Informazioni tratte dal tredicesimo capitolo del libro "Windows 2000. Guida dell'amministratore". Di William R. Stanek.
Sui volumi con file system NTFS è possibile impostare autorizzazioni di sicurezza per file e cartelle. Queste autorizzazioni concedono o negano l'accesso a file e cartelle. Per visualizzare le autorizzazioni di sicurezza attuali, procedi come segue:
Comprendere le autorizzazioni di file e cartelle
La Tabella 13-3 mostra le autorizzazioni di base applicabili a file e cartelle.
Le autorizzazioni di base per i file sono Controllo completo, Modifica, Lettura ed esecuzione, Lettura e Scrittura.
Alle cartelle si applicano le seguenti autorizzazioni di base: Controllo completo, Modifica, Lettura ed esecuzione, Elenco contenuto cartella, Lettura e Scrittura.
Quando imposti le autorizzazioni per file e cartelle, tieni sempre presente quanto segue:
| Per eseguire gli script, devi solo avere l'autorizzazione di lettura. L'autorizzazione Esegui file (l'autorizzazione speciale Esegui file) è facoltativa. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Per accedere al collegamento e all'oggetto associato è necessaria l'autorizzazione di lettura. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| L'autorizzazione per scrivere su un file (autorizzazione speciale Scrivi dati) senza l'autorizzazione per eliminare un file (autorizzazione speciale Elimina) consente comunque all'utente di eliminare il contenuto del file. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Se un utente dispone dell'autorizzazione di controllo completo di base per una cartella, può eliminare qualsiasi file in quella cartella, indipendentemente dalle autorizzazioni su tali file. Tabella 13-3 - Autorizzazioni di base per file e cartelle in Windows 2000
Le autorizzazioni di base vengono create raggruppando autorizzazioni specifiche in gruppi logici, mostrati nella Tabella 13-4 (per i file) e 13-5 (per le cartelle). Autorizzazioni specifiche possono essere assegnate individualmente utilizzando le impostazioni avanzate. Quando impari a conoscere autorizzazioni specifiche per i file, considera quanto segue: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Se i diritti di accesso non sono definiti esplicitamente per un gruppo o un utente, l'accesso al file gli verrà negato. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Quando si calcolano le autorizzazioni effettive di un utente, vengono prese in considerazione tutte le autorizzazioni assegnate all'utente, nonché i gruppi di cui l'utente è membro. Ad esempio, se l'utente GeorgeJ ha accesso in lettura e allo stesso tempo è un membro del gruppo Techies, che ha accesso in modifica, di conseguenza l'utente GeorgeJ ha accesso in modifica. Se il gruppo Techies è incluso nel gruppo Administrators con controllo completo, GeorgeJ avrà il controllo completo del file. Tabella 13-4 – Autorizzazioni speciali sui file
La Tabella 13-5 mostra le autorizzazioni specifiche utilizzate per creare autorizzazioni di base per le cartelle. Quando impari a conoscere le autorizzazioni speciali per le cartelle, considera quanto segue: |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Quando imposti le autorizzazioni per una cartella principale, puoi far corrispondere gli elementi delle autorizzazioni di file e sottocartelle alle autorizzazioni della cartella principale corrente. Per fare ciò, è necessario selezionare la casella di controllo Reimposta autorizzazioni su tutti gli oggetti figlio e Abilita propagazione delle autorizzazioni ereditabili. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| I file creati ereditano alcune autorizzazioni dall'oggetto principale. Queste autorizzazioni vengono visualizzate come autorizzazioni predefinite per i file. Tabella 13-5 - Autorizzazioni speciali per le cartelle
|
Impostazione delle autorizzazioni per file e cartelle
Per impostare le autorizzazioni per file e cartelle, procedere come segue:
| 1. | Selezionare un file o una cartella e fare clic fare clic con il tasto destro topi. |
| 2. | IN menù contestuale selezionare squadra Proprietà e nella finestra di dialogo vai alla scheda Sicurezza, mostrato nella Figura 13-12.
|
| 3. | Sulla lista Nome elenca gli utenti o i gruppi che hanno accesso al file o alla cartella. Per modificare le autorizzazioni per questi utenti o gruppi, procedi come segue: Seleziona l'utente o il gruppo per il quale desideri modificare le autorizzazioni. Utilizza un elenco Autorizzazioni: per impostare o revocare le autorizzazioni. Consiglio. Le caselle di controllo delle autorizzazioni ereditate sono disattivate. Per sovrascrivere un'autorizzazione ereditata, modificala nel suo opposto. |
| 4. | Per impostare le autorizzazioni per utenti, contatti, computer o gruppi non elencati Nome, premi il bottone Aggiungere. Apparirà una finestra di dialogo come mostrato nella Figura 13-13.
|
| 5. | Utilizzare la finestra di dialogo Seleziona Utenti, Computer o Gruppi per selezionare gli utenti, i computer o i gruppi per i quali si desidera impostare le autorizzazioni di accesso. Questa finestra contiene i campi descritti di seguito: Guarda dentro Questo elenco a discesa ti consente di visualizzare gli account disponibili da altri domini. Incluso un elenco del dominio corrente, dei domini attendibili e di altre risorse disponibili. Per visualizzare tutti gli account in una cartella, seleziona Intera directory. Nome Questa colonna mostra gli account esistenti per il dominio o la risorsa selezionata. Aggiungere Questo pulsante aggiunge i nomi evidenziati all'elenco dei nomi selezionati. Controlla i nomi Questo pulsante consente di controllare i nomi di utenti, computer o gruppi nell'elenco dei nomi selezionati. Ciò può essere utile quando i nomi vengono immessi manualmente e vuoi assicurarti che siano corretti. |
| 6. | Sulla lista Nome evidenziare l'utente, il contatto, il computer o il gruppo da configurare, quindi selezionare o deselezionare le caselle di controllo nel Autorizzazioni: per determinare i diritti di accesso. Ripeti gli stessi passaggi per altri utenti, computer o gruppi. |
| 7. | Al termine, premere il pulsante OK. |
Controllo delle risorse di sistema
L'uso dell'auditing è Il modo migliore per tenere traccia degli eventi sui sistemi Windows 2000 Il controllo può essere utilizzato per raccogliere informazioni relative all'utilizzo di una risorsa. Esempi di eventi controllabili includono l'accesso ai file, l'accesso al sistema e le modifiche alla configurazione del sistema. Dopo aver abilitato il controllo di un oggetto, le voci vengono scritte nel registro di sicurezza del sistema ogni volta che viene effettuato un tentativo di accedere a questo oggetto. Il registro di sicurezza può essere visualizzato dallo snap-in Visualizzatore eventi.
