Android. Sistem de operare. Multimedia. Rețelele de socializare. Instrumente. Codec-uri. Arte grafice
Ești aici: » »

Permisiunile folderului Ntfs. De ce avem nevoie de permisiuni ntfs?

Protejarea fișierelor și folderelor partajate

Tema securității informațiilor este mai populară astăzi ca niciodată. Profesioniștii IT obțin cunoștințe de pretutindeni: din articolele speciale din reviste și chiar din buletinele informative zilnice prin e-mail.

Majoritatea mijloacelor tehnice protejează resursele organizației de interferențele externe. Dar este adesea necesar să partajați accesul la informații în cadrul întreprinderii în sine. Imaginează-ți doar problemele care ar putea apărea dacă toți angajații ar avea acces la evidențele personale ale colegilor lor.

Sistemul de fișiere NTFS din Windows XP și permisiunile sale pentru foldere partajate sunt concepute special pentru a proteja conținutul folderelor partajate de scurgeri atât interne, cât și externe. Acest articol oferă câteva sfaturi care vor ajuta un administrator să atribuie în mod competent permisiunile NTFS și să controleze accesul la folderele și fișierele partajate.

Control acces la fișiere

Majoritatea utilizatorilor postează fișiere disponibile public membrilor grupurilor de lucru și rețelelor p2p; pentru aceasta aveți nevoie de:

  1. Introduceți un nume pentru folder în câmpul Share Name.
  2. Dacă doriți, puteți adăuga câteva cuvinte explicative în coloana Comentariu.
  3. Faceți clic pe OK.

Cu toate acestea, această metodă nu funcționează întotdeauna corect, mai ales pe sistemele Windows XP cu discuri formatate NTFS (când permisiunile NTFS aflate în conflict intră în conflict, împiedicând utilizatorii autorizați să acceseze aceste resurse; mai multe despre asta mai jos). Ei bine, cel mai trist lucru este că permisiunile implicite stabilite în Windows XP oferă acces la conținutul directoarelor tuturor utilizatorilor.

De asemenea, pentru a atribui diferite permisiuni unor utilizatori diferiți, trebuie să dezactivați opțiunea implicită de partajare simplă a fișierelor Windows XP:

  1. Deschideți Windows Explorer
  2. Accesați meniul Instrumente
  3. Selectați Opțiuni folder
  4. Accesați fila Vizualizare.
  5. În fereastra Setări avansate, debifați Utilizați partajarea simplă a fișierelor (recomandat) | Utilizați partajarea simplă a fișierelor (recomandat).
  6. Faceți clic pe OK.

Pentru a dezactiva permisiunea pentru Toată lumea și a configura nivelul de acces pentru fiecare utilizator în mod individual:

Permisiunile de control complet permit utilizatorilor sau grupurilor să citească, să modifice, să șteargă și să ruleze fișiere conținute într-un folder. În plus, astfel de utilizatori pot crea și șterge noi subdosare în acest director.

Utilizatorii care au dreptul de a modifica informațiile dintr-un folder (Modificare) pot vizualiza și modifica fișierele din director, pot crea propriile fișiere și foldere în el și pot rula programe aflate în acesta pentru a fi executate.

Utilizatorii și grupurile cu permisiuni de citire au voie doar să vizualizeze fișierele stocate în director și să ruleze programe. Puteți seta permisiuni suplimentare pentru informațiile de pe discurile Windows XP formatate cu sistemul de fișiere NTFS.

Permisiuni NTFS

Permisiunile NTFS în Windows oferă un set suplimentar de setări care pot fi configurate pe fiecare fișier sau folder cu fișier.

Mai întâi trebuie să vă asigurați că setările Windows XP vă permit să lucrați cu sistemul de fișiere NTFS:

  1. Faceți clic pe Start
  2. Selectați Run
  3. Introduceți compmgmt.msc în linie și faceți clic pe OK. Se deschide consola Computer Management.
  4. Accesați obiectul Disk Management din fila Stocare pentru a afla ce tip de sistem de fișiere este utilizat pe fiecare disc.

Dacă discul sau una dintre partițiile sale nu este formatată în NTFS, acest lucru poate fi corectat introducând convert X: /fs:ntfs, înlocuind X cu litera discului sau partiției dorite. Comanda convert va schimba sistemul de fișiere de disc curent în NTFS fără a distruge datele stocate pe acesta. Cu toate acestea, este mai bine să faceți o copie de rezervă a conținutului discului înainte de a rula comanda.

Pentru a configura permisiunile NTFS:

Vă rugăm să rețineți că în mod implicit, subdirectoarele moștenesc proprietățile directoarelor lor rădăcină. Pentru a schimba acest lucru, faceți clic pe butonul Avansat din fila Securitate din caseta de dialog Proprietăți.

Tipuri de permisiuni NTFS:

  • Control total- permite utilizatorilor și grupurilor să efectueze orice operațiuni cu conținutul unui folder, inclusiv vizualizarea fișierelor și subdirectoarelor, lansarea fișierelor aplicației, gestionarea listei de conținut al folderului, citirea și rularea fișierelor executabile, modificarea atributelor fișierelor și folderelor, crearea de noi fișiere , adăugarea de date în fișiere, ștergerea fișierelor și subdirectoarelor, precum și modificarea permisiunilor de acces la fișiere și foldere.
  • Modifica- Permite utilizatorilor și grupurilor să vizualizeze fișiere și subdirectoare, să ruleze fișiere de aplicație executabile, să gestioneze lista conținutului folderului, să vadă setările folderului, să modifice atributele folderelor și fișierelor, să creeze noi fișiere și subdirectoare, să adauge date la fișiere și să ștergă fișiere.
  • Citiți și executați- Permite utilizatorilor și grupurilor să vadă o listă de fișiere și subdirectoare, să ruleze fișiere de aplicație executabile, să vadă conținutul fișierelor și să modifice atributele fișierelor și folderelor.
  • Listează conținutul folderului- Permite utilizatorilor și grupurilor să navigheze prin directoare, să lucreze cu o listă de conținut de folder și să vadă atributele fișierelor și folderelor.
  • Citit- Permite utilizatorilor și grupurilor să vadă conținutul unui folder, să citească fișiere și să vadă atributele fișierelor și folderelor.
  • Scrie- permite utilizatorilor și grupurilor să modifice atributele fișierelor și folderelor, să creeze noi foldere și fișiere, precum și să modifice și să completeze conținutul fișierelor.

Pentru a determina permisiunile finale ale unui utilizator, scădeți din permisiunile NTFS acordate lui în mod direct (sau ca membru al unui grup) orice refuzuri individuale (sau refuzuri pe care le-a primit ca membru al unui grup). De exemplu, dacă un utilizator are control total asupra unui folder dat, dar în același timp este membru al unui grup pentru care controlul total este refuzat, atunci, ca urmare, nu va avea drepturi de control total. Dacă nivelul de acces al unui utilizator este limitat la opțiunile Citire și execuție și Listează conținutul folderului dintr-un grup și, în același timp, i se refuză accesul la nivelul Listează conținutul folderului, atunci, ca urmare, permisiunile NTFS vor fi limitate la Citire și Doar nivelul de execuție. Din acest motiv, administratorii ar trebui să abordeze interdicțiile cu precauție extremă, deoarece funcțiile interzise au prioritate față de cele permise pentru același utilizator sau grup.

Windows XP este echipat cu un utilitar convenabil pentru confirmarea permisiunilor curente ale unui utilizator sau grup:


Combinarea permisiunilor NTFS cu permisiunile de partajare

Sună promițător. S-ar părea că este suficient să distribuiți corect puterile corespunzătoare utilizatorilor - și puteți începe să lucrați. Cu toate acestea, în realitate nu este atât de simplu. Permisiunile de partajare și permisiunile NTFS ar trebui să definească în mod clar ce drepturi de acces efective au utilizatorii și grupurile, dar, din păcate, acestea sunt adesea în conflict între ele. Pentru a determina permisiunile finale ale unui anumit utilizator, comparați permisiunile de partajare rezultate cu permisiunile NTFS rezultate. Rețineți că restricțiile de acces vor domina permisiunile. De exemplu, dacă drepturile de acces NTFS rezultate ale unui utilizator sunt limitate la nivelul de citire și execuție, iar drepturile de acces public rezultate sunt limitate la nivelul de control total, sistemul nu va acorda utilizatorului drepturi reale de control complet, ci va alege cel mai înalt nivel. nivel de prioritate, în acest caz este permisiunea de citire și execuție NTFS. Este întotdeauna necesar să ne amintim că restricțiile rezultate în drepturi prevalează asupra permisiunilor rezultate. Acesta este un punct foarte important care este ușor de uitat, după care provoacă multe probleme utilizatorilor. Prin urmare, calculați cu atenție raportul dintre interdicții și permisiuni ale permisiunilor NTFS și accesul general

Folosind permisiunile NTFS, putem diferenția drepturile într-un folder mai detaliat. Putem interzice unui anumit grup să schimbe un anumit fișier, lăsând posibilitatea de a edita întregul fișier principal; în același folder, un grup de utilizatori poate avea drepturi de editare asupra unui fișier și nu va putea vizualiza alte fișiere editate de alt grup de utilizatori și invers. Pe scurt, permisiunile NTFS ne permit să creăm un sistem de acces foarte flexibil, principalul lucru este să nu ne confundam în el mai târziu. În plus, permisiunile NTFS funcționează atât atunci când accesați un folder printr-o rețea, completând permisiunile de acces public, cât și atunci când accesați fișiere și foldere local.

