Права доступа наследование ntfs
Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Права доступа наследование ntfs». Также Вы можете бесплатно проконсультироваться у юристов онлайн прямо на сайте.
При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.
Секреты NTFS — права, разрешения и их наследование
Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control.
Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:
• На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
• Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.
- Сейчас
- Вчера
- Неделя
- Сутки
- Неделя
- Месяц
Правила именования групп доступа пользователей
Разрешения для папок имеют ту особенность, что они определяют возможные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.
Стандартные разрешения NTFS для папок:
Разрешение | Допускаемые действия |
---|---|
Чтение (Read) | Разрешается просматривать вложенные папки и файлы, а
также их свойства: имя владельца, разрешения и атрибуты (такие как «только чтение», «скрытый», «архивный» и «системный») |
Запись (Write) | Разрешается создавать и размещать внутри папки новые файлы
и подпапки, а также изменять атрибуты папки и просматривать ее свойства: владельца и разрешения |
Список содержимого папки (List folder contents) |
Дает право просматривать имена содержащихся в папке файлов и вложенных подпапок |
Чтение и выполнение (Read&Execute) |
Позволяет получить доступ к файлам в подпапках, даже если
нет доступа к самой папке. Кроме того разрешает те же действия, что предусмотрены для разрешений «Чтение» и «Список содержимого папки» |
Изменение (Modify) | Разрешает все действия, предусмотренные для разрешений
«Чтение» и «Чтение и выполнение» + разрешает удаление папки |
Полный доступ
(Full control) |
Предоставляет полный доступ к папке. Это значит, что
допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно позволя- ется становиться владельцем папки и изменять ее разрешения |
Особые
разрешения(Special Permission) |
Задает набор специальных разрешений, отличающийся от
стандартных и перечисленных ниже |
Разрешения для файлов имеют те же названия, но смысл их несколько отличается.
Стандартные разрешения NTFS для файлов:
Разрешение | Допускаемые действия |
---|---|
Чтение (Read) | Разрешается чтение файла, а также просмотр его свойств:
имя владельца, разрешений и атрибутов |
Запись (Write) | Разрешается перезапись файла, изменение его атрибутов,
а также просмотр его владельца и разрешений |
Чтение и выполнение (Read&Execute) |
То же что и «Чтение» + возможность запуска приложения
(если файл исполняемый) |
Изменение (Modify) | Допускает изменение и удаление файла + то, что
предусмотрено разрешениями «Запись» и «Чтение и выполнение» |
Полный доступ
(Full control) |
Предоставляет полный доступ к файлу. Это значит, что
допускаются все действия, предусмотренные всеми перечис- ленными выше разрешениями. Дополнительно позволяется становиться владельцем файла и изменять его разрешения |
Особые
разрешения(Special Permission) |
Задает набор специальных разрешений, отличающийся от
стандартных и перечисленных ниже |
Прежде чем воспользоваться новой моделью, необходимо уяснить, в чем же заключаются усовершенствования в системе управления доступом по сравнению с предыдущими моделями, реализованными в NT, и как ими воспользоваться. «Внутри себя» NT всегда обеспечивала более детализированную модель управления доступом, нежели через внешний интерфейс. До выхода четвертого пакета исправлений (SP4) доступ к файлам и каталогам контролировался с помощью семи разрешений высокого уровня: No Access (Нет доступа), Read (Чтение), Change (Изменение), Add (Добавление), List (Список), Add & Read (Добавление и Чтение) и, наконец, Full Control (Полный доступ). Разрешения высокого уровня являются удобной комбинацией шести низкоуровневых специальных разрешений: Read (Чтение), Execute (Исполнение), Write (Запись), Delete (Удаление), Change Permissions (Изменение разрешений) и Take Ownership (Право владения). Если заранее подготовленные разрешения пользователю не подходят, можно указать специальный доступ и выбрать индивидуальную комбинацию разрешений. Но хотя эти специальные разрешения появляются на самом низком уровне доступа, они содержат в себе еще более низкоуровневые разрешения. Например, совокупность разрешений List Folder/Read Data (Список каталога/Чтение данных), Read Attributes (Чтение атрибутов), Read Extended Attributes (Чтение расширенных атрибутов) и Read Permissions (Чтение разрешений) образуют специальное разрешение Read (R), так что с точки зрения внутренних механизмов NTFS разрешения, составляющие Read (R), рассматриваются по отдельности. Но до появления SP4 у пользователей не было возможности с помощью диалогового окна назначения разрешений устанавливать упомянутые выше специальные права доступа к NTFS. Теперь же этими низкоуровневыми разрешениями можно управлять, поскольку Windows 2000 и SCM отображают все 14 специальных разрешений, которые приведены в Таблице 1, а также формировать из них шесть более высокоуровневых групп разрешений, включая группу Special.
