Windows 8.1 

NTFS — разрешения. Секреты NTFS — права, разрешения и их наследование Общее представление о разрешениях для файлов и папок

Защита файлов и общих папок

Тема информационной защиты сегодня популярна, как никогда. IT-профессионалы черпают знания отовсюду: из специальных статей в журнале и даже из ежедневных рассылок по электронной почте.

Большинство технических средств защищают ресурсы организации от постороннего вмешательства. Но зачастую необходимо разделить доступ к информации внутри самого предприятия. Только представьте, какие проблемы могут возникнуть, если все сотрудники получат доступ к личным записям своих коллег.

Файловая система NTFS в Windows XP и её полномочия для общих папок специально разработаны для защиты содержимого папок общего доступа как от внутренних, так и внешних утечек. В этой статье дано несколько советов, следуя которым администратор сможет грамотно назначать NTFS-полномочия и управлять доступом к общим папкам и файлам

Управление доступом к файлам

Большинство пользователей выкладывает файлы в открытый доступ для участников рабочих групп и p2p-сетей, для этого нужно:

  1. Введите название папки в графу Share Name (Имя общего ресурса)
  2. По желанию можно добавить несколько пояснительных слов в графу Comment (Описание).
  3. Нажмите OK.

Однако такой метод не всегда работает корректно, особенно на системах Windows XP с дисками, форматированными в NTFS (когда противоречивые NTFS-полномочия, вступая в конфликт, не допускают разрешённых пользователей к этим ресурсам; подробнее об этом чуть ниже). Ну, а самое печальное в том, что полномочия, заданные по умолчаниюWindows XP, предоставляют доступ к содержимому каталогов всем пользователям.

Также для того, чтобы назначить разные полномочия для разных пользователей, необходимо отключить активную по умолчанию опцию Windows XP Simple File Sharing (Простой общий доступ к файлам):

  1. Откройте проводник Windows Explorer
  2. Перейдите в меню Tools (Сервис)
  3. Выберите пункт Folder Options (Свойства папки)
  4. Перейдите на вкладку View (Вид).
  5. В окне Advanced Settings (Дополнительные параметры) уберите отметку с параметра Use Simple File Sharing (Recommended) | Использовать простой общий доступ к файлам (рекомендуется).
  6. Нажмите OK.

Для того, чтобы отключить разрешение для Всех (Everyone) и настроить уровень доступа для каждого пользователя индивидуально :

Полномочия полного доступа (Full Control) разрешают пользователям или группам читать, изменять, удалять и запускать содержащиеся в папке файлы. Помимо этого такие пользователи могут создавать и удалять в этом каталоге новые подпапки.

Пользователи, имеющие право изменять информацию в папке (Change), могут просматривать и изменять находящиеся в каталоге файлы, создавать в нём свои файлы и папки и запускать расположенные в нём программы на исполнение.

Пользователям и группам, наделённых полномочиями чтения информации (Read), разрешается только просматривать хранимые в каталоге файлы и запускать программы. Для информации на дисках Windows XP, отформатированных в файловую систему NTFS, можно устанавливать дополнительные полномочия.

NTFS-полномочия

NTFS-полномочия в среде Windows предоставляют собой дополнительный набор параметров, которые можно настраивать для каждого отдельного файла или папки.

Для начала нужно убедиться, что настройки Windows XP позволяют работать с файловой системой NTFS:

  1. Нажмите Start (Пуск)
  2. Выберите команду Run (Выполнить)
  3. Введите в строку compmgmt.msc и нажмите OK. Откроется консоль Computer Management (Управление компьютером).
  4. Перейдите к объекту Disk Management (Управление дисками) на вкладке Storage (Запоминающие устройства) для того, чтобы узнать какой тип файловой системы используется на каждом диске.

Если диск или один из его разделов не отформатированы в NTFS, это можно исправить, если ввести convert X: /fs:ntfs, поставив вместо X букву нужного диска или раздела. Команда convert поменяет текущую файловую систему диска на NTFS, не уничтожая при этом хранящиеся на нём данные. Тем не менее, перед запуском команды на выполнение лучше сделать резервную копию содержимого диска.

Для настройки NTFS-разрешений:

Учтите, что по умолчанию подкаталоги наследуют свойства своих корневых директорий. Для того, чтобы это изменить, нажмите на кнопке Advanced (Дополнительно) на вкладке Security (Безопасность) диалогового окна Properties (Свойства).

