При работе в домене или рабочей группе всегда возникает проблема совместного использования файловых ресурсов несколькими пользователями. Эта задача решается путем предоставления определенных папок в общий доступ. При этом также требуется решение задачи разграничения доступа к файлам и папкам, расположенным на файловом ресурсе. Эта задача решается путем использования прав доступа к файлам и папкам NTFS.
Использование разрешений NTFS.
Разрешения NTFS могут использоваться только на томах NTFS. Тома, размеченные FAT16 и FAT32 не поддерживают функций разграничения доступа.
Разрешения NTFS являются очень мощным и гибким инструментом, позволяющим решить следующие задачи:
разграничивать доступ к файлам и папкам для отдельных пользователей и групп;
контролировать работу с файлами и папками при помощи системы аудита;
отслеживать владение файлами.
При назначении разрешений рекомендуется предварительно произвести планирование, и только потом установку разрешений.
Планирование разрешений NTFS.
Придерживайтесь следующих правил при разграничении доступа к файловым ресурсам.
Храните отдельно файлы приложений и файлы данных. Рекомендуется размещать файлы ОС и приложений на одном диске, а файлы пользователей, домашние папки и т. п. - на других дисках. Это позволит назначать разрешения папкам целиком, а не отдельным файлам, а также значительно упростит резервное копирование данных.
Предоставляйте пользователям лишь необходимый уровень доступа. Если пользователю требуется только читать документ, установите разрешение Чтение для соответствующей учетной записи. Таким образом вы снизите вероятность случайного или преднамеренного удаления или модификации документа.
Используйте группы для назначения доступа к ресурсу. Создайте одну или более групп для назначения доступа (допустим, группу с правом читать документы и группу с правом их создавать и изменять). Назначьте этим группам соответствующие разрешения на папку. Включайте учетные записи пользователей в эти группы по мере необходимости для предоставления соответствующего уровня доступа.
Назначайте владельцам файлов и папок большие права, чем остальным пользователям. Это позволит пользователям модифицировать и удалять свои собственные файлы.
Не используйте явные запреты при установке разрешений. Используйте запрет доступа только при необходимости заблокировать определенный тип доступа для какой-либо учетной записи или группы. Не устанавливайте запреты для групп Пользователи, Пользователи домена, Администраторы и Все. Это может привести к полной блокировке доступа к файлу или папке.
Всегда указывайте в списках разрешений группу Администраторы и псевдо-учетную запись SYSTEM. Давайте им максимальные права. Это позволит избежать трудностей при различных операциях по резервному копированию и восстановлению данных.
Назначение стандартных разрешений NTFS.
Разрешения на файлы и папки устанавливаются с помощью программы Проводник или папки Мой компьютер. Для управления разрешениями выберите интересующую папку или файл, щелкните правой кнопкой мыши и в контекстном меню выберите Свойства. Управление разрешениями осуществляется на вкладке Безопасность окна свойств.
При форматировании тома NTFS группе Все назначается разрешение Полный доступ к корневой папке диска. Это разрешение по умолчанию наследуется для всех создаваемых на этом томе файлов и папок. Отсутствие вкладки Безопасность в свойствах файла или папки говорит о том, что файл или папка расположены не на томе NTFS и для них не могут назначаться разрешения.
На вкладке Безопасность вы можете просмотреть список пользователей и групп, которым назначены разрешения на доступ к выбранному объекту. Последовательно выбирая в списке имя пользователя или группу, устанавливайте разрешения для них при помощи флажков в списке Разрешить. Разрешения, унаследованные от родительского объекта, отображаются серыми флажками, их нельзя изменить, пока не отключено наследование.
Не используйте запреты без явной на то необходимости. Запреты обладают приоритетом над разрешениями, поэтому вы можете навсегда потерять доступ к объекту.
Чаще всего вы будете изменять разрешения для файлов или папок, которые уже имеют унаследованные разрешения. Перед изменением разрешений придется отменить наследование разрешений.
Чтобы добавить в список разрешений пользователя или группы, щелкните кнопку Добавить. Вы можете выбрать нужную группу или пользователя из списка и перенести в нижний список двойным щелчком или щелкнув кнопку Добавить.
Нажав кнопку Дополнительно, можно выбрать область поиска: локальный компьютер или один из доступных доменов. Список пользователей и групп содержит не только локальных пользователей и группы, но и псевдо-пользователей и псевдо-группы. Эти пользователи и группы могут использоваться для установки разрешений, но ими нельзя управлять при помощи стандартных средств.
Домены присутствуют в списке, только если компьютер является членом домена. Если компьютер входит в состав рабочей группы, список недоступен, а все операции осуществляются только на локальном компьютере.
