Установка разрешений ntfs и особых разрешений
Тема: Использование приёмов работы с файловой системой NTFS. Назначение разрешений доступа к файлам и папкам.
Время выполнения: 2 часа
Цель: Научиться устанавливать разрешения NTFS для файлов и для папок для отдельных пользователей и групп в операционной системы Windows 7, а также устранять проблемы доступа к ресурсам.
Общие сведения об использовании разрешений NTFS
Разрешения NTFS позволяют явно указать, какие пользователи и группы имеют доступ к файлам и папкам и какие операции с содержимым этих файлов или папок им разрешено выполнять. Разрешения NTFS применимы только к томам, отформатированным с использованием файловой системы NTFS. Они не предусмотрены для томов, использующих файловые системы FAT или FAT32. Система безопасности NTFS эффективна независимо от того, обращается ли пользователь к файлу или папке, размещенным на локальном компьютере или в сети.
Разрешения, устанавливаемые для папок, отличаются от разрешений, устанавливаемых для файлов. Администраторы, владельцы файлов или папок и пользователи с разрешением «Полный доступ» имеют право назначать разрешения NTFS пользователям и группам для управления доступом к этим файлам и папкам. Список управления доступом
В NTFS хранится список управления доступом (access control list —ACL)для каждого файла и папки на томе NTFS. В этом списке перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения. Чтобы пользователь получил доступ к ресурсу, в ACL должна быть запись, называемая элемент списка управления доступом (access control entry — АСЕ) для этого пользователя или группы, к которой он принадлежит. Эта запись назначит запрашиваемый тип доступа (например, Чтение)пользователю. Если в ACL нет соответствующей АСЕ, то пользователь не получит доступ к ресурсу.
Множественные разрешения NTFS
Вы можете установить несколько разрешений пользователю и всем группам, членом которых он является. Для этого вы должны иметь представление о правилах и приоритетах, по которым в NTFS назначаются и объединяются множественные разрешения и о наследовании разрешений NTFS.
Эффективные разрешения.Эффективные разрешения пользователя для ресурса — это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Ес ли у пользователя есть разрешение «Чтение» для папки, и он входит в группу, у которой есть разрешение «Запись» для той же папки, значит, у этого пользователя есть оба разрешения.
Установка разрешений NTFS и особых разрешений
Вы должны руководствоваться определенными принципами при установке разрешений NTFS. Устанавливайте разрешения согласно потребностям групп и пользователей, что включает в себя разрешение или предотвращение наследования разрешений родительской папки подпапками и файлами, содержащимися в родительской папке.
Если вы уделите немного времени на планирование ваших разрешений NTFS и будете соблюдать при планировании несколько принципов, то обнаружите, что разрешениями легко управлять.
• Для упрощения процесса администрирования сгруппируйте файлы по папкам следующих типов: папки с приложениями, папки с данными, личные папки. Централизуйте общедоступные и личные папки на отдельном томе, не содержащем файлов операционной системы и других приложений. Действуя таким образом, вы получите следующие преимущества:
— сможете устанавливать разрешения только папкам, а не отдельным файлам;
— упростите процесс резервного копирования, так как вам не придется делать резервные копии файлов приложений, а все общедоступные и личные папки находятся в одном месте.
- Устанавливайте для пользователей только необходимый уровень доступа. Если необходимо чтение файла, установите пользователю разрешение Чтение для этого файла. Это уменьшит вероятность случайного изменения файла или удаления важных документов и файлов приложений пользователем.
- Создавайте группы согласно необходимому членам группы типу доступа, затем установите соответствующие разрешения для группы. Назначайте разрешения отдельным пользователям только в тех случаях, когда это необходимо.
- При установке разрешений для работы с данными или файлами приложений установите разрешение Чтение и выполнение для групп Пользователии Администраторы. Это предотвратит случайное удаление файлов приложений или их повреждение вирусами или пользователями.
- При установке разрешений для папок с общими данными назначьте разрешения Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ для группы Создатель-владелец. По умолчанию пользователь, создавший документ, также является его владельцем. Владелец файла может дать другому пользователю разрешение на владение файлом. Пользователь, который принимает такие права, в этом случае становится владельцем файла. Если вы установите разрешение Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ группе Создатель-владелец, то пользователи получат возможность читать и изменять документы, созданные другими пользователями, а также читать, изменять и удалять файлы и папки, создаваемые ими.
- Запрещайте разрешения, только если необходимо запретить отдельный тип доступа определенному пользователю или группе.
- Поощряйте пользователей в установке разрешений для файлов и папок, которые они создают, и научите их это делать самостоятельно.
Администраторы, пользователи с разрешением Полный доступ и владельцы файлов и папок могут устанавливать разрешения для отдельных пользователей и групп.
Дополнительно Позволяет получить доступ к дополнительным возможностям поиска, включая возможность поиска удаленных учетных записей пользователей, учетных записей с неустаревшими паролями и учетных записей, по которым не подключались определенное количество дней.
