Планирование и назначение разрешений ntfs. Установка разрешений NTFS и особых разрешений

К ак и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share , наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS . Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию - атрибуты и ACL (Access Control List) . Кстати, атрибуты и ACL имеют не только файлы, но и папки.

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию - всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

Первая колонка содержит уникальный идентификатор пользователя (SID) , вторая - описание прав (read, write и т.д.) , третья - флаг , указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет) .

Основных прав доступа в NTFS четыре:

Read разрешает только чтение файла.
Write разрешает чтение и запись.
Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов.
Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL . Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control .

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование .

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А» , а в ней папку «Б» , то папка «Б» будет иметь те же разрешения, что и папка «А» . Следовательно, все файлы в папке «Б» получат разрешения папки «А» .

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit) . И напротив, разрешения, которые устанавливаются вручную путём изменения ACL , называются явными (explicit) . Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет
2. Явное разрешение
3. Неявный запрет
4. Неявное разрешение

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются .

При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL , изменяется только ссылка на него в таблице MFT .

При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

Разрешения NTFS

В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

Разрешения отдельного пользователя

Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.

Наследование

В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в лекции 9 , если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.

Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.

Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.

Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.

С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.

Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.

Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.

    Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .

    В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).

    Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).

    Нажмите на ОК.

Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

Разрешения для папок и томов

Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В таблице 10.2 перечислены разрешения, назначаемые для папок, а в таблице 10.3 - для файлов.

Таблица 10.2. Разрешения папок

Разрешение

Change Permissions

Изменение разрешений папки.

Создание новых файлов в данной папке.

Создание подкаталогов в данной папке.

Удаление папки.

Delete subfolders and files

Удаление файлов и подкаталогов, даже если у вас нет разрешения на их создание.

Просмотр содержимого папки.

Read Attributes

Просмотр атрибутов папки.

Read Permissions

Просмотр разрешений папки.

Присвоение себе прав другого пользователя на владение папкой.

Traverse Folder

Открытие папки для просмотра подкаталогов и родительских папок.

Write Attributes

Внесение изменений в свойства папки.

Таблица 10.3. Разрешения файла

Разрешение

Разрешает или запрещает это действие

Добавление информации в конец файла без изменения существующей информации.

Change Permissions

Внесение изменений в разрешения файла.

Удаление файла.

Запуск программы, содержащейся в файле.

Read Attributes

Просмотр атрибутов файла.

Просмотр содержимого файла.

Read Permissions

Просмотр разрешений файла.

Присвоение себе прав собственности на этот файл у другого владельца.

Write Attributes

Изменение атрибутов файла.

Изменение содержания файла.
Создание и управление разрешениями

Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.

Для настройки разрешений данной папки или тома проделайте следующие шаги.

    Укажите том или папку, для которых вы собираетесь устанавливать разрешения.

    Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).

    Выберите вкладку Security (Безопасность).

Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).

В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (рис. 10.7 ). В нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.

Рис. 10.7. Вкладка Security (Безопасность) диалогового окна свойств

Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.

    Full Control (Полный контроль). Разрешает пользователю или группе читать, создавать, изменять и удалять файлы.

    Modify (Модификация). Разрешает пользователям удалять файлы и папки, вносить изменения в разрешения или получать право собственности на файл или папку от другого пользователя.

    Read&Execute (Чтение и исполнение). Разрешает пользователям читать и запускать файлы, не внося изменений в содержание совместно используемого тома или папки.

    List Folder Contents (Список содержимого папки). Позволяет пользователям просматривать содержимое папок.

    Read (Чтение). Разрешает пользователям просматривать содержимое тома или папки. Они также могут открывать файлы, но не имеют права сохранять изменения.

    Write (Запись). Разрешает пользователям делать записи в папках или томах, но запрещает открывать файлы или просматривать список файлов.

    Special permissions (Специальные разрешения). Щелкнув на кнопке Advanced (Дополнительно), можно применять специальные разрешения.

Ограничение количества пользователей

В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8 ).

В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.

    Maximum allowed Разрешить доступ для максимального числа пользователей сети.

    Allow this number of users Разрешить доступ только для указанного числа пользователей.

Более подробно о разрешениях можно узнать в гл. 9.