Виды NTFS-полномочий:

  • Full Control (Полный доступ) - разрешает пользователям и группам выполнять любые операции с содержимым папки, включая просмотр файлов и подкаталогов, запуск файлов приложений, управление списком содержимого папки, чтение и запуск исполняемых файлов, изменение атрибутов файлов и папок, создание новых файлов, добавление данных в файлы, удаление файлов и подкаталогов, а также изменение полномочий доступа к файлам и папкам.
  • Modify (Изменить) - разрешает пользователям и группам осуществлять просмотр файлов и подкаталогов, запускать исполняемые файлы приложений, управлять списком содержимого папки, просматривать параметры папки, изменять атрибуты папок и файлов, создавать новые файлы и подкаталоги, добавлять данные в файлы и удалять файлов.
  • Read & Execute (Чтение и выполнение) - разрешает пользователям и группам просматривать список файлов и подкаталогов, запускать исполняемые файлы приложений, просматривать содержимое файлов, а также изменять атрибуты файлов и папок.
  • List Folder Contents (Список содержимого папки) - разрешает пользователям и группам осуществлять навигацию по каталогам, работать со списком содержимого папки, а также просматривать атрибуты файлов и папок.
  • Read (Чтение) - разрешает пользователям и группам просматривать содержимое папки, читать файлы и просматривать атрибуты файлов и папок.
  • Write (Запись) - разрешает пользователям и группам изменять атрибуты файлов и папок, создавать новые папки и файлы, а также изменять и дополнять содержимое файлов.

Для определения окончательных полномочий того или иного пользователя вычтите из NTFS-разрешений, предоставленных ему непосредственно (или как члену группы), все индивидуальные запреты (или запреты, который он получил в качестве члена группы). К примеру, если пользователь получил полный доступ (Full Control) к данной папке, но в то же время является членом группы, для которой запрещён полный доступ, то он в результате не будет обладать правами полного доступа. Если уровень доступа пользователя ограничен параметрами Read & Execute (Чтение и выполнение) и List Folder Contents (Список содержимого папки) в одной группе, и в то же время ему запрёщен доступ на уровне List Folder Contents (Список содержимого папки), то в результате его NTFS-полномочия будут ограничены только уровнем Read & Execute (Чтение и выполнение). По этой причине администратором следует подходить к запретам с особой осторожностью, поскольку запрещённые функции имеют приоритет перед разрешёнными для того же пользователя или группы.

Windows XP снабжена удобной утилитой для подтверждения действующих разрешений пользователя или группы :


Сочетание NTFS-разрешений с полномочиями общего доступа

Звучит многообещающе. Казалось бы, достаточно грамотно раздать пользователям соответствующие полномочия - и можно начинать работу. Однако на самом деле не всё так просто. Полномочия общего доступа и NTFS-разрешения должны чётко определять, какими реальными правами доступа обладают пользователи и группы, но, к сожалению, они часто конфликтуют между собой. Для определения окончательных полномочий того или иного пользователя сравните итоговые полномочия общего доступа с итоговыми NTFS-разрешениями. Помните, что ограничения доступа будут доминировать над разрешениями. Например, если итоговые NTFS-права доступа пользователя ограниченны уровнем Read and Execute (Чтение и выполнение), а итоговые права общего доступа - уровнем Full Control (Полный доступ), система не предоставит этому пользователю действительные права полного доступа, а выберет наиболее приоритетный уровень, в данном случае это NTFS-разрешение на чтение и выполнение. Всегда необходимо помнить о том, что итоговые ограничения в правах превалируют над итоговыми разрешениями. Это очень важный момент, который легко забывается, после чего доставляет пользователям немало хлопот. Поэтому тщательно рассчитывайте соотношения запретов и разрешений полномочий NTFS и общего доступа

Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет разрешение Write (Запись) на папку "Данные". Кроме того, он является членом группы Everyone (Все), которой присвоено разрешение Read (Чтение). Следовательно, фактическим разрешением пользователя Пользователь1 будет комбинация разрешений Read и Write, но только для папки "Данные".

В отличие от прав доступа к общим ресурсам, разрешения NTFS не предоставляют доступ к вложенным папкам папки "Данные".

Пример разрешений ntfs для файла

Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет разрешения Read (Чтение) и Write (Запись) для файла Файл1 папки "Данные". Кроме того, он является членом группы Отдел продаж, которая имеет другое разрешение для папки "Данные" - Read (Чтение). В результате Пользователь1 получит разрешение на чтение папки "Данные", а также на чтение и запись в файл Файл1, так как разрешения NTFS для файлов имеют преимущество над разрешениями для папок.

