Інформація взята з тринадцятого розділу книги «Windows 2000. Керівництво адміністратора». Автор Вільям Р. Станек (William R. Stanek).

На томах з файловою системою NTFS можна встановити роздільну здатність безпеки для файлів і папок. Ці дозволи надають або забороняють доступ до файлів та папок. Щоб переглянути поточні дозволи безпеки, виконайте такі дії:

Загальне уявлення про дозволи для файлів та папок

У Таблиці 13-3 відображені базові дозволи, які застосовуються до файлів та папок.
Існують такі базові дозволи на доступ до файлів: Повний доступ (Full Control), Змінити (Modify), Читання та Виконання (Read & Execute), Читання (Read) та Запис (Write).
Для папок застосовні такі базові дозволи: Повний доступ (Full Control), Змінити (Modify), Читання та Виконання (Read & Execute), Список вмісту папки (List Folder Contents), Читання (Read) та Запис (Write).

При встановленні дозволів для файлів та папок завжди слід враховувати наступне:

	Для запуску сценаріїв достатньо мати дозвіл на читання (Read). Дозвіл на виконання файлу (особлива роздільна здатність Execute File) не обов'язково.
	Для доступу до ярлика та пов'язаного об'єкта потрібен дозвіл на читання (Read).
	Дозвіл на Запис у файл (особлива роздільна здатність Write Data) за відсутності дозволу на Видалення файлу (особлива роздільна здатність Delete) все ще дозволяє користувачеві видаляти вміст файлу.
	Якщо користувач має базову роздільну здатність Повний доступ (Full Control) до папки, він може видаляти будь-які файли в такій папці, незалежно від дозволів на доступ до цих файлів. Таблиця 13-3 – Базові дозволи для файлів та папок у Windows 2000 Базовий дозвіл Значення для папок Значення для файлів Читання (Read) Дозволяє перегляд папок та перегляд списку файлів та папок Дозволяє перегляд та доступ до вмісту файлу Запис (Write) Дозволяє додавання файлів та папок Дозволяє запис даних у файл Дозволяє перегляд папок та перегляд списку файлів та підпапок; успадковується файлами та папками Дозволяє перегляд і доступ до вмісту файлу, а також запуск виконуваного файлу Дозволяє перегляд папок та перегляд списку файлів та підпапок; успадковується лише папками Не застосовується Змінити (Modify) Дозволяє перегляд вмісту та створення файлів та підпапок; допускає видалення папки Дозволяє читання та запис даних у файл; допускає видалення файлу Повний доступ (Full Control) Дозволяє перегляд вмісту, а також створення, зміну та видалення файлів та папок Дозволяє читання та запис даних, а також зміна та видалення файлу Базові дозволи створені з допомогою об'єднання в логічні групи спеціальних дозволів, які у Таблиці 13-4 (для файлів) і 13-5 (для папок). Особливі дозволи можна призначити індивідуально за допомогою додаткових параметрів налаштування. При вивченні особливих дозволів для файлів необхідно враховувати наступне:
	Якщо групі або користувачу явно не визначено права доступу, доступ до файлу для них закритий.
	При обчисленні чинних дозволів користувача беруться до уваги всі дозволи, призначені користувачеві, а також групам, членом яких він є. Наприклад, якщо користувач GeorgeJ має доступ до Читання (Read), і в той же час входить до групи Techies, у якої доступ на зміну (Modify), то в результаті, у користувача GeorgeJ з'являється доступ на зміну (Modify). Якщо групу Techies включити до групи Адміністратори з повним доступом (Full Control), то GeorgeJ буде повністю контролювати файл. Таблиця 13-4 – Особливі дозволи для файлів Особливі дозволи Повний доступ (Full Control) Змінити (Modify) Читання та виконання (Read & Execute) Читання (Read) Запис (Write) Виконання файлів (Execute File) X X X Читання даних (Read Data) X X X X X X X X X X X X Запис даних (Write Data) X X X Дозапис даних (Append Data) X X X X X X X X X Вилучення (Delete) X X X X X X X X X У Таблиці 13-5 показані спеціальні дозволи, які використовуються для створення базових дозволів для папок. При вивченні спеціальних дозволів для папок необхідно враховувати наступне:
	При встановленні дозволів для батьківської папки можна привести елементи дозволів файлів і підпапок у відповідність до дозволів поточної батьківської папки. Для цього потрібно встановити прапорець Скинути дозволи для всіх дочірніх об'єктів і включити перенесення наслідуваних дозволів.
	Створювані файли успадковують деякі дозволи батьківського об'єкта. Ці дозволи показані як роздільна здатність файлу за промовчанням. Таблиця 13-5 – Особливі дозволи для папок Особливі дозволи Повний доступ (Full Control) Змінити (Modify) Читання та виконання (Read & Execute) Список папки (List Folder Contents) Читання (Read) Запис (Write) Огляд папок (Traverse Folder) X X X X Зміст папки (List Folder) X X X X X Читання атрибутів (Read Attributes) X X X X X Читання додаткових атрибутів (Read Extended Attributes) X X X X X Створення файлів (Create Files) X X X Створення папок (Create Folders) X X X Запис атрибутів (Write Attributes) X X X Запис додаткових атрибутів (Write Extended Attributes) X X X Видалення підпапок та файлів (Delete Subfolders and Files) X Вилучення (Delete) X X Читання дозволів (Read Permissions) X X X X X X Зміна дозволів (Change Permissions) X Зміна власника (Take Ownership) X

Встановлення дозволів для файлів та папок

Для встановлення дозволів для файлів та папок виконайте таке:

1.	Виберіть файл або папку та клацніть правою кнопкоюмиші.
2.	У контекстному менювиберіть команду Властивості (Properties)і в діалоговому вікні перейдіть на вкладку Безпека (Security), показану на малюнку 13-12. Рисунок 13-12 – Налаштування базових дозволів для файлів або папок на вкладці Безпека (Security)
3.	В списку Ім'я (Name)перераховані користувачі або групи, які мають доступ до файлу чи папки. Щоб змінити дозволи для цих користувачів або груп, виконайте такі дії: Виділіть користувача або групу, дозволи для яких потрібно змінити. Використовуйте список Дозволи: (Permissions)для завдання чи скасування дозволів. Порада.Прапорці успадкованих дозволів затінені. Щоб скасувати успадкований дозвіл, змініть його на протилежне.
4.	Для встановлення дозволів користувачам, контактам, комп'ютерам або групам, яких немає у списку Ім'я (Name), натисніть кнопку Додати (Add). З'явиться діалогове вікно, показане на малюнку 13-13. Рисунок 13-13 – Виділіть користувачів, комп'ютери та групи, для яких потрібно дозволити або заборонити доступ.
5.	Використовуйте діалогове вікно Вибір: Користувач, Комп'ютер або Група (Select Users, Computers, Or Groups)для вибору користувачів, комп'ютерів або груп, для яких Ви бажаєте встановити дозволи на доступ. Це вікно містить поля, опис яких наводиться нижче: Шукати в (Look In)Цей розкривний список дозволяє переглянути доступні облікові записи інших доменів. У тому числі список поточного домену, довірених доменів та інших доступних ресурсів. Щоб побачити всі облікові записи в папці, виберіть Весь каталог (Entire Directory). Ім'я (Name)Ця колонка відображає наявні облікові записи вибраного домену або ресурсу. Додати (Add)Ця кнопка додає виділені імена до списку вибраних імен. Перевірити імена (Check Names)Ця кнопка дозволяє перевірити імена користувачів, комп'ютерів або груп у списку вибраних імен. Це може бути корисно, коли вводяться імена вручну і необхідно переконатися в їх правильності.
6.	В списку Ім'я (Name)перейдіть до користувача, контакту, комп'ютера або групи для налаштування, а потім встановіть або зніміть прапорці в області Дозволи: (Permissions)визначення прав доступу. Повторіть ці дії для інших користувачів, комп'ютерів або груп.
7.	Після завершення роботи натисніть кнопку Добре.

Аудит системних ресурсів

Застосування аудиту – це кращий спосібдля відстеження подій у системах Windows 2000. Аудит можна використовувати для збирання інформації, пов'язаної з використанням будь-якого ресурсу. Прикладами подій для аудиту можна назвати доступ до файлу, вхід до системи та зміни системної конфігурації. Після включення аудиту об'єкта до журналу безпеки системи заносяться записи при будь-якій спробі доступу до цього об'єкта. Журнал безпеки можна переглянути з оснастки Перегляд подій (Event Viewer).

Примітка.Для зміни більшості налаштувань аудиту необхідно увійти до системи з обліковим записом «Адміністратор» або члена групи «Адміністратори», або мати право Управління аудитом та журналом безпеки (Manage Auditing And Security Log)у груповій політиці.

Встановлення політик аудиту

Застосування політик аудиту суттєво підвищує безпеку та цілісність систем. Практично кожна комп'ютерна системау мережі має бути налаштована з веденням журналів безпеки. Налаштування політик аудиту доступне в оснащенні Групова політика (Group Policy). За допомогою цього компонента можна встановити політики аудиту для цілого сайту, домену або підрозділу. Політики також можуть бути задані для робочих станцій або серверів.

Після вибору необхідного контейнера групової політики можна налаштувати політики аудиту так:

1.	Як показано на малюнку 13-14, знайти вузол можна просуваючись вниз по дереву консолі: Конфігурація комп'ютера (Computer Configuration), Конфігурація Windows (Windows Settings), Параметри безпеки (Security Settings), Локальні політики (Local Policies), Політика аудиту (Audit Policy). Рисунок 13-14 – Налаштування політики аудиту за допомогою вузла Політика аудиту (Audit Policy) у Груповій політиці (Group Policy).
2.	Існують такі категорії аудиту: Аудит подій входу до системи (Audit Account Logon Events)відстежує події, пов'язані з входом користувача до системи та виходом із неї. Аудит управління обліковими записами (Audit Account Management)відстежує всі події, пов'язані з керуванням обліковими записами, засобами оснащення . Записи аудиту з'являються під час створення, зміни або видалення облікових записів користувача, комп'ютера або групи. Відстежує події доступу до каталогу Active Directory. Записи аудиту створюються щоразу при доступі користувачів або комп'ютерів до каталогу. Відстежує події входу або виходу з системи, а також видалені мережеві підключення. Відстежує використання системних ресурсівфайлами, каталогами, спільними ресурсами та об'єктами Active Directory. Аудит зміни політики (Audit Policy Change)відстежує зміни політик призначення прав користувачів, аудиту або політик довірчих відносин. Відслідковує кожну спробу застосування користувачем наданого йому права чи привілею. Наприклад, права архівувати файли та каталоги. Примітка.Політика Аудит використання привілеїв (Audit Privilege Use)не відстежує події, пов'язані з доступом до системи, такі як використання права на інтерактивний вхід до системи або доступ до комп'ютера з мережі. Ці події відстежуються за допомогою політики Аудит входу до системи (Audit Logon Events). Аудит відстеження процесів (Audit Process Tracking)відстежує системні процеси та ресурси, що використовуються ними. Аудит системних подій (Audit System Events)відстежує події увімкнення, перезавантаження або вимкнення комп'ютера, а також події, що впливають на системну безпеку або відображаються в журналі безпеки.
3.	Для налаштування політики аудиту двічі клацніть на потрібній політиці, або виберіть у контекстному меню обраної політики команду Властивості (Properties). Після цього відкриється діалогове вікно Параметр локальної політики безпеки (Properties).
4.	Встановіть прапорець Визначити наступний параметр політики (Define These Policy Settings). Потім встановіть або зніміть прапорці Успіх (Success)і Відмова (Failure). Аудит успіхів означає створення запису аудиту для кожної успішної події (наприклад, успішної спроби входу до системи). Аудит відмов означає створення запису аудиту для кожної невдалої події (наприклад, невдалої спроби входу до системи).
5.	Після завершення натисніть кнопку OK.