Nota. Per modificare la maggior parte delle impostazioni di controllo, è necessario aver effettuato l'accesso come amministratore o membro del gruppo Amministratori oppure disporre di Gestisci il registro di controllo e di sicurezza nella politica di gruppo.
Impostazione delle politiche di controllo
L'applicazione delle politiche di audit migliora significativamente la sicurezza e l'integrità dei sistemi. Quasi ogni sistema informatico La rete deve essere configurata con la registrazione di sicurezza. La configurazione dei criteri di controllo è disponibile nello snap-in Politica di gruppo. Utilizzando questo componente, puoi impostare criteri di controllo per un intero sito, dominio o dipartimento. È inoltre possibile impostare criteri per workstation o server personali.
Dopo aver selezionato il contenitore Criteri di gruppo richiesto, è possibile configurare i criteri di controllo come segue:
| 1. | Come mostrato nella Figura 13-14, puoi trovare un nodo spostandoti verso il basso nell'albero della console: Configurazione del computer, Impostazioni di Windows, Impostazioni di sicurezza, Politiche locali, Politica di audit.
|
| 2. | Esistono le seguenti categorie di audit: Controlla gli eventi di accesso all'account tiene traccia degli eventi relativi all'accesso e al logout dell'utente. Gestione dei conti di controllo monitora tutti gli eventi relativi alla gestione dell'account, agli strumenti snap-in. Le voci di controllo vengono visualizzate quando gli account utente, computer o gruppo vengono creati, modificati o eliminati. Monitora gli eventi di accesso ad Active Directory. I record di controllo vengono creati ogni volta che utenti o computer accedono alla directory. Monitora gli eventi di accesso/disconnessione ed eliminati le connessioni di rete. Tiene traccia dell'utilizzo risorse di sistema file, directory, condivisioni e oggetti Active Directory. Modifica della politica di controllo Monitora le modifiche alle policy di assegnazione dei diritti utente, alle policy di controllo o alle policy di attendibilità. Tiene traccia di ogni tentativo da parte di un utente di esercitare un diritto o privilegio concessogli. Ad esempio, i diritti di archiviazione di file e directory. Nota. Politica Controlla l'utilizzo dei privilegi non tiene traccia degli eventi relativi all'accesso al sistema, come l'uso del diritto di accedere in modo interattivo al sistema o di accedere a un computer dalla rete. Questi eventi vengono monitorati utilizzando la policy Controlla gli eventi di accesso. Monitoraggio del processo di audit monitora i processi di sistema e le risorse che utilizzano. Controllare gli eventi del sistema Monitora gli eventi relativi all'accensione, al riavvio o allo spegnimento del computer, nonché gli eventi che incidono sulla sicurezza del sistema o si riflettono nel registro di sicurezza. |
| 3. | Per configurare una politica di controllo, fare doppio clic sulla politica desiderata o selezionare il comando nel menu contestuale della politica selezionata Proprietà. Successivamente, si aprirà una finestra di dialogo Impostazione dei criteri di sicurezza locali (Proprietà). |
| 4. | Selezionare la casella Definire queste impostazioni dei criteri. Quindi seleziona o deseleziona le caselle Successo E Fallimento. Il controllo di successo significa creare un record di controllo per ogni evento riuscito (ad esempio, un tentativo di accesso riuscito). Il controllo degli errori significa creare un record di controllo per ogni evento non riuscito (come un tentativo di accesso non riuscito). |
| 5. | Al termine, premere il pulsante OK. |
Controllo delle operazioni con file e cartelle
Se il criterio è abilitato Controlla l'accesso agli oggetti, è possibile utilizzare il controllo a livello di singole cartelle e file. Ciò ti consentirà di monitorare con precisione il loro utilizzo. Questa opportunità Disponibile solo su volumi con file system NTFS.
Per configurare il controllo di file e cartelle, procedere come segue:
| 1. | IN Esploratore ( Windows Explorer) seleziona il file o la cartella per cui desideri impostare il controllo. Nel menu contestuale, selezionare il comando Proprietà. |
| 2. | Vai alla scheda Sicurezza e quindi fare clic sul pulsante Inoltre (Avanzato). |
| 3. | Nella finestra di dialogo, vai alla scheda Revisione, mostrato nella Figura 13-15.
|
| 4. | Affinché le impostazioni di controllo vengano ereditate da un oggetto principale, è necessario selezionare la casella di controllo Consenti voci di controllo ereditabili dall'elemento principale da propagare a questo oggetto. |
| 5. | Per consentire agli oggetti secondari di ereditare le impostazioni di controllo dell'oggetto corrente, selezionare l'opzione Reimposta gli elementi di controllo per tutti gli oggetti secondari e abilita la migrazione degli elementi di controllo ereditati (Reimposta le voci di controllo su tutti gli oggetti secondari e abilita la propagazione delle voci di controllo ereditabili). |
| 6. | Utilizza un elenco Rimuovere. |
| 7. | Aggiungere per visualizzare una finestra di dialogo OK, Apparirà una finestra di dialogo Elemento di controllo per Nome della cartella o del file , mostrato nella Figura 13-16. Nota. Se vuoi tenere traccia delle azioni di tutti gli utenti, utilizza un gruppo speciale Tutti. In altri casi, seleziona singoli utenti o gruppi in qualsiasi combinazione per il controllo.