    Разрешения NTFS обеспечивают надежную защиту папок и файлов, расположенных на томах файловой системы Windows NT (NTFS).

    Разрешения NTFS для папок и файлов распространяются как на пользователей, непосредственно работающих на компьютере, так и на обращающихся к защищенным объектам компьютера по сети.

    Как и в случае с правами доступа к общим ресурсам, пользователь может получить разрешение NTFS либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.

    Подобно правам доступа к общим ресурсам, фактические разрешения NTFS для пользователя представляют собой комбинацию разрешений пользователя и групп, в состав которых он входит. Единственное исключение из этого правила - разрешение No Access (Нет доступа), которое отменяет все остальные разрешения.

    В отличие от прав доступа к общим ресурсам, разрешения NTFS могут быть разными для папки и файлов (папок), вложенных в нее.

    Разрешения NTFS для файла имеют преимущество над разрешениями для папки, в которой он содержится.

    1. Права доступа и разрешения ntfs

Права доступа к общим ресурсам томов NTFS действуют совместно с разрешениями для файлов и папок. На этом занятии Вы узнаете, как обеспечить защиту дисковых ресурсов, комбинируя разрешения NTFS и права доступа.

      1. Основные сведения

Чтобы пользователи могли обращаться по сети к дисковым ресурсам, нужно предоставить в общее пользование папки, содержащие эти ресурсы. Такие папки можно защитить, присвоив пользователям и группам соответствующие права доступа. Однако права доступа к общим ресурсам обеспечивают лишь ограниченную защиту, так как они:

    предоставляют одинаковый уровень доступа ко всем папкам и файлам, находящимся в общей папке;

    не обеспечивают защиту ресурса от локального пользователя;

    не могут быть использованы для защиты отдельных файлов.

Если общая папка находится на томе NTFS, то можно воспользоваться разрешениями NTFS, чтобы изменить или запретить доступ пользователей к папкам и файлам, расположенным в общей папке. Применение разрешений NTFS и прав доступа обеспечивает наивысшую степень защиты.

Вот простейший способ сочетания разрешений NTFS и прав доступа: сохраните право доступа по умолчанию Full Control (Полный контроль), присвоенное группе Everyone (Все), и присвойте отдельным учетным записям групп и пользователей разрешения NTFS для конкретных папок и файлов общей папки.

При сочетании прав доступа и разрешений NTFS доступ всегда определяется самым строгим ограничением. Например, если для папки установлено право доступа Full Control (Полный контроль) и разрешение NTFS Read (Чтение), то результирующим разрешением будет более строгое Read.

Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет право доступа Read (Чтение) к общей папке "Общедоступные данные" на компьютере Компьютер1 (при подключении по сети) и разрешение NTFS Full Control (Полный контроль) для Файла А этой папки. В результате Пользователь1 получит доступ к файлу Файл А только для чтения, так как Read - более строгое ограничение. Доступ пользователя Пользователь2 к Файлу Б также - только чтение, так как разрешение NTFS Read и право доступа Read приводят к одинаковым ограничениям.

Когда Пользователь1 работает на компьютере Компьютер1, то на него не распространяются права доступа к папке "Общедоступные данные". Тем не менее действие разрешений NTFS (полный контроль для файла А и доступ только для чте к файлу Б) сохраняется. Если же Пользователь1 подключится к этой общей naпке он, как и Пользователь1, получит право только на чтение.

В любой системе на базе технологий Windows NT существуют специальные сетевые ресурсы. Имена некоторых ресурсов заканчиваются символом $ , такие сетевые ресурсы через " Сетевое окружение " или при открытии ресурсов сервера с помощью команды " \\<имя сервера> " не будут видны. Однако, если указать полное UNC-имя сетевого ресурса, то можно увидеть данные, размещенные в нем.

