Сказочка про Кащея-Бессмертного, сундук с деньгами и суперадмина И. Царевича версии 1.2
(из несуществующего сборника "Сказки сумасшедших админов или Вам и не снилось")
Автор сказочки - Владислав Спектор.
Предварительные замечания:
- Данный документ является наброском продолжения известной сказки и рассчитан на системных администраторов, имеющих минимум год опыта работы с Active Directory.
- Данный технический документ служит для лучшей усвояемости (усваимости) материала по курсу Active Directory 2003.
- Действие происходит в наши времена и с учетом сегодняшних реалий.
Жители-участники системы безопасности Active Directory:
- Кащей-Бессмертный - стареющий, но все еще стройный, немного даже чересчур, деловой мужчина с седыми висками и замашками театрального злодея.
- Баба-Яга – вечно старая, живущая в Из-На-Кур-Нож в районе НИИ-ЧАВО и привычно-недовольная жизнью.
- Карабас-Барабас - с поседевшей, но все еще шикарной бородой и неутихающей болью в сердце из-за утраченной карьеры театрального режиссера, предательства целого театрального коллектива и перманентной зависти к Роману Виктюку.
- Бармалей - безвредный, ничего от жизни уже не ждущий негодяй, потихоньку спивающийся французским шампанским.
Живут они все в одном лесном хозяйстве-OU (Organizational Unit) со множеством зеленых пригорков и имеющем название " OU_Сказочные_Злодеи". Хозяйство принадлежит Царству-Домену с довольно демократическим режимом, конституцией и свободной политикой паролей.
Хозяином у них и, по совместительству, сисадмином с делегированными полномочиями - небезызвестный в хакерских кругах И. Царевич.
Управляет он этим злодейским OU-хозяйством и, буквально, держит Кащея и других его содельников за яйца (в смысле, в руках, причем Бабы-Яги это как-то меньше всех касается, видимо, из-за уважения к женщинам и природной галантности неисправимого ловеласа), поскольку Иван точно знает, на каком файловом сервере хранится сундучок с деньгами, яйцом и ключами (последние, видимо по недосмотру, раньше называли почему-то иголками), по одному на каждого злодея.
А в ключах этих, как известно, хранится доступ всех этих нехороших людей (то бишь, редисок) к деньгам злодейского общака. Немного неясно, правда, как ключи, которые находятся внутри сундука могут дать возможность открыть этот самый сундук, но это ведь всего лишь сказка, тем более, что в "Алисе в Стране Чудес" и не такое бывало. А Льюис Кэрролл, хотя и был математиком, в наше время мог и реальным программером заделаться, а значит и чувство рекурсивности могло быть ему не чуждо.
Итак, дано:
- Сундук с деньгами - фолдер, зарытый глубоко в недрах файловой системы.
Яйцо (ACL - Access Control List) - со списком доступа к фолдеру-сундуку и с набором из 4-х ключей, по одному на каждого злодея.
- Ключ, а в далеком прошлом, иголка (ACE - Access Control Entry) - несет на кончике SID (такой, как бы, паспорт или, на языке Царства, теудат-зеут старорежимного образца) одного пользователя-злодея со всеми его правами на фолдер.
Если сломать кончик ключа, SID злодея исчезнет из списка доступа (DACL) к сундуку и, соответственно, утратятся все его права доступа на сундук с деньгами. А это, как известно, смерти подобно, ведь что за жизнь, если ни гроша за душой.
- В нашем яйце (ACL) есть целых 4 ключа (ACE), несущих финансовую смерть каждому из злодеев. Если сломать ключ, Кащей просто концы отдаст из-за жадности и бедственного материального положения (хотя я, на самом деле, не понимаю, почему концов у Кащея должно быть несколько, возможно это просто семантический оборот, потому как даже моряки иногда говорят "отдать концы" вместо "отдать швартовы").
И вот, наконец, наступил момент, когда у И. Царевича полностью лопнуло терпение после очередной злостной выходки Кащея (в данном контексте не так уж важно, какой именно) и он таки решился сломать ключ.
