Oprávnění pro soubory a složky. Změna oprávnění NTFS Jaký je rozdíl mezi plnou kontrolou NTFS a úpravou

Informace převzaty ze třinácté kapitoly knihy "Windows 2000. Administrator's Guide." William R. Staněk.

Na svazcích se systémem souborů NTFS můžete nastavit oprávnění zabezpečení pro soubory a složky. Tato oprávnění udělují nebo zakazují přístup k souborům a složkám. Chcete-li zobrazit aktuální bezpečnostní oprávnění, postupujte takto:

Vysvětlení oprávnění souborů a složek

Tabulka 13-3 ukazuje základní oprávnění, která se vztahují na soubory a složky.
Základní oprávnění k souborům jsou Úplné řízení, Upravit, Číst a spouštět, Číst a Zápis.
Pro složky platí následující základní oprávnění: Úplné řízení, Upravit, Číst a spouštět, Zobrazit obsah složky, Číst a Zápis.

Při nastavování oprávnění pro soubory a složky byste měli mít vždy na paměti následující:

Chcete-li spouštět skripty, potřebujete pouze oprávnění ke čtení. Oprávnění Execute File (speciální oprávnění ke spuštění souboru) je volitelné.
Pro přístup ke zkratce a jejímu přidruženému objektu je vyžadováno oprávnění ke čtení.
Oprávnění k zápisu do souboru (zvláštní oprávnění k zápisu dat) bez oprávnění k odstranění souboru (zvláštní oprávnění Delete) stále umožňuje uživateli smazat obsah souboru.
Pokud má uživatel základní oprávnění Úplné řízení pro složku, může odstranit jakékoli soubory v této složce bez ohledu na oprávnění k těmto souborům.

Tabulka 13-3 – Základní oprávnění pro soubory a složky ve Windows 2000

Základní rozlišení Význam pro složky Význam pro soubory
Číst Umožňuje procházení složek a zobrazení seznamu souborů a podsložek Umožňuje prohlížení a přístup k obsahu souboru
Napsat Umožňuje přidávání souborů a podsložek Umožňuje zápis dat do souboru
Umožňuje procházení složek a zobrazení seznamu souborů a podsložek; zděděné soubory a složkami Umožňuje prohlížení a přístup k obsahu souboru a také spuštění spustitelného souboru
Umožňuje procházení složek a zobrazení seznamu souborů a podsložek; zděděno pouze složkami Nelze použít
Modifikovat Umožňuje prohlížení obsahu a vytváření souborů a podsložek; umožňuje smazání složky Umožňuje čtení a zápis dat do souboru; umožňuje mazání souborů
Plná kontrola Umožňuje prohlížení obsahu a také vytváření, úpravy a mazání souborů a podsložek Umožňuje čtení a zápis dat, stejně jako úpravu a mazání souboru

Základní oprávnění se vytvářejí seskupením konkrétních oprávnění do logických skupin, které jsou uvedeny v tabulce 13-4 (pro soubory) a 13-5 (pro složky). Konkrétní oprávnění lze přiřadit individuálně pomocí pokročilých nastavení. Když se dozvíte o konkrétních oprávněních k souborům, zvažte následující:

Pokud nejsou pro skupinu nebo uživatele explicitně definována přístupová práva, je jim přístup k souboru odepřen.
Při výpočtu skutečných oprávnění uživatele se berou v úvahu všechna oprávnění přiřazená uživateli a také skupiny, kterých je uživatel členem. Pokud má například uživatel GeorgeJ přístup ke čtení a zároveň je členem skupiny Techies, která má přístup k úpravám, pak má uživatel GeorgeJ přístup k úpravám. Pokud je skupina Techies zahrnuta do skupiny Administrators s plnou kontrolou, pak bude mít GeorgeJ plnou kontrolu nad souborem.

Tabulka 13-4 – Zvláštní oprávnění k souborům

Zvláštní oprávnění Plná kontrola Modifikovat Číst a spouštět Číst Napsat
Spustit soubor X X X
Číst data X X X X
X X X X
X X X X
Zápis dat X X X
Připojit data X X X
X X X
X X X
Vymazat X X
X X X X X
X
X

Tabulka 13-5 ukazuje konkrétní oprávnění použitá k vytvoření základních oprávnění složek. Když se dozvíte o zvláštních oprávněních ke složce, zvažte následující:

Když nastavíte oprávnění pro nadřazenou složku, můžete porovnat prvky oprávnění souborů a podsložek s oprávněními aktuální nadřazené složky. Chcete-li to provést, musíte zaškrtnout políčko Obnovit oprávnění u všech podřízených objektů a povolit šíření dědičných oprávnění.
Soubory, které jsou vytvořeny, dědí některá oprávnění z nadřazeného objektu. Tato oprávnění jsou zobrazena jako výchozí oprávnění k souboru.

Tabulka 13-5 – Zvláštní oprávnění pro složky

Zvláštní oprávnění Plná kontrola Modifikovat Číst a spouštět Vypsat obsah složky Číst Napsat
Procházet složku X X X X
Vypsat obsah složky X X X X X
Přečtěte si atributy X X X X X
Přečtěte si rozšířené atributy X X X X X
Vytvořit soubory X X X
Vytvořit složky X X X
Napište atributy X X X
Napište rozšířené atributy X X X
Odstraňte podsložky a soubory X
Vymazat X X
Číst oprávnění X X X X X X
Změnit oprávnění X
Převzít vlastnictví X

Nastavení oprávnění pro soubory a složky

Chcete-li nastavit oprávnění pro soubory a složky, postupujte takto:

1. Vyberte soubor nebo složku a klikněte pravým tlačítkem.
2. V kontextové nabídce vyberte příkaz Vlastnosti a v dialogovém okně přejděte na kartu Bezpečnostní, znázorněné na obrázku 13-12.


Obrázek 13-12 – Nastavení základních oprávnění pro soubory nebo složky na kartě Zabezpečení

3. Na seznamu název uvádí uživatele nebo skupiny, které mají přístup k souboru nebo složce. Chcete-li změnit oprávnění pro tyto uživatele nebo skupiny, postupujte takto:

Vyberte uživatele nebo skupinu, pro kterou chcete změnit oprávnění.

Použijte seznam Oprávnění: nastavit nebo zrušit oprávnění.

Rada. Zaškrtávací políčka zděděných oprávnění jsou zašedlá. Chcete-li přepsat zděděné oprávnění, změňte jej na jeho opak.

4. Chcete-li nastavit oprávnění pro uživatele, kontakty, počítače nebo skupiny, které nejsou uvedeny název, zmáčknout tlačítko Přidat. Zobrazí se dialogové okno, jak je znázorněno na obrázku 13-13.


Obrázek 13-13 – Vyberte uživatele, počítače a skupiny, kterým chcete povolit nebo zakázat přístup.

5. Použijte dialogové okno Vyberte Uživatelé, Počítače nebo Skupiny vyberte uživatele, počítače nebo skupiny, pro které chcete nastavit přístupová oprávnění. Toto okno obsahuje pole popsaná níže:

Koukni do Tento rozevírací seznam umožňuje zobrazit dostupné účty z jiných domén. Včetně seznamu aktuální domény, důvěryhodných domén a dalších dostupných zdrojů. Chcete-li zobrazit všechny účty ve složce, vyberte Celý adresář.

název Tento sloupec zobrazuje existující účty pro vybranou doménu nebo prostředek.

Přidat Toto tlačítko přidá zvýrazněná jména do seznamu vybraných jmen.

Zkontrolujte jména Toto tlačítko umožňuje zkontrolovat jména uživatelů, počítačů nebo skupin v seznamu vybraných jmen. To může být užitečné, když jména zadáváte ručně a chcete se ujistit, že jsou správné.

