Windows 8.1 

NTFS - дозволи. Секрети NTFS — права, дозволи та їх успадкування Загальне уявлення про дозволи для файлів та папок

Захист файлів та спільних папок

Тема інформаційного захисту сьогодні популярна як ніколи. IT-професіонали черпають знання звідусіль: зі спеціальних статей у журналі та навіть із щоденних розсилок електронною поштою.

Більшість технічних засобів захищає ресурси організації від стороннього втручання. Але часто необхідно поділити доступ до інформації всередині самого підприємства. Тільки уявіть, які проблеми можуть виникнути, якщо всі співробітники матимуть доступ до особистих записів своїх колег.

Файлова система NTFS у Windows XP та її повноваження для спільних папок спеціально розроблені захисту вмісту папок загального доступу як від внутрішніх, і зовнішніх витоків. У цій статті дано кілька порад, дотримуючись яких адміністратор зможе грамотно призначати NTFS-повноваження та керувати доступом до спільних папок та файлів

Керування доступом до файлів

Більшість користувачів викладає файли у відкритий доступ для учасників робочих груп та p2p-мереж, для цього потрібно:

  1. Введіть назву папки у розділі Share Name (Ім'я загального ресурсу)
  2. За бажанням можна додати кілька пояснювальних слів до графи Comment (Опис).
  3. Натисніть кнопку OK.

Однак такий метод не завжди працює коректно, особливо на системах Windows XP з дисками, форматованими в NTFS (коли суперечливі NTFS-повноваження, вступаючи в конфлікт, не допускають дозволених користувачів до цих ресурсів; докладніше трохи нижче). Ну, а найсумніше в тому, що повноваження, задані за умовчанням Windows XP, надають доступ до вмісту каталогів усім користувачам.

Також для того, щоб призначити різні повноваження для різних користувачів, необхідно відключити активну за промовчанням Windows XP Simple File Sharing (Простий загальний доступ до файлів):

  1. Відкрийте провідник Windows Explorer
  2. Перейдіть до меню Tools (Сервіс)
  3. Виберіть Folder Options (Властивості папки)
  4. Перейдіть на вкладку View.
  5. У вікні Advanced Settings (Додаткові параметри) видаліть позначку з параметра Use Simple File Sharing (Recommended) | Використовувати простий доступ до файлів (рекомендується).
  6. Натисніть кнопку OK.

Для того, щоб вимкнути дозвіл для всіх (Everyone) та налаштувати рівень доступу для кожного користувача індивідуально:

Повноваження повного доступу (Full Control) дозволяють користувачам або групам читати, змінювати, видаляти і запускати файли, що містяться в папці. Крім цього, такі користувачі можуть створювати і видаляти в цьому каталозі нові підпапки.

Користувачі, які мають право змінювати інформацію в папці (Change), можуть переглядати та змінювати файли, що знаходяться в каталозі, створювати в ньому свої файли та папки і запускати розташовані в ньому програми на виконання.

Користувачам і групам, наділеним повноваженнями читання інформації (Read), дозволяється лише переглядати файли, що зберігаються в каталозі, і запускати програми. Для інформації на дисках Windows XP, відформатованих у файлову систему NTFS, можна встановлювати додаткові можливості.

NTFS-повноваження

NTFS-повноваження в середовищі Windows є додатковим набором параметрів, які можна настроювати для кожного окремого файлу або папки.

Для початку потрібно переконатися, що налаштування Windows XP дозволяють працювати з файловою системою NTFS:

  1. Натисніть кнопку Start (Пуск)
  2. Виберіть Run (Виконати)
  3. Введіть у рядок compmgmt.msc та натисніть OK. Відкриється консоль Computer Management (Керування комп'ютером).
  4. Перейдіть до об'єкта Disk Management (Управління дисками) на вкладці Storage (Запам'ятовуючі пристрої), щоб дізнатися, який тип файлової системи використовується на кожному диску.

Якщо диск або один із його розділів не відформатовано в NTFS, це можна виправити, якщо ввести convert X: /fs:ntfs, поставивши замість X букву потрібного диска чи розділу. Команда convert змінить поточну файлову систему диска на NTFS, не знищуючи при цьому дані, що зберігаються на ньому. Проте перед запуском команди на виконання краще зробити резервну копію вмісту диска.