|
| 8. | Applicare su. |
| 9. | Seleziona le caselle Riuscito e/o Fallito per gli eventi di audit richiesti. Il controllo di successo significa creare un record di controllo per un evento riuscito (ad esempio, una lettura di file riuscita). Il controllo degli errori significa creare un record di controllo per un evento non riuscito (ad esempio, un tentativo fallito di eliminare un file). Gli eventi per il controllo sono gli stessi delle autorizzazioni speciali (Tabelle 13-4 e 13-5) ad eccezione della sincronizzazione di file e cartelle offline, che non può essere controllata. |
| 10. | Al termine, premere il pulsante OK. Ripetere questi passaggi per configurare il controllo di altri utenti, gruppi o computer. |
Controllo degli oggetti directory di Active Directory
Se il criterio è abilitato Controllare l'accesso al servizio directory, è possibile utilizzare il controllo a livello di oggetto di Active Directory. Ciò ti consentirà di monitorare con precisione il loro utilizzo.
Per configurare il controllo degli oggetti, procedere come segue:
| 1. | In un attimo Utenti e computer di Active Directory selezionare il contenitore dell'oggetto. |
| 2. | Fare clic con il tasto destro del mouse sull'oggetto da controllare e selezionare il comando dal menu contestuale Proprietà. |
| 3. | Vai alla scheda Sicurezza e premere il pulsante Inoltre (Avanzato). |
| 4. | Vai alla scheda Revisione la finestra di dialogo Impostazioni di controllo dell'accesso. Affinché le impostazioni di controllo vengano ereditate da un oggetto principale, è necessario selezionare la casella di controllo Consenti voci di controllo ereditabili dall'elemento principale da propagare a questo oggetto. |
| 5. | Utilizza un elenco Voci di controllo per selezionare utenti, computer o gruppi le cui attività verranno monitorate. Per rimuovere un account da questo elenco, selezionalo e fai clic sul pulsante Rimuovere. |
| 6. | Per aggiungere un account, fare clic sul pulsante Aggiungere. Apparirà una finestra di dialogo Seleziona Utenti, Contatti, Computer o Gruppi, in cui selezionare l'account da aggiungere. Quando premi OK, Apparirà una finestra di dialogo Elemento di controllo per Nome della cartella o del file(Voce di controllo per la nuova cartella). |
| 7. | Se è necessario specificare oggetti a cui applicare le impostazioni di controllo, utilizzare l'elenco a discesa Applicare su. |
| 8. | Seleziona le caselle Riuscito e/o Fallito per gli eventi di audit richiesti. Il controllo di successo significa creare un record di controllo per ogni evento di successo (ad esempio, una lettura di file riuscita). Il controllo degli errori significa creare un record di controllo per ogni evento di errore (ad esempio, un tentativo fallito di eliminare un file). |
| 9. | Al termine, premere il pulsante OK. Ripeti questi passaggi per impostare il controllo di altri utenti, contatti, gruppi o computer. |
Materiale tratto dal libro "Windows 2000. Guida dell'amministratore". Di William R. Stanek. © Microsoft Corporation, 1999. Tutti i diritti riservati.
Il file system NTFS consente di configurare le autorizzazioni di accesso a singole cartelle o file per singoli utenti. Hai il diritto di configurare l'accesso a cartelle/file nel modo che preferisci: bloccare l'accesso ai tuoi file per alcuni utenti e aprire l'accesso ad altri utenti. In questo caso, il primo potrà lavorare con i tuoi documenti e il secondo vedrà una finestra con il messaggio “ Accesso al file negato". Ma le possibilità di impostare l'accesso a cartelle/file non si limitano solo alla possibilità o meno degli utenti di accedere ai tuoi documenti. È possibile specificare le autorizzazioni di accesso. Pertanto, alcuni utenti potranno solo leggere il documento, mentre altri potranno modificarlo.
Come aprire o bloccare l'accesso a file o cartelle in Windows?
Per configurare i diritti di accesso a un file/cartella, è necessario selezionare Proprietà nel menu contestuale di questo file/cartella. Nella finestra che si apre, vai alla scheda Sicurezza. Successivamente, ti vengono presentati due modi per configurare i diritti di accesso.
- premi il bottone Modifica. Quindi vediamo la seguente immagine:
In questa finestra possiamo aggiungere o rimuovere un utente o un intero gruppo di utenti per i quali vogliamo configurare i diritti di accesso a questo oggetto. Per questi scopi è necessario utilizzare i pulsanti Aggiungere E Eliminare. Dopo aver selezionato gli utenti per i quali desideri configurare i diritti di accesso appropriati, selezionali uno per uno e assegna i diritti appropriati in base ai vari . Per consentire o, al contrario, negare l'accesso, è necessario selezionare le caselle corrispondenti. Per salvare le modifiche, fare clic Fare domanda a, Poi OK. - premi il bottone Inoltre. Questa finestra fornisce caratteristiche aggiuntive sull'impostazione dei diritti di accesso a un oggetto.
La funzionalità presentata nel primo paragrafo è contenuta nella scheda Autorizzazioni. Utilizzando i pulsanti Aggiungere E Eliminare Puoi aggiungere utenti all'elenco o rimuoverli di conseguenza. Per impostare i permessi appropriati per l'utente selezionato o , è necessario utilizzare il pulsante Modifica.
Nel menu a discesa è possibile selezionare il tipo di autorizzazione (consentire o negare) e, nel caso delle cartelle, è possibile selezionare l'ambito di queste regole. Come puoi vedere, questa finestra fornisce lo stesso all'oggetto. Ma se premi il pulsante Mostra autorizzazioni aggiuntive, quindi ne riceverai di interi.
La selezione delle autorizzazioni appropriate viene effettuata aggiungendo un segno di spunta accanto alla voce appropriata.
Tab Controllo consente di configurare la documentazione di vari tentativi di accesso a un file/cartella. Pertanto, puoi ricevere una notifica ogni volta che qualcuno apre con successo o senza successo una cartella/file, quando qualcuno cambia il nome o il contenuto di un documento e così via. Puoi controllare sia le azioni riuscite che quelle non riuscite. Per il controllo è anche possibile configurarne l'ambito. I dati documentati possono essere visualizzati in Registro eventi.