Выбрав необходимых пользователей и группы, щелкните кнопку ОК. Вы вернетесь на вкладку Безопасность окна свойств файла или папки, где сможете настроить разрешения для каждого добавленного пользователя или группы.
Вы также можете удалить пользователя или группу из списка разрешений при помощи кнопки Удалить.
Непосредственная установка разрешений осуществляется по нажатию кнопки ОК или Применить. В зависимости от количества файлов в папке и вложенных папках, процесс установки разрешений может занять довольно много времени.
Не оставляйте файлы и папки с пустыми списками разрешений. Это приведет к блокировке доступа к файлу или папке. Если вы не знаете, какие разрешения установить на файл или папку, восстановите наследование разрешений или установите разрешения по умолчанию (Группе Все разрешение Полный доступ).
При восстановлении наследования разрешений унаследованные разрешения не появляются сразу в списке разрешений. Щелкните кнопку ОК, чтобы закрыть окно и сохранить изменения. После повторного открытия окна вы увидите унаследованные разрешения в списке.
Назначение специальных разрешений NTFS.
Иногда стандартных разрешений недостаточно для управления доступом к файлам и папкам. Кроме того, может потребоваться настроить аудит или сменить владельца файла или папки. Все эти операции могут быть осуществлены с помощью кнопки Дополнительно на вкладке Безопасность свойств объекта.
В окне специальных разрешений NTFS вы можете просмотреть и изменить специальные разрешения, а также область действия каждого из них.
Флажок Наследовать от родительского объекта применимые к дочерним... отвечает за наследование разрешений (как и при назначении стандартных разрешений).
Флажок Заменить разрешения для всех дочерних объектов... включает наследование для всех файлов и папок, входящих в указанную папку. Кроме этого у всех вложенных файлов и папок сбрасываются разрешения, установленные вручную и остаются только унаследованные разрешения.
Кнопка Добавить позволяет выбрать пользователей и группы, которые должны быть добавлены в список разрешений. После выбора установите разрешения и область их действия.
Специальные разрешения и их соответствие стандартным будут рассмотрены ниже.
В раскрывающемся списке Применять : вы можете выбрать область действия специальных разрешений. В качестве области действия разрешений могут быть указаны следующие.
Только для этой папки - разрешения будут установлены только для указанной папки. Подпапки и файлы не будут затронуты. Соответствующего пользователя или группы не будет в списках разрешений вложенных папок и файлов.
Для этой папки, ее подпапок и файлов - разрешения будут установлены для самой папки и всех вложенных файлов и папок. Область действия разрешений по умолчанию. Вложенные папки и файлы унаследуют разрешения от указанной папки.
Для этой папки и ее подпапок - разрешения будут установлены только для указанной папки и ее подпапок и не будут затрагивать файлы, расположенные в них. Соответствующего пользователя или группы не будет в списках разрешений вложенных файлов.
Для этой папки и ее файлов - разрешения будут установлены только для указанной папки и расположенных в ней файлов. Вложенные папки не будут затронуты. Соответствующего пользователя или группы не будет в списках разрешений вложенных папок.
Только для подпапок и файлов - разрешения будут установлены только для вложенных файлов и папок. Соответствующий пользователь или группа будут присутствовать в списках разрешений, как указанной папки, так и всех вложенных файлов и папок.
Только для подпапок - разрешения будут установлены только для вложенных папок. Соответствующий пользователь или группа будут присутствовать в списках разрешений, как указанной папки, так и всех вложенных папок, но не в списках разрешений вложенных файлов.
Только для файлов - разрешения будут установлены только для вложенных файлов. Соответствующий пользователь или группа будут присутствовать в списках разрешений, как указанной папки, так и всех вложенных файлов и папок.
Соответствие стандартных и специальных разрешений.
Каждое стандартное разрешение включает в себя несколько специальных. Поэтому при необходимости установить только одно специальное разрешение механизма стандартных разрешений не хватает.
Специальное разрешение
Входит в стандартное разрешение
Описание
Обзор папок/Выполнение файлов
Список содержимого папки
Разрешает запуск файла на выполнение или вход в папку
Содержание папки/Чтение данных
Чтение
Разрешает чтение содержимого файла или просмотр содержимого папки
Чтение атрибутов
Чтение
Разрешает чтение стандартных атрибутов файлов и папок
Чтение дополнительных атрибутов
Чтение
Разрешает чтение расширенных атрибутов файлов и папок
Создание файлов/Запись данных
Запись
Разрешает создание файлов в папке или запись данных в уже существующий файл
Создание папок/Дозапись данных
Запись
Разрешает дописывать данные в файл или создавать вложенные папки
Запись атрибутов
Запись
Разрешает запись стандартных атрибутов файлов и папок
Запись дополнительных атрибутов
Запись
Разрешает запись расширенных атрибутов файлов и папок
Удаление подпапок и файлов
Полный доступ
Разрешает удаление подпапок и файлов внутри папки. Не влияет на доступ к файлам
Удаление
Изменить
Разрешает удаление файла или папки. Не влияет на возможность удаления вложенных файлов и папок
Чтение разрешений
Чтение
Разрешает чтение разрешений файлов и папок
Смена разрешений
Полный доступ
Разрешает изменение и запись разрешений файлов и папок
Смена владельца
Полный доступ
Разрешает смену владельца файла или папки
Владение файлами.