Există șase permisiuni de bază, care sunt o combinație de 14 permisiuni avansate.

PERMISIUNI DE BAZĂ:

  • Control total– acces complet la un folder sau fișier, cu posibilitatea de a schimba drepturile de acces și regulile de audit pentru foldere și fișiere
  • Modifica– dreptul de a citi, modifica, vizualiza conținutul unui folder, șterge foldere/fișiere și rula fișiere executabile. Include citire și execuție, scriere și ștergere.
  • Citiți și executați (readanexecute)– dreptul de a deschide foldere și fișiere pentru citire, fără capacitatea de a scrie. De asemenea, este posibil să rulați fișiere executabile.
  • Lista conținutului folderului (listdirectory)– dreptul de a vizualiza conținutul folderului
  • Citit– dreptul de a deschide foldere și fișiere pentru citire, fără capacitatea de a scrie. Include conținutul folderului/date de citire, atribute de citire, atribute extinse de citire și permisiuni de citire
  • Scrie– dreptul de a crea foldere și fișiere, de a modifica fișiere. Include crearea de fișiere / scrierea datelor (writedata), crearea de foldere / adăugarea datelor (appenddata), scrierea atributelor (writeattributes) și scrierea atributelor extinse

PERMISIUNI SUPLIMENTARE

  • Parcursul folderului/execuția fișierului (traversare)– dreptul de a rula și de a citi fișiere, indiferent de drepturile de acces la foldere. Utilizatorul nu va avea acces la folder (ceea ce se află în folder va rămâne un mister), dar fișierele din folder vor fi disponibile printr-o legătură directă (cală completă, relativă sau UNC). Puteți pune în folderul Traverse foldere, iar pe fișier orice alte permisiuni de care utilizatorul are nevoie pentru a funcționa. Utilizatorul nu va putea crea și șterge fișiere din folder.
  • Conținutul folderului / Citiți date (citește date)– dreptul de a vizualiza conținutul folderului fără posibilitatea de a se schimba. Nu puteți rula sau deschide fișiere din folderul pe care îl vizualizați
  • Atribute de citire– dreptul de a vizualiza atributele de fișier ale unui folder sau fișier. Nu puteți vizualiza conținutul unui folder sau fișiere sau nu puteți modifica niciun atribut.
  • Citirea atributelor suplimentare (readextendedattributes)– dreptul de a vizualiza atribute suplimentare ale unui folder sau fișier.
  • Crearea fișierelor / scrierea datelor (writedata)– oferă utilizatorului posibilitatea de a crea fișiere într-un folder la care nu are acces. Puteți copia fișiere într-un folder și puteți crea fișiere noi în folder. Nu puteți vizualiza conținutul unui folder, nu puteți crea dosare noi sau nu puteți modifica fișierele existente. Utilizatorul nu va putea schimba niciun fișier, chiar dacă este proprietarul acestui fișier - doar creați-l.
  • Crearea folderelor / adăugarea de date (apenddata)– oferă utilizatorului posibilitatea de a crea subfoldere într-un folder și de a adăuga date la sfârșitul fișierului fără a modifica conținutul existent.

Acest articol discută în detaliu cum să utilizați programul Xcacls.exe...

Acest articol detaliază cum să utilizați Xcacls.exe (instrument Extended Change Access Control List) pentru a vizualiza și modifica permisiunile NTFS pentru fișiere și foldere.
Folosind Xcacls.exe, puteți seta toate setările de securitate pentru un sistem de fișiere care este accesat din linia de comandă din Explorer (Xcacls.exe afișează și modifică listele de control al accesului la fișiere (ACL) în acest scop).
Vă recomandăm să utilizați Xcacls.exe pentru a instala în tăcere Windows 2000 Professional sau Windows 2000 Server. Cu ajutorul acestuia, drepturile inițiale de acces sunt setate pentru folderele în care se află fișierele sistemului de operare. În timpul procesului de transfer al software-ului către servere și stații de lucru, Xcacls.exe oferă protecție într-un singur pas împotriva ștergerii de către utilizator a fișierelor și folderelor.
Programul Xcacls.exe este inclus în pachet Kit de resurse Windows 2000. Următorul fișier este disponibil în Centrul de descărcare Microsoft:

Restrângeți această imagineMăriți această imagine

Sintaxa lui Xcacls.exe

nume de fișier xcacls ] ]

unde nume de fișier este numele fișierului sau folderului căruia se aplică de obicei lista sau controlul accesului. Pot fi folosite orice caractere metacara standard.
/T Scanează recursiv subfolderul curent și toate, atribuind permisiunile specificate tuturor fișierelor și folderelor care îndeplinesc cerințele.
/E- editați lista de control acces (fără a o înlocui). De exemplu, după rularea comenzii XCACLS test.dat /G Administrator:F, numai contul de administrator are acces la fișierul Test.dat. Toate controalele de acces aplicate anterior sunt anulate.
/C- Xcacls.exe continuă să ruleze chiar și după primirea unui mesaj „Acces refuzat”. Dacă parametrul /C nu este specificat, apariția acestui mesaj determină oprirea programului.
/G - utilizator:permisiune;acces_special Oferiți unui utilizator acces la un anumit fișier sau folder.

  • Variabila de permisiune este utilizată pentru a atribui drepturi de acces specificate fișierelor și pentru a defini o mască specială de acces la fișiere pentru foldere. Variabila rezoluție ia următoarele valori:
    • R- citind
    • C- schimba (scrie)
    • F- acces complet
    • P- modificarea permisiunilor (acces special)
    • O- schimbarea proprietarului (acces special)
    • X- lansare (acces special)
    • E- citire (acces special)
    • W- înregistrare (acces special)
    • D- ștergere (acces special)
  • Variabila special_access (acces special) este folosită numai cu foldere; ia aceleași valori ca și variabila rezoluție, plus următoarea valoare specială:
    • T- value undefined - atribuiți un element de control al accesului unui director fără a specifica elementul care este utilizat pentru fișierele create în acest folder. Trebuie specificat cel puțin un drept de acces. Textul dintre punct și virgulă (;) și parametrul T este ignorat. Note
      • Parametrii de acces pentru fișiere (pentru foldere - acces special la fișiere și foldere) sunt identici. Pentru descrieri detaliate ale acestor opțiuni, consultați documentația Windows 2000.
      • Alte setări (de asemenea atribuite în Explorer) sunt subseturi ale tuturor combinațiilor posibile de permisiuni de bază. Din acest motiv, nu există permisiuni speciale pentru foldere (cum ar fi LIST sau READ).

utilizator /R Revocați toate drepturile de acces pentru utilizatorul specificat.
/P utilizator:permisiune;acces_special- modifica drepturile de acces pentru utilizatorul specificat. Variabilele „permission” și „special_access” sunt definite conform regulilor descrise pentru parametrul /G. Vezi secțiunea acestui articol.
utilizator /D- interziceți accesul utilizatorului la un fișier sau folder.
/Y- Anulați solicitarea de confirmare a modificărilor drepturilor de acces. Programul CACLS afișează acest prompt în mod implicit. Din acest motiv, dacă comanda CACLS este utilizată ca parte a unui fișier batch, execuția sa este întreruptă înainte de a primi răspunsul la cerere. Parametru /Y folosit pentru a suprima fereastra de prompt atunci când utilizați Xcacls.exe în modul lot.

Folosind Xcacls.exe pentru a vizualiza permisiunile

De asemenea, puteți utiliza Xcacls.exe pentru a vedea permisiunile pentru fișiere și foldere. De exemplu, la promptul de comandă, tastați xcacls C:\winnt și apăsați ENTER. De obicei, programul returnează următorul rezultat.

C:\WINNT BUILTIN\Utilizatori:R BUILTIN\Users:(OI)(CI)(IO)(acces special:) GENERIC_READ GENERIC_EXECUTE BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administratori:F BUILTIN\Administratori:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F CREATOR OWNER:(OI) )(CI)(IO)F

Indicatoarele ACL au următoarea semnificație.

  • IO: Doar Moștenire - Acest control de acces nu se aplică obiectului curent.
  • C.I.: Container Inherit - Acest control de acces este moștenit de containerele de nivel inferior.
  • OI: Object Inherit - Acest control de acces este moștenit de fișierele de nivel inferior.
  • NP: Non-Propagate - Obiectul de nivel inferior nu propaga controlul de acces moștenit.

