Модели безопасности. 
Администрирование сетей

Существует две модели безопасности учетных записей: защита на уровне ресурсов (share-level security) и защита на уровне пользователей (user-level security).

Защита на уровне ресурсов Защита на уровне ресурсов представляет собой такую технику защиты, при которой каждый владелец ресурса предоставляет ресурс в совместное пользование под своим контролем и создает пароль для управления доступом к этому ресурсу. Например, пользователь предоставляет цветной принтер для использования в сети. Он может защитить его использования, установив пароль на печать. Знающие пароль пользователи смогут получить доступ к принтеру. Примерами ОС, использующих защиту на уровне ресурсов, являются Windows 3.11 и Windows 95. Они разрешают три вида доступа к ресурсу: только для чтения (read-only), полный доступ (full) и в зависимости от пароля (depends on password).

Доступ только для чтения позволяет пользователю только просматривать файлы в разделяемом каталоге. Они не могут изменять, удалять или добавлять файлы в каталог, но могут их печатать и копировать на свои компьютеры.

Полный доступ позволяет создавать, читать, записывать, удалять и изменять файлы в разделяемом каталоге.

Доступ в зависимости от пароля позволяет предоставлять пользователям права на чтение или на полный доступ в зависимости от введенного пароля. Соответственно, необходимо определить два пароля на ресурс: один на чтение, другой на полный доступ.

Защита на уровне пользователей. При использовании этой модели, каждому пользователю присвоено уникальное имя и пароль. Когда пользователь пытается войти в сеть, ему предлагается ввести свое имя пользователя и пароль, которые сравниваются с базой данных защиты на удаленном сервере. Такой процесс называется идентификацией (authentication). Если имя и пароль верны, сервер регистрирует пользователя в сети. Права и привилегии присваиваются на основе идентификатора пользователя (User ID) и групп, к которым он принадлежит.

В Windows NT эта техника используется для присвоения разрешений. Администратор ограничивает уровень доступа пользователей к ресурсам сети. Существуют следующие типы разрешений:

Read (чтение). Аналогично разрешению read-only в Windows 3.11 или Windows 95, позволяет пользователям просматривать файлы в каталоге с совместным доступом. Они не могут изменять, удалять или добавлять файлы, но могут печатать и копировать файлы на свои компьютеры.

Execute (исполнение). Разрешает пользователям запускать файлы в каталоге с совместным доступом.

Write (запись). Разрешение Write позволяет читать, записывать и изменять файлы в разделенном каталог. Пользователи не могут запускать или удалять файлы.

Delete (удаление). Дает пользователям право удалять файлы из каталога с совместным доступом.

Full control (полный доступ). Позволяет читать, исполнять, создавать, записывать, изменять и удалять файлы в разделенном каталоге.

No access (нет доступа). Пользователи лишены прав получать доступ к каталогу. В сочетании с другими разрешениями No access имеет преимущество. Это означает, что если пользователь имеет к конкретному каталогу доступ Full control и No access, он не получит доступа.