Статьи к прочтению:
- Установка режимов черчения
- Установка связи между файловой переменной и физическим внешним устройством
Как разграничить права доступа к общей папке
Похожие статьи:
- Разрешения для файлов и папок. Расшаривание» ресурсов Возможности GUI Windows NT. Для того, чтобы сделать ресурс доступным в сети, в ОС Windows NT существует закладка «Доступ» у…
- Перемещение защищенных файлов в ntfs Папки более высокого уровня в NTFS обычно обладают теми же правами, что и находящиеся в них файлы и папки. Например, если вы создаете папку внутри другой…
Настройка разрешений файловой системы NTFS
Файловая система NTFS используется в Windows с незапамятных времен. Если быть точнее, то первая версия NTFS появилась еще в Windows NT 3.1, в далеком 1993 году. Но не смотря на свой солидный возраст, NTFS до сих пор является основной файловой системой в Windows и замены ей пока не предвидится. NTFS поддерживает множество полезных функций, одной из которых является система разграничения доступа к данным с использованием списков контроля доступа (access control list, ACL). О том, как грамотно настраивать разрешения на файлы и папки в файловой системе NTFS и пойдет сегодня речь.
Для начала немного теории.
Информация обо всех объектах файловой системы NTFS, расположенных на томе, хранится в главной таблице файлов (Master File Table, MFT). Каждому файлу или папке соответствует запись в MFT, в которой содержится специальный дескриптор безопасности (Secirity Descriptor). Дескриптор безопасности включает в себя два списка ACL:
• System Access Control List (SACL) — системный список контроля доступа. Используется в основном для аудита доступа к объектам файловой системы;
• Discretionary Access Control List (DACL) — дискретный (избирательный) список контроля доступа. Именно этот список формирует разрешения файловой системы, с помощью которых происходит управление доступом к объекту. В дальнейшем говоря ACL мы будем иметь в виду именно DACL.
Каждый список ACL содержит в себе набор записей контроля доступа (Access Control Entry, ACE). Каждая запись включает в себя следующие поля:
• Идентификатор безопасности (SID) пользователя или группы, к которым применяется данная запись;
• Маска доступа, определяющая набор разрешений на данный объект;
• Набор флагов, определяющих, могут ли дочерние объекты наследовать данную ACE;
• Тип ACE (разрешение, запрет или аудит).
Примечание. Если в дескрипторе безопасности отсутствует ACL, то объект считается незащищенным и получить к нему доступ могут все желающие. Если же ACL есть, но в нем отсутствуют ACE, то доступ к объекту закрыт для всех.
И коротко о том, как происходит доступ к объекту, защищенному ACL. При входе пользователя в систему подсистема безопасности собирает данные о его учетной записи и формирует маркер доступа (access token). Маркер содержит идентификатор (SID) пользователя и идентификаторы всех групп (как локальных, так и доменных), в которые пользователь входит. И когда пользователь запрашивает доступ к объекту, информация из маркера доступа сравнивается с ACL объекта и на основании полученной информации пользователь получает (или не получает) требуемый доступ.
Закончим с теорией и перейдем к практике. Для издевательств создадим в корне диска C папку RootFolder.
Базовые разрешения
Для управления разрешениями мы будем использовать встроенные средства проводника. Для того, чтобы добраться до ACL, в проводнике выбираем папку, кликаем на ней правой клавишей мыши и в открывшемся контекстном меню выбираем пункт Properties (Свойства).
Затем переходим на вкладку Security (Безопасность), на которой отображаются текущие разрешения. Вот это собственно и есть ACL папки (в слегка сокращенном виде) — сверху пользователи и группы, снизу их разрешения. Обратите внимание, что вместо SID-а в таблице отображаются имена. Это сделано исключительно для удобства пользователей, ведь сама система при определении доступа оперирует идентификаторами. Поэтому, к примеру, невозможно восстановить доступ к файлам удаленного пользователя, создав нового пользователя с таким же именем, ведь новый пользователь получит новый SID и будет для операционной системы абсолютно другим пользователем.
Для перехода к редактированию разрешений надо нажать кнопку «Edit».
В качестве примера я выдам права на папку пользователю Kirill (т.е. себе). Первое, что нам надо сделать — это добавить нового пользователя в список доступа. Для этого жмем кнопку «Add»
выбираем нужного пользователя и жмем ОК.
Пользователь добавлен и теперь надо выдать ему необходимые разрешения. Но перед этим давайте рассмотрим поподробнее основные (базовые) разрешения файловой системы:
• List Folder Contents (Просмотр содержимого директории) — позволяет зайти в папку и просмотреть ее содержимое;
• Read (Чтение) — дает право на открытие файла\папки на чтение, без возможности изменения;
• Read & execute (Чтение и выполнение) — позволяет открывать файлы на чтение, а также запускать исполняемые файлы;
• Write (Запись) — разрешает создавать файлы\папки и редактировать файлы, без возможности удаления;
• Modify (Изменение) — включает в себя все вышеперечисленные разрешения. Имея разрешение Modify можно создавать, редактировать и удалять любые объекты файловой системы;
• Full Control (Полный доступ) — включает в себя разрешение Modify, кроме того позволяет изменять текущие разрешения объекта.
При добавлении пользователя в список доступа ему автоматически выдаются права на чтение и запуск.
Я воспользуюсь служебным положением и выдам себе полный доступ на папку. Для этого надо отметить соответствующий чекбокс и нажать OK.