Аудит операцій з файлами та папками

Якщо задіяна політика Аудит доступу до об'єктів (Audit Object Access), можна використовувати аудит на рівні окремих папок та файлів. Це дозволить точно відстежувати їхнє використання. Ця можливістьдоступна лише на томах із файловою системою NTFS.

Для налаштування аудиту файлу та папки виконайте наступне:

1.	У Провіднику ( Windows Explorer) Виберіть файл або папку, для якої потрібно настроїти аудит. У контекстному меню виберіть команду Властивості (Properties).
2.	Перейдіть на вкладку Безпека (Security), а потім натисніть кнопку Додатково (Advanced).
3.	У діалоговому вікні перейдіть на вкладку Аудит (Auditing), показану на малюнку 13-15. Рисунок 13-15 – Налаштування політик аудиту для окремих файлів або папок на вкладці Аудит (Auditing).
4.	Щоб параметри аудиту успадковувалися від батьківського об'єкта, повинен стояти прапорець Переносити аудит на цей об'єкт (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.	Щоб дочірні об'єкти успадкували параметри аудиту поточного об'єкта, встановіть прапорець Скинути елементи аудиту для всіх дочірніх об'єктів та включити перенесення наслідуваних елементів аудиту (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
6.	Використовуйте список Видалити (Remove).
7.	Додати (Add)для появи діалогового вікна OKз'явиться діалогове вікно Елемент аудиту для Ім'я папки або файлу , показане на малюнку 13-16. Примітка.Якщо ви бажаєте відстежувати дії всіх користувачів, використовуйте спеціальну групу Усі (Everyone). В інших випадках для аудиту вибирайте окремих користувачів чи групи у будь-яких комбінаціях. Малюнок 13-16 – Діалогове вікно Елемент аудиту для Ім'я папки або файлу(Auditing Entry For New Folder), який використовується для встановлення елементів аудиту користувачеві, контакту, комп'ютеру або групі.
8.	Застосовувати (Apply Onto).
9.	Встановіть прапорці Успіх (Successful)та/або Відмова (Failed)для необхідних подій аудиту. Аудит успіху означає створення запису аудиту для успішної події (наприклад, успішного читання файлу). Аудит відмов означає створення запису аудиту для невдалої події (наприклад, невдалої спроби видалення файлу). Події для аудиту збігаються з особливими дозволами (Таблиці 13-4 та 13-5) за винятком синхронізації автономних файлів та папок, аудит якої неможливий.
10.	Після завершення натисніть кнопку OK. Повторіть ці кроки, щоб настроїти аудит інших користувачів, груп або комп'ютерів.

Аудит об'єктів каталогу Active Directory

Якщо задіяна політика Аудит доступу до служби каталогів (Audit Directory Service Access), можна використовувати аудит на рівні об'єктів служби каталогів Active Directory. Це дозволить точно відстежувати їхнє використання.

Для налаштування аудиту об'єкта виконайте наступне:

1.	У оснащенні Active Directory - користувачі та комп'ютери (Active Directory Users And Computers)Виберіть контейнер об'єкта.
2.	Клацніть по об'єкту для аудиту правою кнопкою миші та в контекстному меню виберіть команду Властивості (Properties).
3.	Перейдіть на вкладку Безпека (Security)та натисніть кнопку Додатково (Advanced).
4.	Перейдіть на вкладку Аудит (Auditing)діалогового вікна Параметри керування доступом (Access Control Settings). Щоб параметри аудиту успадковувалися від батьківського об'єкта, повинен стояти прапорець Переносити аудит на цей об'єкт (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.	Використовуйте список Елементи аудиту (Auditing Entries)для вибору користувачів, комп'ютерів або груп, дії яких будуть відстежуватись. Щоб видалити обліковий запис з цього списку, виберіть його та натисніть кнопку Видалити (Remove).
6.	Щоб додати обліковий запис, натисніть кнопку Додати (Add). З'явиться діалогове вікно Вибір: Користувачі, Контакти, Комп'ютери або Групи (Select Users, Contacts, Computers, Or Groups), у якому виберіть обліковий запис для додавання. Коли натиснете OKз'явиться діалогове вікно Елемент аудиту для Ім'я папки або файлу(Auditing Entry For New Folder).
7.	Якщо необхідно уточнити об'єкти для застосування налаштувань аудиту, скористайтесь розкривним списком Застосовувати (Apply Onto).
8.	Встановіть прапорці Успіх (Successful)та/або Відмова (Failed)для необхідних подій аудиту. Аудит успіху означає створення запису аудиту для кожної успішної події (наприклад, успішного читання файлу). Аудит відмови означає створення запису аудиту для кожної невдалої події (наприклад, невдалої спроби видалення файлу).
9.	Після завершення натисніть кнопку OK. Повторіть ці кроки, щоб настроїти аудит інших користувачів, контактів, груп або комп'ютерів.

Матеріал узятий із книги «Windows 2000. Керівництво адміністратора». Автор Вільям Р. Станек (William R. Stanek). © Microsoft, 1999. Всі права захищені.

