Наследование прав доступа к файлам

Права доступа к файлам и папкам простым языком

Чуть ниже будет объяснено «наложение прав» на каталоги и файлы, но сейчас главное понять одну мысль. Права на папки или файлы будут предоставляться группам, которые образно можно сравнить с контейнерами. А группы уже «передадут» права включённым в них учётным записям. То есть нужно мыслить на уровне групп, а не на уровне отдельных учётных записей.

  • MS Windows XP. Панель Управления — Администрирование — Управление компьютером.
    Локальные пользователи и группы — Пользователи. Меню Действие — Новый пользователь.
  • MS Windows 7. Панель Управления — Администрирование — Управление компьютером.
    Локальные пользователи и группы — Пользователи. Меню Действие — Создать пользователя.
  • MS Windows XP. На нужной папке (C:\dostup\) правой клавишей мыши и там Свойства. Вкладка Доступ — Открыть общий доступ к этой папке. Заполняем Примечание. Жмём Разрешение. Группа Все должна иметь по сети право Полный доступ.
  • MS Windows 7. На нужной папке (C:\dostup\) правой клавишей мыши и там Свойства. Вкладка Доступ — Расширенная настройка. Ставим галочку Открыть общий доступ к этой папке. Заполняем Примечание. Жмём Разрешение. Группа Все должна иметь по сети право Полный доступ.
  • MS Windows XP. Меню Сервис — Свойства папки — Вид. Снять галочку Использовать мастер общего доступа
  • MS Windows 7. Нажмите Alt. Меню Сервис — Параметры папок — Вид. Снять галочку Использовать простой общий доступ к файлам.

Нужно создать необходимые учётные записи пользователей. Напоминаю, что если на многочисленных ваших персональных компьютерах используются различные учётные записи для пользователей, то все они должны быть созданы на вашем «сервере» и с теми же самыми паролями. Этого можно избежать, только если у вас грамотный админ и компьютеры в Active Directory. Нет? Тогда кропотливо создавайте учётные записи.

Секреты NTFS — права, разрешения и их наследование

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А», а в ней папку «Б», то папка «Б» будет иметь те же разрешения, что и папка «А». Следовательно, все файлы в папке «Б» получат разрешения папки «А» .

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share , наличие которого проверяется при обращении к удалённому серверу.

• При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

К ак и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

Наследование прав на файлы и папки в Linux

Многие пользователи Windows в курсе, как работает система наследования прав. Суть её в том, что пользователи и группы будут иметь те же права на файлы и каталоги, которые они имели по отношению к родительскому каталогу. В Linux механизм наследования работает схожим образом и называется «правами по умолчанию». Несмотря на своё название, права по умолчанию вовсе не задаются автоматически. Их нужно прописать отдельно. Для примера используем каталог пользователя test:

Как видим на скриншоте, использование команды getfacl показало, что в свойствах каталога появились строчки, начинающиеся с default . Именно они и говорят нам о правах по умолчанию для владельца, ассоциированной группы и всех остальных. Не будем забывать, что ACL дозволяет установку прав доступа для отдельных пользователей и групп. Воспользуемся данной возможностью:

Первой из таких операций является перенос ACL-прав. Это значит, что мы снимаем ACL-права с одного объекта и придаём их другому. Ранее мы рассматривали файл file_test в каталоге /home/test/. Перенесём ACL-доступы с него на файл file_test2 командой

На самом деле, речь в этой статье пойдёт не только о наследовании прав на файлы и каталоги в операционных системах семейства Linux. Однако наследование прав доступа будет первой и основной темой, которая будет здесь затронута.

Еще одним неплохим приемом может стать копирование ACL-прав на каталог в права по умолчанию этого же каталога. По сути, это то же самое, что мы провернули в начале статьи. Вот только тогда мы могли задать любые другие права по умолчанию. А вот если нам надо именно скопировать текущие права, то будет проще воспользоваться следующей командой:

В пункте 5.1 было сказано, что каждый файл представляет собой набор атрибутов. Атрибут, который содержит информацию об NTFS-разрешения, называется списком управления доступом (ACL, Access Control List). Структура ACL приведена в таблице 5.4. Каждая запись в ACL называется элементом управления доступом (ACE, Access Control Entry).