разрешения , определяющие уровень безопасности, можно... кнопку "Разрешение" ), управлять доступом, используя возможности файловой системы NTFS . ... изменение и чтение). Использование разрешений NTFS Для каждого объекта, который...

  • Операционная система Windows 2000 Server

    Курсовая работа >> Информатика

    Аутентифицированных Пользователей имеет необходимые разрешения . Клиентские системы сначала... компьютере. Установщик сконфигурирует папки и разрешения NTFS для файлов операционной системы. ... и выполнять прямое и обратное раз­решение доменных имен в IP-адреса. ...

  • Прикладная информатика в экономике

    Реферат >> Информатика

    На томе NTFS можно назначать отдельным пользователям и группам разрешения NTFS для более гибкого... папках. При сочетании разрешений доступа к общей папке и разрешений NTFS результирующим разрешением будет более строгое...

    • В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

    Разрешения отдельного пользователя

    Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.

    Наследование

    В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в лекции 9, если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.

    Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.

    Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.

    Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.

    С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.

    Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.

    Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.

    1. Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .
    2. В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).
    3. Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).
    4. Нажмите на ОК.

    Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

    Разрешения для папок и томов

    Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В перечислены разрешения, назначаемые для папок, а в - для файлов.

    Таблица 10.2. Разрешения папок
    Разрешение
    Change Permissions Изменение разрешений папки.
    Create Files Создание новых файлов в данной папке.
    Create Folders Создание подкаталогов в данной папке.
    Delete Удаление папки.
    Delete subfolders and files Удаление файлов и подкаталогов, даже если у вас нет разрешения на их создание.
    List Folder Просмотр содержимого папки.
    Read Attributes Просмотр атрибутов папки.
    Read Permissions Просмотр разрешений папки.
    Take Ownership Присвоение себе прав другого пользователя на владение папкой.
    Traverse Folder Открытие папки для просмотра подкаталогов и родительских папок.
    Write Attributes Внесение изменений в свойства папки.
    Таблица 10.3. Разрешения файла
    Разрешение Разрешает или запрещает это действие
    Append Data Добавление информации в конец файла без изменения существующей информации.
    Change Permissions Внесение изменений в разрешения файла.
    Delete Удаление файла.
    Execute File Запуск программы, содержащейся в файле.
    Read Attributes Просмотр атрибутов файла.
    Read Data Просмотр содержимого файла.
    Read Permissions Просмотр разрешений файла.
    Take Ownership Присвоение себе прав собственности на этот файл у другого владельца.
    Write Attributes Изменение атрибутов файла.
    Write Data Изменение содержания файла.
    Создание и управление разрешениями

    Создавая разрешения для отдельных файлов, папок и NTFS-томов, вы можете воспользоваться гораздо большим количеством опций безопасности, чем предлагает файловая система FAT. Вкладка Properties (Свойства) выбранной папки или тома включает в себя вкладку Security (Безопасность). Щелкнув на ней, вы можете увидеть ряд опций для управления доступом.

    Для настройки разрешений данной папки или тома проделайте следующие шаги.

    1. Укажите том или папку, для которых вы собираетесь устанавливать разрешения.
    2. Щелкните правой кнопкой мыши на нем и выберите Properties (Свойства).
    3. Выберите вкладку Security (Безопасность).

    Примечание. Если NTFS-том находится в совместном использовании, то необходимо устанавливать разрешения посредством вкладки Security (Безопасность), а не используя для этого кнопку Permissions (Разрешения) на вкладке Sharing (Общий доступ).

    В появившемся окне свойств вы увидите два окна. В верхнем окне содержится список пользователей и групп (). В нижнем - список разрешений для пользователя, которые можно устанавливать и регулировать. Опять же, эта вкладка доступна только для томов в формате NTFS.

    Рис. 10.7. Вкладка Security (Безопасность) диалогового окна свойств

    Щелкнув на определенном пользователе или группе, вы можете установить разрешения для них в нижнем окне. Доступны следующие разрешения.