Для налаштування дозволів NTFS:

Врахуйте, що за замовчуванням підкаталоги успадковують властивості своїх кореневих директорій. Щоб змінити це, натисніть кнопку Advanced (Додатково) на вкладці Security (Безпека) діалогового вікна Properties (Властивості).

Види NTFS-повноважень:

  • Full Control (Повний доступ)- дозволяє користувачам і групам виконувати будь-які операції з вмістом папки, включаючи перегляд файлів та підкаталогів, запуск файлів додатків, керування списком вмісту папки, читання та запуск виконуваних файлів, зміна атрибутів файлів та папок, створення нових файлів, додавання даних до файлів, видалення файлів та підкаталогів, а також зміна повноважень доступу до файлів та папок.
  • Modify (Змінити)- дозволяє користувачам та групам здійснювати перегляд файлів та підкаталогів, запускати виконувані файли додатків, керувати списком вмісту папки, переглядати параметри папки, змінювати атрибути папок та файлів, створювати нові файли та підкаталоги, додавати дані у файли та видаляти файли.
  • Read & Execute (Читання та виконання)- дозволяє користувачам та групам переглядати список файлів та підкаталогів, запускати виконувані файли програм, переглядати вміст файлів, а також змінювати атрибути файлів та папок.
  • List Folder Contents (Список вмісту папки)- дозволяє користувачам та групам здійснювати навігацію за каталогами, працювати зі списком вмісту папки, а також переглядати атрибути файлів та папок.
  • Read (Читання)- дозволяє користувачам та групам переглядати вміст папки, читати файли та переглядати атрибути файлів та папок.
  • Write (Запис)- дозволяє користувачам та групам змінювати атрибути файлів та папок, створювати нові папки та файли, а також змінювати та доповнювати вміст файлів.

Для визначення остаточних повноважень того чи іншого користувача відніміть з дозволів NTFS, наданих йому безпосередньо (або як члену групи), всі індивідуальні заборони (або заборони, який він отримав як член групи). Наприклад, якщо користувач отримав повний доступ (Full Control) до цієї папки, але в той же час є членом групи, для якої заборонено повний доступ, то він в результаті не матиме прав повного доступу. Якщо рівень доступу користувача обмежений параметрами Read & Execute (Читання та виконання) та List Folder Contents (Список вмісту папки) в одній групі, і в той же час йому заборонено доступ на рівні List Folder Contents (Список вмісту папки), то в результаті його NTFS-повноваження будуть обмежені лише рівнем Read & Execute (Читання та виконання). З цієї причини адміністратор повинен підходити до заборон з особливою обережністю, оскільки заборонені функції мають пріоритет перед дозволеними для того ж користувача або групи.

Windows XP забезпечена зручною утилітою для підтвердження чинних дозволів користувача або групи:


Поєднання дозволів NTFS з повноваженнями спільного доступу

Звучить багатообіцяюче. Здавалося б, досить грамотно роздати користувачам відповідні повноваження – і можна розпочинати роботу. Однак насправді не все так просто. Повноваження загального доступу та NTFS-дозволи повинні чітко визначати, які реальні права доступу мають користувачі та групи, але, на жаль, вони часто конфліктують між собою. Для визначення остаточних повноважень того чи іншого користувача порівняйте підсумкові повноваження загального доступу з підсумковими дозволами NTFS. Пам'ятайте, що обмеження доступу домінуватимуть над дозволами. Наприклад, якщо підсумкові NTFS-права доступу користувача обмежені рівнем Read and Execute (Читання та виконання), а підсумкові права загального доступу – рівнем Full Control (Повний доступ), система не надасть цьому користувачу дійсні права повного доступу, а вибере найбільш пріоритетний рівень, в даному випадку це NTFS-дозвіл на читання та виконання. Завжди слід пам'ятати у тому, що підсумкові обмеження у правах переважають над підсумковими дозволами. Це дуже важливий момент, який легко забувається, після чого завдає користувачам чимало клопоту. Тому ретельно розраховуйте співвідношення заборон та дозволів повноважень NTFS та загального доступу

Нижче наведена така ситуація: користувач Користувач1 має дозвіл Write (Запис) на папку "Дані". Крім того, він є членом групи Everyone (Всі), якій надано дозвіл Read (Читання). Отже, фактичною роздільною здатністю користувача Користувач1 буде комбінація дозволів Read і Write, але тільки для папки "Дані".