6. Na seznamu název zvýrazněte uživatele, kontakt, počítač nebo skupinu, kterou chcete nakonfigurovat, a poté zaškrtněte nebo zrušte zaškrtnutí políček v Oprávnění: k určení přístupových práv. Opakujte stejné kroky pro ostatní uživatele, počítače nebo skupiny.
7. Po dokončení stiskněte tlačítko OK.

Audit systémových prostředků

Auditování je nejlepším způsobem sledování událostí v systémech Windows 2000 Auditování lze použít ke shromažďování informací souvisejících s používáním zdroje. Příklady auditovatelných událostí zahrnují přístup k souboru, přihlášení do systému a změny konfigurace systému. Po povolení auditování objektu jsou záznamy zapsány do protokolu zabezpečení systému při každém pokusu o přístup k tomuto objektu. Protokol zabezpečení lze zobrazit z modulu snap-in Prohlížeč událostí.

Poznámka. Chcete-li změnit většinu nastavení auditu, musíte být přihlášeni jako Administrátor nebo člen skupiny Administrators, případně mít Správa protokolu auditu a zabezpečení ve skupinové politice.

Nastavení zásad auditu

Aplikace zásad auditu výrazně zlepšuje bezpečnost a integritu systémů. Téměř každý počítačový systém v síti by měl být nakonfigurován s protokolováním zabezpečení. Nastavení zásad auditu je k dispozici v modulu snap-in Zásady skupiny. Pomocí této komponenty můžete nastavit zásady auditu pro celý web, doménu nebo oddělení. Zásady lze také nastavit pro osobní pracovní stanice nebo servery.

Po výběru požadovaného kontejneru zásad skupiny můžete nakonfigurovat zásady auditu následovně:

1. Jak je znázorněno na obrázku 13-14, uzel můžete najít pohybem dolů ve stromu konzoly: Konfigurace počítače, Nastavení systému Windows, Bezpečnostní nastavení, Místní zásady, Zásady auditu.


Obrázek 13-14 – Konfigurace zásady auditu pomocí uzlu Zásady auditu v Zásadách skupiny.

2. Existují následující kategorie auditů:

Auditovat události přihlášení k účtu sleduje události související s přihlášením a odhlášením uživatele.

Správa účtu auditu sleduje všechny události související se správou účtu, snap-in nástroje. Položky auditu se zobrazí, když jsou vytvořeny, upraveny nebo odstraněny účty uživatelů, počítačů nebo skupin.

Monitoruje události přístupu ke službě Active Directory. Záznamy auditu se vytvářejí pokaždé, když uživatelé nebo počítače přistupují k adresáři.

Monitoruje události přihlášení/odhlášení a vzdálená síťová připojení.

Monitoruje využití systémových prostředků soubory, adresáři, sdílenými položkami a objekty služby Active Directory.

Změna zásad auditu Sleduje změny zásad přiřazení uživatelských práv, zásad auditu nebo zásad důvěryhodnosti.

Sleduje každý pokus uživatele o uplatnění práva nebo výsady, která mu byla udělena. Například práva k archivaci souborů a adresářů.

Poznámka. Politika Použití oprávnění k auditu nesleduje události související s přístupem do systému, jako je použití práva na interaktivní přihlášení do systému nebo na přístup k počítači ze sítě. Tyto události jsou monitorovány pomocí zásad Auditovat události přihlášení.

Sledování procesu auditu monitoruje systémové procesy a zdroje, které využívají.

Auditovat systémové události Sleduje události při zapnutí, restartování nebo vypnutí počítače a také události, které ovlivňují zabezpečení systému nebo se projeví v protokolu zabezpečení.

3. Chcete-li nakonfigurovat zásadu auditu, poklepejte na požadovanou zásadu nebo vyberte příkaz v místní nabídce vybrané zásady Vlastnosti. Poté se otevře dialogové okno Nastavení místních zásad zabezpečení (vlastnosti).
4. Zaškrtněte políčko Definujte tato nastavení zásad. Poté zaškrtněte nebo zrušte zaškrtnutí políček Úspěch A Selhání. Auditování úspěchu znamená vytvoření záznamu auditu pro každou úspěšnou událost (například úspěšný pokus o přihlášení). Auditování selhání znamená vytvoření záznamu auditu pro každou neúspěšnou událost (jako je například neúspěšný pokus o přihlášení).
5. Po dokončení stiskněte tlačítko OK.

Audit operací se soubory a složkami

Pokud je povolena zásada Auditovat přístup k objektu, můžete využít auditování na úrovni jednotlivých složek a souborů. To vám umožní přesně sledovat jejich použití. Tato funkce je dostupná pouze na svazcích se systémem souborů NTFS.

Chcete-li nakonfigurovat auditování souborů a složek, postupujte takto:

1. V Průzkumník (Průzkumník Windows) vyberte soubor nebo složku, pro kterou chcete nastavit auditování. V kontextové nabídce vyberte příkaz Vlastnosti.
2. Přejděte na kartu Bezpečnostní a potom klikněte na tlačítko Navíc (pokročilé).
3. V dialogovém okně přejděte na kartu Auditování, znázorněné na obrázku 13-15.


Obrázek 13-15 – Nastavení zásad auditu pro jednotlivé soubory nebo složky na kartě Auditování.

4. Aby bylo nastavení auditu zděděno z nadřazeného objektu, musí být zaškrtnuto políčko Povolit přenos dědičných záznamů auditu z nadřazeného objektu na tento objekt.
5. Chcete-li povolit podřízeným objektům zdědit nastavení auditu aktuálního objektu, vyberte Resetujte prvky auditu pro všechny podřízené objekty a povolte přenos zděděných prvků auditu (Resetovat záznamy auditu u všech podřízených objektů a povolit šíření dědičných záznamů auditu).
6. Použijte seznam Odstranit.
7. Přidat pro zobrazení dialogového okna OK, objeví se dialogové okno Prvek auditu pro Název složky nebo souboru , znázorněné na obrázku 13-16.

Poznámka. Pokud chcete sledovat akce všech uživatelů, použijte speciální skupinu Každý. V ostatních případech vyberte jednotlivé uživatele nebo skupiny v libovolné kombinaci pro auditování.


Obrázek 13-16 – Dialogové okno Auditovat prvek pro Název složky nebo souboru(Auditing Entry For New Folder), používá se k nastavení položek auditu pro uživatele, kontakt, počítač nebo skupinu.

8. Aplikujte na.
9. Zaškrtněte políčka Úspěšný a/nebo Nepodařilo se pro požadované auditní události. Auditování úspěchu znamená vytvoření záznamu auditu pro úspěšnou událost (například úspěšné přečtení souboru). Auditování selhání znamená vytvoření záznamu auditu pro neúspěšnou událost (například neúspěšný pokus o smazání souboru). Události pro audit jsou stejné jako zvláštní oprávnění (tabulky 13-4 a 13-5) s výjimkou offline synchronizace souborů a složek, kterou nelze auditovat.
10. Po dokončení stiskněte tlačítko OK. Opakujte tyto kroky pro konfiguraci auditování dalších uživatelů, skupin nebo počítačů.

Auditování objektů Active Directory Directory

Pokud je povolena zásada Auditovat přístup k adresářové službě, můžete použít auditování na úrovni objektů Active Directory. To vám umožní přesně sledovat jejich použití.

