отключить наследование.

  4. В диалоговом окне в переключателе выберите одно из двух действий над унаследованными разрешениями:

    • преобразовать унаследованные разрешения в явные разрешения данного объекта каталога;

    • удалить все унаследованные разрешения для данного объекта каталога.

    disable inheritance
    Рис. 9. Отключение наследования разрешений

В таблице на вкладе Разрешения отображается обновленный набор элементов разрешений в соответствии с выбранным вариантом отключения наследования.

Включение наследования разрешений

Включение наследования разрешений доступно для объектов каталога, для которых оно было ранее отключено.

Для включения наследования разрешений:

  1. Откройте карточку объекта каталога.

  2. В разделе «Безопасность» нажмите Расширенные настройки.

  3. На вкладке Разрешения нажмите Включить наследование.

  4. В диалоговом окне нажмите Включить для подтверждения операции.

    enable inheritance
    Рис. 10. Включение наследования разрешений

В таблице на вкладе Разрешения отображается обновленный набор элементов разрешений с учетом наследования.