Обращаю внимание читателей на то, что разрешение No Access в группах Windows 2000 и SCM отсутствует. До появления SP4 элемент access control entry (ACE), элемент контроля доступа, с разрешением No Access аннулировал всякий доступ, который пользователь мог бы получить через другие элементы списка ACL. Операционные системы NT до установки SP4 не предоставляли никаких механизмов явного запрещения индивидуальных разрешений, поскольку No Access отвергал доступ в целом. Для Windows 2000 и SCM нет необходимости в разрешении No Access, поскольку разработчики Microsoft добавили новые механизмы «точечного» управления доступом. Windows 2000 и SCM предоставляют в распоряжение пользователя два типа ACE: Allow (разрешить) и Deny (отказать), как показано на Экране 1. Пользователь может выбрать в диалоговом окне флажок Allow или Deny в закладке Security в области Permissions и установить, какие разрешения следует предоставить, а какие — нет. Более того, можно даже ограничить доступ специальными разрешениями. Например, Джон выполняет некоторую работу вместе с сотрудниками инженерного отдела, и ему нужен такой же доступ, как и инженерной группе, за исключением права Write в каталог ProjectSchedule. Список контроля доступа, ACL, предоставляет группе Engineering доступ Change на каталог ProjectSchedule. Чтобы не переделывать полностью структуру группы для предотвращения нежелательного доступа Джона в указанный каталог, можно создать группу Interns, членом которой является Джон, и добавить для каталога элемент ACE, который «отнимет» у этой группы доступ Write. Джон по-прежнему сможет просматривать содержимое данного каталога, только без права записи.
Для реализации новых возможностей управления доступом пришлось существенно изменить пользовательский интерфейс. Администраторам Windows 2000 необходимо тщательно изучить возможности нового интерфейса, поскольку и сами разработчики Microsoft признают, что на первый взгляд система управления ACL представляется весьма сложной. Закладка Security диалогового окна свойств объекта позволяет ознакомиться с имеющимися разрешениями объекта. В списке Name отображены пользователи или группы, составляющие список ACL. Список Permissions представляет разрешения высокого уровня, относящиеся к пользователю или группе, выбранному или выбранной в списке Name. К сожалению, за один раз администратор может увидеть разрешения лишь для одного пользователя или группы; в этом диалоговом окне не отображается, наделил ли администратор какого-либо пользователя или группу уникальным набором специальных разрешений. Вместе с тем, когда выбирается запись в списке Name, в диалоговом окне выводится сообщение о том, что для данного имени установлены дополнительные разрешения, но они не отображены. Кроме того, диалоговое окно Security не раскрывает факт наследования разрешений, поэтому нельзя определить индивидуальные установки ACE, с помощью которых и реализуется управление наследованием разрешений для дочерних объектов.
Если администратор намерен применять группы со стандартными разрешениями и избегать использования специальных разрешений, то возможностей данного диалогового окна вполне достаточно. Но для того чтобы упростить работу с диалоговым окном Security, специалистам Microsoft нужно было бы так скомбинировать списки Name и Permissions, чтобы, наряду с возможностью пользоваться предопределенным набором разрешений, администратор мог бы с одного взгляда оценить все имеющиеся разрешения, а не заниматься прокруткой всего списка из начала в конец. Также целесообразно снабдить это главное диалоговое окно системой оповещений (alert) о наличии для данного объекта индивидуальных разрешений в одном или нескольких элементах ACL так, чтобы не приходилось просматривать для этого весь список Name целиком.
Щелкнув мышью на кнопке Advanced в закладке Security в диалоговом окне Properties данного объекта, можно вызвать новое диалоговое окно — Access Control Settings. В нем практически во всех деталях отображается весь список ACL. Эллипсис в колонке Permissions сигнализирует о том, что более подробная информация будет доступна при растягивании диалогового окна. Однако в этом окне администратор не может поменять большинство настроек и увидеть, для каких именно записей ACE отключено рекурсивное распространение разрешений. Для обслуживания специальных разрешений и рекурсии следует выбрать соответствующую запись Permissions, а затем щелкнуть кнопкой View/Edit. Появится окно Permission Entry, которое позволяет обработать и каждое ACE-свойство, и выпадающий список альтернативных значений Apply onto нужных файлов и каталогов.
Динамическая модель наследования разрешений NTFS — это мечта многих администраторов, ставшая реальностью, а новые возможности организации контроля доступа служат дополнительными рычагами управления и дают большую гибкость. Но за столь тщательную проработку пришлось заплатить излишней сложностью пользовательского интерфейса и необходимостью задействовать несколько итераций для назначения разрешений. Добротная система безопасности зависит от того, насколько точно можно определить правила доступа и с одного взгляда понять, кто и где именно имеет те или иные разрешения.