На відміну від прав доступу до загальних ресурсів, дозволи NTFS не надають доступу до вкладених папок папки "Дані".

Приклад дозволів NTFS для файлу

Нижче проілюстровано таку ситуацію: користувач Користувач1 має дозволи Read (Читання) та Write (Запис) для файлу Файл1 папки "Дані". Крім того, він є членом групи Відділ продажу, яка має інший дозвіл для папки "Дані" - Read (Читання). В результаті Користувач1 отримає дозвіл на читання папки "Дані", а також на читання та запис у файл Файл1, оскільки дозволи NTFS для файлів мають перевагу над дозволами для папок.

    Дозволи NTFS забезпечують надійний захист папок та файлів, розташованих на томах файлової системи Windows NT (NTFS).

    Дозволи NTFS для папок і файлів поширюються як на користувачів, що безпосередньо працюють на комп'ютері, так і на захищені об'єкти комп'ютера по мережі.

    Як і у випадку прав доступу до загальних ресурсів, користувач може отримати дозвіл NTFS або безпосередньо, або будучи членом однієї або декількох груп, які мають дозвіл.

    Подібно до прав доступу до загальних ресурсів, фактичні дозволи NTFS для користувача є комбінацією дозволів користувача і груп, до складу яких він входить. Єдиний виняток із цього правила - дозвіл No Access (Немає доступу), яке скасовує всі інші дозволи.

    На відміну від прав доступу до загальних ресурсів, дозволи NTFS можуть бути різними для папки та файлів (папок), вкладених у неї.

    Дозволи NTFS для файлу мають перевагу над дозволами папки, в якій він міститься.

    1. Права доступу та дозволу ntfs

Права доступу до загальних ресурсів томів NTFS діють разом із дозволами для файлів та папок. На цьому занятті Ви дізнаєтесь, як забезпечити захист дискових ресурсів, комбінуючи дозволи NTFS та права доступу.

      1. Основні відомості

Щоб користувачі могли звертатися до мережі до дискових ресурсів, потрібно надати у спільне користування папки, що містять ці ресурси. Такі папки можна захистити, надавши користувачам та групам відповідні права доступу. Однак права доступу до загальних ресурсів забезпечують лише обмежений захист, оскільки вони:

    надають однаковий рівень доступу до всіх папок та файлів, що знаходяться в спільній папці;

    не забезпечують захист ресурсу від локального користувача;

    не можна використовувати для захисту окремих файлів.

Якщо спільна папка знаходиться на томі NTFS, можна скористатися дозволами NTFS, щоб змінити або заборонити доступ користувачів до папок та файлів, які розташовані у спільній папці. Застосування дозволів NTFS та прав доступу забезпечує найвищий рівень захисту.

Ось найпростіший спосіб поєднання дозволів NTFS та прав доступу: збережіть право доступу за замовчуванням Full Control (Повний контроль), присвоєне групі Everyone (Всі), та надайте окремим обліковим записам груп та користувачів дозволу NTFS для конкретних папок та файлів спільної папки.

При поєднанні прав доступу та дозволів NTFS доступ завжди визначається найсуворішим обмеженням. Наприклад, якщо для папки встановлено право доступу Full Control (Повний контроль) та роздільну здатність NTFS Read (Читання), то результуючою роздільною здатністю буде більш суворий Read.

Нижче наведена така ситуація: користувач Користувач1 має право доступу Read (Читання) до спільної папки "Загальнодоступні дані" на комп'ютері Комп'ютер1 (при підключенні через мережу) та дозволу NTFS Full Control (Повний контроль) для Файлу А цієї папки. В результаті Користувач1 отримає доступ до файлу Файл А тільки для читання, тому що Read - суворіше обмеження. Доступ користувача Користувач2 до Файлу Б також – лише читання, оскільки дозвіл NTFS Read та право доступу Read призводять до однакових обмежень.

