Ordnerzugriffsrechte in Windows festlegen. Zugriffsberechtigungen auf Dateien und Ordner in NTFS Wem werden Zugriffsrechte zugewiesen?

Informationen aus dem dreizehnten Kapitel des Buches „Windows 2000. Administrator's Guide“. Von William R. Stanek.

Auf Volumes mit dem NTFS-Dateisystem können Sie Sicherheitsberechtigungen für Dateien und Ordner festlegen. Diese Berechtigungen gewähren oder verweigern den Zugriff auf Dateien und Ordner. Gehen Sie wie folgt vor, um Ihre aktuellen Sicherheitsberechtigungen anzuzeigen:

Grundlegendes zu Datei- und Ordnerberechtigungen

Tabelle 13-3 zeigt die grundlegenden Berechtigungen, die für Dateien und Ordner gelten.
Die grundlegenden Dateiberechtigungen sind Vollzugriff, Ändern, Lesen und Ausführen, Lesen und Schreiben.
Für Ordner gelten die folgenden Grundberechtigungen: Vollzugriff, Ändern, Lesen und Ausführen, Ordnerinhalte auflisten, Lesen und Schreiben.

Beim Festlegen von Berechtigungen für Dateien und Ordner sollten Sie immer Folgendes beachten:

Um Skripte auszuführen, benötigen Sie lediglich Leseberechtigung. Die Berechtigung „Datei ausführen“ (spezielle Berechtigung „Datei ausführen“) ist optional.
Für den Zugriff auf die Verknüpfung und das zugehörige Objekt ist eine Leseberechtigung erforderlich.
Die Berechtigung zum Schreiben in eine Datei (Sonderberechtigung „Daten schreiben“) ohne die Berechtigung zum Löschen einer Datei (Sonderberechtigung „Löschen“) ermöglicht dem Benutzer weiterhin, den Inhalt der Datei zu löschen.
Wenn ein Benutzer über die Basisberechtigung „Vollzugriff“ für einen Ordner verfügt, kann er alle Dateien in diesem Ordner löschen, unabhängig von den Berechtigungen für diese Dateien.

Tabelle 13-3 – Grundlegende Berechtigungen für Dateien und Ordner in Windows 2000

Basisauflösung Bedeutung für Ordner Bedeutung für Dateien
Lesen Ermöglicht das Durchsuchen von Ordnern und das Anzeigen einer Liste von Dateien und Unterordnern Ermöglicht die Anzeige und den Zugriff auf Dateiinhalte
Schreiben Ermöglicht das Hinzufügen von Dateien und Unterordnern Ermöglicht das Schreiben von Daten in eine Datei
Ermöglicht das Durchsuchen von Ordnern und das Anzeigen einer Liste von Dateien und Unterordnern; von Dateien und Ordnern geerbt Ermöglicht das Anzeigen und Zugreifen auf den Inhalt einer Datei sowie das Ausführen der ausführbaren Datei
Ermöglicht das Durchsuchen von Ordnern und das Anzeigen einer Liste von Dateien und Unterordnern; wird nur von Ordnern vererbt Unzutreffend
Ändern Ermöglicht die Anzeige von Inhalten und die Erstellung von Dateien und Unterordnern; Ermöglicht das Löschen von Ordnern Ermöglicht das Lesen und Schreiben von Daten in eine Datei; ermöglicht das Löschen von Dateien
Volle Kontrolle Ermöglicht das Anzeigen von Inhalten sowie das Erstellen, Ändern und Löschen von Dateien und Unterordnern Ermöglicht das Lesen und Schreiben von Daten sowie das Ändern und Löschen einer Datei

Grundlegende Berechtigungen werden erstellt, indem bestimmte Berechtigungen in logische Gruppen gruppiert werden, die in Tabelle 13-4 (für Dateien) und 13-5 (für Ordner) aufgeführt sind. Spezifische Berechtigungen können über erweiterte Einstellungen individuell vergeben werden. Berücksichtigen Sie Folgendes, wenn Sie sich über bestimmte Dateiberechtigungen informieren:
Wenn Zugriffsrechte für eine Gruppe oder einen Benutzer nicht explizit definiert sind, wird ihnen der Zugriff auf die Datei verweigert.
Bei der Berechnung der effektiven Berechtigungen eines Benutzers werden alle dem Benutzer zugewiesenen Berechtigungen sowie die Gruppen, in denen der Benutzer Mitglied ist, berücksichtigt. Wenn der Benutzer GeorgeJ beispielsweise über Lesezugriff verfügt und gleichzeitig Mitglied der Techies-Gruppe ist, die über Änderungszugriff verfügt, hat der Benutzer GeorgeJ folglich über Änderungszugriff. Wenn die Gruppe „Techies“ zur Gruppe „Administratoren“ mit Vollzugriff gehört, hat GeorgeJ die volle Kontrolle über die Datei.

Tabelle 13-4 – Spezielle Dateiberechtigungen

Sondergenehmigungen Volle Kontrolle Ändern Lesen und ausführen Lesen Schreiben
Datei ausführen X X X
Daten lesen X X X X
X X X X
X X X X
Daten schreiben X X X
Daten anhängen X X X
X X X
X X X
Löschen X X
X X X X X
X
X

Tabelle 13-5 zeigt die spezifischen Berechtigungen, die zum Erstellen grundlegender Ordnerberechtigungen verwendet werden. Berücksichtigen Sie Folgendes, wenn Sie sich über spezielle Ordnerberechtigungen informieren:

Wenn Sie Berechtigungen für einen übergeordneten Ordner festlegen, können Sie die Berechtigungselemente von Dateien und Unterordnern an die Berechtigungen des aktuellen übergeordneten Ordners anpassen. Dazu müssen Sie das Kontrollkästchen „Berechtigungen für alle untergeordneten Objekte zurücksetzen und Weitergabe vererbbarer Berechtigungen aktivieren“ aktivieren.
Die erstellten Dateien erben einige Berechtigungen vom übergeordneten Objekt. Diese Berechtigungen werden als Standarddateiberechtigungen angezeigt.

Tabelle 13-5 – Sonderberechtigungen für Ordner

Sondergenehmigungen Volle Kontrolle Ändern Lesen und ausführen Ordnerinhalt auflisten Lesen Schreiben
Traverse-Ordner X X X X
Ordnerinhalt auflisten X X X X X
Attribute lesen X X X X X
Erweiterte Attribute lesen X X X X X
Dateien erstellen X X X
Erstellen Sie Ordner X X X
Attribute schreiben X X X
Erweiterte Attribute schreiben X X X
Unterordner und Dateien löschen X
Löschen X X
Leseberechtigungen X X X X X X
Berechtigungen ändern X
In Besitz nehmen X

Festlegen von Berechtigungen für Dateien und Ordner

Gehen Sie wie folgt vor, um Berechtigungen für Dateien und Ordner festzulegen:

1. Wählen Sie eine Datei oder einen Ordner aus und klicken Sie Rechtsklick Mäuse.
2. IN Kontextmenü Team auswählen Eigenschaften und gehen Sie im Dialog auf die Registerkarte Sicherheit, dargestellt in Abbildung 13-12.


Abbildung 13-12 – Festlegen grundlegender Berechtigungen für Dateien oder Ordner auf der Registerkarte „Sicherheit“.
3. Auf der Liste Name listet die Benutzer oder Gruppen auf, die Zugriff auf die Datei oder den Ordner haben. Gehen Sie wie folgt vor, um die Berechtigungen für diese Benutzer oder Gruppen zu ändern:

Wählen Sie den Benutzer oder die Gruppe aus, für den Sie die Berechtigungen ändern möchten.

Verwenden Sie eine Liste Berechtigungen: um Berechtigungen festzulegen oder zu widerrufen.

