home *** CD-ROM | disk | FTP | other *** search
/ Network Support Library / RoseWare - Network Support Library.iso / pressgen / rights.txt < prev    next >
Text File  |  1988-10-22  |  5KB  |  90 lines
  1. Title:  What are my rights?
  2.  
  3.  
  4.      Many options exist for defining  rights in the NetWare environment. 
  5. Most notable are the plethora of definable directory and user rights. 
  6. Rights for users are known as trustee assignments. Consisting of Read,
  7. Write, Open, Create, Delete, Parental, Search, and Modify directory/trustee
  8. rights/assignments offer many combinations as a means of security.  
  9. Defining these rights and how they affect one another is important for
  10. network administrators who have an interest in network management and
  11. security.  The following applies to all Advanced NetWare versions, from v1.0
  12. to v2.15 and for all foreseeable future releases.
  13.  
  14.      Assignment of rights encompasses two different entities, directories
  15. and users (and groups).  Specifying directory rights is performed via
  16. NetWare's Filer utility. Granting of rights to users may be done by group
  17. membership or specific declaration.  NetWare supplies the SysCon utility (or
  18. MakeUser) for the definition of user and group rights. 
  19.  
  20.      Definition of each possible right is empirically evident except the
  21. Parental attribute.  Granted by the Parent attribute are the abilities to
  22. create subdirectories, delete subdirectories, and modify directory rights
  23. masks (also known as changing other users' rights in subdirectories.)  Once
  24. granted, a right is cascaded down the subdirectory tree.  For instance, if
  25. the Read privilege is granted in the SYS:PUBLIC directory, that Read
  26. privilege is automatically granted in the SYS:PUBLIC\UTILS directory.  
  27.  
  28.      Cascading of rights can be blocked at each directory, but the cascading
  29. continues regardless.  Say the following directory structure is in use:
  30. SYS:APPS             [RWOCDPSM] <- Maximum directory rights mask (Filer)
  31. SYS:APPS\DATA        [R O   S ]
  32. SYS:APPS\DATA\MIKE   [RWOCDPSM]
  33. now, say there is a user, Mike, (without supervisor equivalence) with the
  34. following trustee right: SYS:APPS [RWOCDPSM].
  35.  
  36.      User Mike will have full rights in the APPS directory and the
  37. APPS\DATA\MIKE directory.  But, in the APPS\DATA directory, Mike only has
  38. Read, Open and Search privileges.  Now, another approach is:
  39. SYS:APPS             [RWOCDPSM] <- Maximum directory rights mask (Filer)
  40. SYS:APPS\DATA        [R O   S ]
  41. SYS:APPS\DATA\MIKE   [R O   S ]
  42. Just as above, Mike would be granted the same rights as indicated by the
  43. directory rights mask.  Granting specific rights in SYS:APPS\DATA\MIKE will
  44. NOT give Mike full rights [RWOCDPSM] in "his" directory. 
  45.  
  46.      To determine a user's Effective Rights, both the directory's rights and
  47. the user's rights must be overlayed.  Where the same privilege is indicated
  48. by the directory rights and user's own rights the privilege is granted. 
  49. What occurs is a logical AND operation, for each right [RWOCDPSM]:
  50. Right:  Directory     User (trustee assignment)    Result
  51.         -----------   -------------------------    ---------------
  52.         Granted       Granted                      Granted
  53.         Not Granted   Granted                      Not Granted
  54.         Granted       Not Granted                  Not Granted
  55.         Not Granted   Not Granted                  Not Granted
  56.  
  57. Notes on assigning rights:
  58.  
  59.      If users share rights to a particular directory or directory structure,
  60. trustee rights should not be specifically (user by user) granted.  Rather,
  61. grant those trustee assignments through group membership. Besides the
  62. obvious overhead of tediously adding each trustee assignment to each user
  63. (redundant assignments), every five trustees a directory has devours one
  64. directory entry.  Every file on the network uses a directory entry. If a
  65. group is assigned as a trustee of a directory, only one trustee "slot" is
  66. used in that directory regardless of the number of members in the group. 
  67. And, since a group can have several trustee assignments defined, making a
  68. user a member of group can reduce setup time and ease trustee assignment
  69. changes as well as increase the number of directory entries.  In the case of
  70. group membership, only the group's trustee assignments need be modified, all
  71. members (users) will automatically have their rights adjusted upon their
  72. next login.
  73.  
  74.      When a user has a temporary need for access to another user's trustee
  75. assignments (not group membership or security equivalences), the user can
  76. have their security equivalence set to that of the  user with the needed
  77. rights.   
  78.  
  79.      Every group a user is a member of counts as a security equivalence. 
  80. Also, each user a user is set equivalent to counts as a security
  81. equivalence.  When determining effective rights, only the first 32 security
  82. equivalences are used.  While this is a rare occurrence, it is worth noting.  
  83.  
  84.      The manner which directory and user rights are assigned can ease
  85. network management and keep security in check. 
  86.  
  87. John T. McCann
  88. 70007,3430
  89. 10/14/88
  90.