Postavljanje dozvola za folder u Windowsu. Dozvole za fajlove i fascikle u NTFS Kome su dodeljena prava pristupa

Informacije preuzete iz trinaestog poglavlja Vodiča za administratore za Windows 2000. Napisao William R. Stanek.

Na NTFS volumenima možete postaviti sigurnosne dozvole za datoteke i mape. Ove dozvole odobravaju ili odbijaju pristup datotekama i folderima. Da vidite trenutne sigurnosne dozvole, učinite sljedeće:

Razumijevanje dozvola za datoteke i mape

Tabela 13-3 prikazuje osnovne dozvole koje se primjenjuju na datoteke i mape.
Postoje sljedeće osnovne dozvole za pristup fajlovima: puna kontrola, modificiranje, čitanje i izvršavanje, čitanje i pisanje.
Za fascikle se primenjuju sledeće osnovne dozvole: puna kontrola, modifikacija, čitanje i izvršavanje, lista sadržaja fascikle, čitanje i pisanje.

Kada postavljate dozvole za fajlove i foldere, uvijek trebate uzeti u obzir sljedeće:

Potrebno je samo da imate dozvolu za čitanje da biste pokrenuli skripte. Dozvola za izvršavanje datoteke (posebna dozvola za izvršavanje datoteke) nije obavezna.
Pristup prečici i povezanom objektu zahtijeva dozvolu za čitanje.
Dozvola za pisanje u datoteku (posebna dozvola za pisanje podataka) u nedostatku dozvole za brisanje datoteke (posebna dozvola za brisanje) i dalje dozvoljava korisniku da izbriše sadržaj datoteke.
Ako korisnik ima osnovnu dozvolu pune kontrole nad folderom, može izbrisati sve datoteke u toj mapi, bez obzira na dozvole za te datoteke.

Tabela 13-3 – Osnovne dozvole za datoteke i fascikle u Windows 2000

Osnovna rezolucija Vrijednost za foldere Značenje za fajlove
Čitanje Omogućava pretraživanje foldera i pregled liste datoteka i podfoldera Omogućava pregled i pristup sadržaju datoteke
Pisati Omogućava dodavanje datoteka i podfoldera Omogućava upisivanje podataka u datoteku
Omogućava pregledavanje foldera i pregled liste datoteka i podfoldera; naslijeđuju fajlovi i folderi Omogućava pregled i pristup sadržaju datoteke, kao i pokretanje izvršne datoteke
Omogućava pregledavanje foldera i pregled liste datoteka i podfoldera; nasljeđuju samo fascikle Nije primjenjivo
Modify Omogućava pregled sadržaja i kreiranje datoteka i podmapa; dozvoljava brisanje foldera Omogućava čitanje i pisanje podataka u datoteku; dozvoljava brisanje fajla
Potpuna kontrola Omogućava pregled sadržaja i kreiranje, modificiranje i brisanje datoteka i podfoldera Omogućava čitanje i pisanje podataka, kao i mijenjanje i brisanje datoteke

Osnovne dozvole se kreiraju grupiranjem određenih dozvola u logičke grupe, koje su prikazane u Tabeli 13-4 (za datoteke) i 13-5 (za mape). Posebne dozvole se mogu dodijeliti pojedinačno korištenjem naprednih opcija konfiguracije. Kada saznate o posebnim dozvolama za datoteke, imajte na umu sljedeće:
Ako prava pristupa nisu eksplicitno definirana za grupu ili korisnika, tada im je zabranjen pristup datoteci.
Prilikom izračunavanja efektivnih dozvola korisnika, uzimaju se u obzir sve dozvole koje su mu dodijeljene, kao i grupe čiji je korisnik član. Na primjer, ako korisnik GeorgeJ ima pristup za čitanje, a u isto vrijeme je član grupe Techies, koja ima pristup za izmjenu, tada GeorgeJ ima pristup za izmjenu. Ako je grupa Techies uključena u grupu Administratori sa punom kontrolom, GeorgeJ će imati potpunu kontrolu nad datotekom.

Tabela 13-4 – Posebne dozvole za datoteke

Posebne dozvole Potpuna kontrola Modify Read & Execute Čitanje Pisati
Izvrši datoteku X X X
Read Data X X X X
X X X X
X X X X
Write Data X X X
Dodaj podatke X X X
X X X
X X X
Izbriši X X
X X X X X
X
X

Tabela 13-5 prikazuje posebne dozvole koje se koriste za kreiranje osnovnih dozvola foldera. Prilikom učenja o posebnim dozvolama za mape, imajte na umu sljedeće:

Kada postavite dozvole za nadređeni folder, možete uskladiti dozvole datoteka i podmapa s dozvolama trenutnog nadređenog foldera. Da biste to učinili, potvrdite izbor u polju za potvrdu Resetiraj dozvole za sve podređene objekte i omogući širenje nasljednih dozvola.
Kreirane datoteke nasljeđuju neke dozvole od nadređenog objekta. Ove dozvole su prikazane kao zadane dozvole datoteke.

Tabela 13-5 – Posebne dozvole za fascikle

Posebne dozvole Potpuna kontrola Modify Read & Execute Lista sadržaja fascikle Čitanje Pisati
Pregled fascikle (Traverse Folder) X X X X
Sadržaj foldera (Folder liste) X X X X X
Pročitajte atribute X X X X X
Pročitajte proširene atribute X X X X X
Kreirajte datoteke X X X
Kreirajte foldere X X X
Write Attributes X X X
Write Extended Attributes X X X
Brisanje podfoldera i fajlova (Delete Subfolders and Files) X
Izbriši X X
Dozvole za čitanje X X X X X X
Promijenite dozvole X
Promjena vlasništva (Preuzimanje vlasništva) X

Postavljanje dozvola za fajlove i foldere

Da postavite dozvole za datoteke i foldere, uradite sljedeće:

1. U odaberite datoteku ili mapu i kliknite desni klik miševi.
2. AT kontekstni meni odaberite tim Svojstva i u dijalogu idite na karticu Sigurnost prikazano na slici 13-12.


Slika 13-12 – Podešavanje osnovnih dozvola za datoteke ili fascikle na kartici Sigurnost
3. Listed Ime navodi korisnike ili grupe koji imaju pristup datoteci ili fascikli. Da promijenite dozvole za ove korisnike ili grupe, učinite sljedeće:

Odaberite korisnika ili grupu čije dozvole želite promijeniti.

