Главная › Телефон › Разрешения для файлов и папок. Изменение разрешений NTFS Чем отличается ntfs full control от modify

Разрешения для файлов и папок. Изменение разрешений NTFS Чем отличается ntfs full control от modify

Информация взята из тринадцатой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).

На томах с файловой системой NTFS Вы можете установить разрешения безопасности для файлов и папок. Эти разрешения предоставляют или запрещают доступ к файлам и папкам. Для просмотра текущих разрешений безопасности выполните следующее:

Общее представление о разрешениях для файлов и папок

В Таблице 13-3 отражены базовые разрешения, применимые к файлам и папкам.
Существуют следующие базовые разрешения на доступ к файлам: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Чтение (Read) и Запись (Write).
Для папок применимы такие базовые разрешения: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Список содержимого папки (List Folder Contents), Чтение (Read) и Запись (Write).

При установке разрешений для файлов и папок всегда следует учитывать следующее:

Для запуска сценариев достаточно иметь разрешение на Чтение (Read). Разрешение на Выполнение файла (особое разрешение Execute File) не обязательно.

Для доступа к ярлыку и связанному объекту требуется разрешение на Чтение (Read).

Разрешение на Запись в файл (особое разрешение Write Data) при отсутствии разрешения на Удаление файла (особое разрешение Delete) все еще позволяет пользователю удалять содержимое файла.

Если пользователь имеет базовое разрешение Полный доступ (Full Control) к папке, он может удалять любые файлы в такой папке, независимо от разрешений на доступ к этим файлам.

Таблица 13-3 – Базовые разрешения для файлов и папок в Windows 2000

Базовое разрешение	Значение для папок	Значение для файлов
Чтение (Read)	Разрешает обзор папок и просмотр списка файлов и подпапок	Разрешает просмотр и доступ к содержимому файла
Запись (Write)	Разрешает добавление файлов и подпапок	Разрешает запись данных в файл
	Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется файлами и папками	Разрешает просмотр и доступ к содержимому файла, а также запуск исполняемого файла
	Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется только папками	Не применимо
Изменить (Modify)	Разрешает просмотр содержимого и создание файлов и подпапок; допускает удаление папки	Разрешает чтение и запись данных в файл; допускает удаление файла
Полный доступ (Full Control)	Разрешает просмотр содержимого, а также создание, изменение и удаление файлов и подпапок	Разрешает чтение и запись данных, а также изменение и удаление файла

Базовые разрешения созданы при помощи объединения в логические группы особых разрешений, которые показаны в Таблице 13-4 (для файлов) и 13-5 (для папок). Особые разрешения можно назначить индивидуально, используя дополнительные параметры настройки. При изучении особых разрешений для файлов, необходимо учитывать следующее:

Если группе или пользователю явно не определены права доступа, то доступ к файлу для них закрыт.

При вычислении действующих разрешений пользователя принимаются во внимание все разрешения назначенные пользователю, а также группам, членом которых он является. Например, если пользователь GeorgeJ имеет доступ на Чтение (Read), и в то же время входит в группу Techies, у которой доступ на изменение (Modify), то в результате, у пользователя GeorgeJ появляется доступ на изменение (Modify). Если группу Techies включить в группу Администраторы (Administrators) с полным доступом (Full Control), то GeorgeJ будет полностью контролировать файл.

Таблица 13-4 – Особые разрешения для файлов

Особые разрешения	Полный доступ (Full Control)	Изменить (Modify)	Чтение и выполнение (Read & Execute)	Чтение (Read)	Запись (Write)
Выполнение файлов (Execute File)	X	X	X
Чтение данных (Read Data)	X	X	X	X
	X	X	X	X
	X	X	X	X
Запись данных (Write Data)	X	X			X
Дозапись данных (Append Data)	X	X			X
	X	X			X
	X	X			X
Удаление (Delete)	X	X
	X	X	X	X	X
	X
	X

В Таблице 13-5 показаны особые разрешения, используемые для создания базовых разрешений для папок. При изучении особых разрешений для папок необходимо учитывать следующее:

При установке разрешений для родительской папки можно привести элементы разрешений файлов и подпапок в соответствие с разрешениями текущей родительской папки. Для этого нужно установить флажок Сбросить разрешения для всех дочерних объектов и включить перенос наследуемых разрешений (Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions) .

Создаваемые файлы наследуют некоторые разрешения от родительского объекта. Эти разрешения показаны, как разрешения файла по умолчанию.

Таблица 13-5 – Особые разрешения для папок

Особые разрешения	Полный доступ (Full Control)	Изменить (Modify)	Чтение и выполнение (Read & Execute)	Список содержимого папки (List Folder Contents)	Чтение (Read)	Запись (Write)
Обзор папок (Traverse Folder)	X	X	X	X
Содержание папки (List Folder)	X	X	X	X	X
Чтение атрибутов (Read Attributes)	X	X	X	X	X
Чтение дополнительных атрибутов (Read Extended Attributes)	X	X	X	X	X
Создание файлов (Create Files)	X	X				X
Создание папок (Create Folders)	X	X				X
Запись атрибутов (Write Attributes)	X	X				X
Запись дополнительных атрибутов (Write Extended Attributes)	X	X				X
Удаление подпапок и файлов (Delete Subfolders and Files)	X
Удаление (Delete)	X	X
Чтение разрешений (Read Permissions)	X	X	X	X	X	X
Смена разрешений (Change Permissions)	X
Смена владельца (Take Ownership)	X

Установка разрешений для файлов и папок

Для установки разрешений для файлов и папок выполните следующее:

1.	В выберите файл или папку и щелкните правой кнопкой мыши.
2.	В контекстном меню выберите команду Свойства (Properties) и в диалоговом окне перейдите на вкладку Безопасность (Security) , показанную на Рисунке 13-12. Рисунок 13-12 – Настройка базовых разрешений для файлов или папок на вкладке Безопасность (Security)
3.	В списке Имя (Name) перечислены пользователи или группы, имеющие доступ к файлу или папке. Чтобы изменить разрешения для этих пользователей или групп, выполните следующее: Выделите пользователя или группу, разрешения для которых Вы хотите изменить. Используйте список Разрешения: (Permissions) для задания или отмены разрешений. Совет. Флажки унаследованных разрешений затенены. Для отмены унаследованного разрешения измените его на противоположное.
4.	Для установки разрешений пользователям, контактам, компьютерам или группам, которых нет в списке Имя (Name) , нажмите кнопку Добавить (Add) . Появится диалоговое окно , показанное на Рисунке 13-13. Рисунок 13-13 – Выделите пользователей, компьютеры и группы, для которых необходимо разрешить или запретить доступ.
5.	Используйте диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups) для выбора пользователей, компьютеров или групп, для которых Вы хотите установить разрешения доступа. Это окно содержит поля, описание которых приводится ниже: Искать в (Look In) Этот раскрывающийся список позволяет просмотреть доступные учетные записи других доменов. В том числе, список текущего домена, доверенных доменов и других доступных ресурсов. Чтобы увидеть все учетные записи в папке, выберите Весь каталог (Entire Directory) . Имя (Name) Эта колонка показывает существующие учетные записи выбранного домена или ресурса. Добавить (Add) Эта кнопка добавляет выделенные имена в список выбранных имен. Проверить имена (Check Names) Эта кнопка позволяет проверить имена пользователей, компьютеров или групп в списке выбранных имен. Это может быть полезно, когда имена вводятся вручную и необходимо убедиться в их правильности.
6.	В списке Имя (Name) выделите пользователя, контакт, компьютер или группу для настройки, затем установите или снимите флажки в области Разрешения: (Permissions) для определения прав доступа. Повторите эти же действия и для других пользователей, компьютеров или групп.
7.	По завершении работы нажмите кнопку OK.

