Uprawnienia NTFS są zorganizowane w strukturę drzewa, w której domyślnie obiekty podrzędne dziedziczą ustawienia po obiektach nadrzędnych. Mechanizmem tym steruje opcja Zezwalaj na propagowanie dziedziczonych uprawnień w oknie Zaawansowane ustawienia zabezpieczeń (które pojawia się po kliknięciu opcji Zaawansowane na karcie Zabezpieczenia).
Jeżeli jest włączona, to każdy kolejny folder lub plik utworzony w bieżącym folderze (którego właściwości edytujemy), przejmie te ustawienia, które bieżący folder otrzymał od folderu nadrzędnego oraz wszystkie nowe, które zostały zdefiniowane tylko dla bieżącego folderu. Gdy wyłączymy tę opcję dla folderu, który dotychczas dziedziczył ustawienia uprawnień, system zapyta, czy chcemy skopiować zestaw zasad, który aktualnie wynika z dziedziczenia. Jeżeli chcemy modyfikować dotychczasowe uprawnienia, to powinniśmy skopiować uprawnienia. W przeciwnym razie wszystkie zasady dostępu będziemy musieli tworzyć od nowa.
Druga opcja, Zamień wpisy uprawnienia na wszystkich obiektach podrzędnych, pozwala globalnie zmienić uprawnienia do wszystkich plików i podkatalogów folderu bieżącego. Ponieważ użytkownik może należeć do więcej niż jednej grupy, zdarza się, że jednej grupie nadano prawa zapisu i odczytu w konkretnym folderze, podczas gdy drugiej grupie nadano jedynie prawo odczytu. W efekcie użytkownik należący do obu grup będzie miał do danego folderu jedynie prawo odczytu. Podczas obliczenia tzw.
efektywnych uprawnień w pierwszej kolejności brane są pod uwagę wszystkie ograniczenia, zatem wynikowe uprawnienia są najbardziej restrykcyjną kombinacją uprawnień nadanych różnym grupom.
Sytuacja wygląda podobnie w przypadku dostępu do danych poprzez udziały sieciowe, które mają własny zestaw uprawnień. Przy określaniu praw dostępu brane są pod uwagę zarówno uprawnienia do udziału (dostępne wartości to Pełna kontrola, Zmiana oraz Odczyt), jak i uprawnienia NTFS do folderu.
Dostęp do udziału zostanie przyznany użytkownikowi tylko wtedy, gdy oba zestawy uprawnień na to pozwolą. Uprawnienia danego udziału stosowane są do wszystkich jego plików i podkatalogów - przeciwnie niż uprawnienia NTFS, które można edytować na dowolnym poziomie hierarchii. Dlatego do bardziej szczegółowej kontroli dostępu stosuje się uprawnienia do udziałów wspólnie z uprawnieniami NTFS.
Uprawnienia do plików i folderów:
Pełna kontrola - umożliwia wykonywanie operacji wynikających ze wszystkich pozostałych uprawnień, a dodatkowo pozwala usuwać pliki i podkatalogi w danym folderze, zmieniać uprawnienia i przejmować pliki lub foldery na własność.
Modyfikacja - użytkownik może wykonywać wszystkie możliwe operacje oprócz dostępnych jako dodatkowe w przypadku pełnej kontroli, a więc bez usuwania plików i podkatalogów oraz bez zmiany uprawnień i przejmowania na własność.
Odczyt i wykonanie - składa się na nie możliwość wyświetlania zawartości folderu, odczytywanie danych, uprawnień, synchronizowanie, uruchamianie programów i przechodzenie przez folder. To ostatnie uprawnienie specjalne stosuje się wówczas, gdy użytkownik musi przejść przez szereg folderów nadrzędnych, aby dostać się do określonego pliku. Działanie tej funkcji zależy od ustawień zasad grup.
Wyświetlenie zawartości folderu - praktycznie to samo, co Odczyt i wykonanie, ale w odniesieniu do folderów. W przypadku plików nie pojawia się na liście uprawnień. Odczyt - odczytywanie danych z plików, odczytywanie atrybutów i atrybutów rozszerzonych wykorzystywanych przez aplikacje oraz wyświetlanie zawartości folderów bez możliwości uruchamiania programów.