Litera de la sfârșitul fiecărui rând indică rezoluția. De exemplu:

  • F- acces complet
  • C- Schimbare
  • W- înregistrare
Exemple de utilizare a Xcacls.exe
Exemplul 1

Pentru a înlocui ACL pentru toate fișierele și folderele din folderul curent fără a vizualiza subfolderele și a vă solicita confirmarea, tastați XCACLS *.* /G administrator:RW /Y la promptul de comandă, apoi apăsați ENTER.

Exemplul 2

Controalele de acces adăugate în acest exemplu moștenesc, de asemenea, controalele de acces ale fișierelor noi care sunt create în folder. După introducerea acestei comenzi, TestUser are dreptul de a citi, modifica, rula și șterge toate fișierele care sunt create în acest folder, dar are doar permisiunea de citire și scriere pentru folderul în sine. La promptul de comandă, tastați XCACLS *.* /G TestUser:RWED;RW /E și apăsați ENTER.

Exemplul 3

Acest exemplu setează permisiuni de citire și scriere pe un folder fără a crea un element de moștenire pentru fișierele noi. Din acest motiv, pentru TestUser, fișierelor create în acest folder nu li se atribuie un control de acces. Un control de acces cu permisiuni de citire este creat pentru fișierele existente. La promptul de comandă, tastați XCACLS *.* /G TestUser:R;RW /E și apăsați ENTER.

Instrucțiuni pentru atribuirea permisiunilor NTFS

Când atribuiți permisiuni NTFS, luați în considerare următoarele:

  • Permisiunile NTFS controlează accesul la fișiere și foldere.
  • Este recomandabil să setați permisiuni pentru grupuri, mai degrabă decât pentru utilizatorii individuali.
  • Permisiunile pentru fișiere au prioritate față de permisiunile pentru foldere.
  • Administratorii și proprietarul obiectului controlează atribuirile de permisiuni.
  • Când schimbați permisiunile pentru foldere, fiți atenți la programele care sunt instalate pe server. Programele își creează propriile foldere pentru care este setat parametrul Transferați permisiunile moștenite de la un obiect părinte la acest obiect. Modificarea permisiunilor pentru un folder părinte poate cauza probleme cu programele.

    Avertizare. Multe foldere și fișiere obțin permisiuni prin moștenire. Prin urmare, modificarea permisiunilor pentru un folder poate afecta alte obiecte.

De ce în cele mai multe cazuri o organizație are nevoie de un server? Active Directory, RDS, server de imprimare și o grămadă de alte servicii mici și mari. Cel mai vizibil rol pentru toată lumea este probabil serverul de fișiere. Oamenii lucrează cu el, spre deosebire de alte roluri, cel mai conștient. Își amintesc în ce folder ce se află, unde sunt documentele scanate, unde sunt rapoartele lor, unde sunt faxurile, unde este folderul general în care totul este posibil, unde accesul este doar la unul dintre departamente, unde la altul, iar despre unii habar n-au deloc

Vreau să vorbesc despre accesul la folderele de rețea și locale de pe server.

Accesul la resursele partajate de pe server se realizează, după cum toată lumea știe foarte bine, folosind protocolul SMB 3.0. Accesul în rețea la foldere poate fi limitat de permisiunile SMB și NTFS. Permisiunile SMB funcționează numai atunci când accesați un folder partajat printr-o rețea și nu au niciun efect asupra disponibilității unui anumit folder la nivel local. Permisiunile NTFS funcționează atât în ​​rețea, cât și local, oferind mult mai multă flexibilitate în crearea drepturilor de acces. Permisiunile SMB și NTFS nu funcționează separat, ci se completează reciproc, conform principiului celei mai mari restricții de drepturi.

Pentru a partaja un folder în Server 2012 în grupul SMB Share Cmdlets, a apărut cmdletul New-SMBShare. Folosind acest cmdlet ca exemplu, vom vedea toate opțiunile disponibile la crearea unui folder partajat, cu excepția configurațiilor de cluster (acesta este un subiect mare separat).

Crearea unui folder partajat nou pare foarte simplă:
net share homefolder=s:\ivanivanov /grant:"admin", complet /grant:"folderowner", schimbare /grant:"manager", citiți /cache:programs /remark:"Ivanov" sau
new-smbshare homefolder s:\ivanivanov –cachingmode programs –fullaccess admin –changeaccess folderowner –readaccess manager –noaccess all –folderenumerationmode accessbased -descrierea „Ivanov”

Să ne dăm seama:

-name este numele folderului partajat din rețea, care poate diferi de numele folderului de pe computerul local. Are o limită de 80 de caractere, iar numele pipe și mailslot nu pot fi folosite.

Calea este calea către folderul local care trebuie partajat. Calea trebuie să fie completă, de la rădăcina discului.

Cachingmode setarea autonomiei fișierelor dintr-un folder partajat.

Ce este un fișier offline?

Un fișier offline este o copie a unui fișier aflat pe server. Această copie se află pe computerul local și vă permite să lucrați cu fișierul fără a vă conecta la server. Când sunt conectate, modificările sunt sincronizate. Sincronizat în ambele direcții: dacă ați făcut modificări fișierului offline, data viitoare când vă conectați, fișierul de pe server va fi modificat; dacă cineva a făcut modificări pe server, atunci copia dvs. locală va fi modificată. Dacă în ambele fișiere apar modificări simultan, primim o eroare de sincronizare și va trebui să alegem ce versiune să salvăm. Nu aș folosi această funcție pentru colaborare, dar dacă creăm o minge pentru fiecare utilizator și limităm accesul altora la citire, fără capacitatea de a scrie, obținem următoarele beneficii:

  • Lucrarea nu depinde de rețea - comutatorul se poate arde, serverul se poate reporni, firul se poate rupe sau punctul de acces se poate opri - utilizatorul lucrează cu copia sa fără a observa că aveți un fel de accident acolo, când conexiunea la rețea este restabilită, munca lui merge la server.
  • Utilizatorul poate lucra oriunde: în țară, într-un autobuz, pe un avion - în acele locuri în care o conexiune VPN este indisponibilă dintr-un motiv oarecare.
  • Chiar dacă utilizatorul lucrează printr-un VPN, dar conexiunea este fie foarte lentă, fie întrerupe constant, este mai ușor să lucrezi cu o copie offline și să sincronizezi modificările decât să încerci să faci ceva pe server.
  • Utilizatorul poate alege ce și când să sincronizeze, dacă are ocazia.

Acceptă următoarele valori:
  • niciunul – fișierele nu sunt disponibile offline; accesul la fișiere necesită acces la server
  • manual – utilizatorii înșiși aleg fișierele care vor fi disponibile offline
  • programe – totul din folder este disponibil offline (documente și programe (fișiere cu extensia *.exe, *.dll))
  • documente – documentele sunt disponibile, programul nu este disponibil
  • branchcache – memorarea în cache are loc pe serverele BranchCache în loc de computerul local al utilizatorului, utilizatorii selectează ei înșiși fișierele offline
-noaccess, -readaccess, -changeaccess, -fullaccess partajare permisiuni.

Aceste permise au un mare avantaj - sunt foarte simple.

Noaccess secretar,steward – secretarul și îngrijitorul nu au ce face în folderele partajate ale departamentului de contabilitate
-auditor readaccess – auditorul care verifică activitatea departamentului de contabilitate poate vedea numele fișierelor și subdosarelor din folderul partajat, poate deschide fișiere pentru citire și poate rula programe.
-changeaccess accountant – contabilii din folderul lor partajat pot crea fișiere și subfoldere, pot modifica fișierele existente, pot șterge fișiere și subfoldere
-fullaccess admin – fullaccess este readaccess+changeaccess plus posibilitatea de a schimba permisiunile.

Când creați un folder partajat, se aplică automat cea mai restrictivă regulă - grupului Toată lumea primește permisiunea de citire.

Aceste permisiuni se aplică numai utilizatorilor care au acces la folderul partajat prin rețea. Când se conectează local, de exemplu în cazul unui server terminal, atât secretara, cât și managerul de aprovizionare vor vedea tot ce își doresc în departamentul de contabilitate. Acest lucru este rezolvat de permisiunile NTFS. Permisiunile SMB se aplică tuturor fișierelor și folderelor din partajare. Mai multă reglare fină a drepturilor de acces este, de asemenea, efectuată folosind permisiunile NTFS.

Concurrentuserlimit Folosind acest parametru, puteți limita numărul maxim de conexiuni la folderul partajat. În principiu, poate fi folosit și pentru a restricționa accesul la un folder, suplimentând permisiunile NTFS, dar trebuie doar să fii sigur de numărul necesar de conexiuni.

Descriere O descriere a resursei partajate care este vizibilă în mediul de rețea. Descrierea este un lucru foarte bun pe care mulți oameni îl neglijează.