Файлова система NTFS дозволяє налаштовувати дозволи на доступ до окремих папок або файлів для окремих користувачів. Ви можете налаштувати доступ до папок/файлів так, як хочете: закрити доступ до своїх файлів для одних користувачів та відкрити доступ іншим користувачам. У такому разі перші зможуть працювати з Вашими документами, а другі побачать перед собою вікно з повідомленням. Відмовлено у доступі до файлу». Але можливості налаштування доступу до папок/файлів не обмежуються лише тим, чи можуть або не можуть користувачі достукатися до Ваших документів. Ви можете конкретизувати дозволи на доступ. Так, хтось із користувачів зможе лише прочитати документ, а хтось зможе змінити його.

Як відкрити або закрити доступ до файлів або папок у Windows?

Щоб налаштувати права доступу до файлу/папки, потрібно вибрати пункт Властивостіу контекстному меню файлу/папки. У вікні необхідно перейти у вкладку Безпека. Далі перед Вами представлено два способи налаштування прав доступу.

1. Натискаємо кнопку Змінити. Після чого спостерігаємо таку картину:
   У цьому вікні ми можемо додати або видалити користувача або групу користувачів, для яких ми хочемо налаштувати права доступу до цього об'єкта. Для цього необхідно використовувати кнопки Додатиі видалити. Після того як Ви вибрали користувачів, для яких хочете налаштувати відповідні права доступу, по черзі виділіть їх та наділіть відповідними правами на основу різних . Щоб дозволити або навпаки заборонити доступ, необхідно наділити галочкою відповідні пункти. Щоб зберегти зміни, тисніть Застосувати, після чого ОК.
2. Тиснемо кнопку Додатково. Це вікно надає додаткові можливостіналаштування прав доступу до об'єкта.
   
   Функціонал, представлений у першому пункті, міститься у вкладці Дозволи. За допомогою кнопок Додатиі видалитиВи можете відповідно додати користувачів до списку або видалити їх. Щоб виставити відповідні дозволи для вибраного користувача або , необхідно скористатися кнопкою Змінити.
   
   У спадному меню Ви можете вибрати тип дозволу (дозволити або заборонити), а у випадку з папками, Ви можете вибрати область дії даних правил. Як бачите, це вікно надає все ті ж до об'єкта. Але якщо натиснути кнопку Відображення додаткових дозволів, то Ви отримаєте цілих .

   

   Вибір відповідних дозволів здійснюється шляхом додавання галочки навпроти відповідного пункту.

   Вкладка Аудитдозволяє настроїти документування різних спроб доступу до файлу/папки. Так, Ви можете отримувати повідомлення щоразу, коли хтось успішно або безуспішно відкриває папку/файл, коли хтось змінює назву або вміст документа тощо. Ви можете вести аудит як успішних, так і безуспішних дій. Для аудиту також можна налаштувати область його дії. Задокументовані дані можна буде переглянути у Журналі подій.

   Вкладка Чинні права доступупокаже права доступу до об'єкта для вибраного користувача.

Дозволити чи заборонити доступ?

Перед тим, як почати навішувати галочки для будь-яких користувачів, варто знати наступне: права доступу повинні бути явно налаштовані. Це означає, що для доступу до об'єкта необхідно отримати явний дозвіл. А щоб доступу до об'єкта не було, достатньо взагалі не виділяти жодних дозволів. Адже якщо Ви явно не вказали дозвіл доступу, то користувач не зможе отримати доступ до цього об'єкта. Тому виникає резонне питання, чому взагалі потрібен тип дозволу Заборонити? А для цього потрібно знати ще два правила:

1. Тип дозволу Заборонитимає пріоритет над типом Дозволити.
2. Підсумкові для користувача виходять шляхом підсумовування всіх правил доступу до даного об'єкта.

Якщо з першим пунктом питань не повинно бути, то другий вимагає пояснення. Розглянемо на прикладі: якщо до папки papkaзвичайний користувач userмає дозвіл на читання та запис, а група Користувачімають дозвіл лише на читання папки papka, то підсумкові права доступу для користувача userбудуть дозволяти і читання, і запис щодо цієї папки, що суперечить політиці, за якою Користувачі можуть лише читати цю папку. Саме тому і потрібен тип дозволу Заборонити. Якщо по одній політиці доступ до файлу у користувача повинен бути, а по-іншому - ні, то необхідно заборонити доступ до файлу, адже інакше він у нього з'явиться, а це суперечить другій політиці.

Саме для того, щоб полегшити підсумовування всіх правил доступу до об'єкта, існує вкладка Чинні права доступу.

Користувачі, Адміністратори, Перевірку і так далі

На додаток до всього перерахованого необхідно знати, що всі користувачі, незалежно від налаштованих прав доступу, за замовчуванням входять до групи Користувачі. І за замовчуванням на всі об'єкти (крім деяких об'єктів операційної системи) користувачі цієї групи мають доступ до читання та зміни. А ось користувачі із групи Адміністраториза промовчанням мають повний доступ до всіх об'єктів системи. До групи користувачів Ті, хто пройшов перевіркувходять будь-які користувачі, які увійшли до системи. Дозволи доступу вони приблизно рівні з правами доступу звичайних користувачів.

Знаючи це, Ви можете позбавити себе зайвої роботи з надання повного доступу для певного користувача з адміністративними правами або з налаштування прав доступу на читання та запис для звичайного користувача. Все це вже зроблено.

До того ж, не варто видаляти перераховані вище групи з прав доступу до будь-якого об'єкта. Також не варто видавати заборону доступу для цих груп. Навіть якщо Ви користувач з адміністративними правами, то заборона доступу до групи Користувачідо будь-якого об'єкта безцеремонно вдарить Вас у шию, оскільки Ви також є користувачем цієї групи. Тому будьте обережні і не намагайтеся вносити зміни до стандартних налаштувань.