Коли Користувач1 працює на комп'ютері Комп'ютер1, на нього не поширюються права доступу до папки Загальнодоступні дані. Тим не менш, дія дозволів NTFS (повний контроль для файлу А і доступ тільки для читання до файлу Б) зберігається. Якщо ж Користувач1 підключиться до цієї спільної напки, він, як і Користувач1, отримає право тільки на читання.

У системі на базі технологій Windows NT існують спеціальні мережеві ресурси. Імена деяких ресурсів закінчуються символом $, такі мережеві ресурси через " мережеве оточення" або при відкритті ресурсів сервера за допомогою команди " \\<имя сервера>" не буде видно. Однак, якщо вказати повне UNC-ім'я мережного ресурсу, то можна побачити дані, розміщені в ньому.

Перерахуємо ці ресурси:

  • ресурс виду \\<имя сервера>\admin$" (наприклад, \\DC1\admin$ ) - призначений для віддаленого адміністрування комп'ютера; шлях завжди відповідає розташування папки, в якій встановлена ​​система Windows; до цього ресурсу можуть підключатися тільки члени груп Адміністратори, Оператори архівуі Оператори сервера ;
  • ресурс виду \\<имя сервера>\< буква диска>$ (наприклад, \\DC1\C$ ) - коренева папка вказаного диска;. до мережних ресурсів такого типу на сервері Windows можуть підключатися тільки члени груп Адміністратори, Оператори архівуі Оператори сервера; на комп'ютерах з Windows XP Professional та Windows 2000 Professional до таких ресурсів можуть підключатися члени груп Адміністраториі Оператори архіву ;
  • ресурс " \\<имя сервера>\IРС$(наприклад, \\DC1\IP$ ) - використовується для віддаленого адміністрування;
  • ресурс " \\<имя сервера>\NETLOGON(наприклад, \\DC1\NETLOGON ) - використовується тільки на контролерах домену, в цій мережній папці зберігаються скрипти (сценарії) для входу користувачів в систему, сумісні з попередніми версіями операційних систем Microsoft;
  • ресурс " \\<имя сервера>\SYSVOL" - використовується лише на контролерах домену, у цій мережній папці зберігається файлова частина групових політик;
  • ресурс " \\<имя сервера>\PRINT$" - ресурс, який підтримує принтери, що спільно використовуються, зокрема, у цій папці зберігаються драйвери для принтерів, що спільно використовуються.

Переглянути повний список ресурсів, що надаються даним сервером для спільного використання, можна в оснастці " Загальні папки", в розділі " Загальні ресурси(рис. 8.35):


Мал. 8.35.

У цьому розділі цієї оснастки можна відключати ресурси від спільного використання у мережі, змінювати мережеві дозволи, створювати нові мережеві ресурси.

Крім спеціальних мережевих ресурсів із символом $ в кінці назви ресурсу, наданих групам із високими повноваженнями, з цим символом можна надати доступ до будь-якого іншого ресурсу, який надається у мережевий доступ самим адміністратором. У цьому випадку мережевий ресурс також буде прихований при звичайному перегляді мережі, але буде доступний при вказанні повного імені UNC, причому доступ можна дозволити тим групам користувачів, яким потрібен даний ресурс.

Дозволи NTFS

Ще раз наголосимо, що мережні дозволи діють лише при доступі до ресурсів через мережу. Якщо користувач увійшов до системи локально, то тепер можна керувати доступом лише за допомогою дозволів NTFS. На томі (розділі) із системою FAT користувач матиме повний доступ до інформації цього тому.

Дозволу NTFS можна встановити, відкривши Властивостіпапки або файлу та перейшовши на закладку " Безпека " (Security). Як бачимо на рис. 8.36, набір видів NTFS-дозвіл набагато багатший, ніж набір мережевих дозволів.


Мал. 8.36.

На томі NTFS можна призначати такі види дозволів для папок:

  • Повний доступ ;
  • Змінити ;
  • Читання та виконання ;
  • Список вмісту папки ;
  • Читання ;
  • Запис ;
  • Особливі дозволи.