Criptare criptare a datelor

În SMB înainte de versiunea 3.0, singura modalitate de a proteja traficul de la serverul de fișiere către client era un VPN. Modul de implementare depinde în întregime de preferințele administratorului de sistem: SSL, PPTP, tuneluri IPSEC sau altceva. În Server 2012, criptarea funcționează imediat, într-o rețea locală obișnuită sau în rețele nede încredere, fără a necesita soluții speciale de infrastructură. Poate fi activat pentru întregul server sau pentru foldere partajate individuale. Algoritmul de criptare din SMB 3.0 este AES-CCM, algoritmul de hashing a înlocuit HMAC-SHA256 cu AES-CMAC. Vestea bună este că SMB 3.0 acceptă AES hardware (AES-NI), vestea proastă este că Rusia nu acceptă AES-NI.

Care sunt riscurile activării criptării? Pentru că numai clienții care acceptă SMB 3.0, adică Windows 8, vor putea lucra cu foldere partajate criptate. Motivul, din nou, este restricția maximă permisă a drepturilor de utilizator. Se presupune că administratorul știe ce face și, dacă este necesar, va da acces clienților cu o altă versiune de SMB. Dar, deoarece SMB 3.0 utilizează noi algoritmi de criptare și hashing, traficul de la clienții cu o versiune diferită de SMB nu va fi criptat, este nevoie de un VPN. Comanda set-smbserverconfiguration –rejectunencryptedaccess $false vă va ajuta să permiteți tuturor clienților să se conecteze la un server de fișiere cu criptarea activată.
În configurația implicită (traficul necriptat către folderele partajate criptate este interzis), dacă încercăm să accesăm un folder client cu o versiune SMB mai mică decât 3.0 pe client, vom primi o „Eroare de acces”. Pe server, evenimentul 1003 va fi adăugat în jurnalul Microsoft-Windows-SmbServer/Operational, unde puteți găsi adresa IP a clientului care a încercat să obțină acces.

Criptarea SMB și EFS sunt lucruri diferite care nu au nicio legătură între ele, adică poate fi folosită pe volume FAT și ReFS.

Folderenumerationmode Aceasta este o enumerare bazată pe acces. Cu Enumerarea bazată pe acces activată, utilizatorii care nu au acces la folderul partajat pur și simplu nu îl vor vedea pe serverul de fișiere și vor exista mai puține întrebări despre motivul pentru care nu am acces la acesta sau acel folder. Utilizatorul își vede folderele accesibile și nu încearcă să se amestece în treburile altora. Valoarea implicită este dezactivată.

  • accessbased – activare
  • nerestricționat - opriți
-temporary Acest comutator creează un folder partajat temporar, accesul la care va fi încheiat după repornirea serverului. În mod implicit, sunt create dosare permanente partajate.

Permisiuni NTFS

Folosind permisiunile NTFS, putem diferenția drepturile într-un folder mai detaliat. Putem interzice unui anumit grup să schimbe un anumit fișier, lăsând posibilitatea de a edita întregul fișier principal; în același folder, un grup de utilizatori poate avea drepturi de editare asupra unui fișier și nu va putea vizualiza alte fișiere editate de alt grup de utilizatori și invers. Pe scurt, permisiunile NTFS ne permit să creăm un sistem de acces foarte flexibil, principalul lucru este să nu ne confundam în el mai târziu. În plus, permisiunile NTFS funcționează atât atunci când accesați un folder printr-o rețea, completând permisiunile de acces public, cât și atunci când accesați fișiere și foldere local.

Există șase permisiuni de bază, care sunt o combinație de 14 permisiuni avansate.

Permisiuni de bază
Control total– acces complet la un folder sau fișier, cu posibilitatea de a schimba drepturile de acces și regulile de audit pentru foldere și fișiere

Modifica– dreptul de a citi, modifica, vizualiza conținutul unui folder, șterge foldere/fișiere și rula fișiere executabile. Include citire și execuție, scriere și ștergere.

Citiți și executați (readanexecute)– dreptul de a deschide foldere și fișiere pentru citire, fără capacitatea de a scrie. De asemenea, este posibil să rulați fișiere executabile.

Lista conținutului folderului (listdirectory)– dreptul de a vizualiza conținutul folderului

Citit– dreptul de a deschide foldere și fișiere pentru citire, fără capacitatea de a scrie. Include conținutul folderului/date de citire, atribute de citire, atribute extinse de citire și permisiuni de citire

Scrie– dreptul de a crea foldere și fișiere, de a modifica fișiere. Include crearea de fișiere / scrierea datelor (writedata), crearea de foldere / adăugarea datelor (appenddata), scrierea atributelor (writeattributes) și scrierea atributelor extinse

Permisiuni suplimentare
Am setat doar 1 din 14 permisiuni pentru un folder și am văzut ce s-a întâmplat. În lumea reală, în majoritatea cazurilor, permisiunile de bază sunt suficiente, dar m-a interesat comportamentul folderelor și fișierelor cu cele mai reduse drepturi.

Parcursul folderului/execuția fișierului (traversare)– dreptul de a rula și de a citi fișiere, indiferent de drepturile de acces la foldere. Utilizatorul nu va avea acces la folder (ceea ce se află în folder va rămâne un mister), dar fișierele din folder vor fi disponibile printr-o legătură directă (cală completă, relativă sau UNC). Puteți pune în folderul Traverse foldere, iar pe fișier orice alte permisiuni de care utilizatorul are nevoie pentru a funcționa. Utilizatorul nu va putea crea și șterge fișiere din folder.

Atribute de citire– dreptul de a vizualiza atributele de fișier ale unui folder sau fișier.
Nu puteți vizualiza conținutul unui folder sau fișiere sau nu puteți modifica niciun atribut.

Citirea atributelor suplimentare (readextendedattributes)– dreptul de a vizualiza atribute suplimentare ale unui folder sau fișier.

Singurul lucru pe care l-am putut găsi despre atributele suplimentare este că sunt folosite pentru a oferi compatibilitate cu aplicațiile OS/2. (Interne Windows, Partea 2: Acoperă Windows Server 2008 R2 și Windows 7). Nu știu nimic altceva despre ei.

Crearea fișierelor / scrierea datelor (writedata)– oferă utilizatorului posibilitatea de a crea fișiere într-un folder la care nu are acces. Puteți copia fișiere într-un folder și puteți crea fișiere noi în folder. Nu puteți vizualiza conținutul unui folder, nu puteți crea dosare noi sau nu puteți modifica fișierele existente. Utilizatorul nu va putea schimba niciun fișier, chiar dacă este proprietarul acestui fișier - doar creați-l.

Crearea folderelor / adăugarea de date (apenddata)– oferă utilizatorului posibilitatea de a crea subfoldere într-un folder și de a adăuga date la sfârșitul fișierului fără a modifica conținutul existent.

Examinare

Totul este clar despre crearea subfolderelor: ni c:\testperms\testappend –directorul itemtype va funcționa conform așteptărilor – va crea un subfolder testappend în folderul testperms, care este inaccesibil utilizatorului. Să încercăm să adăugăm o linie la sfârșitul fișierului - să simulăm un fel de înregistrare. newevent >> c:\testperms\user.log Acces refuzat.
Hmm... Nu merge în CMD. Și dacă da. ac c:\testperms\user.log newevent ac: Acces refuzat la calea „C:\testperms\user.log”.
Dar banda transportoare? „noul eveniment” | out-file c:\testperms\user.log -append out-file: Acces interzis la calea „C:\testperms\user.log”.
Și nu funcționează așa.

Să începem o sesiune de magie neagră: folosiți clasa File, metoda AppendText. Obținem obiectul jurnal.
$log = ::appendtext("c:\testperms\user.log") Excepție la apelarea "AppendText" cu argumente "1": "Permisiunea refuzată la calea 'c:\testperms\user.log'."
Cred că AppendAllText nu mai merită încercat
$log = ::appendalltext("c:\testperms\user.log","newevent") Excepție la apelarea "AppendAllText" cu argumente "2": "Permisiunea refuzată la calea 'c:\testperms\user.log'" "
Ideea este, în principiu, clară. Numai metodele de mai sus nu au dreptul de a adăuga date într-un fișier; trebuie să scrie într-un fișier. Dar, în același timp, vom oferi posibilitatea de a schimba fișierul și nu doar de a adăuga înregistrări, adică vom deschide posibilitatea potențială de a distruge întregul conținut al fișierului.