Chcete-li nakonfigurovat auditování objektů, postupujte takto:

1. Ve snímku Uživatelé a počítače služby Active Directory vyberte kontejner objektů.
2. Klikněte pravým tlačítkem na objekt, který má být auditován, a vyberte příkaz z kontextové nabídky Vlastnosti.
3. Přejděte na kartu Bezpečnostní a stiskněte tlačítko Navíc (pokročilé).
4. Přejděte na kartu Auditování dialogové okno Nastavení řízení přístupu. Aby bylo nastavení auditu zděděno z nadřazeného objektu, musí být zaškrtnuto políčko Povolit přenos dědičných záznamů auditu z nadřazeného objektu na tento objekt.
5. Použijte seznam Auditování záznamů k výběru uživatelů, počítačů nebo skupin, jejichž aktivity budou monitorovány. Chcete-li odebrat účet z tohoto seznamu, vyberte jej a klikněte na tlačítko Odstranit.
6. Chcete-li přidat účet, klikněte na tlačítko Přidat. Zobrazí se dialogové okno Vyberte Uživatelé, Kontakty, Počítače nebo Skupiny, ve kterém vyberte účet, který chcete přidat. Když stisknete OK, objeví se dialogové okno Prvek auditu pro Název složky nebo souboru(Položka auditu pro novou složku).
7. Pokud potřebujete specifikovat objekty pro použití nastavení auditu, použijte rozevírací seznam Aplikujte na.
8. Zaškrtněte políčka Úspěšný a/nebo Nepodařilo se pro požadované auditní události. Auditování úspěchu znamená vytvoření záznamu auditu pro každou úspěšnou událost (například úspěšné přečtení souboru). Auditování selhání znamená vytvoření záznamu auditu pro každou událost selhání (například neúspěšný pokus o smazání souboru).
9. Po dokončení stiskněte tlačítko OK. Opakujte tyto kroky pro nastavení auditování ostatních uživatelů, kontaktů, skupin nebo počítačů.


Materiál převzat z knihy "Windows 2000. Administrator's Guide". William R. Staněk. © Microsoft Corporation, 1999. Všechna práva vyhrazena.

Tento článek podrobně popisuje, jak používat program Xcacls.exe...

Tento článek podrobně popisuje, jak používat Xcacls.exe (nástroj Extended Change Access Control List) k zobrazení a změně oprávnění NTFS pro soubory a složky.
Pomocí Xcacls.exe můžete nastavit všechna nastavení zabezpečení pro systém souborů, ke kterému se přistupuje z příkazového řádku v Průzkumníku (Xcacls.exe pro tento účel zobrazuje a upravuje seznamy řízení přístupu k souborům (ACL).
K tiché instalaci systému Windows 2000 Professional nebo Windows 2000 Server doporučujeme použít Xcacls.exe. S jeho pomocí se nastavují počáteční přístupová práva pro složky, ve kterých jsou umístěny soubory operačního systému. Během procesu přenosu softwaru na servery a pracovní stanice poskytuje Xcacls.exe jednokrokovou ochranu proti smazání souborů a složek uživatelem.
Program Xcacls.exe je součástí balení Windows 2000 Resource Kit. Následující soubor je k dispozici na webu služby Stažení softwaru:

Zmenšit tento obrázekZvětšit tento obrázek

Syntaxe Xcacls.exe

xcacls název souboru ] ]

kde název_souboru je název souboru nebo složky, na kterou se obvykle používá seznam nebo řízení přístupu. Lze použít jakékoli standardní zástupné znaky.
/T Rekurzivně prohledejte aktuální a všechny podsložky a přiřaďte zadaná oprávnění všem souborům a složkám, které splňují požadavky.
/E- upravit seznam řízení přístupu (bez jeho nahrazení). Například po spuštění příkazu XCACLS test.dat /G Administrator:F má k souboru Test.dat přístup pouze administrátorský účet. Všechny dříve použité řízení přístupu jsou zrušeny.
/C- Xcacls.exe pokračuje v běhu i po obdržení zprávy "Přístup odepřen". Pokud je parametr /C není zadáno, zobrazení této zprávy způsobí zastavení programu.
/G - user:permission;special_access Poskytněte uživateli přístup ke konkrétnímu souboru nebo složce.

  • Proměnná oprávnění se používá k přiřazení specifikovaných přístupových práv k souborům a definování speciální masky přístupu k souborům pro složky. Proměnná rozlišení nabývá následujících hodnot:
    • R- čtení
    • C- změnit (zapsat)
    • F- plný přístup
    • P- změnit oprávnění (zvláštní přístup)
    • Ó- změna majitele (zvláštní přístup)
    • X- spustit (zvláštní přístup)
    • E- čtení (zvláštní přístup)
    • W- nahrávání (zvláštní přístup)
    • D- smazání (zvláštní přístup)
  • Proměnná special_access (speciální přístup) se používá pouze se složkami; má stejné hodnoty jako proměnná rozlišení plus následující speciální hodnotu:
    • T- hodnota undefined - přiřadit prvek řízení přístupu k adresáři bez určení prvku, který se používá pro soubory vytvořené v této složce. Musí být uvedeno alespoň jedno přístupové právo. Text mezi středníkem (;) a parametrem T je ignorován. Poznámky
      • Přístupové parametry pro soubory (pro složky - speciální přístup k souborům a složkám) jsou shodné. Podrobné popisy těchto možností naleznete v dokumentaci k systému Windows 2000.
      • Ostatní nastavení (také přiřazená v Průzkumníku) jsou podmnožiny všech možných kombinací základních oprávnění. Z tohoto důvodu neexistují žádná zvláštní oprávnění složky (například LIST nebo READ).

/R uživatel Zrušte všechna přístupová práva pro zadaného uživatele.
/P user:permission;special_access- změnit přístupová práva pro zadaného uživatele. Proměnné "permission" a "special_access" jsou definovány podle pravidel popsaných pro parametr /G. Viz část tohoto článku.
/D uživatel- odepřít uživateli přístup k souboru nebo složce.
/Y- Zrušte výzvu k potvrzení změn přístupových práv. Program CACLS standardně zobrazuje tuto výzvu. Z tohoto důvodu, pokud je příkaz CACLS použit jako součást dávkového souboru, je jeho provádění přerušeno před přijetím odpovědi na požadavek. Parametr /Y používá se k potlačení okna výzvy při použití Xcacls.exe v dávkovém režimu.

Použití Xcacls.exe k zobrazení oprávnění

K zobrazení oprávnění souborů a složek můžete také použít Xcacls.exe. Například na příkazovém řádku zadejte xcacls C:\winnt a stiskněte klávesu ENTER. Obvykle program vrátí následující výsledek.

C:\WINNT BUILTIN\Users:R BUILTIN\Users:(OI)(CI)(IO)(zvláštní přístup:) GENERIC_READ GENERIC_EXECUTE BUILTIN\Power Users:C BUILTIN\Power Users:(OI)(CI)(IO)C BUILTIN\Administrators:F BUILTIN\Administrators:(OI)(CI)(IO)F NT AUTHORITY\SYSTEM:F NT AUTHORITY\SYSTEM:(OI)(CI)(IO)F BUILTIN\Administrators:F VLASTNÍK TVŮRCE:(OI )(CI)(IO)F

Příznaky ACL mají následující význam.

  • IO: Pouze zdědit – toto řízení přístupu se nevztahuje na aktuální objekt.
  • C.I.: Kontejner Inherit – Toto řízení přístupu zdědí kontejnery nižší úrovně.
  • OI: Object Inherit - Toto řízení přístupu je zděděno soubory nižší úrovně.
  • NP: Non-Propagate - Objekt nižší úrovně nešíří zděděné řízení přístupu.

Písmeno na konci každého řádku označuje rozlišení. Například:

  • F- plný přístup
  • C- změna
  • W- nahrávání
Příklady použití Xcacls.exe
Příklad 1

Chcete-li nahradit seznam ACL pro všechny soubory a složky v aktuální složce bez zobrazení podsložek a výzvy k potvrzení, zadejte na příkazovém řádku XCACLS *.* /G administrator:RW /Y a stiskněte klávesu ENTER.