Koristite listu Dozvole: (Dozvole) da postavite ili opozovete dozvole.

Savjet. Potvrdni okviri naslijeđenih dozvola su zasivljeni. Da opozovete naslijeđenu dozvolu, poništite je.
4. Za postavljanje dozvola za korisnike, kontakte, računare ili grupe koji nisu navedeni Ime, pritisnite dugme Dodati. Pojavit će se dijaloški okvir prikazan na slici 13-13.


Slika 13-13 – Odaberite korisnike, računare i grupe za koje trebate dozvoliti ili zabraniti pristup.
5. Koristite okvir za dijalog Izbor: korisnik, računar ili grupa (odaberite korisnike, računare ili grupe) da izaberete korisnike, računare ili grupe za koje želite da postavite dozvole pristupa. Ovaj prozor sadrži polja opisana u nastavku:

Traži u (Pogledaj) Ova padajuća lista vam omogućava da vidite dostupne naloge sa drugih domena. Uključujući listu trenutnog domena, pouzdanih domena i drugih dostupnih resursa. Da vidite sve naloge u fascikli, izaberite Cijeli imenik.

Ime Ova kolona prikazuje postojeće račune za odabranu domenu ili resurs.

Dodati Ovo dugme dodaje izabrana imena na listu izabranih imena.

Provjerite imena Ovo dugme vam omogućava da proverite imena korisnika, računara ili grupa na listi izabranih imena. Ovo može biti korisno kada se imena unose ručno i morate provjeriti jesu li tačna.

6. Listed Ime označite korisnika, kontakt, računar ili grupu koju želite da konfigurišete, a zatim označite ili poništite potvrdne okvire u polju za potvrdu Dozvole: (Dozvole) za definisanje prava pristupa. Ponovite iste korake za druge korisnike, računare ili grupe.
7. Kada završite, pritisnite dugme UREDU.

Revizija resursa sistema

Upotreba revizije je Najbolji način za praćenje događaja na sistemima Windows 2000. Revizija se može koristiti za prikupljanje informacija koje se odnose na korištenje resursa. Primjeri događaja za reviziju uključuju pristup datoteci, prijavu i promjene konfiguracije sistema. Nakon što je revizija objekta omogućena, unosi se upisuju u dnevnik sigurnosti sistema svaki put kada se pokuša pristupiti tom objektu. Sigurnosni dnevnik se može vidjeti iz snap-ina Event Viewer.

Bilješka. Da biste promijenili većinu postavki revizije, morate biti prijavljeni kao administrator ili član grupe administratora ili imate Upravljajte evidencijom revizije i sigurnosti u grupnoj politici.

Postavljanje politika revizije

Primjena politika revizije uvelike poboljšava sigurnost i integritet sistema. Skoro svaki kompjuterski sistem mreža mora biti konfigurisana sa sigurnosnim evidentiranjem. Postavka politike revizije dostupna je u dodatku Group Policy. Pomoću ove komponente možete postaviti politike revizije za cijelu lokaciju, domenu ili organizacionu jedinicu. Politike se također mogu postaviti za lične radne stanice ili servere.

Nakon odabira potrebnog kontejnera grupnih politika, možete konfigurirati politike revizije na sljedeći način:

1. Kao što je prikazano na slici 13-14, čvor se može pronaći pomicanjem niz stablo konzole: Konfiguracija računara, Windows konfiguracija (Windows postavke), Sigurnosne postavke, Lokalne politike, Politika revizije.


Slika 13-14 - Konfiguriranje politike revizije pomoću čvora Politika revizije u Politici grupe.
2. Postoje sljedeće kategorije revizije:

Revizija događaja za prijavu na račun prati događaje vezane za prijavu i odjavu korisnika.

Revizija upravljanja računom prati sve događaje vezane za upravljanje računima, snap-in alate. Unosi revizije se pojavljuju kada se kreiraju, mijenjaju ili brišu korisnički, računarski ili grupni nalozi.

Nadgleda događaje pristupa Active Directory. Unosi revizije se kreiraju svaki put kada korisnici ili računari pristupe direktoriju.

Prati događaje prijave i odjave, kao i daljinski mrežne veze.

Praćenje upotrebe sistemski resursi datoteke, direktorije, dijeljenja i Active Directory objekti.

Promjena politike revizije prati promjene politika dodjele korisničkih prava, politika revizije ili politika povjerenja.

Prati svaki pokušaj korisnika da iskoristi dato pravo ili privilegiju. Na primjer, prava na arhivske datoteke i direktorije.

Bilješka. Policy Upotreba privilegija revizije ne prati događaje koji se odnose na pristup sistemu, kao što je korišćenje prava interaktivne prijave ili pristupanje računaru sa mreže. Ove događaje prati politika Revizija događaja za prijavu.

Praćenje procesa revizije prati sistemske procese i resurse koje koriste.

Sistemski događaji revizije prati događaje pokretanja, ponovnog pokretanja ili isključivanja računara, kao i događaje koji utiču na sigurnost sistema ili se pojavljuju u sigurnosnom dnevniku.

3. Da biste konfigurirali politiku revizije, dvaput kliknite na potrebnu politiku ili odaberite naredbu iz kontekstnog izbornika odabrane politike. Svojstva. Ovo će otvoriti dijaloški okvir. Postavka lokalne sigurnosne politike (Svojstva).
4. Potvrdni okvir Definirajte ove postavke politike. Zatim potvrdite ili uklonite oznaku Uspjeh i Neuspjeh. Revizija uspjeha znači kreiranje unosa revizije za svaki uspješan događaj (na primjer, uspješan pokušaj prijave). Revizija neuspjeha znači kreiranje unosa revizije za svaki neuspješan događaj (kao što je neuspješan pokušaj prijave).
5. Kada završite, kliknite na dugme uredu.

Revizija operacija datoteka i foldera

Ako je politika omogućena Pristup objektu revizije, možete koristiti reviziju na nivou pojedinačnih fascikli i datoteka. To će vam omogućiti da precizno pratite njihovu upotrebu. Ova prilika dostupno samo na volumenima sa NTFS sistemom datoteka.