Beratung. Die Kontrollkästchen für geerbte Berechtigungen sind ausgegraut. Um eine geerbte Berechtigung zu überschreiben, ändern Sie sie in das Gegenteil.
4. Zum Festlegen von Berechtigungen für Benutzer, Kontakte, Computer oder Gruppen, die nicht aufgeführt sind Name, Drücken Sie den Knopf Hinzufügen. Es erscheint ein Dialogfeld, wie in Abbildung 13-13 dargestellt.


Abbildung 13-13 – Wählen Sie die Benutzer, Computer und Gruppen aus, denen Sie den Zugriff erlauben oder verweigern möchten.
5. Verwenden Sie das Dialogfeld Wählen Sie Benutzer, Computer oder Gruppen aus, um die Benutzer, Computer oder Gruppen auszuwählen, für die Sie Zugriffsberechtigungen festlegen möchten. Dieses Fenster enthält die unten beschriebenen Felder:

Blick in Mit dieser Dropdown-Liste können Sie verfügbare Konten anderer Domänen anzeigen. Einschließlich einer Liste der aktuellen Domäne, vertrauenswürdiger Domänen und anderer verfügbarer Ressourcen. Um alle Konten in einem Ordner anzuzeigen, wählen Sie Gesamtes Verzeichnis.

Name In dieser Spalte werden die vorhandenen Konten für die ausgewählte Domäne oder Ressource angezeigt.

Hinzufügen Mit dieser Schaltfläche werden die markierten Namen zur Liste der ausgewählten Namen hinzugefügt.

Überprüfen Sie die Namen Mit dieser Schaltfläche können Sie Benutzer-, Computer- oder Gruppennamen in der Liste der ausgewählten Namen überprüfen. Dies kann nützlich sein, wenn Namen manuell eingegeben werden und Sie sicherstellen möchten, dass sie korrekt sind.

6. Auf der Liste Name Markieren Sie den zu konfigurierenden Benutzer, Kontakt, Computer oder die Gruppe und aktivieren oder deaktivieren Sie dann die Kontrollkästchen im Berechtigungen: Zugriffsrechte festzulegen. Wiederholen Sie dieselben Schritte für andere Benutzer, Computer oder Gruppen.
7. Wenn Sie fertig sind, drücken Sie die Taste OK.

Prüfung der Systemressourcen

Die Verwendung von Auditing ist Der beste Weg um Ereignisse auf Windows 2000-Systemen zu verfolgen. Mithilfe der Überwachung können Informationen zur Nutzung einer Ressource gesammelt werden. Beispiele für überprüfbare Ereignisse sind Dateizugriff, Systemanmeldung und Systemkonfigurationsänderungen. Nachdem die Überwachung eines Objekts aktiviert wurde, werden bei jedem Versuch, auf dieses Objekt zuzugreifen, Einträge in das Systemsicherheitsprotokoll geschrieben. Das Sicherheitsprotokoll kann über das Snap-In angezeigt werden Ereignisanzeige.

Notiz. Um die meisten Überwachungseinstellungen zu ändern, müssen Sie als Administrator oder Mitglied der Administratorengruppe angemeldet sein oder über die entsprechenden Berechtigungen verfügen Verwalten Sie das Überwachungs- und Sicherheitsprotokoll in der Gruppenrichtlinie.

Audit-Richtlinien festlegen

Die Anwendung von Audit-Richtlinien verbessert die Sicherheit und Integrität von Systemen erheblich. Fast jede Computersystem Das Netzwerk muss mit Sicherheitsprotokollierung konfiguriert sein. Das Einrichten von Überwachungsrichtlinien ist im Snap-In verfügbar Gruppenrichtlinie. Mit dieser Komponente können Sie Überwachungsrichtlinien für einen gesamten Standort, eine Domäne oder eine Abteilung festlegen. Richtlinien können auch für persönliche Workstations oder Server festgelegt werden.

Nachdem Sie den erforderlichen Gruppenrichtliniencontainer ausgewählt haben, können Sie Überwachungsrichtlinien wie folgt konfigurieren:

1. Wie in Abbildung 13-14 dargestellt, können Sie einen Knoten finden, indem Sie in der Konsolenstruktur nach unten gehen: Computerkonfiguration, Windows-Einstellungen, Sicherheitseinstellungen, Lokale Richtlinien, Audit-Richtlinie.


Abbildung 13-14 – Konfigurieren einer Überwachungsrichtlinie mithilfe des Knotens „Überwachungsrichtlinie“ in der Gruppenrichtlinie.
2. Es gibt folgende Prüfungskategorien:

Überwachen Sie Kontoanmeldeereignisse Verfolgt Ereignisse im Zusammenhang mit der Benutzeranmeldung und -abmeldung.

Audit-KontoverwaltungÜberwacht alle Ereignisse im Zusammenhang mit der Kontoverwaltung und Snap-In-Tools. Überwachungseinträge werden angezeigt, wenn Benutzer-, Computer- oder Gruppenkonten erstellt, geändert oder gelöscht werden.

Überwacht Active Directory-Zugriffsereignisse. Prüfdatensätze werden jedes Mal erstellt, wenn Benutzer oder Computer auf das Verzeichnis zugreifen.

Überwacht Anmelde-/Abmeldeereignisse und Löschvorgänge Netzwerkverbindungen.

Verfolgt die Nutzung Systemressourcen Dateien, Verzeichnisse, Freigaben und Active Directory-Objekte.

Änderung der ÜberwachungsrichtlinieÜberwacht Änderungen an Richtlinien zur Zuweisung von Benutzerrechten, Überwachungsrichtlinien oder Vertrauensrichtlinien.

Verfolgt jeden Versuch eines Benutzers, ein ihm gewährtes Recht oder Privileg auszuüben. Beispielsweise die Rechte zum Archivieren von Dateien und Verzeichnissen.

Notiz. Politik Nutzung von Audit-Berechtigungen verfolgt keine Ereignisse im Zusammenhang mit dem Systemzugriff, wie z. B. die Nutzung des Rechts, sich interaktiv am System anzumelden oder über das Netzwerk auf einen Computer zuzugreifen. Diese Ereignisse werden mithilfe von Richtlinien überwacht Anmeldeereignisse überwachen.

Audit-Prozessverfolgungüberwacht Systemprozesse und die von ihnen genutzten Ressourcen.

Audit-SystemereignisseÜberwacht Ereignisse beim Einschalten, Neustarten oder Herunterfahren des Computers sowie Ereignisse, die sich auf die Systemsicherheit auswirken oder sich im Sicherheitsprotokoll widerspiegeln.

3. Um eine Überwachungsrichtlinie zu konfigurieren, doppelklicken Sie auf die gewünschte Richtlinie oder wählen Sie den Befehl im Kontextmenü der ausgewählten Richtlinie aus Eigenschaften. Danach öffnet sich ein Dialogfenster Lokale S(Eigenschaften).
4. Aktivieren Sie das Kontrollkästchen Definieren Sie diese Richtlinieneinstellungen. Aktivieren oder deaktivieren Sie dann die Kontrollkästchen Erfolg Und Versagen. Bei der Erfolgsprüfung handelt es sich um die Erstellung eines Prüfdatensatzes für jedes erfolgreiche Ereignis (z. B. einen erfolgreichen Anmeldeversuch). Unter Fehlerüberwachung versteht man die Erstellung eines Prüfprotokolls für jedes fehlgeschlagene Ereignis (z. B. einen fehlgeschlagenen Anmeldeversuch).
5. Wenn Sie fertig sind, drücken Sie die Taste OK.

Prüfung von Vorgängen mit Dateien und Ordnern

Wenn die Richtlinie aktiviert ist Objektzugriff prüfen können Sie die Überwachung auf der Ebene einzelner Ordner und Dateien verwenden. Dadurch können Sie deren Nutzung genau verfolgen. Diese Möglichkeit Nur auf Volumes mit dem NTFS-Dateisystem verfügbar.