Příklad 2

Ovládací prvky přístupu přidané v tomto příkladu také zdědí řízení přístupu nových souborů, které jsou vytvořeny ve složce. Po zadání tohoto příkazu má uživatel TestUser právo číst, upravovat, spouštět a odstraňovat všechny soubory, které jsou vytvořeny v této složce, ale má pouze oprávnění ke čtení a zápisu pro samotnou složku. Na příkazovém řádku zadejte XCACLS *.* /G TestUser:RWED;RW /E a stiskněte klávesu ENTER.

Příklad 3

Tento příklad nastavuje oprávnění ke čtení a zápisu do složky bez vytvoření prvku dědičnosti pro nové soubory. Z tohoto důvodu pro TestUser nejsou soubory vytvořené v této složce přiřazeny řízení přístupu. Pro existující soubory se vytvoří řízení přístupu s oprávněním ke čtení. Na příkazovém řádku zadejte XCACLS *.* /G TestUser:R;RW /E a stiskněte klávesu ENTER.

Pokyny pro přidělování oprávnění NTFS

Při přidělování oprávnění NTFS zvažte následující:

  • Oprávnění NTFS řídí přístup k souborům a složkám.
  • Je vhodné nastavit oprávnění spíše pro skupiny než pro jednotlivé uživatele.
  • Oprávnění k souboru mají přednost před oprávněními ke složce.
  • Administrátoři a vlastník objektu řídí přiřazení oprávnění.
  • Při změně oprávnění složky mějte na paměti programy nainstalované na serveru. Programy si vytvářejí své vlastní složky, pro které je parametr nastaven Přenést oprávnění zděděná z nadřazeného objektu na tento objekt. Změna oprávnění u nadřazené složky může způsobit problémy s programy.

    Varování. Mnoho složek a souborů získává oprávnění prostřednictvím dědičnosti. Změna oprávnění u jedné složky proto může ovlivnit jiné objekty.

Pomocí oprávnění NTFS můžeme blíže rozlišit práva ve složce. Můžeme zakázat určité skupině měnit určitý soubor a ponechat možnost upravovat celý hlavní soubor; ve stejné složce může mít jedna skupina uživatelů práva na úpravy k jednomu souboru a nebude moci zobrazit jiné soubory upravené jinou skupinou uživatelů a naopak. Oprávnění NTFS nám zkrátka umožňují vytvořit velmi flexibilní přístupový systém, hlavní je, abychom se v něm později nepletli. Oprávnění NTFS navíc fungují jak při přístupu ke složce přes síť, doplňující oprávnění pro veřejný přístup, tak při místním přístupu k souborům a složkám.

Existuje šest základních oprávnění, která jsou kombinací 14 pokročilých oprávnění.

ZÁKLADNÍ OPRÁVNĚNÍ:

  • Plná kontrola– plný přístup ke složce nebo souboru s možností změnit přístupová práva a pravidla auditu pro složky a soubory
  • Modifikovat– právo číst, měnit, prohlížet obsah složky, mazat složky/soubory a spouštět spustitelné soubory. Zahrnuje čtení a spouštění, zápis a mazání.
  • Číst a spouštět (readandexecute)– právo otevírat složky a soubory pro čtení, bez možnosti zápisu. Je také možné spouštět spustitelné soubory.
  • Seznam obsahu složky (listdirectory)– právo prohlížet obsah složky
  • Číst– právo otevírat složky a soubory pro čtení, bez možnosti zápisu. Zahrnuje obsah složky / čtení dat, čtení atributů, čtení rozšířených atributů a oprávnění ke čtení
  • Napsat– právo vytvářet složky a soubory, upravovat soubory. Zahrnuje vytváření souborů / zápis dat (writedata), vytváření složek / přidávání dat (appenddata), zápis atributů (writeattributes) a zápis rozšířených atributů

DODATEČNÁ OPRÁVNĚNÍ

  • Procházení složky / spuštění souboru (procházení)– právo spouštět a číst soubory bez ohledu na přístupová práva ke složce. Uživatel nebude mít přístup ke složce (co je ve složce zůstane záhadou), ale soubory ve složce budou dostupné přes přímý odkaz (úplná, relativní nebo UNC cesta). Do složky Traverse folders a do souboru můžete umístit jakákoli další oprávnění, která uživatel potřebuje k práci. Uživatel nebude moci vytvářet a odstraňovat soubory ve složce.
  • Obsah složky / čtení dat (čtení dat)– právo prohlížet obsah složky bez možnosti změny. Ve složce, kterou si prohlížíte, nemůžete spouštět ani otevírat soubory
  • Čtení atributů– právo prohlížet FileAttributes složky nebo souboru. Nemůžete zobrazit obsah složky nebo souborů ani změnit žádné atributy.
  • Čtení dalších atributů (readextendedattributes)– právo zobrazit další atributy složky nebo souboru.
  • Vytváření souborů / zápis dat (writedata)– dává uživateli možnost vytvářet soubory ve složce, ke které nemá přístup. Soubory můžete kopírovat do složky a vytvářet ve složce nové soubory. Nemůžete prohlížet obsah složky, vytvářet nové složky ani měnit existující soubory. Uživatel nebude moci žádný soubor měnit, i když je vlastníkem tohoto souboru – pouze jej vytvořit.
  • Vytváření složek / přidávání dat (appenddata)– dává uživateli možnost vytvářet podsložky ve složce a přidávat data na konec souboru, aniž by se měnil stávající obsah.

Souborový systém(Angličtina) souborový systém) - předpis, který vymezuje způsob organizace, ukládání a pojmenovávání dat na paměťových médiích. Definuje formát pro fyzické ukládání informací, které jsou obvykle seskupeny ve formě souborů. Konkrétní systém souborů určuje velikost názvu souboru, maximální možnou velikost souboru a sadu atributů souboru. Některé systémy souborů poskytují funkce služeb, jako je řízení přístupu nebo šifrování souborů.

Souborové systémy:

  • TLUSTÝ ( Tabulka přidělení souborů) – souborový systém používaný v systémech Dos a Windows
  • NTFS (z angličtiny. Nový technologický souborový systém- „souborový systém nové technologie“) – standardní souborový systém pro operační systémy rodiny WindowsXP, 2003

Vlastnosti NTFS 5.0:

· Mechanismus oprávnění pro přístup k souborům a složkám. Poskytuje flexibilní systém omezení pro uživatele a skupiny.

· Komprimujte soubory a složky. Vestavěné nástroje pro kompresi dat šetří místo na disku, zatímco všechny postupy jsou pro uživatele prováděny „transparentně“.

· Šifrování dat. Encrypting File System (EPS) zajišťuje důvěrnost uložených informací a Windows Server 2003 eliminuje část režie tohoto mechanismu, který umožňuje únik informací.

· Diskové kvóty. Můžete omezit prostor spotřebovaný na svazku jednotlivými uživateli.

· Mechanismus bodů změny zpracování. Zejména umožňuje implementovat spojovací body, pomocí kterých je cílová složka (disk) namapována na prázdnou složku (tento postup se nazývá připojení disku) umístěnou v jmenném prostoru souborového systému NTFS 5.0 místního počítače. . Cílová složka může být jakákoli platná cesta Windows Server 2003.

· Distribuované sledování odkazů na soubory. Tento mechanismus umožňuje, aby odkaz na soubor zůstal aktuální, i když byl přejmenován nebo přesunut na jiný svazek umístěný ve stejném počítači nebo v jiném počítači v doméně.

· Řídké soubory. NTFS efektivně ukládá takové soubory obsahující velký počet po sobě jdoucích prázdných bajtů.

· Seznam změn(změnový deník), kde se zaznamenávají všechny přístupové operace k souborům a svazkům.