Da biste konfigurirali reviziju datoteka i foldera, učinite sljedeće:

1. AT Explorer ( windows explorer) odaberite datoteku ili mapu za koju želite postaviti reviziju. U kontekstnom meniju izaberite komandu Svojstva.
2. Idite na karticu Sigurnost, a zatim kliknite na dugme Napredno.
3. U dijaloškom okviru kliknite na karticu Revizija prikazano na slici 13-15.


Slika 13-15 Konfiguriranje politika revizije za pojedinačne datoteke ili mape na kartici Auditing.
4. Da bi se postavke revizije naslijedile od nadređenog objekta, mora biti označeno polje za potvrdu Dozvoli nasljedne revizijske unose od roditelja da se propagiraju na ovaj objekt.
5. Da bi podređeni objekti naslijedili postavke revizije trenutnog objekta, potvrdite izbor u polju za potvrdu Resetirajte stavke revizije za sve podređene objekte i omogućite migraciju naslijeđenih stavki revizije (Resetujte unose revizije na svim podređenim objektima i omogućite razmnožavanje naslijeđivih unosa revizije).
6. Koristite listu Ukloni.
7. Dodati da bi se dijaloški okvir pojavio uredu, pojavit će se okvir za dijalog. Element revizije za Ime fascikle ili datoteke prikazano na slici 13-16.

Bilješka. Ako želite pratiti aktivnosti svih korisnika, koristite posebnu grupu svi (svi). U suprotnom, odaberite pojedinačne korisnike ili grupe u bilo kojoj kombinaciji za reviziju.


Slika 13-16 - Dijaloški okvir Element revizije za Ime fascikle ili datoteke(Unos revizije za novu fasciklu) koristi se za postavljanje unosa revizije za korisnika, kontakt, računar ili grupu.
8. Prijavite se (primijenite na).
9. Označite kućice Uspjeh i/ili Neuspjeh za potrebne događaje revizije. Revizija uspjeha znači kreiranje unosa revizije za uspješan događaj (na primjer, uspješno čitanje datoteke). Revizija neuspjeha znači kreiranje unosa revizije za neuspješan događaj (na primjer, neuspješan pokušaj brisanja datoteke). Događaji za reviziju su isti kao i posebne dozvole (Tabele 13-4 i 13-5) sa izuzetkom vanmrežne sinhronizacije datoteka i fascikli koja se ne može revidirati.
10. Kada završite, kliknite na dugme uredu. Ponovite ove korake da postavite reviziju za druge korisnike, grupe ili računare.

Revizija objekata Active Directory

Ako je politika omogućena Pristup servisu direktorija revizije, možete koristiti reviziju na razini objekata Active Directory. To će vam omogućiti da precizno pratite njihovu upotrebu.

Da biste konfigurirali reviziju objekata, učinite sljedeće:

1. u trenu Active Directory - korisnici i računari (Active Directory Users And Computers) odaberite kontejner objekta.
2. Kliknite desnim tasterom miša na objekat za reviziju i izaberite komandu iz kontekstnog menija Svojstva.
3. Idite na karticu Sigurnost i pritisnite dugme Napredno.
4. Idite na karticu Revizija dijaloški okvir Postavke kontrole pristupa. Da bi se postavke revizije naslijedile od nadređenog objekta, mora biti označeno polje za potvrdu Dozvoli nasljedne revizijske unose od roditelja da se propagiraju na ovaj objekt.
5. Koristite listu Unosi revizije za odabir korisnika, računara ili grupa čije će aktivnosti biti praćene. Da biste uklonili nalog sa ove liste, izaberite ga i kliknite Ukloni.
6. Za dodavanje naloga kliknite na dugme Dodati. Pojavit će se okvir za dijalog Izbor: korisnici, kontakti, računari ili grupe (odaberite korisnike, kontakte, računare ili grupe), gde birate nalog za dodavanje. Kada pritisnete uredu, pojavit će se okvir za dijalog. Element revizije za Ime fascikle ili datoteke(Unos revizije za novu fasciklu).
7. Ako trebate precizirati objekte da biste primijenili postavke revizije, koristite padajuću listu Prijavite se (primijenite na).
8. Označite kućice Uspjeh i/ili Neuspjeh za potrebne događaje revizije. Revizija uspjeha znači kreiranje unosa revizije za svaki uspješan događaj (na primjer, uspješno čitanje datoteke). Revizija neuspjeha znači kreiranje unosa revizije za svaki neuspješan događaj (na primjer, neuspješan pokušaj brisanja datoteke).
9. Kada završite, kliknite na dugme uredu. Ponovite ove korake da postavite reviziju za druge korisnike, kontakte, grupe ili računare.


Materijal je preuzet iz knjige "Windows 2000 Administrator's Guide". Napisao William R. Stanek. Autorsko pravo © Microsoft Corporation 1999. Sva prava zadržana.

NTFS sistem datoteka vam omogućava da konfigurišete dozvole pristupa pojedinačnim fasciklama ili datotekama za pojedinačne korisnike. Imate pravo da konfigurišete pristup fasciklama/datotekama onako kako želite: zatvorite pristup vašim fajlovima za neke korisnike i otvorite pristup drugim korisnicima. U ovom slučaju, prvi će moći raditi s vašim dokumentima, a drugi će vidjeti prozor s porukom “ Pristup fajlu odbijen". Ali mogućnost konfigurisanja pristupa fasciklama/datotekama nije ograničena na to da li korisnici mogu ili ne mogu doći do vaših dokumenata. Možete odrediti dozvole pristupa. Dakle, neki od korisnika će moći samo da čitaju dokument, dok će drugi moći da ga menjaju.

Kako otvoriti ili zatvoriti pristup datotekama ili folderima u Windowsu?

Da biste postavili dozvole za datoteku/folder, odaberite stavku Svojstva u kontekstualnom meniju date datoteke/fascikle. U prozoru koji se otvori idite na karticu Sigurnost. Postoje dva načina za postavljanje prava pristupa pred vama.