Комп'ютери, що працюють під управлінням операційних систем Windows, можуть працювати з різними файловими системами, такими як FAT32 та NTFS. Не вдаючись у подібності можна сказати одне, що вони відрізняються головним – файлова система NTFS дозволяє налаштовувати параметри безпеки для кожного файлу або папки (каталогу). Тобто. для кожного файлу або папки файлова система NTFS зберігає так звані списки ACL (Access Control List), в яких перераховані всі користувачі та групи, які мають певні права доступу даному файлуабо папці. Файлова система FAT32 така можливість позбавлена.

У файловій системі NTFS кожен файл або папка може мати такі права безпеки:

• Читання— Дозволяє перегляд папок та перегляд списку файлів та папок, перегляд та доступ до вмісту файлу;
• Запис- Дозволяє додавання файлів та підпапок, запис даних у файл;
• Читання та виконання— Дозволяє перегляд папок та перегляд списку файлів та підпапок, дозволяє перегляд та доступ до вмісту файлу, а також запуск виконуваного файлу;
• Список вмісту папки— Дозволяє перегляд папок та перегляд лише списку файлів та папок. Доступ до вмісту файлу ця роздільна здатність не дає!;
• Змінити— Дозволяє перегляд вмісту та створення файлів та підпапок, видалення папки, читання та запис даних у файл, видалення файлу;
• Повний доступ— Дозволяє перегляд вмісту, створення, зміна та видалення файлів та папок, читання та запис даних, а також зміна та видалення файлу

Перелічені вище права є базовими. Базові права складаються з особливих прав. Особливі права — це докладніші права, у тому числі формуються базові права. Використання спеціальних прав дає дуже велику гнучкість при налаштуванні прав доступу.

Список особливих прав доступу до файлів та папок:

• Огляд папок/Виконання файлів— Дозволяє переміщення структурою папок у пошуках інших файлів або папок, виконання файлів;
• Зміст папки/Читання даних- Дозволяє перегляд імен файлів або підпапок, що містяться в папці, читання даних із файлу;
• Читання атрибутів— Дозволяє перегляд таких атрибутів файлу чи папки, як «Тільки читання» та «Прихований»;
• Читання додаткових атрибутів— Дозволяє перегляд додаткових атрибутів файлу чи папки;
• Створення файлів / Запис даних— Дозволяє створення файлів у папці (застосовується лише до папок), внесення змін до файлу та запис поверх наявного вмісту (застосовується лише до файлів);
• Створення папок / Дозапис даних— Дозволяє створення папок у папці (застосовується тільки до папок), внесення даних до кінця файлу, але не зміна, видалення або заміну наявних даних (застосовується лише до файлів);
• Запис атрибутів- Дозволяє або забороняє зміну таких атрибутів файлу або папки, як "Тільки читання" та "Прихований";
• Запис додаткових атрибутів- Дозволяє або забороняє зміну додаткових атрибутів файлу чи папки;
• Видалення підпапок та файлів— Дозволяє видалити підпапки та файли навіть за відсутності дозволу «Видалення» (застосовується тільки до папок);
• Вилучення— Дозволяє видалити файл або папку. Якщо для файлу або папки немає роздільної здатності «Видалення», об'єкт можна видалити за наявності дозволу «Видалення підпапок та файлів» для батьківської папки;
• Читання дозволів— Дозволяє читати такі дозволи на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна дозволів— Дозволяє зміну таких дозволів на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна власника- Дозволяє вступати у володіння файлом або папкою;
• Синхронізація— Дозволяє очікувати різними потоками файлів або папок та синхронізувати їх з іншими потоками, які можуть займати їх. Ця роздільна здатність застосовується лише до програм, що виконуються в багатопотоковому режимі з кількома процесами;

!!!Всі базові та особливі права є як вирішальними, так і забороняючими.

Усі дозволи файлів і папок поділяються на два види: явні та успадковані. Механізм успадкування має на увазі автоматичну передачу чогось від батьківського об'єкта дочірньому. У файловій системі це означає, що будь-який файл або папка можуть успадковувати свої права батьківської папки. Це дуже зручний механізм, що позбавляє необхідності призначати явні права для всіх новостворених файлів і папок. Уявіть, що у вас на якомусь диску кілька тисяч файлів та папок, як їм усім роздати права доступу, сидіти та призначати кожному? Ні. Тут працює механізм успадкування. Створили папку в корені диска, папка автоматично отримала такі самі права, як і корінь диска. Змінили права для новоствореної папки. Потім усередині створеної папки створили ще вкладену папку. У цій новоствореній вкладеній папці права успадковуються від батьківської папки і т.д. і т.п.

Результатом застосування явних та успадкованих прав будуть фактичні права на конкретну папку або файл. Підводного каміння при цьому дуже багато. Наприклад, у вас є папка, в якій ви дозволяєте користувачеві "Вася" видаляти файли. Потім ви згадуєте, що в цій папці є один дуже важливий файл, який Вася в жодному разі не повинен видалити. Ви встановлюєте на важливий файл явну заборону (особливе право заборони «Видалення»). Здавалося б, справа зроблена, файл явно захищений від видалення. А Вася спокійно заходить до папки та видаляє цей суперзахищений файл. Чому? Тому, що Вася має права віддалення від батьківської папки, які в даному випадку є пріоритетними.

Намагайтеся не користуватися призначенням прав безпосередньо на файли, призначайте права на папки.

!!! Намагайтеся призначати права лише для груп, що значно спрощує адміністрування. Призначення прав для конкретних користувачів не рекомендується Microsoft. Не забувайте, що до групи можуть входити не лише користувачі, а й інші групи.