Перечислим эти ресурсы:

  • ресурс вида " \\<имя сервера>\admin$ " (например, \\DC1\admin$ ) - предназначен для удаленного администрирования компьютера; путь всегда соответствует местоположению папки, в которой установлена система Windows; к этому ресурсу могут подключаться только члены групп Администраторы , Операторы архива и Операторы сервера ;
  • ресурс вида " \\<имя сервера>\< буква диска>$ " (например, \\DC1\C$ ) - корневая папка указанного диска;. к сетевым ресурсам такого типа на сервере Windows могут подключаться только члены групп Администраторы , Операторы архива и Операторы сервера ; на компьютерах с Windows XP Professional и Windows 2000 Professional к таким ресурсам могут подключаться члены групп Администраторы и Операторы архива ;
  • ресурс " \\<имя сервера>\IРС$ " (например, \\DC1\IP$ ) - используется для удаленного администрирования;
  • ресурс " \\<имя сервера>\NETLOGON " (например, \\DC1\NETLOGON ) - используется только на контроллерах домена, в данной сетевой папке хранятся скрипты (сценарии) для входа пользователей в систему, совместимые с предыдущими версиями операционных систем Microsoft;
  • ресурс " \\<имя сервера>\SYSVOL " - используется только на контроллерах домена, в данной сетевой папке хранится файловая часть групповых политик;
  • ресурс " \\<имя сервера>\PRINT$ " - ресурс, который поддерживает совместно используемые принтеры, в частности, в данной папке хранятся драйверы для совместно используемых принтеров.

Просмотреть полный список ресурсов, предоставляемых данным сервером для совместного использования, можно в оснастке " Общие папки ", в разделе " Общие ресурсы " (рис. 8.35):


Рис. 8.35.

В этом же разделе данной оснастки можно отключать ресурсы от совместного использования в сети, менять сетевые разрешения, создавать новые сетевые ресурсы.

Кроме специальных сетевых ресурсов с символом $ в конце названия ресурса, предоставленных группам с высокими полномочиями, с этим символом можно предоставить доступ к любому другому ресурсу, которые предоставляется в сетевой доступ самим администратором. В этом случае сетевой ресурс также будет скрыт при обычном просмотре сети, но будет доступен при указании полного UNC-имени, причем доступ можно разрешить тем группам пользователей, которым нужен данный ресурс.

Разрешения NTFS

Еще раз подчеркнем, что сетевые разрешения действуют только при доступе к ресурсам через сеть. Если пользователь вошел в систему локально, то теперь управлять доступом можно только с помощью разрешений NTFS. На томе (разделе) с системой FAT пользователь будет иметь полный доступ к информации данного тома.

Разрешения NTFS можно установить, открыв Свойства папки или файла и перейдя на закладку " Безопасность " (Security ). Как видно на рис. 8.36 , набор видов NTFS-разрешений намного богаче, чем набор сетевых разрешений.


Рис. 8.36.

На томе NTFS можно назначать следующие виды разрешений для папок:

  • Полный доступ ;
  • Изменить ;
  • Чтение и выполнение ;
  • Список содержимого папки ;
  • Чтение ;
  • Запись ;
  • Особые разрешения .

Для файлов отсутствует вид " Чтение содержимого папки ".

Если на закладке разрешений нажать кнопку " Дополнительно ", то можно осуществлять более тонкую настройку разрешений.

Разрешения NTFS могут быть явными или унаследованными . По умолчанию все папки или файлы наследуют разрешения того объекта-контейнера (родительского объекта ), в котором они создаются. Использование унаследованных разрешений облегчает работу по управлению доступом. Если администратору нужно изменить права доступа для какой-то папки и всего ее содержимого, то достаточно сделать это для самой папки и изменения будут автоматически действовать на всю иерархию вложенных папок и документов. На рис. 8.36 . видно, что группа " Администраторы " имеет унаследованные разрешения типа " Полный доступ " для папки Folder1 . А на рис. 8.37 . показано, что группа " Пользователи " имеет набор явно назначенных разрешений:


Рис. 8.37.

Изменить унаследованные разрешения нельзя. Если нажать на кнопку " Дополнительно ", то можно отменить наследование разрешений от родительского объекта. при этом система предложит два варианта отмены наследования: либо скопировать прежние унаследованные разрешения в виде явных разрешений, либо удалить их совсем.

Механизм применения разрешений

В пункте 8.1 было сказано, что каждый файл представляет собой набор атрибутов. Атрибут, который содержит информацию об NTFS-разрешения, называется списком управления доступом (ACL, Access Control List ). Структура ACL приведена в табл. 8.4 . Каждая запись в ACL называется элементом управления доступом (ACE, Access Control Entry ).

В таблице перечислены идентификаторы безопасности учетных записей пользователей, групп или компьютеров (SID) и соответствующие разрешения для них. На рисунках 8.36 или 8.37 вместо SID-ов показаны имена занесенных в ACL пользователей и групп. В разделе 4 говорилось, что при входе пользователя в сеть (при его регистрации в домене) в текущую сессию пользователя на компьютере контроллер домена пересылает маркер доступа, содержащий SID-ы самого пользователя и групп, членом которых он является. Когда пользователь пытается выполнить какое-либо действие с папкой или файлом (и при этом запрашивает определенный вид доступа к объекту), система сопоставляет идентификаторы безопасности в маркере доступа пользователя и идентификаторы безопасности, содержащиеся в ACL объекта. При совпадении тех или иных SID-ов пользователю предоставляются соответствующие разрешения на доступ к папке или файлу.