    • Full Control (Полный контроль). Разрешает пользователю или группе читать, создавать, изменять и удалять файлы.
    • Modify (Модификация). Разрешает пользователям удалять файлы и папки, вносить изменения в разрешения или получать право собственности на файл или папку от другого пользователя.
    • Read&Execute (Чтение и исполнение). Разрешает пользователям читать и запускать файлы, не внося изменений в содержание совместно используемого тома или папки.
    • List Folder Contents (Список содержимого папки). Позволяет пользователям просматривать содержимое папок.
    • Read (Чтение). Разрешает пользователям просматривать содержимое тома или папки. Они также могут открывать файлы, но не имеют права сохранять изменения.
    • Write (Запись). Разрешает пользователям делать записи в папках или томах, но запрещает открывать файлы или просматривать список файлов.
    • Special permissions (Специальные разрешения). Щелкнув на кнопке Advanced (Дополнительно), можно применять специальные разрешения.
    Ограничение количества пользователей

    В зависимости от размера и структуры организации, вы можете не разрешить одновременный доступ для всех желающих к одному и тому же тому. Если нужно установить ограничение на количество пользователей, имеющих одновременный доступ к тому или папке, откройте диалоговое окно Permissions (Разрешения) и выберите вкладку Sharing (Общий доступ) (рис. 10.8).

    В секции User limit (Предельное число пользователей) укажите один из следующих вариантов.

    • Maximum allowed Разрешить доступ для максимального числа пользователей сети.
    • Allow this number of users Разрешить доступ только для указанного числа пользователей.

    Более подробно о разрешениях можно узнать в гл. 9.

    Защита файлов и общих папок

    Тема информационной защиты сегодня популярна, как никогда. IT-профессионалы черпают знания отовсюду: из специальных статей в журнале и даже из ежедневных рассылок по электронной почте.

    Большинство технических средств защищают ресурсы организации от постороннего вмешательства. Но зачастую необходимо разделить доступ к информации внутри самого предприятия. Только представьте, какие проблемы могут возникнуть, если все сотрудники получат доступ к личным записям своих коллег.

    Файловая система NTFS в Windows XP и её полномочия для общих папок специально разработаны для защиты содержимого папок общего доступа как от внутренних, так и внешних утечек. В этой статье дано несколько советов, следуя которым администратор сможет грамотно назначать NTFS-полномочия и управлять доступом к общим папкам и файлам

    Управление доступом к файлам

    Большинство пользователей выкладывает файлы в открытый доступ для участников рабочих групп и p2p-сетей, для этого нужно:

    1. Введите название папки в графу Share Name (Имя общего ресурса)
    2. По желанию можно добавить несколько пояснительных слов в графу Comment (Описание).
    3. Нажмите OK.

    Однако такой метод не всегда работает корректно, особенно на системах Windows XP с дисками, форматированными в NTFS (когда противоречивые NTFS-полномочия, вступая в конфликт, не допускают разрешённых пользователей к этим ресурсам; подробнее об этом чуть ниже). Ну, а самое печальное в том, что полномочия, заданные по умолчаниюWindows XP, предоставляют доступ к содержимому каталогов всем пользователям.

    Также для того, чтобы назначить разные полномочия для разных пользователей, необходимо отключить активную по умолчанию опцию Windows XP Simple File Sharing (Простой общий доступ к файлам):

    1. Откройте проводник Windows Explorer
    2. Перейдите в меню Tools (Сервис)
    3. Выберите пункт Folder Options (Свойства папки)
    4. Перейдите на вкладку View (Вид).
    5. В окне Advanced Settings (Дополнительные параметры) уберите отметку с параметра Use Simple File Sharing (Recommended) | Использовать простой общий доступ к файлам (рекомендуется).
    6. Нажмите OK.

    Для того, чтобы отключить разрешение для Всех (Everyone) и настроить уровень доступа для каждого пользователя индивидуально :

    Полномочия полного доступа (Full Control) разрешают пользователям или группам читать, изменять, удалять и запускать содержащиеся в папке файлы. Помимо этого такие пользователи могут создавать и удалять в этом каталоге новые подпапки.

    Пользователи, имеющие право изменять информацию в папке (Change), могут просматривать и изменять находящиеся в каталоге файлы, создавать в нём свои файлы и папки и запускать расположенные в нём программы на исполнение.