Trebuie să reconsiderăm conceptul: să nu primim un obiect jurnal, ci să creăm unul nou în care vom seta toți parametrii care ne interesează. Avem nevoie de ceva în care să putem specifica în mod explicit drepturile de acces. Avem nevoie de FileStream și, mai precis, FileStream Constructor (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions) ne va ajuta. Sunt necesari următorii parametri:

  • Calea către fișier este clară
  • Cum se deschide un fișier - deschideți fișierul și găsiți sfârșitul fișierului
  • Drepturi de acces la fișiere - adăugarea datelor
  • Acces pentru alte obiecte FileStream - nu este necesar
  • Dimensiunea tamponului – implicit 8 octeți
  • Opțiuni suplimentare - nr
Se dovedește ceva de genul:
$log = obiect nou io.filestream("c:\testperms\user.log",::append,::appenddata,::none,8,::none)
Lucrări! Am creat un obiect jurnal, hai să încercăm să scriem ceva acolo. Metoda FileStream.Write acceptă valorile primite în octeți. Convertim evenimentul pe care dorim să-l înregistrăm în octeți - clasa Encoding, metoda GetEncoding (nu avem nevoie de farfurie la ieșire) și GetBytes (de fapt, conversie)
$event = "A avut loc un nou eveniment." $eventbytes = ::getencoding("windows-1251").getbytes($event)
Parametri FileStream.Write:
Ce sa scriu; de unde să începi să scrii; numărul de octeți de scris
Scriem:
$log.write($eventbytes,0,$eventbytes.count)
Sa verificam.
gc c:\testperms\user.log gc: Acces refuzat la calea „C:\testperms\user.log”.
Totul este în regulă, utilizatorul nu are drepturi de a vizualiza ceea ce a fost scris. Conectați-vă ca administrator.
gc c:\testperms\user.log A avut loc un nou eveniment.
Totul merge.

Dosarul în care se află fișierul, pe lângă permisiunea Creare foldere / adăugare date, trebuie să aibă și permisiunea Conținut dosar / Citire date. Fișierul este suficient doar pentru a crea foldere/a adăuga date cu moștenirea dezactivată. Nu se va putea proteja complet utilizatorul (și utilizatorul poate fi și un atacator) de fișierele în care ar trebui să scrie ceva, dar pe de altă parte, în afară de lista de fișiere din folder, utilizatorul nu va vezi nimic și nu vei putea face nimic.

Concluzia este simplă: nu veți putea implementa înregistrarea securizată a nimic din fișierele batch; PowerShell vă scutește de capacitatea de a lucra cu obiecte .NET.


Scrieți atribute– permite utilizatorului să modifice atributele unui fișier sau folder. Totul pare simplu. Dar doar pentru a răspunde la întrebare: „Fotografiile cu pisicile mele ocupă aproape tot spațiul de pe profilul meu și nu mai am loc pentru corespondența de afaceri. Aș dori să comprim folderul cu pisici, dar îmi cer drepturi de administrator. Ai spus că am dreptul să schimb atributele folderului. Este acesta un atribut? De ce nu o pot schimba?

Da, un utilizator cu permisiune de scriere pentru atribute poate modifica aproape toate atributele vizibile ale fișierelor și folderelor, cu excepția atributelor de compresie și criptare. Din punct de vedere tehnic, utilizatorului i se acordă dreptul de a executa funcția SetFileAttributes. Și comprimarea fișierelor este realizată de funcția DeviceIOControl, căreia trebuie să îi treceți parametrul FSCTL_SET_COMPRESSION, iar compresia fișierelor este departe de singura sa sarcină. Cu această funcție putem gestiona toate dispozitivele și resursele acestora din sistem și probabil acordarea acestui drept utilizatorului de a îndeplini această funcție înseamnă a-l face administrator.

Cu criptarea, povestea este similară: funcția EncryptFile, care este responsabilă de criptare, cere ca utilizatorul să aibă drepturi Conținutul Folder / Citire date, Creare fișiere / Scriere date, Citire atribute, Scriere atribute și Sincronizare pe un obiect. Nimic nu va funcționa fără ele.

Scrieți atribute extinse. Ei bine, acestea sunt cele care sunt folosite pentru compatibilitatea cu aplicațiile OS/2, da. Ei bine, troienii (ZeroAccess.C) au început recent să fie adăugați la atributele extinse ale fișierului C:\Windows\system32\services.exe. Poate că merită să le dezactivați la cel mai înalt nivel? Nu pot să răspund la această întrebare; teoretic, poate că merită; practic în producție, nu am încercat.

Ștergerea subdosarelor și fișierelor. (ștergeți subdirectoare și fișiere) O permisiune interesantă care se aplică doar folderelor. Ideea este de a permite utilizatorului să șteargă subfolderele și fișierele din folderul părinte fără a acorda permisiunea de ștergere.

Să presupunem că există un catalog de produse în care utilizatorii introduc date. Există un folder părinte Catalog, în interior sunt subfolderele în ordine alfabetică, de la A la Z, cu câteva nume în interiorul lor. Numele se schimbă în fiecare zi, se adaugă ceva, ceva se schimbă, ceva devine depășit și informațiile învechite trebuie șterse. Dar nu va fi foarte bine dacă cineva, din ignoranță sau intenție rău intenționată, distruge întregul director K, ceea ce este foarte posibil dacă utilizatorii au dreptul de ștergere. Dacă luați dreptul de ștergere de la utilizatori, atunci administratorul își poate schimba locul de muncă în siguranță, deoarece va îndeplini cererile de ștergere a unui sau acela nume toată ziua.

Aici intervine Ștergerea subdosarelor și fișierelor. Moștenirea este dezactivată pentru toate literele alfabetului și dreptul de ștergere a subdosarelor și fișierelor este adăugat utilizatorilor. Drept urmare, utilizatorii nu vor putea șterge o singură literă din folderul catalog, dar pot șterge orice din interiorul literelor.

Șterge. Totul este simplu aici. Îndepărtarea este îndepărtarea. Nu funcționează fără permisiunea de citire.

Permisiuni de citire Oferă utilizatorului dreptul de a vedea permisiunile pentru un folder sau fișier. Fără permisiune - utilizatorul nu vede permisiunile în fila Securitate

Schimbați permisiunile– permite utilizatorului să schimbe permisiunile, făcându-l în esență administrator al folderului. Poate fi folosit, de exemplu, pentru a delega autoritatea suportului tehnic. Fără dreptul de a citi permisiunile nu are sens. Modificarea permisiunilor nu implică schimbarea proprietarului folderului.

Schimbarea proprietarului (proprietatea)– pentru început, cine este proprietarul. Proprietarul este utilizatorul care a creat fișierul sau folderul.

Particularitatea proprietarului este că are acces deplin la folderul creat, poate acorda permisiuni folderului său creat, dar, mai important, nimeni nu-l poate priva pe proprietar de dreptul de a schimba permisiunile pentru folderul sau fișierul său. Dacă Vasya a creat un folder, i-a dat lui Petya acces complet, iar Petya a intrat și a refuzat accesul utilizatorului la folder în general și Vasya în special, atunci Vasya poate restabili cu ușurință status quo-ul, deoarece el este proprietarul folderului. Petya nu va putea schimba proprietarul folderului, chiar dacă are permisiunea Schimba proprietar. Mai mult, chiar și Vasya nu poate schimba proprietarul, în ciuda faptului că el a creat folderul. Dreptul Schimbați proprietar se aplică numai grupului Administratori sau Administratori de domeniu.

Dar dacă Petya a creat un fișier în dosarul lui Vasya și nu i-a dat lui Vasya acces la el, atunci Vasya nu poate decât să se gândească și să se întrebe ce este atât de secret în acest fișier. Vasya nu va putea modifica drepturile de acces la fișier, deoarece proprietarul fișierului este Petya. De asemenea, Vasya nu va putea schimba proprietarul fișierului - schimbarea proprietarului subcontainerelor și obiectelor este, de asemenea, un privilegiu al grupului Administratori, căruia Vasya nu aparține. Singura opțiune rămasă pentru Vasya este să se uite la fișierul lui Petya în dosarul său.

