Megjelenites


Válasszon nyelvet !	Choose the language please !	Wählen Sie die Sprache bitte !	Choisissez la langue svp !

Az applet használata: Dupla jobb click segítségével a gráfot a felhasználható területen középre igazítja. A Ctrl + 1, 2, 3, 4 használatával lehet a gráf irányítottságán változtatni, jobb click és az egér mozgatás segítségével pedig lehetőség van zoom-olásra.

Windows 2000 - Haladókönyv haladó szoftverhez

Minden védhető erőforrás mellett találunk egy listát ,amelyen fel vannak sorolva az erőforrás használatára jogosult felhasználók vagy felhasználócsoportok .

Ezt a listát hozzáférés-vezérlő listának (access control list ,a továbbiakban ACL )nevezzük .

A lista minden eleme valójában három adatot tartalmaz :(1) egy ,a rendszer számára ismert felhasználó vagy felhasználócsoport biztonsági azonosítószámát (SID );(2) annak megjelölését ,hogy a listaelem milyen művelet elvégzését szabályozza -ez erőforrástípustól függően más és más lehet ;(3) annak megjelölését ,hogy a listaelem engedélyezi vagy megtiltja az említett műveletek elvégzését a felhasználó vagy felhasználócsoport számára .

Példa hozzáférés-vezérlési listára (a lista egy NTFS-lemezen levő állomány használatát szabályozza ):

A fenti lista elemeit a Windows 2000 a következőképpen értelmezi (minden művelet a pelda.txt nevű állományra vonatkozik ):

Az Administrator •Rendszergazda nevű felhasználótól megtagadja a teljes hozzáférés (minden művelet )jogát .

Ez azt jelenti ,hogy a felhasználó semmilyen műveletet nem végezhet az állományon ;explicit módon el van tiltva tőle .

A Guests •Vendégek felhasználócsoport tagjaitól megtagadja az állomány elolvasásának és végrehajtásának jogát (az utóbbinak csak futtatható állomány esetében van értelme ,a pelda.txt nem ilyen ).

Ez nem jelenti azt ,hogy a csoport tagjai más műveleteket (írás ,hozzáférési jogok beállítása stb. )elvégezhetnek az állományon .

Azokról a műveletekről ez a bejegyzés nem mond semmit ,vagyis azoktól nem tiltja el explicit módon a csoporttagokat .

A KB nevű felhasználó számára engedélyezi az állományhoz való teljes hozzáférést (minden művelet elvégzését ).

A Users •Felhasználók felhasználócsoport tagjai számára engedélyezi az állomány olvasását és végrehajtását .

A fentiekből látszik ,hogy egy felhasználó több címen is kaphat hozzáférési jogokat egy objektumhoz :egyrészt közvetlenül ,másrészt felhasználócsoportok tagjaként .

A fenti esetben például a KB nevű felhasználó tagja a Users •Felhasználók felhasználócsoportnak ;ez azt jelenti ,hogy egyfelől megkapja a KB felhasználónak explicite megadott Full Control •Teljes hozzáférés jogot ,másfelől megkapja a Users •Felhasználók csoport Read &Execute •Olvasás és végrehajtás jogát .

Eszerint KB mindkét joggal rendelkezik ,vagyis egyszerre birtokolja a Full Control •Teljes hozzáférés és a Read &Execute •Olvasás és végrehajtás jogokat ,ami akár többet is jelenthet a közvetlenül megadott jogoknál (ha a Full Control •Teljes hozzáférés nem foglalná magában az olvasás és végrehajtás jogát is ).

De mi történik ,ha KB nem a Users •Felhasználók ,hanem a Guests •Vendégek csoport tagja ?

Ebben az esetben ugyanis a rendszer egyfelől megtagadja az olvasás és végrehajtás jogát ,másfelől teljes hozzáférést engedélyez az állományhoz .

A kettő ellentmond egymásnak ;ezt a Windows 2000 úgy oldja fel ,hogy a jogok megtagadását előnyben részesíti a műveletek engedélyezésével szemben .

