"Потайные ходы"
"Потайные ходы"
Самым эффективным "потайным ходом" системы NetWare является то, чего вы никогда не сможете добиться самостоятельно,— "осиротевшие" объекты (orphaned object). Использование скрытого объекта OU (Organizational Unit), содержащего пользователя с правами, эквивалентными администратору, и правами опекунства на свой собственный контейнер, позволит эффективно скрыть этот объект.
1. Зарегистрируйтесь в дереве NDS в качестве администратора или с эквивалентными правами.
2. Запустите утилиту NetWare Administrator (nwadmn3x.exe).
3. В глубине дерева создайте новый контейнер. Щелкните правой кнопкой на существующем объекте OU и создайте новый объект OU, выбрав команду Create, a затем элемент Organizational Unit.
4. Внутри этого контейнера создайте новый объект-пользователь. Щелкните правой кнопкой на новом контейнере, выберите команду Create, а затем — элемент User.
5. Предоставьте объекту-пользователю полные права опекунства на его собственный объект. Щелкните правой кнопкой на новом пользователе, и выберите команду Trustees of this Object. Теперь пользователь является явным опекуном.
6. Назначьте этому пользователю полные права опекунства на новый контейнер. Щелкните правой кнопкой на новом контейнере и выберите команду Trustees of this Object. Сделайте объект-пользователь явным опекуном нового контейнера, установив все флажки, как показано на следующем рисунке.
7. Измените свойства пользователя таким образом, чтобы он получил права, эквивалентные администратору. Щелкните правой кнопкой на объекте-пользователе, выберите в появившемся контекстном меню команду Details, перейдите во вкладку Security Equal To, щелкните на кнопке Add и выберите Admin.
8. Модифицируйте фильтр наследуемых прав (inherited rights filter — IRF) контейнера, отменив права Browse и Supervisor.
При выполнении п. 8 будьте осторожны, поскольку после этого контейнер и созданный объект-пользователь станут невидимыми для всех пользователей, включая Admin. Администраторы не смогут увидеть или удалить этот объект. Сокрытие объекта от администратора оказывается возможным из-за того, что в дереве NDS можно отменить права supervisor для любого объекта или свойства.
9. Теперь зарегистрируйтесь с помощью только что созданного "потайного хода". Не забывайте, что в дереве вы не сможете увидеть новый контейнер. Следовательно, в процессе регистрации потребуется ввести контекст вручную, как видно на следующем рисунке.