Определение прав доступа к файловым ресурсам осуществляется на основе разрешений (permissions). При определении разрешений к ресурсам, предоставленным в совместный доступ в сети, используются два типа разрешений: сетевые разрешения (shared folder permissions) и разрешения, заданные в файловой системе NTFS (NTFS-permissions).

— ресурс вида «\\ \admin$» (например, \\DC1\admin$) — предназначен для удаленного администрирования компьютера; путь всегда соответствует местоположению папки, в которой установлена система Windows; к этому ресурсу могут подключаться только члены групп Администраторы, Операторы архива и Операторы сервера;

Данная схема по первым буквам используемых объектов получила сокращенное название AGLP (Accounts → Global groups → Local groups → Permissions). При такой схеме, если пользователь повышается или понижается в должности или переходит в другое подразделение, то нет необходимости просматривать все сетевые ресурсы, доступ к которым необходимо изменить для данного пользователя. Достаточно изменить соответствующим образом членство пользователя в глобальных группах, и права доступа к сетевым ресурсам для данного пользователя изменятся автоматически.

Еще почитать --->  Факт открытия наследства подтверждаются

Добавим, что в основном режиме функционирования домена Active Directory (режимы «Windows 2000 основной» или «Windows 2003») с появлением вложенности групп и универсальных групп схема AGLP модифицируется в схему AGG…GULL…LP.

  • Установить явные разрешения для папки, отключив наследование. О том, как установить явные разрешения для папки с конечными объектами (ссылки) с помощью оснастки «Управление DFS» или команды Dfsutil, см. в разделе Включение перечисления на основе доступа для пространства имен.
  • Изменение унаследованных разрешений на родителе в локальной файловой системе. Чтобы изменить разрешения, унаследованные папкой с конечными объектами, если вы уже установили явные разрешения для папки, переключитесь с явных разрешений на унаследованные разрешения, как описано в следующей процедуре. Затем с помощью проводника или команды Icacls изменить разрешения папки, от которой папка с конечными объектами наследует свои разрешения.

При использовании унаследованных разрешений проще всего задать разрешения для корней пространства имен и папок без конечных объектов. Затем эти унаследованные разрешения можно использовать для папок с конечными объектами, чтобы они наследовали все разрешения от своих родителей.

Перечисление на основе доступа не мешает пользователям переходить по ссылке на конечный объект папки, если они уже знают путь DFS папки с конечными объектами. Разрешения, заданные с помощью проводника или команды Icacls для корней пространства имен или папок без конечных объектов, определяют, могут ли пользователи получать доступ к папке DFS или корню пространства имен. Однако они не мешают пользователям получить непосредственный доступ к папке с конечными объектами. Запретить доступ пользователя к конечным объектам папки могут только разрешения для общего ресурса или разрешения файловой системы NTFS, относящиеся к самой общей папке.

  • Изменения унаследованных разрешений не реплицируются на другие серверы пространства имен. Таким образом, использовать унаследованные разрешения имеет смысл только применительно к изолированным пространствам имен или в средах, где можно реализовать стороннюю систему репликации для обеспечения синхронизации списков управления доступом (ACL) на всех серверах пространства имен.
  • Оснастка «Управление DFS» и команда Dfsutil не позволяют просматривать или изменять унаследованные разрешения. Таким образом, для управления пространством имен в дополнение к оснастке «Управление DFS» или команде Dfsutil необходимо использовать проводник или команду Icacls.
  • При использовании унаследованных разрешений невозможно изменить разрешения папки с конечными объектами, кроме как с помощью команды Dfsutil. Пространства имен DFS автоматически удаляют разрешения с папок с конечными объектами, заданные с использованием других средств или методов.
  • При задании разрешений для папки с конечными объектами, когда вы используете унаследованные разрешения, список управления доступом, который вы установили для папки с конечными объектами, объединяется с разрешениями, наследуемыми от родителя папки в файловой системе. Необходимо изучить оба набора разрешений, чтобы определить, каковы будут результирующие разрешения.

По умолчанию разрешения, используемые для папки DFS, наследуются от локальной файловой системы сервера пространства имен. Разрешения наследуются от корневого каталога системного диска и предоставляют группе «Пользователи домена» \ разрешения на чтение. В результате даже после включения перечисления на основе доступа все папки в пространстве имен остаются видимыми всем пользователям домена.

