Показать полную информацию обо всех файлах и проанализировать уровни доступа

Обновлено: 21.11.2024

В этой статье рассказывается об управлении доступом и ограничением данных для Google Analytics 4 и Universal Analytics. В обеих версиях Analytics вы управляете доступом, назначая роли. В Google Analytics 4 вы управляете ограничениями данных, выбирая один или оба параметра ограничения данных, описанные ниже. В Universal Analytics вы управляете ограничениями данных, предоставляя пользователям доступ к различным представлениям отчетов.

Google Аналитика 4

Вы можете управлять ограничениями доступа и данных на уровне аккаунта и ресурса.

Чтобы назначить роли и ограничения данных:

  1. Нажмите "Администратор".
  2. Нажмите «Управление доступом» в столбце Аккаунт или Ресурс.
  3. Назначайте роли новым или существующим участникам (например, пользователям и группам). Подробнее о добавлении и редактировании пользователей.

Действующие разрешения – это роли и ограничения данных, которые назначаются участнику через другие ресурсы (например, организацию, группу пользователей или учетную запись, включающую текущий ресурс), а также все назначенные прямые разрешения. явно для текущего ресурса.

Прямые разрешения – это ограничения роли и данных, которые участник явно назначает для текущего ресурса (например, организации, учетной записи, ресурса).

Доступны четыре роли и два ограничения данных:

Полный доступ к Google Analytics. Может управлять пользователями (добавлять/удалять пользователей, назначать любую роль или ограничение данных). Может предоставлять полные разрешения любому пользователю, включая себя, для любой учетной записи или ресурса, для которого у него есть эта роль.

Включает разрешения роли редактора.

(Заменяет разрешение на управление пользователями.)

Полный контроль над настройками на уровне ресурса. Невозможно управлять пользователями.

Включает разрешения роли аналитика.

(Новое название разрешения на редактирование.)

Может создавать, редактировать и удалять определенные активы собственности. Может совместно работать над общими объектами.

Включает разрешения роли зрителя.

(Новое название разрешения на совместную работу.)

К активам собственности относятся такие объекты, как исследования.

Может просматривать настройки и данные; можно изменить данные, отображаемые в отчетах (например, добавить сравнения, добавить дополнительное измерение); могут просматривать общие активы через пользовательский интерфейс или API. Невозможно совместно использовать общие активы. Например, пользователи с ролью наблюдателя могут просматривать общие исследования, но не редактировать их.

(Новое название разрешения на чтение и анализ.)

Невозможно просмотреть показатели, связанные со стоимостью.

Показатели затрат недоступны в отчетах, исследованиях, аудиториях, статистике и оповещениях. Подробнее см. ниже.

Невозможно просмотреть показатели, связанные с доходом.

Показатели дохода недоступны в отчетах, исследованиях, аудиториях, статистике и оповещениях. Подробнее см. ниже.

Показатели затрат и доходов

В дополнение к метрикам, перечисленным в следующих разделах, метрики затрат и доходов включают любые пользовательские метрики, определенные как метрики затрат или доходов, а также любые метрики, полученные на основе метрик затрат или доходов.

Показатели затрат

Стоимость Google Реклама

Цена Google Реклама за клик

Стоимость видео Google Реклама

Цена за конверсию

Цена за клик не в Google

Цена за конверсию не в Google

Рентабельность рекламных расходов

Рентабельность расходов на рекламу не в Google

Показатели дохода

Объявления предпочли доход с атрибуцией последнего клика

Средний дневной доход

Средний доход от мероприятия

Средний доход от продукта

Средняя стоимость товара

Средний доход от покупки

Средний доход от покупок на пользователя

Средний доход на покупателя

Средний доход на платного пользователя (ARPPU)

Средний доход на пользователя (ARPU)

Совокупный доход от первого открытия когорты

Совокупный доход от общего числа первых посещений когорты

Совокупный доход от общего количества первых посещений и первых открытий когорты

Доход от атрибуции на основе данных

Количество покупок в электронной торговле

Доход от первого клика с атрибуцией

Доход с атрибуцией по последнему клику

Доход от рекламы за все время

Пожизненная ценность (LTV)

Линейная атрибуция дохода

Максимальный дневной доход

Минимальный дневной доход

Атрибутированный доход на основе позиции

Рентабельность рекламных расходов

Рентабельность расходов на рекламу не в Google

Доход с разбивкой по времени

Общий доход от рекламы

Родительские роли наследуются по умолчанию (например, учетная запись > свойство). Например, если вы назначаете пользователю роль на уровне учетной записи, у этого пользователя будет та же роль для всех свойств в этой учетной записи.