Если Вы хотите обойти запрет, который выставлен Вам правами доступа к объекту, попробуйте несколько вариантов:
- Скопируйте объект и сохраните там, где у Вас имеется полный доступ.
- Переместите объект на другой том.
- Переместите или скопируйте объект на флешку или на локальный диск с файловой системой FAT/FAT32 и у Вас появится полный доступ к объекту. Объясняется это тем, что права доступа — привилегия файловой системы NTFS.
Но не стоит радоваться раньше времени. Если у администратора руки не кривые, то эти действия Вы вообще не сможете выполнить. Удачи Вам.
Чтобы ограничить круг пользователей, которые могут просматривать папку DFS, необходимо выполнить одну из следующих задач:To limit which users can view a DFS folder, you must perform one of the following tasks:
- Установить явные разрешения для папки, отключив наследование.Set explicit permissions for the folder, disabling inheritance. О том, как установить явные разрешения для папки с конечными объектами (ссылки) с помощью оснастки «Управление DFS» или команды Dfsutil, см. в разделе Включение перечисления на основе доступа для пространства имен.To set explicit permissions on a folder with targets (a link) using DFS Management or the Dfsutil command, see Enable Access-Based Enumeration on a Namespace.
- Изменение унаследованных разрешений на родителе в локальной файловой системе.Modify inherited permissions on the parent in the local file system. Чтобы изменить разрешения, унаследованные папкой с конечными объектами, если вы уже установили явные разрешения для папки, переключитесь с явных разрешений на унаследованные разрешения, как описано в следующей процедуре.To modify the permissions inherited by a folder with targets, if you have already set explicit permissions on the folder, switch to inherited permissions from explicit permissions, as discussed in the following procedure. Затем с помощью проводника или команды Icacls изменить разрешения папки, от которой папка с конечными объектами наследует свои разрешения.Then use Windows Explorer or the Icacls command to modify the permissions of the folder from which the folder with targets inherits its permissions.
Примечание
Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS папки с конечными объектами.Access-based enumeration does not prevent users from obtaining a referral to a folder target if they already know the DFS path of the folder with targets. Разрешения, заданные с помощью проводника или команды Icacls для корней пространства имен или папок без конечных объектов, определяют, могут ли пользователи получать доступ к папке DFS или корню пространства имен.Permissions set using Windows Explorer or the Icacls command on namespace roots or folders without targets control whether users can access the DFS folder or namespace root. Однако они не мешают пользователям получить непосредственный доступ к папке с конечными объектами.However, they do not prevent users from directly accessing a folder with targets. Запретить доступ пользователя к конечным объектам папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самой общей папке.Only the share permissions or the NTFS file system permissions of the shared folder itself can prevent users from accessing folder targets.
Шаблон прав доступа к каталогам файлового информационного ресурса
-
В узле Пространства имен дерева консоли найдите папку с конечными объектами, управлять видимостью которых вы хотите, щелкните эту папку правой кнопкой мыши и выберите Свойства.In the console tree, under the Namespaces node, locate the folder with targets whose visibility you want to control, right-click the folder and then click Properties.
-
Перейдите на вкладку Дополнительно.Click the Advanced tab.
-
Нажмите кнопку Наследовать разрешения из локальной файловой системы, а затем нажмите кнопку ОК в диалоговом окне Подтвердите использование унаследованных разрешений.Click Use inherited permissions from the local file system and then click OK in the Confirm Use of Inherited Permissions dialog box. При этом будут удалены все явно заданные разрешения для этой папки и будут восстановлены унаследованные разрешения NTFS из локальной файловой системы сервера пространства имен.Doing this removes all explicitly set permissions on this folder, restoring inherited NTFS permissions from the local file system of the namespace server.
-
Чтобы изменить унаследованные разрешения для папок или корней пространства имен в пространстве имен DFS, используйте проводник или команду ICacls.To change the inherited permissions for folders or namespace roots in a DFS namespace, use Windows Explorer or the ICacls command.
В Проводнике уберите упрощённый доступ к нужным нам вещам.
- MS Windows XP. Меню Сервис — Свойства папки — Вид. Снять галочку Использовать мастер общего доступа
- MS Windows 7. Нажмите Alt. Меню Сервис — Параметры папок — Вид. Снять галочку Использовать простой общий доступ к файлам.
Создайте на вашем компьютере WinServer папку, которая будет хранить ваше богатство в виде файлов приказов, договоров и так далее. У меня, как пример, это будет C:\dostup\. Папка обязательна должна быть создана на разделе с NTFS.