    Пользователям и группам, наделённых полномочиями чтения информации (Read), разрешается только просматривать хранимые в каталоге файлы и запускать программы. Для информации на дисках Windows XP, отформатированных в файловую систему NTFS, можно устанавливать дополнительные полномочия.

    NTFS-полномочия

    NTFS-полномочия в среде Windows предоставляют собой дополнительный набор параметров, которые можно настраивать для каждого отдельного файла или папки.

    Для начала нужно убедиться, что настройки Windows XP позволяют работать с файловой системой NTFS:

    1. Нажмите Start (Пуск)
    2. Выберите команду Run (Выполнить)
    3. Введите в строку compmgmt.msc и нажмите OK. Откроется консоль Computer Management (Управление компьютером).
    4. Перейдите к объекту Disk Management (Управление дисками) на вкладке Storage (Запоминающие устройства) для того, чтобы узнать какой тип файловой системы используется на каждом диске.

    Если диск или один из его разделов не отформатированы в NTFS, это можно исправить, если ввести convert X: /fs:ntfs, поставив вместо X букву нужного диска или раздела. Команда convert поменяет текущую файловую систему диска на NTFS, не уничтожая при этом хранящиеся на нём данные. Тем не менее, перед запуском команды на выполнение лучше сделать резервную копию содержимого диска.

    Для настройки NTFS-разрешений:

    Учтите, что по умолчанию подкаталоги наследуют свойства своих корневых директорий. Для того, чтобы это изменить, нажмите на кнопке Advanced (Дополнительно) на вкладке Security (Безопасность) диалогового окна Properties (Свойства).

    Виды NTFS-полномочий:

    • Full Control (Полный доступ) - разрешает пользователям и группам выполнять любые операции с содержимым папки, включая просмотр файлов и подкаталогов, запуск файлов приложений, управление списком содержимого папки, чтение и запуск исполняемых файлов, изменение атрибутов файлов и папок, создание новых файлов, добавление данных в файлы, удаление файлов и подкаталогов, а также изменение полномочий доступа к файлам и папкам.
    • Modify (Изменить) - разрешает пользователям и группам осуществлять просмотр файлов и подкаталогов, запускать исполняемые файлы приложений, управлять списком содержимого папки, просматривать параметры папки, изменять атрибуты папок и файлов, создавать новые файлы и подкаталоги, добавлять данные в файлы и удалять файлов.
    • Read & Execute (Чтение и выполнение) - разрешает пользователям и группам просматривать список файлов и подкаталогов, запускать исполняемые файлы приложений, просматривать содержимое файлов, а также изменять атрибуты файлов и папок.
    • List Folder Contents (Список содержимого папки) - разрешает пользователям и группам осуществлять навигацию по каталогам, работать со списком содержимого папки, а также просматривать атрибуты файлов и папок.
    • Read (Чтение) - разрешает пользователям и группам просматривать содержимое папки, читать файлы и просматривать атрибуты файлов и папок.
    • Write (Запись) - разрешает пользователям и группам изменять атрибуты файлов и папок, создавать новые папки и файлы, а также изменять и дополнять содержимое файлов.

    Для определения окончательных полномочий того или иного пользователя вычтите из NTFS-разрешений, предоставленных ему непосредственно (или как члену группы), все индивидуальные запреты (или запреты, который он получил в качестве члена группы). К примеру, если пользователь получил полный доступ (Full Control) к данной папке, но в то же время является членом группы, для которой запрещён полный доступ, то он в результате не будет обладать правами полного доступа. Если уровень доступа пользователя ограничен параметрами Read & Execute (Чтение и выполнение) и List Folder Contents (Список содержимого папки) в одной группе, и в то же время ему запрёщен доступ на уровне List Folder Contents (Список содержимого папки), то в результате его NTFS-полномочия будут ограничены только уровнем Read & Execute (Чтение и выполнение). По этой причине администратором следует подходить к запретам с особой осторожностью, поскольку запрещённые функции имеют приоритет перед разрешёнными для того же пользователя или группы.

