Комментарии 3
«Причина в том, что согласно реализованной в Windows концепции discretionary access control (DAC), владелец имеет право на чтение и изменение разрешений. И даже явно указанный запрет для учетной записи не имеет приоритета над правами владельца. „
Разве это не логично? Я владелец — что хочу то и делаю. Иначе выходил бы казус — запретил сам себе доступ к файлу и не можешь его никак вернуть. В линукс системах все также, если ты владелец — ты можешь менять разрешения, даже если у тебя нет никакого доступа.
Просто если уж запрещаешь доступ к объекту, логично и владельца изменить, разве нет?
Разве это не логично? Я владелец — что хочу то и делаю. Иначе выходил бы казус — запретил сам себе доступ к файлу и не можешь его никак вернуть. В линукс системах все также, если ты владелец — ты можешь менять разрешения, даже если у тебя нет никакого доступа.
Просто если уж запрещаешь доступ к объекту, логично и владельца изменить, разве нет?
Есть тонкости в этом вопросе. Если уж говорить о логике, то запрещающие права имеют более высокий приоритет чем разрешающие. Но обсуждение логики это тема другой статьи.
Я привел пример с явным запретом для наглядности. Более жизненный пример это общая папка какого-нибудь подразделения. Вы как администратор даете пользователям права на чтение, запись и изменение, и совершенно точно не хотите чтобы они могли менять права. Условный Петя создал папку. Теперь он ее владелец и имеет право менять разрешения. От безделья он запрещает доступ к папке непонятной ему группе usersCEO. Таким образом он еще запрещает доступ к подпапкам и файлам, владельцем которых он может и не быть.
Я привел пример с явным запретом для наглядности. Более жизненный пример это общая папка какого-нибудь подразделения. Вы как администратор даете пользователям права на чтение, запись и изменение, и совершенно точно не хотите чтобы они могли менять права. Условный Петя создал папку. Теперь он ее владелец и имеет право менять разрешения. От безделья он запрещает доступ к папке непонятной ему группе usersCEO. Таким образом он еще запрещает доступ к подпапкам и файлам, владельцем которых он может и не быть.
«Условный Петя создал папку. Теперь он ее владелец и имеет право менять разрешения. От безделья он запрещает доступ к папке непонятной ему группе usersCEO. Таким образом он еще запрещает доступ к подпапкам и файлам, владельцем которых он может и не быть.»
Что мешает условному Пете, создать там зашифрованный раздел в виде файла?
С другой стороны я соглашусь с тем, что для общей папки владельцем должен быть вледелец этой самой общей папки. Т.е. люди создающие внутри объекты не должны быть их владельцами.
Что мешает условному Пете, создать там зашифрованный раздел в виде файла?
С другой стороны я соглашусь с тем, что для общей папки владельцем должен быть вледелец этой самой общей папки. Т.е. люди создающие внутри объекты не должны быть их владельцами.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Публикации
Права доступа — хозяин может все