Действующие разрешения пользователя приравниваются к самой разрешающей роли для этого ресурса.

Например, если у пользователя есть роль редактора для учетной записи, то этот пользователь будет иметь роль редактора для всех свойств в этой учетной записи, независимо от того, назначена ли пользователю менее разрешительная роль для одного из свойства.

Кроме того, если пользователю назначена более разрешительная роль для ресурса, чем у пользователя на уровне аккаунта, то эта более разрешительная роль применяется к этому ресурсу.

Вы можете добавить ограничения данных как прямые разрешения, но вы не можете удалить их, если они действуют как унаследованные разрешения. Например, если пользователю назначено Нет показателей затрат на уровне аккаунта, этот пользователь не может видеть показатели затрат ни для одного ресурса в аккаунте. Однако вы можете добавить ограничение Нет показателей дохода для одного или нескольких свойств в аккаунте.

Чтобы узнать, у каких пользователей какие роли, у вас есть несколько вариантов. На странице Управление пользователями на уровне аккаунта или ресурса:

  • Выполните поиск определенного имени пользователя, чтобы просмотреть роли этого пользователя.
  • Нажмите на заголовок столбца "Роли аккаунта", чтобы отсортировать список по ролям.

Как ограничения данных влияют на другие функции Google Analytics

Ограничения данных применяются как в интерфейсе Analytics, так и в аналогичных вызовах Analytics API.

Ограничения данных создаются и применяются с помощью управления доступом к Google Analytics. На пользователей могут не распространяться эти ограничения, если у них есть разрешения для Google Analytics на основе разрешений в других продуктах Google, связанных с Analytics.

Ограниченные значения показателей и значения, полученные из ограниченных показателей, не отображаются в отчетах. Вместо этого пользователи видят 0.

Ограниченные показатели доступны в средствах выбора показателей, связанных с отчетами (например, при настройке отчета). Пользователи с ограничениями на данные могут добавлять эти показатели, но не могут просматривать результаты (например, могут добавлять показатели в пользовательские отчеты, но не могут видеть значения показателей в этих отчетах).

Ограниченные показатели не отображаются в исследованиях.

Ограниченные показатели доступны в средствах выбора показателей, связанных с исследованиями (например, при создании исследования). Пользователи, на которые распространяются ограничения на данные, могут добавлять эти показатели, но не могут просматривать результаты (например, могут добавлять показатели в исследования, но не могут видеть значения показателей в этих исследованиях).

Ограниченные показатели доступны в средствах выбора показателей, связанных с аудиториями. Пользователи, на которых распространяются ограничения на данные, могут создавать аудитории на основе ограниченных показателей и изменять названия аудиторий после создания, но на этих пользователей распространяются перечисленные ниже ограничения.

Нельзя использовать аудиторию (например, в качестве фильтра параметров), которая включает ограниченные показатели.

Невозможно увидеть количество аудиторий для аудиторий, которые включают ограниченные показатели.

Невозможно добавить триггеры аудитории к аудиториям на основе ограниченных показателей.

Пользователи с правами доступа могут создавать и редактировать индивидуальную статистику на основе ограниченных показателей.

Не удается просмотреть персонализированную статистику в пользовательском интерфейсе и получить ее по электронной почте.

Универсальная аналитика

Вы можете назначать разрешения пользователей в Google Analytics на уровне аккаунта, ресурса и представления.

Чтобы назначить разрешения:

  1. Нажмите "Администратор".
  2. Нажмите «Управление доступом» в столбце Аккаунт, Ресурс или Просмотр.
  3. Назначайте роли новым или существующим участникам (например, пользователям и группам). Подробнее о добавлении и редактировании пользователей.

Действующие разрешения – это роли и ограничения данных, которые назначаются участнику через другие ресурсы (например, организацию, группу пользователей или учетную запись, включающую текущий ресурс), а также все назначенные прямые разрешения. явно для текущего ресурса.

Прямые разрешения – это ограничения роли и данных, которые участник явно назначает для текущего ресурса (например, организации, учетной записи, ресурса).