По умолчанию пользователь, создавший файл или папку, является ее владельцем. Исключение составляют файлы и папки, созданные членами группы Администраторы и операционной системой. Владельцем этих файлов и папок всегда является группа Администраторы. Обычно владелец файла обладает большими правами на этот файл, чем любой другой пользователь. Чтобы стать владельцем файла или папки, необходимо обладать стандартным разрешением Полный доступ или специальным разрешением Смена владельца
Члены группы администраторов могут стать владельцами объекта, даже если для них непосредственно не указаны необходимые разрешения. Это позволяет администраторам восстанавливать доступ к объектам. Вы не можете назначить кого-либо владельцем файла или папки. Единственный вариант передать владение объектом другому пользователю - дать ему соответствующие разрешения на объект, чтобы он потом самостоятельно стал его владельцем.
Чтобы сменить владельца файла или папки, на вкладке Безопасность свойств объекта щелкните кнопку Дополнительно. В появившемся окне настройки специальных разрешений перейдите на вкладку Владелец.
Здесь вы можете увидеть текущего владельца объекта, а также список пользователей и групп, которые могут стать владельцами объекта. Обычно этот список содержит имя текущего пользователя, и, если текущий пользователь является администратором системы, группу Администраторы .
Для смены владельца достаточно выбрать нового владельца из списка и щелкнуть кнопку ОК. Если вы установите флажок Заменить владельца субконтейнеров и объектов , владелец будет изменен не только у текущего объекта, но и у всех файлов и подпапок.
Отмена наследования разрешений не влияет на замену владельца субконтейнеров и объектов - владелец будет изменен для всех вложенных файлов и папок независимо от того, включено наследование разрешений или нет.
Копирование и перемещение файлов.
При копировании и перемещении файлов и папок приходится учитывать разрешения, которые тоже переносятся вместе с файлами. Ниже представлена таблица, которая поможет систематизировать сведения о переносе прав при выполнении копирования и перемещения.
Том-источник
Том-приемник
Операция
Комментарии
C:, NTFS
C:, NTFS
Копирование
Файл наследует разрешения от папки назначения.
Вы становитесь владельцем скопированного файла.
C:, NTFS
C:, NTFS
Перемещение
Разрешения, установленные для файла, сохраняются.
Необходимо иметь разрешение Изменить для исходного файла, т. к. при перемещении он удаляется.
Смена владельца файла не происходит.
C:, NTFS
D:, NTFS
Копирование
Файл наследует разрешения от папки назначения.
Вы становитесь владельцем скопированного файла.
C:, NTFS
D:, NTFS
Перемещение
Файл наследует разрешения от папки назначения.
Необходимо иметь разрешение Изменить для исходного файла, т. к. при перемещении он удаляется.
Вы становитесь владельцем скопированного файла.
C:, NTFS
E:, FAT
Копирование
Все разрешения теряются.
C:, NTFS
E:, FAT
Перемещение
Все разрешения теряются.
Необходимо иметь разрешение Изменить для исходного файла, т. к. при перемещении он удаляется.
E:, FAT
C:, NTFS
Копирование Перемещение
Файл наследует разрешения от папки назначения.
Вы становитесь владельцем скопированного файла.
При копировании или перемещении файла или папки вы должны обладать разрешением Запись для конечной папки.
Типовые проблемы и способы их устранения.
Чтобы уменьшить вероятность возникновения различных проблем, связанных с разрешениями, придерживайтесь следующих рекомендаций.
Назначайте наиболее строгие разрешения NTFS, позволяющие пользователям выполнять только необходимые операции. Это поможет сохранить в целостности важные файлы и папки. *Назначайте все разрешения на уровне папок, а не файлов. Сгруппируйте файлы, требующие одного уровня доступа в папки, и задайте для этих папок соответствующие разрешения. *Назначайте группе СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ разрешение Полный доступ, чтобы пользователи имели возможность удалять и изменять созданные ими файлы. *Устанавливайте разрешения, но не запреты. Чтобы ограничить доступ пользователя или группы к папке, не включайте его в список разрешений. Используйте запреты, только если не можете ограничить доступ пользователя другим образом.