Дополнительные разрешения
Базовые разрешения файловой системы не дают достаточной гибкости при управлении доступом, поэтому для более тонкой настройки используются дополнительные (расширенные) разрешения. Кстати, определить их наличие можно по наличию галки в строке Special Permissions (Специальные разрешения).
Для редактирования расширенных разрешений надо нажать кнопку «Advanced», после чего мы попадем в окно Advanced Security Settings (Дополнительные параметры безопасности).
Здесь выбираем пользователя и жмем кнопку «Edit».
В открывшемся окне мы увидим все те же базовые разрешения, а для перехода к расширенным надо перейти по ссылке Show advanced permissions (Отображение дополнительных разрешений).
Как видите, здесь разрешений гораздо больше, и настраиваются они детальнее. Вот полный список расширенных разрешений файловой системы:
• Traverse folder / execute file (Траверс папок / Выполнение файлов) — траверс в переводе означает проход, соответственно данное разрешение позволяет пройти внутрь папки и запустить в ней исполняемый файл. При этом зайти внутрь папки и просмотреть ее содержимое нельзя, а файлы внутри доступны только по прямой ссылке. Таким образом можно выдать права на конкретные файлы внутри, при этом не давая никаких прав на саму папку. Обратите внимание, что данное разрешение не устанавливает автоматически разрешения на выполнение для всех файлов в папке;
• List folder /read data (Содержимое папки / чтение данных) — право просматривать содержимое папки, без возможности изменения. Открывать или запускать файлы внутри папки тоже нельзя;
• Read attributes (Чтение атрибутов) — дает право просматривать основные атрибуты файлов (Read-only, System, Hidden и т.п.);
• Read extended attributes (Чтение расширенных атрибутов) — дает право просматривать дополнительные (расширенные) атрибуты файлов. Про расширенные атрибуты известно не очень много. Изначально они были добавлены в Windows NT для совместимости с OS/2 и на данный момент практически не используются. Тем не менее их поддержка присутствует в Windows до сих пор. Для работы с расширенными атрибутами в Windows готовых инструментов нет, но есть сторонняя утилита ea.exe, позволяющая добавлять, удалять и просматривать эти самые атрибуты;
• Create files / write data (Создание файлов / запись данных) — это разрешение дает пользователю право создавать файлы в папке, не имея прав доступа к самой папке. Т.е. можно копировать в папку файлы и создавать новые, но нельзя просматривать содержимое папки и открывать\изменять уже имеющиеся файлы. После добавления пользователь уже не сможет изменить файл, даже будучи его владельцем;
• Create folders / append data (Создание папок / добавление данных) — пользователь может создавать новые подпапки в текущей папке, а также добавлять данные в конец файла, при этом не изменяя уже имеющееся содержимое;
• Write attributes (Запись атрибутов) — дает право изменять практически все стандартные атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Дело в том, что для функций сжатия и шифрования требуется намного большие полномочия в системе, чем предоставляет данное разрешение. Если точнее, то для включения сжатия или шифрования необходимы права локального администратора;
• Write extended attributes (Запись расширенных атрибутов) — позволяет производить запись расширенных атрибутов файловой системы. Как я говорил выше, атрибуты эти почти не используются, однако есть исключения. В расширенные атрибуты файла можно записывать произвольные данные, чем пользуются некоторые вредоносные программы;
• Delete subfolders and files (Удаление подпапок и файлов) — позволяет удалять папки и файлы внутри родительской папки, при этом саму родительскую папку удалить нельзя;
• Delete (Удаление) — тут все просто, имея данное разрешение можно удалять все что душа пожелает. Но для удаления объекта кроме Delete необходимо иметь разрешение List folder /read data, иначе удалить ничего не получится;
• Read permissions (Чтение разрешений) — позволяет просматривать текущие разрешения файла\папки. Не позволяет открывать на чтение сам файл;
• Change permissions (Изменение разрешений) — дает пользователю право изменять текущие разрешения. Формально это разрешение не дает никаких прав на сам объект, однако по сути предоставляет к нему неограниченный доступ;
• Take ownership (Смена владельца) — данное разрешение позволяет сменить владельца файла или папки. О том, кто такой владелец, речь пойдет чуть позже.
Для примера отберем у пользователя только права на удаление, но оставим все остальные. Обратите внимание, что все разрешения зависят друг от друга и при добавлении\снятии одной галки могут добавляться\сниматься другие. Так при снятии разрешения Delete снимается Full Control.
Отзыв разрешений
Как выдавать разрешения мы выяснили, теперь о том, как их отбирать. Тут все просто, достаточно удалить пользователя или группу из списка и доступ автоматически пропадает. В качестве примера отберем доступ к папке у пользователя Kirill. Для этого откроем базовые разрешения, выберем нужного пользователя и нажмем кнопку «Remove».
Проверим, что пользователь удалился из списка
и попробуем зайти в папку. Поскольку у пользователя больше нет никаких разрешений, то получаем отказ в доступе.
Явный запрет
Как вы наверняка знаете, в файловой системе кроме разрешающих правил (Allow) есть еще и запрещающие (Deny). Однако явные запреты используются достаточно редко, поскольку для управления доступом вполне хватает обычных разрешений. Более того, запреты не рекомендуется использовать без крайней необходимости.