Tab Diritti di accesso effettivi mostrerà i diritti di accesso a questo oggetto per l'utente selezionato.
Consentire o negare l'accesso?
Prima di iniziare a selezionare le caselle per qualsiasi utente, è opportuno sapere quanto segue: le autorizzazioni devono essere configurate esplicitamente. Ciò significa che è necessario ottenere un'autorizzazione esplicita per accedere all'oggetto. Ma per impedire l'accesso a un oggetto è sufficiente non assegnare alcuna autorizzazione. Dopotutto, se non hai specificato esplicitamente l'autorizzazione di accesso, l'utente non sarà in grado di accedere a questo oggetto. Sorge quindi una domanda ragionevole: perché è necessario un tipo di autorizzazione? Vietare? E per questo devi conoscere altre due regole:
- Tipo di autorizzazione Vietare ha la precedenza sul tipo Permettere.
- I risultati finali per l'utente si ottengono sommando tutte le regole di accesso per un dato oggetto.
Se non ci dovrebbero essere domande sul primo punto, il secondo richiede una spiegazione. Diamo un'occhiata ad un esempio: se nella cartella pappa utente normale utente ha l'autorizzazione di lettura-scrittura e il gruppo Utenti disporre dell'autorizzazione di sola lettura per la cartella pappa, quindi i diritti di accesso finali per l'utente utente consentirà sia la lettura che la scrittura su questa cartella, il che è contrario alla politica secondo cui gli utenti possono solo leggere questa cartella. Questo è il motivo per cui è necessario il tipo di autorizzazione Vietare. Se, secondo una politica, un utente dovrebbe avere accesso a un file, ma non secondo un'altra, allora è necessario negare esplicitamente l'accesso al file, perché altrimenti lo avrà, e questo contraddice la seconda politica.
È proprio per facilitare la sommatoria di tutte le regole di accesso ad un oggetto che esiste la scheda Diritti di accesso effettivi.
Utenti, amministratori, utenti autenticati, ecc.
In aggiunta a tutto quanto sopra, devi sapere che tutti gli utenti, indipendentemente dai diritti di accesso configurati, sono inclusi nel gruppo per impostazione predefinita Utenti. E per impostazione predefinita, gli utenti di questo gruppo hanno accesso in lettura e modifica a tutti gli oggetti (ad eccezione di alcuni oggetti del sistema operativo). Ma gli utenti del gruppo Amministratori per impostazione predefinita hanno pieno accesso a tutti gli oggetti di sistema. Al gruppo utenti Verificato include tutti gli utenti che hanno effettuato l'accesso. I loro permessi di accesso sono approssimativamente uguali a quelli degli utenti normali.
Sapendo questo, puoi risparmiarti il lavoro inutile di garantire l'accesso completo a un utente specifico con diritti amministrativi o impostare diritti di accesso in lettura e scrittura per un utente standard. Tutto questo è già stato fatto.
Inoltre, non dovresti rimuovere i gruppi di cui sopra dai diritti di accesso a nessun oggetto. Inoltre, non dovresti negare l'accesso a questi gruppi. Anche se sei un utente con diritti di amministratore, negherai l'accesso al gruppo Utenti a qualsiasi oggetto ti colpirà senza tante cerimonie al collo, poiché anche tu sei un utente di questo gruppo. Quindi fai attenzione e non provare a modificare le impostazioni predefinite.
Computer che eseguono sistemi operativi Sistemi Windows, può funzionare con vari file system come FAT32 e NTFS. Senza entrare nelle somiglianze, possiamo dire una cosa: differiscono nella cosa principale: il file system NTFS consente di configurare le impostazioni di sicurezza per ciascun file o cartella (directory). Quelli. per ogni file o cartella, il file system NTFS memorizza le cosiddette ACL (Access Control List), che elencano tutti gli utenti e i gruppi che dispongono di determinati diritti di accesso questa vita o cartella. Il file system FAT32 non dispone di questa funzionalità.
Nel file system NTFS, ogni file o cartella può avere i seguenti diritti di sicurezza:
- Lettura— Consente di sfogliare le cartelle e visualizzare un elenco di file e sottocartelle, visualizzare e accedere ai contenuti dei file;
- Documentazione— Consente di aggiungere file e sottocartelle, scrivere dati in un file;
- Leggi ed esegui— Consente di sfogliare le cartelle e visualizzare un elenco di file e sottocartelle, consente di visualizzare e accedere al contenuto di un file, nonché di avviare un file eseguibile;
- Elenco dei contenuti della cartella— Consente di sfogliare le cartelle e visualizzare solo l'elenco dei file e delle sottocartelle. Questa autorizzazione non fornisce l'accesso al contenuto del file!;
- Modifica— Consente di visualizzare il contenuto e creare file e sottocartelle, eliminare una cartella, leggere e scrivere dati su un file, eliminare un file;
- Accesso completo- Consente la visualizzazione del contenuto, nonché la creazione, la modifica e l'eliminazione di file e sottocartelle, la lettura e la scrittura di dati, nonché la modifica e l'eliminazione di un file
I diritti sopra elencati sono fondamentali. I diritti fondamentali sono costituiti da diritti speciali. I diritti specifici sono diritti più dettagliati da cui si formano i diritti fondamentali. L'utilizzo dei diritti speciali offre molta flessibilità durante l'impostazione dei diritti di accesso.