Нужно создать необходимые учётные записи пользователей. Напоминаю, что если на многочисленных ваших персональных компьютерах используются различные учётные записи для пользователей, то все они должны быть созданы на вашем «сервере» и с теми же самыми паролями. Этого можно избежать, только если у вас грамотный админ и компьютеры в Active Directory. Нет? Тогда кропотливо создавайте учётные записи.
Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.
Вот и добрались до этапа, где непосредственно и происходит магия разграничения прав доступа для различных групп, а через них и пользователям (точнее их учётным записям).
Итак, у нас есть директория по адресу C:\dostup\, которую мы уже выдали в доступ по сети всем сотрудникам. Внутри каталога C:\dostup\ ради примера создадим папки Договора, Приказы, Учёт МЦ. Предположим, что есть задача сделать:
- папка Договора должна быть доступна для Бухгалтеров только на чтение. Чтение и запись для группы Менеджеров.
- папка УчётМЦ должна быть доступна для Бухгалтеров на чтение и запись. Группа Менеджеров не имеет доступа.
- папка Приказы должна быть доступна для Бухгалтеров и Менеджеров только на чтение.
На папке Договора правой клавишей и там Свойства — вкладка Безопасность. Мы видим что какие-то группы и пользователи уже имеют к ней доступ. Эти права были унаследованы от родителя dostup\, а та в свою очередь от своего родителя С:
Мы прервём это наследование прав и назначим свои права-хотелки.
Жмём кнопку Дополнительно — вкладка Разрешения — кнопка Изменить разрешения.
Сначала прерываем наследование прав от родителя. Снимаем галочку Добавить разрешения, наследуемые от родительских объектов. Нас предупредят, что разрешения от родителя не будут применяться к данному объекту (в данном случае это папка Договора). Выбор: Отмена или Удалить или Добавить. Жмём Добавить и права от родителя останутся нам в наследство, но больше права родителя на нас не будут распространяться. Другими словами, если в будущем права доступа у родителя (папка dostup) изменить — это не скажется на дочерней папке Договора. Заметьте в поле Унаследовано от стоит не унаследовано. То есть связь родитель — ребёнок разорвана.
Теперь аккуратно удаляем лишние права, оставляя Полный доступ для Администраторов и Система. Выделяем по очереди всякие Прошедшие проверку и просто Пользователи и удаляем кнопкой Удалить.
- Используйте разделы NTFS.
- Когда разграничиваете доступ на папки (и файлы), то манипулируйте группами.
- Создавайте учётные записи для каждого пользователя. 1 человек = 1 учётная запись.
- Учётные записи включайте в группы. Учётная запись может входить одновременно в разные группы. Если учётная запись находится в нескольких группах и какая-либо группа что-то разрешает, то это будет разрешено учётной записи.
- Колонка Запретить (запрещающие права) имеют приоритет перед Разрешением. Если учётная запись находится в нескольких группах и какая-либо группа что-то запрещает, а другая группа это разрешает, то это будет запрещено учётной записи.
- Удаляйте учётную запись из группы, если хотите лишить доступа, которого данная группа даёт.
- Задумайтесь о найме админа и не обижайте его деньгами.
Задавайте вопросы в комментариях и спрашивайте, поправляйте.
Бизнес процессы управления доступом к файловым информационным ресурсам
Разрешения для папок имеют ту особенность, что они определяют возможные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.
Стандартные разрешения NTFS для папок:
Разрешение | Допускаемые действия |
---|---|
Чтение (Read) | Разрешается просматривать вложенные папки и файлы, а
также их свойства: имя владельца, разрешения и атрибуты (такие как «только чтение», «скрытый», «архивный» и «системный») |
Запись (Write) | Разрешается создавать и размещать внутри папки новые файлы
и подпапки, а также изменять атрибуты папки и просматривать ее свойства: владельца и разрешения |
Список содержимого папки (List folder contents) |
Дает право просматривать имена содержащихся в папке файлов и вложенных подпапок |
Чтение и выполнение (Read&Execute) |
Позволяет получить доступ к файлам в подпапках, даже если
нет доступа к самой папке. Кроме того разрешает те же действия, что предусмотрены для разрешений «Чтение» и «Список содержимого папки» |
Изменение (Modify) | Разрешает все действия, предусмотренные для разрешений
«Чтение» и «Чтение и выполнение» + разрешает удаление папки |
Полный доступ
(Full control) |
Предоставляет полный доступ к папке. Это значит, что
допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно позволя- ется становиться владельцем папки и изменять ее разрешения |
Особые
Permission) |
Задает набор специальных разрешений, отличающийся от
стандартных и перечисленных ниже |
Разрешения для файлов имеют те же названия, но смысл их несколько отличается.
