Informacje zaczerpnięte z trzynastego rozdziału książki „Windows 2000. Przewodnik administratora”. Williama R. Stanka.

Na woluminach z systemem plików NTFS można ustawić uprawnienia zabezpieczeń dla plików i folderów. Te uprawnienia przyznają lub odmawiają dostępu do plików i folderów. Aby wyświetlić swoje bieżące uprawnienia zabezpieczeń, wykonaj następujące czynności:

Zrozumienie uprawnień do plików i folderów

Tabela 13-3 przedstawia podstawowe uprawnienia dotyczące plików i folderów.
Podstawowe uprawnienia do plików to Pełna kontrola, Modyfikowanie, Odczyt i wykonywanie, Odczyt i Zapis.
Do folderów mają zastosowanie następujące podstawowe uprawnienia: Pełna kontrola, Modyfikowanie, Odczyt i wykonywanie, Wyświetlanie zawartości folderu, Odczyt i Zapis.

Ustawiając uprawnienia do plików i folderów, należy zawsze pamiętać o następujących kwestiach:

	Aby uruchamiać skrypty, wystarczy mieć uprawnienie Odczyt. Uprawnienie do wykonania pliku (specjalne uprawnienie do wykonania pliku) jest opcjonalne.
	Aby uzyskać dostęp do skrótu i ​​powiązanego z nim obiektu, wymagane są uprawnienia do odczytu.
	Zezwolenie na zapis do pliku (specjalne uprawnienie Zapis danych) bez pozwolenia na usunięcie pliku (specjalne uprawnienie Usuń) nadal pozwala użytkownikowi na usunięcie zawartości pliku.
	Jeśli użytkownik ma podstawowe uprawnienia Pełna kontrola do folderu, może usunąć dowolne pliki z tego folderu, niezależnie od uprawnień do tych plików. Tabela 13-3 – Podstawowe uprawnienia do plików i folderów w systemie Windows 2000 Rozdzielczość podstawowa Znaczenie dla folderów Znaczenie dla plików Czytać Umożliwia przeglądanie folderów oraz przeglądanie listy plików i podfolderów Umożliwia przeglądanie i dostęp do zawartości plików Pisać Umożliwia dodawanie plików i podfolderów Umożliwia zapis danych do pliku Umożliwia przeglądanie folderów i przeglądanie listy plików i podfolderów; dziedziczone przez pliki i foldery Umożliwia przeglądanie i dostęp do zawartości pliku, a także uruchamianie pliku wykonywalnego Umożliwia przeglądanie folderów i przeglądanie listy plików i podfolderów; dziedziczone tylko przez foldery Nie dotyczy Modyfikować Umożliwia przeglądanie zawartości oraz tworzenie plików i podfolderów; umożliwia usunięcie folderu Umożliwia odczyt i zapis danych do pliku; umożliwia usunięcie pliku Pełna kontrola Umożliwia przeglądanie zawartości, a także tworzenie, modyfikowanie i usuwanie plików i podfolderów Umożliwia odczyt i zapis danych, a także modyfikowanie i usuwanie pliku Uprawnienia podstawowe tworzone są poprzez grupowanie określonych uprawnień w grupy logiczne, co przedstawiono w Tabelach 13-4 (dla plików) i 13-5 (dla folderów). Konkretne uprawnienia można przypisać indywidualnie za pomocą ustawień zaawansowanych. Poznając określone uprawnienia do plików, weź pod uwagę następujące kwestie:
	Jeśli prawa dostępu nie są jawnie zdefiniowane dla grupy lub użytkownika, wówczas dostęp do pliku jest im zabroniony.
	Przy obliczaniu efektywnych uprawnień użytkownika brane są pod uwagę wszystkie uprawnienia nadane użytkownikowi, a także grupy, których użytkownik jest członkiem. Na przykład, jeśli użytkownik GeorgeJ ma uprawnienia do odczytu, a jednocześnie jest członkiem grupy Techies, która ma uprawnienia do modyfikowania, to w rezultacie użytkownik GeorgeJ ma dostęp do modyfikowania. Jeśli grupa Techies zostanie dołączona do grupy Administratorzy z pełną kontrolą, wówczas GeorgeJ będzie miał pełną kontrolę nad plikiem. Tabela 13-4 – Specjalne uprawnienia do plików Specjalne uprawnienia Pełna kontrola Modyfikować Przeczytaj i wykonaj Czytać Pisać Wykonaj plik X X X Przeczytaj dane X X X X X X X X X X X X Zapisz dane X X X Dołącz dane X X X X X X X X X Usuwać X X X X X X X X X Tabela 13-5 przedstawia konkretne uprawnienia używane do tworzenia podstawowych uprawnień do folderów. Poznając specjalne uprawnienia do folderów, weź pod uwagę następujące kwestie:
	Po ustawieniu uprawnień dla folderu nadrzędnego można dopasować elementy uprawnień plików i podfolderów do uprawnień bieżącego folderu nadrzędnego. Aby to zrobić, musisz zaznaczyć pole wyboru Resetuj uprawnienia dla wszystkich obiektów podrzędnych i włącz propagację uprawnień dziedziczonych.
	Utworzone pliki dziedziczą część uprawnień z obiektu nadrzędnego. Te uprawnienia są wyświetlane jako domyślne uprawnienia do plików. Tabela 13-5 – Specjalne uprawnienia do folderów Specjalne uprawnienia Pełna kontrola Modyfikować Przeczytaj i wykonaj Lista zawartości folderu Czytać Pisać Folder poprzeczny X X X X Lista zawartości folderu X X X X X Przeczytaj Atrybuty X X X X X Przeczytaj Atrybuty rozszerzone X X X X X Utwórz pliki X X X Utwórz foldery X X X Zapisz atrybuty X X X Zapisz rozszerzone atrybuty X X X Usuń podfoldery i pliki X Usuwać X X Przeczytaj uprawnienia X X X X X X Zmień uprawnienia X Przejąć na własność X

Ustawianie uprawnień do plików i folderów

Aby ustawić uprawnienia do plików i folderów, wykonaj następujące czynności:

1.	Wybierz plik lub folder i kliknij kliknij prawym przyciskiem myszy myszy.
2.	W menu kontekstowe Wybierz drużynę Nieruchomości i w oknie dialogowym przejdź do zakładki Bezpieczeństwo, jak pokazano na rysunku 13-12. Rysunek 13-12 – Ustawianie podstawowych uprawnień do plików lub folderów na karcie Bezpieczeństwo
3.	Na liście Nazwa wyświetla listę użytkowników lub grup mających dostęp do pliku lub folderu. Aby zmienić uprawnienia tych użytkowników lub grup, wykonaj następujące czynności: Wybierz użytkownika lub grupę, dla której chcesz zmienić uprawnienia. Skorzystaj z listy Uprawnienia: aby ustawić lub cofnąć uprawnienia. Rada. Pola wyboru uprawnień dziedziczonych są wyszarzone. Aby zastąpić odziedziczone uprawnienie, zmień je na przeciwne.
4.	Aby ustawić uprawnienia dla użytkowników, kontaktów, komputerów lub grup, których nie ma na liście Nazwa, naciśnij przycisk Dodać. Pojawi się okno dialogowe, jak pokazano na rysunku 13-13. Rysunek 13-13 – Wybierz użytkowników, komputery i grupy, którym chcesz zezwolić lub odmówić dostępu.
5.	Skorzystaj z okna dialogowego Wybierz opcję Użytkownicy, Komputery lub Grupy, aby wybrać użytkowników, komputery lub grupy, dla których chcesz ustawić uprawnienia dostępu. Okno to zawiera pola opisane poniżej: Zaglądać Ta rozwijana lista umożliwia przeglądanie dostępnych kont z innych domen. Zawiera listę aktualnej domeny, zaufanych domen i innych dostępnych zasobów. Aby zobaczyć wszystkie konta w folderze, wybierz Cały katalog. Nazwa Ta kolumna pokazuje istniejące konta dla wybranej domeny lub zasobu. Dodać Przycisk ten dodaje wyróżnione nazwiska do listy wybranych nazw. Sprawdź nazwy Przycisk ten umożliwia sprawdzenie nazw użytkowników, komputerów lub grup na liście wybranych nazw. Może to być przydatne, gdy nazwy są wprowadzane ręcznie i chcesz mieć pewność, że są prawidłowe.
6.	Na liście Nazwa zaznacz użytkownika, kontakt, komputer lub grupę, którą chcesz skonfigurować, a następnie zaznacz lub usuń zaznaczenie pól wyboru w obszarze Uprawnienia: w celu ustalenia praw dostępu. Powtórz te same kroki dla innych użytkowników, komputerów lub grup.
7.	Po zakończeniu naciśnij przycisk OK.

Audyt zasobów systemowych

Korzystanie z audytu jest Najlepszym sposobem do śledzenia zdarzeń w systemach Windows 2000. Inspekcja może służyć do zbierania informacji związanych z wykorzystaniem zasobu. Przykłady zdarzeń podlegających inspekcji obejmują dostęp do plików, logowanie do systemu i zmiany w konfiguracji systemu. Po włączeniu kontroli obiektu wpisy są zapisywane w dzienniku zabezpieczeń systemu przy każdej próbie uzyskania dostępu do tego obiektu. Dziennik zabezpieczeń można wyświetlić z poziomu przystawki Podgląd zdarzeń.

Notatka. Aby zmienić większość ustawień audytu, musisz być zalogowany jako Administrator lub członek grupy Administratorzy, albo mieć Zarządzaj dziennikiem audytu i bezpieczeństwa w polityce grupowej.

Ustawianie zasad audytu

Stosowanie polityk audytu znacząco poprawia bezpieczeństwo i integralność systemów. Prawie każdy system komputerowy Sieć musi być skonfigurowana z funkcją rejestrowania zabezpieczeń. Konfigurowanie zasad audytu jest dostępne w przystawce Zasady grupy. Za pomocą tego komponentu możesz ustawić zasady audytu dla całej witryny, domeny lub działu. Polityki można także ustawić dla osobistych stacji roboczych lub serwerów.

Po wybraniu wymaganego kontenera zasad grupy możesz skonfigurować zasady audytu w następujący sposób:

1.	Jak pokazano na rysunku 13-14, węzeł można znaleźć, przesuwając się w dół drzewa konsoli: konfiguracja komputera, Ustawienia Windowsa, Ustawienia bezpieczeństwa, Zasady lokalne, Polityka audytu. Rysunek 13-14 – Konfigurowanie polityki audytu przy użyciu węzła Zasady audytu w Zasadach grupy.
2.	Wyróżnia się następujące kategorie audytów: Kontroluj zdarzenia logowania do kontaśledzi zdarzenia związane z logowaniem i wylogowaniem użytkownika. Zarządzanie kontem audytowym monitoruje wszystkie zdarzenia związane z zarządzaniem kontem, narzędziami snap-in. Wpisy audytu pojawiają się, gdy konta użytkowników, komputerów lub grup są tworzone, modyfikowane lub usuwane. Monitoruje zdarzenia dostępu do Active Directory. Rekordy audytu są tworzone za każdym razem, gdy użytkownicy lub komputery uzyskują dostęp do katalogu. Monitoruje zdarzenia logowania/wylogowania i usuwane połączenia sieciowe. Śledzi użycie zasoby systemowe pliki, katalogi, udziały i obiekty Active Directory. Zmiana zasad audytu Monitoruje zmiany w zasadach przypisywania praw użytkowników, zasadach inspekcji i zasadach zaufania. Śledzi każdą próbę skorzystania przez użytkownika z przyznanego mu prawa lub przywileju. Na przykład prawa do archiwizacji plików i katalogów. Notatka. Polityka Kontroluj wykorzystanie uprawnień nie śledzi zdarzeń związanych z dostępem do systemu, takich jak korzystanie z prawa do interaktywnego logowania się do systemu lub dostępu do komputera z sieci. Zdarzenia te są monitorowane przy użyciu polityki Kontroluj zdarzenia logowania. Śledzenie procesu audytu monitoruje procesy systemowe i wykorzystywane przez nie zasoby. Zdarzenia w systemie audytu Monitoruje zdarzenia związane z włączeniem, ponownym uruchomieniem lub wyłączeniem komputera, a także zdarzenia mające wpływ na bezpieczeństwo systemu lub odzwierciedlone w dzienniku zabezpieczeń.
3.	Aby skonfigurować politykę audytu, kliknij dwukrotnie żądaną politykę lub wybierz polecenie z menu kontekstowego wybranej polityki Nieruchomości. Następnie otworzy się okno dialogowe Ustawienie zasad zabezpieczeń lokalnych (Właściwości).
4.	Sprawdź pudełko Zdefiniuj te ustawienia zasad. Następnie zaznacz lub odznacz pola Powodzenie I Awaria. Kontrola sukcesu oznacza utworzenie rekordu kontroli dla każdego pomyślnego zdarzenia (na przykład udanej próby logowania). Kontrola niepowodzeń oznacza utworzenie rekordu audytu dla każdego nieudanego zdarzenia (takiego jak nieudana próba logowania).
5.	Po zakończeniu naciśnij przycisk OK.

Audyt operacji na plikach i folderach

Jeśli zasady są włączone Audyt dostępu do obiektu możesz skorzystać z audytu na poziomie poszczególnych folderów i plików. Umożliwi to dokładne śledzenie ich wykorzystania. Ta okazja Dostępne tylko na woluminach z systemem plików NTFS.