Ne descurcăm

CMD folosește binecunoscutele icacls pentru a gestiona permisiunile. În PowerShell, gestionarea permisiunilor NTFS arată cam așa:

Obțineți obiectul pentru care vom seta permisiunile
$acl = get-acl c:\testperms
Construiți un șir cu drepturi folosind clasa System.Security.AccessControl.FileSystemAccessRule. Putem seta următorii parametri:

  • grup/nume de utilizator – pentru care facem ACL
  • rezoluție – ACE (acceptă valorile specificate în post)
  • se aplică pentru – în GUI, aceasta este o listă derulantă în opțiunile avansate de securitate. De fapt, este nevoie de doar 3 valori: none (doar pentru acest folder), containerinherit (se aplică tuturor subdosarelor), objectinherit (se aplică tuturor fișierelor). Valorile pot fi combinate.
  • aplicați aceste permisiuni la obiecte și containere numai în interiorul acestui container (caseta de selectare în GUI) - de asemenea, 3 valori: none (caseta de selectare este debifată), inheritonly (ACE se aplică numai tipului de obiect selectat), nopropagateinherit (aplicați permisiunile numai în interiorul acestui container ).
  • regulă – permite (permite) sau refuză (nega)
Linia implicită de permisiuni va arăta astfel:
$permission = „contoso.com\admin”,”fullcontrol”,”containerinherit,objectinherit”,”none”,”permite”
Faceți un nou ACE cu permisiunile definite mai sus
$ace = nou-obiect security.accesscontrol.filesystemaccessrule $permission
Și aplicați ACE nou creat la obiect
$acl.setaccessrule($as) $acl | set-acl c:\testperms

Să o punem în practică

Înarmat cu cunoștințe despre permisiunile SMB și NTFS, combinându-le, puteți crea reguli de acces de absolut orice complexitate. Câteva exemple:
Tip Permisiuni SMB Permisiuni NTFS
Dosar pentru toată lumea (public) Utilizatori - Citire/Scriere Utilizatori - Modificare
Cutie neagră. Utilizatorii trimit rapoarte confidențiale, sugestii, calomnii - conducerea le citește. Utilizatori - Citire/Scriere
Manual - Citire/Scriere		 Utilizatori - Entry, se aplică numai acestui folder. Se presupune că scrierea unui fișier în acest folder este un bilet unidirecțional, deoarece nu există o modalitate convenabilă de a edita fișierele salvate în acest folder fără Vizualizați conținutul unui folder (apropo, nu există o modalitate ușor de utilizat. pentru a scrie într-un astfel de folder fie). Și vizionarea încalcă confidențialitatea.

Leadership - Schimbare.
Aplicații Utilizatori - Citire Utilizatori – Citiți, citiți și executați, vizualizați conținutul folderului.

Desigur, unele aplicații pot necesita drepturi suplimentare pentru a funcționa. Dar, în cazul general, de exemplu, stocarea utilităților de diagnosticare a sistemului (aceeași SysInternals Suite) este suficientă.

Profilurile utilizatorilor Fiecare utilizator – Citește/scrie în folderul său Fiecare utilizator – Schimbați în folderul său.

Permisiunile în Windows sunt un lucru controversat. Pe de o parte, rezoluțiile de bază sunt destul de simple și acoperă 90% din cazuri. Dar când începe să fie necesară o reglare mai fină: diferite grupuri de utilizatori, un folder, cerințe de securitate pentru folderele partajate, atunci poate fi destul de dificil să se ocupe de permisiuni suplimentare, moștenire și proprietari.

Sper că nu am mai încurcat pe nimeni.

Calculatoarele care rulează sisteme de operare Windows pot funcționa cu diferite sisteme de fișiere, cum ar fi FAT32 și NTFS. Fără a intra în asemănări, putem spune un lucru că diferă în principal - sistemul de fișiere NTFS vă permite să configurați setările de securitate pentru fiecare fișier sau folder (director). Acestea. Pentru fiecare fișier sau folder, sistemul de fișiere NTFS stochează așa-numitele ACL (liste de control al accesului), care listează toți utilizatorii și grupurile care au drepturi de acces specifice la un anumit fișier sau folder. Sistemul de fișiere FAT32 nu are această capacitate.

În sistemul de fișiere NTFS, fiecare fișier sau folder poate avea următoarele drepturi de securitate:

  • Citind— Permite răsfoirea în foldere și vizualizarea unei liste de fișiere și subdosare, vizualizarea și accesarea conținutului fișierelor;
  • Record— Permite adăugarea de fișiere și subdosare, scrierea datelor într-un fișier;
  • Citiți și executați— Permite parcurgerea folderelor și vizualizarea unei liste de fișiere și subfoldere, permite vizualizarea și accesul la conținutul unui fișier, precum și lansarea unui fișier executabil;
  • Lista conținutului folderului— Permite parcurgerea dosarelor și vizualizarea numai a listei de fișiere și subdosare. Această permisiune nu oferă acces la conținutul fișierului!;
  • Schimbare— Permite vizualizarea conținutului și crearea de fișiere și subdosare, ștergerea unui folder, citirea și scrierea datelor într-un fișier, ștergerea unui fișier;
  • Acces complet- Permite vizualizarea conținutului, precum și crearea, modificarea și ștergerea fișierelor și subdosarelor, citirea și scrierea datelor și modificarea și ștergerea unui fișier

Drepturile enumerate mai sus sunt de bază. Drepturile de bază constau în drepturi speciale. Drepturile specifice sunt drepturi mai detaliate din care se formează drepturile de bază. Utilizarea drepturilor speciale vă oferă multă flexibilitate atunci când setați drepturile de acces.

Lista drepturilor speciale de acces la fișiere și foldere:

  • Răsfoiți foldere/Executați fișiere— Permite navigarea prin structura de foldere în căutarea altor fișiere sau foldere, execuție de fișiere;
  • Conținutul folderului/Citirea datelor— Permite vizualizarea numelor fișierelor sau subdosarelor conținute într-un folder, citirea datelor dintr-un fișier;
  • Atribute de citire— Permite vizualizarea atributelor de fișiere sau foldere, cum ar fi „Numai citire” și „Ascuns”;
  • Citirea atributelor suplimentare— Permite vizualizarea atributelor suplimentare ale unui fișier sau folder;
  • Crearea fișierelor/Scrierea datelor— Permite crearea de fișiere într-un folder (se aplică numai folderelor), efectuarea de modificări la un fișier și scrierea peste conținutul existent (se aplică numai fișierelor);
  • Crearea folderelor / Adăugarea datelor— Permite crearea de foldere în cadrul unui folder (se aplică doar folderelor), adăugând date la sfârșitul fișierului, dar fără modificarea, ștergerea sau înlocuirea datelor existente (aplicabil doar fișierelor);
  • Atribute de înregistrare— Permite sau interzice modificarea atributelor fișierului sau folderului, cum ar fi „Numai citire” și „Ascuns”;
  • Scrierea atributelor suplimentare— Permite sau interzice modificarea atributelor suplimentare ale unui fișier sau folder;
  • Ștergerea subdosarelor și fișierelor— Permite ștergerea subdosarelor și fișierelor chiar dacă nu există permisiunea „Ștergere” (se aplică numai folderelor);
  • Îndepărtarea— Permite ștergerea unui fișier sau folder. Dacă un fișier sau un folder nu are permisiunea de ștergere, obiectul poate fi șters dacă folderul părinte are permisiunea de ștergere a subdosarelor și fișierelor;
  • Permisiuni de citire- Permite permisiuni de citire pe un fișier sau folder, cum ar fi „Control total”, „Citire” și „Scrie”;
  • Modificarea permisiunilor— Vă permite să schimbați permisiunile pentru accesul la un fișier sau folder, cum ar fi „Control total”, „Citire” și „Scrie”;
  • Schimbarea proprietarului— Vă permite să preluați proprietatea asupra unui fișier sau folder;
  • Sincronizare- Permite diferite fire să aștepte pe fișiere sau foldere și să le sincronizeze cu alte fire care le pot ocupa. Această permisiune se aplică numai programelor care rulează în modul cu mai multe fire cu procese multiple;

!!!Toate drepturile de bază și speciale sunt atât permisive, cât și prohibitive.

Toate permisiunile pentru fișiere și foldere sunt împărțite în două tipuri: explicite și moștenite. Mecanismul de moștenire implică transferul automat a ceva de la un obiect părinte la un obiect copil. Într-un sistem de fișiere, aceasta înseamnă că orice fișier sau folder își poate moșteni drepturile din folderul părinte. Acesta este un mecanism foarte convenabil care elimină necesitatea de a atribui drepturi explicite tuturor fișierelor și folderelor nou create. Imaginați-vă că aveți câteva mii de fișiere și foldere pe un disc, cum puteți să distribuiți drepturi de acces tuturor, să vă așezați și să le atribuiți fiecăruia? Nu. Mecanismul moștenirii lucrează aici. Am creat un folder în rădăcina discului, folderul a primit automat exact aceleași drepturi ca și rădăcina discului. S-au schimbat permisiunile pentru folderul nou creat. Apoi, în interiorul folderului creat, au creat un alt subfolder. Acest subdosar nou creat va avea drepturi moștenite din folderul părinte etc. și așa mai departe.

Rezultatul aplicării drepturilor explicite și moștenite vor fi drepturile reale asupra unui anumit folder sau fișier. Există o mulțime de capcane. De exemplu, aveți un folder în care permiteți utilizatorului „Vasya” să ștergă fișiere. Apoi vă amintiți că în acest folder există un fișier foarte important pe care Vasya nu ar trebui să-l ștergă în niciun caz. Ați setat o interdicție explicită pentru un fișier important (drept special de interdicție "Șterge"). S-ar părea că treaba este gata, fișierul este clar protejat de ștergere. Și Vasya intră calm în folder și șterge acest fișier super-protejat. De ce? Pentru că Vasya are drepturi de ștergere din folderul părinte, care în acest caz au prioritate.

Încercați să nu utilizați atribuirea de drepturi direct fișierelor; atribuiți drepturi folderelor.

