Como funciona a arquitetura de permissão do Windows

 Windows Server 2012 r2

Atribuindo permissões

As permissões são privilégios concedidos a entidades de sistema específicos , como usuários , grupos ou computadores , permitindo-lhes realizar uma tarefa ou acessar um recurso . Por exemplo , você pode conceder uma permissão específica do usuário para ler um arquivo ao mesmo tempo negar que mesmo usuário as permissões necessárias para modificar ou excluir o arquivo. O Windows Server 2012 tem vários conjuntos de permissões , que operam de forma independente um do outro. Para fins de compartilhamento de arquivos, você deve estar familiarizado com a operação dos seguintes sistemas de permissão:

  • As permissões de compartilhamento:

controlar o acesso a pastas em uma rede. Para acessar um arquivo em uma rede, o usuário deve ter permissões de compartilhamento apropriados ( e permissões NTFS adequadas se a pasta compartilhada é em um volume NTFS) .

  • Permissões NTFS:

Controlar o acesso aos arquivos e pastas armazenados em volumes de disco formatados com o sistema de arquivos NTFS. Para acessar um arquivo , tanto no sistema local ou em uma rede , um usuário deve ter as permissões NTFS adequadas.

Estes sistemas de permissão de operar independentemente um do outro e , por vezes, combinam-se para proporcionar uma maior proteção a um recurso específico . Para usuários de rede ser capaz de acessar uma pasta compartilhada em uma unidade NTFS , você deve conceder as permissões de compartilhamento e permissões NTFS. Como você viu anteriormente, você pode conceder essas permissões, como parte do processo de criação da ação, mas você também pode modificar as permissões em qualquer momento depois.

Entendendo a arquitetura de permissão do Windows

Para armazenar as permissões, cada um desses elementos tem uma lista de controle de acesso ( ACL). Uma ACL é uma coleção de permissões individuais, sob a forma de entradas de controle de acesso (ACEs) . Cada ACE consiste em uma entidade de segurança (isto é, o nome do usuário, grupo ou computador concedidas as permissões) e as permissões específicas atribuídas a essa entidade de segurança. Quando você gerenciar permissões em qualquer um dos sistemas de permissão do Windows Server 2012, você está, na verdade, criando e modificando as ACEs em uma ACL.

Para gerenciar permissões no Windows Server 2012 , você pode usar uma aba em Propriedades do elemento protegido, com as entidades de segurança listadas na parte superior e as permissões associadas a eles na parte inferior. As permissões de compartilhamento são normalmente encontradas nas abas Permissões de compartilhamento e permissões NTFS.Todos os sistemas de permissão Windows usam a mesma interface de base. Server Manager também fornece acesso NTFS e permissões de compartilhamento usando uma interface um pouco diferente.

Entendendo as permissões básicas e avançadas

As permissões de proteção de um arquivo não são como senhas. As permissões são projetadas para ser granular , o que permite a concessão de graus específicos de acesso a entidades de segurança.

Para fornecer essa granularidade, cada um dos sistemas de permissão do Windows tem uma variedade de permissões que você pode atribuir a uma entidade de segurança em qualquer combinação. Dependendo do sistema de permissão com a qual você está trabalhando, você pode ter dezenas de diferentes permissões disponíveis para um único elemento do sistema.

O Windows oferece combinações pré-configurada adequada para a maioria das tarefas de controle de acesso comum. Quando você abrir a opção de propriedades de um elemento do sistema e olhar a guia segurança , as permissões NTFS que você vê são chamados permissões básicas .

Por exemplo, o sistema de permissões NTFS tem 14 permissões avançadas você pode atribuir a uma pasta ou arquivo. No entanto, também existem seis permissões básicas. Na maioria dos casos, os administradores trabalham apenas com permissões básicas. Muitos administradores raramente, ou nunca, trabalharam diretamente com permissões avançadas.

Se você achar que é necessário no seu ambiente trabalhar com permissões avançadas, o Windows torna possível. Quando você clicar no botão Avançado na guia Segurança de qualquer opção de propriedades, uma caixa de diálogo Configurações de segurança avançadas, o que lhe permite acessar diretamente as ACEs para o elemento do sistema selecionado.


Permitir e negar permissões

Quando você atribuir permissões a um elemento do sistema, você está, na verdade, criando um novo ACE na ACL do elemento. Existem dois tipos básicos de ACE: Permitir e Negar. Isso torna possível abordar as tarefas de gerenciamento de permissão de duas direções:

Aditivo: Iniciar sem permissões e conceder as permissões aos objetos conforme o necessário

Diminutivo: concedendo todas as permissões possíveis  e negar somente o que não pode ser visto.

A maioria dos administradores preferem a abordagem aditiva, porque o Windows, por padrão, tenta limitar o acesso. Em uma hierarquia de permissões planejada, o uso de negar permissões é muitas vezes desnecessário. Muitos administradores desaprovam seu uso porque misturar “permitir” e “ negar” pode dificultar a resolução de problemas.

Herança de permissões

O princípio mais importante na gestão de permissão é que as permissões tendem a correr para baixo através de uma hierarquia. Isso é chamado de herança de permissão . Herança de permissão significa que elementos pai passar suas permissões para baixo (pasta filho)e seus elementos subordinados. Por exemplo, quando você concede Alice permissão para acessar a raiz da unidade D, todas as pastas e subpastas na unidade D herdam essas permissões , e Alice pode acessá-los .