Centrem souborového systému NTFS je soubor s názvem hlavní tabulka souborů(Tabulka hlavních souborů, MFT). Je vytvořen, když je svazek naformátován pro NTFS. MFT se skládá z 1 KB pole záznamů. Každá položka identifikuje jeden soubor umístěný na disku. NTFS odhadne velikost souboru, pokud je menší než 1 KB, uloží se do MFT záznamu.

Při formátování jsou diskové svazky označeny jako shluky– toto je minimální místo přidělené na disku pro soubory.

Chcete-li změnit přístupová práva k souborům a složkám, vyberte z hlavní nabídky Průzkumníka: Nástroje -> Možnosti složky. V okně, které se zobrazí, zrušte zaškrtnutí políčka Použijte jednoduché sdílení.

Chcete-li změnit přístupová práva, vyberte položku v kontextové nabídce nad souborem nebo složkou Sdílení a zabezpečení a přejděte na kartu Bezpečnost.

Zde můžete určit práva každého uživatele nebo skupiny ke čtení, zápisu, spouštění tohoto souboru nebo složky.

Vlastník souboru, kterého lze zobrazit kliknutím, může změnit přístupová práva. dodatečně a výběrem karty Majitel. Každý správce se může stát vlastníkem souboru nebo složky.

Chcete-li zašifrovat nebo komprimovat soubor nebo složku, vyberte z kontextové nabídky nad nimi Vlastnosti->Jiné.

Buďte opatrní se šifrováním, pokud je systém přeinstalován, zašifrované soubory budou ztraceny.

úkoly:

1. Vytvořte složku Mystery na jednotce D: a odepřete k ní přístup všem kromě vás.

2. Vytvořte složku Library a povolte všem pouze čtení (ne zápis).

3. Najděte velký soubor .doc, komprimujte jej pomocí vlastností NTFS, o kolik méně místa nyní zabírá na disku, v porovnání s kompresí .zip

4. Zašifrujte stejný soubor (co pro to budete muset udělat?), Zkontrolujte, zda je pro jiného uživatele nepřístupný.

5. Je možné komprimovat zašifrovaný soubor pomocí .zip?

6. Vytvořte dočasného uživatele, nastavte heslo, zašifrujte soubor pod tímto uživatelem, poté resetujte heslo pro tohoto uživatele pod jménem správce, bude zašifrovaný soubor přístupný?

7. Připojte jeden z disků jako složku k jinému disku a odstraňte písmeno z tohoto disku (tj. aby bylo viditelné pouze jako složka)

9.

Registr, tweakery.

Zdroj: ru.wikipedia.org

Registr Windows- databáze parametrů a nastavení operačního systému Microsoft Windows. Registr obsahuje informace a nastavení pro hardware, software, uživatele, předvolby. Při jakýchkoli změnách v Ovládacích panelech, přidruženích souborů, systémových zásadách, nainstalovaném softwaru se všechny tyto změny zaznamenávají do registru. Bez registru nemůže operační systém fungovat.

Registr systému Windows byl zaveden k uspořádání informací, které byly dříve uloženy v mnoha souborech INI, které se používaly k ukládání nastavení před tím, než registr existoval.

Registr se nachází v několika souborech (sam, zabezpečení, software, systém) ve složce %SystemRoot%\System32\Config a ve složce uživatelských profilů počítače ( Ntuser.dat). Slouží ke změně registru Editor registru: Start -> Spustit -> regedit.

Pamatujte, že editor nekontroluje správné nastavení parametrů, takže i když uděláte překlep, jakákoliv změna se uloží, což může vést k nežádoucím následkům. Samotný registr se neobnoví a operační systém může odmítnout spuštění.

Z tohoto důvodu si nejprve vytvořte záložní kopii registru nebo oddílu, který se chystáte změnit. Chcete-li to provést, klepněte pravým tlačítkem myši na větev (sekci) registru a vyberte Vývozní, bude tato větev uložena v textovém souboru ve formátu .reg. Následně jej lze importovat do registru – poklepejte na tento soubor nebo klikněte pravým tlačítkem a Fúze.

Registr Windows XP a Windows 2003 obsahuje následující sekce (nebo podstromy nebo podregistry):

· HKEY_CLASSES_ROOT– Tato část obsahuje informace o příponách souborů a programech, které těmto příponám odpovídají. Obsahuje také informace nezbytné pro provoz technologií COM a OLE. Některá data související s výše uvedeným jsou obsažena v klíči HKEY_LOCAL_MACHINE\Software\Classes

· HKEY_CURRENT_USER– Zde jsou informace, které se týkají aktuálně aktivního uživatele

· HKEY_LOCAL_MACHINE– Sekce obsahuje informace o konfiguraci počítače a o tom, jak bude zpracováno spouštění a zastavování služeb a zařízení nainstalovaných v systému. Obsahuje také informace, které se týkají SAM (Security Accounts Manager) a zásad zabezpečení. Tato větev je aplikacemi využívána nejintenzivněji

· HKEY_USERS– Sekce obsahuje údaje o uživatelích počítače. Každému uživateli je přiřazena specifická položka, jejíž jméno odpovídá SID daného uživatele

· HKEY_CURRENT_CONFIG– Tato větev je spojena s připojeními v HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current. Tato část obsahuje informace, které jsou specifické pro hardware a používají se během procesu před spuštěním k vyřešení propojení konkrétního hardwaru.

Tweaker- program pro doladění a optimalizaci operačních systémů rodiny Windows. Používá se jako náhrada Editor registru Okna. Výhody: přítomnost popisu klíčů registru, přítomnost vyhledávání a možnost „vrátit“ změny. Nevýhody: někdy se používají nezdokumentované funkce, Microsoft nedoporučuje uživatelům upravovat registr.

úkoly:

10. Pomocí Editoru registru

A)Změňte klíče registru pro použití vyhlazování ClearType na uvítací obrazovce, změňte spořič obrazovky, který se zobrazí na uvítací obrazovce

b)Najděte a exportujte informace o registraci programu Nero (nebo jiného).

11. Použití Tweakeru (jako NeoTweaker)

A)Zastavte zobrazování šipek na ikonách na ploše

b)Vyzkoušejte režim aktivního okna (x-mouse, jako v unixu) - okno se aktivuje, když na něj najedete ukazatelem myši, bez dalšího kliknutí

C)Zakázat automatické spouštění CD (automatické spouštění může být nebezpečné)

d)Zakázat vestavěnou funkci vypalování CD

E)Změňte editor kódu html v aplikaci Internet Explorer z programu Poznámkový blok na DreamWeaver

F)Udělejte z popisku nad hodinami den v týdnu, nikoli jen datum

G)Udělejte to tak, aby se zobrazovaly příkazy provedené při spouštění a vypínání počítače – to vám pomůže zjistit, na čem systém tráví spoustu času

h)Nastavte zpoždění vzhledu nabídky na 100 ms místo 400 ms

i)Vypněte Správce paketů QoS (zrychlí vaši síť o 20 %)

j)Změňte procento volného místa na pevném disku, při kterém systém zobrazí upozornění na nedostatek místa

k)Zakázat odesílání chybových hlášení společnosti Microsoft (z bezpečnostních důvodů, pro úsporu provozu a pro zamezení nepříjemných otázek po zamrznutí programu)

l)Povolit automatické přidávání cest na příkazovém řádku pomocí klávesy Tab (tj. místo dlouhé cesty můžete napsat první znaky a stisknout Tab)

m)Povolte NumLock při spouštění

n)

Služby.