Aby skonfigurować kontrolę plików i folderów, wykonaj następujące czynności:

1.	W Poszukiwacz ( Eksplorator Windows) wybierz plik lub folder, dla którego chcesz skonfigurować kontrolę. W menu kontekstowym wybierz polecenie Nieruchomości.
2.	Przejdź do zakładki Bezpieczeństwo a następnie kliknij przycisk Dodatkowo (zaawansowane).
3.	W oknie dialogowym przejdź do zakładki Audyt, jak pokazano na rysunku 13-15. Rysunek 13-15 – Konfigurowanie zasad audytu dla poszczególnych plików lub folderów na karcie Audyt.
4.	Aby ustawienia kontroli były dziedziczone z obiektu nadrzędnego, musi być zaznaczone pole wyboru Zezwalaj na dziedziczenie wpisów kontroli z obiektu nadrzędnego w celu propagowania do tego obiektu.
5.	Aby umożliwić obiektom podrzędnym dziedziczenie ustawień kontroli bieżącego obiektu, wybierz opcję Zresetuj elementy kontroli dla wszystkich obiektów podrzędnych i włącz migrację odziedziczonych elementów kontroli (Zresetuj wpisy kontroli we wszystkich obiektach podrzędnych i włącz propagację dziedzicznych wpisów kontroli).
6.	Skorzystaj z listy Usunąć.
7.	Dodać aby wyświetlić okno dialogowe OK, pojawi się okno dialogowe Element audytu dla Nazwa folderu lub pliku , jak pokazano na rysunku 13-16. Notatka. Jeśli chcesz śledzić działania wszystkich użytkowników, użyj specjalnej grupy Wszyscy. W innych przypadkach wybierz do kontroli poszczególnych użytkowników lub grupy w dowolnej kombinacji. Rysunek 13-16 – Okno dialogowe Element audytu dla Nazwa folderu lub pliku(Kontrola wpisu dla nowego folderu), używana do ustawiania wpisów kontroli dla użytkownika, kontaktu, komputera lub grupy.
8.	Zastosuj na.
9.	Sprawdź pudełka Udany i/lub Przegrany dla wymaganych zdarzeń audytu. Audyt powodzenia oznacza utworzenie rekordu audytu dla pomyślnego zdarzenia (na przykład pomyślnego odczytu pliku). Kontrola niepowodzeń oznacza utworzenie rekordu audytu dla zdarzenia zakończonego niepowodzeniem (na przykład nieudanej próby usunięcia pliku). Zdarzenia podlegające inspekcji są takie same, jak uprawnienia specjalne (Tabele 13-4 i 13-5) z wyjątkiem synchronizacji plików i folderów w trybie offline, której nie można kontrolować.
10.	Po zakończeniu naciśnij przycisk OK. Powtórz te kroki, aby skonfigurować inspekcję innych użytkowników, grup lub komputerów.

Audyt obiektów Active Directory

Jeśli zasady są włączone Kontroluj dostęp do usługi katalogowej, możesz użyć inspekcji na poziomie obiektu usługi Active Directory. Umożliwi to dokładne śledzenie ich wykorzystania.

Aby skonfigurować kontrolę obiektu, wykonaj następujące czynności:

1.	W mgnieniu oka Użytkownicy i komputery usługi Active Directory wybierz kontener obiektów.
2.	Kliknij prawym przyciskiem myszy obiekt, który ma być kontrolowany i wybierz polecenie z menu kontekstowego Nieruchomości.
3.	Przejdź do zakładki Bezpieczeństwo i naciśnij przycisk Dodatkowo (zaawansowane).
4.	Przejdź do zakładki Audyt Okno dialogowe Ustawienia kontroli dostępu. Aby ustawienia kontroli były dziedziczone z obiektu nadrzędnego, musi być zaznaczone pole wyboru Zezwalaj na dziedziczenie wpisów kontroli z obiektu nadrzędnego w celu propagowania do tego obiektu.
5.	Skorzystaj z listy Audyt wpisów aby wybrać użytkowników, komputery lub grupy, których działania będą monitorowane. Aby usunąć konto z tej listy, wybierz je i kliknij przycisk Usunąć.
6.	Aby dodać konto kliknij przycisk Dodać. Pojawi się okno dialogowe Wybierz Użytkownicy, Kontakty, Komputery lub Grupy, w którym wybierz konto do dodania. Kiedy naciśniesz OK, pojawi się okno dialogowe Element audytu dla Nazwa folderu lub pliku(Wpis kontrolny dla nowego folderu).
7.	Jeśli chcesz określić obiekty, do których mają zostać zastosowane ustawienia audytu, skorzystaj z listy rozwijanej Zastosuj na.
8.	Sprawdź pudełka Udany i/lub Przegrany dla wymaganych zdarzeń audytu. Kontrola sukcesu oznacza utworzenie rekordu kontroli dla każdego pomyślnego zdarzenia (na przykład pomyślnego odczytu pliku). Kontrola niepowodzeń oznacza utworzenie rekordu audytu dla każdego zdarzenia niepowodzenia (na przykład nieudanej próby usunięcia pliku).
9.	Po zakończeniu naciśnij przycisk OK. Powtórz te kroki, aby skonfigurować inspekcję innych użytkowników, kontaktów, grup lub komputerów.

Materiał zaczerpnięty z książki "Windows 2000. Przewodnik administratora". Williama R. Stanka. © Microsoft Corporation, 1999. Wszelkie prawa zastrzeżone.

System plików NTFS umożliwia konfigurowanie uprawnień dostępu do poszczególnych folderów lub plików dla poszczególnych użytkowników. Masz prawo dowolnie konfigurować dostęp do folderów/plików: blokować dostęp do swoich plików niektórym użytkownikom i otwierać dostęp innym użytkownikom. W takim przypadku ten pierwszy będzie mógł pracować z twoimi dokumentami, a drugi zobaczy okno z komunikatem „ Odmowa dostępu do pliku". Ale możliwości skonfigurowania dostępu do folderów/plików nie ograniczają się tylko do tego, czy użytkownicy mogą uzyskać dostęp do Twoich dokumentów. Możesz określić uprawnienia dostępu. Dlatego niektórzy użytkownicy będą mogli jedynie przeczytać dokument, a inni będą mogli go zmienić.

Jak otworzyć lub zablokować dostęp do plików lub folderów w systemie Windows?

Aby skonfigurować prawa dostępu do pliku/folderu, należy wybrać Nieruchomości w menu kontekstowym tego pliku/folderu. W oknie, które zostanie otwarte, przejdź do zakładki Bezpieczeństwo. Następnie zostaną przedstawione dwa sposoby konfiguracji praw dostępu.

1. naciśnij przycisk Zmiana. Następnie widzimy następujący obraz:
   W tym oknie możemy dodać lub usunąć użytkownika lub całą grupę użytkowników, dla których chcemy skonfigurować prawa dostępu do tego obiektu. W tym celu należy skorzystać z przycisków Dodać I Usuwać. Po wybraniu użytkowników, dla których chcesz skonfigurować odpowiednie prawa dostępu, zaznacz ich po kolei i przypisz odpowiednie uprawnienia w oparciu o różne . Aby zezwolić lub odwrotnie, odmówić dostępu, musisz zaznaczyć odpowiednie pola. Aby zapisać zmiany, kliknij Stosować, Następnie OK.
2. naciśnij przycisk Dodatkowo. To okno zapewnia dodatkowe funkcje dotyczące ustawiania praw dostępu do obiektu.
   