Elenco dei diritti di accesso speciali a file e cartelle:
- Sfoglia cartelle/Esegui file— Consente la navigazione attraverso la struttura delle cartelle alla ricerca di altri file o cartelle, l'esecuzione di file;
- Contenuto della cartella/Dati di lettura— Permette di visualizzare i nomi di file o sottocartelle contenuti in una cartella, leggendo i dati da un file;
- Attributi di lettura— Consente la visualizzazione di attributi di file o cartelle come "Sola lettura" e "Nascosto";
- Lettura di attributi aggiuntivi— Consente di visualizzare attributi aggiuntivi di un file o di una cartella;
- Creazione di file/scrittura di dati— Consente di creare file in una cartella (si applica solo alle cartelle), di apportare modifiche a un file e di sovrascrivere il contenuto esistente (si applica solo ai file);
- Creazione di cartelle/Aggiunta di dati— Consente la creazione di cartelle all'interno di una cartella (si applica solo alle cartelle), aggiungendo dati alla fine del file, ma non modificando, eliminando o sostituendo i dati esistenti (applicabile solo ai file);
- Attributi di registrazione— Consente o vieta la modifica degli attributi di file o cartelle come "Sola lettura" e "Nascosto";
- Scrittura di attributi aggiuntivi— Consente o vieta la modifica di attributi aggiuntivi di un file o di una cartella;
- Eliminazione di sottocartelle e file— Consente l'eliminazione di sottocartelle e file anche se non è disponibile l'autorizzazione "Elimina" (si applica solo alle cartelle);
- Rimozione— Consente l'eliminazione di un file o di una cartella. Se un file o una cartella non dispone dell'autorizzazione Elimina, l'oggetto può comunque essere eliminato se la cartella principale dispone dell'autorizzazione Elimina sottocartelle e file;
- Permessi di lettura- Consente permessi di lettura su un file o una cartella come "Controllo completo", "Lettura" e "Scrittura";
- Modifica delle autorizzazioni— Consente di modificare le autorizzazioni per l'accesso a un file o una cartella, come "Controllo completo", "Lettura" e "Scrittura";
- Cambio di proprietario— Ti consente di assumere la proprietà di un file o di una cartella;
- Sincronizzazione- Consente a diversi thread di attendere file o cartelle e di sincronizzarli con altri thread che potrebbero occuparli. Questa autorizzazione si applica solo ai programmi in esecuzione in modalità multithread con più processi;
!!!Tutti i diritti fondamentali e speciali sono sia permissivi che proibitivi.
Tutte le autorizzazioni per file e cartelle sono divise in due tipi: esplicite ed ereditate. Il meccanismo dell'ereditarietà prevede il trasferimento automatico di qualcosa da un oggetto genitore a un oggetto figlio. In un file system, ciò significa che qualsiasi file o cartella può ereditare i propri diritti dalla cartella principale. Si tratta di un meccanismo molto comodo che elimina la necessità di assegnare diritti espliciti a tutti i file e le cartelle appena creati. Immagina di avere diverse migliaia di file e cartelle su un disco, come puoi distribuire i diritti di accesso a tutti, sederti e assegnarli a ciascuno? NO. Qui entra in gioco il meccanismo dell’ereditarietà. Abbiamo creato una cartella nella radice del disco, la cartella ha ricevuto automaticamente esattamente gli stessi diritti della radice del disco. Modificate le autorizzazioni per la cartella appena creata. Quindi, all'interno della cartella creata, hanno creato un'altra sottocartella. Questa sottocartella appena creata avrà i diritti ereditati dalla cartella principale, ecc. e così via.
Il risultato dell'applicazione dei diritti espliciti ed ereditati saranno i diritti effettivi su una cartella o un file specifico. Ci sono molte insidie. Ad esempio, hai una cartella in cui consenti all'utente "Vasya" di eliminare i file. Quindi ricordi che in questa cartella c'è un file molto importante che Vasya non dovrebbe in nessun caso eliminare. Hai impostato un divieto esplicito su un file importante (diritto di divieto speciale "Eliminare"). Sembrerebbe che il lavoro sia finito, il file è chiaramente protetto dalla cancellazione. E Vasya entra con calma nella cartella ed elimina questo file super protetto. Perché? Perché Vasya ha i diritti di eliminazione dalla cartella principale, che in questo caso hanno la priorità.
Cerca di non utilizzare l'assegnazione dei diritti direttamente ai file; assegna i diritti alle cartelle.
!!! Prova ad assegnare i diritti solo ai gruppi, questo semplifica notevolmente l'amministrazione. L'assegnazione dei diritti a utenti specifici non è consigliata da Microsoft. Non dimenticare che un gruppo può includere non solo utenti, ma anche altri gruppi.
Per esempio. Se il computer è incluso in un dominio, il gruppo “Domain Users” viene automaticamente aggiunto al suo gruppo locale “Users” e il gruppo “Domain Admins” viene automaticamente aggiunto al gruppo locale “Administrators” e di conseguenza, assegnando eventuali i diritti sulle cartelle a un gruppo di utenti locali, i diritti vengono assegnati automaticamente a tutti gli utenti del dominio.
Non scoraggiatevi se tutto quanto sopra descritto non risulta immediatamente chiaro. Esempi e lavoro indipendente correggeranno rapidamente la situazione!
Andiamo allo specifico.
Mostrerò tutti gli esempi per esempio Finestre di Windows XP. In Windows 7 e versioni successive, l'essenza è rimasta identica, solo che c'erano leggermente più finestre.
Pertanto, per assegnare o modificare i diritti su un file o una cartella, è necessario fare clic con il pulsante destro del mouse sul file o sulla cartella desiderati in Explorer e selezionare la voce di menu "Proprietà"
Dovrebbe aprirsi una finestra con un segnalibro. "Sicurezza"
Se non è presente alcun segnalibro di questo tipo, procedere come segue. Avvia Explorer, quindi apri il menu "Servizio"—"Proprietà della cartella..."
Nella finestra che si apre, vai alla scheda "Visualizza" e deseleziona l'opzione "Usa semplice accesso generale ai file (consigliato)"
Questo è tutto, ora tutte le proprietà sono a tua disposizione file system NTFS.
Ritornando al segnalibro "Sicurezza".