Аудит системных ресурсов

Применение аудита – это лучший способ для отслеживания событий в системах Windows 2000. Аудит можно использовать для сбора информации, связанной с использованием какого-либо ресурса. Примерами событий для аудита можно назвать доступ к файлу, вход в систему и изменения системной конфигурации. После включения аудита объекта, в журнал безопасности системы заносятся записи при любой попытке доступа к этому объекту. Журнал безопасности можно просмотреть из оснастки Просмотр событий (Event Viewer) .

Примечание. Для изменения большинства настроек аудита необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы», или иметь право Управление аудитом и журналом безопасности (Manage Auditing And Security Log) в групповой политике.

Установка политик аудита

Применение политик аудита существенно повышает безопасность и целостность систем. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности. Настройка политик аудита доступна в оснастке Групповая политика (Group Policy) . С помощью этого компонента можно установить политики аудита для целого сайта, домена, или подразделения. Политики также могут быть заданы для персональных рабочих станций или серверов.

После выбора необходимого контейнера групповой политики можно настроить политики аудита следующим образом:

1.	Как показано на Рисунке 13-14, найти узел можно продвигаясь вниз по дереву консоли: Конфигурация компьютера (Computer Configuration) , Конфигурация Windows (Windows Settings) , Параметры безопасности (Security Settings) , Локальные политики (Local Policies) , Политика аудита (Audit Policy) . Рисунок 13-14 – Настройка политики аудита с использованием узла Политика аудита (Audit Policy) в Групповой политике (Group Policy).
2.	Существуют следующие категории аудита: Аудит событий входа в систему (Audit Account Logon Events) отслеживает события, связанные с входом пользователя в систему и выходом из неё. Аудит управления учетными записями (Audit Account Management) отслеживает все события, связанные с управлением учетными записями, средствами оснастки . Записи аудита появляются при создании, изменении или удалении учетных записей пользователя, компьютера или группы. Отслеживает события доступа к каталогу Active Directory. Записи аудита создаются каждый раз при доступе пользователей или компьютеров к каталогу. Отслеживает события входа в систему или выхода из нее, а также удаленные сетевые подключения. Отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory. Аудит изменения политики (Audit Policy Change) отслеживает изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. Отслеживает каждую попытку применения пользователем предоставленного ему права или привилегии. Например, права архивировать файлы и каталоги. Примечание. Политика Аудит использования привилегий (Audit Privilege Use) не отслеживает события, связанные с доступом к системе, такие, как использование права на интерактивный вход в систему или на доступ к компьютеру из сети. Эти события отслеживаются с помощью политики Аудит входа в систему (Audit Logon Events) . Аудит отслеживания процессов (Audit Process Tracking) отслеживает системные процессы и ресурсы, используемые ими. Аудит системных событий (Audit System Events) отслеживает события включения, перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или отражаемые в журнале безопасности.
3.	Для настройки политики аудита дважды щелкните на нужной политике, или выберите в контекстном меню выбранной политики команду Свойства (Properties) . После этого откроется диалоговое окно Параметр локальной политики безопасности (Properties) .
4.	Установите флажок Определить следующий параметр политики (Define These Policy Settings) . Затем установите или снимите флажки Успех (Success) и Отказ (Failure) . Аудит успехов означает создание записи аудита для каждого успешного события (например, успешной попытки входа в систему). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки входа в систему).
5.	По завершении нажмите кнопку OK .

Аудит операций с файлами и папками

Если задействована политика Аудит доступа к объектам (Audit Object Access) , можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.

Для настройки аудита файла и папки проделайте следующее:

1.	В Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду Свойства (Properties) .
2.	Перейдите на вкладку Безопасность (Security) , а затем нажмите кнопку Дополнительно (Advanced) .
3.	В диалоговом окне перейдите на вкладку Аудит (Auditing) , показанную на Рисунке 13-15. Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).
4.	Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object) .
5.	Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries) .
6.	Используйте список Удалить (Remove) .
7.	Добавить (Add) для появления диалогового окна OK , появится диалоговое окно Элемент аудита для Имя папки или файла , показанное на Рисунке 13-16. Примечание. Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу Все (Everyone) . В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях. Рисунок 13-16 – Диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.
8.	Применять (Apply Onto) .
9.	Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениями (Таблицы 13-4 и 13-5) за исключением синхронизации автономных файлов и папок, аудит которой невозможен.
10.	По завершении нажмите кнопку OK . Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.

Аудит объектов каталога Active Directory

Если задействована политика Аудит доступа к службе каталогов (Audit Directory Service Access) , можно использовать аудит на уровне объектов службы каталогов Active Directory. Это позволит точно отслеживать их использование.

Для настройки аудита объекта проделайте следующее:

1.	В оснастке Active Directory - пользователи и компьютеры (Active Directory Users And Computers) выберите контейнер объекта.
2.	Щелкните по объекту для аудита правой кнопкой мыши и в контекстном меню выберите команду Свойства (Properties) .
3.	Перейдите на вкладку Безопасность (Security) и нажмите кнопку Дополнительно (Advanced) .
4.	Перейдите на вкладку Аудит (Auditing) диалогового окна Параметры управления доступом (Access Control Settings) . Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object) .
5.	Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove) .
6.	Чтобы добавить учетную запись, нажмите кнопку Добавить (Add) . Появится диалоговое окно Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups) , в котором выберите учетную запись для добавления. Когда нажмете OK , появится диалоговое окно *Элемент аудита для Имя папки или файла* (Auditing Entry For New Folder)** .
7.	Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto) .
8.	Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для каждого успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки удаления файла).
9.	По завершении нажмите кнопку OK . Повторите эти шаги для настройки аудита других пользователей, контактов, групп или компьютеров.