Gehen Sie wie folgt vor, um die Datei- und Ordnerüberwachung einzurichten:

1. IN Explorer ( Windows Explorer) Wählen Sie die Datei oder den Ordner aus, für die Sie die Überwachung einrichten möchten. Wählen Sie im Kontextmenü den Befehl aus Eigenschaften.
2. Gehen Sie zur Registerkarte Sicherheit und klicken Sie dann auf die Schaltfläche Zusätzlich (Fortgeschritten).
3. Gehen Sie im Dialogfeld auf die Registerkarte Wirtschaftsprüfung, dargestellt in Abbildung 13-15.


Abbildung 13-15 – Einrichten von Überwachungsrichtlinien für einzelne Dateien oder Ordner auf der Registerkarte „Überwachung“.
4. Damit Überwachungseinstellungen von einem übergeordneten Objekt geerbt werden, muss das Kontrollkästchen „Vererbung vererbbarer Überwachungseinträge vom übergeordneten Objekt an dieses Objekt zulassen“ aktiviert sein.
5. Um zuzulassen, dass untergeordnete Objekte die Überwachungseinstellungen des aktuellen Objekts erben, wählen Sie die Option aus Setzen Sie Prüfelemente für alle untergeordneten Objekte zurück und aktivieren Sie die Übertragung geerbter Prüfelemente (Überwachungseinträge für alle untergeordneten Objekte zurücksetzen und Weitergabe vererbbarer Überwachungseinträge aktivieren).
6. Verwenden Sie eine Liste Entfernen.
7. Hinzufügen um ein Dialogfeld anzuzeigen OK, ein Dialogfeld wird angezeigt Prüfelement für Ordner- oder Dateiname , dargestellt in Abbildung 13-16.

Notiz. Wenn Sie die Aktionen aller Benutzer verfolgen möchten, verwenden Sie eine spezielle Gruppe Alle. In anderen Fällen wählen Sie einzelne Benutzer oder Gruppen in beliebiger Kombination zur Prüfung aus.


Abbildung 13-16 – Dialogfeld Audit-Element für Ordner- oder Dateiname(Überwachungseintrag für neuen Ordner), wird zum Festlegen von Überwachungseinträgen für einen Benutzer, Kontakt, Computer oder eine Gruppe verwendet.
8. Bewerben Sie sich auf.
9. Markiere das Feld Erfolgreich und/oder Fehlgeschlagen für erforderliche Prüfereignisse. Bei der Erfolgsprüfung handelt es sich um die Erstellung eines Prüfdatensatzes für ein erfolgreiches Ereignis (z. B. ein erfolgreiches Lesen einer Datei). Unter Fehlerüberwachung versteht man die Erstellung eines Überwachungsdatensatzes für ein fehlgeschlagenes Ereignis (z. B. einen fehlgeschlagenen Versuch, eine Datei zu löschen). Ereignisse für die Überwachung sind dieselben wie die Sonderberechtigungen (Tabellen 13-4 und 13-5), mit Ausnahme der Offline-Datei- und Ordnersynchronisierung, die nicht überwacht werden kann.
10. Wenn Sie fertig sind, drücken Sie die Taste OK. Wiederholen Sie diese Schritte, um die Überwachung anderer Benutzer, Gruppen oder Computer zu konfigurieren.

Überwachen von Active Directory-Verzeichnisobjekten

Wenn die Richtlinie aktiviert ist Zugriff auf den Verzeichnisdienst überwachen können Sie die Active Directory-Überwachung auf Objektebene verwenden. Dadurch können Sie deren Nutzung genau verfolgen.

Gehen Sie wie folgt vor, um die Objektüberwachung zu konfigurieren:

1. Im Handumdrehen Aktive Verzeichnisse Benutzer und Computer Wählen Sie den Objektcontainer aus.
2. Klicken Sie mit der rechten Maustaste auf das zu prüfende Objekt und wählen Sie den Befehl aus dem Kontextmenü Eigenschaften.
3. Gehen Sie zur Registerkarte Sicherheit und drücken Sie die Taste Zusätzlich (Fortgeschritten).
4. Gehen Sie zur Registerkarte Wirtschaftsprüfung Dialogbox Zugriffskontrolleinstellungen. Damit Überwachungseinstellungen von einem übergeordneten Objekt geerbt werden, muss das Kontrollkästchen „Vererbung vererbbarer Überwachungseinträge vom übergeordneten Objekt an dieses Objekt zulassen“ aktiviert sein.
5. Verwenden Sie eine Liste Prüfeinträge um Benutzer, Computer oder Gruppen auszuwählen, deren Aktivitäten überwacht werden sollen. Um ein Konto aus dieser Liste zu entfernen, wählen Sie es aus und klicken Sie auf die Schaltfläche Entfernen.
6. Um ein Konto hinzuzufügen, klicken Sie auf die Schaltfläche Hinzufügen. Es erscheint ein Dialogfeld Wählen Sie Benutzer, Kontakte, Computer oder Gruppen aus, in dem Sie das Konto auswählen, das hinzugefügt werden soll. Wenn Sie drücken OK, ein Dialogfeld wird angezeigt Prüfelement für Ordner- oder Dateiname(Überwachungseintrag für neuen Ordner).
7. Wenn Sie Objekte angeben müssen, um Überwachungseinstellungen anzuwenden, verwenden Sie die Dropdown-Liste Bewerben Sie sich auf.
8. Markiere das Feld Erfolgreich und/oder Fehlgeschlagen für erforderliche Prüfereignisse. Bei der Erfolgsprüfung handelt es sich um die Erstellung eines Prüfdatensatzes für jedes erfolgreiche Ereignis (z. B. ein erfolgreiches Lesen einer Datei). Unter Fehlerüberwachung versteht man die Erstellung eines Prüfprotokolls für jedes Fehlerereignis (z. B. einen fehlgeschlagenen Versuch, eine Datei zu löschen).
9. Wenn Sie fertig sind, drücken Sie die Taste OK. Wiederholen Sie diese Schritte, um die Überwachung anderer Benutzer, Kontakte, Gruppen oder Computer einzurichten.


Material aus dem Buch „Windows 2000. Administrator's Guide“. Von William R. Stanek. © Microsoft Corporation, 1999. Alle Rechte vorbehalten.

Mit dem NTFS-Dateisystem können Sie Zugriffsberechtigungen auf einzelne Ordner oder Dateien für einzelne Benutzer konfigurieren. Sie haben das Recht, den Zugriff auf Ordner/Dateien nach Ihren Wünschen zu konfigurieren: Blockieren Sie den Zugriff auf Ihre Dateien für einige Benutzer und öffnen Sie den Zugriff für andere Benutzer. In diesem Fall kann ersterer mit Ihren Dokumenten arbeiten und letzterer sieht ein Fenster mit der Meldung „ Dateizugriff verweigert". Die Möglichkeiten zur Einrichtung des Zugriffs auf Ordner/Dateien beschränken sich jedoch nicht nur darauf, ob Benutzer auf Ihre Dokumente zugreifen können oder nicht. Sie können Zugriffsberechtigungen festlegen. Daher können einige Benutzer das Dokument nur lesen, während andere es ändern können.

Wie öffne oder blockiere ich den Zugriff auf Dateien oder Ordner in Windows?

Um Zugriffsrechte auf eine Datei/einen Ordner zu konfigurieren, müssen Sie auswählen Eigenschaften im Kontextmenü dieser Datei/dieses Ordners. Gehen Sie im sich öffnenden Fenster auf die Registerkarte Sicherheit. Als Nächstes werden Ihnen zwei Möglichkeiten zur Konfiguration der Zugriffsrechte angezeigt.