   Funkcjonalność, która została przedstawiona w pierwszym akapicie, zawarta jest w zakładce Uprawnienia. Korzystanie z przycisków Dodać I Usuwać Możesz dodać użytkowników do listy lub odpowiednio ich usunąć. Aby ustawić odpowiednie uprawnienia dla wybranego użytkownika lub należy skorzystać z przycisku Zmiana.
   
   Z rozwijanego menu możesz wybrać rodzaj uprawnień (zezwól lub odmów), a w przypadku folderów możesz wybrać zakres tych reguł. Jak widać, to okno zapewnia to samo dla obiektu. Ale jeśli naciśniesz przycisk Pokaż dodatkowe uprawnienia, wtedy otrzymasz całe.

   

   Wybór odpowiednich uprawnień odbywa się poprzez dodanie znacznika przy odpowiedniej pozycji.

   Patka Rewizja umożliwia skonfigurowanie dokumentacji różnych prób dostępu do pliku/folderu. Możesz więc otrzymać powiadomienie za każdym razem, gdy ktoś pomyślnie lub nie otworzy folderu/pliku, gdy ktoś zmieni nazwę lub treść dokumentu i tak dalej. Możesz kontrolować zarówno udane, jak i nieudane działania. Na potrzeby audytu możesz także skonfigurować jego zakres. Udokumentowane dane można przeglądać w Dziennik zdarzeń.

   Patka Skuteczne prawa dostępu wyświetli prawa dostępu do tego obiektu dla wybranego użytkownika.

Zezwolić na dostęp czy odmówić dostępu?

Zanim zaczniesz zaznaczać pola dla dowolnego użytkownika, warto wiedzieć, co następuje: uprawnienia muszą być jawnie skonfigurowane. Oznacza to, że aby uzyskać dostęp do obiektu, należy uzyskać wyraźne pozwolenie. Aby jednak uniemożliwić dostęp do obiektu, wystarczy w ogóle nie przydzielać żadnych uprawnień. W końcu, jeśli nie określiłeś wyraźnie uprawnień dostępu, użytkownik nie będzie mógł uzyskać dostępu do tego obiektu. Powstaje zatem uzasadnione pytanie: po co w ogóle potrzebny jest typ pozwolenia? Zakazać? W tym celu musisz znać jeszcze dwie zasady:

1. Typ pozwolenia Zakazać ma pierwszeństwo przed typem Umożliwić.
2. Ostateczny wynik dla użytkownika uzyskuje się poprzez zsumowanie wszystkich reguł dostępu dla danego obiektu.

Jeżeli w pierwszym punkcie nie powinno być żadnych pytań, wówczas drugi wymaga wyjaśnienia. Spójrzmy na przykład: jeśli do folderu papka zwykły użytkownik użytkownik ma uprawnienia do odczytu i zapisu oraz grupę Użytkownicy mieć uprawnienia tylko do odczytu do folderu papka, a następnie ostateczne prawa dostępu użytkownika użytkownik umożliwi zarówno odczyt, jak i zapis w tym folderze, co jest sprzeczne z polityką mówiącą, że Użytkownicy mogą tylko czytać ten folder. Dlatego potrzebny jest typ uprawnienia Zakazać. Jeśli według jednej polityki użytkownik powinien mieć dostęp do pliku, a według innej nie, to należy wyraźnie odmówić dostępu do pliku, bo inaczej będzie on miał dostęp do pliku, a to jest sprzeczne z drugą polityką.

Właśnie po to, aby ułatwić sumowanie wszystkich reguł dostępu do obiektu, istnieje zakładka Skuteczne prawa dostępu.

Użytkownicy, administratorzy, użytkownicy uwierzytelnieni itp.

Oprócz tego wszystkiego musisz wiedzieć, że wszyscy użytkownicy, niezależnie od skonfigurowanych praw dostępu, są domyślnie uwzględniani w grupie Użytkownicy. Domyślnie użytkownicy tej grupy mają dostęp do odczytu i zmiany wszystkich obiektów (z wyjątkiem niektórych obiektów systemu operacyjnego). Ale użytkownicy z grupy Administratorzy domyślnie mają pełny dostęp do wszystkich obiektów systemu. Do grupy użytkowników Zweryfikowano obejmuje wszystkich zalogowanych użytkowników. Ich uprawnienia dostępu są w przybliżeniu takie same jak zwykłych użytkowników.

Wiedząc o tym, możesz zaoszczędzić sobie niepotrzebnej pracy polegającej na przyznawaniu pełnego dostępu konkretnemu użytkownikowi z uprawnieniami administracyjnymi lub konfigurowaniu praw dostępu do odczytu i zapisu dla standardowego użytkownika. Wszystko to zostało już zrobione.

Ponadto nie należy usuwać powyższych grup z praw dostępu do jakiegokolwiek obiektu. Nie należy także odmawiać dostępu do tych grup. Nawet jeśli jesteś użytkownikiem z uprawnieniami administracyjnymi, odmawiasz dostępu do grupy Użytkownicy do dowolnego przedmiotu, bezceremonialnie uderzy Cię w szyję, ponieważ także jesteś użytkownikiem tej grupy. Zachowaj więc ostrożność i nie próbuj zmieniać ustawień domyślnych.

Komputery z systemami operacyjnymi Systemy Windows, może współpracować z różnymi systemami plików, takimi jak FAT32 i NTFS. Nie wchodząc w podobieństwa, możemy powiedzieć jedno, że różnią się one przede wszystkim - system plików NTFS pozwala skonfigurować ustawienia zabezpieczeń dla każdego pliku lub folderu (katalogu). Te. dla każdego pliku lub folderu system plików NTFS przechowuje tak zwane listy ACL (listy kontroli dostępu), które zawierają listę wszystkich użytkowników i grup mających określone prawa dostępu do ten plik lub folderze. System plików FAT32 nie ma takiej możliwości.

W systemie plików NTFS każdy plik lub folder może mieć następujące uprawnienia bezpieczeństwa:

• Czytanie— Umożliwia przeglądanie folderów i przeglądanie listy plików i podfolderów, przeglądanie i uzyskiwanie dostępu do zawartości plików;
• Nagrywać— Umożliwia dodawanie plików i podfolderów, zapisywanie danych do pliku;
• Przeczytaj i wykonaj— Umożliwia przeglądanie folderów oraz przeglądanie listy plików i podfolderów, umożliwia przeglądanie i dostęp do zawartości pliku, a także uruchamianie pliku wykonywalnego;
• Lista zawartości folderu— Umożliwia przeglądanie folderów i wyświetlanie tylko listy plików i podfolderów. To uprawnienie nie zapewnia dostępu do zawartości pliku!;
• Zmiana— Umożliwia przeglądanie zawartości oraz tworzenie plików i podfolderów, usuwanie folderu, odczytywanie i zapisywanie danych do pliku, usuwanie pliku;
• Pełny dostęp- Umożliwia przeglądanie zawartości, a także tworzenie, modyfikowanie i usuwanie plików i podfolderów, odczytywanie i zapisywanie danych oraz modyfikowanie i usuwanie pliku

Wymienione powyżej prawa są podstawowe. Prawa podstawowe składają się z praw specjalnych. Prawa szczegółowe to prawa bardziej szczegółowe, z których powstają prawa podstawowe. Korzystanie ze specjalnych uprawnień zapewnia dużą elastyczność podczas konfigurowania praw dostępu.