Заметим, что когда администратор изменяет членство пользователя в группах (включает пользователя в новую группу или удаляет из какой-либо группы), то маркер доступа пользователя при этом автоматически НЕ изменяется. Для получения нового маркера доступа пользователь должен выйти из системы и снова войти в нее. Тогда он получит от контроллера домена новый маркер доступа, отражающий смену членства пользователя в группах

Порядок применения разрешений

Принцип применения NTFS-разрешений на доступ к файлу или папке тот же, что и для сетевых разрешений:

  • сначала проверяются запреты на какие-либо виды доступа (если есть запреты, то данный вид доступа не разрешается);
  • затем проверяется набор разрешений (если есть разные виды разрешений для какого-либо пользователя и групп, в которые входит данный пользователь, то применяется суммарный набор разрешений).

Но для разрешений NTFS схема немного усложняется. Разрешения применяются в следующем порядке:

  • явные запреты;
  • явные разрешения;
  • унаследованные запреты;
  • унаследованные разрешения.

Если SID пользователя или SID-ы групп, членом которых является данный пользователь, не указаны ни в явных, ни в унаследованных разрешениях, то доступ пользователю будет запрещен.

Владение папкой или файлом

Пользователь, создавший папку или файл, является Владельцем данного объекта. Владелец объекта обладает правами изменения NTFS-разрешений для этого объекта, даже если ему запрещены другие виды доступа. Текущего владельца объекта можно увидеть, открыв Свойства объекта, затем закладку " Безопасность ", затем нажав кнопку " Дополнительно " и перейдя на закладку " Владелец " (рис. 8.38):


Рис. 8.38.

Внимание ! Администратор системы может сменить владельца объекта, выбрав нового владельца из предлагаемого в данном окне списка или из полного списка пользователей (нажав кнопку " Иные пользователи или группы "). Эта возможность предоставлена администраторам для того, чтобы восстановить доступ к объекту в случае утери доступа по причине неправильно назначенных разрешений или удаления учетной записи, имевшей исключительный доступ к данному объекту (например, уволился единственный сотрудник, имевший доступ к файлу, администратор удалил его учетную запись, вследствие этого был полностью потерян доступ к файлу, восстановить доступ можно единственным способом - передача владения файла администратору или новому сотруднику, исполняющему обязанности уволившего сотрудника).

Совместное использование сетевых разрешений и разрешений NTFS

При доступе по сети к файловым ресурсам, размещенным на томе NTFS, к пользователю применяется комбинация сетевых разрешений и разрешений NTFS.

При доступе через сеть сначала вычисляются сетевые разрешения (путем суммирования разрешений для пользователя и групп, в которые входит пользователь). Затем также путем суммирования вычисляются разрешения NTFS. Итоговые действующие разрешения, предоставляемые к данному конкретному объекту, будут представлять собой минимум из вычисленных сетевых и NTFS-разрешений.

Управление доступом с помощью групп

Группы пользователей созданы специально для того, чтобы более эффективно управлять доступом к ресурсам. Если назначать права доступа к каждому ресурсу для каждого отдельного пользователя, то, во-первых, это очень трудоемкая работа, и во-вторых, затрудняется отслеживание изменений в правах доступа при смене каким-либо пользователем своей должности в подразделении или переходе в другое подразделение.

Повторим материал из раздела 4. Для более эффективного управления доступом рекомендуется следующая схема организации предоставления доступа:

  1. учетные записи пользователей (accounts ) включаются в глобальные доменные группы (global groups ) в соответствии со штатной структурой компании/организации и выполняемыми обязанностями;
  2. глобальные группы включаются в доменные локальные группы или локальные группы на каком-либо сервере (domain local groups , local groups ) в соответствии с требуемыми правами доступа для того или иного ресурса;
  3. соответствующим локальным группам назначаются необходимые разрешения (permissions ) к конкретным ресурсам.