Наприклад. Якщо комп'ютер включено в домен, то до його локальної групи «Користувачі» автоматично додається група «Domain Users» (користувачі домену), а до локальної групи «Адміністратори» автоматично додається група «Domain Admins» (адміністратори домену), і відповідно, призначаючи на будь-яку папку права групі локальних користувачів, ви автоматично призначаєте права всіх користувачів домену.

Не турбуйтеся якщо все описане вище відразу не дуже зрозуміло. Приклади та самостійна робота швидко виправлять становище!

Переходимо до конкретики.

Всі приклади я показуватиму на прикладі вікон Windows XP. У Windows 7 і вище суть залишилася ідентичною, тільки вікон стало трохи більше.

Отже, щоб призначити або змінити права на файл або паку, необхідно в провіднику натиснути правою клавішею мишки на потрібний файл або папку вибрати пункт меню «Властивості»

У вас має відчинитися вікно із закладкою «Безпека»

Якщо такої закладки немає, тоді робимо таке. Запускаємо Провідник, потім відкриваємо меню «Сервіс»—"Властивості папки…"

У вікні, що відкрилося, переходимо на закладку «Вид» і знімаємо галочку з параметра «Використовувати простий загальний доступдо файлів (рекомендується)»

Все, тепер вам доступні всі властивості файлової системи NTFS.

Повертаємось до закладки «Безпека».

У вікні нам доступно багато інформації. Зверху знаходиться список «Групи та користувачі:», в якому перераховані всі користувачі та групи, які мають права доступу до папки (стрілка 1). У нижньому списку показано дозволи для виділеного користувача/групи (стрілка 2). У разі це користувач SYSTEM. У цьому списку дозволів є базові дозволи. Зверніть увагу, що у колонці «Дозволити»галочки мають бляклий колір та не доступні для редагування. Це говорить про те, що ці права успадковані від батьківської папки. Ще раз, у цьому випадку всі права користувача SYSTEM на папку «Робоча»повністю успадковані від батьківської папки, і користувач SYSTEM має всі права ( "Повний доступ")

Виділяючи у списку потрібну групу чи користувача, ми можемо переглянути базові права цієї групи чи користувача. Виділивши користувача «Гостьовий користувач ( [email protected])» можна побачити, що у нього всі права явні

А ось гурт «Користувачі (KAV-VM1\Користувачі»)має комбіновані права, частина з них успадкована від батьківської папки (сірі квадратики навпроти «Читання та виконання», "Список вмісту папки", «Читання»), а частина встановлено явно – це право «Змінити»і «Запис»

!!!Увага. Зверніть увагу на назви користувачів та груп. У дужках вказується приналежність групи чи користувача. Групи та користувачі можуть бути локальними, тобто. створеними безпосередньо на цьому комп'ютері, а можуть бути доменними. У цьому випадку група «Адміністратори»локальна, оскільки запис у дужках вказує ім'я комп'ютера KAV-VM1, а після слеша вже йде сама назва групи. Навпаки, користувач «Гостьовий користувач»є користувачем домену btw.by, на це вказує запис повного імені [email protected]

Найчастіше під час перегляду або зміни прав можна обмежитися вікном з базовими правами, але іноді цього недостатньо. Тоді можна відкрити вікно, в якому змінюються особливі дозволи, власник або переглядаються чинні дозволи. Як це зробити? Натискаємо на кнопку «Додатково». Відкривається таке вікно

У цьому вікні у таблиці «Елементи дозволів»перераховані всі користувачі, які мають права на цю папку. Так само, як і для базових дозволів, ми виділяємо потрібного користувача або групу та натискаємо кнопку «Змінити». Відкривається вікно, де показано всі особливі дозволи для виділеного користувача або групи

Аналогічно базовим дозволам, спеціальні дозволи, успадковані від батьківської папки, будуть показані бляклим сірим кольором і не будуть доступні для редагування

Як ви вже могли помітити, у вікні спеціальних дозволів для деяких користувачів чи груп є кілька рядків.


Це відбувається тому, що для одного користувача або групи можуть бути різні види прав: явні та успадковані, які дозволяють або забороняють, що різняться за видом спадкування. У цьому випадку права на читання для групи «Користувачі» успадковуються від батьківської папки, а права на зміну додані явно.

Приклади призначення прав.

!!! Усі приклади будуть йти з наростанням складності. Читайте та розбирайтеся з ними в такій же послідовності, як вони йдуть у тексті. Однотипні дії в наступних прикладах опускатиму, щоб скоротити обсяг тексту. 🙂

Приклад 1. Надання права доступу до папки певній локальній групі безпеки лише читання.

Спочатку створимо локальну групу, до якої включимо весь список потрібних користувачів. Можна і без групи, але тоді для кожного користувача потрібно буде налаштовувати права окремо, і щоразу, коли знадобиться дати права новій людині, потрібно робити всі операції знову. А якщо права надати локальній групі, то налаштування нової людини знадобиться лише одне дію – включення цієї людини у локальну групу. Як створити локальну групу безпеки читаємо у статті "Налаштування локальних груп безпеки".

Отже. Ми створили локальну групу безпеки з ім'ям «Колегам для читання»,


у яку додали всіх потрібних користувачів.

Тепер налаштовую права доступу до папки. У цьому прикладі я зроблю права доступу до створеної групи «Колегам для читання»на папку "Фото".

Натискаю правою кнопкою мишки на папку «ФОТО»та вибираю пункт меню «Властивості», переходжу на закладку «Безпека».

У закладці, що відкрилася «Безпека»відображаються поточні права папки «ФОТО». Виділивши групи та користувачів у списку, можна побачити, що права цієї папки успадковуються від батьківської папки (сірі галочки в стовпці «Дозволити»). У цій ситуації я не хочу, щоб хтось, окрім новоствореної групи, мав хоч якийсь доступ до папки. «ФОТО».