Наследование прав доступа к файлам

Хочу сказать сразу, имеющаяся возможность просмотреть действующие права для папки или файла, является полной фикцией. В моем представлении такие инструменты должны давать гарантированную информацию. В данном случае это не так. Майкрософт сама признается в том, что данный инструмент не учитывает много факторов, влияющих на результирующие права, например, условия входа. Поэтому, пользоваться подобным инструментом – только вводить себя в заблуждение относительно реальных прав.

Команда chown (расшифровывается как “change owner”) используется для изменения владельца файла. При этом выполнять изменение владельца должен обязательно суперпользователь. Вам нужно ввести название команды, затем имя пользователя, которого вы собираетесь сделать владельцем файла, и в конце название файла:

С помощью этой программы вы сможете легко построить отчет о правах доступа к имеющимся у вас на серверах сетевым папкам. Программа сама обнаружит расшаренные папки на указанных вами серверах и при помощи рекурсивного обхода всех папок построит наглядный список с отображением учетных записей и их правами доступа.

Рассмотрим, как получить полный доступ к папке в системе Windows.
В первую очередь, снова переходим на вкладку Безопасность в свойствах каталога и кликаем на кнопку Дополнительно. Под списком Элемент разрешения нажимаем кнопку Добавить. В окне Элемент разрешения у пункта Субъект нажимаем на ссылку Выберите субъект и повторяем уже известную нам процедуру добавления пользователя.

Если на одном компьютере или в общей сети работает несколько (больше одного) пользователей, логично ограничить доступ к информации — одним пользователям доступна вся информация (чаще всего это администраторы), другим — только их собственные файлы и папки (обычные пользователи).

Создаете 2 секьюрити группы в AD (только не надо задумываться для чего группы из одного человека, просто создайте): одну для прав «только запись», другую — «только чтение». Засуньте Иванова и Петрова в соответствующие группы, а потом в ACL на каждой папке укажите соответствующие права для этих групп.

Что я делаю: снимаю галку наследования от родительского каталога, назначаю права какие хотел, все сохраняю. Пользователь Петров открывает файл, ПИШЕТ в него, сохраняет. после этого я смотрю на права — они все скопированы от родительской папки и СТОИТ галочка «Include inheritable permissions from this object’s parent».

Данный форум является бесплатным сервисом Microsoft с целью оказания посильной помощи пользователям и повышения уровня знаний о продуктах Microsoft. Информация, представленная на форуме, распространяется «как есть» без официальной ответственности компании Microsoft.

Решение.
В каталоге «D:\SHARE\» сервера «FILESRV» создадим папку «D:\SHARE\Отдел разработки информационных систем\», которая будет корневым каталогом для файлового информационного ресурса. Также создадим группы доступа пользователей (глобальные группы безопасности домена «ICS») для данного ресурса:

  • «FILE-FILESRV-SHARE-Отд. разр. ИС-RO»
  • «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

Настроим права доступа для каталога «D:\SHARE\Отдел разработки информационных систем\»:

Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:(OI)(CI)R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:(OI)(CI)C
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F

Каталог D:\SHARE\ является точкой входа и промежуточным каталогом для данного ресурса. Добавим в него права на проход (Traverse) для групп: «FILE-FILESRV-SHARE-Отд. разр. ИС-RO» и «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

Дамп NTFS разрешений, полученных командой cacls:
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RO:R
ICS\FILE-FILESRV-SHARE-Отд. разр. ИС-RW:R
NT AUTHORITY\SYSTEM:(OI)(CI)F
BUILTIN\Administrators:(OI)(CI)F

Еще почитать --->  Перечень Населенных Пунктов Киевской Области Чернобыльской Аэс

Поскольку пользователям требуется доступ на чтение и запись, добавим их учетные запаси в группу «FILE-FILESRV-SHARE-Отд. разр. ИС-RW»

Стандарт управления правами доступа к корпоративным файловым информационным ресурсам (далее – Стандарт) регламентирует процессы предоставления доступа к файловым информационным ресурсам, размещенным на компьютерах, работающих под управлением операционных систем семейства Microsoft Windows. Стандарт распространяется на случаи, когда в качестве файловой системы используется NTFS, а в качестве сетевого протокола для совместного доступа к файлам SMB/CIFS.