Дело в том, что запрещающие правила всегда имеют приоритет над разрешающими, поэтому при их использовании возможно возникновение конфликтов доступа. Например, если пользователь входит в две группы, у одной из которых есть разрешение на доступ к папке, а у второй явный запрет, то сработает запрет и пользователю будет отказано в доступе.
Однако бывают ситуации, в которых применение запретов может быть оправдано. К примеру, одному пользователю необходимо запретить доступ к папке. При этом он входит в группу, имеющую разрешения на доступ. Отобрать доступ у всей группы нельзя, поскольку в нее входят другие пользователи, которым доступ положен. Убрать пользователя из группы тоже нельзя, поскольку кроме доступа к папке она обеспечивает и другие разрешения, которые должны остаться. В такой ситуации единственным выходом остается только явный запрет на доступ для данного пользователя.
Запрещающие правила настраиваются аналогично разрешающим — заходим в настройки безопасности, выбираем пользователя\группу и проставляем нужные галки. Для примера запретим полный доступ к папке для пользвателя NoAccess.
Кстати, при использовании запретов система обязательно выдаст предупреждение и даже приведет пример.
В результате при наличии явного запрета пользователь получит такой же отказ в доступе, как и при отсутствии разрешений. Разве что сообщение немного отличается.
Как видите, в использовании запретов нет ничего страшного, хотя, на мой взгляд, это является показателем некоторой некомпетентности. Ведь при грамотно организованной структуре прав доступа в них не должно быть необходимости.
Наследование
Наследование (Inheritance) — это один из наиболее важных моментов, о которых нужно знать при работе с файловой системой. Суть наследования заключается в том, что каждый объект файловой системы (файл или папка) при создании автоматически наследует разрешения от ближайшего родительского объекта.
Давайте проверим на практике, как работает правило наследования. Для лучшей наглядности я создал структуру папок, состоящую из нескольких уровней. На верхнем уровне находится корневая папка RootFolder, в ней расположена подпапка SubFolder, в которую вложена подпапка SubSubFolder.
Для начала проверим разрешения корневой папки. Для этого перейдем к расширенным свойствам безопасности и посмотрим на текущие разрешения. В таблице разрешений присутствует столбец Inherited from (Унаследовано от), из которого можно узнать, какие разрешения являются унаследованным и от кого они унаследованы. Как видите, большинство разрешений папка унаследовала от диска C, на котором она расположена. Единственное не унаследованное разрешение — это разрешение для пользователя Kirill, которое было добавлено вручную.
Теперь копнем поглубже и перейдем к свойствам папки SubSubFolder. Здесь уже все разрешения являются унаследованными, но от разных объектов. Разрешения пользователя Kirill получены от корневой папки RootFolder, остальные наследуются от диска C. Из этого можно сделать вывод, что наследование является сквозным и работает независимо от уровня вложенности объекта. Корневая папка наследует разрешения от диска, дочерняя папка наследует разрешения от родительской, файлы наследуют разрешения от папки, в которой находятся.
Это свойство наследования очень удобно использовать для назначения прав на большие файловые ресурсы. Достаточно определить права на корневую папку и они автоматически распространятся на все нижестоящие папки и файлы.
Разрешения, наследуемые от вышестоящих объектов, называются неявными (implicit), а разрешения, которые устанавливаются вручную — явными (explicit). Явные разрешения всегда имеют приоритет над унаследованными, из чего вытекают следующие правила:
• Запрет имеет более высокий приоритет над разрешением;
• Явное разрешение имеет более высокий приоритет, чем неявное.
И если расположить приоритеты разрешений в порядке убывания, то получится такая картина:
1. Явный запрет
2. Явное разрешение;
3. Неявный запрет;
4. Неявное разрешение.
Т.е. если у пользователя одновременно имеется и разрешающее, и запрещающее правило, то подействует запрет. Но если запрет унаследован, а разрешение назначено вручную, то тут уже победит разрешающее правило. Проверим
Для примера запретим пользователю Kirill доступ к корневой папке RootFolder, но выдадим ему доступ к дочерней папке SubSubFolder. Получается, что у пользователя на папку SubSubFolder имеется унаследованный запрет и явно выданное разрешение.
В результате пользователь может зайти в саму папку SubSubFolder, т.е. явное разрешение победило. А вот при попытке подняться выше будет получена ошибка, сработает унаследованный запрет.
Кроме плюсов наследование имеет и свои минусы. Так изменить или удалить унаследованные разрешения невозможно, при попытке вы получите ошибку. Поэтому для их изменения сначала необходимо отключить наследование.
Для этого надо в расширенных настройках безопасности выбранного объекта нажать кнопку Disable inheritance (Отключить наследование) и выбрать один из двух вариантов:
• Convert inherited permissions into explicit permissions on this object (Преобразовать унаследованные от родительского объекта разрешения и добавить их в качестве явных разрешений для этого объекта);
• Remove all inherited permissions from this object (Удалить все унаследованные разрешения с этого объекта).
В первом варианте унаследованные разрешения остаются на месте, но становятся явными и их можно изменять и удалять.
Во втором — все унаследованные разрешения просто удаляются, остаются только явные (если они есть). Если же у объекта не было явных разрешений, то он станет бесхозным и ни у кого не будет к нему доступа. Впрочем, при необходимости наследование легко включить обратно, надо всего лишь нажать на кнопку Enable inheritance (Включить наследование).