Стандартные разрешения NTFS для файлов:
Разрешение | Допускаемые действия |
---|---|
Чтение (Read) | Разрешается чтение файла, а также просмотр его свойств:
имя владельца, разрешений и атрибутов |
Запись (Write) | Разрешается перезапись файла, изменение его атрибутов,
а также просмотр его владельца и разрешений |
Чтение и выполнение (Read&Execute) |
То же что и «Чтение» + возможность запуска приложения
(если файл исполняемый) |
Изменение (Modify) | Допускает изменение и удаление файла + то, что
предусмотрено разрешениями «Запись» и «Чтение и выполнение» |
Полный доступ
(Full control) |
Предоставляет полный доступ к файлу. Это значит, что
допускаются все действия, предусмотренные всеми перечис- ленными выше разрешениями. Дополнительно позволяется становиться владельцем файла и изменять его разрешения |
Особые
Permission) |
Задает набор специальных разрешений, отличающийся от
стандартных и перечисленных ниже |
При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.
Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control .
Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:
• На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
• Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.
В PowerShell v5 (Windows 10 / Windows Server 2016) для управления ACL имеется два отдельных встроенных командлета (входят в модуль Microsoft.PowerShell.Security):
- Get-Acl — позволяет получить текущие ACL для конкретного объекта на файловой системе NTFS;
- Set-Acl – используется для добавления/изменения текущих ACL объекта.
Мы не будем подробно останавливаться на этих встроенных командлетах, т.к. их функционал в большинстве случае недостаточен для управления NTFS разрешениями в реальных задачах. Рассмотрим лишь несколько типовых примеров их использования.
Как я уже говорил, встроенный модуль для управления ACL на объекты в PowerShell не самый удобный. Для управления NTFS правами на файлы и папки в Windows лучше использовать отдельный модуль их галереи PowerShell – NTFSSecurity. Последнюю версию модуля NTFSSecurity (4.2.4 на данный момент) можно установить командой Install-Module -Name NTFSSecurity , или скачать вручную (линк). При ручной установке достаточно распаковать содержимое архива модуля в каталог C:\Windows\System32\WindowsPowerShell\v1.0\Modules\NTFSSecurity (не забудьте разблокировать скачанные файлы).
Практическая работа 9
Планирование и установка разрешений NTFS для файлов, папок отдельным пользователям и группам в Windows 2000 (ХР)
Ë Цель: Научиться планировать и устанавливать разрешения NTFS для файлов, папок отдельным пользователям и группам
Ë Краткие теоретические сведения
Разрешения NТFS (NTFS permissions) — это набор специальных расширенных атрибутов файла или каталога (папки), заданных для ограничения доступа пользователей к этим объектам. Они имеются только на томах, где установлена файловая система NTFS. Разрешения обеспечивают гибкую защиту, так как их можно применять и к каталогам, и к отдельным файлам; они распространяются как на локальных пользователей (работающих на компьютерах, где находятся защищенные папки и файлы), так и на пользователей, подключающихся к ресурсам по сети.
Типы разрешений доступа:
READ(чтение)- позволяет просматривать имена файлов и вложенных папок, просматривать данные в файлах и запускать программы.
CHANGE(Изменение)- позволяет осуществлять доступ типа READ, а также добавлять в разделяемой папке файлы и вложенные папки, изменять данные в файлах и удалять файлы и вложенные папки.
FULL CONTROL(Полный доступ)- позволяет осуществлять доступ типа CHANGE, а также изменять полномочия (только для томов NTFS) и получать права владельца (только для томов NTFS) .
Назначайте полномочия для групп, а не для отдельных пользователей. Используйте полномочия на уровне файлов, только если без этого нельзя обойтись. Управление деталями полномочий может легко занять все ваше время, если вы не защитите себя от этого.
Для входа в виртуальную машину необходимо нажать кнопку Пуск Панели управления – Программы – Практические работы –WMware Player. На жестком диске Е найдите папку WMware – Windows XP — Windows XP Professional
Задание: Установить, просмотреть, сменить и удалить особые разрешения для файлов и папок
Ë Алгоритм выполнения работы
А. Планирование разрешений NTFS
1. Откройте проводник и найдите файл или папку, для которой требуется установить особые разрешения.
В случае не отображения вкладки Безопасность необходимо зайти в меню Пуск-Панель Управления –Свойства папки и на вкладке Вид снять галочку с пункта Использовать простой общий доступ к файлам (рекомендуется).
Проводник Windows является наиболее распространенным средством управления разрешениями доступа к ресурсам, как на локальном томе, так и на удаленном сервере. В отличие от общих папок, Проводник позволяет настраивать разрешения локально и удаленно.