Zdroj: computerra.ru, oszone.net

Služba Microsoft Windows je aplikace, která běží na pozadí. Některé služby se spouštějí automaticky při startu počítače, jiné pouze při určitých událostech. Služby obvykle nemají uživatelské rozhraní. Služby se používají k implementaci funkcí, které běží po dlouhou dobu a nevyžadují zásah uživatelů pracujících na počítači. Služby mohou běžet v kontextu zabezpečení jiného účtu, než je aktuální uživatelský účet nebo výchozí účet.

V systému Windows XP běží mnoho služeb, ale ne všechny jsou užitečné pro normální provoz vašeho počítače. Chcete-li zobrazit seznam spuštěných služeb, postupujte takto:

· Start – Spustit – cmdnet start – seznam spuštěných služeb,

  • nebo Start – Spustit – cmdservices.msc,
  • nebo Start – Nástroje pro správu – Služby
Tabulka 1. Služby Windows 2000/XP/2003 Server
Název služby Popis služby Možnost vypnutí
Služba podpory Bluetooth Podporuje zařízení Bluetooth nainstalovaná v počítači a detekuje další zařízení v dosahu Vypněte, pokud nepoužíváte zařízení, která se připojují k počítači pomocí Bluetooth
DHCP klient Spravuje konfiguraci sítě registrací a aktualizací IP adres a názvů DNS
DNS klient Vyřeší názvy DNS v adresách pro daný počítač a umístí je do mezipaměti. Pokud je služba zastavena, názvy DNS nebudou přeloženy a řadiče domény Active Directory nebudou hostovány Pokud se síť nepoužívá, můžete ji bezpečně vypnout
Fax Umožňuje odesílat a přijímat faxové zprávy pomocí prostředků tohoto počítače a síťových prostředků Pokud tuto funkci nepoužíváme, tak ji klidně vypněte
Poskytovatel stínové kopie softwaru MS Spravuje stínové kopie získané pomocí Stínové kopie svazku Ve většině případů jej můžete vypnout
QoS RSVP Poskytuje síťová upozornění a správu místního provozu pro programy QoS a programy pro správu Ve spojení s deaktivací rezervace provozu QoS je rezervace kanálu QoS zcela zakázána. Vypnout
Vzdálené sdílení plochy NetMeeting Umožňuje důvěryhodným uživatelům přístup k ploše Windows přes podnikový intranet pomocí programu NetMeeting. Pokud je tato služba zastavena, ovládání vzdálené plochy není k dispozici Je nepravděpodobné, že by někdo chtěl svěřit ovládání svého PC někomu jinému. K tomu připočtěme potenciální nebezpečí neoprávněného vstupu do systému a závěrem – vypněte
Telnet Umožňuje vzdálenému uživateli přihlásit se a spouštět programy a podporuje různé klienty TCP/IP Telnet, včetně počítačů s operačními systémy Unix a Windows. Pokud je tato služba zastavena, vzdálený uživatel nebude moci spouštět programy Pokud tuto funkci nepoužíváte, nezapomeňte ji vypnout, jinak hrozí neoprávněný vstup do systému
Automatická aktualizace Stáhněte a nainstalujte aktualizace systému Windows. Pokud je služba zakázána, tento počítač nebude moci používat automatické aktualizace ani web Windows Update. Zakázat, protože jakékoli aktualizace lze vždy provést ručně
Výkonový adaptér WMI Poskytuje informace o knihovnách výkonu od poskytovatelů WMI HiPerf Ve většině případů jej můžete vypnout, i když někteří to mohou potřebovat
Bezdrátové nastavení Poskytuje automatickou konfiguraci adaptérů 802.11 Pokud Wi-Fi nepoužíváme, vypněte ji
Brána firewall systému Windows/sdílení internetu (ICS) Poskytuje podporu pro služby překladu adres, adresování a překladu názvů nebo zabraňuje vniknutí služeb do domácí sítě nebo sítě malé kanceláře Pokud používáte FireWall třetí strany a váš počítač není internetovou bránou pro jiný počítač v síti, pak klidně vypněte
Sekundární přihlášení Umožňuje spouštět procesy jako jiný uživatel. Pokud je služba zastavena, tento typ registrace uživatele není k dispozici Zakažte, jinak může tato služba způsobit neoprávněný vstup do systému
Správce automatického připojení vzdáleného přístupu Vytvoří připojení ke vzdálené síti, když program přistupuje ke vzdálenému názvu nebo adrese DNS nebo NetBIOS Používá se velmi zřídka, takže jej můžete bezpečně vypnout
Správce relací nápovědy ke vzdálené ploše Ovládá možnosti vzdálené pomoci. Po zastavení služby nebude vzdálená pomoc dostupná Vytváří potenciální nebezpečí průniku do systému a jeho pomoc je sporná. Vypnout
Správce sítě DDE Spravuje síťové sdílené položky dynamické výměny dat (DDE). Pokud je služba zastavena, síťové sdílené položky DDE nebudou přístupné
Print Spooler Načte soubory do paměti pro pozdější tisk Žádná tiskárna – vypněte ji
Protokoly výkonu a výstrahy Spravuje sběr dat o výkonu z místních nebo vzdálených počítačů. Shromažďování probíhá na základě zadaného plánu a zaznamenává tato data do protokolů nebo spouští výstrahu Ve většině situací nebude záznam údajů o výkonu nutný. Klidně to vypněte
Nepřerušitelný zdroj energie Řídí nepřerušitelné zdroje napájení připojené k počítači. Bez UPS, vypněte
Koordinátor distribuovaných transakcí Koordinujte transakce, které zahrnují více správců zdrojů, jako jsou databáze, fronty zpráv a systémy souborů. Pokud je služba zastavena, nebudou dokončeny žádné transakce Pokud PC není server, který používá databáze, můžete jej bezpečně vypnout
Modul podpory NetBIOS přes TCP/IP Zahrnuje podporu pro službu NetBIOS přes TCP/IP (NetBT) a překlad názvu do adresy NetBIOS Pokud je z nějakého důvodu potřeba podpora NetBIOS přes TCP/IP, této služby se nedotýkáme. Ale ve většině případů jej můžete bezpečně vypnout
Infračervený komunikační monitor Podporuje zařízení IrDA nainstalovaná v počítači a detekuje další zařízení v dosahu Pokud nepoužíváte zařízení, která se připojují k počítači pomocí infračerveného portu, vypněte je
Počítačový prohlížeč Udržuje seznam počítačů v síti a na vyžádání jej poskytuje programům. Pokud je služba zastavena, seznam se nevytvoří ani neaktualizuje Pokud se síť nepoužívá, vypněte ji, i když obecně stačí nechat ji zapnutou na jednom počítači ve vaší síti
Plánovač úkolů Umožňuje nakonfigurovat plán automatického provádění úloh na tomto počítači. Pokud je služba zastavena, tyto úlohy nelze spustit v naplánovanou dobu Pokud necítíte silnou touhu spouštět programy automaticky v nastavený čas, vypněte
Server Sdílí soubory, tiskárny a pojmenované kanály pro daný počítač prostřednictvím síťového připojení. Pokud je služba zastavena, tyto funkce nelze provádět Pokud se síť nepoužívá, můžete ji bezpečně vypnout
Služba Windows Time Řídí synchronizaci data a času napříč všemi klienty a servery v síti. Pokud je služba zastavena, synchronizace data a času nebude k dispozici Pokud se síť nepoužívá, vypněte ji, ačkoli pokud existuje síť, vypnutí této služby ve většině případů neublíží
Služba vyhledávání SSDP Povolte zjišťování zařízení UPnP ve vaší domácí síti Pokud se síť nepoužívá, vypněte ji, a i když síť existuje, je zřídka potřeba
Pomoc a podpora Umožňuje spuštění Centra nápovědy a podpory na tomto počítači. Pokud je služba zastavena, Centrum nápovědy a podpory nebude dostupné Vypněte ji, protože tato podpora je k ničemu... I když pokud se bez této služby neobejdete, můžete ji nechat zapnutou
Síťová služba DDE Poskytuje síťový přenos a zabezpečení pro dynamickou výměnu dat (DDE) v programech běžících na jednom nebo více počítačích. Pokud je služba zastavena, síťový přenos a zabezpečení DDE nebudou k dispozici Pokud se síť nepoužívá, můžete ji bezpečně vypnout
Vzdálený registr Umožňuje vzdáleným uživatelům měnit nastavení registru v tomto počítači. Pokud je služba zastavena, mohou registr upravovat pouze místní uživatelé běžící na tomto počítači Je nepravděpodobné, že někdo bude chtít pověřit správou svého registru někoho jiného. Zde přidáme potenciální nebezpečí neoprávněného vstupu do systému a vyvodíme závěr: vypněte
Terminálová služba Umožňuje více uživatelům interaktivně se připojit k počítači a zobrazuje plochu a aplikace na vzdálených počítačích. Poskytuje základ pro vzdálenou plochu (včetně vzdálené správy), rychlé přepínání uživatelů, vzdálenou pomoc a terminálové služby Pokud se síť nepoužívá, můžete ji bezpečně vypnout. A i když máte síť, dobře si rozmyslete, zda potřebujete, aby k vašemu PC měl přístup i někdo jiný než vy?
Služba obnovení systému Provádí funkce obnovení systému. Chcete-li službu zastavit, musíte zakázat Obnovení systému na kartě Obnovení systému ve vlastnostech počítače Pokud nepotřebujete vrátit systém k určitému datu, vypněte jej, protože služba vyžaduje hodně místa na pevném disku. To jsem však neudělal, protože někdy v případě chyb, které jsem zavinil, jsem musel systém vrátit zpět
Služba protokolování chyb Umožňuje protokolování chyb pro služby a aplikace běžící v nestandardním prostředí Pro většinu uživatelů zbytečná služba. Vypnout
Síťové přihlášení Podporuje end-to-end ověřování událostí přihlášení k účtu pro počítače v doméně Pokud se síť nepoužívá nebo síť nemá žádné domény, vypněte ji
Network Location Service (NLA) Shromažďuje a ukládá informace o poloze a nastavení sítě a upozorňuje aplikace, když se změní Pokud se síť nepoužívá, můžete ji bezpečně vypnout
Služba zasílání zpráv Odesílá a přijímá zprávy zaslané správci nebo službou upozornění. Nesouvisí s MSN Messenger. Pokud je služba zastavena, nebude odesláno žádné upozornění Pokud se síť nepoužívá, můžete ji bezpečně vypnout
Upozornění na systémové události Zaznamenává události síťového systému (například přihlášení do systému Windows) a změny v napájení. Upozorní předplatitele z kategorie „COM+systémová událost“ zasláním upozornění Můžete jej bezpečně vypnout. Tato služba je zřídka potřebná
Kompatibilita s rychlým přepínáním uživatelů Spravujte aplikace, které vyžadují podporu v prostředí pro více uživatelů Ve většině případů ji vypněte, protože tuto službu využívá velmi málo programů. Je pravda, že existuje jedno „ale“: pokud chcete pracovat pod svým účtem, aniž byste přerušili procesy jiného účtu, tuto službu nelze vypnout
Chytré karty Řídí přístup ke čtečkám čipových karet. Pokud je služba zastavena, počítač nebude schopen číst čipové karty Pokud čipové karty nepoužíváte, vypněte je
Služba nahrávání obrázků (WIA) Poskytuje služby pořizování snímků ze skenerů a digitálních fotoaparátů Pokud skener a digitální fotoaparát v tomto počítači nepoužíváte, vypněte jej