  1. Drücken Sie den Knopf Ändern. Dann sehen wir folgendes Bild:
    In diesem Fenster können wir einen Benutzer oder eine ganze Benutzergruppe hinzufügen oder entfernen, für den wir Zugriffsrechte auf dieses Objekt konfigurieren möchten. Für diese Zwecke müssen Sie die Schaltflächen verwenden Hinzufügen Und Löschen. Nachdem Sie die Benutzer ausgewählt haben, für die Sie die entsprechenden Zugriffsrechte konfigurieren möchten, wählen Sie sie einzeln aus und weisen Sie anhand verschiedener . die entsprechenden Rechte zu. Um den Zugriff zuzulassen oder umgekehrt zu verweigern, müssen Sie die entsprechenden Kontrollkästchen aktivieren. Um die Änderungen zu speichern, klicken Sie auf Anwenden, wonach OK.
  2. Drücken Sie den Knopf Zusätzlich. Dieses Fenster bietet Zusatzfunktionen zum Festlegen von Zugriffsrechten für ein Objekt.

    Die im ersten Absatz vorgestellte Funktionalität ist in der Registerkarte enthalten Berechtigungen. Verwendung von Tasten Hinzufügen Und Löschen Sie können Benutzer zur Liste hinzufügen oder entsprechend entfernen. Um die entsprechenden Berechtigungen für den ausgewählten Benutzer festzulegen, müssen Sie die Schaltfläche verwenden Ändern.

    Im Dropdown-Menü können Sie die Art der Berechtigung (Zulassen oder Verweigern) und im Fall von Ordnern den Geltungsbereich dieser Regeln auswählen. Wie Sie sehen, stellt dieses Fenster das gleiche für das Objekt bereit. Aber wenn Sie den Knopf drücken Zusätzliche Berechtigungen anzeigen, dann erhalten Sie ganze Exemplare.

    Die Auswahl der entsprechenden Berechtigungen erfolgt durch Hinzufügen eines Häkchens neben dem entsprechenden Element.

    Tab Prüfung ermöglicht Ihnen die Konfiguration der Dokumentation verschiedener Zugriffsversuche auf eine Datei/einen Ordner. So können Sie jedes Mal eine Benachrichtigung erhalten, wenn jemand einen Ordner/eine Datei erfolgreich oder erfolglos öffnet, wenn jemand den Namen oder Inhalt eines Dokuments ändert usw. Sie können sowohl erfolgreiche als auch erfolglose Aktionen überwachen. Für die Prüfung können Sie auch den Umfang konfigurieren. Dokumentierte Daten können in eingesehen werden Ereignisprotokoll.

    Tab Effektive Zugriffsrechte zeigt die Zugriffsrechte für dieses Objekt für den ausgewählten Benutzer an.

Zugriff erlauben oder verweigern?

Bevor Sie beginnen, die Kontrollkästchen für Benutzer zu aktivieren, sollten Sie Folgendes wissen: Berechtigungen müssen explizit konfiguriert werden. Das bedeutet, dass für den Zugriff auf das Objekt eine explizite Erlaubnis eingeholt werden muss. Um den Zugriff auf ein Objekt zu verhindern, reicht es jedoch aus, überhaupt keine Berechtigungen zu vergeben. Denn wenn Sie die Zugriffsberechtigung nicht explizit angegeben haben, kann der Benutzer nicht auf dieses Objekt zugreifen. Daher stellt sich die berechtigte Frage: Warum wird überhaupt ein Berechtigungstyp benötigt? Verbieten? Und dafür müssen Sie zwei weitere Regeln kennen:

  1. Berechtigungstyp Verbieten hat Vorrang vor Typ Erlauben.
  2. Die endgültigen Ergebnisse für den Benutzer werden durch die Zusammenfassung aller Zugriffsregeln für ein bestimmtes Objekt erhalten.

Sollte es beim ersten Punkt keine Fragen geben, dann bedarf der zweite der Erläuterung. Schauen wir uns ein Beispiel an: if zum Ordner Papa regelmäßiger Benutzer Benutzer hat Lese-/Schreibberechtigung, und die Gruppe Benutzer Sie haben nur Leseberechtigung für den Ordner Papa, dann die endgültigen Zugriffsrechte für den Benutzer Benutzer erlaubt sowohl das Lesen als auch das Schreiben in diesem Ordner, was im Widerspruch zu der Richtlinie steht, dass Benutzer diesen Ordner nur lesen können. Aus diesem Grund wird der Berechtigungstyp benötigt Verbieten. Wenn ein Benutzer gemäß einer Richtlinie Zugriff auf eine Datei haben soll, gemäß einer anderen jedoch nicht, muss der Zugriff auf die Datei explizit verweigert werden, da er sonst Zugriff darauf hat, was der zweiten Richtlinie widerspricht.

Gerade um die Zusammenfassung aller Zugriffsregeln auf ein Objekt zu erleichtern, existiert die Registerkarte Effektive Zugriffsrechte.

Benutzer, Administratoren, authentifizierte Benutzer usw.

Darüber hinaus müssen Sie wissen, dass alle Benutzer, unabhängig von den konfigurierten Zugriffsrechten, standardmäßig in der Gruppe enthalten sind Benutzer. Und standardmäßig haben Benutzer dieser Gruppe Lese- und Änderungszugriff auf alle Objekte (mit Ausnahme einiger Betriebssystemobjekte). Aber die Benutzer aus der Gruppe Administratoren Standardmäßig haben sie vollen Zugriff auf alle Systemobjekte. Zur Benutzergruppe Verifiziert umfasst alle angemeldeten Benutzer. Ihre Zugriffsberechtigungen entsprechen in etwa denen normaler Benutzer.

Wenn Sie dies wissen, können Sie sich die unnötige Arbeit ersparen, einem bestimmten Benutzer Vollzugriff mit Administratorrechten zu gewähren oder Lese- und Schreibzugriffsrechte für einen Standardbenutzer einzurichten. Das alles ist bereits geschehen.

Darüber hinaus sollten Sie den oben genannten Gruppen keine Zugriffsrechte auf Objekte entziehen. Außerdem sollten Sie diesen Gruppen den Zugriff nicht verweigern. Selbst wenn Sie ein Benutzer mit Administratorrechten sind, verweigern Sie der Gruppe den Zugriff Benutzer auf irgendein Objekt wird Ihnen kurzerhand einen Schlag in den Nacken geben, da Sie auch ein Benutzer dieser Gruppe sind. Seien Sie also vorsichtig und versuchen Sie nicht, die Standardeinstellungen zu ändern.

Computer, auf denen Betriebssysteme ausgeführt werden Windows-Systeme, kann mit verschiedenen Dateisystemen wie FAT32 und NTFS arbeiten. Ohne auf Gemeinsamkeiten einzugehen, können wir eines sagen: Sie unterscheiden sich im Wesentlichen: Mit dem NTFS-Dateisystem können Sie Sicherheitseinstellungen für jede Datei oder jeden Ordner (Verzeichnis) konfigurieren. Diese. Für jede Datei oder jeden Ordner speichert das NTFS-Dateisystem sogenannte ACLs (Access Control Lists), in denen alle Benutzer und Gruppen aufgeführt sind, auf die bestimmte Zugriffsrechte bestehen Diese Datei oder Ordner. Das FAT32-Dateisystem verfügt nicht über diese Funktion.