Отключение наследования позволяет более детально настраивать разрешения для дочерних объектов. Однако может быть и обратная ситуация, когда на всех дочерних объектах надо убрать созданные вручную разрешения и заменить их на разрешения, наследуемые от родительского объекта. Сделать это просто, достаточно лишь отметить чекбокс Replace all child object permission entries with inheritable permission enntries from this object (Заменить все дочерние разрешения объекта на разрешения, наследуемые от этого объекта) и нажать «Apply».
При включенном наследовании область действия унаследованных разрешений можно ограничивать, тем самым добиваясь большей гибкости при настройке разрешений. Для настройки надо перейти к разрешениям конкретного пользователя\группы и указать, на какие именно дочерние объекты должны распространяться данные разрешения:
• This folder only — разрешения распространяются только на родительскую папку, не включая ее содержимое. Т.е. к файлам и папкам, находящиеся внутри данной папки, доступа нет. Не смотря на кажущуюся бесполезность данная настройка довольно часто используется. К примеру, для корневой папки мы выдаем разрешение для всех на просмотр содержимого, но ограничиваем глубину просмотра, а уже внутри папки настраиваем права так, как нам нужно. Соответственно пользователь может зайти в папку, осмотреться и выбрать нужный ему объект. Такой подход очень удобно использовать вместе с технологией Access Based Enumeration;
• This folder, subfolders and files — разрешения распространяются на папку включая все находящиеся в ней папки и файлы. Это выбор по умолчанию;
• This folder and subfolders — разрешения распространяются на родительскую папку и подпапки, не включая файлы. Т.е. к файлам, находящимся внутри данной папки и ее подпапок, доступа нет;
• This folder and files — здесь разрешения распространяются на саму папку и находящиеся в ее корне файлы. Если в родительской папке есть дочерние папки, то к ним и их содержимому доступа нет;
• Subfolders and files only — разрешения распространяются на все файлы и папки, находящиеся внутри родительской папки, но не дают доступ к самой папке;
• Subfolders only — разрешения распространяются только на подпапки, находящиеся в данной папке. На родительскую папку, а также на файлы, находящиеся внутри родительской папки и дочерних папок разрешений нет;
• Files only — разрешения распространяются на все файлы, находящиеся внутри родительской папки и дочерних папок. На родительскую папку и подпапки разрешений нет.
Данные ограничения в сочетании с расширенными разрешениями позволяют очень гибко настраивать права доступа к файлам. Для примера выдадим пользователю полный доступ к корневой папке, но установим ограничение This folder and subfolders, которое дает доступ ко всем дочерним папкам. И действительно, мы можем зайти в папку, пройти вглубь в подпапку Subsubfolder и даже посмотреть ее содержимое, а вот произвести какие либо действия с файлами у нас не получится.
Кроме определения области действия есть еще один способ ограничить наследование. Для этого надо отметить чекбокс Only apply these permissions to object and/or containers within this container (Применить данные разрешения для объектов внутри этого контейнера). Действие этого чекбокса ограничивает наследование только дочерними объектами и только данного объекта, т.е. при включении этой опции вне зависимости от выбранной области действия разрешения будут распространяться только на находящиеся в корне родительской папки файлы и папки.
Владелец
Вот мы и добрались до понятия владелец (Owner). Изначально владельцем объекта является пользователь, этот объект создавший. Что более важно, владелец имеет полный, никем и ничем не ограниченный доступ к объекту, и лишить его этого доступа достаточно сложно. Даже если владельца вообще нет в списке доступа и он не имеет никаких прав на объект, все равно он может легко это исправить и получить полный доступ.
Для примера удалим из списка доступа папки RootFolder всех ″живых″ пользователей и группы, оставим доступ только системе. Как видите, пользователь Kirill не имеет абсолютно никаких разрешений на папку, но при этом является ее владельцем.
Теперь зайдем в систему под этим пользователем, откроем проводник и попробуем зайти в папку. Доступа к папке конечно же нет, о чем сказано в предупреждении, но при этом предлагается продолжить открытие папки.
Соглашаемся на предложение, жмем кнопку «Continue» и спокойно открываем папку. А если теперь проверить разрешения, то мы увидим, что пользователь Kirill появился в списке и у него полный доступ. Дело в том, что если пользователь является владельцем папки, то при попытке доступа разрешения добавляются автоматически.
То, что владелец всегда может получить доступ к объекту, это понятно. А кто может стать владельцем? По умолчанию право сменить владельца (Take ownership) имеют члены группы локальных администраторов. Для примера отберем права владельца на папку RootFolder у пользователя Kirill. Затем заходим в расширенные свойства безопасности папки и видим, что пользователь неизвестен. Но Kirill входит в группу администраторов на компьютере и значит может вернуть себе владение папкой. Для получения прав владельца сразу жмем на кнопку «Change» или сначала на кнопку «Continue».
При нажатии на «Continue» окно откроется с правами администратора, а также вы получите небольшую подсказку, но затем все равно придется жать на кнопку «Change»
Дальше все просто, выбираем нужного пользователя (или группу), подтверждаем свой выбор
и становимся владельцем. Ну а став владельцем, мы сразу увидим текущие разрешения объекта и сможем их изменять.