  1. Pritisnemo dugme Promjena. Tada vidimo sledeću sliku:
    U ovom prozoru možemo dodati ili ukloniti korisnika ili cijelu grupu korisnika za koje želimo postaviti prava pristupa ovom objektu. Za ove svrhe morate koristiti dugmad Dodati i Izbriši. Nakon što ste odabrali korisnike za koje želite postaviti odgovarajuća prava pristupa, odaberite ih jednog po jednog i dajte im odgovarajuća prava na osnovu različitih . Da biste dozvolili ili, naprotiv, odbili pristup, morate označiti odgovarajuće stavke. Da biste sačuvali promjene, kliknite Prijavite se, onda uredu.
  2. Kliknite na dugme Dodatno. Ovaj prozor pruža dodatne opcije za postavljanje prava pristupa objektu.

    Funkcionalnost koja je predstavljena u prvom pasusu nalazi se na kartici Dozvole. Dugmad Dodati i Izbriši Možete dodati korisnike na listu ili ih ukloniti u skladu s tim. Za postavljanje odgovarajućih dozvola za odabranog korisnika ili , koristite dugme Promjena.

    U padajućem meniju možete odabrati vrstu dozvole (dozvoliti ili zabraniti), au slučaju foldera možete odabrati opseg ovih pravila.Kao što vidite, ovaj prozor pruža sve isto za objekat . Ali ako pritisnete dugme Prikaži dodatne dozvole, onda ćeš dobiti cijeli .

    Odabir odgovarajućih dozvola vrši se dodavanjem kvačice ispred odgovarajuće stavke.

    tab Revizija omogućava vam da postavite dokumentaciju o različitim pokušajima pristupa datoteci/folderu. Dakle, možete biti obaviješteni svaki put kada neko uspješno ili neuspješno otvori mapu/fajl, kada neko promijeni naziv ili sadržaj dokumenta i tako dalje. Možete revidirati i uspješne i neuspješne aktivnosti. Za reviziju, također možete konfigurirati njegov opseg. Dokumentovani podaci se mogu pogledati u Dnevnik događaja.

    tab Važeća prava pristupaće pokazati prava pristupa ovom objektu za odabranog korisnika.

Dozvoliti pristup ili odbiti pristup?

Pre nego što počnete da označavate polja za bilo koje korisnike, trebalo bi da znate sledeće: prava pristupa moraju biti eksplicitno konfigurisana. To znači da se mora dobiti eksplicitna dozvola za pristup objektu. Ali da ne bi postojao pristup objektu, dovoljno je uopće ne dodijeliti nikakve dozvole. Na kraju krajeva, ako niste eksplicitno naveli dozvolu pristupa, korisnik neće moći pristupiti ovom objektu. Stoga se postavlja razumno pitanje zašto je tip dozvole uopće potreban zabrana? A za ovo morate znati još dva pravila:

  1. Vrsta dozvole zabrana ima prednost nad tipom Dopustiti.
  2. Ukupan y za korisnika se dobija zbrajanjem svih pravila pristupa datom objektu.

Ako uz prvu tačku nema pitanja, onda je za drugu potrebno objašnjenje. Razmotrimo primjer: ako je folder folder običan korisnik korisnik ima dozvolu za čitanje i pisanje i grupu Korisnici imaju dozvolu samo za čitanje u folderu folder, zatim ukupna prava pristupa za korisnika korisnikće omogućiti i čitanje i pisanje u odnosu na ovu fasciklu, što je u suprotnosti sa politikom da Korisnici mogu samo čitati ovu fasciklu. Zato vam je potreban tip dozvole zabrana. Ako, prema jednoj politici, korisnik treba da ima pristup datoteci, ali ne na drugi način, onda je potrebno eksplicitno zabraniti pristup datoteci, jer će ga u suprotnom imati, a to je u suprotnosti sa drugom politikom.

Da bi se olakšalo zbrajanje svih pravila pristupa objektu postoji kartica Važeća prava pristupa.

Korisnici, administratori, autentifikovani korisnici i tako dalje

Pored svega navedenog, morate znati da su svi korisnici, bez obzira na konfigurirana prava pristupa, po defaultu uključeni u grupu Korisnici. I po defaultu, na svim objektima (osim za neke objekte operativnog sistema), korisnici ove grupe imaju pristup za čitanje i promjenu. A evo i korisnika iz grupe Administratori Podrazumevano, oni imaju pun pristup svim sistemskim objektima. Grupi korisnika Verified uključuje sve korisnike koji su prijavljeni. Njihove dozvole pristupa su približno jednake dozvolama redovnih korisnika.

Znajući ovo, možete se uštedjeti muke davanja punog pristupa određenom korisniku s administrativnim pravima ili postavljanja dozvola za čitanje i pisanje za običnog korisnika. Sve ovo je već urađeno.

Osim toga, ne biste trebali uklanjati gornje grupe iz prava pristupa bilo kojem objektu. Također, nemojte izdavati zabranu pristupa za ove grupe. Čak i ako ste korisnik s administrativnim pravima, tada uskraćujete pristup grupi Korisnici na bilo koji predmet će vas bez ceremonije udariti u vrat, pošto ste i vi korisnik ove grupe. Stoga, budite oprezni i ne pokušavajte promijeniti zadane postavke.

Računari koji koriste Windows operativni sistem mogu raditi sa različitim sistemima datoteka kao što su FAT32 i NTFS. Ne ulazeći u sličnosti, jedno se može reći da se razlikuju u glavnoj stvari - NTFS sistem datoteka vam omogućava da konfigurirate sigurnosne postavke za svaku datoteku ili mapu (direktorij). One. Za svaku datoteku ili folder, NTFS sistem datoteka pohranjuje takozvane ACL-ove (Access Control List), koji navode sve korisnike i grupe koje imaju određena prava pristupa na dati fajl ili folder. FAT32 sistem datoteka nema ovu mogućnost.

U sistemu datoteka NTFS, svaka datoteka ili folder može imati sljedeća sigurnosna prava:

  • Čitanje- Omogućava pregledavanje foldera i pregled liste datoteka i podfoldera, pregled i pristup sadržaju datoteke;
  • Snimanje- Omogućava dodavanje datoteka i podfoldera, upisivanje podataka u fajl;
  • Čitanje i izvršenje- Omogućava pregledavanje foldera i pregled liste datoteka i podfoldera, omogućava pregled i pristup sadržaju datoteke, kao i pokretanje izvršne datoteke;
  • Lista sadržaja foldera- Omogućava pregledavanje foldera i pregled samo liste datoteka i podfoldera. Ova dozvola ne dozvoljava pristup sadržaju datoteke!;
  • Promjena- Omogućava pregled sadržaja i kreiranje fajlova i podfoldera, brisanje foldera, čitanje i upisivanje podataka u fajl, brisanje fajla;
  • Potpuni pristup- Omogućava pregled sadržaja, kao i kreiranje, modificiranje i brisanje datoteka i podmapa, čitanje i pisanje podataka, te modificiranje i brisanje fajla

Gore navedena prava su osnovna. Osnovna prava se sastoje od posebnih prava. Posebna prava su detaljnija prava koja čine osnovna prava. Korištenje posebnih dozvola daje vam veliku fleksibilnost u postavljanju dozvola.