úkoly:

1. Pro zajištění maximálního výkonu počítače nastavte tzv. 'herní' konfiguraci služeb, kdy jsou všechny služby kromě těch nejnutnějších deaktivovány.

3. Povolit služby odpovědné za provoz lokální sítě a Internetu.

4.

Ovladače, directX.

V každém systému založeném na technologiích Windows NT existují speciální síťové prostředky. Názvy některých zdrojů končí symbolem $; síť" nebo při otevírání prostředků serveru pomocí příkazu " \\<имя сервера>" nebude viditelný. Pokud však zadáte úplný název UNC síťového prostředku, můžete vidět data v něm umístěná.

Uveďme si tyto zdroje:

  • zdroj formuláře" \\<имя сервера>\admin$" (například \\DC1\admin$ ) - určeno pro vzdálenou správu počítače; cesta vždy odpovídá umístění složky, ve které je nainstalován systém Windows; k tomuto prostředku se mohou připojit pouze členové skupiny Správci, Operátoři archivu A Operátoři serveru ;
  • zdroj formuláře" \\<имя сервера>\< буква диска>$ " (například \\DC1\C$ ) - kořenová složka zadaného disku; k síťovým prostředkům tohoto typu na serveru Windows se mohou připojit pouze členové skupiny Správci, Operátoři archivu A Operátoři serveru; na počítačích se systémem Windows XP Professional a Windows 2000 Professional se členové skupiny mohou k takovým prostředkům připojit Správci A Operátoři archivu ;
  • zdroj" \\<имя сервера>\IPC$" (například \\DC1\IP$ ) - používá se pro vzdálenou správu;
  • zdroj" \\<имя сервера>\NETLOGON" (například \\DC1\NETLOGON) - používá se pouze na řadičích domény; v této síťové složce jsou uloženy skripty (skripty) pro přihlášení uživatele, kompatibilní s předchozími verzemi operačních systémů Microsoft;
  • zdroj" \\<имя сервера>\SYSVOL" - používá se pouze na řadičích domény; souborová část zásad skupiny je uložena v této síťové složce;
  • zdroj" \\<имя сервера>\PRINT$" - prostředek, který podporuje sdílené tiskárny; v této složce jsou uloženy zejména ovladače pro sdílené tiskárny.

Úplný seznam zdrojů poskytovaných tímto serverem pro sdílení si můžete prohlédnout v " Sdílené složky", V kapitole " Sdílené zdroje" (Obr. 8.35):


Rýže. 8.35.

Ve stejné části tohoto modulu snap-in můžete zakázat sdílení prostředků v síti, změnit síťová oprávnění a vytvořit nové síťové prostředky.

Kromě speciálních síťových zdrojů se symbolem $ na konci názvu zdroje, udělených skupinám s vysokým oprávněním, lze tento symbol použít k udělení přístupu k jakémukoli jinému zdroji, kterému je povolen přístup k síti samotným správcem. V tomto případě bude síťový prostředek skryt i během běžného procházení sítě, ale bude přístupný zadáním úplného názvu UNC a přístup lze povolit těm skupinám uživatelů, které tento prostředek potřebují.

Oprávnění NTFS

Ještě jednou zdůrazňujeme, že síťová oprávnění platí pouze při přístupu ke zdrojům přes síť. Pokud je uživatel přihlášen místně, lze nyní přístup řídit pouze pomocí oprávnění NTFS. Na svazku (oddílu) se systémem FAT bude mít uživatel plný přístup k informacím o tomto svazku.

Oprávnění NTFS lze nastavit otevřením Vlastnosti složku nebo soubor a přejděte na " Bezpečnost " (Bezpečnostní). Jak je vidět na Obr. 8.36 je sada typů oprávnění NTFS mnohem bohatší než sada síťových oprávnění.


Rýže. 8.36.

Na svazku NTFS můžete složkám přiřadit následující typy oprávnění:

  • Plný přístup ;
  • Změna ;
  • Číst a spouštět ;
  • Seznam obsahu složky ;
  • Čtení ;
  • Záznam ;
  • Zvláštní oprávnění.