Im NTFS-Dateisystem kann jede Datei oder jeder Ordner die folgenden Sicherheitsrechte haben:

  • Lektüre– Ermöglicht das Durchsuchen von Ordnern und das Anzeigen einer Liste von Dateien und Unterordnern sowie das Anzeigen und Zugreifen auf Dateiinhalte;
  • Aufzeichnen— Ermöglicht das Hinzufügen von Dateien und Unterordnern sowie das Schreiben von Daten in eine Datei;
  • Lesen und ausführen— Ermöglicht das Durchsuchen von Ordnern und das Anzeigen einer Liste von Dateien und Unterordnern, ermöglicht das Anzeigen und Zugreifen auf den Inhalt einer Datei sowie das Starten einer ausführbaren Datei;
  • Liste der Ordnerinhalte– Ermöglicht das Durchsuchen von Ordnern und das Anzeigen nur der Liste der Dateien und Unterordner. Diese Berechtigung gewährt keinen Zugriff auf den Inhalt der Datei!;
  • Ändern— Ermöglicht das Anzeigen des Inhalts und das Erstellen von Dateien und Unterordnern, das Löschen eines Ordners, das Lesen und Schreiben von Daten in eine Datei sowie das Löschen einer Datei;
  • Voller Zugriff- Ermöglicht das Anzeigen von Inhalten sowie das Erstellen, Ändern und Löschen von Dateien und Unterordnern, das Lesen und Schreiben von Daten sowie das Ändern und Löschen einer Datei

Die oben aufgeführten Rechte sind grundsätzlich. Grundrechte bestehen aus Sonderrechten. Spezifische Rechte sind detailliertere Rechte, aus denen Grundrechte gebildet werden. Die Verwendung von Sonderrechten bietet Ihnen viel Flexibilität bei der Festlegung von Zugriffsrechten.

Liste der besonderen Zugriffsrechte auf Dateien und Ordner:

  • Ordner durchsuchen/Dateien ausführen— Ermöglicht die Navigation durch die Ordnerstruktur auf der Suche nach anderen Dateien oder Ordnern und die Ausführung von Dateien;
  • Ordnerinhalt/Daten werden gelesen— Ermöglicht das Anzeigen der Namen von Dateien oder Unterordnern, die in einem Ordner enthalten sind, und das Lesen von Daten aus einer Datei;
  • Leseattribute— Ermöglicht die Anzeige von Datei- oder Ordnerattributen wie „Schreibgeschützt“ und „Versteckt“;
  • Lesen zusätzlicher Attribute– Ermöglicht die Anzeige zusätzlicher Attribute einer Datei oder eines Ordners;
  • Dateien erstellen/Daten schreiben— Ermöglicht das Erstellen von Dateien in einem Ordner (gilt nur für Ordner), das Vornehmen von Änderungen an einer Datei und das Überschreiben vorhandener Inhalte (gilt nur für Dateien);
  • Ordner erstellen / Daten hinzufügen— Ermöglicht die Erstellung von Ordnern innerhalb eines Ordners (gilt nur für Ordner), das Hinzufügen von Daten am Ende der Datei, jedoch nicht das Ändern, Löschen oder Ersetzen vorhandener Daten (gilt nur für Dateien);
  • Aufzeichnungsattribute– Erlaubt oder verbietet das Ändern von Datei- oder Ordnerattributen wie „Schreibgeschützt“ und „Versteckt“;
  • Zusätzliche Attribute schreiben– Erlaubt oder verbietet das Ändern zusätzlicher Attribute einer Datei oder eines Ordners;
  • Unterordner und Dateien löschen— Ermöglicht das Löschen von Unterordnern und Dateien, auch wenn keine „Löschen“-Berechtigung vorliegt (gilt nur für Ordner);
  • Entfernung– Ermöglicht das Löschen einer Datei oder eines Ordners. Wenn eine Datei oder ein Ordner nicht über die Berechtigung „Löschen“ verfügt, kann das Objekt dennoch gelöscht werden, wenn der übergeordnete Ordner über die Berechtigung „Unterordner und Dateien löschen“ verfügt.
  • Leseberechtigungen- Ermöglicht Leseberechtigungen für eine Datei oder einen Ordner, z. B. „Vollzugriff“, „Lesen“ und „Schreiben“;
  • Berechtigungen ändern— Ermöglicht das Ändern der Berechtigungen für den Zugriff auf eine Datei oder einen Ordner, z. B. „Vollzugriff“, „Lesen“ und „Schreiben“;
  • Eigentümerwechsel– Ermöglicht Ihnen, den Besitz einer Datei oder eines Ordners zu übernehmen;
  • Synchronisation– Ermöglicht verschiedenen Threads, auf Dateien oder Ordner zu warten und diese mit anderen Threads zu synchronisieren, die sie möglicherweise belegen. Diese Berechtigung gilt nur für Programme, die im Multithread-Modus mit mehreren Prozessen ausgeführt werden;

!!!Alle Grund- und Sonderrechte sind sowohl zulässig als auch prohibitiv.

Alle Datei- und Ordnerberechtigungen sind in zwei Typen unterteilt: explizit und geerbt. Der Vererbungsmechanismus beinhaltet die automatische Übertragung von etwas von einem übergeordneten Objekt auf ein untergeordnetes Objekt. In einem Dateisystem bedeutet dies, dass jede Datei oder jeder Ordner seine Rechte von seinem übergeordneten Ordner erben kann. Dies ist ein sehr praktischer Mechanismus, der es überflüssig macht, allen neu erstellten Dateien und Ordnern explizite Rechte zuzuweisen. Stellen Sie sich vor, Sie haben mehrere tausend Dateien und Ordner auf einer Festplatte. Wie können Sie die Zugriffsrechte auf alle verteilen, sich hinsetzen und sie jedem einzelnen zuweisen? Nein. Hier ist der Mechanismus der Vererbung am Werk. Wir haben einen Ordner im Stammverzeichnis der Festplatte erstellt. Der Ordner erhielt automatisch genau die gleichen Rechte wie das Stammverzeichnis der Festplatte. Die Berechtigungen für den neu erstellten Ordner wurden geändert. Anschließend erstellten sie innerhalb des erstellten Ordners einen weiteren Unterordner. Die Rechte dieses neu erstellten Unterordners werden vom übergeordneten Ordner usw. übernommen. usw.

Das Ergebnis der Anwendung expliziter und geerbter Rechte sind die tatsächlichen Rechte für einen bestimmten Ordner oder eine bestimmte Datei. Es gibt viele Fallstricke. Sie haben beispielsweise einen Ordner, in dem Sie dem Benutzer „Vasya“ erlauben, Dateien zu löschen. Dann erinnern Sie sich, dass sich in diesem Ordner eine sehr wichtige Datei befindet, die Vasya unter keinen Umständen löschen sollte. Sie legen ein explizites Verbot für eine wichtige Datei fest (spezielles Verbotsrecht). "Löschen"). Es scheint, dass die Arbeit erledigt ist, die Datei ist eindeutig vor dem Löschen geschützt. Und Vasya geht ruhig in den Ordner und löscht diese supergeschützte Datei. Warum? Denn Vasya hat Löschrechte aus dem übergeordneten Ordner, die in diesem Fall Vorrang haben.

Versuchen Sie, Rechte nicht direkt an Dateien zu vergeben, sondern an Ordner.

!!! Versuchen Sie, Rechte nur an Gruppen zu vergeben, dies vereinfacht die Verwaltung erheblich. Die Zuweisung von Rechten an bestimmte Benutzer wird von Microsoft nicht empfohlen. Vergessen Sie nicht, dass eine Gruppe nicht nur Benutzer, sondern auch andere Gruppen umfassen kann.

Zum Beispiel. Wenn der Computer zu einer Domäne gehört, wird die Gruppe „Domänenbenutzer“ automatisch zu seiner lokalen Gruppe „Benutzer“ hinzugefügt, und die Gruppe „Domänenadministratoren“ wird automatisch zu der lokalen Gruppe „Administratoren“ hinzugefügt und dementsprechend werden beliebige zugewiesen Wenn Sie einer Gruppe lokaler Benutzer Ordnerrechte zuweisen, weisen Sie allen Domänenbenutzern automatisch Rechte zu.

Lassen Sie sich nicht entmutigen, wenn nicht alles, was oben beschrieben wurde, sofort klar ist. Beispiele und selbstständiges Arbeiten werden die Situation schnell korrigieren!

Kommen wir zu den Einzelheiten.