Доступны четыре роли и два ограничения данных:

Полный доступ к Google Analytics. Может управлять пользователями (добавлять/удалять пользователей, назначать любую роль или ограничение данных). Может предоставлять полные разрешения любому пользователю, включая себя, для любой учетной записи или ресурса, для которого у него есть эта роль.

Включает роль редактора.

(Заменяет разрешение на управление пользователями.)

Полный контроль над настройками на уровне ресурса. Невозможно управлять пользователями.

Включает роль аналитика.

(Новое название разрешения на редактирование.)

Может создавать, редактировать, удалять объекты собственности и делиться ими. Может совместно работать над общими объектами.

Включает роль зрителя.

(Новое название разрешения на совместную работу.)

Недвижимость включает в себя следующее:

Может просматривать данные отчета и конфигурации; может манипулировать данными в отчетах (например, добавлять сравнения, добавлять дополнительные параметры); могут создавать личные активы и делиться ими, а также просматривать общие активы через пользовательский интерфейс или API. Невозможно совместно работать над общими объектами.

(Новое название разрешения на чтение и анализ.)

Чтобы узнать, у каких пользователей какие роли, у вас есть несколько вариантов. На странице Управление пользователями на уровне аккаунта, ресурса или представления:

Дэнни Мерфи

Пользователи с неограниченным доступом к файлам и папкам являются главной целью киберпреступников. Если такие учетные записи скомпрометированы, то злоумышленник фактически держит ключи от вашего королевства. Непрерывное отслеживание того, кто и к чему имеет доступ на файловом сервере, является важной частью обеспечения того, чтобы ваши разрешения не выходили из-под контроля. В этой статье мы рассмотрим ручные способы идентификации изменений, внесенных в файлы и папки. Мы также покажем вам, как Lepide File Server Auditor (часть Lepide Data Security Platform) справляется с этой задачей.

Шаги по отслеживанию разрешений, применяемых к файлам и папкам

Тщательное наблюдение за конфиденциальными данными помогает поддерживать безопасность вашей сетевой инфраструктуры. Для этого крайне важен анализ событий за событием.

Давайте рассмотрим шаги, которые необходимо предпринять, чтобы определить, кто имеет доступ к каким файлам или папкам на вашем файловом сервере:

  • Шаг 1. Найдите документ, для которого вы хотите просмотреть разрешения.
  • Шаг 2. Щелкните папку или файл правой кнопкой мыши и выберите "Свойства" в контекстном меню.
  • Шаг 3. Перейдите на вкладку "Безопасность" и нажмите "Дополнительно".
  • Шаг 4. На вкладке «Разрешения» вы можете увидеть разрешения, предоставленные пользователям в отношении определенного файла или папки.
    Рисунок 1. Права доступа пользователей к папке
  • Шаг 5. Перейдите на вкладку "Действующий доступ".
  • Шаг 6. Нажмите «Выбрать пользователя», чтобы добавить пользователя или группу, действующие разрешения которых вы хотите просмотреть. Список всех действующих разрешений пользователя будет отображаться на нижней панели окна «Дополнительные параметры безопасности».
    Рисунок 2. Действующие разрешения пользователей на папку
  • Шаг 7. Чтобы просмотреть права доступа, установленные для общего файла или папки, перейдите на вкладку «Общий доступ». Вы можете увидеть список записей разрешений.
    Рис. 3. Разрешения общего доступа применяются к общей папке

Как Lepide File Server Auditor анализирует текущие действующие разрешения

С помощью комплексного решения для аудита, такого как Lepide File Server Auditor (часть Lepide Data Security Platform), вы можете легко анализировать текущие действующие разрешения, которыми обладают пользователи в отношении файлов и папок, а также изменения, внесенные в разрешения.

На следующих снимках экрана показаны наши отчеты «Текущие разрешения», которые позволяют анализировать текущие разрешения, установленные для общих файлов и папок:

Рисунок 4. Отчет о текущих разрешениях

Наше решение позволяет просматривать разрешения, назначенные всем, фильтровать и сортировать отчеты, выявлять устаревшие объекты, а также указывает, нарушено ли наследование разрешений на этом уровне.

На следующем снимке экрана показаны разрешения пользователя на папку «test123»:

Рисунок 5. Отчет о разрешениях пользователей

Действующие разрешения для объекта рассчитываются после тщательного анализа и сравнения примененных к нему разрешений NTFS и общих ресурсов. Приведенный ниже снимок экрана позволяет проанализировать поток разрешений для объекта:

Рисунок 6: Графическое представление действующих разрешений

Все 13 разрешений по умолчанию представлены в наших отчетах разными цветами и значками.