Zapis - tworzenie plików i folderów, zapis danych i modyfikacja plików, zapis atrybutów i atrybutów rozszerzonych.
Uprawnienia do udziałów sieciowych:
Odczyt - domyślne uprawnienie nadawane wszystkim w momencie tworzenia udziału sieciowego.
Pozwala przeglądać foldery, odczytywać pliki i uruchamiać programy.
Zmiana - przyznaje użytkownikowi uprawnienia odczytu oraz możliwość tworzenia plików i podkatalogów, zapisywania danych w plikach oraz usuwania plików i podkatalogów.
Pełna kontrola - uprawnienie automatycznie przyznawane użytkownikom z grupy Administratorzy na komputerze lokalnym. Oprócz wykonywania operacji wynikających z uprawnień Odczyt i Zmiana, użytkownik może też zmieniać uprawnienia - oczywiście tylko w przypadku, gdy udostępniony folder znajduje się na partycji NTFS.
Domyślne uprawnienia NTFS w systemie Windows NThttp://support.microsoft.com/kb/148437/pl Hierarchia uprawnień:
Uprawnienia jawne - dołączane bezpośrednio do obiektu lub jednostki organizacyjnej (OU), która może obejmować uprawnienia do plików i folderów.
Uprawnienia dziedziczone - propagowane od obiektu nadrzędnego do obiektu podrzędnego.
Rodzaje uprawnień specjalnych
Przechodzenie poprzez folder/Wykonanie pliku - Uprawnienie Przechodzenie poprzez folder zezwala lub zabrania na dostęp do pliku w sytuacji, gdy użytkownik ten nie posiada odpowiednich uprawnień do zawierającego ten plik katalogu, ale posiada je w stosunku do samego pliku. Prawo to można stosować tylko do folderów. Uprawnienie to ma zastosowanie tylko w stosunku do tych użytkowników i grup, którym poprzez zasady grup nie przyznano prawa
Pomijanie sprawdzania przebiegu. (domyślnie grupa Wszyscy otrzymuje prawo Pomijanie sprawdzania przebiegu). Ustawienie dla folderu uprawnienia Przechodzenie poprzez folder nie powoduje automatycznego ustawienia
Wykonanie pliku. Uprawnienie Wykonanie pliku przyznaje lub odmawia użytkownikowi prawa do uruchamiania plików zawierających programy. Prawo to stosuje się jedynie do plików.
Odczyt atrybutów - Zezwala lub odmawia przeglądania atrybutów pliku lub folderu takich jak Tylko do odczytu lub Ukryty
Odczyt atrybutów rozszerzonych - Zezwala bądź odmawia przeglądania rozszerzonych atrybutów pliku bądź folderu. Niektóre rozszerzone atrybuty definiują same aplikacje we właściwy dla siebie sposób.
Należą do nich również dwa atrybuty NTFS - kompresji i szyfrowania.
Tworzenie plików/Zapis danych - Zezwala bądź odmawia prawa do tworzenia plików wewnątrz folderu. Zapis danych zezwala bądź odmawia prawa do dokonywania zmian w plikach i nadpisywania ich bieżącej zawartości. Prawo to stosuje się jedynie do plików.
Tworzenie folderów/Dołączanie danych - Zezwala bądź odmawia prawa tworzenia podkatalogów wewnątrz folderu. Dołączanie danych zezwala bądź odmawia do dopisywania danych na końcu istniejącego pliku, lecz nie do zmiany, usuwania lub nadpisywania istniejących już w nim danych.
Zapis atrybutów - Zezwala bądź odmawia prawa do zmieniania atrybutów pliku lub folderu takich jak Tylko do odczytu, Ukryty
Zapis rozszerzonych atrybutów - Zezwala bądź odmawia prawa do zmieniania rozszerzonych atrybutów pliku lub folderu.
Usuwanie podfolderów i plików - Zezwala bądź odmawia prawa do usuwania znajdujących się wewnątrz folderu plików zabezpieczeń podkatalogów, nawet jeżeli użytkownik nie posiada uprawnienia Usuwanie do usuwanego pliku lub podkatalogu.
Usuwanie - Zezwala bądź odmawia prawa do usuwania plików i katalogów. Jeżeli użytkownik nie posiada uprawnienia Usuwanie do pliku lub katalogu, ciągle może je usunąć o ile posiada uprawnienie Usuwanie podfolderów i plików w stosunku do folderu nadrzędnego.