Смена владельца корневой папки не означает автоматическую смену владельца у дочерних файлов\папок. Для смены владельца всех объектов внутри надо отметить чекбокс Replace owner on subcontainers and objects (Сменить владельца у подконтейнеров и объектов) и нажать «Apply».
Что интересно, при смене владельца дочерних объектов заменяются и их текущие разрешения.
В результате Kirill становится не только владельцем, но и единственным имеющим разрешения пользователем.
Какие из всего этого можно сделать выводы? Первое — владелец объекта всегда может получить к нему доступ, независимо от текущих разрешений. Второе — администратор компьютера может сменить владельца любого объекта файловой системы и, соответственно, получить к нему доступ. Если же речь идет о сети предприятия, то доменные администраторы могут получить доступ к любому файловому ресурсу в пределах своего домена. Вот так)
Просмотр текущих разрешений
Как вы уже поняли, структура разрешений файловой системы может быть весьма сложной и запутанной. Особенно это касается файловых ресурсов общего доступа, в которых разрешения назначаются не отдельным пользователям, а группам. В результате определить разрешения для отдельно взятого пользователя становится достаточно сложной задачей, ведь надо определить все группы, в которые входит пользователь, а уже затем искать эти группы в списке доступа. Ну а группы могут иметь в качестве членов другие группы, да и пользователь как правило входит не в одну группу, и зачастую эти группы имеют различные разрешения на один о тот же объект.
К счастью в Windows есть способ просто и быстро определить, какие именно разрешения имеет конкретный пользователь на данный объект файловой системы. Для этого надо в окне расширенных свойств безопасности перейти на вкладку Effective Access (Действующие разрешения), нажать на ссылку Select a user (Выбрать пользователя) и найти нужного пользователя или группу.
Затем жмем на кнопку View effective access (Просмотр действующих разрешений) и получаем полный список разрешений, которые имеет выбранный пользователь на данный объект. В списке присутствуют все текущие разрешения пользователя, как полученные им непосредственно, так и назначенные на группы, в которые он входит. Это особенно актуально для системных администраторов, которым регулярно приходится разбираться с отсутствием доступа у пользователей.
Заключение
В данной статье я описал только наиболее важные моменты, которые нужно знать при работе с разрешениями файловой системы. В качестве заключения несколько правил, которые могут помочь при работе с разрешениями:
• По возможности выдавать разрешения не отдельным пользователям, а группам. Это позволяет один раз настроить все необходимые разрешения и больше не возвращаться к их редактированию, а права доступа назначать путем добавления пользователя в соответствующие группы;
• Стараться по максимуму использовать свойства наследования. Это может значительно сэкономить время, расходуемое на управление разрешениями;
• Не использовать явные запреты без крайней необходимости. Использование запретов очень сильно усложняет схему доступа, а в некоторых случаях может привести к конфликтам;
• Перед раздачей слонов разрешений, необходимо четко определиться с тем, какие именно действия пользователь\группа будет производить с файлами (читать, редактировать, создавать новые файлы\папки или выдавать разрешения) и исходя из этого назначить минимально необходимые для работы разрешения. Проще говоря, если пользователю требуется открыть файл и прочесть его, то не надо давать ему полный доступ на всю папку;
• При копировании или перемещении файлов надо помнить о том, что разрешения сохраняются только в пределах текущего логического диска (или тома). Подробнее о сохранении разрешений при копировании можно почитать здесь;
• Для облегчения управления доступом к файловым ресурсам общего доступа можно использовать дополнительные технологии, облегчающие жизнь администратора. Так технология Access Based Enumeration позволяет пользователю видеть только те объекты, к которым у него есть доступ, технология Access Denied Assistance вместо отказа в доступе выдает осмысленное сообщение и позволяет пользователю обратиться к администратору или владельцу ресурса с запросом через специальную форму. Можно еще упомянуть Dynamic Access Control, хотя это уже отдельная большая тема.
Назначение или запрещение особых разрешений
Щелкните кнопку Дополнительно,чтобы открыть диалоговое окно Дополнительные параметры безопасности, где перечислены группы и пользователи и установленные для них разрешения для этого объекта. В поле Элементы разрешенийтакже указано, от какого объекта разрешения унаследованы и к каким объектам применимы. Вы можете воспользоваться диалоговым окном Дополнительные параметры безопасностидля изменения разрешений, установленных для пользователя или группы. Для изменения разрешений, установленных для пользователя или группы, выделите пользователя и щелкните кнопку Изменить.Откроется диалоговое окно Элемент разрешения для. Затем выделите или отмените определенные разрешения, которые вы хотите изменить.
Задание для самостоятельной работы
Задание 1. Открыть Microsoft Virtual PC
Задание 2. Загрузить виртуальную машину Windows ХР и создать новую учетную запись uir.
Задание 3. Загрузить виртуальную машину Windows ХР с учетной записью uir.
Задание 4. Определение разрешений NTFS по умолчанию для только что созданной папки.
Запустить Проводник,создать папки C:\FoIderlи C:\FoIderl\Folder2.Просмотреть разрешения, установленные для созданных папок, щелкнув по вкладке Безопасностьдиалогового окна свойств папки. Обратить внимание на наследование разрешений папкой Folder2от родительской папки Folder 1.
