O planejamento eficiente diminui a quantidade de tempo necessária para gerenciar a instalação do NetWare 4 posicionando usuários, serviços e recursos próximos uns dos outros dentro da árvore.
Isto permite que você garanta a maioria dos direitos a um container e faça com que os direitos percorram a árvore para os usuários que precisam deles. Por exemplo, aplicar direitos uma vez a um container pode gerenciar efetivamente todos os recursos no interior de um determinado container, o que minimiza o tempo gasto com a administração da Árvore do Diretório e reduz o tráfego da rede.
Uma vez conluído, seu plano de acessibilidade, revise as perguntas a seguir para avaliar a eficiência de seu plano:
Um novo usuário tem direitos suficientes para ler todas as suas propriedades, mas pode visualizar somente filiações de grupo, endereços da rede e servidor default para outros usuários. O login script é a única propriedade de leitura explícita definida para objetos do container.
Os administradores NetWare precisam designar o " trustee explícito" de uma propriedade antes que a propriedade possa ser usada ou compartilhada. Por exemplo, uma configuração de serviço de impressão não funciona se for definida no nível do container e não designada a um usuário específico.
As designações default de trustee configuradas na instalação são as seguintes:
|
Trustee |
Direitos do Diretório NDS |
Direitos do Sistema de Arquivos |
|---|---|---|
|
Objeto Usuário que criou o objeto Servidor NetWare |
Direito Supervisionar [S] ao objeto Servidor NetWare |
|
|
ADMIN do objeto Usuário |
Direito Supervisionar [S] para o objeto [Root] e para o objeto Servidor NetWare que ele cria |
|
|
Objeto [Root] |
Direito Ler propriedade [R] para prorpiedades Nome do Servidor Host e Nome do Volume Host de cada objeto Volume |
|
|
Objeto [Público] |
Direito Ler propriedade[R] à propriedade Endereço da Rede do Servidor |
|
|
Volumes do Servidor |
Direito Ler propriedade de Leitura à propriedade de Login Script do container |
Leitura [R] e Explorar Arquivo [F] para SYS:PUBLIC Leitura [R] e Explorar Arquivo [F] para SYS:DOC (opcional) Leitura [R], Explorar Arquivo [F], Criar [C] Editar [E] para SYS: |
Objetos Usuário herdam os seguintes direitos default quando são criados:
|
Nome do Objeto |
Trustee Explícito |
Direitos de Objeto do PUBLIC |
Direitos de Propriedade para Usuário |
|---|---|---|---|
|
Organização ou Unidade Organizacional |
Nome do Container |
Browse |
Ler Login Script |
|
Mapa de Diretórios |
Nenhum |
Browse |
Nenhum |
|
Grupo |
[Root] |
Browse |
Ler Membros |
|
Script de Perfil |
Nenhum |
Browse |
Nenhum |
|
Script do Usuário |
Nome do Usuário |
Browse |
Ler Todas as Propriedades |
O objeto default NDS e os direitos de propriedade do objeto NDS para objetos recentemente criados estão relacionados na tabela a seguir. Estes direitos são mostrados como uma entrada ACL com o seguinte formato:
O termo [Direitos de Entrada] significa os direitos ao objeto em si, enquanto [Todos os Direitos de Atributo] significa direitos a todos os atributos do objeto. Valores fora de colchetes (como endereço de Rede) são nomes reais de propriedade.
Por exemplo, o [Criador] de um objeto Grupo tem Direito Supervisionar nos [Direitos de Entrada] do objeto, significando que o criador tem direitos Supervisionar sobre o objeto.
O objeto [Root] tem direitos Ler à propriedade do objeto Membro, significando que cada usuário pode ler a filiação do objeto grupo.