Но Кащей был парень не дурак и не лыком шит и заранее полностью отобрал права у всех участников системы безопасности нашего Царства-Домена, включая даже Энтерпрайз-Администраторов, не говоря уже о неправомочном сокрытии местонахождения сундука (в молодости он нередко баловался компьютерами на перфолентах и среди студенток пользовался репутацией крутого компьютерщика, не упоминая уже о некоторых других репутациях).
Даже подельникам своим он оставил лишь право на чтение (Read-Only) в отношении содержимого сундука, ведь был он кассиром общака с полными админскими правами (Full Control) на сундук и своего упускать не собирался. Вынашивал он даже план - дождаться удобного момента и сбежать со всей кассой в другое Государства-Домен, с которым не было в тот момент даже односторонних доверительных отношений, не говоря уже о дружески-транзитивных в стиле "Друг моего друга - мой друг" (друг, не drug). Тем более, что в упомянутом государстве все еще царила тоталитарная система в духе Мао Цзе-Дуна и Windows NT с полным отсутствием всякой демократической транзитивности, что Кащею как раз таки и было на руку, на нечистую его.
И пришлось тогда И. Царевичу шевельнуть одной из своих извилин и взять право владения (т.е. Ownership) на папочку-сундучок, ведь все-же он был реальный пацан с реальными правами Энтерпрайз-администратора, причем не только на злодейское OU-хозяйство, но и на папочки всех злодеев на главном сторидж-сервере хозяйства (совместного производства достопочтенных фирм HP/Microsoft).
Была, кстати, грешным делом у Царевича мысль прижать Кащея, чтоб поделился запасами из общака и пустить изначально неправедные деньги на праведное дело - настоящий сторидж сказочной фирмы NetApp, а то и, вообще, SAN EMC с настоящей оптикой без дураков и без всяческих паллиативов наподобие iSCSI. Но со вздохом откинул Царевич нелояльные к законам родного Домена мысли и стал претворять в жизнь свой незамысловатый план.
(продолжение, возможно, следует ...)
(из несуществующего сборника "Сказки сумасшедших админов или Вам и не снилось")
Автор сказочки - Владислав Спектор.
Предварительные замечания:
- Данный документ является наброском продолжения известной сказки и рассчитан на системных администраторов, имеющих минимум год опыта работы с Active Directory.
- Данный технический документ служит для лучшей усвояемости (усваимости) материала по курсу Active Directory 2003.
- Действие происходит в наши времена и с учетом сегодняшних реалий.
Жители-участники системы безопасности Active Directory:
- Кащей-Бессмертный - стареющий, но все еще стройный, немного даже чересчур, деловой мужчина с седыми висками и замашками театрального злодея.
- Баба-Яга – вечно старая, живущая в Из-На-Кур-Нож в районе НИИ-ЧАВО и привычно-недовольная жизнью.
- Карабас-Барабас - с поседевшей, но все еще шикарной бородой и неутихающей болью в сердце из-за утраченной карьеры театрального режиссера, предательства целого театрального коллектива и перманентной зависти к Роману Виктюку.
- Бармалей - безвредный, ничего от жизни уже не ждущий негодяй, потихоньку спивающийся французским шампанским.
Живут они все в одном лесном хозяйстве-OU (Organizational Unit) со множеством зеленых пригорков и имеющем название " OU_Сказочные_Злодеи". Хозяйство принадлежит Царству-Домену с довольно демократическим режимом, конституцией и свободной политикой паролей.
Хозяином у них и, по совместительству, сисадмином с делегированными полномочиями - небезызвестный в хакерских кругах И. Царевич.
Управляет он этим злодейским OU-хозяйством и, буквально, держит Кащея и других его содельников за яйца (в смысле, в руках, причем Бабы-Яги это как-то меньше всех касается, видимо, из-за уважения к женщинам и природной галантности неисправимого ловеласа), поскольку Иван точно знает, на каком файловом сервере хранится сундучок с деньгами, яйцом и ключами (последние, видимо по недосмотру, раньше называли почему-то иголками), по одному на каждого злодея.