В данной статье подробно рассмотрены вопросы использования программы Xcacls.exe…

В данной статье подробно рассмотрены вопросы использования программы Xcacls.exe (средства Extended Change Access Control List) для просмотра и изменения разрешений NTFS для файлов и папок.
С помощью Xcacls.exe можно установить все параметры безопасности для файловой системы, доступ к которым осуществляется из командной строки в проводнике (с этой целью Xcacls.exe отображает и изменяет списки управления доступом (ACL) файлов).
Рекомендуется использовать Xcacls.exe для автоматической установки Windows 2000 Professional или Windows 2000 Server. С ее помощью устанавливаются исходные права доступа для папок, в которых находятся файлы операционной системы. В процессе переноса программного обеспечения на серверы и рабочие станции Xcacls.exe обеспечивает одноступенчатую защиту от удаления пользователем файлов и папок.
Программа Xcacls.exe входит в состав пакета Windows 2000 Resource Kit . В центре загрузки Microsoft доступен следующий файл:

Свернуть это изображениеРазвернуть это изображение

Синтаксис Xcacls.exe

xcacls имя_файла ] ]

где имя_файла - имя файла или папки, к которой обычно применяется список или элемент управления доступом. Можно использовать любые стандартные подстановочные знаки.
/T Рекурсивно просмотреть текущую и все вложенные папки, назначая указанные права доступа всем файлам и папкам, которые удовлетворяют требованиям.
/E - редактировать список управления доступом (не заменяя его). Например, после выполнения команды XCACLS test.dat /G Administrator:F доступом к файлу Test.dat обладает только учетная запись администратора. Все примененные ранее элементы управления доступом отменяются.
/C - Xcacls.exe продолжает работу даже после получения сообщения «Отказано в доступе». Если параметр /C не указан, появление этого сообщения приводит к остановке программы.
/G - пользователь:разрешение;особ_доступ Предоставить пользователю доступ к определенному файлу или папке.

Переменная разрешение служит для назначения указанных прав доступа к файлам и определения особой маски доступа к файлам для папок. Переменная разрешение принимает следующие значения:
- R - чтение
- C - изменение (запись)
- F - полный доступ
- P - изменение разрешений (особый доступ)
- O - смена владельца (особый доступ)
- X - запуск (особый доступ)
- E - чтение (особый доступ)
- W - запись (особый доступ)
- D - удаление (особый доступ)
Переменная особ_доступ (особый доступ) используется только с папками; принимает те же значения, что и переменная разрешение, а также следующее особое значение:
- T - значение не определено - назначить элемент управления доступом для каталога без указания элемента, который используется для создаваемых в этой папке файлов. Должно быть указано хотя бы одно право доступа. Текст между точкой с запятой (;) и параметром Т не учитывается. Примечания.
  - Параметры доступа для файлов (для папок - особого доступа к файлам и папкам) идентичны. Подробное описание этих параметров см. в документации к системе Windows 2000.
  - Прочие параметры (также назначаются в проводнике) представляют собой подмножества всех возможных сочетаний основных прав доступа. По этой причине особые права доступа к папкам (например, LIST или READ) отсутствуют.

/R пользователь Отменить все права доступа для указанного пользователя.
/P пользователь:разрешение;особ_доступ - заменить права доступа для указанного пользователя. Переменные «разрешение» и «особ_доступ» определяются по правилам, описанным для параметра /G. См. раздел этой статьи.
/D пользователь - запретить пользователю доступ к файлу или папке.
/Y - Отменить вывод запроса на подтверждение изменения прав доступа. Программа CACLS выводит такой запрос по умолчанию. По этой причине, если команда CACLS используется в составе пакетного файла, его выполнение прерывается до получения ответа на запрос. Параметр /Y используется для подавления вывода окна запроса в случае использования Xcacls.exe в пакетном режиме.

Использование программы Xcacls.exe для просмотра разрешений

Программу Xcacls.exe также можно использовать для просмотра разрешений для файлов и папок. Например, введите в командной строке xcacls C:\winnt и нажмите клавишу ВВОД. Обычно программа возвращает следующий результат.

C:\WINNT BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(special access:) GENERIC_READ GENERIC_EXECUTE BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F CREATOR OWNER:(OI)(CI)(IO)F

Флаги списка управления доступом имеют следующее значение.

IO : Inherit Only (только наследование) - данный элемент управления доступом не применяется к текущему объекту.
CI : Container Inherit (наследование контейнерами) - данный элемент управления доступом наследуется контейнерами более низкого уровня.
OI : Object Inherit (наследование объектами) - данный элемент управления доступом наследуется файлами более низкого уровня.
NP : Non-Propagate (не распространять) - объект более низкого уровня не передает дальше унаследованный элемент управления доступом.

Буква в конце каждой строки означает разрешение. Например:

F - полный доступ
C - изменение
W - запись

Примеры использования Xcacls.exe

Пример 1

Чтобы заменить список ACL для всех файлов и папок в текущей папке без просмотра вложенных папок и вывода запроса на подтверждение, введите в командной строке XCACLS *.* /G administrator:RW /Y и нажмите клавишу ВВОД.

Пример 2

Добавленные в данном примере элементы управления доступом также наследуют элементы управления доступом новых файлов, которые создаются в данной папке. После ввода данной команды пользователь TestUser получает право читать, изменять, запускать и удалять все файлы, которые создаются в данной папке, но имеет разрешение только на чтение и запись для самой папки. Введите в командной строке XCACLS *.* /G TestUser:RWED;RW /E и нажмите клавишу ВВОД.

Пример 3

В данном примере устанавливаются разрешения на чтение и запись в папку без создания наследуемого элемента для новых файлов. По этой причине для пользователя TestUser создаваемым в данной папке файлам не назначается элемент управления доступом. Для существующих файлов создается элемент управления доступом с разрешениями на чтение. Введите в командной строке XCACLS *.* /G TestUser:R;RW /E и нажмите клавишу ВВОД.

Инструкции по назначению разрешений NTFS

Назначая разрешения NTFS, принимайте во внимание следующее.

Разрешения NTFS служат для управления доступом к файлам и папкам.
Целесообразно устанавливать разрешения для групп, а не отдельных пользователей.
Разрешения для файлов имеют преимущество перед разрешениями для папок.
Назначением разрешений управляют администраторы и владелец объекта.
Изменяя разрешения для папок, помните о программах, которые установлены на сервере. Программы создают собственные папки, для которых устанавливается параметр Переносить наследуемые от родительского объекта разрешения на этот объект . Изменение разрешений в родительской папке может вызвать неполадки в работе программ.
Предупреждение . Многие папки и файлы получают разрешения через механизм наследования. Следовательно, изменение разрешений для одной папки может повлиять на другие объекты.