|
Nome do Objeto |
Direitos Default do Objeto |
Direitos Default de Propriedade do Objeto |
|---|---|---|
|
Servidor AFP |
[Criador], [Direitos de Entrada], [S] [Auto], [Direitos de Entrada], [S] |
[Público], Servidor de Mensagem, [R] [Público], Endereço de Rede, [R] |
|
Álias |
[Criador], [Direitos de Entrada], [S] |
|
|
Arquivo de Auditoria |
[Criador], [Direitos de Entrada], [S] |
|
|
Objeto de Bindery |
[Criador], [Direitos de Entrada], [S] |
|
|
Fila de Bindery |
[Criador], [Direitos de Entrada], [S] |
[Root], [Todos os Direitos de Atributo], [R] |
|
Computador |
[Criador], [Direitos de Entrada], [S] |
|
|
País |
[Criador], [Direitos de Entrada], [S] |
|
|
Mapa de Diretórios |
[Criador], [Direitos de Entrada], [S] |
|
|
Entidade Externa |
[Criador], [Direitos de Entrada], [S] |
[Root], Membro,[R] |
|
Grupo |
[Criador], [Direitos de Entrada], [S] |
[Root], Membro,[R] |
|
Servidor NetWare |
[Criador], [Direitos de Entrada], [S] [Auto], [Direitos de Entrada], [R] |
[Público], Servidor de Mensagem, [R] [Público], Endereço de Rede, [R] |
|
Organização |
[Criador], [Direitos de Entrada], [S] |
|
|
Cargo Organizacional |
[Criador], [Direitos de Entrada], [S] |
|
|
Unidade Organizacional |
[Criador], [Direitos de Entrada], [S] |
[Auto], Login Script, [R] |
|
Servidor de Impressão |
[Criador], [Direitos de Entrada], [S] [Auto], [Direitos de Entrada], [R] |
[Público], Endereço de Rede, [R] |
|
Impressora |
[Criador], [Direitos de Entrada], [S] |
|
|
Perfil |
[Criador], [Direitos de Entrada], [S] |
|
|
Arquivo |
[Criador], [Direitos de Entrada], [S] |
[Root], [Todos os Direitos de Atributo], [R] |
|
Usuário |
[Criador], [Direitos de Entrada], [S] [Root], [Direitos de Entrada], {B} |
[Público], Servidor de Mensagens, [R] [Root], Filiação do Grupo, [R] [Root], Endereço de Rede, [R] [Auto], [Todos os Direitos de Atributo], [R] [Auto], Login Script, {R,W} [Auto], Configuração do Serviço de Impressão, {R,W} |
|
Volume |
[Criador], [Direitos de Entrada], [S] |
[Root], Nome do Recurso Host, {R, W} [Root], Servidor Host, [R] |
Para objetos instalados com o NetWare 4, o [Criador] é o objeto Usuário ADMIN.
NOTA: A habilidade de um usuário criar o objeto deriva primeiramente do direito Criar que o usuário tem ao container em que o objeto foi criado
Quando você cria um objeto, o servidor otimiza o ACL para remover entradas desnecessárias. Tipicamente, isto significa que a entrada ACL "[Criador], [Direitos de Entrada], [S]" é removida, uma vez que na maioria dos casos o criador de um objeto tem os direitos Supervisor de container onde o objeto é encontrado e, assim, tem os direitos Supervisionar objeto recentemente criado por herança.
Se, contudo, o criador tinha somente os direitos Criar ao container, depois o ACL para o objeto recentemente criado retém a entrada "[Criador], [Direitos de Entrada], [S]", uma vez que o criador, de outra forma, não tem direito algum sobre o objeto recentemente criado.
Assim, se você criar um objeto e depois configurar seu Filtro de Direitos Herdados, você não poderá mais ter acesso ao objeto, mesmo que a entrada ACL "[Criador], [Direitos de Entrada], [S]" apareça para conceder a você tais direitos.
ADVERTÊNCIA: Direitos efetivos podem ser derivados de equivalência de segurança e herança, bem como estarem diretamente atribuídos a um usuário. Ao atribuir direitos a qualquer propriedade de objeto do NDS, deve-se entender como os direitos efetivos são computados.
ADVERTÊNCIA: Não torne a segurança de usuários não administrativos equivalente à de qualquer objeto servidor NDS, como Servidor NetWare, Servidor AFP ou Servidor de Impressão.
ADVERTÊNCIA: Nunca atribua direitos a [Public] além do que é atribuído por default. Qualquer usuário, com login ou não, é equivalente em securança a [Public]. Se você desejar permitir que todos os usuários acessem uma propriedade, é melhor atribuir os direitos a [Root] ou ao container onde os usuários estão.