Lista specjalnych praw dostępu do plików i folderów:

• Przeglądaj foldery/wykonuj pliki— Umożliwia nawigację po strukturze folderów w poszukiwaniu innych plików lub folderów, wykonywanie plików;
• Zawartość folderu/Odczyt danych— Umożliwia przeglądanie nazw plików lub podfolderów zawartych w folderze, odczytywanie danych z pliku;
• Czytanie atrybutów— Umożliwia przeglądanie atrybutów plików lub folderów, takich jak „Tylko do odczytu” i „Ukryty”;
• Odczytywanie dodatkowych atrybutów— Umożliwia przeglądanie dodatkowych atrybutów pliku lub folderu;
• Tworzenie plików/zapisywanie danych— Umożliwia tworzenie plików w folderze (dotyczy tylko folderów), wprowadzanie zmian w pliku i nadpisywanie istniejącej zawartości (dotyczy tylko plików);
• Tworzenie folderów / Dodawanie danych— Umożliwia tworzenie folderów w obrębie folderu (dotyczy tylko folderów), dodawanie danych na końcu pliku, ale bez zmiany, usuwania i zastępowania istniejących danych (dotyczy tylko plików);
• Atrybuty nagrywania— Zezwala lub zabrania zmiany atrybutów plików lub folderów, takich jak „Tylko do odczytu” i „Ukryty”;
• Zapisywanie dodatkowych atrybutów— Zezwala lub zabrania zmiany dodatkowych atrybutów pliku lub folderu;
• Usuwanie podfolderów i plików— Umożliwia usuwanie podfolderów i plików, nawet jeśli nie ma uprawnienia „Usuń” (dotyczy tylko folderów);
• Usuwanie— Umożliwia usunięcie pliku lub folderu. Jeśli plik lub folder nie ma uprawnienia do usuwania, obiekt można nadal usunąć, jeśli folder nadrzędny ma uprawnienie do usuwania podfolderów i plików;
• Uprawnienia do odczytu- Umożliwia uprawnienia do odczytu pliku lub folderu, takie jak „Pełna kontrola”, „Odczyt” i „Zapis”;
• Zmiana uprawnień— Umożliwia zmianę uprawnień dostępu do pliku lub folderu, np. „Pełna kontrola”, „Odczyt” i „Zapis”;
• Zmiana właściciela— Umożliwia przejęcie na własność pliku lub folderu;
• Synchronizacja- Umożliwia różnym wątkom oczekiwanie na pliki lub foldery i synchronizowanie ich z innymi wątkami, które mogą je zajmować. To uprawnienie dotyczy tylko programów działających w trybie wielowątkowym z wieloma procesami;

!!!Wszystkie prawa podstawowe i specjalne są zarówno zezwalające, jak i zaporowe.

Wszystkie uprawnienia do plików i folderów są podzielone na dwa typy: jawne i dziedziczone. Mechanizm dziedziczenia polega na automatycznym przeniesieniu czegoś z obiektu nadrzędnego do obiektu podrzędnego. W systemie plików oznacza to, że dowolny plik lub folder może dziedziczyć swoje prawa z folderu nadrzędnego. Jest to bardzo wygodny mechanizm, który eliminuje konieczność nadawania jawnych uprawnień wszystkim nowo tworzonym plikom i folderom. Wyobraź sobie, że masz na dysku kilka tysięcy plików i folderów, jak rozdzielić prawa dostępu do nich wszystkich, usiąść i przypisać każdemu z nich? NIE. Działa tu mechanizm dziedziczenia. Utworzyliśmy folder w katalogu głównym dysku, folder automatycznie otrzymał dokładnie takie same uprawnienia jak katalog główny dysku. Zmieniono uprawnienia do nowo utworzonego folderu. Następnie w utworzonym folderze utworzyli kolejny podfolder. Ten nowo utworzony podfolder będzie miał prawa odziedziczone z folderu nadrzędnego itp. i tak dalej.

Wynikiem zastosowania jawnych i odziedziczonych praw będą rzeczywiste prawa do określonego folderu lub pliku. Jest wiele pułapek. Na przykład masz folder, w którym pozwalasz użytkownikowi „Vasya” na usuwanie plików. W takim razie pamiętasz, że w tym folderze znajduje się jeden bardzo ważny plik, którego Vasya w żadnym wypadku nie powinna usuwać. Ustawiasz wyraźny zakaz dla ważnego pliku (specjalne prawo zakazu "Usuwać"). Wydawałoby się, że zadanie zostało wykonane, plik jest wyraźnie chroniony przed usunięciem. A Vasya spokojnie wchodzi do folderu i usuwa ten super chroniony plik. Dlaczego? Ponieważ Vasya ma uprawnienia do usuwania z folderu nadrzędnego, które w tym przypadku mają pierwszeństwo.

Staraj się nie przypisywać praw bezpośrednio do plików; nie przypisuj praw do folderów.

!!! Staraj się nadawać uprawnienia tylko grupom, znacznie upraszcza to administrację. Firma Microsoft nie zaleca przypisywania uprawnień konkretnym użytkownikom. Nie zapominaj, że grupa może obejmować nie tylko użytkowników, ale także inne grupy.

Na przykład. Jeżeli komputer znajduje się w domenie, wówczas grupa „Użytkownicy domeny” zostanie automatycznie dodana do lokalnej grupy „Użytkownicy”, a grupa „Administratorzy domeny” zostanie automatycznie dodana do lokalnej grupy „Administratorzy” i odpowiednio przypisanie dowolnych prawa do folderu grupie użytkowników lokalnych, automatycznie przypisujesz uprawnienia wszystkim użytkownikom domeny.

Nie zniechęcaj się, jeśli wszystko opisane powyżej nie jest od razu jasne. Przykłady i samodzielna praca szybko poprawią sytuację!

Przejdźmy do konkretów.

Pokażę wszystkie przykłady na przykładzie Okna okienne XP. W Windows 7 i nowszych esencja pozostała identyczna, tyle że okien było nieco więcej.