С помощью NTFS-разрешений мы можем более детально разграничить права в папке. Можем запретить определенной группе изменять определенный файл, оставив возможность редактирования всего основного; в одной и той же папке одна группа пользователей может иметь права изменения одного файла и не сможет просматривать другие файлы, редактируемые другой группой пользователей и наоборот. Короче говоря, NTFS-разрешения позволяют нам создать очень гибкую систему доступа, главное самому потом в ней не запутаться. К тому же NTFS-разрешения работают, как при доступе к папке по сети, дополняя разрешения общего доступа, так и при локальном доступе к файлам и папкам.

Существует шесть основных (basic) разрешений, которые являются комбинацией из 14 дополнительных (advanced) разрешений.

ОСНОВНЫЕ РАЗРЕШЕНИЯ:

Полный доступ (fullcontrol) – полный доступ к папке или файлу, с возможностью изменять права доступа и правила аудита к папкам и файлам
Изменение (modify) – право чтения, изменения, просмотра содержимого папки, удаления папок/файлов и запуска выполняемых файлов. Включает в себя Чтение и выполнение (readandexecute), Запись (write) и Удаление (delete).
Чтение и выполнение (readandexecute) – право открывать папки и файлы для чтения, без возможности записи. Также возможен запуск выполняемых файлов.
Список содержимого папки (listdirectory) – право просматривать содержимое папки
Чтение (read) – право открывать папки и файлы для чтения, без возможности записи. Включает в себя Содержание папки / Чтение данных (readdata), Чтение атрибутов (readattributes), Чтение дополнительных атрибутов (readextendedattributes) и Чтение разрешений (readpermissions)
Запись (write) – право создавать папки и файлы, модифицировать файлы. Включает в себя Создание файлов / Запись данных (writedata), Создание папок / Дозапись данных (appenddata), Запись атрибутов (writeattributes) и Запись дополнительных атрибутов (writeextendedattributes)

ДОПОЛНИТЕЛЬНЫЕ РАЗРЕШЕНИЯ

Траверс папок / выполнение файлов (traverse) – право запускать и читать файлы, независимо от прав доступа к папке. Доступа к папке у пользователя не будет, (что находится в папке останется загадкой) но файлы в папке будут доступны по прямой ссылке (полный, относительный или UNC-путь). Можно поставить на папку Траверс папок, а на файл любые другие разрешения, которые нужны пользователю для работы. Создавать и удалять файлы в папке у пользователя не получится.
Содержание папки / Чтение данных (readdata) – право просматривать содержимое папки без возможности изменения. Запускать и открывать файлы в просматриваемой папке нельзя
Чтение атрибутов (readattributes) – право просматривать атрибуты (FileAttributes) папки или файла. Просматривать содержимое папки или файлов или изменить какие-либо атрибуты нельзя.
Чтение дополнительных атрибутов (readextendedattributes) – право просматривать дополнительные атрибуты папки или файла.
Создание файлов / запись данных (writedata) – дает пользователю возможность создавать файлы в папке, в которую у него нет доступа. Можно копировать файлы в папку и создавать в папке новые файлы. Нельзя просматривать содержимое папки, создавать новые папки и изменять уже существующие файлы. Пользователь не сможет изменить какой-либо файл, даже если он является владельцем этого файла – только создавать.
Создание папок / дозапись данных (appenddata) – дает пользователю возможность создавать подпапки в папке и добавлять данные в конец файла, не изменяя существующее содержание.

Файловая система (англ. file system ) - регламент, определяющий способ организации, хранения и именования данных на носителях информации. Она определяет формат физического хранения информации, которую принято группировать в виде файлов. Конкретная файловая система определяет размер имени файла, максимальный возможный размер файла, набор атрибутов файла. Некоторые файловые системы предоставляют сервисные возможности, например, разграничение доступа или шифрование файлов.

Файловые системы:

FAT (File Allocation Table ) – файловая система, используемая в Dos и Windows
NTFS (от англ. New Technology File System - «файловая система новой технологии») - стандартная файловая система для семейства операционных систем WindowsXP, 2003

Возможности NTFS 5.0:

· Механизм разрешений на доступ к файлам и папкам. Обеспечивает гибкую систему ограничений для пользователей и групп.

· Сжатие файлов и папок. Встроенные средства сжатия данных позволяют экономить пространство на дисках, при этом все процедуры выполняются "прозрачно" для пользователя.

· Шифрование данных. Encrypting File System (EPS, Шифрующая файловая система) обеспечивает конфиденциальность хранящейся информации, причем в Windows Server 2003 устранены некоторые издержки этого механизма, допускающие "утечку информации".

· Дисковые квоты. Можно ограничить пространство, занимаемое на томе отдельными пользователями.

· Механизм точек повторной обработки (reparse points). Позволяет, в частности, реализовать точки соединения (junction points), с помощью которых целевая папка (диск) отображается в пустую папку (эта процедура называется монтированием диска), находящуюся в пространстве имен файловой системы NTFS 5.0 локального компьютера. Целевой папкой может служить любой допустимый путь Windows Server 2003.

· Распределенное отслеживание ссылок на файлы. Этот механизм позволяет сохранять актуальной ссылку на файл, даже если он был переименован или перемещен на другой том, расположенный на том же компьютере или на другом компьютере в пределах домена.

· Разреженные (sparse) файлы. NTFS эффективно хранит такие файлы, содержащие большое количество последовательных пустых байтов.

· Журнал изменений (change journal), где регистрируются все операции доступа к файлам и томам.

Центром файловой системы NTFS является файл, называемый главной таблицей файлов (Master File Table, MFT ). Он создается при форматировании тома для NTFS. MFT состоит из массива записей размером 1 Кбайт. Каждая запись идентифицирует один файл, расположенный на диске. NTFS оценивает размер файла, если он не больше 1 Кбайт, он запоминается в записи MFT.

При форматировании дисковые тома размечаются на кластеры – это минимальное пространство, выделяемое на диске для файлов.

Чтобы иметь возможность изменять права доступа к файлам и папкам вы берите в главном меню Проводника: Сервис -> Свойства папки . В появившемся окне снимите галочку Использовать простой общий доступ .

Для изменения прав доступа выберите в контекстном меню над файлом или папкой выберите пункт Общий доступ и безопасность и перейдите на вкладку Безопасность .

Здесь вы можете указать права каждого пользователя или группы на чтение, запись, выполнение этого файла или папки.

Изменить права доступа может владелец файла, которого можно увидеть, нажав Дополнительно и выбрав вкладку Владелец . Любой администратор может сделать себя владельцем файла или папки.