Если на экране не видна вкладка Безопасность,вам следует уточнить два вопроса:
1) Раздел вашего диска отформатирован как NTFS или как FAT? Только на разделах NTFS используются разрешения NTFS, и, таким образом, только на разделах NTFS видна вкладка Безопасность.
2) Используете вы простой общий доступ к файлам или нет? Щелкните кнопку Отмена,чтобы закрыть диалоговое окно свойств папки. Впункте меню Сервисвыберите пункт Свойства папки.В диалоговом окне Свойства папкиперейдите на вкладку Вид.В списке Дополнительные параметрыснимите флажок Использовать простой общий доступ к файлам (рекомендуется)и щелкните ОК.
Определить для какой группы установлены особые разрешения. Щелкнуть кнопку Дополнительно,выделить эту группу и просмотреть установленные разрешения.
Закрыть диалоговое окно свойств папки. Закрыть окно Проводники завершить сеанс.
Задание 5. Создать новую учетную запись uir-1.
Задание 6. Войти в систему с учетной записью uir-1. Запустить Проводник,войти в папку C:\FoIderl. Создать два текстовых документа, присвоив им имена file 1и file2
Попытаться выполнить следующие операции с файлом filel: открыть файл; изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему?
Завершить сеанс работы и войти в систему, используя учетную запись uir-2.Запустить Проводник,войти в папку C:\Folderl.Попытаться выполнить следующие операции с файлом fiie2:открыть файл; изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему? В настоящее время ваша регистрационная запись — uir-2.Можете ли вы изменить разрешения, установленные для пользователя, пока вы подключены как uir-2?Почему? Завершить сеанс.
Задание 7.Установить разрешения NTFS для папки C:\Folder l.При этом необходимо соблюдать следующие правила:
1) все пользователи должны иметь возможность читать документы и файлы в папке Folder l;
2) все пользователи должны иметь возможность создавать документы в папке Folder l;
3) все пользователи должны иметь возможность изменять содержание, свойства и разрешения для создаваемых ими документов в папке Folderl;
4) пользователь uir-2несет ответственность за содержимое папки Folderlи должен иметь возможность изменять и удалять все файлы в папке Folderl.
Основываясь на полученной информации, определить, как следует изменить разрешения для соответствия этим четырем критериям?
Войти в систему, используя учетную запись uir.Открыть Проводник. Открыть папку Folder l.Щелкнуть правой кнопкой мыши значок папки Folder l,затем выбрать пункт меню Свойства. Перейти на вкладку Безопасность диалогового окна свойств папки. На вкладке Безопасность щелкнуть кнопку Добавить. Откроется диалоговое окно Выбор: Пользователи или Группы.
В текстовом поле Введите имена выбираемых объектов ввести uir-2,затем щелкнуть кнопку Проверить имена. В текстовом полеВведите имена выбираемых объектов должна появиться надпись \тг-2. Это свидетельствует, что Windows ХР Professional обнаружила пользователя uir-2на компьютере
Щелкнуть кнопку Дополнительно. Откроется диалоговое окно Дополнительные параметры безопасности для Folderl,и вы увидите, что пользователь uir-2включен в список Элементы разрешений. Убедиться, что строка uir-2выделена, и щелкнуть кнопку Изменить.Откроется диалоговое окно Элемент разрешения для Folderl,и вы увидите в текстовом поле Имя учетную запись пользователя uir-2.
В колонке Разрешить щелкнуть Полный доступ. Теперь в колонке Разрешитьустановлены все флажки. Щелкнуть ОК,чтобы закрыть диало говое окно Элемент разрешения для Folder!и щелкнуть ОК,чтобы закрыть диалоговое окно Дополнительные параметры безопасности для Folder 1.Щелкнуть ОК,чтобы закрыть диалоговое окно свойств папки Folder 1.
Закрыть Проводники завершить сеанс Windows ХР Professional.
Войти в систему, используя учетную запись uir-2.Запустить Проводник,войти в папку C:\Folderl.Попытаться выполнить следующие операции с файлом file2:изменить файл; удалить файл. Какие действия вы смогли успешно совершить и почему? Завершить сеанс Windows ХР Professional.
Задание 8. Проверить, как разрешения NTFS наследуются в иерархии папок.
Войти в систему, используя учетную запись uir-1.Запустить Проводник,войти в папку C:\Folderl\Folder 2.Создать текстовый файл с именем ШеЗв папке. Завершить сеанс Windows 7.
Войти в систему, используя учетную запись uir-2.Запустить Проводник,войти в папку C:\Folderl\Folder 2.Попытаться выполнить следующие операции с файлом ШеЗ:открыть файл; изменить файл; удалить файл. Какие действия вы смогли совершить и почему? Завершить сеанс Windows ХР Professional.
Задание 9. Изучить результаты смены владельца файла.
Войти в систему, используя учетную запись uir.В папке C:\Folderl создать текстовый файл file4.
Щелкнуть правой кнопкой мыши значок документа file4,затем выбрать пункт меню Свойства.Откроется диалоговое окно Свойства:file4с активной вкладкой Общие.Перейти на вкладку Безопасностьдля просмотра разрешений, установленных для файла file4.Щелкнуть кнопку Дополнительно.Откроется диалоговое окно Дополнительные параметрыбезопасности для file4с активной вкладкой Разрешения.Перейти на вкладку Владелец.Кто является текущим владельцем файла file4?