Lista posebnih dozvola za fajlove i fascikle:

  • Pregledajte fascikle/izvršite datoteke- Omogućava kretanje kroz strukturu foldera u potrazi za drugim datotekama ili folderima, izvršavanje datoteka;
  • Očitavanje sadržaja/podataka fascikle- Omogućava pregled imena datoteka ili podfoldera sadržanih u folderu, čitanje podataka iz datoteke;
  • Atributi čitanja- Omogućava pregled atributa datoteke ili mape kao što su "Samo za čitanje" i "Skriveno";
  • Čitanje dodatnih atributa- Omogućava pregled dodatnih atributa datoteke ili foldera;
  • Kreiranje datoteka / pisanje podataka- Omogućava kreiranje fajlova u fascikli (odnosi se samo na fascikle), unošenje izmena u fajl i prepisivanje postojećeg sadržaja (primenjivo samo na fajlove);
  • Kreirajte foldere / Dodajte podatke- Omogućava kreiranje fascikli u fascikli (odnosi se samo na fascikle), dodavanje podataka na kraj datoteke, ali ne menjanje, brisanje ili zamenu postojećih podataka (primenjivo samo na fajlove);
  • Unos atributa- Dozvoljava ili zabranjuje promjenu takvih atributa datoteke ili mape kao što su "Samo za čitanje" i "Skriveno";
  • Snimanje dodatnih atributa— Dozvoljava ili zabranjuje promjenu dodatnih atributa datoteke ili mape;
  • Brisanje podfoldera i fajlova- Omogućava brisanje podfoldera i datoteka čak i ako nemate dozvolu za "Izbriši" (odnosi se samo na foldere);
  • Odstranjivanje- Omogućava brisanje datoteke ili foldera. Ako datoteka ili mapa nemaju dozvolu za brisanje, objekt se i dalje može izbrisati ako roditeljski folder ima dozvolu za brisanje podmapa i datoteka;
  • Dozvole za čitanje- Omogućava čitanje dozvola za pristup datotekama ili folderima kao što su "Puna kontrola", "Čitanje" i "Pisanje";
  • Promjena dozvola- Omogućava promjenu dozvola pristupa datotekama ili mapama kao što su "Puna kontrola", "Čitanje" i "Pisanje";
  • Promjena vlasništva- Omogućava vam da preuzmete vlasništvo nad fajlom ili fasciklom;
  • Sinhronizacija- Omogućava različitim nitima da čekaju datoteke ili mape i da ih sinkroniziraju s drugim nitima koje ih mogu zauzeti. Ova dozvola se odnosi samo na programe koji se pokreću u višenitnom načinu rada s više procesa;

!!!Sva osnovna i posebna prava su i dozvoljena i zabrana.

Sve dozvole za datoteke i mape podijeljene su u dvije vrste: eksplicitne i naslijeđene. Mehanizam nasljeđivanja podrazumijeva automatski prijenos nečega sa roditeljskog objekta na dijete. U sistemu datoteka, to znači da bilo koja datoteka ili mapa može naslijediti svoje dozvole od svoje roditeljske mape. Ovo je vrlo zgodan mehanizam koji eliminiše potrebu za dodjeljivanjem eksplicitnih prava svim novostvorenim datotekama i mapama. Zamislite da imate nekoliko hiljada fajlova i fascikli na nekom disku, kako da im date sva prava pristupa, da sedite i da ih dodelite svima? br. Ovdje funkcionira nasljeđivanje. Napravili smo fasciklu u korenu diska, fascikla je automatski dobila potpuno ista prava kao i koren diska. Promijenjene dozvole za novokreirani folder. Zatim, unutar kreiranog foldera, kreiran je još jedan podfolder. Ovaj novokreirani podfolder imat će prava naslijeđena od nadređenog foldera i tako dalje. itd.

Rezultat primjene eksplicitnih i naslijeđenih prava bit će stvarna prava na određenu mapu ili datoteku. U ovome ima mnogo zamki. Na primjer, imate mapu u kojoj dopuštate korisniku "Vasya" da izbriše datoteke. Onda se sjetite da u ovoj mapi postoji jedna vrlo važna datoteka koju Vasya ni pod kojim okolnostima ne smije izbrisati. Postavljate eksplicitnu zabranu važnog fajla (pravo posebne zabrane) "Izbriši"). Čini se da je djelo učinjeno, datoteka je jasno zaštićena od brisanja. I Vasya mirno ulazi u mapu i briše ovu super zaštićenu datoteku. Zašto? Zato što Vasya ima prava za brisanje iz roditeljske mape, koja su u ovom slučaju prioritetna.

Pokušajte da ne koristite dodjelu prava direktno datotekama, dodijelite prava folderima.

!!! Pokušajte dodijeliti prava samo grupama, ovo uvelike pojednostavljuje administraciju. Microsoft ne preporučuje dodelu prava određenim korisnicima. Ne zaboravite da grupa može uključivati ​​ne samo korisnike, već i druge grupe.

Na primjer. Ako je računar uključen u domenu, tada se grupa korisnika domene (korisnici domene) automatski dodaje u svoju lokalnu grupu korisnika, a grupa administratora domene (administratori domene) se automatski dodaje lokalnoj administratorskoj grupi, te se shodno tome dodjeljuje bilo koji folder prava na grupu lokalnih korisnika, automatski dodjeljujete prava svim korisnicima domene.

Nemojte se obeshrabriti ako sve gore navedeno nije odmah jasno. Primjeri i samostalan rad brzo će ispraviti situaciju!

Hajdemo na pojedinosti.

Sve primjere pokazat ću na primjeru Windows prozori xp. U Windowsima 7 i novijim, suština je ostala identična, samo je bilo još nekoliko prozora.