Nella finestra che si apre sono a nostra disposizione molte informazioni. C'è un elenco in alto "Gruppi e utenti:", che elenca tutti gli utenti e i gruppi che hanno diritti di accesso a questa cartella (freccia 1). L'elenco inferiore mostra i permessi per l'utente/gruppo selezionato (freccia 2). In questo caso è l'utente SYSTEM. Questo elenco di autorizzazioni mostra le autorizzazioni di base. Si prega di notare che nella colonna "Permettere" i segni di spunta sono di colore sbiadito e non possono essere modificati. Ciò indica che questi diritti vengono ereditati dalla cartella principale. Anche in questo caso, tutti i diritti dell'utente SYSTEM sulla cartella "Lavorando" sono completamente ereditati dalla cartella principale e l'utente SYSTEM ha tutti i diritti ( "Accesso completo")
Evidenziando il gruppo o l'utente desiderato nell'elenco, possiamo visualizzare i diritti di base per questo gruppo o utente. Selezionando l'utente "Utente ospite ( [e-mail protetta])»
puoi vedere che ha tutti i diritti espliciti 
Ecco il gruppo "Utenti (KAV-VM1\Utenti" ha diritti combinati, alcuni di essi sono ereditati dalla cartella principale (quadrati grigi a fronte "Leggi ed esegui", "Elenca il contenuto della cartella", "Lettura"), e una parte di esso è stabilita esplicitamente: questo è il diritto "Modifica" E "Documentazione"
!!!Attenzione. Prestare attenzione ai nomi degli utenti e dei gruppi. L'appartenenza al gruppo o all'utente è indicata tra parentesi. I gruppi e gli utenti possono essere locali, ad es. creato direttamente su questo computer o può essere un dominio. In questo caso il gruppo "Amministratori" local, poiché la voce tra parentesi indica il nome del computer KAV-VM1, e dopo la barra c'è il nome del gruppo stesso. Al contrario, l'utente "Utente ospite"è un utente del dominio btw.by, ciò è indicato dal record del nome completo [e-mail protetta]
Spesso, quando si visualizzano o si modificano i diritti, è possibile limitarsi alla finestra con i diritti di base, ma a volte questo non è sufficiente. È quindi possibile aprire una finestra in cui è possibile modificare autorizzazioni specifiche, modificare il proprietario o visualizzare le autorizzazioni correnti. Come farlo? Fare clic sul pulsante "Inoltre". Si apre questa finestra 
In questa finestra nella tabella "Elementi di autorizzazione" Vengono elencati tutti gli utenti che dispongono dei diritti su questa cartella. Allo stesso modo delle autorizzazioni di base, evidenziamo l'utente o il gruppo desiderato e facciamo clic sul pulsante "Modifica". Si apre una finestra che mostra eventuali autorizzazioni speciali per l'utente o il gruppo selezionato 
Analogamente alle autorizzazioni di base, le autorizzazioni speciali ereditate da una cartella principale appariranno in grigio sbiadito e non saranno modificabili. 
Come avrai già notato, nella finestra dei permessi speciali sono presenti diverse righe per alcuni utenti o gruppi. 
Ciò accade perché un utente o un gruppo può avere diversi tipi di diritti: espliciti ed ereditati, consentendo o negando, diversi nel tipo di ereditarietà. In questo caso, i diritti di lettura per il gruppo Utenti vengono ereditati dalla cartella principale e i diritti di modifica vengono aggiunti esplicitamente.
Esempi di assegnazione di diritti.
!!! Tutti gli esempi progrediranno con crescente complessità. Leggili e comprendili nello stesso ordine in cui compaiono nel testo. Ometterò azioni simili negli esempi successivi per ridurre il volume del testo. 🙂
Esempio 1: concessione dell'accesso in sola lettura a una cartella a uno specifico gruppo di sicurezza locale.
Per prima cosa creiamo un gruppo locale, che includerà l'intero elenco di utenti di cui abbiamo bisogno. È possibile senza un gruppo, ma dovrai configurare i diritti per ciascun utente separatamente e ogni volta che dovrai concedere diritti a una nuova persona, dovrai ripetere tutte le operazioni. E se i diritti verranno concessi gruppo locale, quindi per configurare una nuova persona avrai bisogno di una sola azione: includere questa persona nel gruppo locale. Come creare un gruppo di sicurezza locale può essere trovato nell'articolo "Configurazione dei gruppi di sicurezza locali".
COSÌ. Abbiamo creato un gruppo di sicurezza locale denominato "Colleghi per la lettura" 
a cui abbiamo aggiunto tutti gli utenti necessari. 
Ora sto configurando i diritti di accesso alla cartella. In questo esempio, darò i diritti di accesso al gruppo creato "Colleghi per la lettura" alla cartella "Foto".
Fare clic con il tasto destro sulla cartella "FOTO" e seleziona una voce di menu "Proprietà", vai ai segnalibri "Sicurezza".
Nel segnalibro aperto "Sicurezza" vengono visualizzate le autorizzazioni della cartella corrente "FOTO". Evidenziando gruppi e utenti nell'elenco, puoi vedere che i diritti di questa cartella sono ereditati dalla cartella principale (segni di spunta grigi nella colonna "Permettere"). In questa situazione, non voglio che nessun altro oltre al gruppo appena creato abbia accesso alla cartella "FOTO".
Pertanto, devo rimuovere l'ereditarietà dei diritti e rimuovere gli utenti e i gruppi non necessari dall'elenco. Premo il pulsante "Inoltre". Nella finestra che si apre, 
Deseleziona la casella “Eredita i permessi applicabili agli oggetti figlio dall'oggetto genitore, aggiungendoli a quelli esplicitamente specificati in questa finestra”. . Si aprirà una finestra in cui posso scegliere cosa fare con gli attuali diritti ereditati. 
Nella maggior parte dei casi consiglio di fare clic sul pulsante qui "Copia", perché se scegli "Eliminare", l'elenco dei diritti diventa vuoto e puoi effettivamente toglierti i diritti. Sì, non sorprenderti, è molto facile da fare. E se non sei un amministratore del tuo computer o non un utente del gruppo "Operatori di archivio", allora ti sarà impossibile ripristinare i tuoi diritti. La situazione è simile ad una porta con serratura automatica che si chiude lasciando le chiavi all'interno. Quindi è meglio premere sempre il pulsante "Copia", quindi eliminare ciò che non è necessario.