На следующем снимке экрана показаны действующие разрешения, которыми обладают члены группы.

Рисунок 7. Действующие разрешения, которыми обладают участники группы

Помимо показанных здесь отчетов, Lepide File Server Auditor создает отчеты для унаследованных разрешений, прямых разрешений и косвенных разрешений. Вы также можете отслеживать все изменения прав доступа к файлам и папкам.

В этом разделе для ИТ-специалистов описывается управление доступом в Windows, то есть процесс авторизации пользователей, групп и компьютеров для доступа к объектам в сети или на компьютере. Ключевыми понятиями, составляющими контроль доступа, являются разрешения, владение объектами, наследование разрешений, права пользователей и аудит объектов.

Описание функции

Компьютеры с поддерживаемой версией Windows могут контролировать использование системных и сетевых ресурсов с помощью взаимосвязанных механизмов проверки подлинности и авторизации. После аутентификации пользователя операционная система Windows использует встроенные технологии авторизации и управления доступом для реализации второго этапа защиты ресурсов: определения наличия у аутентифицированного пользователя правильных разрешений на доступ к ресурсу.

Общие ресурсы доступны пользователям и группам, не являющимся владельцем ресурса, и их необходимо защищать от несанкционированного использования. В модели управления доступом пользователи и группы (также называемые субъектами безопасности) представлены уникальными идентификаторами безопасности (SID). Им назначаются права и разрешения, которые информируют операционную систему о том, что может делать каждый пользователь и группа. У каждого ресурса есть владелец, который предоставляет разрешения субъектам безопасности. Во время проверки управления доступом эти разрешения проверяются, чтобы определить, какие участники безопасности могут получить доступ к ресурсу и как они могут получить к нему доступ.

Субъекты безопасности выполняют действия (включая чтение, запись, изменение или полный доступ) над объектами. К объектам относятся файлы, папки, принтеры, ключи реестра и объекты доменных служб Active Directory (AD DS). Общие ресурсы используют списки управления доступом (ACL) для назначения разрешений. Это позволяет менеджерам ресурсов применять контроль доступа следующими способами:

Запретить доступ неавторизованным пользователям и группам

Установите четко определенные ограничения на доступ, предоставляемый авторизованным пользователям и группам

Владельцы объектов обычно предоставляют разрешения группам безопасности, а не отдельным пользователям. Пользователи и компьютеры, добавляемые в существующие группы, получают разрешения этой группы. Если объект (например, папка) может содержать другие объекты (например, вложенные папки и файлы), он называется контейнером. В иерархии объектов отношение между контейнером и его содержимым выражается обращением к контейнеру как к родителю. Объект в контейнере называется дочерним, и дочерний объект наследует параметры управления доступом родителя. Владельцы объектов часто определяют разрешения для объектов-контейнеров, а не для отдельных дочерних объектов, чтобы упростить управление контролем доступа.

NTFS — это файловая система по умолчанию для семейства операционных систем Windows, предлагающая широкий спектр расширенных функций, таких как ведение журнала, сжатие, квоты и многое другое. NTFS также предлагает гибкую модель безопасности, позволяющую администраторам контролировать, как пользователи и группы могут взаимодействовать с папками и файлами. Эти взаимодействия контролируются путем назначения разрешений.

Основные и дополнительные разрешения

Разрешения NTFS логически сгруппированы в серию из шести основных разрешений, каждое из которых состоит из определенного набора расширенных (специальных) разрешений. Эти группы упрощают применение дополнительных разрешений к пользователям и группам.

РАЗРЕШЕНИЕ Чтение Запись Список содержимого папки Чтение и выполнение Изменить Полный доступ
Перейти к папке/Выполнить файл

Разрешения могут иметь разное значение в зависимости от того, применяются ли они к папкам или файлам. Начнем с основных разрешений.

