Зачем Microsoft усложнила работу с разрешениями NTFS?
Вторник, 20 - Сентябрь - 2011 10 комментариев
Длительное время работая с Windows NT 5.0/5.1/5.2 (Windows 2000/XP/2003), я уже вполне привык к системе назначения разрешений NTFS. Но следующие версии NT (2008/Vista/7) всё же нашли, чем неприятно удивить. Предположим, у вас есть папка, внутри которой вы желаете переназначить доступ. Например, папка с домашними директориями пользователей. Вот как она вместе с разрешениями NTFS выглядит на одном из моих Windows Server 2003 R2:
Вот пример, как такая же папка и разрешения на неё выглядят на одном из моих Windows Server 2008 R2:
На первый взгляд, вид окна изменился ненамного. Да, добавился предохранитель от случайных изменений в виде кнопки Edit. Насколько это действительно полезно, большой вопрос. Дальше я добавляю папку нового пользователя JohnDoe, доступ к которой будет ограничен. Для этого требуется отменить наследование вышестоящих и добавление индивидуальных разрешений. Насколько просто эти две операции выполняются в Windows Server 2003?
Для достижения результата затрачивается 13 (тринадцать) щелчков мышью в 4 (четырёх) диалоговых окнах. Что ж, выполним те же операции на Windows Server 2008? И вот тут начинается настоящий раскардаш:
Реализация абсолютно идентичной задачи на этот раз потребовала 17 (семнадцать) щелчков мышью в 6 (шести) диалоговых окнах. Однако, никаких кардинальных улучшений реально не видно. На мой взгляд, это только отдаляет безопасность от людей. Зачем столько действий? Для чего требовалось усложнять работу администратора? Кто-нибудь может объяснить, что это за надуманный мусор и для чего Microsoft так сделала?
Peter Gubarevich 
Моё мнение следующее. Попробуйте выполнять эти действия используя новую концепцию User Account Control. Используя ограниченную учётную запись вы увидите «щиты» на кнопках «Edit», «Add» и т.д. Работая с пользовательской учётной записью вы выдите какие дествия требуют повышения привилегий.
Простите, а причём тут пользователи? Администратор просто создал папку и просто желает назначить на неё права доступа. Для этого требуется вызвать свойства папки, закладка Security и отредактировать права. Так было и есть. Но будет ли количество диалоговых окон и мышкокликаний меньшим с включенным UAC? Можете это как-то показать?
Работая в штатном режиме вы используете огрниченную учётную запись, при этом для выполнения администраттвных действий вам не нужно даже запускать оболочку от имени администратора (заходить на сервер по RDP или на консоль) — повышение привилегий до административных будет происходить за счёт работы UAC.
Количество мышкокликаний увеличено по причине необходимости повышения привилегий в момент выполнения административного действия: вы нажимаете кнопку «Edit» со «щитом», появляется окно UAC где вы вводите и логин и пароль административной учётной записи, которые не равны учётным данным с которыми вы вошли в систему.
Скажите, при описанном вами методе работы число кликов и диалоговых окон уменьшается? Насколько?
Количество мышкокликаний не уменьшается (по сравнению с W2k3) всё остаётся именно таким как вы описали в статье.
Первое окно — вы смотрите текущую конфигурацию.
Второе окно — вы изменяете конфигурацию. Для его «открытия» необходимо повысить привилегии нажав на кнопку со щитом и введя административные учётные данные.
Попробуйте ещё раз понять суть моего вопроса: имеется задача, которую мы выполняем регулярно — назначение прав доступа на папки и файлы. Если раньше мы могли достичь цель за 13 (тринадцать) кликов, то сейчас на это требуется 17 (семнадцать) кликов. (Не говоря уже о NT4 и ранее, где кликов было ещё меньше, но не было понятия наследования). Сейчас же задача ИДЕНТИЧНА в каждой системе.
Почему? Зачем? Это НЕНОРМАЛЬНО.
А увеличение мышкокликаний в вашем случае имеет прямую причину — введение концепции UAC во все эти ОС 2008/Vista/7. Увеличилось количество движений не только при настройках разрешений NTFS, но и при обычной работе пользователя. Для запуска екзешника нужно выполнить два нажатия на кнопку мыши, вместо одно как это было в XP. Во всех случаях где появляется «щит» нужно выполнить минимум на одно нажатие кнопки больше.
Конечно другой вопрос о том, что UAC можно было бы оптимизировать. Например выделить административные задачи. Запрашивать повышение привилегий в момент попытки просмотра конфигурации, а затем в рамках этой административной сессии уже не запрашивать повышения и не городить лишних окон. Здесь я с вами полностью согласен.
Автор прав — нелогично для простой операции повышать количество действий. 2+2 можно разбить на 1+1+1+1 — так наверно легче… =(
Уведомление: Зачем Microsoft усложнила работу с разрешениями NTFS? | Полезные ссылки
Peter Gubarevich прав.
Я считаю, что нужно было добавить одну кнопку для получения полных прав на изменения (для доступа в любое место вкладки “Безопасность”) и не нужно было бы, в ряде случаев, вводить пароль администратора два раза. Например, задача добавить несколько пользователей и/или групп, снять наследование и произвести более тонкую настройку прав, чем это предоставляет верхняя часть вкладки “Безопасность”. Добавить несколько пользователей и/или групп через поиск одновременно (так быстрее и проще), можно только через кнопку “Изменить…”. В этом месте мы первый раз водим пароль. Далее нужно идти через кнопки “Дополнительно” и “Изменить разрешения…”, где опять нужно вводить пароль. Каждый раз в этот момент начинаешь вспоминать родственников тех, кто так неудобно это сделал.