Чтобы зашифровать или сжать файл или папку выберите в контекстном меню над ним Свойства->Другие .

Будьте осторожны с шифрованием, если система будет переустановлена, зашифрованные файлы будут потеряны.

Задания:

1. Создайте на диске D: папку Тайна и закройте доступ к ней всем, кроме себя.

2. Создайте папку Библиотека и разрешите всем только чтение (не запись).

3. Найдите большой файл формата.doc, сожмите его, используя свойства NTFS, насколько меньше места он теперь занимает на диске, сравните со сжатием в.zip

4. Зашифруйте этот же файл (что придется для этого сделать?), проверьте его недоступность под другим пользователем.

5. Можно ли сжать зашифрованный файл используя.zip?

6. Создайте временного пользователя, поставьте пароль, под этим пользователем зашифруйте файл, затем под именем администратора сбросьте пароль у этого пользователя, будет ли доступен зашифрованный файл?

7. Подключите один из дисков как папку к другому диску, а букву с этого диска уберите (т.е. чтобы он был виден только как папка)

9. …

Реестр, tweaker’ы.

Источник: ru.wikipedia.org

Реестр Windows - база данных параметров и настроек операционной системы Microsoft Windows. Реестр содержит информацию и настройки для аппаратного обеспечения, программного обеспечения, пользователей, предустановки. При любых изменениях в Панели управления, ассоциациях файлов, системных политиках, инсталлированном ПО, все эти изменения фиксируются в реестре. Без реестра работа операционной системы невозможна.

Реестр Windows был введён для упорядочения информации, хранившейся до этого во множестве INI-файлов, которые использовались для хранения настроек до того как появился реестр.

Реестр расположен в нескольких файлах (sam, security, software, system) в папке %SystemRoot%\System32\Config , и в папке профилей пользователей компьютера (Ntuser.dat ). Для изменения реестра используется Редактор реестра : Пуск -> Выполнить -> regedit.

Помните, что редактор не проверяет правильность задания параметров, поэтому даже при опечатке любое изменение будет сохранено, что может привести к нежелательным последствиям. Сам по себе реестр не восстановится, и операционная система может отказаться загружаться.

По этой причине, прежде всего, сделайте резервную копию реестра или того раздела, который собираетесь изменить. Для этого на ветке (разделе) реестра нажмите правую кнопку и выберите Экспортировать , эта ветка будет сохранена в текстовом файле формата .reg . Впоследствии её можно будет импортировать в реестр – двойной щелчок на этом файле или правая кнопка и Слияние .

Реестр Windows ХР и Windows 2003 содержит следующие разделы (или поддеревья, или кусты):

· HKEY_CLASSES_ROOT – Данный раздел содержит сведения о файловых расширениях и программы, которые этим расширениям соответствуют. Здесь также содержится информация, необходимая для работы технологий СОМ и OLE. Некоторые данные, связанные с названным выше, содержатся в ключе HKEY_LOCAL_MACHINE\Software\Classes

· HKEY_CURRENT_USER – Здесь находится информация, которая касается активного на данный момент пользователя

· HKEY_LOCAL_MACHINE – Раздел содержит информацию о конфигурации компьютера и о том, как будут обрабатываться запуск и остановка установленных в системе служб и оборудования. Здесь также содержится информация, которая относится к SAM (Security Accounts Manager) и политикам безопасности. Данная ветвь наиболее интенсивно используется приложениями

· HKEY_USERS – Раздел содержит данные о пользователях компьютера. Каждому пользователю назначается определенная запись, название которой соответствует идентификатору SID данного пользователя

· HKEY_CURRENT_CONFIG – Эта ветвь связана с подключами в HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current. Данный раздел содержит информацию, которая относится к аппаратному обеспечению и используется в процессе предварительной загрузки, чтобы разрешить взаимосвязи определенного аппаратного обеспечения

Tweaker - программа тонкой настройки и оптимизации операционных систем семейства Windows. Используется как замена Редактора реестра Windows. Преимущества: наличие описания ключей реестра, наличие поиска и возможности ‘откатить’ изменения. Недостатки: иногда используются недокументированные возможности, Microsoft не рекомендует пользователям редактировать реестр.

Задания:

10. Используя Редактор реестра

a) Изменить ключи реестра, чтобы на экране приветствия использовалось сглаживание ClearType, изменить скринсейвер, возникающий при экране приветствия

b) Найти и экспортировать регистрационную информацию программы Nero(или другой)

11. Используя Tweaker (например, NeoTweaker)

a) Сделать так, чтобы на значках на рабочем столе не отображались стрелки

b) Попробуйте режим активного окна (x-мышь, как в unix) – окно становится активным при наведении на него указателя мыши, без дополнительного щелчка

c) Отключить автозапуск CD (автозапуск может быть небезопасен)

d) Отключить встроенную функцию записи CD

e) Изменить редактор html-кода в Internet Explorer с Блокнота на DreamWeaver

f) Сделайте так, чтобы на всплывающей подсказке над часами показывался день недели, а не только дата

g) Сделайте так, чтобы показывались команды, выполняемые при загрузке и выключении компьютера – это поможет выяснить, на что система тратит много времени

h) Установить задержку появления меню 100мс вместо 400мс

i) Отключить Диспетчер пакетов QoS (ускорит работу сети на 20%)

j) Измените процент свободного места на жестком диске, при котором система будет выдавать предупреждение о его нехватке

k) Отключите отправку в Microsoft отчетов об ошибках (в целях безопасности, экономии трафика и чтобы не надоедали вопросы после зависания какой-нибудь программы)

l) Включить автоматическое дописывание путей в командной строке по клавише Tab (т.е. вместо длинного пути вы можете написать первые символы и нажать Tab)

m) Сделать так чтобы NumLock был включен при загрузке

n) …

Службы.

Источник: computerra.ru, oszone.net

Служба Microsoft Windows - это приложение, работающее в фоновом режиме. Некоторые службы автоматически запускаются при загрузке компьютера, другие - только при возникновении определённых событий. Как правило, службы не имеют пользовательского интерфейса. Службы используются для реализации функциональности, работающей на протяжении длительного отрезка времени, и не требующей вмешательства пользователей, работающих на компьютере. Службы могут выполняться в контексте безопасности учетной записи, отличной от учетной записи текущего пользователя или учетной записи по умолчанию.