Ich werde alle Beispiele anhand von Beispielen zeigen Windows-Fenster XP. Bei Windows 7 und höher blieb das Wesentliche identisch, nur gab es etwas mehr Fenster.

Um also einer Datei oder einem Ordner Rechte zuzuweisen oder zu ändern, müssen Sie im Explorer mit der rechten Maustaste auf die gewünschte Datei oder den gewünschten Ordner klicken und den Menüpunkt auswählen "Eigenschaften"

Es sollte sich ein Fenster mit einem Lesezeichen öffnen. "Sicherheit"

Wenn kein solches Lesezeichen vorhanden ist, gehen Sie wie folgt vor. Starten Sie den Explorer und öffnen Sie dann das Menü "Service"„Ordnereigenschaften…“

Gehen Sie im sich öffnenden Fenster zur Registerkarte „Ansicht“ und deaktivieren Sie die Option „Verwenden Sie einfach allgemeiner Zugang zu Dateien (empfohlen)“

Das war's, jetzt stehen Ihnen alle Immobilien zur Verfügung Dateisystem NTFS.

Zurück zum Lesezeichen "Sicherheit".

Im sich öffnenden Fenster stehen uns zahlreiche Informationen zur Verfügung. Oben gibt es eine Liste „Gruppen und Benutzer:“, das alle Benutzer und Gruppen auflistet, die Zugriffsrechte auf diesen Ordner haben (Pfeil 1). Die untere Liste zeigt Berechtigungen für den ausgewählten Benutzer/die ausgewählte Gruppe (Pfeil 2). In diesem Fall ist es der Benutzer SYSTEM. Diese Liste der Berechtigungen zeigt die grundlegenden Berechtigungen. Bitte beachten Sie das in der Spalte "Erlauben" Häkchen sind farblich ausgeblendet und können nicht bearbeitet werden. Dies weist darauf hin, dass diese Rechte vom übergeordneten Ordner geerbt werden. Auch in diesem Fall gelten wieder alle Rechte des SYSTEM-Benutzers für den Ordner "Arbeiten" werden vollständig vom übergeordneten Ordner geerbt und der SYSTEM-Benutzer hat alle Rechte ( "Voller Zugriff")

Indem wir die gewünschte Gruppe oder den gewünschten Benutzer in der Liste markieren, können wir die Grundrechte für diese Gruppe oder diesen Benutzer einsehen. Durch Auswahl des Benutzers "Gastbenutzer ( [email protected] Sie können sehen, dass er alle Rechte explizit hat

Und hier ist die Gruppe „Benutzer (KAV-VM1\Benutzer“ verfügt über kombinierte Rechte, einige davon werden vom übergeordneten Ordner geerbt (graue Quadrate gegenüber). „Lesen und ausführen“, „Den Inhalt des Ordners auflisten“, "Lektüre"), und ein Teil davon wird explizit festgelegt - das ist das Recht "Ändern" Und "Aufzeichnen"

!!!Aufmerksamkeit. Achten Sie auf die Namen von Benutzern und Gruppen. In Klammern wird die Gruppen- bzw. Benutzerzugehörigkeit angegeben. Gruppen und Benutzer können lokal sein, d. h. direkt auf diesem Computer erstellt oder kann eine Domäne sein. In diesem Fall die Gruppe „Administratoren“ lokal, da der Eintrag in Klammern den Namen des Computers KAV-VM1 angibt und nach dem Schrägstrich der Name der Gruppe selbst steht. Im Gegenteil, der Benutzer "Gastbenutzer" Nutzer der btw.by-Domain ist, wird dies durch den vollständigen Namenseintrag angezeigt [email protected]

Oft kann man sich beim Anzeigen oder Ändern von Rechten auf ein Fenster mit Grundrechten beschränken, aber manchmal reicht das nicht aus. Anschließend können Sie ein Fenster öffnen, in dem Sie bestimmte Berechtigungen ändern, den Eigentümer ändern oder aktuelle Berechtigungen anzeigen können. Wie kann man das machen? Klicken Sie auf die Schaltfläche "Zusätzlich". Dieses Fenster öffnet sich

In diesem Fenster in der Tabelle „Berechtigungselemente“ Alle Benutzer, die Rechte für diesen Ordner haben, werden aufgelistet. Analog zu den Grundberechtigungen markieren wir den gewünschten Benutzer oder die gewünschte Gruppe und klicken auf die Schaltfläche "Ändern". Es öffnet sich ein Fenster, in dem alle Sonderberechtigungen für den ausgewählten Benutzer oder die ausgewählte Gruppe angezeigt werden

Ähnlich wie Basisberechtigungen werden von einem übergeordneten Ordner geerbte Sonderberechtigungen ausgeblendet grau angezeigt und können nicht bearbeitet werden.

Wie Sie vielleicht bereits bemerkt haben, gibt es für einige Benutzer oder Gruppen mehrere Zeilen im Fenster mit den speziellen Berechtigungen.


Dies liegt daran, dass ein Benutzer oder eine Gruppe über unterschiedliche Arten von Rechten verfügen kann: explizite und vererbte, zulassende oder verweigernde Rechte, die sich in der Art der Vererbung unterscheiden. In diesem Fall werden Leserechte für die Benutzergruppe vom übergeordneten Ordner geerbt und Bearbeitungsrechte werden explizit hinzugefügt.

Beispiele für die Rechtevergabe.

!!! Alle Beispiele werden mit zunehmender Komplexität fortschreiten. Lesen und verstehen Sie sie in der Reihenfolge, in der sie im Text erscheinen. Ich werde ähnliche Aktionen in den folgenden Beispielen weglassen, um den Textumfang zu reduzieren. 🙂

Beispiel 1: Gewähren von schreibgeschütztem Zugriff auf einen Ordner für eine bestimmte lokale Sicherheitsgruppe.

Erstellen wir zunächst eine lokale Gruppe, die die gesamte Liste der benötigten Benutzer enthält. Es ist ohne Gruppe möglich, aber dann müssen Sie die Rechte für jeden Benutzer separat konfigurieren und jedes Mal, wenn Sie einer neuen Person Rechte erteilen müssen, müssen Sie alle Vorgänge erneut durchführen. Und wenn die Rechte gewährt werden lokale Gruppe, dann brauchen Sie zum Anlegen einer neuen Person nur eine Aktion – die Aufnahme dieser Person in die lokale Gruppe. Wie Sie eine lokale Sicherheitsgruppe erstellen, erfahren Sie im Artikel „Lokale Sicherheitsgruppen konfigurieren“.

Also. Wir haben eine lokale Sicherheitsgruppe namens „Colleagues for Reading“ gegründet.


zu dem wir alle notwendigen Benutzer hinzugefügt haben.

Jetzt richte ich Zugriffsrechte auf den Ordner ein. In diesem Beispiel werde ich der erstellten Gruppe Zugriffsrechte erteilen „Für Kollegen zum Nachlesen“ zum Ordner "Foto".

Klicken Sie mit der rechten Maustaste auf den Ordner "FOTO" und wählen Sie einen Menüpunkt aus "Eigenschaften", gehe zu Lesezeichen "Sicherheit".

Im geöffneten Lesezeichen "Sicherheit" Die aktuellen Ordnerberechtigungen werden angezeigt "FOTO". Durch Markieren von Gruppen und Benutzern in der Liste können Sie erkennen, dass die Rechte dieses Ordners vom übergeordneten Ordner übernommen werden (graue Häkchen in der Spalte). "Erlauben"). In dieser Situation möchte ich nicht, dass jemand anderes als die neu erstellte Gruppe Zugriff auf den Ordner hat "FOTO".

Daher muss ich die Rechtevererbung entfernen und unnötige Benutzer und Gruppen aus der Liste entfernen. Ich drücke den Knopf "Zusätzlich". In dem sich öffnenden Fenster


Ich deaktiviere das Kontrollkästchen „Berechtigungen für untergeordnete Objekte vom übergeordneten Objekt erben und sie zu den in diesem Fenster explizit angegebenen Berechtigungen hinzufügen.“ . Dadurch öffnet sich ein Fenster, in dem ich auswählen kann, was mit den aktuell geerbten Rechten geschehen soll.