Dakle, da biste dodelili ili promenili prava na fajl ili fasciklu, potrebno je da kliknete desnim tasterom miša na željenu datoteku ili fasciklu u Exploreru i izaberete stavku menija "Svojstva"

Trebalo bi da vidite prozor sa karticom "Sigurnost"

Ako nema takve oznake, učinite sljedeće. Pokrenite Explorer, a zatim otvorite meni "Usluga""Svojstva foldera..."

U prozoru koji se otvori idite na karticu "Prikaz" i poništite izbor opcije „Koristite jednostavnu opšti pristup u fajlove (preporučeno)"

Sve, sada su vam sve nekretnine dostupne sistem podataka NTFS.

Natrag na bookmark "Sigurnost".

Puno informacija nam je dostupno u prozoru koji se otvori. Gore je lista "Grupe i korisnici:", koji navodi sve korisnike i grupe koji imaju prava pristupa ovoj fascikli (strelica 1). Donja lista prikazuje dozvole za odabranog korisnika/grupu (strelica 2). U ovom slučaju, ovo je korisnik SYSTEM. U ovoj listi dozvola vidljive su osnovne dozvole. Imajte na umu da u koloni "Dopustiti" kvačice su izblijedjele i ne mogu se uređivati. Ovo ukazuje da su ova prava naslijeđena iz roditeljskog foldera. Još jednom, u ovom slučaju sva prava korisnika SYSTEM na folder "radni" potpuno su naslijeđeni od roditeljskog foldera, a korisnik SYSTEM ima sva prava ( "Potpuni pristup")

Isticanjem željene grupe ili korisnika na listi možemo vidjeti osnovna prava za ovu grupu ili korisnika. Isticanje korisnika "Gost korisnik ( [email protected] možete vidjeti da on ima sva izričita prava

A evo i grupe "Korisnici (KAV-VM1\Korisnici" ima kombinirana prava, neka od njih su naslijeđena iz roditeljskog foldera (sivi kvadrati nasuprot "Čitanje i izvršavanje", "Popis sadržaja foldera", "čitanje"), a dio je izričito utvrđen - to je pravo "promjena" i "Rekord"

!!!Pažnja. Obratite pažnju na imena korisnika i grupa. Zagrade označavaju vlasništvo grupe ili korisnika. Grupe i korisnici mogu biti lokalni, tj. kreiran direktno na ovom računaru, ili može biti domen. U ovom slučaju, grupa "Administratori" lokalni, pošto unos u zagradama označava naziv računara KAV-VM1, a iza kose crte već dolazi naziv same grupe. Naprotiv, korisnik "Gost korisnik" je korisnik domene btw.by, to je naznačeno unosom punog imena [email protected]

Često, kada gledate ili mijenjate prava, možete se ograničiti na prozor s osnovnim pravima, ali ponekad to nije dovoljno. Zatim možete otvoriti prozor koji mijenja posebne dozvole, vlasnika ili pregledati važeće dozvole. Kako uraditi? Kliknite na dugme "dodatno". Ovaj prozor se otvara

U ovom prozoru u tabeli "Stavke dozvole" navodi sve korisnike koji imaju prava na ovaj folder. Na isti način kao i za osnovne dozvole, odabiremo željenog korisnika ili grupu i pritisnemo dugme "promjena". Otvara se prozor koji prikazuje sve posebne dozvole za odabranog korisnika ili grupu

Slično osnovnim dozvolama, posebne dozvole naslijeđene iz nadređene mape bit će prikazane u izblijedjeloj sivoj boji i neće se moći uređivati.

Kao što ste možda primijetili, postoji nekoliko linija u prozoru posebnih dozvola za neke korisnike ili grupe.


To je zato što za jednog korisnika ili grupu mogu postojati različite vrste prava: eksplicitna i naslijeđena, dopuštajuća ili uskraćujuća, koja se razlikuju po vrsti nasljeđivanja. U ovom slučaju, dozvole za čitanje za grupu Korisnici se nasljeđuju iz nadređene mape, a dozvole za izmjenu se dodaju eksplicitno.

Primjeri ustupanja prava.

!!! Svi primjeri će biti sve složeniji. Čitajte ih i rješavajte ih istim redoslijedom kako se pojavljuju u tekstu. Slične radnje u sljedećim primjerima će biti izostavljene radi smanjenja količine teksta. 🙂

Primjer 1: Dodjela pristupa samo za čitanje folderu za određenu lokalnu sigurnosnu grupu.

Prvo, napravimo lokalnu grupu u koju ćemo uključiti cijelu listu korisnika koji su nam potrebni. Moguće je i bez grupe, ali tada ćete za svakog korisnika morati posebno konfigurirati prava, a svaki put kada budete trebali da date prava novoj osobi, sve operacije ćete morati ponoviti. I ako su prava data lokalna grupa, tada je potrebna samo jedna radnja za postavljanje nove osobe - uključujući ovu osobu u lokalnu grupu. Kako kreirati lokalnu sigurnosnu grupu, pročitajte u članku "Postavljanje lokalnih sigurnosnih grupa".

Dakle. Napravili smo lokalnu bezbednosnu grupu pod nazivom "Za kolege da čitaju",


kojoj su dodati svi potrebni korisnici.

Sada postavljam dozvole za folder. U ovom primjeru, dat ću dozvole kreiranoj grupi "Kolege za čitanje" po folderu "Fotografija".

Desni klik na folder "FOTOGRAFIJA" i izaberite stavku menija "Svojstva", idite na bookmark "Sigurnost".

U otvorenom obeleživaču "Sigurnost" prikazuje trenutne dozvole foldera "FOTOGRAFIJA". Odabirom grupa i korisnika na listi, možete vidjeti da su prava ovog foldera naslijeđena od nadređenog foldera (sive kvačice u koloni "Dopustiti"). U ovoj situaciji, ne želim da bilo ko osim novokreirane grupe ima pristup fascikli "FOTOGRAFIJA".

Stoga moram ukloniti nasljeđivanje prava i ukloniti nepotrebne korisnike i grupe sa liste. Pritisnem dugme "dodatno". U otvorenom prozoru,


Poništavam potvrdni okvir "Naslijediti od nadređenog objekta dozvole primjenjive na podređene objekte, dodajući ih onima koje su eksplicitno postavljene u ovom prozoru." . Ovo će otvoriti prozor u kojem mogu izabrati šta da radim sa trenutno nasleđenim pravima.