O princípio da herança simplifica muito o processo de atribuição de permissão . Sem ele, você teria que conceder permissões individuais para cada arquivo, pasta, objeto e etc. Com a herança , você pode conceder acesso a um sistema de arquivo inteiro , criando um conjunto de permissões.

Em algumas situações , um administrador pode querer impedir que elementos subordinados herdem permissões de seus pais. Há duas maneiras de fazer isso:

  • Desligue herança:  Ao atribuir permissões avançadas , você pode configurar uma ACE para não passar suas permissões aos elementos subordinados. Isto bloqueia eficazmente o processo.
  • Negar permissões:  Quando você atribuir uma permissão Negar a um elemento do sistema , ela substitui qualquer Permitir que as permissões que o elemento pode ter herdado de seus objetos pai .

 

Permissões Efetivas

Ela calcula as permissões concedidas ao usuário ou grupo especificado. O cálculo leva em conta as permissões em vigor relativas à participação em um grupo, bem como qualquer permissão herdada do objeto pai. Ela pesquisa todos os grupos de domínio e locais dos quais o usuário ou o grupo é membro.

O grupo “Todos” sempre será incluído se o usuário ou o grupo selecionado não for membro do grupo “Logon anônimo”. Na família Windows Server°2003, o grupo Todos não inclui mais Logon Anônimo.

A ferramenta “Permissões efetivas” somente produz uma aproximação das permissões de um usuário. As permissões reais do usuário podem ser diferentes, pois elas podem ser concedidas ou negadas dependendo do modo de logon de um usuário. Essas informações específicas de logon não podem ser determinadas pela ferramenta <b>Permissões efetivas</b> já que o usuário não está conectado; portanto, as permissões efetivas exibidas refletirão apenas as especificadas pelo usuário ou pelo grupo, e não as especificadas pelo logon.
Por exemplo, se um usuário estiver conectado a esse computador através de um compartilhamento de arquivo, o logon desse usuário será marcado como logon de rede. As permissões podem ser concedidas ou negadas à rede SID (identificador de segurança) que o usuário conectado recebe, portanto, um usuário terá permissões diferentes quando estiver conectado localmente das permissões concedidas quando estiver conectado por meio de uma rede

Definindo permissões de compartilhamento

No Windows Server 2012, as pastas compartilhadas têm o seu próprio sistema de permissões, que é independente dos outros sistemas de permissão do Windows. Para os usuários da rede  acessar compartilhamentos em um servidor de arquivos, você deve conceder-lhes as permissões de compartilhamento apropriadas. Por padrão, a identidade especial “Todo mundo “ recebe a permissão de Permitir controle total de todas as novas ações criadas.

Para modificar as permissões de compartilhamento para um compartilhamento existente usando o Gerenciador de arquivos, você deve abrir a opção de propriedades para a pasta compartilhada, selecione a guia Compartilhamento e clique em Compartilhamento Avançado e permissões para abrir a guia Permissões de compartilhamento

Usando esta interface, você pode adicionar objetos de segurança e permitir ou negar-lhes as três permissões de compartilhamento. Para ter um controle avançado sobre essas permissões, abra o ” server mananger”, clique em “File and Storage Services”, clique em “Shares”, clique com o botão direito no titulo do compartilhamento depois propriedades, em seguida em permissões e finalizando, permissões avançadas

Entendendo autorização NTFS

No sistema de permissões NTFS, que ReFS também suporta, as entidades de segurança envolvidas são usuários e grupos, que o Windows se refere usando identificadores de segurança (SID). Quando um usuário tenta acessar um arquivo ou pasta NTFS, o sistema lê o token de acesso de segurança do usuário, que contém os SIDs para a conta do usuário e todos os grupos aos quais o usuário pertence. O sistema então compara esses SIDs para os armazenados no arquivo ou ACEs da pasta para determinar o que o usuário pode acessar. Este processo é chamado de autorização.

Atribuindo permissões NTFS avançadas

No Windows Server 2012, a capacidade de gerenciar permissões avançadas está integrado à interface que você usa para gerenciar permissões básicas.

Na caixa de diálogo Entrada de permissão, clique no Permissões Avançadas . Você poderá então atribuir permissões avançadas em qualquer combinação, tal como faria permissões básicas.

Combinando permissões de compartilhamento e NTFS

É importante que os administradores de servidor de arquivos  entendam que o sistema NTFS e sistema de compartilhamento estão completamente separados , e que, para os usuários da rede acessar arquivos em uma unidade NTFS compartilhada , eles devem ter ambas permissões configuradas corretamente.

As permissões de compartilhamento e NTFS atribuídas a um arquivo ou pasta podem entrar em conflito . Por exemplo, se um usuário tem permissão NTFS de gravar e modificar uma pasta, mas não tem a permissão de compartilhamento Alterar , o usuário não será capaz de modificar um arquivo nessa pasta.

O sistema de permissão de compartilhamento é o mais simples dos sistemas de permissão do Windows , e fornece apenas uma proteção básica para recursos compartilhados de rede  em contraste com o muito mais complexo sistema de permissões NTFS. Geralmente, os administradores de rede preferem usar NTFS ou permissões de compartilhamento, mas não ambos. As permissões de compartilhamento oferecem proteção limitada, mas isso pode ser suficiente em algumas redes pequenas.

As permissões de compartilhamento também pode ser a única opção em um computador com unidades FAT32 porque o sistema de arquivos FAT não tem seu próprio sistema de permissão.Em grandes redes que já possuem um sistema bem planejado de permissões NTFS , as permissões de compartilhamento não são necessárias .