Тому я повинен прибрати спадкування прав і видалити непотрібних користувачів та групи зі списку. Натискаю кнопку «Додатково». У вікні,


прибираю галочку з пункту «Наслідувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволи, додаючи їх до явно заданих у цьому вікні.» . При цьому відкриється вікно, в якому я зможу вибрати, що робити з успадкованими правами.

Найчастіше я раджу натискати тут кнопку «Копіювати», тому що якщо вибрати "Видалити", то список прав стає порожнім, і ви можете фактично забрати права у себе. Так, не дивуйтеся, що це дуже легко зробити. І якщо ви не адміністратор на своєму комп'ютері, чи не користувач групи «Оператори архіву», то відновити права вам буде неможливо. Ситуація нагадує двері з автоматичною клямкою, яку ви закриваєте, залишаючи ключі всередині. Тому краще завжди натискайте кнопку «Копіювати»а потім видаляйте непотрібне.

Після того, як я натиснув «Копіювати»,я знову повертаюся до попереднього вікна, тільки вже зі знятою галочкою.

Натискаю "ОК"та повертаюся у вікно базових прав. Усі права стали доступними для редагування. Мені потрібно залишити права для локальної групи «Адміністратори»та користувача SYSTEM, а решту видалити. Я по черзі виділяю непотрібних користувачів та групи та натискаю кнопку "Видалити".

В результаті у мене виходить така картина.

Тепер мені залишається додати лише групу «Колегам для читання»та призначити цій групі права на читання.

Я натискаю кнопку «Додати», і у стандартному вікні вибору вибираю локальну групу «Колегам для читання». Як працювати з вікном вибору докладно описано у статті.

В результаті всіх дій я додав групу «Колегам для читання» до списку базових прав, при цьому для цієї групи автоматично встановилися права «Читання та виконання», "Список вмісту папки", «Читання».

Все, залишається натиснути кнопку "ОК"та права призначені. Тепер будь-який користувач, який належить локальній групі безпеки «Колегам для читання»,отримає можливість читати весь вміст папки «ФОТО».

Приклад 2. Надання персонального доступу користувачам до своїх папок у папці.

Ця ситуація теж поширена практично. Наприклад, у вас є папка для нових сканованих документів. У цій папці для кожного користувача створено окрему підпапку. Після сканування документ забирається користувачем зі своєї підпапки. Завдання призначити права так, щоб кожен користувач бачив вміст лише своєї підпапки та не міг отримати доступ до підпапки колеги.

Для цього прикладу я трохи перефразую завдання. Припустимо, у нас є Загальна папка «ФОТО», в якій для кожного користувача є підпапка. Необхідно налаштувати права так, щоб користувач мав у своїй підпапці всі права, а підпапки інших користувачів були йому недоступні.

Для цього я повністю повторюю всі дії з першого прикладу. В результаті повторення у мене виходять права для всієї групи «Колегам для читання»на читання до всіх підпапок. Але моє завдання зробити видимою користувачеві лише «свою» підпапку. Тому у вікні базових прав я натискаю кнопку «Додатково»

і переходжу у вікно особливих прав, у якому виділяю групу «Колегам для читання»та натискаю кнопку «Змінити»

У вікні я змінюю правила успадкування, замість значення в полі "Застосовувати:"я вибираю значення «Тільки для цієї папки».

Це самий ключовий моментцього прикладу. Значення «Тільки для цієї папки»призводить до того, що права читання для групи «Колегам для читання»поширюються лише на корінь папки «ФОТО»але не на підпапки. Таким чином, кожен користувач зможе дістатися своєї папки, але заглянути в сусідню не зможе, права на перегляд підпапок у нього немає. Якщо ж не дати таке право групі зовсім, то користувачі взагалі не зможуть потрапити до своїх підпапок. Файлова система не пропустить їх навіть у папку «ФОТО».

У результаті користувачі зможуть заходити в папку «ФОТО»але далі до підпапок зайти не зможуть!

У вікні особливих прав натискаємо "ОК"і виходимо у попереднє вікно, тепер у стовпці «Застосовувати до»навпроти групи «Колегам для читання»стоїть значення «Тільки для цієї папки».

Натискаємо у всіх вікнах "ОК"та виходимо.

Всі. Тепер залишається налаштувати персональні права на кожну підпапку. Зробити це доведеться для кожної підпапки, права персональні для кожного користувача.

Усі потрібні дії ви вже робили в першому прикладі, повторимо пройдене 🙂

На підпапці «Користувач1»натискаю правою кнопкою мишки, вибираю пункт меню «Властивості», переходжу на закладку «Безпека». Натискаю кнопку «Додати»

та у стандартному вікні вибору вибираю доменного користувача з ім'ям «Користувач1».

Залишається встановити галочку для вирішального права «Змінити». При цьому галочка для вирішального права «Запис»встановиться автоматично.

Натискаємо "ОК". Виходимо. Залишається повторити аналогічні дії для всіх підпапок.

Приклад 3. Надання персонального доступу користувачеві до своєї підпапки на запис з одночасною забороною зміни або видалення.

Розумію, що важко звучить, але намагатимусь пояснити. Такий вид доступу я називаю клямкою. У побуті ми маємо аналогічну ситуацію зі звичайним поштовою скринькою, в який кидаємо паперові листи Тобто. кинути листа в ящик можна, але витягти його з ящика вже не можна. У комп'ютерному господарстві таке може стати в нагоді для ситуації, коли вам хтось записує в папку звіт. Тобто. файл записується користувачем, але потім цей користувач уже нічого не може зробити з цим файлом. Таким чином, можна бути впевненим, що творець вже не зможе змінити чи видалити переданий звіт.