U većini slučajeva savjetujem vam da kliknete ovdje "kopija", jer ako izaberemo "Izbriši", tada lista prava postaje prazna, a vi zapravo možete sebi oduzeti prava. Da, nemojte se iznenaditi, to je vrlo lako učiniti. I ako niste administrator na svom računaru, ili niste korisnik grupe "arhivski operateri", tada će vam biti nemoguće vratiti prava. Situacija je kao vrata sa automatskim bravom, koja zatvarate, a ključeve ostavljate unutra. Stoga je bolje uvijek pritisnuti dugme "kopija" a zatim izbrišite ono što vam nije potrebno.

Nakon što sam pritisnuo "Kopija", Ponovo se vraćam na prethodni prozor, samo sa poništenim checkbox-om.

pritisnem "UREDU" i vratite se na prozor osnovnih prava. Sva prava su postala dostupna za uređivanje. Moram ostaviti dozvole za lokalnu grupu "Administratori" i korisnika SISTEM i obrišite ostalo. Odaberem nepotrebne korisnike i grupe jednu po jednu i pritisnem dugme "Izbriši".

Kao rezultat, dobijam ovu sliku.

Sada samo moram dodati grupu "Kolege za čitanje" i dodijelite dozvole za čitanje ovoj grupi.

Pritisnem dugme "Dodati", a u standardnom prozoru za odabir biram lokalnu grupu "Kolege za čitanje". Kako raditi s prozorom za odabir detaljno je opisano u članku.

Kao rezultat svih radnji, dodao sam grupu "Kolege za čitanje" na listu osnovnih prava, dok su prava za ovu grupu automatski postavljena "Čitanje i izvršavanje", "Popis sadržaja foldera", "čitanje".

Sve što treba da uradite je da pritisnete dugme "UREDU" i prava su dodijeljena. Sada svaki korisnik koji pripada lokalnoj sigurnosnoj grupi "Kolege za čitanje", moći će pročitati cijeli sadržaj foldera "FOTOGRAFIJA".

Primjer 2: Omogućite korisnicima lični pristup njihovim podfolderima unutar foldera.

Ova situacija je takođe uobičajena u praksi. Na primjer, imate folder za nove skenirane dokumente. U ovoj fascikli svaki korisnik ima svoju zasebnu podmapu. Nakon skeniranja, korisnik preuzima dokument iz svoje podfoldere. Zadatak je dodijeliti prava tako da svaki korisnik vidi sadržaj samo svoje poddirektorije i ne može pristupiti podfolderu kolege.

Za ovaj primjer ću malo preformulisati zadatak. Pretpostavimo da imamo zajednički folder "FOTOGRAFIJA", koji ima podmapu za svakog korisnika. Potrebno je podesiti prava tako da korisnik ima sva prava u svom podfolderu, a podfolderi drugih korisnika mu budu nedostupni.

Za ovo podešavanje u potpunosti ponavljam sve korake iz prvog primjera. Kao rezultat ponavljanja, dobijam prava za cijelu grupu "Kolege za čitanje" za čitanje u sve podfoldere. Ali moj zadatak je da samo "moj" podfolder učinim vidljivim korisniku. Stoga u prozoru osnovnih prava kliknem na dugme "dodatno"


i idi na prozor posebnih prava, u kojem biram grupu "Kolege za čitanje" i pritisnem dugme "promjena"

U prozoru koji se otvori mijenjam pravila nasljeđivanja, umjesto vrijednosti u polju "Primijeniti:" biram vrijednost "Samo za ovaj folder".

Ovo je najviše ključni trenutak ovaj primjer. Značenje "Samo za ovaj folder" uzrokuje dozvole za čitanje za grupu "Kolege za čitanje" primijeniti samo na korijen foldera "FOTOGRAFIJA", ali ne u podfolderima. Tako će svaki korisnik moći da dođe do svog foldera, ali neće moći da pogleda u sledeći, nema pravo da vidi podfoldere. Ako uopće ne date ovo pravo grupi, korisnici uopće neće moći ući u svoje podmape. Sistem datoteka ih neće pustiti da prođu čak ni do foldera "FOTOGRAFIJA".

Kao rezultat, korisnici će moći pristupiti folderu "FOTOGRAFIJA" ali neće moći ići dalje u podfoldere!

U prozoru sa posebnim pravima kliknite "UREDU" i izađite na prethodni prozor, sada u koloni "Prijavi se na" ispred grupe "Kolege za čitanje" vrijedan vrijednosti "Samo za ovaj folder".

Kliknite na sve prozore "UREDU" i odlazimo.

Svi. Sada ostaje postaviti lična prava za svaki podfolder. To ćete morati učiniti za svaki podfolder, prava su lična za svakog korisnika.

Već ste obavili sve potrebne radnje u prvom primjeru, hajde da ponovimo ono što smo uradili 🙂

U podfolderu "Korisnik1" desni klik, odaberite stavku menija "Svojstva", idite na bookmark "Sigurnost". Pritisnem dugme "Dodati"

i u standardnom prozoru za odabir biram korisnika domene sa imenom "Korisnik1".

Ostaje da označite polje za pravu dozvolu "promjena". Istovremeno, potvrdni okvir za pravo na dozvolu "Rekord"će biti instaliran automatski.

Kliknite "UREDU". Idemo. Ostaje ponoviti iste korake za sve podmape.

Primer 3. Omogućavanje ličnog pristupa korisniku njegovom podfolderu za pisanje, uz zabranu promena ili brisanja.

Znam da zvuči teško, ali pokušaću da objasnim. Ja ovu vrstu pristupa nazivam rezom. U svakodnevnom životu imamo sličnu situaciju sa uobičajenom poštansko sanduče u koje ubacujemo papirna slova. One. Pismo možete baciti u kutiju, ali ga ne možete izvaditi iz kutije. U računarskoj industriji, ovo može biti korisno u situaciji kada vam neko napiše izvještaj u fascikli. One. fajl je napisao korisnik, ali tada ovaj korisnik više ne može ništa da radi sa ovom datotekom. Dakle, možete biti sigurni da kreator više neće moći mijenjati ili brisati dostavljeni izvještaj.