Для файлів немає вигляду " Читання вмісту папки ".

Якщо на закладці дозволів натиснути кнопку " Додатково", то можна здійснювати більш тонке налаштування дозволів.

Дозволи NTFS можуть бути явнимиабо успадкованими. За промовчанням всі папки або файли успадковують роздільну здатність об'єкта-контейнера ( батьківського об'єкта), у якому вони створюються. Використання успадкованих дозволів полегшує роботу з управління доступом. Якщо адміністратору потрібно змінити права доступу для якоїсь папки та всього її вмісту, достатньо зробити це для самої папки та зміни будуть автоматично діяти на всю ієрархію вкладених папок і документів. На рис. 8.36. видно, що група " Адміністратори" має успадковані дозволи типу " Повний доступдля папки Folder1. А на рис. 8.37. показано, що група " Користувачімає набір явно призначених дозволів:


Мал. 8.37.

Змінити успадковані дозволи не можна. Якщо натиснути кнопку " Додатково", то можна скасувати успадкування дозволів від батьківського об'єкта. При цьому система запропонує два варіанти скасування успадкування: або скопіювати колишні успадковані дозволи у вигляді явних дозволів, або видалити їх зовсім.

Механізм застосування дозволів

У пункті 8.1 було сказано, що кожен файл є набір атрибутів. Атрибут, який містить інформацію про NTFS-дозвіл, називається списком керування доступом (ACL, Access Control List). Структура ACL наведена у табл. 8.4. Кожен запис в ACL називається елементом керування доступом (ACE, Access Control Entry).

У таблиці наведено ідентифікатори безпеки облікових записів користувачів, груп або комп'ютерів (SID) та відповідні дозволи для них. На рисунках 8.36 або 8.37 замість SID-ів показані імена занесених до ACL користувачів та груп. У розділі 4 говорилося, що при вході користувача в мережу (при його реєстрації в домені) в поточну сесію користувача на комп'ютері контролер домену пересилає маркер доступу, що містить SID самого користувача і груп, членом яких він є. Коли користувач намагається виконати будь-яку дію з папкою або файлом (і при цьому запитує певний вид доступу до об'єкта), система зіставляє ідентифікатори безпеки в маркері доступу користувача та ідентифікатори безпеки, що містяться в об'єкті ACL. При збігу тих чи інших SID-ів користувачеві надаються відповідні дозволи на доступ до папки або файлу.

Зауважимо, що коли адміністратор змінює членство користувача в групах (включає користувача в нову групу або видаляє з групи), то маркер доступу користувача при цьому автоматично НЕ змінюється. Для отримання нового маркера доступу користувач повинен вийти із системи та знову увійти до неї. Тоді він отримає від контролера домену новий маркер доступу, який відображатиме зміну членства користувача в групах

Порядок застосування дозволів

Принцип застосування NTFS-дозвіл на доступ до файлу або папки той же, що і для мережних дозволів:

  • спочатку перевіряються заборони на будь-які види доступу (якщо є заборони, то цей вид доступу не дозволяється);
  • потім перевіряється набір дозволів (якщо є різні види дозволів для будь-якого користувача та груп, до яких входить даний користувач, то застосовується сумарний набір дозволів).

Але для дозволів NTFS схема дещо ускладнюється. Дозволи застосовуються у такому порядку:

  • явні заборони;
  • явні дозволи;
  • успадковані заборони;
  • успадковані дозволи.

Якщо SID користувача або SID-и груп, членом яких є даний користувач, не вказані ні в явних, ні в успадкованих дозволах, доступ користувачеві буде заборонено.

Володіння папкою або файлом

Користувач, який створив папку або файл, є Власникомцього об'єкта. Власник об'єкту має права зміни NTFS-дозвілдля цього об'єкта, навіть якщо йому заборонено інші види доступу. Поточного власника об'єкта можна побачити, відкривши Властивостіоб'єкта, потім закладку " Безпека", потім натиснувши кнопку " Додатково" і перейшовши на закладку " Власник(рис. 8.38):


Мал. 8.38.