Vagyis a megtagadó jogok mindig erősebbek az engedélyező jogoknál .

Hiába van tehát KB-nek saját nevén teljes hozzáférése az állományhoz ,ha csoport tagjaként megtagadják tőle az olvasás és a végrehajtás jogát .

(Mellesleg ez az az eset ,amikor a felhasználó írhat az állományba ,de nem olvashatja el .)

Ha olyan felhasználó próbál hozzáférni az erőforráshoz ,saját nevével nincs felsorolva a hozzáférési listán ,és egyik felsorolt csoportnak sem tagja -vagyis semmilyen címen nem kapott jogot -,akkor a rendszer nem engedélyezi semmilyen művelet elvégzését .

Tehát a Windows 2000-ben a számítógépes erőforrásokhoz senki sem férhet hozzá ,amíg valamilyen módon nem engedélyezik számára a hozzáférést .

Az már más kérdés ,hogy az operációs rendszer telepítésekor ,illetve védhető erőforrások létrehozásakor megjelennek alapértelmezés szerinti jogok ,amelyek sok esetben mindenki számára teljes hozzáférést biztosítanak .

Ha például a hálózat felé megosztunk egy könyvtárt ,a hozzá tartozó ACL-nek kezdetben egyetlen bejegyzése lesz ,amely az Everyone •Mindenki speciális felhasználócsoport számára teljes hozzáférést engedélyez .

Ha ugyanakkor az ACL-ben van olyan bejegyzés ,amely egy felhasználótól vagy csoporttól a teljes hozzáférést tagadja meg ,vagyis eltiltja az erőforrástól ,akkor nem lehet neki semmilyen hozzáférést engedélyezni mindaddig ,amíg a teljes tiltást előíró bejegyzés szerepel a listán .

A fenti példában az Administrator •Rendszergazda felhasználó van eltiltva egy állománytól .

Ha valaki ezt mint problémát úgy próbálja kijavítani ,hogy felvesz a listára egy olyan bejegyzést ,amely engedélyezi a teljes hozzáférést az Administrators •Rendszergazdák felhasználócsoportnak -amelynek tagja az Administrator •Rendszergazda is -,akkor minden marad a régiben ,mert ez esetben a felhasználó egyfelől saját nevén el van tiltva az erőforrástól ,másfelől teljes hozzáférést kapott felhasználócsoport tagjaként .

Ekkor is a tiltó bejegyzés az erősebb :az Administrator •Rendszergazda felhasználó nem férhet hozzá az állományhoz ,amíg az rajta van a listán .

Megjegyzés .

A jogok kiértékelésének gyorsítása végett az ACL-eken mindig a tiltó bejegyzések szerepelnek előbb .

Amikor egy felhasználó -valamely programon keresztül -megpróbál megnyitni egy erőforrást ,mindig meg kell adnia azt is ,hogy milyen műveleteket szeretne majd végezni rajta .

(Ez a felhasználók számára így nem látható ,ilyenkor a felhasználó által elindított program a Windows-rendszerhívásokon keresztül kommunikál a biztonsági rendszerrel .)

A Windows 2000 a felhasználói igény ismeretében olvassa végig a hozzáférés-vezérlő listát ,és ha olyan bejegyzéssel találkozik ,amely megtiltja az adott felhasználónak a kért művelet elvégzését ,befejezi az olvasást .

Vagyis az ,hogy a felhasználó -az adott művelet erejéig -el van tiltva egy erőforrástól ,gyorsan kiderül .

A dokumentumban összesen 35 mondat ezen belül 114 tagmondat talalható. A dokumentumban szereplő mondatok a küvetkezőképpen épülnek fel: 314 főnévi csoport, 77 jelzői melléknévi szerkezet, 44 határozószói csoport, 6 főnévi igenév szerepel.

A dokumentumban összesen 751 szó jelenik meg.

Az egyes színek jelentése:
	Főnév
	Ige
	Számnév
	Melléknév
	Névelő
	Névutó
	Mondat értékű szó
	Névmás
	Kötőszó
	Határozószó
	Nyilt tokenosztály