Каково назначение особого разрешения обзор папок выполнение файлов
На томах с файловой системой NTFS Вы можете установить разрешения безопасности для файлов и папок. Эти разрешения предоставляют или запрещают доступ к файлам и папкам. Для просмотра текущих разрешений безопасности выполните следующее:
1. | В Проводнике (Windows Explorer) выберите файл или папку для просмотра параметров безопасности и щелкните правой кнопкой мыши. |
2. | В контекстном меню выберите команду Свойства (Properties) и перейдите на вкладку Безопасность (Security) диалогового окна. |
3. | В списке Имя (Name) выберите пользователя, контакт, компьютер или группу разрешения которых Вы хотите просмотреть. Если флажки в области Разрешения: (Permissions) затенены, значит, разрешения унаследованы от родител ьского объекта. |
Общее представление о разрешениях для файлов и папок
В Таблице 13-3 отражены базовые разрешения, применимые к файлам и папкам.
Существуют следующие базовые разрешения на доступ к файлам: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Чтение (Read) и Запись (Write).
Для папок применимы такие базовые разрешения: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Список содержимого папки (List Folder Contents), Чтение (Read) и Запись (Write).
При установке разрешений для файлов и папок всегда следует учитывать следующее:
Таблица 13-3 – Базовые разрешения для файлов и папок в Windows 2000
Базовые разрешения созданы при помощи объединения в логические группы особых разрешений, которые показаны в Таблице 13-4 (для файлов) и 13-5 (для папок). Особые разрешения можно назначить индивидуально, используя дополнительные параметры настройки. При изучении особых разрешений для файлов, необходимо учитывать следующее:
Таблица 13-4 – Особые разрешения для файлов
В Таблице 13-5 показаны особые разрешения, используемые для создания базовых разрешений для папок. При изучении особых разрешений для папок необходимо учитывать следующее:
Таблица 13-5 – Особые разрешения для папок
Установка разрешений для файлов и папок
Для установки разрешений для файлов и папок выполните следующее:
Рисунок 13-12 – Настройка базовых разрешений для файлов или папок на вкладке Безопасность (Security)
• Выделите пользователя или группу, разрешения для которых Вы хотите изменить.
• Используйте список Разрешения: (Permissions) для задания или отмены разрешений.
Совет. Флажки унаследованных разрешений затенены. Для отмены унаследованного разрешения измените его на противоположное.
Рисунок 13-13 – Выделите пользователей, компьютеры и группы, для которых необходимо разрешить или запретить доступ.
• Искать в (Look In) Этот раскрывающийся список позволяет просмотреть доступные учетные записи других доменов. В том числе, список текущего домена, доверенных доменов и других доступных ресурсов. Чтобы увидеть все учетные записи в папке, выберите Весь каталог (Entire Directory) .
• Имя (Name) Эта колонка показывает существующие учетные записи выбранного домена или ресурса.
• Добавить (Add) Эта кнопка добавляет выделенные имена в список выбранных имен.
• Проверить имена (Check Names) Эта кнопка позволяет проверить имена пользователей, компьютеров или групп в списке выбранных имен. Это может быть полезно, когда имена вводятся вручную и необходимо убедиться в их правильности.
Аудит системных ресурсов
Применение аудита – это лучший способ для отслеживания событий в системах Windows 2000. Аудит можно использовать для сбора информации, связанной с использованием какого-либо ресурса. Примерами событий для аудита можно назвать доступ к файлу, вход в систему и изменения системной конфигурации. После включения аудита объекта, в журнал безопасности системы заносятся записи при любой попытке доступа к этому объекту. Журнал безопасности можно просмотреть из оснастки Просмотр событий (Event Viewer) .
Примечание. Для изменения большинства настроек аудита необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы», или иметь право Управление аудитом и журналом безопасности (Manage Auditing And Security Log) в групповой политике.
Установка политик аудита
Применение политик аудита существенно повышает безопасность и целостность систем. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности. Настройка политик аудита доступна в оснастке Групповая политика (Group Policy) . С помощью этого компонента можно установить политики аудита для целого сайта, домена, или подразделения. Политики также могут быть заданы для персональных рабочих станций или серверов.