  1. Доступ разграничивается только на уровне каталогов. Ограничение доступа к отдельным файлам не проводится.
  2. Назначение прав доступа выполняется на базе групп безопасности. Назначение прав доступа на отдельные учетные записи пользователей не проводится.
  3. Явно запрещающие полномочия доступа (deny permissions) не применяются.
  4. Разграничение прав доступа проводится только на уровне файловой системы. На уровне сетевых протоколов SMB/CIFS права не разграничиваются (Группа «Все» – полномочия «Чтение/Запись» / Everyone – Change).
  5. При настройке сетевого доступа к файловому информационному ресурсу в настройках SMB/CIFS устанавливается опция «Перечисление на основе доступа (Access based enumeration)».
  6. Создание файловых информационных ресурсов на рабочих станциях пользователей недопустимо.
  7. Не рекомендуется размещать файловые информационные ресурсы на системных разделах серверов.
  8. Не рекомендуется создавать несколько точек входа в файловый информационный ресурс.
  9. Следует по возможности избегать создание вложенных файловых информационных ресурсов, а в случаях, когда имена файлов или каталогов содержат конфиденциальную информацию, это вовсе недопустимо

Предоставление доступа пользователю к файловому информационному ресурсу
Постановка задачи.
Предположим, в отдел разработки приняли еще одного работника – специалиста Егорова Михаила Владимировича (MB.Egorov@domain.ics), и ему, как и остальным работникам отдела, требуется доступ на чтение и запись к файловому информационному ресурсу отдела.

Создание вложенного информационного ресурса. Расширение доступа
Постановка задачи.
Предположим, Отдел разработки информационных систем решил улучшить качество взаимодействия с Отделом маркетинга и предоставить руководителю последнего — Кругликовой Наталье Евгеньевне (NE.Kruglikova@domain.ics) — доступ на чтение к актуальной документации на продукты, хранящейся в папке «Документация» файлового информационного ресурса Отдела разработки информационных систем.

Настройка разрешений файловой системы NTFS

Наследование (Inheritance) — это один из наиболее важных моментов, о которых нужно знать при работе с файловой системой. Суть наследования заключается в том, что каждый объект файловой системы (файл или папка) при создании автоматически наследует разрешения от ближайшего родительского объекта.

Как вы уже поняли, структура разрешений файловой системы может быть весьма сложной и запутанной. Особенно это касается файловых ресурсов общего доступа, в которых разрешения назначаются не отдельным пользователям, а группам. В результате определить разрешения для отдельно взятого пользователя становится достаточно сложной задачей, ведь надо определить все группы, в которые входит пользователь, а уже затем искать эти группы в списке доступа. Ну а группы могут иметь в качестве членов другие группы, да и пользователь как правило входит не в одну группу, и зачастую эти группы имеют различные разрешения на один о тот же объект.

Однако бывают ситуации, в которых применение запретов может быть оправдано. К примеру, одному пользователю необходимо запретить доступ к папке. При этом он входит в группу, имеющую разрешения на доступ. Отобрать доступ у всей группы нельзя, поскольку в нее входят другие пользователи, которым доступ положен. Убрать пользователя из группы тоже нельзя, поскольку кроме доступа к папке она обеспечивает и другие разрешения, которые должны остаться. В такой ситуации единственным выходом остается только явный запрет на доступ для данного пользователя.

К счастью в Windows есть способ просто и быстро определить, какие именно разрешения имеет конкретный пользователь на данный объект файловой системы. Для этого надо в окне расширенных свойств безопасности перейти на вкладку Effective Access (Действующие разрешения), нажать на ссылку Select a user (Выбрать пользователя) и найти нужного пользователя или группу.

Отключение наследования позволяет более детально настраивать разрешения для дочерних объектов. Однако может быть и обратная ситуация, когда на всех дочерних объектах надо убрать созданные вручную разрешения и заменить их на разрешения, наследуемые от родительского объекта. Сделать это просто, достаточно лишь отметить чекбокс Replace all child object permission entries with inheritable permission enntries from this object (Заменить все дочерние разрешения объекта на разрешения, наследуемые от этого объекта) и нажать «Apply».

Права доступа к папке или файлам

Мы уже прошлись по теме настройки прав доступа к папке/файлу. Напомню, что мы рассмотрели варианты настройки как через привычный интерфейс Windows, так и через интерфейс командной строки. Но одной лишь настройкой сыт не будешь, если не знать поведение прав доступа к объекту при копировании или перемещении объекта, если не знать про наследование и не знать как можно просмотреть уже назначенные разрешения.