Odczyt uprawnień - Zezwala bądź odmawia prawa do odczytywania uprawnień zastosowanych do pliku lub folderu, takich jak Pełna kontrola, Zapis, Odczyt.
Zmiana uprawnień - Zezwala bądź odmawia prawa do zmieniania uprawnień zastosowanych do pliku lub folderu takich jak Pełna kontrola, Zapis, Odczyt.
Przejęcie na własność- Zezwala bądź odmawia prawa do przejęcia pliku lub folderu na własność.
Właściciel pliku lub folderu może zawsze zmienić jego uprawnienia, niezależnie od tego, jakie zastosowano uprawnienia w celu jego ochrony.
Synchronizacja - Zezwala bądź odmawia prawa do tego, aby różne wątki mogły oczekiwać na zwolnienie uchwytu do pliku zabezpieczeń w ten sposób synchronizować się z innymi, sygnalizującymi to wątkami. Ten rodzaj uprawnienia ma zastosowanie jedynie dla programów wielowątkowych i wieloprocesorowych.
Zmiana uprawnień
Uprawnienia można zmieniać klikając prawym przyciskiem myszy na pliku lub folderze i wybierając Właściwości, następnie zakładkę Zabezpieczenia. Przy pomocy przycisków Dodaj i Usuń można zarządzać listą kontroli dostępu. W dolnej części okna, w sekcji Uprawnienia można zezwolić lub odmówić wybrane uprawnienie. Jeżeli użytkownik należy do kilku grup, to dostaje sumę uprawnień wszystkich grup. Należy jednak pamiętać, iż uprawnienie Odmawiaj ma wyższy priorytet niż Zezwalaj.
Domyślnie system przyznaje uprawnienie Zapis i wykonanie, Wyświetlenie zawartości folderu, Odczyt. Uprawnienie Zapis i wykonanie nie zezwala na zapis. Aby istniała możliwość zapisu, dodatkowo musi być załączone uprawnienie Zapis. Uprawnienie Zapis i wykonanie daje możliwość odczytu i wykonania plików, zatem powinno ono nazywać się Odczyt i wykonanie. Uprawnienie Odczyt nie daje możliwości uruchomienia pliku.
Domyślnie nowo tworzone katalogi i pliki mają ustawioną opcję Zezwalaj na propagowanie uprawnień dziedzicznych obiektów nadrzędnych do tego obiektu. Oznacza to, iż uprawnienia są dziedziczone po folderze wyższego poziomu. Dziedziczenie to można jednak wyłączyć. Należy wówczas określić, czy system ma skopiować uprawnienia, czy usunąć.
Dodatkowo użytkownik ma możliwość wybrania opcji Resetuj ustawienia na wszystkich obiektach podrzędnych i włącz propagację uprawnień dziedziczonych. Ustawienie to dostępne jest po wybraniu przycisku Zaawansowane
Folder utworzony na dysku (C:) dziedziczy uprawnienia po dysku (C:). Dysk (C:) tak jak każdy wolumin domyślnie udostępniony jest grupie Wszyscy z pełna kontrolą. Grupa Wszyscy jest specjalną grupą obejmująca wszystkich użytkowników, nawet tych, którzy nie posiadają konta. Chcąc zabezpieczyć nowo utworzony folder, grupie Wszyscy trzeba zabrać uprawnienia. Przy tej operacji należy pamiętać, że jeśli administratora nie będzie na liście uprawnień, to nie będzie miał on dostępu do folderu. Zatem zawsze do listy uprawnień należy dodać grupę Administratorzy z pełną kontrolą.
Przy zmianie uprawnień, warto zwrócić uwagę na komunikat Dostępne są dodatkowe, nie wyświetlone tutaj uprawnienia, pojawiający się przy przycisku Zaawansowane. Jeżeli np. użytkownik ma uprawnienie Pełna kontrola i zabierze się uprawnienie Zapis, to pozostaną zaznaczone uprawnienia Zapis i wykonanie, Wyświetlenie zawartości folderu i Odczyt. W tym przypadku użytkownik będzie posiadał dodatkowe uprawnienia specjalne.