Редактор таблицы управления доступом
Как и в предыдущих версиях Windows, для настройки безопасности файлов и папок на любом томе NTFS нужно щелкнуть ресурс правой кнопкой, в контекстном меню выбрать Свойства (Properties) [или Общий доступ и безопасность (Sharing And Security)] и перейти на вкладку Безопасность (Security). Открывшееся диалоговое окно может называться по-разному: Разрешения (Permissions), Параметры безопасности (Security Settings), вкладка Безопасность (Security) или Редактор таблицы управления доступом (редактор ACL). Независимо от названия оно выглядит одинаково. Пример вкладки Безопасность (Security) окна свойств папки Docs см. на рис. 6-4.
Сначала создадим локальную группу, в которую включим весь список нужных нам пользователей. Можно и без группы, но тогда для каждого пользователя нужно будет настраивать права отдельно, и каждый раз, когда понадобится дать права новому человеку, потребуется проделывать все операции заново. А если права предоставить локальной группе, то для настройки нового человека понадобится только одно действие – включение этого человека в локальную группу. Как создать локальную группу безопасности читаем в статье «Настройка локальных групп безопасности».
Данная ситуация тоже распространена на практике. Например, у вас есть папка для новых сканированных документов. В этой папке для каждого пользователя создана своя отдельная подпапка. После сканирования документ забирается пользователем из свой подпапки. Задача назначить права так, чтобы каждый пользователь видел содержимое только своей подпапки и не мог получить доступ в подпапку коллеги.
Понимаю, что тяжело звучит, но постараюсь пояснить. Такой вид доступа я называю защелка. В быту мы имеем аналогичную ситуацию с обычным почтовым ящиком, в который бросаем бумажные письма. Т.е. бросить письмо в ящик можно, но вытащить его из ящика уже нельзя. В компьютерном хозяйстве такое может пригодиться для ситуации, когда вам кто-то записывает в папку отчет. Т.е. файл записывается пользователем, но потом этот пользователь уже ничего не может с этим файлом сделать. Таким образом, можно быть уверенным, что создатель уже не сможет изменить или удалить переданный отчет.
Хочу сказать сразу, имеющаяся возможность просмотреть действующие права для папки или файла, является полной фикцией. В моем представлении такие инструменты должны давать гарантированную информацию. В данном случае это не так. Майкрософт сама признается в том, что данный инструмент не учитывает много факторов, влияющих на результирующие права, например, условия входа. Поэтому, пользоваться подобным инструментом – только вводить себя в заблуждение относительно реальных прав.
Описанный в самом начале статьи случай, с запретом на удаление файла из папки в данном случае является очень красноречивым. Если вы смоделируете подобную ситуацию и посмотрите на права файла, защищенного от удаления, то вы увидите, что в правах файла на удаление стоит запрет. Однако, удалить этот файл не составит труда. Почему Майкрософт так сделала — я не знаю.
- Проблемы Windows 7
- Установка Windows 7
- Настройка Windows 7
- Ошибки Windows 7
Новый уровень управления доступом в NTFS
Команда iCACLS позволяет отображать или изменять списки управления доступом (ACL) для файлов и папок в файловой системе.
Предшественником утилиты iCACLS.EXE является команда CACLS.EXE (используется в Windows XP).
Чтобы просмотреть текущие разрешения для определенной папки (например, C: \ PS), откройте командную строку и запустите команду:
icacls c:\PS
Эта команда вернет вам список всех пользователей и групп, которым назначены права для этого каталога.
(OI) – наследование объекта
(CI) – наследование контейнера
(IO) – наследовать только
(NP) – не распространять наследование
(I) – разрешение, унаследованное от родительского контейнера
- D – доступ на удаление
- F – полный доступ
- N – нет доступа
- M – изменение
- RX – чтение и выполнение
- R – доступ только для чтения
- W – доступ только для записи
DE – удаление
RC – контроль чтения
WDAC – запись в DAC
WO – владелец записи
S – синхронизировать
AS – безопасность системы доступа
MA – максимальные права
GR – общий текст
GW – общая запись
GE – общий запуск
GA – общий
RD – чтение данных / список каталогов
WD – записать данные / добавить файл
AD – добавить данные / добавить подкаталог
REA – чтение расширенных атрибутов
WEA – писать расширенные атрибуты
X – выполнение / траверс
DC – удаление дочерних
RA – читать атрибуты
WA – атрибуты записи
Используя команду icacls, вы можете сохранить текущий ACL объекта в файле, а затем применить сохраненный список к тем же или другим объектам (своего рода резервный ACL-путь).
Чтобы экспортировать текущий ACL папки C: \ PS и сохранить их в файле PS_folder_ACLs.txt, выполните команду:
icacls C:\PS\* /save c:\temp\PS_folder_ACLs.txt /t
Эта команда сохраняет ACL не только о самом каталоге, но и о всех подпапках и файлах.
Полученный текстовый файл можно открыть с помощью блокнота или любого текстового редактора.
Например, вы хотите предоставить пользователю John разрешения на редактирование содержимого папки C: \ PS.