После выбора необходимого контейнера групповой политики можно настроить политики аудита следующим образом:
Рисунок 13-14 – Настройка политики аудита с использованием узла Политика аудита (Audit Policy) в Групповой политике (Group Policy).
• Аудит событий входа в систему (Audit Account Logon Events) отслеживает события, связанные с входом пользователя в систему и выходом из неё.
• Аудит управления учетными записями (Audit Account Management) отслеживает все события, связанные с управлением учетными записями, средствами оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers) . Записи аудита появляются при создании, изменении или удалении учетных записей пользователя, компьютера или группы.
• Аудит доступа к службе каталогов (Audit Directory Service Access) отслеживает события доступа к каталогу Active Directory. Записи аудита создаются каждый раз при доступе пользователей или компьютеров к каталогу.
• Аудит входа в систему (Audit Logon Events) отслеживает события входа в систему или выхода из нее, а также удаленные сетевые подключения.
• Аудит доступа к объектам (Audit Object Access) отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory.
• Аудит изменения политики (Audit Policy Change) отслеживает изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
• Аудит использования привилегий (Audit Privilege Use) отслеживает каждую попытку применения пользователем предоставленного ему права или привилегии. Например, права архивировать файлы и каталоги.
Примечание. Политика Аудит использования привилегий (Audit Privilege Use) не отслеживает события, связанные с доступом к системе, такие, как использование права на интерактивный вход в систему или на доступ к компьютеру из сети. Эти события отслеживаются с помощью политики Аудит входа в систему (Audit Logon Events) .
• Аудит отслеживания процессов (Audit Process Tracking) отслеживает системные процессы и ресурсы, используемые ими.
• Аудит системных событий (Audit System Events) отслеживает события включения, перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или отражаемые в журнале безопасности.
Аудит операций с файлами и папками
Если задействована политика Аудит доступа к объектам (Audit Object Access) , можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.
Для настройки аудита файла и папки проделайте следующее:
Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).
Примечание. Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу Все (Everyone) . В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях.
Рисунок 13-16 – Диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.
Аудит объектов каталога Active Directory
Если задействована политика Аудит доступа к службе каталогов (Audit Directory Service Access) , можно использовать аудит на уровне объектов службы каталогов Active Directory. Это позволит точно отслеживать их использование.
Для настройки аудита объекта проделайте следующее:
1. | В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) выберите контейнер объекта. |
2. | Щелкните по объекту для аудита правой кнопкой мыши и в контекстном меню выберите команду Свойства (Properties) . |
3. | Перейдите на вкладку Безопасность (Security) и нажмите кнопку Дополнительно (Advanced) . |
4. | Перейдите на вкладку Аудит (Auditing) диалогового окна Параметры управления доступом (Access Control Settings) . Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object) . |
5. | Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove) . |
6. | Чтобы добавить учетную запись, нажмите кнопку Добавить (Add) . Появится диалоговое окно Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups) , в котором выберите учетную запись для добавления. Когда нажмете OK , появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder) . |
7. | Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto) . |
8. | Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для каждого успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки удаления файла). |
9. | По завершении нажмите кнопку OK . Повторите эти шаги для настройки аудита других пользователей, контактов, групп или компьютеров. |
Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.
Оцените статью: Голосов
Если стандартные разрешения предназначены для общих случаев, для быстрого и удобного назначения прав доступа, то особые права доступа позволяют подойти к этому делу более ответственно и скрупулезно. При этом можно изменить стандартный набор разрешений так, как будет необходимо. Описание особых разрешений как для папок, так и для файлов сведено в табл. 3.
Таблица 3.3. Особые разрешенияNTFSдля файлов и папок
Для папок. Позволяет или запрещает перемещение по структуре папок в поисках других файлов или папок. Это допускается даже в тех случаях, когда пользователь не обладает разрешением на доступ к просматриваемым папкам.
Для файлов. Позволяет или запрещает запуск программ.
Для папок. Позволяет или запрещает просмотр имен файлов и подпапок, содержащихся в папке.