Jeżeli zachodzi potrzeba modyfikacji uprawnień specjalnych, to w opcjach Zaawansowanych, po wybraniu przycisku Wyświetl/Edytuj, użytkownik może je zmienić. Podczas tej operacji użytkownik określa, do jakich elementów system ma zastosować zmiany. Można wybrać:
Tylko ten folder
Ten folder, podfoldery i pliki
Ten folder i podfolder
Ten folder i pliki
Tylko podfoldery i pliki
Tylko podfoldery
Tylko pliki
W zaawansowanych ustawieniach kontroli dostępu na zakładce Właściciel, istnieje możliwość zmiany właściciela pliku lub folderu, a po wybraniu opcji Zmień właściciela dla podkontenerów i obiektów także do podkatalogów i wszystkich plików w nich występujących. Należy pamiętać, iż właściciel zawsze może zmienić uprawnienia, niezależnie od istniejących już uprawnień, które chronią plik lub folder.
Na zakładce Inspekcja administrator może załączyć tworzenie dzienników dostępu do plików lub folderów wybranych użytkowników lub grup.
ZADANIE
1. Na dysku C: utwórz katalogi:
<Prezes>
<Sprawozdania>
<Kadry>
2. Utworzone foldery udostępnij z uprawnieniem Modyfikacja odpowiednim grupom:
folder <Prezes> grupie Dyrekcja
folder <Sprawozdania> grupie Sekretariat
folder <Kadry> grupie Księgowość
UWAGA: nie zapomnij o usunięciu z listy uprawnień grupy Wszyscy i przypisaniu uprawnienia Pełna kontrola grupie Administratorzy.
3. Dodatkowo grupa Dyrekcja ma mieć uprawnienie Modyfikacja do wszystkich utworzonych wcześniej folderów.
4. Grupa Księgowość uprawnienia: Zapis i wykonanie, Wyświetlenie zawartości folderu, Odczyt do katalogu Sprawozdania.
5. Grupa Sekretariat uprawnienia: Zapis i wykonanie, Wyświetlenie zawartości folderu, Odczyt do katalogu Kadry.
6. Sprawdź, czy dobrze ustawiłeś zabezpieczenia folderów, zaloguj się na użytkowników poszczególnych grup, wykonaj operacje na folderach.
7. Utwórz katalog publiczny <C:\Dostępny> i udostępnij go wszystkim użytkownikom (np. grupie Użytkownicy uwierzytelnieni) z uprawnieniem Modyfikacja. Korzystając z tego katalogu użytkownicy sieci będą mogli swobodnie przekazywać sobie dane.
UWAGA: nie zapomnij o usunięciu z listy uprawnień grupy Wszyscy i przypisaniu uprawnienia Pełna kontrola grupie Administratorzy.
8. W katalogu <C:\Sprawozdania> utwórz podkatalog, a w nim plik. Następnie plik ten skopiuj do katalogu <C:\Dostępny>. Przeprowadź analizę uprawnień dostępu.
9. Utwórz folder <C:\Sprawdzenie> i wcześniej utworzony plik przenieś do tego katalogu.
Przeprowadź analizę uprawnień dostępu.
10. Utwórz katalog <C:\Zapisy>, w którym wszyscy uwierzytelnieni użytkownicy będą mogli zapisywać swoje prace, ale jedynie właściciele prac będą mogli odczytywać i modyfikować swoje pliki. Inni użytkownicy nie będą mieli dostępu do nie swoich prac (skorzystaj przy tym z grupy TWÓRCA WŁAŚCICIEL). Sprawdź, czy dobrze ustawiłeś uprawnienia.
11. Na folder <C:\Sprawdzenie> ustaw uprawnienie Pełna kontrola dla grupy Administratorzy i odmów uprawnienie Zapis dla Użytkowników uwierzytelnionych. Sprawdź, czy administrator może zapisać plik w folderze <C:\Sprawdzenie>.
12. Z konta jkowalski utwórz katalog <C:\jkowal>, a w nim kilka plików. Ustaw uprawnienia na katalog tak, aby tylko jkowalski miał uprawnienie Pełna kontrola.
13. Zaloguj się na konto Administrator i usuń katalog <C:\jkowal> (skorzystaj z operacji przejmowania na własność).