    Windows XP снабжена удобной утилитой для подтверждения действующих разрешений пользователя или группы :


    Сочетание NTFS-разрешений с полномочиями общего доступа

    Звучит многообещающе. Казалось бы, достаточно грамотно раздать пользователям соответствующие полномочия - и можно начинать работу. Однако на самом деле не всё так просто. Полномочия общего доступа и NTFS-разрешения должны чётко определять, какими реальными правами доступа обладают пользователи и группы, но, к сожалению, они часто конфликтуют между собой. Для определения окончательных полномочий того или иного пользователя сравните итоговые полномочия общего доступа с итоговыми NTFS-разрешениями. Помните, что ограничения доступа будут доминировать над разрешениями. Например, если итоговые NTFS-права доступа пользователя ограниченны уровнем Read and Execute (Чтение и выполнение), а итоговые права общего доступа - уровнем Full Control (Полный доступ), система не предоставит этому пользователю действительные права полного доступа, а выберет наиболее приоритетный уровень, в данном случае это NTFS-разрешение на чтение и выполнение. Всегда необходимо помнить о том, что итоговые ограничения в правах превалируют над итоговыми разрешениями. Это очень важный момент, который легко забывается, после чего доставляет пользователям немало хлопот. Поэтому тщательно рассчитывайте соотношения запретов и разрешений полномочий NTFS и общего доступа

    Разрешения NTFS служат для защиты ресурсов от:

      локальных пользователей, работающих за компьютером, на котором располагается ресурс;

      удаленных пользователей, подключающихся к общей папке по сети.

    Разрешения NTFS обеспечивают высокую избирательность защиты: для каждого файла в папке Вы можете установить свои разрешения. Например, одному пользователю позвольте считывать и изменять содержимое файла, другому - только считывать, а остальным - вообще запретите доступ к нему.

    Если при форматировании тома на него устанавливается файле система NTFS, группе Everyone автоматически присваивается разрешение Full Сontrol (Полный контроль) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.

    Индивидуальные разрешения

    В Windows NT имеется шесть типов индивидуальных разрешений NTFS, каждый из которых задает тип доступа к файлу или папке.

    В таблице описаны разрешенные пользователю операции с папкой или файлом при наложении на объект одного из индивидуальных разрешений NTFS.

    Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Если этот пользователь является членом группы Administrators (Администраторы), фактическим владельцем становится вся группа Administrators. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке.

    Стандартные разрешения

    В большинстве случаев Вы будете пользоваться стандартными разрешениями NTFS. Они представляют собой комбинации индивидуальных разрешений. Одновременное назначение нескольких индивидуальных разрешений для файла или папки значительно упрощает администрирование.

    После названия стандартного разрешения в скобках приводятся аббревиатуры составляющих его индивидуальных разрешений. Например, стандартное разрешение Read (Чтение) для файла эквивалентно двум индивидуальным разрешениям - Read (Чтение) и Execute (Выполнение) - и в скобках будут стоять буквы RX.

    Стандартные разрешения для папок

    В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.

    Разрешение No Access (Нет доступа) запрещает любой доступ к файлу или папке, даже если пользователь является членом группы, которой дано разрешение на доступ. Прочерк в столбце "Индивидуальные разрешения для файлов" означает, что данное стандартное разрешение неприменимо к файлам.

    Стандартные разрешения для файлов

    В таблице перечислены стандартные разрешения для файлов и указаны соответствующие им индивидуальные разрешения NTFS.

    Разрешения Full Control (Полный контроль) и Change (Изменение) отличаются тем, что второе не позволяет изменять разрешения и владельца объекта.

        1. Применение разрешений ntfs

    Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и права доступа к общим ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.

    Применение разрешений NTFS для папок сходно с применением прав доступа общим ресурсам.

      Как и права доступа к общим ресурсам, фактические разрешения NTFS для пользователя - это комбинация разрешений пользователя и групп, члене которых он является. Единственное исключение - разрешение No Access (Hет доступа): оно отменяет все остальные разрешения.

      В отличие от прав доступа к общим ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в данной папке, могут иметь другие разрешения, нежели она сама.

    Разрешения NTFS для файла превалируют над разрешениями для папки, которой он содержится. Например, если пользователь имеет разрешения Read (Чтение) для папки и Write (Запись) для вложенного в нее файла, то он сможет записывать данные в файл, но не сможет создать новый файл в папке.