Neexistuje žádný pohled na soubory " Čtení obsahu složky ".

Pokud kliknete na tlačítko "Oprávnění". dodatečně“, pak můžete doladit oprávnění.

Oprávnění NTFS mohou být zřejmé nebo zděděno. Ve výchozím nastavení dědí všechny složky nebo soubory oprávnění daného objektu kontejneru ( nadřazený objekt), ve kterém jsou vytvořeny. Použití starších oprávnění usnadňuje práci s řízením přístupu. Pokud administrátor potřebuje změnit přístupová práva ke složce a celému jejímu obsahu, stačí to udělat pro samotnou složku a změny se automaticky projeví v celé hierarchii podsložek a dokumentů. Na Obr. 8.36. je jasné, že skupina" Správci"má zděděná oprávnění k typu" Plný přístup" pro složku Složka1. A na Obr. 8,37. je ukázáno, že skupina " Uživatelé" má sadu explicitně přiřazených oprávnění:


Rýže. 8,37.

Zděděná oprávnění nelze změnit. Pokud kliknete na " dodatečně", pak můžete zrušit dědění oprávnění z nadřazeného objektu. V tomto případě systém nabídne dvě možnosti zrušení dědění: buď zkopírujte předchozí zděděná oprávnění ve formě explicitních oprávnění, nebo je úplně smažte.

Mechanismus pro uplatnění oprávnění

V odstavci 8.1 bylo řečeno, že každý soubor je sada atributů. Je volán atribut, který obsahuje informace o oprávněních NTFS seznam řízení přístupu (ACL, seznam řízení přístupu). Struktura ACL je uvedena v tabulce. 8.4. Každý záznam v ACL je volán prvek kontroly přístupu (ACE, Vstup řízení přístupu).

V tabulce jsou uvedeny identifikátory zabezpečení (SID) uživatele, skupiny nebo účtu počítače a jejich přidružená oprávnění. Na obrázcích 8.36 nebo 8.37 jsou místo SID zobrazena jména uživatelů a skupin obsažených v ACL. V části 4 bylo uvedeno, že když se uživatel přihlásí do sítě (když se zaregistruje v doméně), řadič domény odešle přístupový token obsahující SID samotného uživatele a skupin, jichž je členem, do aktuální uživatelské relace na počítač. Když se uživatel pokusí provést akci se složkou nebo souborem (a požaduje nějaký typ přístupu k objektu), systém porovná identifikátory zabezpečení v přístupovém tokenu uživatele s identifikátory zabezpečení obsaženými v ACL objektu. Pokud se některá SID shodují, uživateli jsou udělena příslušná oprávnění pro přístup ke složce nebo souboru.

Všimněte si, že když administrátor změní členství uživatele ve skupině (zahrne uživatele do nové skupiny nebo odebere uživatele ze skupiny), NEZMĚNÍ se automaticky přístupový token uživatele. Pro získání nového přístupového tokenu se uživatel musí odhlásit a znovu přihlásit. Poté obdrží od řadiče domény nový přístupový token odrážející změnu členství ve skupině uživatelů

Postup pro uplatnění oprávnění

Princip použití oprávnění NTFS pro přístup k souboru nebo složce je stejný jako u síťových oprávnění:

  • nejprve se zkontrolují zákazy jakéhokoli typu přístupu (pokud existují zákazy, pak tento typ přístupu není povolen);
  • poté se zkontroluje sada oprávnění (pokud existují různé typy oprávnění pro uživatele a skupiny, do kterých tento uživatel patří, použije se celá sada oprávnění).

Ale pro oprávnění NTFS je schéma trochu komplikovanější. Oprávnění se uplatňují v následujícím pořadí:

  • výslovné zákazy;
  • explicitní oprávnění;
  • zděděné zábrany;
  • zděděná oprávnění.

Pokud není SID uživatele nebo SID skupiny, jejímž je uživatel členem, uvedeno v explicitních ani zděděných oprávněních, bude uživateli odepřen přístup.

Vlastnictví složky nebo souboru

Uživatel, který vytvořil složku nebo soubor, je Majitel tohoto objektu. Vlastník objektu má právo měnit oprávnění NTFS pro tento objekt, i když je mu odepřen jiný typ přístupu. Otevřením lze vidět aktuálního vlastníka objektu Vlastnosti objekt a poté záložku " Bezpečnost“ a poté klikněte na tlačítko „ dodatečně"a přechod na záložku" Majitel" (Obr. 8.38):


Rýže. 8.38.

Pozornost! Správce systému může změnit vlastníka objektu výběrem nového vlastníka ze seznamu nabízeného v tomto okně nebo z úplného seznamu uživatelů (kliknutím na " Ostatní uživatelé nebo skupiny"). Tato funkce je poskytována administrátorům za účelem obnovení přístupu k objektu v případě ztráty přístupu z důvodu nesprávně přidělených oprávnění nebo smazání účtu, který měl výhradní přístup k tomuto objektu (například jediný zaměstnanec, který měl přístup k souboru ponechán, správce jeho účet smazal, v důsledku čehož byl přístup k souboru zcela ztracen, jediným způsobem, jak obnovit přístup, je převedení vlastnictví souboru na správce nebo nového zaměstnance vystupujícího jako propuštěný zaměstnanec ).

Sdílení síťových a NTFS oprávnění

Při přístupu ke sdíleným složkám hostovaným na svazku NTFS přes síť se na uživatele použije kombinace síťových a NTFS oprávnění.

Při přístupu přes síť jsou nejprve vypočítána síťová oprávnění (součtem oprávnění pro uživatele a skupiny, do kterých uživatel patří). Oprávnění NTFS se pak také počítají součtem. Výsledná platná povolení udělená pro tento konkrétní majetek budou minimální z vypočítaných síťových a NTFS oprávnění.

Řízení přístupu pomocí skupin

Skupiny uživatelů jsou vytvořeny speciálně pro efektivnější správu přístupu ke zdrojům. Pokud přiřadíte přístupová práva ke každému zdroji pro každého jednotlivého uživatele, pak je to za prvé velmi pracná práce a za druhé bude obtížné sledovat změny v přístupových právech, když uživatel změní svou pozici v oddělení nebo se přesune do jiného. oddělení.

Zopakujme si materiál z oddílu 4. Pro efektivnější kontrolu přístupu se doporučuje následující schéma organizace poskytování přístupu:

  1. uživatelské účty ( účty) jsou zahrnuty v globálních doménových skupinách ( globální skupiny) v souladu s personální strukturou společnosti/organizace a vykonávanými odpovědnostmi;
  2. globální skupiny jsou součástí doménových lokálních skupin nebo lokálních skupin na nějakém serveru ( lokální skupiny domény, místní skupiny) v souladu s požadovanými přístupovými právy pro konkrétní zdroj;
  3. příslušným místním skupinám jsou přidělena potřebná oprávnění ( oprávnění) ke konkrétním zdrojům.

Toto schéma, založené na prvních písmenech použitých objektů, dostalo zkrácený název AGLP (A počítá G místní skupiny L místní skupiny P oprávnění). S tímto uspořádáním, pokud je uživatel povýšen nebo degradován nebo převeden do jiného oddělení, není potřeba zobrazit všechny síťové zdroje, ke kterému je pro tohoto uživatele třeba změnit přístup. Stačí se podle toho změnit členství uživatelů v globálních skupinách a přístupová práva k síťovým zdrojům pro tohoto uživatele se automaticky změní.

Dodejme, že v hlavním režimu provozu domény Active Directory (režimy " Windows 2000 základní"nebo" Windows 2003“) s příchodem vnořování skupin a univerzálních skupin, schéma AGLP upraveny do obvodu AGG...GULL...LP.




Horní