Dopo aver cliccato "Copia", Torno di nuovo alla finestra precedente, solo che questa volta con la casella deselezionata. 
Io premo "OK" e tornare alla finestra dei diritti di base. Tutti i diritti sono diventati disponibili per la modifica. Devo lasciare le autorizzazioni per il gruppo locale "Amministratori" e utente SISTEMA ed elimina il resto. Seleziono gli utenti e i gruppi non necessari uno per uno e faccio clic sul pulsante "Eliminare".
Di conseguenza, ottengo questa immagine. 
Ora tutto quello che devo fare è aggiungere il gruppo "Colleghi per la lettura" e assegnare i permessi di lettura a questo gruppo.
Premo il pulsante "Aggiungere", e nella finestra di selezione standard seleziono il gruppo locale "Colleghi per la lettura". Come lavorare con la finestra di selezione è descritto in dettaglio nell'articolo. 
Come risultato di tutte le azioni, ho aggiunto il gruppo "Colleghi di lettura" all'elenco dei diritti di base e i diritti per questo gruppo sono stati impostati automaticamente "Leggi ed esegui", "Elenca il contenuto della cartella", "Lettura".
Tutto quello che devi fare è premere il pulsante "OK" e i diritti vengono assegnati. Ora qualsiasi utente che appartiene al gruppo di sicurezza locale "Lettura per i colleghi" sarà in grado di leggere l'intero contenuto della cartella "FOTO".
Esempio 2: concessione agli utenti dell'accesso personale alle proprie sottocartelle in una cartella.
Questa situazione è comune anche nella pratica. Ad esempio, supponiamo che tu abbia una cartella per i nuovi documenti scansionati. In questa cartella, ogni utente ha la propria sottocartella separata. Dopo la scansione, il documento viene prelevato dall'utente dalla sua sottocartella. Il compito è assegnare i diritti in modo che ogni utente veda solo il contenuto della propria sottocartella e non possa accedere alla sottocartella di un collega.
Per questo esempio, riformulerò leggermente il compito. Supponiamo di averlo fatto una cartella condivisa "FOTO", in cui è presente una sottocartella per ciascun utente. È necessario configurare i diritti in modo che l'utente abbia tutti i diritti nella sua sottocartella e le sottocartelle di altri utenti gli siano inaccessibili. 
Per questa configurazione, ripeto completamente tutti i passaggi del primo esempio. Come risultato della ripetizione, ottengo i diritti per l'intero gruppo "Colleghi per la lettura" da leggere in tutte le sottocartelle. Ma il mio compito è rendere visibile all'utente solo la "mia" sottocartella. Pertanto, nella finestra dei diritti di base clicco sul pulsante "Inoltre"
e vado alla finestra dei diritti speciali, nella quale seleziono il gruppo "Colleghi per la lettura" e premere il pulsante "Modifica"
Nella finestra che si apre cambio le regole di ereditarietà, invece del valore nel campo "Fare domanda a:" Scelgo il valore "Solo per questa cartella".
Questo è il massimo momento chiave questo esempio. Senso "Solo per questa cartella" provoca autorizzazioni di lettura per il gruppo "Colleghi per la lettura" si applicano solo alla radice della cartella "FOTO", ma non nelle sottocartelle. In questo modo ogni utente potrà accedere alla propria cartella, ma non potrà consultare quella vicina, non avrà il diritto di visualizzare le sottocartelle; Se non concedi affatto questo diritto al gruppo, gli utenti non saranno in grado di accedere alle loro sottocartelle. Il file system non consentirà loro nemmeno di entrare nella cartella "FOTO".
Di conseguenza, gli utenti potranno accedere alla cartella "FOTO" ma non potranno addentrarsi ulteriormente nelle sottocartelle!
Nella finestra dei diritti speciali, fare clic su "OK" e vai alla finestra precedente, ora nella colonna "Applica a" di fronte al gruppo "Colleghi per la lettura" vale il valore "Solo per questa cartella".
Fare clic in tutte le finestre "OK" e usciamo.
Tutto. Ora non resta che configurare i diritti personali per ciascuna sottocartella. Questo dovrà essere fatto per ogni sottocartella; i diritti sono personali per ciascun utente.
Hai già eseguito tutte le azioni necessarie nel primo esempio, ripetiamo ciò che abbiamo trattato :)
In una sottocartella "Utente1" Faccio clic con il pulsante destro del mouse e seleziono la voce di menu "Proprietà", vai ai segnalibri "Sicurezza". Premo il pulsante "Aggiungere"
e nella finestra di selezione standard seleziono un utente di dominio con il nome "Utente1".
Non resta che selezionare la casella per il diritto di autorizzazione "Modifica". In questo caso, la casella di controllo per il diritto di autorizzazione "Documentazione" verrà installato automaticamente. 
Clic "OK". Andiamo fuori. Resta da ripetere passaggi simili per tutte le sottocartelle.
Esempio 3. Fornire a un utente l'accesso personale in scrittura alla sua sottocartella, vietando contemporaneamente la modifica o l'eliminazione.
Capisco che possa sembrare difficile, ma cercherò di spiegarlo. Chiamo questo tipo di accesso un chiavistello. Nella vita di tutti i giorni abbiamo una situazione simile con l'ordinario tramite casella di posta, in cui gettiamo lettere di carta. Quelli. Puoi gettare una lettera in una scatola, ma non puoi tirarla fuori dalla scatola. In informatica, questo può essere utile in una situazione in cui qualcuno ti scrive un rapporto in una cartella. Quelli. il file viene scritto dall'utente, ma poi questo utente non può più fare nulla con questo file. In questo modo, puoi essere sicuro che l'autore non sarà più in grado di modificare o eliminare la segnalazione inviata.