In den meisten Fällen empfehle ich, hier auf die Schaltfläche zu klicken "Kopieren", denn wenn du wählst "Löschen", dann wird die Liste der Rechte leer und Sie können sich die Rechte tatsächlich selbst entziehen. Ja, wundern Sie sich nicht, es ist ganz einfach. Und wenn Sie kein Administrator auf Ihrem Computer oder kein Gruppenbenutzer sind „Archivbetreiber“, dann ist es für Sie unmöglich, Ihre Rechte wiederherzustellen. Die Situation ähnelt einer Tür mit automatischem Riegel, die Sie schließen, während Sie die Schlüssel drinnen lassen. Deshalb ist es besser, immer den Knopf zu drücken "Kopieren", und löschen Sie dann alles Unnötige.

Nachdem ich geklickt habe "Kopieren", Ich kehre wieder zum vorherigen Fenster zurück, nur dieses Mal mit deaktiviertem Kontrollkästchen.

Ich drücke "OK" und kehren Sie zum Fenster „Grundrechte“ zurück. Alle Rechte zur Bearbeitung stehen zur Verfügung. Ich muss Berechtigungen für die lokale Gruppe hinterlassen „Administratoren“ und Benutzer SYSTEM, und löschen Sie den Rest. Ich wähle nacheinander unnötige Benutzer und Gruppen aus und klicke auf die Schaltfläche "Löschen".

Als Ergebnis bekomme ich dieses Bild.

Jetzt muss ich nur noch die Gruppe hinzufügen „Für Kollegen zum Nachlesen“ und weisen Sie dieser Gruppe Leserechte zu.

Ich drücke den Knopf "Hinzufügen", und im Standardauswahlfenster wähle ich die lokale Gruppe aus „Für Kollegen zum Nachlesen“. Wie Sie mit dem Auswahlfenster arbeiten, wird im Artikel ausführlich beschrieben.

Als Ergebnis aller Aktionen habe ich die Gruppe „Kollegen zum Lesen“ zur Liste der Grundrechte hinzugefügt und die Rechte für diese Gruppe wurden automatisch festgelegt „Lesen und ausführen“, „Den Inhalt des Ordners auflisten“, "Lektüre".

Alles was Sie tun müssen, ist den Knopf zu drücken "OK" und Rechte werden vergeben. Jetzt jeder Benutzer, der zur lokalen Sicherheitsgruppe gehört „Lesung für Kollegen“ wird in der Lage sein, den gesamten Inhalt des Ordners zu lesen "FOTO".

Beispiel 2: Benutzern persönlichen Zugriff auf ihre Unterordner in einem Ordner gewähren.

Diese Situation kommt auch in der Praxis häufig vor. Beispielsweise verfügen Sie über einen Ordner für neu gescannte Dokumente. In diesem Ordner hat jeder Benutzer seinen eigenen Unterordner. Nach dem Scannen wird das Dokument vom Benutzer aus seinem Unterordner übernommen. Die Aufgabe besteht darin, Rechte zu vergeben, sodass jeder Benutzer nur den Inhalt seines eigenen Unterordners sieht und nicht auf den Unterordner eines Kollegen zugreifen kann.

Für dieses Beispiel formuliere ich die Aufgabe etwas um. Nehmen wir an, wir haben es ein freigegebener Ordner "FOTO", in dem es für jeden Benutzer einen Unterordner gibt. Es ist notwendig, die Rechte so zu konfigurieren, dass der Benutzer alle Rechte in seinem Unterordner hat und die Unterordner anderer Benutzer für ihn nicht zugänglich sind.

Für dieses Setup wiederhole ich alle Schritte aus dem ersten Beispiel vollständig. Durch die Wiederholung erhalte ich Rechte für die gesamte Gruppe „Für Kollegen zum Nachlesen“ um alle Unterordner zu lesen. Meine Aufgabe ist es aber, nur „meinen“ Unterordner für den Benutzer sichtbar zu machen. Deshalb klicke ich im Grundrechtefenster auf die Schaltfläche "Zusätzlich"


und gehe zum Sonderrechtefenster, in dem ich die Gruppe auswähle „Für Kollegen zum Nachlesen“ und drücken Sie die Taste "Ändern"

Im sich öffnenden Fenster ändere ich die Vererbungsregeln und nicht den Wert im Feld "Anwenden:" Ich wähle den Wert „Nur für diesen Ordner“.

Das ist das meiste Schlüsselmoment dieses Beispiel. Bedeutung „Nur für diesen Ordner“ bewirkt Leseberechtigungen für die Gruppe „Für Kollegen zum Nachlesen“ gelten nur für das Stammverzeichnis des Ordners "FOTO", aber nicht in Unterordner. Somit kann jeder Benutzer auf seinen eigenen Ordner zugreifen, aber nicht in den benachbarten Ordner schauen; er hat kein Recht, Unterordner anzuzeigen. Wenn Sie der Gruppe dieses Recht überhaupt nicht gewähren, können Benutzer überhaupt nicht auf ihre Unterordner zugreifen. Das Dateisystem lässt sie nicht einmal in den Ordner zu "FOTO".

Dadurch können Benutzer auf den Ordner zugreifen "FOTO" aber sie können nicht weiter in die Unterordner vordringen!

Klicken Sie im Fenster „Sonderrechte“ auf "OK" und gehen Sie zum vorherigen Fenster, jetzt in der Spalte "Gelten" gegenüber der Gruppe „Für Kollegen zum Nachlesen“ den Wert wert „Nur für diesen Ordner“.

Klicken Sie in alle Fenster "OK" und wir gehen raus.

Alle. Jetzt müssen nur noch die persönlichen Rechte für jeden Unterordner konfiguriert werden. Dies muss für jeden Unterordner erfolgen; die Rechte sind für jeden Benutzer persönlich.

Sie haben im ersten Beispiel bereits alle notwendigen Aktionen durchgeführt. Wiederholen wir, was wir besprochen haben :)

In einem Unterordner „Benutzer1“ Ich klicke mit der rechten Maustaste und wähle den Menüpunkt aus "Eigenschaften", gehe zu Lesezeichen "Sicherheit". Ich drücke den Knopf "Hinzufügen"

und im Standardauswahlfenster wähle ich einen Domänenbenutzer mit dem Namen aus „Benutzer1“.

Es bleibt nur noch das Häkchen für das Berechtigungsrecht zu setzen "Ändern". In diesem Fall das Kontrollkästchen für das Erlaubnisrecht "Aufzeichnen" wird automatisch installiert.

Klicken "OK". Lasst uns gehen. Es bleibt übrig, ähnliche Schritte für alle Unterordner zu wiederholen.

Beispiel 3. Gewährung von persönlichem Schreibzugriff auf seinen Unterordner für einen Benutzer bei gleichzeitigem Verbot von Änderungen oder Löschungen.

Ich verstehe, dass es schwierig klingt, aber ich werde versuchen, es zu erklären. Ich nenne diese Art des Zugriffs einen Riegel. Im Alltag haben wir eine ähnliche Situation mit Gewöhnlichen per Briefkasten, in die wir Papierbriefe werfen. Diese. Sie können einen Brief in einen Briefkasten werfen, aber Sie können ihn nicht aus dem Briefkasten herausnehmen. In der Informatik kann dies nützlich sein, wenn Ihnen jemand einen Bericht in einen Ordner schreibt. Diese. die Datei wird zwar vom Benutzer geschrieben, dieser kann dann aber mit dieser Datei nichts mehr anfangen. So können Sie sicher sein, dass der Ersteller den übermittelten Bericht nicht mehr ändern oder löschen kann.