Як і в попередньому прикладі, повторюємо всі дії, за винятком того, що користувачу не даємо відразу повні права на свою папку, спочатку в базових дозволах даємо лише доступ на читання, і натискаємо кнопку «Додатково»

У вікні виділяємо «Користувач1»та натискаємо кнопку «Змінити»

У вікні ми бачимо стандартні права на читання

Для того, щоб дати право користувачеві створювати файли, ставимо дозвіл на право. "Створення файлів/Запис даних", а на права «Видалення підпапок та файлів»і «Видалення»ставимо заборону. Спадкування залишаємо стандартне «Для цієї папки, її підпапок та файлів».

Після натискання кнопки "ОК"і повернення до попереднього вікна можна побачити суттєві зміни. Замість одного запису для «Користувач1»з'явилося дві.

Це тому, що встановлені два види прав, одні забороняють, вони йдуть у списку першими, другі – у списку другі. Оскільки особливі права є нестандартними, то в стовпці "Дозвіл"стоїть значення «Особливі». При натисканні кнопки "ОК"з'являється вікно, до якого windows попереджає, що є заборонні права і що вони мають більше високий пріоритет. У перекладі це означає тугіше ситуацію з дверима, що самозакриваються, ключі від якої знаходяться всередині. Подібну ситуацію я описував у другому прикладі.

Всі. Права встановлені. Тепер «Користувач1»зможе записати у свою папку будь-який файл, відкрити його, але змінити чи видалити не зможе.

А як же повна аналогія із реальною поштовою скринькою?

Щоб користувач не зміг відкрити або скопіювати записаний файл, потрібно зробити таке. Знову відкриваємо дозволяючі особливі дозволи для «Користувач1», і в полі "Застосовувати:"змінюємо значення на «Тільки для цієї папки»

При цьому користувач не має права на читання або копіювання файлу.

Всі. Тепер аналогія із фізичною поштовою скринькою майже повна. Він зможе тільки бачити назви файлів, їх розмір, атрибути, але файл побачити не зможе.

Перегляд чинних прав.

Хочу сказати відразу, що наявна можливість переглянути чинні права для папки або файлу є повною фікцією. У моєму поданні такі інструменти мають надавати гарантовану інформацію. У разі це негаразд. Майкрософт сама визнається в тому, що цей інструмент не враховує багато факторів, що впливають на результуючі права, наприклад, умови входу. Тому користуватися подібним інструментом – лише вводити себе в оману щодо реальних прав.

Описаний на початку статті випадок, із забороною видалення файлу з папки у разі є дуже промовистим. Якщо ви змоделюєте подібну ситуацію і подивіться на права файлу, захищеного від видалення, ви побачите, що в правах файлу на видалення стоїть заборона. Однак, видалити цей файл не складе труднощів. Чому Майкрософт так зробила – я не знаю.

Якщо ж ви таки вирішите подивитися чинні права, то для цього необхідно у вікні базових прав натиснути кнопку «Додатково», і у вікні особливих прав перейти на закладку «Діючі дозволи».

Потім потрібно натиснути кнопку «Вибрати»та у стандартному вікні вибору вибрати потрібного користувача чи групу.

Після вибору можна побачити «приблизні» дозволи, що діють.

У висновку хочу сказати, що тема прав файлової системи NTFS дуже велика, наведені вище приклади лише дуже мала частина того, що можна зробити. Тому, якщо виникають питання, ставте їх у коментарях до цієї статті. Постараюсь на них відповісти.

Як дозволити запис?

Відповідь майстра:

Багато користувачів, які мають обмежений обліковий запис, стикаються з проблемами, які виникають під час запису файлів на знімні накопичувачі. Звичайно, такі неприємності можуть виникнути і при несправній роботі флешки, і при проблемах форматування.

У разі проблеми записування на накопичувач, якщо у користувача обмежений обліковий запис на комп'ютері, потрібно змінити перешкоджає запису параметр. Для цього потрібно після завантаження зайти в операційну системуз правами та за обліковим записом «Адміністратор». Тепер вам необхідно змінити свої параметри облікового запису, щоб у облікового запису, що має обмежені можливості, з'явилася можливість копіювати інформацію на знімний носій.

Тепер залишається застосувати зміни та закрити вікна за допомогою кнопки ОК. Після перезавантаження ПК, необхідного для набуття змін чинності, увійдіть знову в операційну систему, скориставшись своїм обліковим записом з обмеженою обліковим записом. Як проба скопіюйте якийсь файл на свій знімний накопичувач.

Буває, що флешку навмисно захищають від записів. Щоб це виключити, уважно розгляньте, як розташований маленький перемикач збоку флешки – він повинен знаходитись у Unlocked-положенні. Найчастіше таких дій вимагають накопичувачі, які використовуються у фотоапаратах, телефонах, плеєрах та інших пристроях з SD та MicroSD картамипам'яті.

Особливої ​​уваги вимагає і перемикач карт-рідера, у разі використання його як перехідника для підключення пристрою. І це стосується перехідників MicroSD, формою нагадують звичайну карту SD формату.

З'ясуйте, чи не захищена ваша флеш-карта паролем? Якщо так і є, то вона потребує розблокування на тому пристрої, де його ставили на блок. Наявність блокування на флешці не дасть зробити запис.

Але буває, що зробити запис заважають інші причини, які не з'ясовуються. Значить, флешку потрібно відформатувати, і не просто стандартними програмамина Windows! Для цього скачайте та встановіть на свій ПК спеціальні утиліти, розроблені фірмою-виробником флешки Утиліти допоможуть відформатувати та виправити помилки знімного диска.