!!! Încercați să atribuiți drepturi doar grupurilor, acest lucru simplifică foarte mult administrarea. Atribuirea drepturilor anumitor utilizatori nu este recomandată de Microsoft. Nu uitați că un grup poate include nu numai utilizatori, ci și alte grupuri.

De exemplu. Dacă computerul este inclus într-un domeniu, atunci grupul „Utilizatori de domeniu” este adăugat automat la grupul său local de „Utilizatori”, iar grupul „Administratori de domeniu” este adăugat automat la grupul de „Administratori” local și, în consecință, se atribuie orice drepturi de folder unui grup de utilizatori locali, atribuiți automat drepturi tuturor utilizatorilor de domeniu.

Nu vă descurajați dacă tot ceea ce este descris mai sus nu este imediat clar. Exemplele și munca independentă vor corecta rapid situația!

Să trecem la detalii.

Voi arăta toate exemplele folosind Windows XP ca exemplu. În Windows 7 și mai sus, esența a rămas identică, doar că erau puțin mai multe ferestre.

Deci, pentru a atribui sau modifica drepturile unui fișier sau folder, trebuie să faceți clic dreapta pe fișierul sau folderul dorit în Explorer și să selectați elementul de meniu „Proprietăți”

Ar trebui să se deschidă o fereastră cu un marcaj. "Siguranță"

Dacă nu există un astfel de marcaj, atunci procedați în felul următor. Lansați Explorer, apoi deschideți meniul "Serviciu"„Proprietăți dosar…”

În fereastra care se deschide, accesați fila „Vizualizare” și debifați opțiunea „Utilizați partajarea simplă a fișierelor (recomandat)”

Asta este, acum toate proprietățile sistemului de fișiere NTFS sunt disponibile pentru tine.

Revenind la marcaj "Siguranță".

În fereastra care se deschide, avem la dispoziție o mulțime de informații. Există o listă în partea de sus „Grupuri și utilizatori:”, care listează toți utilizatorii și grupurile care au drepturi de acces la acest folder (săgeata 1). Lista de jos arată permisiunile pentru utilizatorul/grupul selectat (săgeata 2). În acest caz este utilizatorul SISTEM. Această listă de permisiuni arată permisiunile de bază. Vă rugăm să rețineți că în coloană "Permite" bifele sunt decolorate și nu pot fi editate. Aceasta indică faptul că aceste drepturi sunt moștenite din folderul părinte. Încă o dată, în acest caz, toate drepturile utilizatorului SYSTEM asupra folderului "Lucru" sunt complet moștenite din folderul părinte, iar utilizatorul SYSTEM are toate drepturile ( "Acces complet")

Prin evidențierea grupului sau utilizatorului dorit în listă, putem vizualiza drepturile de bază pentru acest grup sau utilizator. Prin selectarea utilizatorului „Utilizator invitat ( [email protected] puteți vedea că el are toate drepturile explicite

Și aici este grupul „Utilizatori (KAV-VM1\Utilizatori” are drepturi combinate, unele dintre ele sunt moștenite din folderul părinte (pătrate gri vizavi „Citiți și executați”, „Enumeră conținutul folderului”, "Citind"), iar o parte din acesta este stabilită în mod explicit - acesta este dreptul "Schimbare"Și "Record"

!!!Atenţie. Acordați atenție numelor utilizatorilor și grupurilor. Afilierea la grup sau utilizator este indicată între paranteze. Grupurile și utilizatorii pot fi locali, de ex. creat direct pe acest computer sau poate fi domeniu. În acest caz grupul „Administratori” local, deoarece intrarea dintre paranteze indică numele computerului KAV-VM1, iar după bară oblică există numele grupului în sine. Dimpotrivă, utilizatorul „Utilizator invitat” este un utilizator al domeniului btw.by, acest lucru este indicat de înregistrarea numelui complet [email protected]

Adesea, atunci când vizualizați sau schimbați drepturile, vă puteți limita la o fereastră cu drepturi de bază, dar uneori acest lucru nu este suficient. Puteți deschide apoi o fereastră în care puteți modifica anumite permisiuni, puteți schimba proprietarul sau puteți vedea permisiunile curente. Cum să o facă? Faceți clic pe butonul „În plus”. Se deschide această fereastră

În această fereastră din tabel „Elemente de permisiune” Sunt listați toți utilizatorii care au drepturi la acest folder. La fel ca și pentru permisiunile de bază, evidențiem utilizatorul sau grupul dorit și facem clic pe butonul "Schimbare". Se deschide o fereastră care arată toate permisiunile speciale pentru utilizatorul sau grupul selectat

Similar cu permisiunile de bază, permisiunile speciale moștenite dintr-un dosar părinte vor apărea cu gri estompat și nu vor fi editabile.

După cum probabil ați observat deja, există mai multe rânduri în fereastra de permisiuni speciale pentru unii utilizatori sau grupuri.


Acest lucru se întâmplă deoarece un utilizator sau un grup poate avea diferite tipuri de drepturi: explicite și moștenite, permițând sau refuzând, care diferă în tipul de moștenire. În acest caz, drepturile de citire pentru grupul Utilizatori sunt moștenite din folderul părinte, iar drepturile de editare sunt adăugate în mod explicit.

Exemple de atribuire a drepturilor.

!!! Toate exemplele vor progresa cu o complexitate crescândă. Citiți și înțelegeți-le în aceeași ordine în care apar în text. Voi omite acțiuni similare în exemplele ulterioare pentru a reduce volumul textului. 🙂

Exemplul 1: Acordarea accesului numai în citire la un folder unui anumit grup de securitate local.

Mai întâi, să creăm un grup local, care va include întreaga listă de utilizatori de care avem nevoie. Este posibil fără un grup, dar apoi va trebui să configurați drepturile pentru fiecare utilizator separat și de fiecare dată când trebuie să acordați drepturi unei persoane noi, va trebui să faceți din nou toate operațiunile. Și dacă acordați drepturi unui grup local, atunci crearea unei noi persoane va necesita o singură acțiune - inclusiv această persoană în grupul local. Cum să creați un grup de securitate local poate fi găsit în articolul „Configurarea grupurilor de securitate locale”.

Asa de. Am creat un grup local de securitate numit „Colegii de lectură”


la care am adăugat toți utilizatorii necesari.

Acum configurez drepturile de acces la folder. În acest exemplu, voi acorda drepturi de acces grupului creat „Pentru ca colegii să citească” la dosar "Fotografie".

Faceți clic dreapta pe folder "FOTOGRAFIE"și selectați un element de meniu „Proprietăți”, accesați marcaj "Siguranță".

În marcajul deschis "Siguranță" sunt afișate permisiunile curente ale folderului "FOTOGRAFIE". Selectând grupuri și utilizatori din listă, puteți vedea că drepturile acestui folder sunt moștenite din folderul părinte (bifele gri în coloană "Permite"). În această situație, nu vreau ca nimeni altul decât grupul nou creat să aibă acces la folder "FOTOGRAFIE".

Prin urmare, trebuie să elimin moștenirea drepturilor și să elimin utilizatorii și grupurile inutile din listă. Apas butonul „În plus”. În fereastra care se deschide,


Debifez caseta „Moștenire permisiuni aplicabile obiectelor copil de la obiectul părinte, adăugându-le la cele specificate în mod explicit în această fereastră”. . Aceasta va deschide o fereastră în care pot alege ce să fac cu drepturile moștenite curente.

În cele mai multe cazuri, recomand să faceți clic pe butonul de aici "Copie", pentru că dacă alegi "Șterge", atunci lista de drepturi devine goală și chiar îți poți lua drepturile. Da, nu fi surprins, este foarte ușor de făcut. Și dacă nu sunteți un administrator al computerului dvs. sau nu un utilizator de grup „Operatori de arhivă”, atunci vă va fi imposibil să vă restabiliți drepturile. Situația este asemănătoare unei uși cu zăvor automat pe care o închizi în timp ce lași cheile înăuntru. Deci este mai bine să apăsați mereu butonul "Copie", apoi ștergeți ceea ce nu este necesar.

După ce am dat clic "Copie", Revin din nou la fereastra anterioară, doar că de data aceasta cu caseta de selectare debifată.

apăs "BINE"și reveniți la fereastra drepturilor de bază. Toate drepturile au devenit disponibile pentru editare. Trebuie să las permisiuni pentru grupul local „Administratori”și utilizator SISTEMși ștergeți restul. Selectez utilizatorii și grupurile inutile unul câte unul și dau clic pe butonul "Șterge".

Drept urmare, primesc această imagine.

Acum tot ce trebuie să fac este să adaug grupul „Pentru ca colegii să citească”și atribuiți permisiuni de citire acestui grup.

Apas butonul "Adăuga", iar în fereastra de selecție standard selectez grupul local „Pentru ca colegii să citească”. Modul de lucru cu fereastra de selecție este descris în detaliu în articol.