Aby więc przypisać lub zmienić uprawnienia do pliku lub folderu, należy kliknąć prawym przyciskiem myszy żądany plik lub folder w Eksploratorze i wybrać element menu "Nieruchomości"

Powinno otworzyć się okno z zakładką. "Bezpieczeństwo"

Jeśli nie ma takiej zakładki, wykonaj następujące czynności. Uruchom Eksploratora, a następnie otwórz menu "Praca"—„Właściwości folderu…”

W oknie, które zostanie otwarte, przejdź do zakładki „Widok” i odznacz opcję „Użyj prostego ogólny dostęp do plików (zalecane)”

To wszystko, teraz wszystkie nieruchomości są dla Ciebie dostępne system plików NTFS.

Wracając do zakładki "Bezpieczeństwo".

W oknie, które się otworzy, dostępnych jest dla nas wiele informacji. Na górze znajduje się lista „Grupy i użytkownicy:”, który zawiera listę wszystkich użytkowników i grup mających prawa dostępu do tego folderu (strzałka 1). Dolna lista pokazuje uprawnienia dla wybranego użytkownika/grupy (strzałka 2). W tym przypadku jest to SYSTEM użytkownika. Ta lista uprawnień przedstawia uprawnienia podstawowe. Proszę zwrócić uwagę na to w kolumnie "Umożliwić" znaczniki wyboru są wyblakłe i nie można ich edytować. Oznacza to, że te uprawnienia są dziedziczone z folderu nadrzędnego. Po raz kolejny w tym przypadku wszystkie prawa użytkownika SYSTEM do folderu "Pracujący" są w całości dziedziczone z folderu nadrzędnego, a użytkownik SYSTEM ma wszystkie uprawnienia ( "Pełny dostęp")

Zaznaczając na liście żądaną grupę lub użytkownika, możemy zobaczyć podstawowe uprawnienia tej grupy lub użytkownika. Wybierając użytkownika "Gościnny użytkownik ( [e-mail chroniony])» widać, że ma on wszystkie prawa jawne

Oto grupa „Użytkownicy (KAV-VM1\Użytkownicy” ma połączone prawa, część z nich jest dziedziczona z folderu nadrzędnego (szare kwadraty obok „Przeczytaj i wykonaj”, „Wyświetl zawartość folderu”, "Czytanie"), a część jest ustalona wprost – to jest prawo "Zmiana" I "Nagrywać"

!!!Uwaga. Zwróć uwagę na nazwy użytkowników i grup. Przynależność do grupy lub użytkownika jest podana w nawiasach. Grupy i użytkownicy mogą mieć charakter lokalny, tj. utworzony bezpośrednio na tym komputerze lub może być domeną. W tym przypadku grupa „Administratorzy” local, ponieważ wpis w nawiasie wskazuje nazwę komputera KAV-VM1, a po ukośniku znajduje się nazwa samej grupy. Wręcz przeciwnie, użytkownik "Gościnny użytkownik" jest użytkownikiem domeny btw.by, jest to sygnalizowane pełnym imieniem i nazwiskiem [e-mail chroniony]

Często podczas przeglądania lub zmiany uprawnień można ograniczyć się do okna z podstawowymi uprawnieniami, ale czasami to nie wystarczy. Następnie możesz otworzyć okno, w którym możesz zmienić określone uprawnienia, zmienić właściciela lub wyświetlić aktualne uprawnienia. Jak to zrobić? Kliknij przycisk "Dodatkowo". To okno się otwiera

W tym oknie w tabeli „Elementy uprawnień” Na liście znajdują się wszyscy użytkownicy mający uprawnienia do tego folderu. Podobnie jak w przypadku uprawnień podstawowych podświetlamy żądanego użytkownika lub grupę i klikamy przycisk "Zmiana". Otworzy się okno pokazujące wszelkie specjalne uprawnienia dla wybranego użytkownika lub grupy

Podobnie jak uprawnienia podstawowe, uprawnienia specjalne odziedziczone z folderu nadrzędnego będą wyblakłe na szaro i nie będzie można ich edytować.

Jak być może już zauważyłeś, w oknie uprawnień specjalnych dla niektórych użytkowników lub grup znajduje się kilka linii.


Dzieje się tak, ponieważ jeden użytkownik lub grupa może mieć różne rodzaje uprawnień: jawne i dziedziczone, zezwalające lub blokujące, różniące się rodzajem dziedziczenia. W takim przypadku prawa odczytu dla grupy Użytkownicy są dziedziczone z folderu nadrzędnego, a prawa do edycji są dodawane jawnie.

Przykłady cesji uprawnień.

!!! Wszystkie przykłady będą się rozwijać wraz ze wzrostem złożoności. Przeczytaj i zrozum je w tej samej kolejności, w jakiej pojawiają się w tekście. W kolejnych przykładach pominę podobne działania, aby zmniejszyć objętość tekstu. 🙂

Przykład 1: Przyznawanie dostępu tylko do odczytu do folderu określonej lokalnej grupie zabezpieczeń.

Na początek utwórzmy grupę lokalną, która będzie zawierać całą listę potrzebnych nam użytkowników. Jest to możliwe bez grupy, ale wtedy trzeba będzie skonfigurować uprawnienia dla każdego użytkownika z osobna, a za każdym razem, gdy trzeba będzie nadać uprawnienia nowej osobie, konieczne będzie wykonanie wszystkich operacji od nowa. A jeśli prawa zostaną przyznane grupa lokalna, to aby założyć nową osobę wystarczy Ci tylko jedna akcja - włączenie tej osoby do grupy lokalnej. Sposób tworzenia lokalnej grupy zabezpieczeń można znaleźć w artykule „Konfigurowanie lokalnych grup zabezpieczeń”.

Więc. Stworzyliśmy lokalną grupę zabezpieczeń o nazwie „Koledzy do czytania”


do którego dodaliśmy wszystkich niezbędnych użytkowników.

Teraz konfiguruję prawa dostępu do folderu. W tym przykładzie nadam prawa dostępu utworzonej grupie „Koledzy do czytania” do folderu "Zdjęcie".

Kliknij folder prawym przyciskiem myszy "ZDJĘCIE" i wybierz pozycję menu "Nieruchomości", przejdź do zakładki "Bezpieczeństwo".

W otwartej zakładce "Bezpieczeństwo" wyświetlane są bieżące uprawnienia do folderu "ZDJĘCIE". Podświetlając grupy i użytkowników na liście możesz zobaczyć, że uprawnienia tego folderu są dziedziczone z folderu nadrzędnego (szare znaczniki w kolumnie "Umożliwić"). W tej sytuacji nie chcę, aby ktokolwiek inny niż nowo utworzona grupa miała jakikolwiek dostęp do folderu "ZDJĘCIE".

Dlatego muszę usunąć dziedziczenie praw i usunąć z listy niepotrzebnych użytkowników i grupy. Naciskam przycisk "Dodatkowo". W oknie, które się otworzy,


Odznaczam pole „Dziedzicz uprawnienia mające zastosowanie do obiektów podrzędnych z obiektu nadrzędnego, dodając je do uprawnień wyraźnie określonych w tym oknie”. . Otworzy się okno, w którym będę mógł wybrać, co zrobić z aktualnie odziedziczonymi prawami.