Для файлов. Позволяет или запрещает чтение данных из файла
Разрешает или запрещает просмотр атрибутов файла или папки: «Только чтение» и «Скрытый»
Чтение дополнительных атрибутов
Разрешает или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ
Для папок.Разрешение «Создание файлов» позволяет или запрещает создание файлов в папке (применимо только к папкам)
Для файлов.Разрешение «Запись данных» позволяет или запрещает внесение изменений в файл и запись поверх имеющегося содержимого
Для папок.Позволяет или запрещает создание папок внутри папки (применимо только к папкам)
Для файлов. Позволяет или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных
Разрешает или запрещает смену атрибутов файла или папки: «Только чтение» и «Скрытый».
Запись дополнительных атрибутов
Разрешает или запрещает смену дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ.
Разрешает или запрещает удаление файла или папки. Если для файла или папки отсутствует разрешение «Удаление», то объект можно удалить при наличии разрешения «Удаление подпапок и файлов» дли родительской папки
Удаление подпапок и файлов
Разрешение применяется только к папкам и позволяет или запрещает удаление подпапок и файлов внутри папки даже в тех случаях, когда отсутствует разрешение «Удаление»
Разрешает или запрещает чтение разрешений на доступ к файлу или папке (т.е. разрешений «Полный доступ», «Чтение» и «Запись»)
Разрешает или запрещает смену разрешений на доступ к файлу или папке (таких как «Полный доступ», «Чтение» и «Запись»)
Разрешает или запрещает вступать во владение файлом или папкой. Привилегия владельца состоит в том, что он всегда может изменять разрешения на доступ к файлу или папки, независимо от любых разрешений, защищающих этот файл или папку
При одновременном доступе к одним и тем же папкам (файлам) данное разрешение позволяет или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками. Эта разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами
В табл. 3.4 показано, какие особые разрешения входят в какие стандартные разрешения. Например, можно увидеть, что в стандартное разрешение Полный доступвходят все особые разрешения, а в стандартное разрешениеИзменение— все, кромеУдаление подпапок и файлов,Смена разрешенийиСмена владельца.
Таблица 3.4.Вхождение специальных разрешений в стандартные разрешения
Существуют следующие разрешения на доступ к папкам: Полный доступ, Изменение, Чтение и выполнение, Список содержимого папки, Чтение и Запись. Каждое из этих разрешений представляет собой логическую группу особых разрешений, которые перечислены и описаны ниже.
Обзор папок / Выполнение файлов
Для папок: «Обзор папок» разрешает или запрещает перемещение по структуре папок в поисках других файлов или папок, даже если пользователь не обладает разрешением на доступ к просматриваемым папкам (применимо только к папкам). Разрешение на обзор папок действительно только в том случае, если группа или пользователь не обладает правом Обход перекрестной проверки, устанавливаемым в оснастке «Групповая политика». (По умолчанию группа «Все» наделена правом Обход перекрестной проверки.)
Для файлов: «Выполнение файлов» разрешает или запрещает запуск программ (применимо только к файлам).
Разрешение «Обзор папок» для папки не означает автоматическую установку разрешения «Выполнение файлов» для всех файлов в этой папке
Содержание папки / Чтение данных
«Содержание папки»: разрешает или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Это разрешение относится только к содержимому данной папки и не означает, что имя самой этой папки также должно включаться в список (применимо только к папкам).
«Чтение данных»: разрешает или запрещает чтение данных, содержащихся в файлах (применимо только к файлам)
Чтение атрибутов
Разрешает или запрещает просмотр таких атрибутов файла или папки, как «Только чтение» и «Скрытый». Атрибуты определяются файловой системой NTFS
Чтение дополнительных атрибутов
Разрешает или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ
Создание файлов / Запись данных
«Создание файлов»: разрешает или запрещает создание файлов в папке (применимо только к папкам).
«Запись данных»: разрешает или запрещает внесение изменений в файл и запись поверх имеющегося содержимого (применимо только к файлам)
Создание папок / Дозапись данных
«Создание папок»: разрешает или запрещает создание папок внутри папки (применимо только к папкам).
«Дозапись данных»: разрешает или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных (применимо только к файлам)
Запись атрибутов
Разрешает или запрещает смену таких атрибутов файла или папки, как «Только чтение» и «Скрытый». Атрибуты определяются файловой системой NTFS.
