Алексей Виноградов - Домашний доктор для вашего ПК

3.7. Разрешение и права пользователей

Для архивации файлов и папок необходимо обладать определенными разрешениями или правами пользователя. Члены локальных групп «Администраторы» и «Операторы архива» могут архивировать любой файл или папку на локальном компьютере, к которому относится локальная группа. Кроме того администраторы и операторы архива на контроллере домена могут архивировать любые файлы или папки на любом компьютере в этом домене или в домене, с которым установлены двусторонние доверительные отношения (кроме данных состояния системы; см. примечание). Пользователи, не являющиеся администраторами или операторами архива, могут архивировать только собственные файлы и папки либо должны иметь не менее одного из следующих разрешений на доступ к файлам и папкам, которые требуется архивировать: «Чтение», «Чтение и выполнение», «Изменение» или «Полный доступ».

Кроме того необходимо быть уверенным, что доступ к жесткому диску не будет ограничен дисковыми квотами: это сделает архивацию данных невозможной. Чтобы узнать, существуют ли ограничения дисковых квот, надо кликнуть правой кнопкой мыши диск, на котором требуется сохранить данные, выбрать команду Свойства и перейти на вкладку Квота .

Доступ к архиву можно ограничить, установив в диалоговом окне Сведения о задании архивации флажок «Разрешить доступ к архивным данным только владельцам и администраторам» . Если этот флажок установлен, восстановление файлов и папок из архива сможет выполнять только администратор или пользователь, создавший архив.

Архивировать и восстанавливать данные состояния можно только на локальном компьютере. Более того, для архивации и восстановления данных состояния системы необходимо быть администратором локального компьютера. Прав оператора архива на локальном компьютере для этого недостаточно. Для архивации и восстановления данных состояния системы на удаленном компьютере недостаточно даже прав администратора на этом удаленном компьютере.

3.8. Группы с ограниченным доступом

Политика безопасности хранения данных Windows XP разрешает администратору определить два свойства для групп с особыми требованиями к безопасности («групп с ограниченным доступом»). Это свойства «Члены группы» и «Член групп». Список «Члены группы » позволяет определить, кто входит в данную группу с ограниченными правами и кто не входит в нее. Список «Член групп » показывает, каким другим группам принадлежит данная группа с ограниченным доступом. При активизации групповой политики ограничения доступа все текущие члены группы с ограниченным доступом, отсутствующие в списке «Члены группы » , удаляются из группы. Все пользователи из списка «Члены группы » , не являющиеся в этот момент членами данной группы с ограниченным доступом, добавляются в нее. Папка «Группы с ограниченным доступом» доступна только в объектах групповой политики, связанных с доменами, подразделениями и сайтами. Она не отображается в объекте «Политика локального компьютера». Если группа с ограниченным доступом определена так, что в ней нет ни одного члена (т. е. список «Члены группы » пуст), при применении данной политики в системе из группы удаляются все ее члены. Если пуст список «Член групп » , никаких изменений с группами, в которые входит данная группа с ограниченным доступом, не производится. По умолчанию: не определен. Пустой список «Члены группы » означает, что в группе с ограниченным доступом нет членов; пустой список «Член групп » означает, что группы, которым принадлежит данная группа с ограниченным доступом, не заданы.

3.9. Системные службы

Политика безопасности Windows XP позволяет администратору определить режим запуска всех системных служб (ручной, автоматический или отключение), а также разрешения на доступ к ним («Запуск», «Остановка», «Приостановка»). По умолчанию: не определен. Не отображается в объекте «Политика локального компьютера».

3.10. Реестр

Политика безопасности Windows XP позволяет администратору определить разрешения на доступ к разделам реестра (в таблицах DACL) и параметры аудита реестра (в таблицах SACL). По умолчанию: не определен. Не отображается в объекте «Политика локального компьютера». Также администратор может определить разрешения на доступ к объектам файловой системы (в таблицах DACL) и параметры аудита этих объектов (в таблицах SACL). По умолчанию: не определен, не отображается в объекте «Политика локального компьютера».

3.11. Привилегии

Привилегия – право пользователя выполнять конкретную задачу, обычно действующее не для конкретного объекта, а для системы в целом. Привилегии назначаются администраторами отдельным пользователям или группам пользователей как часть настроек безопасности компьютера.

Чтобы упростить администрирование учетных записей пользователей, следует назначать привилегии учетным записям групп, а не отдельных пользователей. При назначении привилегий учетной записи группы пользователям, включаемым в эту группу, эти привилегии назначаются автоматически. Этот способ администрирования привилегий гораздо удобнее, чем назначение отдельных привилегий пользователю при создании учетной записи.

В следующей таблице перечислены и описаны привилегии, которыми могут быть наделены пользователи.

Некоторые из этих привилегий имеют более высокий приоритет, чем разрешения объекта. Например, пользователь домена может являться членом группы «Операторы архива», которая имеет право выполнения задач архивирования на всех серверах домена. Однако для этого требуется наличие разрешения на чтение всех файлов на этих серверах, в том числе и тех файлов, для которых владельцы установили разрешения, явно запрещающие доступ других пользователей, включая и членов группы «Операторы архива». В данном случае право пользователя выполнять архивирование получает приоритет над всеми разрешениями для файлов и каталогов.

3.12. Журнал событий

Параметры журнала событий и просмотра событий

Максимальный размер журнала приложений

Задает максимальный размер журнала событий приложений, который не может превышать 4 ГБ. По умолчанию: 512 КБ. Не отображается в объекте «Политика локального компьютера».

Максимальный размер журнала безопасности

Задает максимальный размер журнала событий безопасности, который может составлять как минимум 4 ГБ. По умолчанию: 512 КБ. Не отображается в объекте «Политика локального компьютера».

Максимальный размер системного журнала

Задает максимальный размер журнала системных событий, который не может превышать 4 ГБ. По умолчанию: 512 КБ. Не отображается в объекте «Политика локального компьютера».

Запретить доступ локальной группы гостей к журналу приложений

Определяет, запрещен ли гостям доступ к журналу событий приложений. По умолчанию: отключен. Не отображается в объекте «Политика локального компьютера».

Запретить доступ локальной группы гостей к журналу безопасности

Определяет, запрещен ли гостям доступ к журналу событий безопасности. По умолчанию: отключен. Не отображается в объекте «Политика локального компьютера». Для доступа к журналу безопасности пользователь должен обладать правом Управление аудитом и журналом безопасности.

Запретить доступ локальной группы гостей к системному журналу

Определяет, запрещен ли гостям доступ к журналу системных событий. По умолчанию: отключен. Данный параметр не отображается в объекте «Политика локального компьютера».

Сохранение событий в журнале приложений

Определяет, за какой период времени (в днях) следует сохранять события в журнале приложений, если в нем задан метод сохранения записей «По дням». Это значение следует устанавливать только в том случае, если журнал архивируется с определенной периодичностью и значение параметра Максимальный размер журнала приложений достаточно велико для того, чтобы вместить все события за этот период. По умолчанию: не определен. Не отображается в объекте «Политика локального компьютера». Для доступа к журналу безопасности пользователь должен обладать правом Управление аудитом и журналом безопасности.

Сохранение событий в журнале безопасности

Определяет, за какой период времени (в днях) следует сохранять события в журнале безопасности, если в нем задан метод сохранения записей «По дням». Это значение следует устанавливать только в том случае, если журнал архивируется с определенной периодичностью и значение параметра Максимальный размер журнала безопасности достаточно велико для того, чтобы вместить все события за этот период. По умолчанию: не определен. Не отображается в объекте «Политика локального компьютера».