Выяснить конечные права доступа к объекту для какого-либо пользователя или группы поможет вкладка Безопасность в окне Свойства выбранного объекта. Для этого необходимо нажать кнопку Дополнительно и перейти во вкладку Действующие разрешения. После этого необходимо нажать кнопку Выбрать пользователя и указать пользователя или целую группу, для которой хотите получить результирующий список разрешений. Что Вы собственно и получите, если нажмете кнопку ОК.

Данную функцию можно либо включить, либо отключить. Для этого в окне Свойства папки необходимо перейти во вкладку Безопасность и нажать кнопку Дополнительно. Искомый пункт будет иметь название Добавить разрешения, наследуемые от родительских объектов или Включение наследования/Отключение наследования в зависимости от используемой операционной системы.

При копировании папки или файла его новоиспеченная копия получит только те права доступа, которые задаются вновь создаваемым папкам или файлам, а так же права доступа, которые она наследует по месту своего «рождения». Никаких прав доступа от оригинала она не получит.

На конечного пользователя могут одновременно действовать довольно много разрешений доступа. Кроме разрешений, которые непосредственно заданы для данного пользователя, есть еще и права доступа, которые заданы для группы пользователей, в которой он состоит. Вдобавок, стоит напомнить, что группы могут быть вложены друг в друга, а приоритет разрешений у более внутренней группы выше, чем у внешней группы. К тому же приоритет запретов выше, чем приоритет разрешений. Так как не запутаться среди стольких правил?

Служба файлов и печати

На томе NTFS есть несколько файлов, они скрыты от администратора, в которых описана файловая структура тома. Основной файл, в котором отражена файловая структура, — Главная файловая таблица ( master file table, MFT ). Имена файлов, описывающих том NTFS, начинаются с символа $. Перечислим некоторые из них:

Таблица MFT состоит из записей о файлах, размер записи — 1 КБ, каждый файл в MFT — набор атрибутов. Маленькие файлы (до 1 КБ) целиком помещаются в одной записи MFT . Для больших файлов в записи MFT содержатся ссылки на кластеры, находящиеся за пределами MFT . Первые 16 записей являются служебными, а с семнадцатой записи и далее идет описание прочих файлов тома. Для большей отказоустойчивости спецификацией предусмотрены копии MFT и сектора начальной загрузки.

Еще почитать --->  Ответчики при восстановлении срока принятия наследства

Определение прав доступа к файловым ресурсам осуществляется на основе разрешений ( permissions ). При определении разрешений к ресурсам, предоставленным в совместный доступ в сети, используются два типа разрешений: сетевые разрешения ( shared folder permissions ) и разрешения, заданные в файловой системе NTFS ( NTFS-permissions ).

Размер кластера в NTFS вместе с размером тома растет гораздо медленнее, чем в системах FAT, что приводит к меньшим потерям дискового пространства. В табл. 8.3 приводятся данные о размере кластера на томе NTFS в зависимости от размера тома (для сравнения приведены аналогичные данные для системы FAT32):

В NTFS нет разделения на атрибуты (свойства) файла и данные. Вся информация, связанная с файлом, хранится в тех или иных атрибутах. Содержимое файла является одним из атрибутов этого файла. Например, имя файла хранится в атрибуте $FILE_NAME , данные — в атрибуте $DATA .

Если коротко, то наследовать владельца невозможно (без изменений в ядре linux) и по большей части лишено практического смысла. В linux, как и в большинстве unix-подобных ОС, установка бита setuid на каталоге не даёт никакого эффекта — владельцем всегда является создатель файла.

Создаю папку например /tmp/foo . Выставляю на неё права 775 . Соответственно для этого выполняю chmod -R 775 /tmp/foo . Владельцем делаю пользователя myuser и группу mygroup : chown -R myuser:mygroup /tmp/foo . Это ясно и понятно. Но есть задача: все новые файлы и папки (условно-бесконечная вложенность) внутри /tmp/foo должны наследовать от неё владельца и права доступа. Если я создам например файл /tpm/foo/bar.txt у него должны быть так-же права 775 и владелец myuser группа mygroup . Даже если файл создаёт другой пользователь из группы mygroup .

umask (т.е. дополнению к umask ‘у) в данном каталоге, модифицируя права запрошенные процессом при создании файла/подкаталога. Т.е. любой процесс может запросить создание файла с меньшими правами, но обычно большинство программ пытается создать файл с правами 0666 , а каталоги с 0777 . Эти значения также наследуются подкаталогами.