Увага! Адміністратор системи може змінити власникаоб'єкта, вибравши нового власника із запропонованого у цьому вікні списку або з повного списку користувачів (натиснувши кнопку " Інші користувачі чи групи"). Ця можливість надана адміністраторам для того, щоб відновити доступ до об'єкта у разі втрати доступу через неправильно призначені дозволи або видалення облікового запису, що мав винятковий доступ до цього об'єкта (наприклад, звільнився єдиний співробітник, який мав доступ до файлу, адміністратор видалив його обліковий запис, внаслідок цього був повністю втрачений доступ до файлу, відновити доступ можна єдиним способом - передача володіння файлу адміністратору або новому співробітнику, який виконує обов'язки співробітника, що звільнив).

Спільне використання мережних дозволів та дозволів NTFS

При доступі до мережі до файлових ресурсів, розміщених на томі NTFS, до користувача застосовується комбінація мережних дозволів та дозволів NTFS.

При доступі через мережу спочатку обчислюються мережні дозволи (шляхом підсумовування дозволів для користувача та груп, до яких входить користувач). Потім також шляхом підсумовування обчислюються дозволи NTFS. Підсумкові діючі дозволи, що надаються до даного конкретного об'єкта, будуть являти собою мінімумз обчислених мережевих та NTFS-дозвіл.

Керування доступом за допомогою груп

Групи користувачів створені спеціально для того, щоб ефективно управляти доступом до ресурсів. Якщо призначати права доступу до кожного ресурсу для кожного окремого користувача, то, по-перше, це дуже трудомістка робота, і по-друге, важко відстежувати зміни в правах доступу при зміні будь-яким користувачем своєї посади в підрозділі або переході в інший підрозділ.

Повторимо матеріал із розділу 4. Для більш ефективного керування доступом рекомендується наступна схема організації надання доступу:

  1. Облікові записи користувачів ( accounts) включаються у глобальні доменні групи ( global groups) відповідно до штатної структури компанії/організації та виконуваних обов'язків;
  2. глобальні групи включаються до доменні локальні групи або локальні групи на якомусь сервері ( domain local groups, local groups) відповідно до необхідних прав доступу для того чи іншого ресурсу;
  3. відповідним локальним групам призначаються необхідні дозволи ( permissions) до конкретних ресурсів.

Дана схема за першими літерами об'єктів, що використовуються, отримала скорочену назву AGLP (A ccounts G lobal groups L ocal groups P ermissions). За такої схеми, якщо користувач підвищується або знижується на посаді або переходить до іншого підрозділу, то немає потреби переглядати всі мережеві ресурси, доступ до яких потрібно змінити для цього користувача. Достатньо змінити відповідним чином членство користувача у глобальних групах, та права доступу до мережних ресурсів для даного користувача зміняться автоматично.

Додамо, що в основному режимі функціонування домену Active Directory (режими " Windows 2000 основний" або " Windows 2003") з появою вкладеності груп та універсальних груп схема AGLPмодифікується у схему AGG…GULL…LP.

Дозволи NTFS

У попередній лекції ми розповідали про мережеву безпеку та про таке поняття, як дозволи, але до цього варто повернутися зараз, оскільки дозволи доступні лише на жорстких дисках у форматі NTFS. У цьому розділі ми говоритимемо про можливості NTFS оберігати ваші файли від сторонніх очей. На відміну від системи FAT, доступ до загальних ресурсів не можна вмикати та вимикати. NTFS забезпечує такий рівень деталізації відбору, що пропускає лише тих, кому ви хочете надати доступ, та відсіває всіх інших.

Дозволи окремого користувача

Перед тим як обговорювати дозволи користувачів та груп, а також самих файлів, важливо розглянути основи роботи дозволів. Спочатку ми покажемо, що є спадкуванням, а потім розглянемо інструмент Windows XP Professional, який повинен вам допомагати, але може перетворитися на камінь спотикання, якщо ви не розберетеся в його функціях.

успадкування

У мережі може бути всього кілька користувачів, а можуть бути й тисячі. При установці дозволів для NTFS-томів і папок це завдання може бути порівняно простий в організації, що складається з шести осіб. Як уже зазначалося в лекції 9Якщо організація починає зростати, то розподіл користувачів на специфічні групи робить управління дозволами значно легше.