Установка разрешения, позволяющего пользователю сменить владельца.
В диалоговом окне Дополнительные параметры безопасности для file4перейти на вкладку Разрешения.Щелкнуть кнопку Добавить.Откроется диалоговое окно Выбор: Пользователи или Группы.Убедиться, что в текстовом поле Размещение,которое расположено вверху диалогового окна, выбрано имя вашего компьютера. В текстовом поле Введите имена выбираемых объектовввести uir-З,затем щелкните кнопку Проверить имена.Щелкнуть ОК.
Станет активным диалоговое окно Элемент разрешения для file4.Обратить внимание на то, что все элементы разрешений для пользователя uir-Зне отмечены. В колонке Разрешенияустановить флажок Разрешитьдля разрешения Сменить владельца.Щелкнуть ОК.Щелкнуть ОКдля того, чтобы вернуться к диалоговому окну свойств файла file4.Щелкнуть ОКдля сохранения изменений и закрыть диалоговое окно свойств файла file4.Закрыть Проводники выйти из системы. Смена владельца файла.
Войти в систему, используя учетную запись uir-З.Запустить Проводник,войти в папку C:\Folderl.Щелкнуть правой кнопкой мыши значок файла file4и выбрать пункт меню Свойства.Перейти на вкладку Безопасностьдля просмотра разрешений для файла. ЩелкнутьДополнительнои перейти на вкладку Владелец.В колонке Изменить владельца навыбрать uir-З,затем щелкнуть кнопку Применить.Кто теперь является владельцем файла Ше4?
Щелкнуть ОК,чтобы закрыть диалоговое окно Дополнительные параметры безопасности для file4.
Проверка разрешений для файла в качестве владельца.
Щелкнуть кнопку Дополнительнои снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.Установить разрешение Полный доступк текстовому документу file4и нажать кнопку Применить.Щелкнуть ОК,чтобы закрыть диалоговое окно Дополнительные параметры безопасности для file4.Щелкнуть ОК,чтобы закрыть диалоговое окно свойств файла file4.
Задание 10.Изучить изменение разрешений и прав владельца при копировании и перемещении папок.
Создание папки при подключении с учетной записью пользователя.
Пока вы зарегистрированы в системе под учетной записью uir-Зсоздать папку с именем Tempiв корневой папке диска С:\.Какие разрешения установлены для этой папки? Кто является владельцем папки?
Создание папок при подключении с учетной записью члена группы Администраторы.
Подключитесь с учетной записью uirи создайте папки Теmp2и Теmp Зв корневой папке диска С:\.
Каковы разрешения для папок, которые вы только что создали? Кто является владельцем папок Теmp 2и Теmp З?
Установить разрешения для папок Теmp 2и Теmp З.
Снять флажок Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.В открывшемся диалоговом окне щелкните Удалить»для удаления всех разрешений, кроме указанных ниже.
Папка Теmp 2: Администраторы — Полный доступ; Пользователи — Чтение и выполнение.
Папка Теmp З: Администраторы — Полный доступ; Операторы архива — Чтение и выполнение; Пользователи — Полный доступ.
Копирование папки в другую папку на одном и том же томе NTFS.
Пока вы находитесь в системе под учетной записью uir,скопировать папку C:\Temp2в папку C:\Templ.Для этого выделить значок папкиC:\Temp2и, удерживая нажатой клавишу CTRL,перетащить мышью C:\Temp2в C:\Templ.
Выделив C:\Templ\Temp2,просмотреть разрешения и права владельца, затем сравнить разрешения и права владельца с папкойC:\Temp2.
Перемещение папки на одном и том же томе.
Войти в систему с учетной записью uir-З.В Проводникевыделить значок папки C:\Temp3,затем переместить ее в папку C:\Templ.Что произошло с разрешениями и владельцем для папки C:\Templ\Temp3?
Задание 11.Самостоятельно определить? как предотвратить удаление пользователями, имеющими разрешение Полный доступк папке, файла в этой папке, для которого установлен запрет на разрешение Полный доступ?
1. Что такое эффективные разрешения пользователя для ресурса?
2. Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки?
3. Чем отличается разрешение «Удаление» от разрешения «Удаление подпапок и файлов»?
4. Какое разрешение NTFS для файлов следует установить для файла, если вы позволяете пользователям удалять файл, но не позволяете становиться владельцами файла?
5. Если вы хотите, чтобы пользователь или группа не имела доступ к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?
Отчет по проделанной работе:
В него должны входить:
3.Время выполнения работы;
4.Изучить теоретические сведения;
5.Описать выполнение задания 11;
6.Продемонстрировать выполненную работу преподавателю;
7.Ответить на контрольные вопросы.
3. Контрольные вопросы
1. Что такое эффективные разрешения пользователя для ресурса?
2. Какие объекты по умолчанию наследуют разрешения, установленные для родительской папки?
3. Чем отличается разрешение «Удаление» от разрешения «Удаление подпапок и файлов»?
4. Какое разрешение NTFS для файлов следует установить для файла, если вы позволяете пользователям удалять файл, но не позволяете становиться владельцами файла?
5. Если вы хотите, чтобы пользователь или группа не имела доступ к определенной папке или файлу, следует ли запретить разрешения для этой папки или файла?