Ca urmare a tuturor acțiunilor, am adăugat grupul „Colegi de lectură” la lista drepturilor de bază, iar drepturile pentru acest grup au fost setate automat „Citiți și executați”, „Enumeră conținutul folderului”, "Citind".

Tot ce trebuie să faci este să apeși butonul "BINE" iar drepturile sunt atribuite. Acum orice utilizator care aparține grupului de securitate local „Lectură pentru colegi” va putea citi întregul conținut al folderului "FOTOGRAFIE".

Exemplul 2: Oferirea utilizatorilor acces personal la subfolderele lor dintr-un folder.

Această situație este obișnuită și în practică. De exemplu, aveți un folder pentru noi documente scanate. În acest folder, fiecare utilizator are propriul său subdosar separat. După scanare, documentul este preluat de utilizator din subdosarul său. Sarcina este de a atribui drepturi astfel încât fiecare utilizator să vadă numai conținutul propriului subfolder și să nu poată accesa subdosarul unui coleg.

Pentru acest exemplu, voi reformula puțin sarcina. Să presupunem că avem un folder partajat "FOTOGRAFIE", în care există un subdosar pentru fiecare utilizator. Este necesar să configurați drepturile astfel încât utilizatorul să aibă toate drepturile în subfolderul său, iar subfolderele altor utilizatori să fie inaccesibile pentru el.

Pentru această configurare, repet complet toți pașii din primul exemplu. Ca urmare a repetiției, primesc drepturi pentru întregul grup „Pentru ca colegii să citească” pentru a citi în toate subdosarele. Dar sarcina mea este să fac doar subfolderul „meu” vizibil pentru utilizator. Prin urmare, în fereastra cu drepturi de bază dau clic pe butonul „În plus”


și mergi la fereastra cu drepturi speciale, în care selectez grupul „Pentru ca colegii să citească”și apăsați butonul "Schimbare"

În fereastra care se deschide, schimb regulile de moștenire, în loc de valoarea din câmp "Aplica:" Eu aleg valoarea „Numai pentru acest folder”.

Acesta este cel mai important punct al acestui exemplu. Sens „Numai pentru acest folder” determină permisiuni de citire pentru grup „Pentru ca colegii să citească” se aplică numai la rădăcina folderului "FOTOGRAFIE", dar nu la subdosare. Astfel, fiecare utilizator va putea ajunge la propriul folder, dar nu va putea căuta în cel alăturat; nu are dreptul de a vizualiza subfolderele. Dacă nu acordați deloc acest drept grupului, atunci utilizatorii nu vor putea intra deloc în subdosarele lor. Sistemul de fișiere nu le va permite nici măcar să intre în folder "FOTOGRAFIE".

Ca rezultat, utilizatorii vor putea accesa folderul "FOTOGRAFIE" dar nu vor putea merge mai departe în subdosare!

În fereastra cu drepturi speciale, faceți clic "BINE"și mergeți la fereastra anterioară, acum în coloană "Aplica pentru" vizavi de grup „Pentru ca colegii să citească” merită valoarea „Numai pentru acest folder”.

Faceți clic în toate ferestrele "BINE"și ieșim.

Toate. Acum nu mai rămâne decât să configurați drepturile personale pentru fiecare subdosar. Acest lucru va trebui făcut pentru fiecare subdosar; drepturile sunt personale pentru fiecare utilizator.

Ați făcut deja toate acțiunile necesare în primul exemplu, să repetăm ​​ceea ce am tratat :)

Într-un subdosar „Utilizator1” Dau clic dreapta pe mouse și selectez elementul de meniu „Proprietăți”, accesați marcaj "Siguranță". Apas butonul "Adăuga"

iar in fereastra de selectie standard selectez un utilizator de domeniu cu numele „Utilizator1”.

Tot ce rămâne este să bifezi caseta pentru dreptul de permisiune "Schimbare". În acest caz, caseta de selectare pentru dreptul de autorizare "Record" se va instala automat.

Clic "BINE". Să mergem afară. Rămâne să repetați pași similari pentru toate subfolderele.

Exemplul 3. Oferirea unui utilizator cu acces personal de scriere la subfolderul său, interzicând simultan modificarea sau ștergerea.

Înțeleg că sună dificil, dar voi încerca să explic. Eu numesc acest tip de acces un zăvor. În viața de zi cu zi, avem o situație similară cu o cutie poștală obișnuită în care aruncăm scrisori de hârtie. Acestea. Poți arunca o scrisoare într-o cutie, dar nu o poți scoate din cutie. În informatică, acest lucru poate fi util într-o situație în care cineva vă scrie un raport într-un folder. Acestea. fișierul este scris de utilizator, dar atunci acest utilizator nu mai poate face nimic cu acest fișier. În acest fel, poți fi sigur că creatorul nu va mai putea modifica sau șterge raportul trimis.

Ca și în exemplul anterior, repetăm ​​toți pașii, cu excepția faptului că nu acordăm imediat utilizatorului drepturi complete asupra folderului său, inițial în permisiunile de bază acordăm doar acces de citire și facem clic pe butonul „În plus”

În fereastra care se deschide, selectați „Utilizator1”și apăsați butonul "Schimbare"

În fereastra care se deschide vedem permisiunile standard de citire

Pentru a oferi utilizatorului dreptul de a crea fișiere, setați permisiunea la dreapta „Crearea fișierelor/scrierea datelor”, iar în dreapta „Ștergerea subdosarelor și fișierelor”Și "Șterge" punem interdicție. Lăsăm moștenirea ca standard „Pentru acest folder, subfolderele și fișierele sale”.

După apăsarea butonului "BINE"și revenind la fereastra anterioară, puteți vedea modificări semnificative. În loc de o singură intrare pentru „Utilizator1” au apărut doi.

Asta pentru că sunt stabilite două tipuri de drepturi, unul interzic, sunt pe primul loc pe listă, celălalt este permisiv, sunt pe locul al doilea pe listă. Deoarece drepturile speciale nu sunt standard, în coloană "Permisiune" merită valoarea "Special". Când butonul este apăsat "BINE" Apare o fereastră la care Windows avertizează că există drepturi de interzicere și că acestea au prioritate mai mare. Tradus, aceasta înseamnă aceeași situație cu o ușă cu autoînchidere, ale cărei chei se află în interior. Am descris o situație similară în al doilea exemplu.

Toate. Drepturile au fost stabilite. Acum „Utilizator1” va putea scrie orice fișier în folderul său, îl va deschide, dar nu îl va putea schimba sau șterge.

Dar cum rămâne cu analogia completă cu o cutie poștală reală?

Pentru a împiedica utilizatorul să deschidă sau să copieze fișierul înregistrat, trebuie să faceți următoarele. Deschidem din nou permițând permisiuni speciale pentru „Utilizator1”, și în câmp "Aplica:" schimbați valoarea în „Numai pentru acest folder”

În acest caz, utilizatorul nu are dreptul de a citi sau copia fișierul.

Toate. Acum analogia cu o cutie poștală fizică este aproape completă. El va putea vedea doar numele fișierelor, dimensiunea acestora, atributele, dar nu va putea vedea fișierul în sine.

Vedeți drepturile curente.

Vreau să spun imediat că abilitatea de a vizualiza drepturile curente pentru un folder sau fișier este o ficțiune completă. În opinia mea, astfel de instrumente ar trebui să ofere informații garantate. Acesta nu este cazul aici. Microsoft însuși admite că acest instrument nu ține cont de mulți factori care afectează drepturile rezultate, cum ar fi condițiile de conectare. Prin urmare, folosirea unui astfel de instrument înseamnă doar să te înșeli cu privire la drepturile reale.

Cazul descris chiar la începutul articolului, cu interdicția de a șterge un fișier dintr-un folder, în acest caz este foarte elocvent. Dacă simulați o situație similară și vă uitați la drepturile unui fișier protejat împotriva ștergerii, veți vedea că permisiunile de ștergere ale fișierului sunt interzise. Cu toate acestea, ștergerea acestui fișier nu este dificilă. De ce a făcut Microsoft asta, nu știu.

Dacă tot decideți să vă uitați la drepturile curente, atunci pentru a face acest lucru trebuie să faceți clic pe butonul din fereastra cu drepturi de bază „În plus”, iar în fereastra cu drepturi speciale accesați fila "Permise valabile".

Apoi trebuie să apăsați butonul "Alege" iar în fereastra de selecție standard selectați utilizatorul sau grupul dorit.

Odată selectat, puteți vedea permisiunile valide „aproximative”.

În concluzie, vreau să spun că subiectul drepturilor sistemului de fișiere NTFS este foarte extins; exemplele de mai sus sunt doar o foarte mică parte din ceea ce se poate face. Prin urmare, dacă aveți întrebări, adresați-le în comentariile acestui articol. Voi încerca să le răspund.

Titlu: Internet
Acțiune