Спочатку вам слід створити набір дозволів для певної групи, наприклад, для інженерів. У такому разі, з появою нового інженера в організації він автоматично додається до цієї групи. Одночасно йому у спадок переходять і дозволи цієї групи.

Примітка. Спадкування має відношення і до інших об'єктів NTFS-тому. Наприклад, якщо ви встановили дозволи для певної папки, а потім створили в ній підпапку, право спадкування звільняє вас від створення нового набору дозволів для цієї папки, оскільки вона успадковує дозволи батьківської папки.

Якщо ви вважаєте, що групі інженерів потрібно видати або відновити певний дозвіл, це легко зробити. Після зміни (про що ми поговоримо в цій лекції пізніше) новий дозвіл надається кожному члену цієї групи.

З іншого боку, якомусь конкретному інженеру може знадобитися дозвіл, якого не потребують інші. Ви можете, увійшовши до групи інженерів, внести зміни, необхідні даному користувачеві, і він отримає новий дозвіл, який не буде успадковано ним за належністю до цієї групи. У цьому випадку дозвіл не поширюватиметься на інших членів групи.

Новою якістю Windows XP Professional є просте спільне використання файлу (simple file sharing). Ця функція вмикається під час первинної інсталяції Windows XP Professional або при спільному використанні тома або папки. Щоб підключити більше інструментів керування доступами користувачів, просте спільне використання файлу треба вимкнути.

Ви можете поставити запитання, навіщо потрібно просте спільне використання файлів, якщо цю функцію треба відключати. Тільки для того, щоб полегшити процес спільного використання файлів і папок. При включеному простому спільному використанні файлів немає і безлічі конфігурацій для здійснення доступу користувачів до файлів, принтерів і т. д. Цим забезпечується легкий спосіб спільного використання файлів. Однак якщо ви хочете керувати тим, хто саме може отримувати право доступу до файлів, просте спільне використання файлів слід відключити. Для цього виконайте такі кроки.

    Виберіть Start\My Computer (Пуск\Мій комп'ютер), потім клацніть Tools (Сервіс) та виберіть Folder Options (Властивості папки) .

    У діалоговому вікні Folder Options клацніть вкладку View (Перегляд).

    Перегляньте до кінця перелік налаштувань у вікні Advanced Settings (Додаткові параметри) і встановіть або очистіть прапорець Use simple file sharing (Використовувати простий спільний доступ до файлів).

    Натисніть кнопку ОК.

Примітка. Саме собою відключення простого спільного використання файлу не дозволить вам встановлювати дозволи для файлів. Ви повинні також розмістити всі свої файли та папки у NTFS-томі або розділі.

Дозволи для папок та томів

Дозволи здійснюють контроль над тим, що користувач або група можуть робити з об'єктом у мережі чи своєму локальному комп'ютері. Дозволи підтримуються лише при відключенні простого спільного використання файлу та на жорсткому диску у форматі NTFS. У таблиці 10.2перераховані дозволи, призначені для папок, а в таблиці 10.3- Для файлів.

Таблиця 10.2. Дозволи папок

Дозвіл

Change Permissions

Зміна дозволів папки.

Створення нових файлів у цій папці.

Створення підкаталогів у цій папці.

Видалення папки.

Delete subfolders and files

Видалення файлів та підкаталогів, навіть якщо у вас немає дозволу на їх створення.

Перегляд вмісту папки.

Read Attributes

Перегляд атрибутів папки.

Read Permissions

Перегляд дозволів папки.

Надання собі прав іншого користувача на володіння папкою.

Traverse Folder

Відкривання папки для перегляду підкаталогів та батьківських папок.

Write Attributes

Внесення змін до властивостей папки.

Таблиця 10.3. Роздільна здатність файлу

Дозвіл

Дозволяє чи забороняє цю дію

Додавання інформації до кінця файлу без зміни існуючої інформації.

Change Permissions

Внесення змін до роздільної здатності файлу.

Видалення файлу.

Запуск програми, що міститься у файлі.

Read Attributes

Перегляд атрибутів файлу.

Перегляд вмісту файлу.