W większości przypadków polecam kliknąć przycisk tutaj "Kopiuj", ponieważ jeśli tak zdecydujesz "Usuwać", wtedy lista praw staje się pusta i faktycznie możesz odebrać sobie te prawa. Tak, nie zdziw się, jest to bardzo łatwe. A jeśli nie jesteś administratorem na swoim komputerze lub nie jesteś użytkownikiem grupowym „Operatorzy archiwów”, wówczas przywrócenie Twoich praw będzie niemożliwe. Sytuacja jest podobna do drzwi z zatrzaskiem automatycznym, które zamykasz, zostawiając klucze w środku. Dlatego lepiej zawsze naciskać przycisk "Kopiuj", a następnie usuń niepotrzebne.

Po kliknięciu "Kopiuj", Ponownie wracam do poprzedniego okna, tylko tym razem z odznaczonym checkboxem.

Naciskam "OK" i wróć do okna praw podstawowych. Wszystkie prawa zostały udostępnione do edycji. Muszę pozostawić uprawnienia grupie lokalnej „Administratorzy” i użytkownik SYSTEM i usuń resztę. Wybieram po kolei niepotrzebnych użytkowników i grupy i klikam przycisk "Usuwać".

W rezultacie otrzymuję ten obraz.

Teraz pozostało mi tylko dodać grupę „Koledzy do czytania” i przypisz uprawnienia do odczytu tej grupie.

Naciskam przycisk "Dodać", a w standardowym oknie wyboru wybieram grupę lokalną „Koledzy do czytania”. Sposób pracy z oknem wyboru opisano szczegółowo w artykule.

W wyniku wszystkich działań dodałem grupę „Koledzy do czytania” do listy uprawnień podstawowych, a uprawnienia dla tej grupy zostały ustawione automatycznie „Przeczytaj i wykonaj”, „Wyświetl zawartość folderu”, "Czytanie".

Wszystko, co musisz zrobić, to nacisnąć przycisk "OK" i prawa są przypisane. Teraz każdy użytkownik należący do lokalnej grupy zabezpieczeń „Czytanie dla kolegów” będzie mógł odczytać całą zawartość folderu "ZDJĘCIE".

Przykład 2: Zapewnienie użytkownikom osobistego dostępu do ich podfolderów w folderze.

Sytuacja ta jest również powszechna w praktyce. Załóżmy na przykład, że masz folder na nowe zeskanowane dokumenty. W tym folderze każdy użytkownik ma swój własny, oddzielny podfolder. Po zeskanowaniu dokument jest pobierany przez użytkownika z jego podfolderu. Zadanie polega na nadaniu uprawnień tak, aby każdy użytkownik widział zawartość tylko swojego własnego podfolderu i nie miał dostępu do podfolderu kolegi.

W tym przykładzie nieco przeformułuję zadanie. Załóżmy, że tak udostępniony folder "ZDJĘCIE", w którym znajduje się podfolder dla każdego użytkownika. Konieczne jest takie skonfigurowanie uprawnień, aby użytkownik miał wszystkie uprawnienia w swoim podfolderze, a podfoldery innych użytkowników były dla niego niedostępne.

W przypadku tej konfiguracji całkowicie powtarzam wszystkie kroki z pierwszego przykładu. W wyniku powtórzeń nabywam prawa dla całej grupy „Koledzy do czytania” aby przeczytać wszystkie podfoldery. Ale moim zadaniem jest, aby użytkownik widział tylko „mój” podfolder. Dlatego w oknie uprawnień podstawowych klikam przycisk "Dodatkowo"

i przechodzę do okna uprawnień specjalnych, w którym wybieram grupę „Koledzy do czytania” i naciśnij przycisk "Zmiana"

W oknie, które się otworzy, zamiast wartości w polu zmieniam reguły dziedziczenia "Stosować:" Wybieram wartość „Tylko dla tego folderu”.

To jest najbardziej kluczowy moment ten przykład. Oznaczający „Tylko dla tego folderu” powoduje uprawnienia do odczytu dla grupy „Koledzy do czytania” stosuje się tylko do katalogu głównego folderu "ZDJĘCIE", ale nie do podfolderów. W ten sposób każdy użytkownik będzie mógł dostać się do swojego własnego folderu, ale nie będzie mógł zajrzeć do sąsiedniego; nie ma prawa przeglądać podfolderów. Jeśli w ogóle nie nadasz grupie tego prawa, użytkownicy w ogóle nie będą mogli dostać się do swoich podfolderów. System plików nie pozwoli im nawet na wejście do folderu "ZDJĘCIE".

W rezultacie użytkownicy będą mogli uzyskać dostęp do folderu "ZDJĘCIE" ale nie będą mogli przejść dalej do podfolderów!

W oknie uprawnień specjalnych kliknij "OK" i przejdź do poprzedniego okna, teraz w kolumnie „Zastosuj do” naprzeciwko grupy „Koledzy do czytania” warte swojej wartości „Tylko dla tego folderu”.

Kliknij we wszystkich oknach "OK" i wychodzimy.

Wszystko. Teraz pozostaje tylko skonfigurować uprawnienia osobiste dla każdego podfolderu. Należy to zrobić dla każdego podfolderu; prawa są osobiste dla każdego użytkownika.

W pierwszym przykładzie wykonałeś już wszystkie niezbędne czynności, powtórzmy to, co omówiliśmy :)

W podfolderze „Użytkownik1” Klikam prawym przyciskiem myszy i wybieram element menu "Nieruchomości", przejdź do zakładki "Bezpieczeństwo". Naciskam przycisk "Dodać"

i w standardowym oknie wyboru wybieram użytkownika domeny o nazwie „Użytkownik1”.

Pozostaje tylko zaznaczyć pole dotyczące prawa pozwolenia "Zmiana". W tym przypadku pole wyboru prawa zezwalającego "Nagrywać" zainstaluje się automatycznie.

Kliknij "OK". Wyjdźmy. Pozostaje powtórzyć podobne kroki dla wszystkich podfolderów.

Przykład 3. Zapewnienie użytkownikowi osobistego dostępu do zapisu w jego podfolderze z jednoczesnym zakazem modyfikacji lub usuwania.

Rozumiem, że to brzmi trudne, ale spróbuję wyjaśnić. Nazywam ten rodzaj dostępu zatrzaskiem. W życiu codziennym mamy podobną sytuację ze zwykłymi przez skrzynkę pocztową, do którego wrzucamy papierowe listy. Te. List możesz wrzucić do pudełka, ale nie możesz go wyjąć ze pudełka. W informatyce może się to przydać w sytuacji, gdy ktoś napisze Ci raport w folderze. Te. plik jest zapisywany przez użytkownika, ale wtedy użytkownik ten nie może już nic zrobić z tym plikiem. Dzięki temu masz pewność, że twórca nie będzie już mógł zmienić ani usunąć przesłanego raportu.