Come nell'esempio precedente, ripetiamo tutti i passaggi, tranne che non diamo immediatamente all'utente tutti i diritti sulla sua cartella, inizialmente nelle autorizzazioni di base diamo solo accesso in lettura e facciamo clic sul pulsante "Inoltre"
Nella finestra che si apre, seleziona "Utente1" e premere il pulsante "Modifica"
Nella finestra che si apre vediamo i permessi di lettura standard 
Per dare all'utente il diritto di creare file, impostare l'autorizzazione a destra “Creazione di file/scrittura di dati” e a destra "Eliminazione di sottocartelle e file" E "Eliminare" mettiamo un divieto. Lasciamo l'eredità come standard "Per questa cartella, le sue sottocartelle e file".
Dopo aver premuto il pulsante "OK" e ritornando alla finestra precedente, puoi vedere cambiamenti significativi. Invece di una voce per "Utente1" ne apparvero due. 
Questo perché vengono stabiliti due tipi di diritti, uno proibitivo, sono i primi della lista, l'altro permissivo, sono i secondi della lista. Poiché i diritti speciali non sono standard, nella colonna "Autorizzazione" vale il valore "Speciale". Quando si preme il pulsante "OK" appare una finestra in cui le finestre avvisano che ci sono diritti proibitivi e che ne hanno altri priorità alta. Tradotto, ciò significa la stessa situazione con una porta a chiusura automatica, le cui chiavi si trovano all'interno. Ho descritto una situazione simile nel secondo esempio.
Tutto. I diritti sono stati fissati. Ora "Utente1" sarà in grado di scrivere qualsiasi file nella sua cartella, aprirlo, ma non potrà modificarlo o eliminarlo.
Ma che dire dell'analogia completa con una vera cassetta della posta?
Per impedire all'utente di aprire o copiare il file registrato, è necessario effettuare le seguenti operazioni. Ancora una volta apriamo consentendo autorizzazioni speciali per "Utente1", e sul campo "Fare domanda a:" modificare il valore in "Solo per questa cartella"
In questo caso, l'utente non ha il diritto di leggere o copiare il file.
Tutto. Ora l'analogia con una casella di posta fisica è quasi completa. Potrà vedere solo i nomi dei file, la loro dimensione, gli attributi, ma non sarà in grado di vedere il file stesso.
Visualizza i diritti attuali.
Voglio dire subito che la possibilità di visualizzare i diritti attuali per una cartella o un file è una finzione completa. A mio avviso, tali strumenti dovrebbero fornire informazioni garantite. Questo non è il caso qui. La stessa Microsoft ammette che questo strumento non tiene conto di molti fattori che influiscono sui diritti risultanti, come ad esempio le condizioni di accesso. Pertanto, utilizzare uno strumento del genere significa solo ingannarsi riguardo ai diritti reali.
Il caso descritto all'inizio dell'articolo, con il divieto di eliminare un file da una cartella, in questo caso è molto eloquente. Se simuli una situazione simile e controlli i diritti di un file protetto dall'eliminazione, vedrai che le autorizzazioni di eliminazione del file sono vietate. Tuttavia, eliminare questo file non è difficile. Perché Microsoft ha fatto questo, non lo so.
Se decidi comunque di consultare i diritti attuali, per fare ciò devi fare clic sul pulsante nella finestra dei diritti di base "Inoltre" e nella finestra dei diritti speciali vai alla scheda "Permessi validi".
Quindi è necessario premere il pulsante "Scegliere" e nella finestra di selezione standard selezionare l'utente o il gruppo desiderato. 
Una volta selezionato, puoi vedere le autorizzazioni valide "approssimative".
In conclusione, voglio dire che l'argomento dei diritti sul file system NTFS è molto ampio; gli esempi sopra riportati rappresentano solo una parte molto piccola di ciò che si può fare. Pertanto, se hai domande, chiedile nei commenti a questo articolo. Proverò a rispondere.
Come abilitare la registrazione?
Risposta del Maestro:
Molti utenti con un account limitato si trovano ad affrontare problemi che sorgono durante la scrittura di file su unità rimovibili. Naturalmente, tali problemi possono sorgere se l'unità flash non funziona correttamente o se si verificano problemi con la formattazione.
Se si verifica un problema con la scrittura sull'unità utilizzata, se l'utente dispone di un account limitato sul computer, è necessario modificare il parametro che impedisce la scrittura. Per fare ciò, dopo il download, vai a sistema operativo con diritti e sotto l'account "Amministratore". Ora devi modificare le impostazioni del tuo account in modo che l'account con funzionalità limitate abbia la possibilità di copiare le informazioni su un supporto rimovibile.
Adesso non resta che applicare le modifiche e chiudere le finestre tramite il pulsante OK. Dopo aver riavviato il PC, necessario affinché le modifiche abbiano effetto, accedi nuovamente al sistema operativo utilizzando il tuo account con accesso limitato account. Come prova, copia alcuni file sull'unità rimovibile.
Succede che un'unità flash sia deliberatamente protetta dalla scrittura. Per eliminare questo problema, considera attentamente come si trova il piccolo interruttore sul lato dell'unità flash: dovrebbe essere in posizione sbloccata. Molto spesso, tali azioni sono richieste dalle unità utilizzate in fotocamere, telefoni, lettori e altri dispositivi con SD e Schede MicroSD memoria.
Anche l'interruttore del lettore di carte richiede particolare attenzione se viene utilizzato come adattatore per il collegamento di un dispositivo. E questo vale anche per gli adattatori MicroSD, che hanno la forma di una normale scheda SD.
Scopri se la tua flash card è protetta da password? In tal caso, è necessario sbloccarlo sul dispositivo su cui è stato posizionato sul blocco. La presenza di un blocco sull'unità flash non ti consentirà di scrivere su di essa.
Ma succede che altri motivi che non possono essere chiariti impediscono di effettuare la registrazione. Ciò significa che l'unità flash deve essere formattata e non solo programmi standard Su Windows! Per fare ciò, scarica e installa sul tuo PC utilità speciali, sviluppato dal produttore dell'unità flash. Le utilità ti aiuteranno a formattare e correggere gli errori su un'unità rimovibile.