Во время работы Windows XP запущено множество служб, но не все из них полезны для нормальной работы вашего компьютера. Для просмотра списка запущенных служб необходимо проделать следующее:

· Пуск – Выполнить – cmd – net start – список запущенных служб ,

или Пуск – Выполнить – cmd – services.msc,
или Пуск – Администрирование – Службы

Таблица 1. Службы Windows 2000/XP/2003 Server
Название службы	Описание службы	Возможность выключения
Bluetooth Support Service	Поддерживает Bluetooth-устройства, установленные на компьютере, и обнаруживает другие устройства в радиусе действия	Выключить, если вы не используете устройства, соединяющиеся с вашим ПК с помощью Bluetooth-связи
DHCP-клиент	Управляет конфигурацией сети посредством регистрации и обновления IP-адресов и DNS-имен
DNS-клиент	Разрешает для данного компьютера DNS-имена в адресах и помещает их в кэш. Если служба остановлена, не удастся разрешить DNS-имена и разместить службу каталогов Active Directory контроллеров домена	Если сеть не используется, можно безболезненно выключить ее
Fax	Позволяет отправлять и получать факсимильные сообщения, используя ресурсы этого компьютера и сетевые ресурсы	Если не используем данную функцию, то смело выключаем ее
MS Software Shadow Copy Provider	Управляет теневыми копиями, полученными при помощи теневого копирования тома	В большинстве случаев можно выключить
QoS RSVP	Обеспечивает рассылку оповещений в сети и управление локальным трафиком для QoS-программ и управляющих программ	Вкупе с выключением резервирования трафика QoS полностью отключает резервирование канала QoS. Выключить
NetMeeting Remote Desktop Sharing	Разрешает проверенным пользователям получать доступ к рабочему столу Windows через корпоративную интрасеть, используя NetMeeting. Если эта служба остановлена, удаленное управление рабочим столом недоступно	Вряд ли кто-то захочет доверить управление своим ПК кому-то другому. Прибавим к этому потенциальную опасность несанкционированного проникновения в систему и сделаем вывод - выключить
Telnet	Позволяет удаленному пользователю входить в систему и запускать программы, поддерживает различных клиентов TCP/IP Telnet, включая компьютеры с операционными системами Unix и Windows. Если эта служба остановлена, удаленный пользователь не сможет запускать программы	Если эта функция не используется, обязательно выключаем ее, иначе грозит опасность несанкционированного проникновения в систему
Автоматическое обновление	Загрузка и установка обновлений Windows. Если служба отключена, то на этом компьютере будет нельзя использовать возможности автоматического обновления или веб-узел Windows Update	Выключить, так как любые обновления всегда можно выполнить вручную
Адаптер производительности WMI	Предоставляет информацию о библиотеках производительности от поставщиков WMI HiPerf	В большинстве случаев можно выключить, хотя, возможно, кому-то может понадобиться
Беспроводная настройка	Предоставляет автоматическую настройку адаптеров 802.11	Если не пользуемся Wi-Fi, то выключить
Брандмауэр Windows/общий доступ к Интернету (ICS)	Обеспечивает поддержку служб трансляции адресов, адресации и разрешения имен или предотвращает вторжение служб в домашней сети или сети небольшого офиса	Если вы используете FireWall стороннего производителя и ваш ПК не является интернет-шлюзом для другого ПК в сети, то смело выключайте
Вторичный вход в систему	Позволяет запускать процессы от имени другого пользователя. Если служба остановлена, этот тип регистрации пользователя недоступен	Выключить, иначе эта служба может стать причиной несанкционированного проникновения в систему
Диспетчер автоподключений удаленного доступа	Создает подключение к удаленной сети, когда программа обращается к удаленному DNS- или NetBIOS-имени или адресу	Используется очень редко, поэтому можно смело выключить
Диспетчер сеанса справки для удаленного рабочего стола	Управляет возможностями удаленного помощника. После остановки службы удаленный помощник будет недоступен	Создает потенциальную опасность проникновения в систему, а помощь от нее сомнительная. Выключить
Диспетчер сетевого DDE	Управляет сетевыми общими ресурсами динамического обмена данными (DDE). Если служба остановлена, сетевые общие ресурсы DDE не будут доступны
Диспетчер очереди печати	Загружает в память файлы для последующей печати	Нет принтера - выключить
Журналы и оповещения производительности	Управляет сбором данных о производительности с локального или удаленных компьютеров. Сбор выполняется на основе заданного расписания и обеспечивает запись этих данных в журналы или инициирует оповещение	В большинстве ситуаций запись данных о производительности не потребуется. Спокойно выключаем
Источник бесперебойного питания	Управляет источниками бесперебойного питания, подключенными к компьютеру.	Нет ИБП, выключить
Координатор распределенных транзакций	Координация транзакций, охватывающих несколько диспетчеров ресурсов, таких как базы данных, очереди сообщений и файловые системы. Если служба остановлена, транзакции выполнены не будут	Если ПК не является сервером, использующим базы данных, можно смело выключить
Модуль поддержки NetBIOS через TCP/IP	Включает поддержку службы NetBIOS через TCP/IP (NetBT) и разрешения NetBIOS-имен в адреса	Если по каким-то причинам нужна поддержка NetBIOS через TCP/IP, эту службу не трогаем. Но в большинстве случаев ее можно спокойно выключить
Монитор инфракрасной связи	Поддерживает IrDA-устройства, установленные на компьютере, и обнаруживает другие устройства в радиусе действия	Если вы не используете устройства, соединяющиеся с вашим ПК с помощью инфракрасной связи, выключить
Обозреватель компьютеров	Обслуживает список компьютеров в сети и выдает его программам по запросу. Если служба остановлена, список не будет создан или обновлен	Если сеть не используется, то выключить, хотя, в общем-то, достаточно оставить ее включенной на одном ПК в вашей сети
Планировщик заданий	Позволяет настраивать расписание автоматического выполнения задач на этом компьютере. Если служба остановлена, эти задачи не могут быть запущены в установленное расписанием время	Если вы не испытываете острого желания запускать программы автоматически в установленное время, то выключить
Сервер	Обеспечивает общий доступ к файлам, принтерам и именованным каналам для данного компьютера через сетевое подключение. Если служба остановлена, эти функции выполнить не удастся	Если сеть не используется, можно безболезненно выключить
Служба времени Windows	Управляет синхронизацией даты и времени на всех клиентах и серверах в сети. Если служба остановлена, синхронизация даты и времени будет недоступна	Если сеть не используется, то выключить, хотя и при наличии сети выключение этой службы в большинстве случаев не помешает
Служба обнаружения SSDP	Включить обнаружение UPnP-устройств в домашней сети	Если сеть не используется, то выключить, да и при наличии сети нужна редко
Справка и поддержка	Обеспечивает возможность работы центра справки и поддержки на этом компьютере. Если служба остановлена, центр справки и поддержки будет недоступен	Выключить, так как толку от этой поддержки... Хотя если вам без этой службы не обойтись, можете оставить включенной
Служба сетевого DDE	Обеспечивает сетевой транспорт и безопасность для динамического обмена данными (DDE) в программах, выполняющихся на одном или на нескольких компьютерах. Если служба остановлена, сетевой транспорт и безопасность DDE будут недоступны	Если сеть не используется, можно безболезненно выключить
Удаленный реестр	Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере	Вряд ли кто-то захочет доверить управление своим реестром кому-то другому. Прибавим сюда потенциальную опасность несанкционированного проникновения в систему и сделаем вывод: выключить
Служба терминалов	Предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов	Если сеть не используется, можно безболезненно выключить. Да и при наличии сети хорошо подумайте, надо ли вам, чтобы кто-то кроме вас имел доступ к вашему ПК?
Служба восстановления системы	Выполняет функции восстановления системы. Чтобы остановить службу, следует отключить восстановление системы на вкладке "Восстановление системы" свойств компьютера	Если вам не нужно откатывать систему к определенной дате, то выключить, поскольку служба требует много места на жестком диске. Я, правда, не стал этого делать, так как иногда при ошибках, случившихся по моей вине, приходилось откатывать систему
Служба регистрации ошибок	Позволяет регистрировать ошибки для служб и приложений, выполняющихся в нестандартной среде	Для большинства пользователей бесполезная служба. Выключить
Сетевой вход в систему	Поддерживает сквозную идентификацию событий входа учетной записи для компьютеров домена	Если сеть не используется или сеть без доменов, то выключить
Служба сетевого расположения (NLA)	Собирает и хранит сведения о размещении и настройки сети и уведомляет приложения об их изменении	Если сеть не используется, можно безболезненно выключить
Служба сообщений	Посылает и получает сообщения, переданные администраторами или службой оповещений. Не имеет отношения к MSN Messenger. Если служба остановлена, оповещение передано не будет	Если сеть не используется, можно безболезненно выключить
Уведомление о системных событиях	Протоколирует системные события в сети (такие как регистрация в Windows) и изменения в подаче электропитания. Уведомляет подписчиков из разряда "COM+системное событие", рассылая оповещения	Можно спокойно выключить. Эта служба редко кому нужна
Совместимость быстрого переключения пользователей	Управление приложениями, которые требуют поддержки в многопользовательской среде	В большинстве случаев выключить, так как программ, которые используют эту службу, очень мало. Правда, есть одно "но": если вы хотите работать под своей учетной записью, не прерывая процессов другой учетной записи, эту службу выключать нельзя
Смарт-карты	Управляет доступом к устройствам чтения смарт-карт. Если служба остановлена, компьютер не сможет считывать смарт-карты	Если вы не пользуетесь смарт-картами, выключить
Служба загрузки изображений (WIA)	Обеспечивает службы получения изображений со сканеров и цифровых камер	Если сканер и цифровая камера не используются на данном ПК, выключить