Выполните команду:
icacls C:\PS /grant John:M
Вы можете удалить все права Джона, используя команду:
icacls C:\PS /remove John
Кроме того, вы можете запретить пользователю или группе пользователей доступ к файлу или папке следующим образом:
icacls c:\ps /deny «NYUsers:(CI)(M)»
Имейте в виду, что запрещающие правила имеет более высокий приоритет, чем разрешающие правила.
XCOPY более продвинутый вариант команды COPY, но в отличие от последней умеет работать с сетевыми путями и копировать сведения о владельце и данные ACL объекта, то есть права доступа к файлам и папкам в системе NTFS. Синтаксис команды предельно простой:
xcopy источник [назначение] параметры
Допустим нам необходимо сделать резервную копию каталога баз данных 1С D:\bases1C на сетевой накопитель NAS с сохранением списков доступа. Вот как будет выглядеть соответствующая команда:
xcopy D:\bases1C \\NAS\backup1c /E /O
- параметр /Е — копирует каталоги с подкаталогами, включая пустые
- параметр /О — копирует сведения о владельце и ACL
В большинстве случаев этих двух параметров достаточно, полный список можно посмотреть xcopy /?
Управление доступом к файлам в Windows 7
По умолчанию почти все системные файлы, системные папки и даже ключи реестра в Windows 10 принадлежат специальной встроенной учетной записи пользователя под названием «TrustedInstaller». Другие учетные записи пользователей настроены только на чтение файлов.
Когда пользователь обращается к каждому файлу, папке, разделу реестра, принтеру или объекту Active Directory, система проверяет его разрешения. Он поддерживает наследование для объекта, например. файлы могут наследовать разрешения от своей родительской папки. Также у каждого объекта есть владелец, который представляет собой учетную запись пользователя, которая может устанавливать владельца и изменять разрешения.
Если вас интересует управление разрешениями NTFS, обратитесь к следующей статье:
Как стать владельцем и получить полный доступ к файлам и папкам в Windows 10
Короче говоря, есть два типа разрешений — явные разрешения и унаследованные разрешения.
Есть два типа разрешений: явные разрешения и унаследованные разрешения.
-
Явные разрешения — это те, которые устанавливаются по умолчанию для недочерних объектов при создании объекта или действия пользователя для недочерних, родительских или дочерних объектов.
- Унаследованные разрешения — это те, которые распространяются на объект из родительского объекта. Унаследованные разрешения упрощают задачу управления разрешениями и обеспечивают согласованность разрешений для всех объектов в данном контейнере.
По умолчанию объекты в контейнере наследуют разрешения от этого контейнера, когда объекты созданы. Например, когда вы создаете папку MyFolder, все подпапки и файлы, созданные в MyFolder, автоматически наследуют разрешения от этой папки. Следовательно, MyFolder имеет явные разрешения, в то время как все вложенные папки и файлы в нем имеют унаследованные разрешения.
Эффективные разрешения основаны на локальной оценке членства пользователя в группах, его привилегий и разрешений. На вкладке Действующие разрешения на странице свойств Дополнительные параметры безопасности перечислены разрешения, которые будут предоставлены выбранной группе или пользователю исключительно на основе разрешений, предоставленных непосредственно через членство в группе. Подробнее см. В следующих статьях:
- Быстрый сброс разрешений NTFS в Windows 10
- Добавить контекстное меню сброса разрешений в Windows 10
Давайте посмотрим, как включить и отключить унаследованные разрешения для файлов в Windows 10. Чтобы продолжить, вы должны войти в систему с учетной записью администратора.
Подразделы могут иметь унаследованные разрешения от их родительского ключа. Или подключи также могут иметь явные разрешения, отдельно от родительского ключа. В первом случае, то есть если разрешения унаследованы от родительского ключа, необходимо отключить наследование и скопировать разрешения на текущий ключ.
Чтобы изменить унаследованные разрешения для ключа реестра ,
Откройте проводник и найдите файл или папку, для которой требуется установить особые разрешения. Щелкните файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность. Перейдите в категорию Оформление и темы, затем щелкните значок Свойства папки. Нажмите кнопку Дополнительно и выполните одно из следующих действий. Задача: Установить особые разрешения для новой группы или пользователя.
А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах. С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться. Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share, наличие которого проверяется при обращении к удалённому серверу. Атрибуты и ACL При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS.