Разрешение «Запись атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты. Сведения о том, как разрешить (или запретить) операции создания и удаления, см. в описаниях разрешений Создание файлов / Запись данных, Создание папок / Дозапись данных, Удаление подпапок и файлов и Удаление
Запись дополнительных атрибутов
Разрешает или запрещает смену дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ.
Разрешение «Запись дополнительных атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты. Сведения о том, как разрешить (или запретить) операции создания и удаления, см. в описаниях разрешений Создание файлов / Запись данных, Создание папок / Дозапись данных, Удаление подпапок и файлов и Удаление
Удаление подпапок и файлов
Разрешает или запрещает удаление подпапок и файлов даже при отсутствии разрешения «Удаление» (применимо только к папкам)
Разрешает или запрещает удаление файла или папки. Если для файла или папки отсутствует разрешение «Удаление», объект все же можно удалить при наличии разрешения «Удаление подпапок и файлов» для родительской папки
Чтение разрешений
Разрешает или запрещает чтение таких разрешений на доступ к файлу или папке, как «Полный доступ», «Чтение» и «Запись»
Смена разрешений
Разрешает или запрещает смену таких разрешений на доступ к файлу или папке, как «Полный доступ», «Чтение» и «Запись»
Смена владельца
Разрешает или запрещает вступать во владение файлом или папкой. Владелец файла или папки всегда может изменять разрешения на доступ к ним независимо от любых разрешений, защищающих этот файл или папку
Синхронизация
Разрешает или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками, могущими занимать их. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами
Для назначения пользователю или группе разрешения на доступ к определенному файлу:
Укажите файл мышью и нажмите правую кнопку. Выберите команду Свойства (Properties) контекстного меню. В появившемся окне свойств файла перейдите на вкладкуБезопасность (Security) (рис. 7.1).
Рис. 4. ВкладкаБезопасность (Security) окна свойств файла
В группе Имя (Name) показан список пользователей и групп, которым уже предоставлены разрешения Для данного файла. Для того чтобы добавить или удалить пользователей или группы, нажмите кнопкуДобавить (Add) илиУдалить (Remove). При добавлении пользователей появится окно диалогаВыбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups) (рис. 5).
Выделите нужный объект в группе Имя и нажмите кнопки Добавить (Add) и ОК, чтобы вернуться на вкладкуБезопасность.
В группе Разрешения (Permissions) можно назначить или запретитьстандартные разрешения для файлов -Полный доступ (Full Control),Изменить (Modify),Чтение и выполнение (Read&Execute),Чтение (Read) иЗапись (Write). Для получения разрешения или отказа в разрешении служат флажкиРазрешить (Allow) иЗапретить (Deny). На вкладке также присутствуют кнопкаДополнительно (Advanced) и флажокПереносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).
Рис. 5. Окно диалогаВыбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups)
Отказ в одном из разрешений в группе Разрешения может вызвать отказ во множестве разрешений. Например, если отказать в разрешении Полный доступ, это приведет к отказу во всех остальных разрешениях. Отказ в определенном разрешении (флажок Запретить установлен) не дублирует отсутствие этого разрешения (флажок Разрешить снят). Если, например, пользователю предоставлен доступ к дереву каталогов, где есть файл, для которого данный пользователь не должен иметь унаследованного разрешения (т. е. установлен запрет), применяется функция запрещения доступа. По умолчанию разрешение пользователя для папки, в которой находится данный файл, наследуется самим файлом. Чтобы запретить наследование разрешений, следует снять флажок Переносить наследуемые от родительского объекта разрешения на этот объект.
Каждое из перечисленных выше стандартных разрешений состоит из набора более специальных (особых) разрешений, задающих возможность выполнения того или иного конкретного действия с файлами или каталогами. В табл. 5 показано соответствие стандартных и специальных разрешений. Более детально специальные разрешения рассмотрены ниже.
Таблица 5. Соответствие стандартных и специальных разрешений для файлов
Развитая система безопасности - это одна из особенностей операционной системы Windows 8.1, Windows 10. И основой этой безопасности служит файловая система NTFS, которая предполагает использование так называемых разрешений.