А в ключах этих, как известно, хранится доступ всех этих нехороших людей (то бишь, редисок) к деньгам злодейского общака. Немного неясно, правда, как ключи, которые находятся внутри сундука могут дать возможность открыть этот самый сундук, но это ведь всего лишь сказка, тем более, что в "Алисе в Стране Чудес" и не такое бывало. А Льюис Кэрролл, хотя и был математиком, в наше время мог и реальным программером заделаться, а значит и чувство рекурсивности могло быть ему не чуждо.
Итак, дано:
- Сундук с деньгами - фолдер, зарытый глубоко в недрах файловой системы.
Яйцо (ACL - Access Control List) - со списком доступа к фолдеру-сундуку и с набором из 4-х ключей, по одному на каждого злодея.
- Ключ, а в далеком прошлом, иголка (ACE - Access Control Entry) - несет на кончике SID (такой, как бы, паспорт или, на языке Царства, теудат-зеут старорежимного образца) одного пользователя-злодея со всеми его правами на фолдер.
Если сломать кончик ключа, SID злодея исчезнет из списка доступа (DACL) к сундуку и, соответственно, утратятся все его права доступа на сундук с деньгами. А это, как известно, смерти подобно, ведь что за жизнь, если ни гроша за душой.
- В нашем яйце (ACL) есть целых 4 ключа (ACE), несущих финансовую смерть каждому из злодеев. Если сломать ключ, Кащей просто концы отдаст из-за жадности и бедственного материального положения (хотя я, на самом деле, не понимаю, почему концов у Кащея должно быть несколько, возможно это просто семантический оборот, потому как даже моряки иногда говорят "отдать концы" вместо "отдать швартовы").
И вот, наконец, наступил момент, когда у И. Царевича полностью лопнуло терпение после очередной злостной выходки Кащея (в данном контексте не так уж важно, какой именно) и он таки решился сломать ключ.
Но Кащей был парень не дурак и не лыком шит и заранее полностью отобрал права у всех участников системы безопасности нашего Царства-Домена, включая даже Энтерпрайз-Администраторов, не говоря уже о неправомочном сокрытии местонахождения сундука (в молодости он нередко баловался компьютерами на перфолентах и среди студенток пользовался репутацией крутого компьютерщика, не упоминая уже о некоторых других репутациях).
Даже подельникам своим он оставил лишь право на чтение (Read-Only) в отношении содержимого сундука, ведь был он кассиром общака с полными админскими правами (Full Control) на сундук и своего упускать не собирался. Вынашивал он даже план - дождаться удобного момента и сбежать со всей кассой в другое Государства-Домен, с которым не было в тот момент даже односторонних доверительных отношений, не говоря уже о дружески-транзитивных в стиле "Друг моего друга - мой друг" (друг, не drug). Тем более, что в упомянутом государстве все еще царила тоталитарная система в духе Мао Цзе-Дуна и Windows NT с полным отсутствием всякой демократической транзитивности, что Кащею как раз таки и было на руку, на нечистую его.
И пришлось тогда И. Царевичу шевельнуть одной из своих извилин и взять право владения (т.е. Ownership) на папочку-сундучок, ведь все-же он был реальный пацан с реальными правами Энтерпрайз-администратора, причем не только на злодейское OU-хозяйство, но и на папочки всех злодеев на главном сторидж-сервере хозяйства (совместного производства достопочтенных фирм HP/Microsoft).
Была, кстати, грешным делом у Царевича мысль прижать Кащея, чтоб поделился запасами из общака и пустить изначально неправедные деньги на праведное дело - настоящий сторидж сказочной фирмы NetApp, а то и, вообще, SAN EMC с настоящей оптикой без дураков и без всяческих паллиативов наподобие iSCSI. Но со вздохом откинул Царевич нелояльные к законам родного Домена мысли и стал претворять в жизнь свой незамысловатый план.
(продолжение, возможно, следует ...)