Задания:

1. Настроить так называемую ‘игровую’ конфигурацию служб, когда отключаются все службы, кроме самых необходимых, для обеспечения максимальной производительности компьютера.

3. Включить службы, отвечающие за работу локальной сети и интернета.

4. …

Драйверы, directX.

В любой системе на базе технологий Windows NT существуют специальные сетевые ресурсы. Имена некоторых ресурсов заканчиваются символом $ , такие сетевые ресурсы через " Сетевое окружение " или при открытии ресурсов сервера с помощью команды " \\<имя сервера> " не будут видны. Однако, если указать полное UNC-имя сетевого ресурса, то можно увидеть данные, размещенные в нем.

Перечислим эти ресурсы:

ресурс вида " \\<имя сервера>\admin$ " (например, \\DC1\admin$ ) - предназначен для удаленного администрирования компьютера; путь всегда соответствует местоположению папки, в которой установлена система Windows; к этому ресурсу могут подключаться только члены групп Администраторы , Операторы архива и Операторы сервера ;
ресурс вида " \\<имя сервера>\< буква диска>$ " (например, \\DC1\C$ ) - корневая папка указанного диска;. к сетевым ресурсам такого типа на сервере Windows могут подключаться только члены групп Администраторы , Операторы архива и Операторы сервера ; на компьютерах с Windows XP Professional и Windows 2000 Professional к таким ресурсам могут подключаться члены групп Администраторы и Операторы архива ;
ресурс " \\<имя сервера>\IРС$ " (например, \\DC1\IP$ ) - используется для удаленного администрирования;
ресурс " \\<имя сервера>\NETLOGON " (например, \\DC1\NETLOGON ) - используется только на контроллерах домена, в данной сетевой папке хранятся скрипты (сценарии) для входа пользователей в систему, совместимые с предыдущими версиями операционных систем Microsoft;
ресурс " \\<имя сервера>\SYSVOL " - используется только на контроллерах домена, в данной сетевой папке хранится файловая часть групповых политик;
ресурс " \\<имя сервера>\PRINT$ " - ресурс, который поддерживает совместно используемые принтеры, в частности, в данной папке хранятся драйверы для совместно используемых принтеров.

Просмотреть полный список ресурсов, предоставляемых данным сервером для совместного использования, можно в оснастке " Общие папки ", в разделе " Общие ресурсы " (рис. 8.35):

Рис. 8.35.

В этом же разделе данной оснастки можно отключать ресурсы от совместного использования в сети, менять сетевые разрешения, создавать новые сетевые ресурсы.

Кроме специальных сетевых ресурсов с символом $ в конце названия ресурса, предоставленных группам с высокими полномочиями, с этим символом можно предоставить доступ к любому другому ресурсу, которые предоставляется в сетевой доступ самим администратором. В этом случае сетевой ресурс также будет скрыт при обычном просмотре сети, но будет доступен при указании полного UNC-имени, причем доступ можно разрешить тем группам пользователей, которым нужен данный ресурс.

Разрешения NTFS

Еще раз подчеркнем, что сетевые разрешения действуют только при доступе к ресурсам через сеть. Если пользователь вошел в систему локально, то теперь управлять доступом можно только с помощью разрешений NTFS. На томе (разделе) с системой FAT пользователь будет иметь полный доступ к информации данного тома.

Разрешения NTFS можно установить, открыв Свойства папки или файла и перейдя на закладку " Безопасность " (Security ). Как видно на рис. 8.36 , набор видов NTFS-разрешений намного богаче, чем набор сетевых разрешений.

Рис. 8.36.

На томе NTFS можно назначать следующие виды разрешений для папок:

Полный доступ ;
Изменить ;
Чтение и выполнение ;
Список содержимого папки ;
Чтение ;
Запись ;
Особые разрешения .

Для файлов отсутствует вид " Чтение содержимого папки ".

Если на закладке разрешений нажать кнопку " Дополнительно ", то можно осуществлять более тонкую настройку разрешений.