  • Стандартные права: наиболее часто используемым разрешением является стандартный доступ к файлам и папкам; к нему относятся основные права: чтение, запись, изменение и полный контроль.
  • Специальные права: особые права доступа, в которых предусмотрена большая точность управления доступом к файлам и папкам. Этот тип прав доступа более сложный в управлении, чем стандартный доступ. К ним относятся права на атрибуты чтения/записи, расширенные атрибуты, удаление вложенных папок и файлов, смена владельца и синхронизация.

Наследованный доступ позволяет набору NTFS разрешений для папки быть автоматически применённым к файлам, созданным в той папке и её подпапках. Это означает, что разрешения NTFS для всей структуры папки могут быть установлены в одном месте. И если требуются изменения, то их можно сделать в одном единственном пункте.

Наиболее распространённый способ доступа пользователей к данным — доступ к общим файловым ресурсам в сети. Управление доступом к файлам и папкам осуществляется с помощью прав доступа к общему файловому ресурсу и доступа к NTFS. Для обеспечения безопасности ваших файлов важно понимать, как действуют права доступа.

  • Доступ к общей папке: даёт участникам, например определённым пользователям, доступ к общим ресурсам в сети. Права доступа к общим папкам действует только тогда, когда пользователь обращается к ресурсу по сети.
  • Доступ к файловой системе NTFS: даёт доступ к файлам или папкам при подключении по сети или во время входа в систему на локальном компьютере, где расположен ресурс. Доступ по NTFS для файла или папки предоставляется определённой группе или отдельным пользователям.

После установки прав доступа на родительскую папку, созданные в ней новые файлы и папки, наследуют эти права. Для ограничения доступа к этим файлам и папкам наследование прав доступа может быть заблокировано. Например, все пользователи бухгалтерии могут иметь права на папку УЧЕТА «Изменить». На подпапке ЗАРАБОТНАЯ ПЛАТА, наследуемые права доступа могут быть заблокированы, и предоставлены только некоторым определённым пользователям.

Хочу сказать сразу, имеющаяся возможность просмотреть действующие права для папки или файла, является полной фикцией. В моем представлении такие инструменты должны давать гарантированную информацию. В данном случае это не так. Майкрософт сама признается в том, что данный инструмент не учитывает много факторов, влияющих на результирующие права, например, условия входа. Поэтому, пользоваться подобным инструментом – только вводить себя в заблуждение относительно реальных прав.

Это самый ключевой момент этого примера. Значение «Только для этой папки» приводит к тому, что права чтения для группы «Коллегам для чтения» распространяются только на корень папки «ФОТО», но не на подпапки. Таким образом, каждый пользователь сможет добраться к своей папке, но заглянуть в соседнюю не сможет, права на просмотр подпапок у него нет. Если же не дать такое право группе совсем, то пользователи вообще не смогут попасть в свои подпапки. Файловая система не пропустит их даже в папку «ФОТО».

Результатом применения явных и наследуемых прав и будут фактические права на конкретную папку или файл. Подводных камней при этом очень много. Например, у вас есть папка, в которой вы разрешаете пользователю «Вася» удалять файлы. Потом вы вспоминаете, что в этой папке есть один очень важный файл, который Вася ни в коем случае не должен удалить. Вы устанавливаете на важный файл явный запрет (особое право запрета «Удаление»). Казалось бы, дело сделано, файл явно защищен от удаления. А Вася спокойно заходит в папку и удаляет этот суперзащищенный файл. Почему? Потому что Вася имеет права удаления от родительской папки, которые в данном случае являются приоритетными.

Сначала создадим локальную группу, в которую включим весь список нужных нам пользователей. Можно и без группы, но тогда для каждого пользователя нужно будет настраивать права отдельно, и каждый раз, когда понадобится дать права новому человеку, потребуется проделывать все операции заново. А если права предоставить локальной группе, то для настройки нового человека понадобится только одно действие – включение этого человека в локальную группу. Как создать локальную группу безопасности читаем в статье «Настройка локальных групп безопасности».

В окне особых прав нажимаем «ОК» и выходим в предыдущее окно, теперь в столбце «Применять к» напротив группы «Коллегам для чтения» стоит значение «Только для этой папки».

Adblock
detector