Wie im vorherigen Beispiel wiederholen wir alle Schritte, außer dass wir dem Benutzer nicht sofort die vollen Rechte für seinen Ordner erteilen, sondern zunächst in den Grundberechtigungen nur Lesezugriff gewähren und auf die Schaltfläche klicken "Zusätzlich"

Wählen Sie im sich öffnenden Fenster aus „Benutzer1“ und drücken Sie die Taste "Ändern"

Im sich öffnenden Fenster sehen wir Standard-Leseberechtigungen

Um dem Benutzer das Recht zum Erstellen von Dateien zu geben, setzen Sie die Berechtigung rechts „Dateien erstellen/Daten schreiben“, und rechts „Unterordner und Dateien löschen“ Und "Löschen" Wir haben ein Verbot verhängt. Wir belassen die Vererbung als Standard „Für diesen Ordner, seine Unterordner und Dateien“.

Nach dem Drücken der Taste "OK" Wenn Sie zum vorherigen Fenster zurückkehren, können Sie erhebliche Änderungen sehen. Anstelle eines Eintrags für „Benutzer1“ zwei erschienen.

Dies liegt daran, dass es zwei Arten von Rechten gibt: das eine verbietet, sie stehen an erster Stelle in der Liste, das andere ist permissiv, sie stehen an zweiter Stelle in der Liste. Da Sonderrechte nicht standardmäßig sind, in der Spalte "Erlaubnis" den Wert wert "Besonders". Wenn die Taste gedrückt wird "OK" Es erscheint ein Fenster, in dem Windows darauf hinweist, dass es verbotene Rechte gibt und dass sie mehr haben hohe Priorität. Übersetzt bedeutet dies die gleiche Situation bei einer selbstschließenden Tür, deren Schlüssel sich im Inneren befinden. Eine ähnliche Situation habe ich im zweiten Beispiel beschrieben.

Alle. Rechte wurden festgelegt. Jetzt „Benutzer1“ kann jede Datei in ihren Ordner schreiben und öffnen, aber nicht ändern oder löschen.

Aber wie sieht es mit der vollständigen Analogie zu einem echten Briefkasten aus?

Um zu verhindern, dass der Benutzer die aufgezeichnete Datei öffnet oder kopiert, müssen Sie Folgendes tun. Wieder öffnen wir die Genehmigung von Sonderberechtigungen für „Benutzer1“, und auf dem Feld "Anwenden:"Ändern Sie den Wert in „Nur für diesen Ordner“

In diesem Fall hat der Benutzer kein Recht, die Datei zu lesen oder zu kopieren.

Alle. Jetzt ist die Analogie mit einem physischen Postfach fast vollständig. Er kann nur die Namen der Dateien, ihre Größe und Attribute sehen, aber nicht die Datei selbst.

Aktuelle Rechte anzeigen.

Ich möchte gleich sagen, dass die Möglichkeit, die aktuellen Rechte für einen Ordner oder eine Datei einzusehen, eine reine Fiktion ist. Meiner Meinung nach sollten solche Tools garantierte Informationen liefern. Dies ist hier nicht der Fall. Microsoft selbst gibt zu, dass dieses Tool viele Faktoren, die sich auf die daraus resultierenden Rechte auswirken, wie beispielsweise Anmeldebedingungen, nicht berücksichtigt. Daher ist die Verwendung eines solchen Tools nur eine Selbsttäuschung hinsichtlich der tatsächlichen Rechte.

Der ganz am Anfang des Artikels beschriebene Fall mit dem Verbot, eine Datei aus einem Ordner zu löschen, ist in diesem Fall sehr aussagekräftig. Wenn Sie eine ähnliche Situation simulieren und sich die Rechte einer Datei ansehen, die vor dem Löschen geschützt ist, werden Sie feststellen, dass die Löschrechte der Datei verboten sind. Das Löschen dieser Datei ist jedoch nicht schwierig. Warum Microsoft das getan hat, weiß ich nicht.

Wenn Sie sich dennoch dazu entschließen, sich die aktuellen Rechte anzusehen, müssen Sie dazu auf die Schaltfläche im Fenster „Grundrechte“ klicken "Zusätzlich", und gehen Sie im Fenster „Sonderrechte“ zur Registerkarte „Gültige Genehmigungen“.

Dann müssen Sie den Knopf drücken "Wählen" und wählen Sie im Standardauswahlfenster den gewünschten Benutzer oder die gewünschte Gruppe aus.

Nach der Auswahl können Sie „ungefähre“ gültige Berechtigungen sehen.

Abschließend möchte ich sagen, dass das Thema NTFS-Dateisystemrechte sehr umfangreich ist; die obigen Beispiele sind nur ein sehr kleiner Teil dessen, was getan werden kann. Wenn Sie Fragen haben, stellen Sie diese daher in den Kommentaren zu diesem Artikel. Ich werde versuchen, sie zu beantworten.

Wie aktiviere ich die Aufnahme?

Antwort des Meisters:

Viele Benutzer mit einem eingeschränkten Konto sind mit Problemen konfrontiert, die beim Schreiben von Dateien auf Wechseldatenträger auftreten. Solche Probleme können natürlich auftreten, wenn das Flash-Laufwerk nicht richtig funktioniert oder Probleme bei der Formatierung auftreten.

Wenn beim Schreiben auf das verwendete Laufwerk ein Problem auftritt und der Benutzer über ein eingeschränktes Konto auf dem Computer verfügt, müssen Sie den Parameter ändern, der das Schreiben verhindert. Gehen Sie dazu nach dem Herunterladen zu Betriebssystem mit Rechten und unter dem Konto „Administrator“. Jetzt müssen Sie Ihre Kontoeinstellungen ändern, damit das Konto mit eingeschränkten Funktionen Informationen auf Wechselmedien kopieren kann.

Jetzt müssen Sie nur noch die Änderungen übernehmen und die Fenster mit der Schaltfläche „OK“ schließen. Melden Sie sich nach dem Neustart des PCs, der erforderlich ist, damit die Änderungen wirksam werden, mit Ihrem eingeschränkten Konto wieder beim Betriebssystem an Konto. Kopieren Sie testweise eine Datei auf Ihren Wechseldatenträger.

Es kommt vor, dass ein Flash-Laufwerk absichtlich vor dem Schreiben geschützt ist. Um dies zu vermeiden, überlegen Sie sorgfältig, wie sich der kleine Schalter an der Seite des Flash-Laufwerks befindet – er sollte sich in der entsperrten Position befinden. Am häufigsten sind solche Aktionen für Laufwerke erforderlich, die in Kameras, Telefonen, Playern und anderen Geräten mit SD- und SD-Karte verwendet werden MicroSD-Karten Erinnerung.

Auch der Kartenleserschalter erfordert besondere Aufmerksamkeit, wenn er als Adapter zum Anschluss eines Gerätes verwendet wird. Und das gilt auch für MicroSD-Adapter, die wie eine gewöhnliche SD-Karte geformt sind.

Finden Sie heraus, ob Ihre Flash-Karte passwortgeschützt ist? Wenn dies der Fall ist, muss es auf dem Gerät entsperrt werden, auf dem es auf dem Block platziert wurde. Wenn das Flash-Laufwerk gesperrt ist, können Sie nicht darauf schreiben.

Es kommt jedoch vor, dass andere, nicht geklärte Gründe die Aufnahme verhindern. Das bedeutet, dass das Flash-Laufwerk formatiert werden muss, und zwar nicht nur Standardprogramme unter Windows! Laden Sie dazu das Programm herunter und installieren Sie es auf Ihrem PC spezielle Dienstprogramme, entwickelt vom Hersteller des Flash-Laufwerks. Dienstprogramme helfen Ihnen beim Formatieren und Beheben von Fehlern auf einem Wechseldatenträger.



IN VERBINDUNG STEHENDE ARTIKEL