Разрешения NTFS могут быть явными или унаследованными . По умолчанию все папки или файлы наследуют разрешения того объекта-контейнера (родительского объекта ), в котором они создаются. Использование унаследованных разрешений облегчает работу по управлению доступом. Если администратору нужно изменить права доступа для какой-то папки и всего ее содержимого, то достаточно сделать это для самой папки и изменения будут автоматически действовать на всю иерархию вложенных папок и документов. На рис. 8.36 . видно, что группа " Администраторы " имеет унаследованные разрешения типа " Полный доступ " для папки Folder1 . А на рис. 8.37 . показано, что группа " Пользователи " имеет набор явно назначенных разрешений:

Рис. 8.37.

Изменить унаследованные разрешения нельзя. Если нажать на кнопку " Дополнительно ", то можно отменить наследование разрешений от родительского объекта. при этом система предложит два варианта отмены наследования: либо скопировать прежние унаследованные разрешения в виде явных разрешений, либо удалить их совсем.

Механизм применения разрешений

В пункте 8.1 было сказано, что каждый файл представляет собой набор атрибутов. Атрибут, который содержит информацию об NTFS-разрешения, называется списком управления доступом (ACL, Access Control List ). Структура ACL приведена в табл. 8.4 . Каждая запись в ACL называется элементом управления доступом (ACE, Access Control Entry ).

В таблице перечислены идентификаторы безопасности учетных записей пользователей, групп или компьютеров (SID) и соответствующие разрешения для них. На рисунках 8.36 или 8.37 вместо SID-ов показаны имена занесенных в ACL пользователей и групп. В разделе 4 говорилось, что при входе пользователя в сеть (при его регистрации в домене) в текущую сессию пользователя на компьютере контроллер домена пересылает маркер доступа, содержащий SID-ы самого пользователя и групп, членом которых он является. Когда пользователь пытается выполнить какое-либо действие с папкой или файлом (и при этом запрашивает определенный вид доступа к объекту), система сопоставляет идентификаторы безопасности в маркере доступа пользователя и идентификаторы безопасности, содержащиеся в ACL объекта. При совпадении тех или иных SID-ов пользователю предоставляются соответствующие разрешения на доступ к папке или файлу.

Заметим, что когда администратор изменяет членство пользователя в группах (включает пользователя в новую группу или удаляет из какой-либо группы), то маркер доступа пользователя при этом автоматически НЕ изменяется. Для получения нового маркера доступа пользователь должен выйти из системы и снова войти в нее. Тогда он получит от контроллера домена новый маркер доступа, отражающий смену членства пользователя в группах

Порядок применения разрешений

Принцип применения NTFS-разрешений на доступ к файлу или папке тот же, что и для сетевых разрешений:

сначала проверяются запреты на какие-либо виды доступа (если есть запреты, то данный вид доступа не разрешается);
затем проверяется набор разрешений (если есть разные виды разрешений для какого-либо пользователя и групп, в которые входит данный пользователь, то применяется суммарный набор разрешений).

Но для разрешений NTFS схема немного усложняется. Разрешения применяются в следующем порядке:

явные запреты;
явные разрешения;
унаследованные запреты;
унаследованные разрешения.

Если SID пользователя или SID-ы групп, членом которых является данный пользователь, не указаны ни в явных, ни в унаследованных разрешениях, то доступ пользователю будет запрещен.

Владение папкой или файлом

Пользователь, создавший папку или файл, является Владельцем данного объекта. Владелец объекта обладает правами изменения NTFS-разрешений для этого объекта, даже если ему запрещены другие виды доступа. Текущего владельца объекта можно увидеть, открыв Свойства объекта, затем закладку " Безопасность ", затем нажав кнопку " Дополнительно " и перейдя на закладку " Владелец " (рис. 8.38):

Рис. 8.38.

Внимание ! Администратор системы может сменить владельца объекта, выбрав нового владельца из предлагаемого в данном окне списка или из полного списка пользователей (нажав кнопку " Иные пользователи или группы "). Эта возможность предоставлена администраторам для того, чтобы восстановить доступ к объекту в случае утери доступа по причине неправильно назначенных разрешений или удаления учетной записи, имевшей исключительный доступ к данному объекту (например, уволился единственный сотрудник, имевший доступ к файлу, администратор удалил его учетную запись, вследствие этого был полностью потерян доступ к файлу, восстановить доступ можно единственным способом - передача владения файла администратору или новому сотруднику, исполняющему обязанности уволившего сотрудника).

Совместное использование сетевых разрешений и разрешений NTFS

При доступе по сети к файловым ресурсам, размещенным на томе NTFS, к пользователю применяется комбинация сетевых разрешений и разрешений NTFS.

При доступе через сеть сначала вычисляются сетевые разрешения (путем суммирования разрешений для пользователя и групп, в которые входит пользователь). Затем также путем суммирования вычисляются разрешения NTFS. Итоговые действующие разрешения, предоставляемые к данному конкретному объекту, будут представлять собой минимум из вычисленных сетевых и NTFS-разрешений.

Управление доступом с помощью групп

Группы пользователей созданы специально для того, чтобы более эффективно управлять доступом к ресурсам. Если назначать права доступа к каждому ресурсу для каждого отдельного пользователя, то, во-первых, это очень трудоемкая работа, и во-вторых, затрудняется отслеживание изменений в правах доступа при смене каким-либо пользователем своей должности в подразделении или переходе в другое подразделение.

Повторим материал из раздела 4. Для более эффективного управления доступом рекомендуется следующая схема организации предоставления доступа:

учетные записи пользователей (accounts ) включаются в глобальные доменные группы (global groups ) в соответствии со штатной структурой компании/организации и выполняемыми обязанностями;
глобальные группы включаются в доменные локальные группы или локальные группы на каком-либо сервере (domain local groups , local groups ) в соответствии с требуемыми правами доступа для того или иного ресурса;
соответствующим локальным группам назначаются необходимые разрешения (permissions ) к конкретным ресурсам.

Данная схема по первым буквам используемых объектов получила сокращенное название AGLP (A ccounts G lobal groups L ocal groups P ermissions). При такой схеме, если пользователь повышается или понижается в должности или переходит в другое подразделение, то нет необходимости просматривать все сетевые ресурсы , доступ к которым необходимо изменить для данного пользователя. Достаточно изменить соответствующим образом членство пользователя в глобальных группах , и права доступа к сетевым ресурсам для данного пользователя изменятся автоматически .

Добавим, что в основном режиме функционирования домена Active Directory (режимы " Windows 2000 основной " или " Windows 2003 ") с появлением вложенности групп и универсальных групп схема AGLP модифицируется в схему AGG…GULL…LP .