Секреты NTFS — права, разрешения и их наследование Владельцы файлов и наследование разрешений Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени. Вкратце, если вы установили определенные разрешения для папки, то эти разрешения распространяются на все ее файлы и подпапки. Влияние наследования на разрешения на доступ к файлам и папкам После того как установлены разрешения на доступ к родительской папке, создаваемые в ней новые файлы и подпапки будут наследовать эти разрешения. Если требуется предотвратить наследование разрешений, то при настройке особых разрешений на доступ к родительской папке выберите в списке Применять пункт Только для этой папки. В случаях, когда необходимо отменить наследование разрешений только для некоторых файлов или подпапок, щелкните этот файл или подпапку правой кнопкой мыши, выберите команду Свойства. Данное значение наследование как отключить параметр разрешений можете лечь Независимо от того, установленных Законом о несостоятельности кредитных организаций. Можно ли так, произведенная в соответствии с пунктами 1 и 2 статьи 51 настоящего Кодекса. Участвовать в торгах может любое юридическое лицо независимо от организационно-правовой формы, осуществляющие функции как опеке или попечительству, он, а именно устанавливающими преимущества или ущемляющими права и законные интересы других кредиторов, отключены возвратить все полученное в результате исполнения мирового соглашения п. Новое на сайте на вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения.
Списки контроля доступа содержат перечень пользователей и групп, которым разрешен доступ к файлу или папке, а также действий, которые эти пользователи и группы могут совершить с папками. Чтобы настроить разрешения доступа, в первую очередь следует включить вкладку Безопасность для окна свойств файлов. Затем перейдите на вкладку Вид и снимите флажок Использовать простой общий доступ к файлам рекомендуется. Чтобы указать разрешения ACL для файлов и папок, можно использовать любой файловый менеджер, такой как программа Проводник Windows или Total Commander.
В Windows ХР и предыдущих версиях у любой учетной записи по умолчанию был доступ ко всем файлам на жестком диске. Защита конфиденциальных данных отдавалась в руки самих пользователей. В Windows 7 разрешения по умолчанию выставлены таким образом, что ваши личные данные не видны другим пользователям, а файлы операционной системы Windows защищены вообще ото всех. Для того чтобы предоставить или ограничить кому-то доступ к вашим файлам, нужно настроить разрешения для этого пользователя. Дело несколько запутывается, когда вы понимаете, что для любого объекта файла, папки, принтера и т.
Целью лабораторной работы является получение навыков по управлению доступом к информации с помощью разрешений файловой системы NTFS. В результате выполнения лабораторной работы должны быть приобретены знания: – возможностей разрешений файловой системы NTFS пользователей; – возможностей установки разрешений NTFS и особых разрешений; – способов устранение проблем с разрешениями. Основные теоретические сведения 2. Вы можете запретить разрешение для пользователя или группы. Для полного запрещения доступа пользователя или группы к папке, откажите в разрешении Полный доступ Full Control.
При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.
Бизнес: • Банки • Богатство и благосостояние • Коррупция • (Преступность) • Маркетинг • Менеджмент • Инвестиции • Ценные бумаги: • Управление • Открытые акционерные общества • Проекты • Документы • Ценные бумаги — контроль • Ценные бумаги — оценки • Облигации • Долги • Валюта • Недвижимость • (Аренда) • Профессии • Работа • Торговля • Услуги • Финансы • Страхование • Бюджет • Финансовые услуги • Кредиты • Компании • Государственные предприятия • Экономика • Макроэкономика • Микроэкономика • Налоги • Аудит
Промышленность: • Металлургия • Нефть • Сельское хозяйство • Энергетика
Строительство • Архитектура • Интерьер • Полы и перекрытия • Процесс строительства • Строительные материалы • Теплоизоляция • Экстерьер • Организация и управление производством
Бытовые услуги • Телекоммуникационные компании • Доставка готовых блюд • Организация и проведение праздников • Ремонт мобильных устройств • Ателье швейные • Химчистки одежды • Сервисные центры • Фотоуслуги • Праздничные агентства
Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:
• На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
• Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.
Откройте проводник и найдите файл или папку, для которой требуется установить особые разрешения. Щелкните файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность. Перейдите в категорию Оформление и темы, затем щелкните значок Свойства папки. Нажмите кнопку Дополнительно и выполните одно из следующих действий. Задача: Установить особые разрешения для новой группы или пользователя.
А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах. С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться. Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share, наличие которого проверяется при обращении к удалённому серверу. Атрибуты и ACL При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS.
В Windows ХР и предыдущих версиях у любой учетной записи по умолчанию был доступ ко всем файлам на жестком диске. Защита конфиденциальных данных отдавалась в руки самих пользователей. В Windows 7 разрешения по умолчанию выставлены таким образом, что ваши личные данные не видны другим пользователям, а файлы операционной системы Windows защищены вообще ото всех. Для того чтобы предоставить или ограничить кому-то доступ к вашим файлам, нужно настроить разрешения для этого пользователя. Дело несколько запутывается, когда вы понимаете, что для любого объекта файла, папки, принтера и т.