Podobnie jak w poprzednim przykładzie powtarzamy wszystkie kroki, z tą różnicą, że nie nadajemy użytkownikowi od razu pełnych praw do jego folderu, początkowo w uprawnieniach podstawowych dajemy jedynie dostęp do odczytu i klikamy przycisk "Dodatkowo"

W oknie, które zostanie otwarte, wybierz „Użytkownik1” i naciśnij przycisk "Zmiana"

W oknie, które zostanie otwarte, widzimy standardowe uprawnienia do odczytu

Aby nadać użytkownikowi prawo do tworzenia plików, ustaw uprawnienia w prawo „Tworzenie plików/zapisywanie danych” i po prawej stronie „Usuwanie podfolderów i plików” I "Usuwać" nałożyliśmy zakaz. Dziedziczenie pozostawiamy w standardzie „Dla tego folderu, jego podfolderów i plików”.

Po naciśnięciu przycisku "OK" i wracając do poprzedniego okna, widać istotne zmiany. Zamiast jednego wpisu dla „Użytkownik1” pojawiło się dwóch.

Dzieje się tak dlatego, że ustanowiono dwa rodzaje praw: jeden zakazujący, znajdujący się na pierwszym miejscu na liście, drugi zezwalający, znajdujący się na drugim miejscu. Ponieważ uprawnienia specjalne są niestandardowe, w kolumnie "Pozwolenie" warte swojej wartości "Specjalny". Po naciśnięciu przycisku "OK" pojawia się okno, w którym okna ostrzegają, że istnieją zabraniające prawa i że mają ich więcej wysoki priorytet. W tłumaczeniu oznacza to tę samą sytuację z samozamykającymi się drzwiami, do których klucze znajdują się w środku. Podobną sytuację opisałem w drugim przykładzie.

Wszystko. Prawa zostały ustalone. Teraz „Użytkownik1” będzie mógł zapisać dowolny plik w swoim folderze, otworzyć go, ale nie będzie mógł go zmienić ani usunąć.

Ale co z pełną analogią do prawdziwej skrzynki pocztowej?

Aby uniemożliwić użytkownikowi otwarcie lub skopiowanie nagranego pliku, wykonaj następujące czynności. Ponownie otwieramy, zezwalając na specjalne uprawnienia dla „Użytkownik1” i w terenie "Stosować:" zmień wartość na „Tylko dla tego folderu”

W takim przypadku użytkownik nie ma prawa czytać ani kopiować pliku.

Wszystko. Teraz analogia z fizyczną skrzynką pocztową jest już prawie kompletna. Będzie mógł zobaczyć jedynie nazwy plików, ich rozmiar, atrybuty, ale nie będzie mógł zobaczyć samego pliku.

Zobacz aktualne prawa.

Chcę od razu powiedzieć, że możliwość przeglądania aktualnych uprawnień do folderu lub pliku to kompletna fikcja. Moim zdaniem takie narzędzia powinny dostarczać gwarantowanych informacji. W tym przypadku tak nie jest. Sam Microsoft przyznaje, że narzędzie to nie uwzględnia wielu czynników wpływających na wynikające z nich uprawnienia, jak np. warunki logowania. Dlatego korzystanie z takiego narzędzia jest jedynie oszukiwaniem samego siebie co do realnych praw.

Opisany na samym początku artykułu przypadek z zakazem usuwania pliku z folderu jest w tym przypadku bardzo wymowny. Jeśli przeprowadzisz symulację podobnej sytuacji i przyjrzysz się prawom pliku chronionego przed usunięciem, zobaczysz, że uprawnienia pliku do usunięcia są zabronione. Jednak usunięcie tego pliku nie jest trudne. Dlaczego Microsoft to zrobił, nie wiem.

Jeśli mimo to zdecydujesz się przyjrzeć aktualnym uprawnieniom, to w tym celu należy kliknąć przycisk w oknie uprawnień podstawowych "Dodatkowo", a w oknie uprawnień specjalnych przejdź do zakładki „Ważne pozwolenia”.

Następnie musisz nacisnąć przycisk "Wybierać" i w standardowym oknie wyboru wybierz żądanego użytkownika lub grupę.

Po wybraniu możesz zobaczyć „przybliżone” ważne uprawnienia.

Podsumowując, chcę powiedzieć, że temat praw do systemu plików NTFS jest bardzo obszerny; powyższe przykłady to tylko niewielka część tego, co można zrobić. Dlatego jeśli masz jakieś pytania, zadaj je w komentarzach do tego artykułu. Spróbuję na nie odpowiedzieć.

Jak włączyć nagrywanie?

Odpowiedź mistrza:

Wielu użytkowników z ograniczonym kontem boryka się z problemami pojawiającymi się podczas zapisywania plików na dyskach wymiennych. Oczywiście takie problemy mogą wystąpić, jeśli dysk flash działa nieprawidłowo lub występują problemy z formatowaniem.

Jeżeli występuje problem z zapisem na używany dysk, jeżeli użytkownik posiada na komputerze ograniczone konto, należy zmienić parametr uniemożliwiający zapis. Aby to zrobić, po pobraniu przejdź do system operacyjny z uprawnieniami i w ramach konta „Administrator”. Teraz musisz zmienić ustawienia swojego konta, aby konto o ograniczonych możliwościach miało możliwość kopiowania informacji na nośniki wymienne.

Teraz pozostaje tylko zastosować zmiany i zamknąć okna przyciskiem OK. Po ponownym uruchomieniu komputera, co jest konieczne, aby zmiany odniosły skutek, zaloguj się ponownie do systemu operacyjnego przy użyciu swojego konta z ograniczonym konto. W ramach testu skopiuj jakiś plik na dysk wymienny.

Zdarza się, że dysk flash jest celowo chroniony przed zapisem. Aby to wyeliminować, dokładnie zastanów się, jak mały przełącznik znajduje się z boku dysku flash - powinien znajdować się w pozycji Odblokowany. Najczęściej takich działań wymagają dyski używane w aparatach, telefonach, odtwarzaczach i innych urządzeniach z SD i Karty microSD pamięć.

Przełącznik czytnika kart również wymaga szczególnej uwagi, jeśli jest używany jako adapter do podłączenia urządzenia. I dotyczy to adapterów MicroSD, które kształtem przypominają zwykłą kartę SD.

Dowiedz się, czy Twoja karta flash jest chroniona hasłem? W takim przypadku należy go odblokować na urządzeniu, na którym został umieszczony w bloku. Obecność blokady na dysku flash nie pozwoli na zapis na nim.

Ale zdarza się, że inne, niewyjaśnione przyczyny uniemożliwiają nagranie. Oznacza to, że dysk flash wymaga sformatowania i nie tylko standardowe programy w systemie Windows! Aby to zrobić, pobierz i zainstaluj na swoim komputerze specjalne narzędzia, opracowany przez producenta dysku flash. Narzędzia pomogą Ci sformatować i naprawić błędy na dysku wymiennym.