Данная схема по первым буквам используемых объектов получила сокращенное название AGLP (A ccounts G lobal groups L ocal groups P ermissions). При такой схеме, если пользователь повышается или понижается в должности или переходит в другое подразделение, то нет необходимости просматривать все сетевые ресурсы , доступ к которым необходимо изменить для данного пользователя. Достаточно изменить соответствующим образом членство пользователя в глобальных группах , и права доступа к сетевым ресурсам для данного пользователя изменятся автоматически .

Добавим, что в основном режиме функционирования домена Active Directory (режимы " Windows 2000 основной " или " Windows 2003 ") с появлением вложенности групп и универсальных групп схема AGLP модифицируется в схему AGG…GULL…LP .

Разрешения NTFS

В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

Разрешения отдельного пользователя

Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.

Наследование

В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в лекции 9 , если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.

Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.

Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.

Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.

С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.

Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.

Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.

    Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .

    В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).

    Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).

    Нажмите на ОК.

Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

Разрешения для папок и томов

Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В таблице 10.2 перечислены разрешения, назначаемые для папок, а в таблице 10.3 - для файлов.

Таблица 10.2. Разрешения папок

Разрешение

Change Permissions

Изменение разрешений папки.

Создание новых файлов в данной папке.

Создание подкаталогов в данной папке.

Удаление папки.

Delete subfolders and files

Удаление файлов и подкаталогов, даже если у вас нет разрешения на их создание.

Просмотр содержимого папки.

Read Attributes

Просмотр атрибутов папки.

Read Permissions

Просмотр разрешений папки.

Присвоение себе прав другого пользователя на владение папкой.

Traverse Folder

Открытие папки для просмотра подкаталогов и родительских папок.

Write Attributes

Внесение изменений в свойства папки.

Таблица 10.3. Разрешения файла

Разрешение

Разрешает или запрещает это действие

Добавление информации в конец файла без изменения существующей информации.

Change Permissions

Внесение изменений в разрешения файла.

Удаление файла.

Запуск программы, содержащейся в файле.

Read Attributes

Просмотр атрибутов файла.

Просмотр содержимого файла.

Read Permissions

Просмотр разрешений файла.

Присвоение себе прав собственности на этот файл у другого владельца.

Write Attributes

Изменение атрибутов файла.

Изменение содержания файла.
Создание и управление разрешениями

Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.

Для настройки разрешений данной папки или тома проделайте следующие шаги.

    Укажите том или папку, для которых вы собираетесь устанавливать разрешения.

    Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).

    Выберите вкладку Security (Безопасность).

Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).

В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (рис. 10.7 ). В нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.

Рис. 10.7. Вкладка Security (Безопасность) диалогового окна свойств

Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.

    Full Control (Полный контроль). Разрешает пользователю или группе читать, создавать, изменять и удалять файлы.

    Modify (Модификация). Разрешает пользователям удалять файлы и папки, вносить изменения в разрешения или получать право собственности на файл или папку от другого пользователя.

    Read&Execute (Чтение и исполнение). Разрешает пользователям читать и запускать файлы, не внося изменений в содержание совместно используемого тома или папки.

    List Folder Contents (Список содержимого папки). Позволяет пользователям просматривать содержимое папок.

    Read (Чтение). Разрешает пользователям просматривать содержимое тома или папки. Они также могут открывать файлы, но не имеют права сохранять изменения.

    Write (Запись). Разрешает пользователям делать записи в папках или томах, но запрещает открывать файлы или просматривать список файлов.

    Special permissions (Специальные разрешения). Щелкнув на кнопке Advanced (Дополнительно), можно применять специальные разрешения.

Ограничение количества пользователей

В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8 ).

В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.

    Maximum allowed Разрешить доступ для максимального числа пользователей сети.

    Allow this number of users Разрешить доступ только для указанного числа пользователей.

Более подробно о разрешениях можно узнать в гл. 9.

разрешения , определяющие уровень безопасности, можно... кнопку "Разрешение" ), управлять доступом, используя возможности файловой системы NTFS . ... изменение и чтение). Использование разрешений NTFS Для каждого объекта, который...

  • Операционная система Windows 2000 Server

    Курсовая работа >> Информатика

    Аутентифицированных Пользователей имеет необходимые разрешения . Клиентские системы сначала... компьютере. Установщик сконфигурирует папки и разрешения NTFS для файлов операционной системы. ... и выполнять прямое и обратное раз­решение доменных имен в IP-адреса. ...

  • Прикладная информатика в экономике

    Реферат >> Информатика

    На томе NTFS можно назначать отдельным пользователям и группам разрешения NTFS для более гибкого... папках. При сочетании разрешений доступа к общей папке и разрешений NTFS результирующим разрешением будет более строгое...