Kao iu prethodnom primjeru, ponavljamo sve korake, osim što korisniku ne dajemo odmah puna prava na našu mapu, u početku dajemo samo pristup za čitanje u osnovnim dozvolama i pritisnemo dugme "dodatno"

U prozoru koji se otvori odaberite "Korisnik1" i pritisnite dugme "promjena"

U prozoru koji se otvori vidimo standardne dozvole za čitanje

Da biste korisniku dali pravo da kreira fajlove, postavite dozvolu na desno "Kreiraj fajlove/piši podatke", ali na desnoj strani "Izbriši podfoldere i fajlove" i "Izbriši" staviti zabranu. Ostavite nasljeđivanje kao zadano "Za ovaj folder, njegove podmape i fajlove".

Nakon pritiska na dugme "UREDU" i vraćajući se na prethodni prozor, možete vidjeti značajne promjene. Umjesto jednog unosa za "Korisnik1" pojavila su se dva.

To je zato što su postavljene dvije vrste prava, jedna je zabranjujuća, ona su prva na listi, druga je dopuštena, druga su na listi. Pošto su posebna prava nestandardna, u koloni "Dozvola" vrijedan vrijednosti "Poseban". Kada pritisnete dugme "UREDU" pojavljuje se prozor na koji prozori upozoravaju da postoje prava zabrani i da imaju više visok prioritet. U prijevodu, to znači ista situacija sa samozatvarajućim vratima, čiji su ključevi unutra. Opisao sam sličnu situaciju u drugom primjeru.

Svi. Prava su određena. Sad "Korisnik1" moći će upisati bilo koju datoteku u svoju mapu, otvoriti je, ali neće moći promijeniti ili izbrisati.

Ali šta je sa potpunom analogijom sa pravim poštanskim sandučićem?

Da biste spriječili korisnika da otvori ili kopira snimljenu datoteku, morate učiniti sljedeće. Opet otvaramo dozvoljavajući posebne dozvole za "Korisnik1", i na terenu "Primijeniti:" promijenite vrijednost u "Samo za ovaj folder"

Korisnik nema pravo čitanja ili kopiranja fajla.

Svi. Sada je analogija s fizičkim poštanskim sandučićem skoro potpuna. On će moći vidjeti samo nazive datoteka, njihovu veličinu, atribute, ali neće moći vidjeti sam fajl.

Pogledajte važeća prava.

Želim odmah da kažem da je mogućnost pregleda stvarnih prava za fasciklu ili datoteku potpuna fikcija. Po mom mišljenju, takvi alati bi trebali pružiti zagarantovane informacije. U ovom slučaju nije. Sam Microsoft priznaje da ovaj alat ne uzima u obzir mnoge faktore koji utiču na rezultirajuća prava, kao što su uslovi prijave. Stoga, korištenje takvog alata znači samo dovođenje u zabludu o stvarnim pravima.

Slučaj opisan na samom početku članka, sa zabranom brisanja fajla iz fascikle, u ovom slučaju je vrlo elokventan. Ako simulirate sličnu situaciju i pogledate prava datoteke koja je zaštićena od brisanja, vidjet ćete da su prava brisanja datoteke zabranjena. Međutim, brisanje ove datoteke nije teško. Zašto je Microsoft ovo uradio, ne znam.

Ako ipak odlučite da vidite trenutna prava, za to morate kliknuti na dugme u prozoru osnovnih prava "dodatno", a u prozoru posebnih prava idite na karticu "Važeće dozvole".

Zatim morate pritisnuti dugme "odaberi" i u standardnom prozoru za odabir odaberite željenog korisnika ili grupu.

Nakon odabira, možete vidjeti "približne" važeće dozvole.

U zaključku, želim da kažem da je tema prava na NTFS sistem datoteka veoma obimna, primeri iznad su samo mali deo onoga što se može uraditi. Stoga, ako imate pitanja, postavite ih u komentarima na ovaj članak. Pokušaću da im odgovorim.

Kako omogućiti snimanje?

Odgovor majstora:

Mnogi korisnici koji imaju ograničen nalog suočavaju se s problemima prilikom pisanja datoteka na prenosive diskove. Naravno, takvi problemi mogu nastati i ako fleš disk ne radi i ako postoje problemi s formatiranjem.

U slučaju problema sa pisanjem na disk koji se koristi, ako korisnik ima ograničen nalog na računaru, potrebno je da promenite postavku koja sprečava pisanje. Da biste to učinili, nakon preuzimanja idite na operativni sistem sa pravima i pod "Administratorskim" nalogom. Sada morate promijeniti postavke svog naloga na način da nalog sa ograničenim mogućnostima ima priliku da kopira informacije na prenosivi medij.

Sada ostaje primijeniti promjene i zatvoriti prozore tipkom OK. Nakon ponovnog pokretanja računara, što je neophodno da bi promene stupile na snagu, ponovo se prijavite na operativni sistem koristeći svoj ograničeni nalog. račun. Kao test, kopirajte neki fajl na svoj prenosivi disk.

Dešava se da je fleš disk namjerno zaštićen od pisanja. Da biste to isključili, pažljivo razmotrite kako se mali prekidač nalazi sa strane fleš diska - trebao bi biti u Otključanom položaju. Najčešće takve radnje zahtijevaju diskovi koji se koriste u kamerama, telefonima, playerima i drugim uređajima sa SD i MicroSD memorijskim karticama.

Prekidač čitača kartica takođe zahteva posebnu pažnju, ako se koristi kao adapter za povezivanje uređaja. I to se odnosi na MicroSD adaptere koji su oblikovani kao obična SD kartica.

Saznajte da li je vaš fleš disk zaštićen lozinkom? Ako je tako, onda ga je potrebno otključati na uređaju na kojem je postavljen na blok. Prisutnost brave na fleš disku neće vam omogućiti da pišete na njega.

Ali dešava se da drugi razlozi koji se ne mogu razjasniti ometaju snimanje. Dakle, fleš disk treba formatirati, i to ne samo standardnim programima na Windows-u! Da biste to učinili, preuzmite i instalirajte na svoje računalo posebne uslužne programe koje je razvio proizvođač flash pogona. Uslužni programi će pomoći u formatiranju i ispravljanju grešaka uklonjivog diska.



POVEZANI ČLANCI