Под разрешением NTFS понимается правило, связанное с объектом (файлом, папкой) и используемое для управления доступом пользователей к этому объекту. При этом под пользователем понимается не только пользователь-человек как таковой, но и программы, запущенные от его имени (под его учетной записью).
В NTFS, разрешения назначаемые папкам, отличаются от разрешений, назначаемых файлам. Далее будут по отдельности рассмотрены и те и другие. Причем в NTFS предусмотрен как стандартный набор разрешений (для общих случаев), так и специализированный набор - для «тонкой» настройки.
Разрешения для файлов и папок
Ниже, в таблице показано, какие особые разрешения входят в какие стандартные разрешения. Например, можно увидеть, что в стандартное разрешение «Полный доступ» входят все специальные разрешения, а в стандартное разрешение «Изменение» - все, кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца».
В таблице также можно увидеть, что стандартные разрешения «Список содержимого папки» и «Чтение и выполнение» включают в себя одинаковый перечень особых разрешений. Тем не менее разница все-таки есть, а заключается она в том, что наследуются эти разрешения по разному. Так, разрешение «Список содержимого папки» наследуется только папками и отображается только при просмотре разрешений на доступ к папкам. Файлами это разрешение не наследуется.
Что касается разрешения «Чтение и выполнение», то оно наследуется как папками, так и файлами. Отображается оно также при просмотре разрешений на доступ как к папкам, так и к файлам.
В этой связи следует отметить, что пользователи, которым разрешен полный доступ к папке, могут удалять любые файлы в этой папке, независимо от установленных для них разрешений.
Стандартные разрешения
Разрешения для папок имеют ту особенность, что они определяют возможные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.
Стандартные разрешения NTFS для папок:
также их свойства: имя владельца, разрешения и атрибуты
(такие как «только чтение», «скрытый», «архивный» и
и подпапки, а также изменять атрибуты папки и просматривать
нет доступа к самой папке. Кроме того разрешает те же
действия, что предусмотрены для разрешений «Чтение»
допускаются все действия, предусмотренные всеми
перечисленными выше разрешениями. Дополнительно позволя-
Разрешения для файлов имеют те же названия, но смысл их несколько отличается.
Стандартные разрешения NTFS для файлов:
допускаются все действия, предусмотренные всеми перечис-
ленными выше разрешениями. Дополнительно позволяется
Специальные разрешения
Если стандартные разрешения предназначены для общих случаев, для быстрого и удобного назначения прав доступа, то специализированные права доступа позволяют подойти к этому делу более ответственно.
При этом можно изменить стандартный набор разрешений так, как будет необходимо. Описание специализированных разрешений как для папок, так и для файлов показано в таблице ниже.
Специальные разрешения NTFS для файлов и папок:
файла или папки. Дополнительные атрибуты определяются
запрещает создание файлов в папке (применимо только к папкам).
Для файлов. Разрешение «Запись данных» позволяет или.
запрещает внесение изменений в файл и запись поверх
запрещает создание папок внутри папки (применимо только к папкам).
Для файлов. Разрешение «Дозапись данных» позволяет или
запрещает внесение данных в конец файла, но не изменение,
папки, как «Только чтение» и «Скрытый». При этом разрешение
«Запись атрибутов» не подразумевает права на создание или
удаление файлов или папок: разрешается только вносить
файла или папки. Дополнительные атрибуты определяются
программами и могут различаться для разных программ.
Разрешение «Запись дополнительных атрибутов» не
подразумевает права на создание или удаление файлов или
файла или папки отсутствует разрешение «Удаление», то объект
все же можно удалить при наличии разрешения «Удаление
или запрещает удаление подпапок и файлов внутри папки даже
папкой. Привилегия владельца состоит в том, что он всегда
может изменять разрешения на доступ к файлу или папке,
независимо от любых разрешений, защищающих этот файл
данное разрешение позволяет или запрещает ожидание
различными потоками файлов или папок и синхронизацию их
с другими потоками. Это разрешение применимо только к
программам, выполняемым в многопоточном режиме с
Читайте также: