Sdílení složek na systémech MS Windows 2000/XP - 1. díl

Sdílení složky v kontextu systémů MS Windows znamená umožnění přístupu do složky jiným síťovým zařízením. Této síťové služby Microsoftu se využívá zejména v lokální sítích (LAN). V tomto seriálu naleznete pouze rozbor sdílení složek na systémech se skupinovým (nikoli doménovým) uspořádáním, a to především z pohledu správce (dozvíte se, jak sdílení vytvořit a nakonfigurovat) a uživatele (dozvíte se, jak sdílení použít).

Cílem tohoto seriálu není objasnit principy sítí. Předpokládá se, že čtenář rozumí pojmům klient a server. Protože klient a server má mnoho forem (označení pro fyzický počítač, klasifikace aplikace, …), je nezbytné vymezit tyto pojmy pro kontext tohoto seriálu:

• Server je označení pro systém (uzel, počítač, pracovní stanici), který sdílí složku, fyzicky existující na zařízení přímo připojeném k systému, síti.
• Klient je označení pro systém (uzel, počítač, pracovní stanici), který upotřebuje sdílení.

Lokální řízení přístupu k objektům souborového systému

OS Windows 2000/XP používají lokální řízení přístupu k objektům souborového systému na svazcích NTFS. Každý objekt v souborovém systému NTFS (New Technology File System) obsahuje mj. ACL (Access Control List). Jedná se o seznam objektů zabezpečení s přidělenými přístupovými právy. Lokálním řízením přístupu k souborovému systému FAT (s výjimkou uzamykání souborů procesy) OS Windows 2000/XP nedisponují.

V systémech Windows existují 3 typy objektů zabezpečení:

¹⁾ Členství v zabudovaném objektu zabezpečení je stanoveno systémem podle aktuálního stavu příslušné skutečnosti. Skutečnost je např. forma přihlášení uživatele (lokální, vzdálené) nebo ověření (anonymní, ověřený). Existuje však i zabudovaný objekt zabezpečení, který nemá se stavem žádné skutečnosti nic společného; jedná se o SYSTEM. SYSTEM je reprezentace účtu lokálního systému, pod kterým běží ovladače a služby. Z hlediska sítě nemá SYSTEM, někdy též uváděný jako LocalSystem, žádný význam. Zabudované objekty zabezpečení jsou někdy zjednodušeně, byť ne úplně správně, označovány jako skupiny.

Výčet zabudovaných objektů zabezpečení v systému Windows XP Professional SP2

Každý objekt zabezpečení je tvořen unikátním hashem, který je známý jako SID (Security Identifier); vypadá asi takhle: S-1-5-21-507921405-1035525444-725345543-500. Fyzicky na disku v ACL tabulkách není zapsán název objektu zabezpečení, ale SID. Pokud založíme uživatele se jménem Karel, poté jej smažeme a následně na stejném systému založíme znovu, jeho SID bude jiný. Na podruhé vytvořeného uživatele Karel se tedy nebudou vztahovat práva, která jsou přidělena např. k domovské složce prvního uživatele Karel (druhý Karel nebude mít standardní cestu ke své domovské složce, pokud po smazání prvního Karla složku prvního Karla nesmažeme). Přiřazení názvů objektů zabezpečení k SIDům je známo instanci OS. To znamená, že pokud přeinstalujeme systém a znovu v něm vytvoříme všechny uživatele, máme také práci s nastavením přístupových práv (v praxi většinou těch mimo domovskou složku), protože nově vytvoření uživatelé, byť se stejnými jmény, budou mít rozdílné SIDy. Podobně je to u práce v síti, kde každý počítač provozuje jinou instanci OS, která každá má vlastního správce uživatelských účtů (SAM, Security Accounts Manager), ve kterém i stejnojmenní uživatelé mají jiné SIDy. Unikátní SIDy mají rovněž správcem definované skupiny. Narozdíl od uživatelů a správcem definovaných skupin, předdefinované skupiny (Administrators, Users, …) a zabudované objekty zabezpečení mají SIDy ve všech instancích OS stejné, a to i napříč různými verzemi OS Windows.

ACL tabulku objektu souborového systému NTFS můžeme prozkoumat ve vlastnostech tohoto objektu v průzkumníku Windows na kartě Zabezpečení (Security), pokud máme práva ACL tabulku zvoleného objektu přečíst a pokud nemáme zapnuté zjednodušené sdílení (pouze Windows XP) nebo jsme v nouzovém režimu. Ve vlastnostech objektu souborového systému FAT karta Zabezpečení pochopitelně chybí.

Karta Zabezpečení ve vlastnostech složky

Seznamy práv definovaných ACL tabulkami však nejsou jediné seznamy práv, které systém udržuje. Když nějaká entita chce přistoupit k nějakému objektu (nemusí to být jen objekt souborového systému), jsou z nominálních práv v ACL tabulkách vykonstruována práva efektivní, výsledná; často jsou označována rovněž jako Skutečná oprávnění. Než si vysvětlíme postup konstrukce výsledných práv, musíme si ozřejmit některá fakta o záznamech (ACE, Access Control Entry) v ACL tabulkách:

• Každý ACE je buď povolovací nebo zakazovací. Vzhledem k tomu, že s prázdnou ACL nemá žádná entita žádná práva (znalejší mi odpustí opomenutí převzetí vlastnictví), zpravidla se používají jen povolovací ACEs.
• Na kartě Zabezpečení ve vlastnostech objektu NTFS je zobrazen zjednodušený seznam práv. Pokud by nás zajímaly záznamy řízení přístupu (ACEs) tak, jak jsou fyzicky uloženy, musíme kliknout na tlačítko Upřesnit. Tamější seznam zobrazuje ty položky, které se uplatňují při vyhodnocování efektivních práv. Zjednodušený seznam v určitých aspektech zobrazuje více ACEs jako jeden, což vysvětluje, že např. můžeme vidět, že zabudovaný objekt zabezpečení Everyone má fajfky v obou sloupcích.

Nyní ke slíbené konstrukci výsledných práv:

1. Provede se sjednocení všech nominálních práv u všech povolovacích ACEs, s jejichž SIDy je svázána entita, pro niž se výsledná práva vyhodnocují.
2. Provede se sjednocení všech nominálních práv u všech zakazovacích ACEs, s jejichž SIDy je svázána entita, pro niž se výsledná práva vyhodnocují.
3. Výsledkem je rozdíl sjednocení povolovacích a sjednocení zakazovacích práv (množinu efektivních práv tvoří všechna povolovací práva ze seskupené množiny, která nejsou obsažena v seskupené množině zakazovacích práv).

Byl zmíněn pojem Skutečná oprávnění. Tak se jmenuje jedna ze záložek v Upřesnění karty Zabezpečení. Příslušná karta slouží k ověření výsledných oprávnění pro zvoleného uživatele správcem. Vcelku logicky tato karta nemůže respektovat ACEs většiny zabudovaných objektů zabezpečení, protože začlenění přistupující entity do těchto logických celků probíhá dynamicky (podle stavu příslušné skutečnosti), a proto výsledky podané touto kartou nemusí korespondovat s výslednými efektivními právy v konkrétním případě.