Read Permissions

Перегляд роздільної здатності файлу.

Надання собі прав власності на цей файл у іншого власника.

Write Attributes

Зміна атрибутів файлу.

Зміна вмісту файлу.
Створення та управління дозволами

Створюючи дозволи для окремих файлів, папок і NTFS-томів, ви можете скористатися значною кількістю опцій безпеки, ніж пропонує файлова система FAT. Вкладка Properties (Властивості) вибраної папки або тома включає вкладку Security (Безпека). Клацнувши на ній, ви можете побачити ряд опцій для керування доступом.

Щоб налаштувати роздільну здатність цієї папки або тома, виконайте такі кроки.

    Вкажіть те чи папку, для яких ви збираєтеся встановлювати дозволи.

    Клацніть правою кнопкою миші на ньому та виберіть Properties (Властивості).

    Виберіть вкладку Security (Безпека).

Примітка. Якщо NTFS перебуває у спільному використанні, то необхідно встановлювати дозволи за допомогою вкладки Security (Безпека), а не використовуючи для цього кнопку Permissions (Дозволи) на вкладці Sharing (Загальний доступ).

У вікні властивостей ви побачите два вікна. У верхньому вікні міститься список користувачів та груп ( Мал. 10.7). У нижньому – список дозволів для користувача, які можна встановлювати та регулювати. Знову ж таки, ця вкладка доступна тільки для томів у форматі NTFS.

Мал. 10.7.Вкладка Security (Безпека) діалогового вікна властивостей

Клацнувши на певному користувачеві або групі, можна встановити дозволи для них у нижньому вікні. Доступні такі дозволи.

    Full Control (Повний контроль). Дозволяє користувачеві або групі читати, створювати, змінювати та видаляти файли.

    Модифікація. Дозволяє користувачам видаляти файли та папки, вносити зміни до дозволів або отримувати право власності на файл чи папку від іншого користувача.

    Read&Execute (Читання та виконання). Дозволяє користувачам читати та запускати файли, не вносячи змін до змісту спільно використовуваного тома або папки.

    List Folder Contents (Список вмісту папки). Дозволяє користувачам переглядати вміст папок.

    Read (Читання). Дозволяє користувачам переглядати вміст тома або папки. Вони також можуть відкривати файли, але не мають права зберігати зміни.

    Write (Запис). Дозволяє користувачам робити записи у папках або томах, але забороняє відкривати файли або переглядати список файлів.

    Special permissions (Спеціальні дозволи). Клацнувши на кнопці Advanced (Додатково), можна використовувати спеціальні дозволи.

Обмеження кількості користувачів

Залежно від розміру та структури організації, ви можете не дозволити одночасний доступ для всіх бажаючих до того самого. Якщо потрібно встановити обмеження на кількість користувачів, які мають одночасний доступ до того чи папки, відкрийте діалогове вікно Permissions (Дозволи) та виберіть вкладку Sharing (Загальний доступ) ( Мал. 10.8).

У розділі User limit (Граничне число користувачів) вкажіть один з наведених нижче варіантів.

    Maximum allowed Дозволити доступ до максимальної кількості користувачів мережі.

    Allow this number of users Дозволити доступ лише для вказаної кількості користувачів.

Докладніше про дозволи можна дізнатися в гол. 9.

дозволи, що визначають рівень безпеки, можна... кнопку " Дозвіл"), керувати доступом, використовуючи можливості файлової системи NTFS. ... зміна та читання). Використання дозволів NTFSДля кожного об'єкта, який...

  • Операційна система Windows 2000 Server

    Курсова робота >> Інформатика

    Автентифікованих Користувачів має необхідні дозволу. Клієнтські системи спочатку... комп'ютері. Інсталятор налаштує папки та дозволу NTFSдля файлів ОС. ... і виконувати пряме та зворотне дозвілдоменних імен в IP-адреси. ...

  • Прикладна інформатика економіки

    Реферат >> Інформатика

    На томі NTFSможна призначати окремим користувачам та групам дозволу NTFSдля більш гнучкого... папки. При поєднанні дозволівдоступу до спільної папки та дозволів NTFSрезультуючим дозволомбуде суворіше...