Разрешение Значение для папок Значение для Файлы
Чтение Разрешает просмотр и перечисление файлов и подпапок Разрешает просмотр или доступ к содержимое файла
Запись Разрешает добавлять файлы и подпапки Разрешает запись в файл
Чтение и выполнение Разрешает просмотр и перечисление файлов и подпапок, а также выполнение файлов; унаследовано файлами и папками Разрешает просмотр и доступ к содержимому файла, а также выполнение файла
Список содержимого папки Позволяет просматривать и перечислять файлы и подпапки, а также выполнять файлы; наследуется только папками Н/Д
Modify Разрешает чтение и запись файлов и подпапок; позволяет удалить папку Разрешает чтение и запись файла; позволяет удалить файл
Полный доступ Разрешает чтение, запись, изменение и удаление файлов и подпапок Разрешает чтение , запись, изменение и удаление файла

Теперь мы углубимся в понимание доступных расширенных (также известных как "особые") разрешений.

  • Проход через папку/выполнение файла — просмотр папки разрешает или запрещает перемещение по папкам для доступа к другим файлам или папкам, даже если у пользователя нет разрешений для просматриваемых папок (применяется только к папкам). Execute File разрешает или запрещает запуск программных файлов (применяется только к файлам).
  • Список папок/чтение данных — список папок разрешает или запрещает просмотр имен файлов и имен вложенных папок в папке (применяется только к папкам). Чтение данных разрешает или запрещает просмотр данных в файлах (применяется только к файлам).
  • Чтение атрибутов — разрешает или запрещает просмотр атрибутов файла или папки, таких как только для чтения и скрытых. Атрибуты определяются файловой системой NTFS.
  • Чтение расширенных атрибутов — разрешает или запрещает просмотр расширенных атрибутов файла или папки. Расширенные атрибуты определяются программами и могут различаться в зависимости от программы.
  • Создать файлы/Записать данные — Создать файлы разрешает или запрещает создание файлов в папке (применяется только к папкам). Запись данных разрешает или запрещает внесение изменений в файл и перезапись существующего содержимого (применяется только к файлам).
  • Создать папки/Добавить данные — «Создать папки» разрешает или запрещает создание папок внутри папки (применяется только к папкам). Добавить данные разрешает или запрещает внесение изменений в конец файла, но не изменение, удаление или перезапись существующих данных (применяется только к файлам).
  • Запись атрибутов — разрешает или запрещает изменение атрибутов файла или папки, например, только для чтения или скрыто. Атрибуты определяются файловой системой NTFS.
  • Запись расширенных атрибутов — разрешает или запрещает изменение расширенных атрибутов файла или папки. Расширенные атрибуты определяются программами и могут различаться в зависимости от программы.
  • Удалить вложенные папки и файлы. Разрешает или запрещает удаление вложенных папок и файлов, даже если для вложенной папки или файла не было предоставлено разрешение на удаление.
  • Удалить — разрешает или запрещает удаление файла или папки. Если у вас нет разрешения на удаление файла или папки, вы все равно можете удалить его, если у вас есть разрешение на удаление подпапок и файлов в родительской папке.
  • Разрешения на чтение. Разрешает или запрещает разрешение на чтение файла или папки, например «Полный доступ», «Чтение» и «Запись».
  • Изменить разрешения. Разрешает или запрещает изменение разрешений для файла или папки, например «Полный доступ», «Чтение» и «Запись».
  • Взять во владение — разрешает или запрещает становиться владельцем файла или папки. Владелец файла или папки всегда может изменить разрешения для них, независимо от существующих разрешений, которые защищают файл или папку.

Наследование разрешений

По умолчанию разрешения NTFS для файлов и папок наследуют разрешения родительской папки. Основная цель наследования разрешений файловой системы — упростить администрирование. Без наследования администраторам пришлось бы явно указывать разрешения для каждого файла и папки.

Однако бывают случаи, когда администратору необходимо назначить явные разрешения для ветви файловой системы. Этого можно добиться, отключив наследование разрешений для данного набора дочерних объектов (файлов или папок), а затем назначив нужные разрешения.

Разрешения общего доступа к сети

Общие ресурсы Windows можно использовать для предоставления доступа к одной или нескольким папкам по сети. Разрешения общего доступа отличаются от разрешений NTFS и вступают в силу при доступе к связанной папке с удаленного компьютера. Разрешения на общий доступ также менее детализированы, чем разрешения NTFS, предлагая уровни доступа «Чтение», «Изменение» и «Полный доступ».

Правила определения доступа пользователей

Давайте рассмотрим правила, регулирующие совместную работу этих систем разрешений для регулирования доступа.

Читайте также: