Oprávnění k zápisu dat do instalační složky. Oprávnění souborů a složek

Každý objekt spravovaný Mac OS X je spojen se specifickou sadou přístupových práv (v unixovém prostředí se používá termín přístupová oprávnění), která zcela definuje, kdo tento objekt vlastní a co s ním mohou různí uživatelé dělat.

Tato práva lze zobrazit v okně vlastností objektu - příkaz Soubor >> Vlastnosti, viz Sdílení a přístupová práva.

Kdo má přidělena přístupová práva

V okně vlastností objektu jsou ve sloupci Jméno uvedeni uživatelé, resp. kategorie uživatelů, kteří mají k tomuto objektu nějaká specifická práva: registrovaný uživatel je označen siluetou jedné osoby, skupina - dvě siluety a všechny ostatní - tři siluety. Zvažme je podrobněji.

Registrovaný Uživatel... Ve výchozím nastavení je prvním takovým uživatelem vlastník – ten, kdo vytvořil tento objekt. Může to být jakýkoli registrovaný uživatel nebo root (ve Finderu se root objeví pod jménem systému).

Skupina... Jeho název je obvykle uveden v okně vlastností, v našem příkladu je to personál. Samotný koncept skupiny se používá k tomu, aby se od „všech ostatních“ nějak oddělil určitý okruh lidí, kterým je třeba udělit zvláštní přístupová práva k tomuto objektu.

Pokud se například bavíme o nějakém důležitém dokumentu v rámci organizace, řekněme o rozvrhu práce, pak k němu mohou mít přístup pro čtení všichni zaměstnanci této struktury a měnit jej může pouze přesně definovaný okruh lidí. Správce, který určuje přístupová práva k tomuto souboru, sjednotí lidi, kteří mají právo na úpravy souboru, do samostatné skupiny a udělí mu potřebná práva.

V Mac OS jsou ve výchozím nastavení nastaveny a používány následující skupiny: Admin - všichni registrovaní správci, včetně nástroje, Wheel - všichni registrovaní správci systému, ve výchozím nastavení je to pouze root, a Zaměstnanci - všichni registrovaní uživatelé a root, skupiny lze vytvářet na panelu Účtovací mezipaměti na systémové ploše.

Zbytek (všichni)- to jsou všichni ostatní uživatelé, kteří nejsou vlastníky této položky a nejsou zařazeni do skupiny, která má zvláštní práva ve vztahu k tomuto objektu.

Jaká jsou přístupová práva

Pokud jde o práva spojená s konkrétním objektem, pak ve Finderu můžete nastavit následující:

  • Pouze čtení označuje, že uživatel může, pokud se jedná o soubor, otevřít jej, a pokud se jedná o složku, otevřít a zkopírovat jeho obsah. Dokumenty a složky určené k prohlížení mají obvykle pouze taková práva. Uživatel pouze pro čtení nebude moci tyto objekty žádným způsobem upravovat ani mazat. Vizuální označení složky, jejíž obsah nemůžete změnit, je ikona přeškrtnuté tužky, která se zobrazí v levém dolním rohu okna Finder.
  • Pouze záznam(poštovní schránka) označuje, že uživatel může ukládat své soubory do této složky. Navíc, pokud s nápojem není spárováno právo „číst“, pak ano. ani neuvidí, co je uvnitř této složky. Vznikne z toho taková „černá skříňka“, do které můžete jen tak něco hodit.
  • Číst a psát- uživatel má všechna práva: může - a otevřít tento prvek, změnit jej a odstranit. Obvykle mají tato oprávnění složky a dokumenty, které vytvoříte.
  • Žádný přístup- úplná absence jakýchkoli práv ve vztahu k tomuto předmětu. Uživatel může vidět pouze svou ikonu - to je vše. Pokud tedy otevřete osobní složku jiného uživatele, složky, které nemůžete otevřít, budou označeny dopravní značkou „Zákaz vjezdu“.

    • Nastavení přístupových práv k objektu

    Když ve své osobní složce vytvoříte novou složku nebo sem uložíte svůj vlastní soubor, tento objekt získá následující přístupová práva: vlastník má všechna práva - může do ní zapisovat soubory i otevírat obsažené objekty; členové skupiny zaměstnanců (tj. registrovaní uživatelé) mohou prohlížet její obsah; všichni ostatní (tedy ti, kteří se připojili k vašemu Macu s právy hosta) – také zobrazit jeho obsah.

    Jak vidíte, práva, která jsou udělena každé složce, kterou vytvoříte, jsou velmi demokratická (výrazně se liší od předdefinovaných složek - máte k nim přístup pouze vy jako vlastník). Pokud nechcete, aby každý uživatel vašeho počítače měl přístup ke všem informacím v této složce, nezapomeňte upravit související práva.

    V okně pro výběr uživatelů a skupin je objekt Adresář. Jeho výběrem získáte přístup k seznamu lidí, jejichž kontakty jsou uloženy ve vašem Adresář... Uživatelé, kterými jste. přidat tam, bude automaticky zaregistrován na vašem Macu pouze pro přístup k síti.

    Uživatelé nebo skupiny, které jsou v horní části seznamu uživatelů v okně vlastností, mají přednost před těmi níže. Pokud například přidáte skupinu dětí do seznamu a udělíte jim oprávnění ke čtení a zápisu, nebudou již omezeni právy skupiny zaměstnanců, i když budou zahrnuti do jejího počtu.

    Pamatujte, že přístupová práva k objektům mohou volně měnit pouze správci. Pokud se například běžný uživatel pokusí udělat „cizí“ dokument „svým“, bude muset zadat heslo správce.

    Skupinové nastavení přístupových práv

    Co když potřebujete změnit přístupová práva k několika objektům? Samozřejmě je nemusíte opakovat jeden po druhém. Existuje několik možností, jak tento problém vyřešit.

  • Musíte změnit přístupová práva k několika objektům které jsou ve stejné složce, ale ne celý obsah této složky. Vyberte požadované objekty. Mělo by se jednat o homogenní objekty, tedy pouze soubory nebo pouze složky. Dále podržte klávesu Alt a zvolte Soubor > Zobrazit inspektor. Otevře se okno obecných vlastností, ve kterém můžete změnit přístupová práva ke všem vybraným objektům rozbalením sekce Sdílení a přístupová práva.
  • Musíte změnit přístupová práva ke složce (disku) a všechny předměty, které jsou uvnitř. Může se stát, že díky vašemu nesprávnému jednání resp nesprávná práce Některé programy změnily přístupová práva k vaší osobní složce nebo jejímu obsahu, což může ovlivnit činnost programů, které ukládají své soubory do vaší osobní složky (například Pošta a Adresář).

    Pokud se vám při pokusu o spuštění takového programu zobrazí hláška "Program neodpovídá" nebo něco podobného, ​​zkontrolujte, zda jsou správně nastavena oprávnění pro složku - / Knihovny /.

    • Musíte být jediným uživatelem s přístupem pro čtení a zápis. Všechny ostatní by měly být zařazeny do kategorie „bez přístupu“.

  • Ignorovat oprávnění na disku (svazku), V okně vlastností nespouštěcího disku je v části Sdílení a přístupová práva možnost Ignorovat vlastníky tohoto svazku. Pokud je deaktivován, to znamená, že jsou zohledněna přístupová práva k tomuto svazku, můžete se dostat do situace, že vaše dokumenty, které jsou ve vaší staré osobní složce (ze které jste se již dávno „přestěhovali“), jsou pro vás nepřístupné.

    • V takovém případě povolte Ignorovat vlastníky v tomto svazku a v klidu otevírejte všechny dokumenty. Někdy to může vyžadovat restartování počítače.

    Ambulance pro přístupová práva

    Radím vám, abyste byli velmi opatrní při změně přístupových práv, zejména ke složkám obsahujícím systémové a softwarové komponenty. Po některých zdánlivě zcela neškodných změnách – například odepření přístupu všem ostatním uživatelům do systémových složek – nemusí systém a další programy fungovat správně.

    Proto se raději omezte na nastavení práv pro vlastní složky, které byste chtěli skrýt před veřejným přístupem.

    Stav věcí s právy ale nebude vždy záležet jen na vás. Existuje řada situací, po kterých jsou možné změny v přístupových právech ke komponentám systému, což je plné poruch fungování systému a některých programů. Uveďme hlavní důvody výskytu problémů s právy.

  • Instalátoři programů třetích stran mohou nesprávně nastavit oprávnění pro své složky a soubory a dokonce i pro složku / Programs /. Příznakem takového porušení je výskyt otazníku místo ikon programů v Docku a případně problémy s připojení k internetu.
  • Restartování z jiného systémový disk a povolením možnosti Ignorovat vlastníky na tomto svazku efektivně získáte práva superuživatele na všechny Mac soubory OS X, které jsou umístěny na pevném disku – můžete přesouvat, mazat a upravovat i jeho systémové součásti. Aby se předešlo dalším problémům při provozu takového systému, je lepší s neznámými prvky neprovádět žádnou akci, ani je neotevírat.

    • K řešení systémových problémů souvisejících s nesprávně nastavenými právy můžete použít program Disk Utility (/ Programs / Utilities /). V levém okně profilu vyberte disk (nebo diskový oddíl), kde se nachází „problematický“ Mac OS, v pravém okně otevřete kartu První pomoc. Co lze udělat:

    Zkontrolujte přístupová práva... Program zkontroluje, zda na tomto disku nejsou konflikty v přístupových právech. Obdržíte ověřovací zprávu, na základě které se můžete rozhodnout, zda je potřeba je opravit či nikoliv.

    Obnovit přístupová práva... Pokud při kontrole přístupových práv objevíte nějaké problémy, můžete se je pokusit opravit. Zprávy jako „ACL zjištěn, ale neočekáván“ můžete ignorovat. Přítomnost ACL nepřeruší práci systémové komponenty a Disková utilita je obvykle neodstraní.

    V Leopardu můžete obnovit přístupová práva bez restartování instalační disk podle potřeby předchozí verze Operační Systém Mac. Přístupová práva ke všem součástem operačního systému a programům Apple budou resetována do „výchozího“ stavu. Programy Apple při instalaci zapište informace o jejich součástech do složky / Knihovny / Účtenky /. Tato data disková utilita a používá jej k obnovení práv. Pokud byl obsah složky s informacemi o těchto balíčcích zničen, obslužný program obnoví pouze systémová práva.

    Programy třetích stran zůstanou nezměněny a pokud během instalace změnily přístupová práva do systému software, pak po obnovení přístupových práv nemusí fungovat správně.

    Prostředky výměny dat mezi uživateli

    Dosud jsme mluvili o tom, jak Mac OS chrání uživatelská data před neoprávněným přístupem. Je ale mnoho situací, kdy by se naopak spousta dat, jako je knihovna iTunes nebo fotografie iPhoto, měla zpřístupnit všem uživatelům jednoho Macu. Podívejme se, jaké jsou prostředky pro organizaci výměny souborů pro všechny registrované uživatele.

    Sdílená složka... Nachází se ve složce / Users /. Informace uvnitř této složky jsou dostupné všem uživatelům – mohou z ní kopírovat existující objekty a psát své vlastní.

    Obecná složka... Nachází se ve vaší osobní složce. Informace v této složce jsou dostupné všem ostatním uživatelům pouze pro čtení. Každý jej může otevřít, prohlížet soubory a cokoli z něj kopírovat.

    Složka Poštovní schránka... Nachází se ve složce - / Obecné /). Plný přístup k němu budete mít pouze vy. Všichni ostatní do něj mohou jen něco napsat, aniž by měli právo jeho obsah i prohlížet.

    Pokud tedy potřebujete poskytnout soubor nebo složku pro obecné použití, umístěte je do složky / Users / Shared /. Jen nespěchejte s kopírováním knihovny nebo knihovny fotografií. Chcete-li do něj umístit soubory některých programů, je lepší odkázat na nápovědu těchto programů - mohou existovat určité nuance, které komponenty je lepší tam zkopírovat a jak se ostatní uživatelé "připojují" ke sdíleným datům. Pokud jsou však vaše hudební soubory nebo obrázky uloženy mimo vaši knihovnu médií nebo knihovnu fotografií, můžete je bezpečně přenést do složky Shared – budou okamžitě dostupné všem uživatelům.

    Pokud chcete, aby každý mohl používat vaše soubory, ale nemůžete je smazat nebo přidat své vlastní, zapište tyto soubory do složky / General /. Nakonec, chcete-li přenést soubor někomu osobně, vhoďte jej do poštovní schránky daného uživatele.

    Můžete také vytvořit další složky pro výměnu dat přidělením příslušných přístupových práv jiným uživatelům.

    tweet

    Při otevírání, mazání nebo jiné manipulaci se soubory a složkami můžete narazit na chybu přístupu k souboru. Budu mluvit o tom, jak se s tím vypořádat a proč se to děje.

    Jak získat plný přístup k souborům a složkám

    Nejprve návod, jak získat plný přístup ke složkám a souborům. V další kapitole bude vysvětlení pro zvědavce.

    Otevřete složku, kde se nachází problémový soubor nebo složka. Chcete-li získat úplný přístup k jejich obsahu, musíte nakonfigurovat přístup k souborům:

    1. Tam klikněte pravým tlačítkem myši myší nad uzamčeným souborem (nebo složkou) bez přístupu - Vlastnosti - vyberte záložku Bezpečnostní:

    2. Zmáčkni tlačítko Dodatečně - vyberte záložku Majitel:

    3. Zmáčkni tlačítko Změna a vyberte své uživatelské jméno (v mém případě je Dima, budete mít něco jiného), také si dejte prásknout Nahradit vlastníka subkontejnerů a objektů:

    4. Pokud se zobrazí okno s textem „Nemáte oprávnění číst obsah složky. Chcete nahradit oprávnění pro tuto složku, abyste měli plná přístupová práva?" Ano:

    5. Po změně vlastníka složky se zobrazí okno s textem „Právě jste se stali vlastníkem tohoto objektu. Chcete-li zobrazit nebo změnit oprávnění, musíte pro tento objekt zavřít a znovu otevřít okno vlastností." Tam OK a poté znovu stiskněte OK(v okně Extra možnosti bezpečnostní).

    6. V okně Vlastnosti - Bezpečnostní stiskněte znovu dodatečně, teprve teď se díváme na první kartu okna, které se otevře - Oprávnění. Musím stisknout tlačítko Změnit oprávnění:

    7. Klepněte na tlačítko Přidat:

    (Pokud pracujete s vlastnostmi složky, nikoli soubor, zaškrtněte políčko vedle možnosti Nahradit všechna oprávnění podřízeného objektu oprávněními zděděnými z tohoto objektu.)

    8. V okně „Vybrat: uživatelé nebo skupiny“, které se otevře, budete muset zadat jméno vašeho uživatele (můžete ho vidět v nabídce „Start“ - jméno bude úplně nahoře), klikněte Zkontrolujte jména, pak OK:

    Pokud potřebujete složku (nebo soubor) otevřít bez omezení absolutně všemi uživateli, tj. nejen vaše, pak stiskněte znovu Přidat a zadejte jméno" Všechno"Bez uvozovek (" Vše "v angličtině Verze Windows), poté stiskněte Zkontrolujte jména a OK.

    9. V záložce Oprávnění poté dvakrát klikněte na řádky s uživatelskými jmény a zaškrtněte políčko „Plný přístup“:

    Tím se automaticky zaškrtnou políčka níže.

    10. Poté stiskněte OK, v dalším okně odpovězte na varování Ano, znovu OK pro zavření všech oken.

    Připraveno! Plný přístup k přijatým souborům a složkám! Můžete je bezpečně otevírat, měnit a provádět s nimi další akce.

    Výstup: musíte udělat dva kroky: stát se „vlastníkem“ souboru nebo složky (položka 3), poté si přidělit přístupová práva (položka 6). Mnoho návodů, jak získat plný přístup k souborům a složkám, zmiňuje pouze první krok a na druhý zapomíná. To není úplně správné, protože nastavení zabezpečení souboru/složky může být jiné, je nutné je vrátit do normální podoby a ne se pouze stát „vlastníkem“.

    Proč potřebujete oprávnění k souborům a složkám

    Mechanismus vymezování přístupu k souborům a složkám je nezbytný z mnoha důvodů. Například:

    1. Omezení přístupu k informacím různým uživatelům.

    Pokud na jednom počítači nebo v společná síť pracuje více (více než jeden) uživatelů, je logické omezit přístup k informacím - někteří uživatelé mají přístup ke všem informacím (nejčastěji se jedná o administrátory), jiní - pouze jejich vlastní soubory a složky (běžní uživatelé).

    Například doma můžete omezit práva jednoho uživatele tak, abyste ochránili důležité soubory a složky před smazáním (aby dítě nemohlo nevědomky smazat důležité dokumenty), zatímco od jiného (rodičovský profil) si můžete dělat, co chcete.

    V první kapitole jsem ukázal jak dovolit přístup k určitým uživatelům. Totéž lze udělat omezit přístup - kroky jsou stejné, pouze v odstavci 9 je nutné dát další zaškrtávací políčka.

    2. Zabezpečení operačního systému.

    Ve Windows XP je vše uspořádáno dost primitivně - uživatelé s administrátorskými právy mohou měnit (a mazat) libovolné složky a soubory na pevném disku, včetně systémových, tzn. ve vlastnictví Windows. Ve skutečnosti by s obsahem mohl pracovat jakýkoli program spuštěný v uživatelském profilu správce pevný disk cokoliv... Odstraňte například soubor boot.ini, což způsobí zastavení načítání systému Windows.

    Pod právy omezený uživatel kde díky bezpečnostnímu nastavení nebylo možné smazat důležité systémové soubory, sedělo jen málo lidí, preferovali administrátorský účet. Tím pádem, Účet s administrátorskými právy ve Windows XP vytváří nejpříznivější prostředí pro viry.

    PROTI Windows Vista, ve Windows 7 a Windows 8 funguje „Kontrola uživatelských účtů“ (zkráceně UAC): při práci v účtu správce pracují programy spouštěné uživatelem s omezený práv. To znamená odstranit nebo změnit systémové soubory programu nemůže... Programy jsou schopny získat úplnější přístup tím, že si jej vyžádají od uživatele pomocí okna UAC, které jsem již zmínil:

    Pokud jsou správně nakonfigurována oprávnění souborů a povoleno UAC, viry spuštěné v účtu správce Vista / 7/8 nemohou vážně poškodit systém bez povolení osoby sedící u počítače.

    UAC Zbytečný v případech:

    1. Pokud uživatel sedí u počítače, bezmyšlenkovitě mačká tlačítka „Ano“ a „OK“.

    2. Pokud spouštíte programy "jako správce" (klikněte pravým tlačítkem myši na zástupce programu - Spustit jako správce).

    3. UAC je zakázáno.

    4. Pro systémové soubory a složky na pevném disku mají povolen plný přístup všem uživatelům.

    Programy běžící v omezeném účtu uživatel systému Windows Vista / 7/8 (typ "Normální přístup"), neumí vyvolat okno UAC a pracovat s administrátorskými právy, což je celkem logické.

    Ještě jednou opakuji: když neexistuje způsob, jak povýšit svá práva na práva správce, nemůžete poškodit soubory operačního systému chráněné omezením přístupových práv.

    Důvody a řešení problémů s přístupem k souborům

    Problém je v tom, že se pokoušíte přistupovat k souborům a složkám vytvořeným pod jiným účtem. Existují dvě řešení: buď povolit všem uživatelům přístup, nebo povolit pouze těm, kteří to potřebují, jejich uvedením. Obě řešení lze snadno implementovat podle výše uvedených pokynů. Jediný rozdíl je v tom, že do odstavce 8 zadáte slovo "All" neboli výpis uživatelů.

    Mimochodem, můžete povolit přístup všem, ale zakázat přístup jednomu (několika) uživatelům, přičemž nastavení odmítnutí bude prioritou pro uvedené uživatele.

    Existuje mnoho důvodů pro problémy s přístupem k souborům. Nejčastěji se objevují, pokud máte několik účtů, několik operační systémy nebo počítače - všude jsou účty jiné, při vytváření souborů a složek se také jinak přidělují práva.

    Co nelze udělat s právy souborů a složek

    Za žádných okolností nepřidělujte plný přístup k souborům a složkám na celém pevném disku s nainstalovaným operačním systémem!

    Existuje mýtus, že operační systém omezuje přístup uživatele k jeho souborům, takže je potřeba přidělit přístupová práva všem souborům na disku. To není pravda a nemůžete změnit práva všech souborů! V systému, který nebyl "pokakaný", se přístupová práva nepřidělovala ručně, vše bylo přiděleno správně!

    Můj návod používejte pouze v případě skutečných problémů, nikoli jako prevence vymyšlených.

    Dovolte mi vysvětlit: povolením přístupu k systémovým souborům bude systém Windows stále fungovat, ale jakýkoli virus nebo nesprávně fungující program může způsobit velmi špatné věci. Sotva potřebuješ problémy.

    Složky „C: \ Windows“, „C: \ Programové soubory“, „C: \ Programové soubory (x86)“, „C: \ Uživatelé“, „C: \ System Volume Information“, „C: \ ProgramData “ ," C: \ Recovery "a mnoho dalších. Nelze je změnit, s výjimkou případů, kdy je nutné se soubory provádět jakékoli manipulace (například změnit Téma Windows) a musíte vrátit nastavení zpět.

    Neměňte nastavení zabezpečení „jen tak“, čímž se systém stane bezbranným proti virům a pádům! Po Instalace Windows přístupová práva do systémových složek jsou nastavena správně, není třeba je měnit!

    Rada: pokud program funguje správně, pouze pokud běží "jako správce", při normálním spouštění hlásí chyby - zkuste mu přidělit plná práva na změnu složky v "C: \ Program files" nebo "C: \ Program files (x86) "(Ne samotná složka Program files, ale složka s správný program uvnitř toho!).

    Velmi často pomáhá spouštět staré hry na Windows Vista / 7/8/10, které ukládají soubory nastavení, ukládají soubory do jejich složky. Takové hry, které byly spuštěny bez povolení upravovat své vlastní soubory, v lepším případě nemohou uložit průběh hry, v horším případě se zavřou nebo se vůbec nespustí. U starých programů je to stejné.

    závěry

    1. Přidělení přístupových práv je poměrně snadné.

    2. Přístupová práva nelze změnit bez odůvodněného účelu.

    3. Změněna oprávnění systémových souborů - změňte je zpět. Chcete-li změnit práva systémové složky a soubory do starých, můžete použít tento návod (metoda pro Windows Vista by měla fungovat i pro Windows 7, Windows 8, 10).

    4. Změna nastavení zabezpečení je choulostivá záležitost a autor článku nenese odpovědnost za vaše jednání.


    V rozlehlém Rusku mnoho firem a malých podniků nemá svého vlastního správce systému. trvalý základ nebo čas od času přichází. Firma roste a jedna sdílená složka na síti, kde si každý může dělat, co chce, se dříve nebo později stane malou. Řízení přístupu je vyžadováno pro různé uživatele nebo skupiny uživatelů na platformě MS Windows. Uživatelé Linuxu a zkušení administrátoři, prosím, nečtěte článek.

    Nejlepší možností je najmout zkušeného admina a přemýšlet o koupi serveru. Zkušený admin se na místě sám rozhodne: zda zvednout čs Windows Server s Aktivní adresář nebo použít něco ze světa Linuxu.

    Ale tento článek byl napsán pro ty, kteří se rozhodli zatím trpět sami, aniž by používali moderní softwarová řešení... Pokusím se alespoň vysvětlit, jak správně provést diferenciaci práv.

    Než začneme, rád bych se zmínil o několika bodech:

    • Jakýkoli operační systém „rozpoznává“ a „rozlišuje“ skutečných lidí prostřednictvím jejich účtů. Mělo by to být takto: jedna osoba = jeden účet.
    • Článek popisuje situaci, kdy firma nemá vlastního správce a nemá zakoupený např. MS Windows Server. Jakýkoli běžný MS Windows současně obsluhuje po síti maximálně 10 lidí pro WinXP a 20 lidí pro Win7. Je to hotovo společností Microsoft speciálně na klientská okna nepřešel silnici Windows servery a nezkazili jste Microsoftu byznys. Pamatujte si číslo 10-20 a když má vaše společnost více než 10-20 lidí, budete muset přemýšlet o koupi MS Windows Server nebo požádat někoho, aby vám přinesl Linux zdarma Samba server která taková omezení nemá.
    • Protože nemáte kompetentního správce, bude se za něj vydávat váš běžný počítač s klientem MS Windows souborový server... Pro přístup ke sdíleným souborům na něm budete muset duplikovat uživatelské účty z jiných počítačů. Jinými slovy, pokud má PC1 účetní Olya s účtem olya, tak na tomto "serveru" (dále jej budu označovat jako WinServer) je třeba vytvořit účet olya se stejným heslem jako na PC1.
    • Lidé přicházejí a odcházejí. Fluktuace zaměstnanců je všude a pokud jste ten chudák, který není administrátor a je jmenován (nucen) podporovat firemní IT záležitosti, tak tady je pár rad. Vytvářejte neosobní účty. Vytvořit pro manažery - manažer1, manažer2. Pro účetní - buh1, buh2. Nebo něco podobného. Je ten muž pryč? Jiný se neurazí, když použije manager1. Souhlasím, je to lepší než používat účet olya pro Semyon, protože není nikdo, kdo by to předělal, a vše funguje 100 let.
    • Zapomeňte na slova jako: "vytvořit heslo pro složku". Doby, kdy bylo zdrojům vnuceno heslo, jsou dávno pryč. Změnila se filozofie práce s různými zdroji. Nyní se uživatel přihlásí do svého systému pomocí účtu (identifikace), potvrdí se heslem (autentizace) a je mu umožněn přístup ke všem autorizovaným zdrojům. Jakmile se přihlásíte a získáte přístup ke všemu - to je to, co si musíte zapamatovat.
    • Následující akce je vhodné provádět z vestavěného účtu Administrator nebo z prvního účtu v systému, který je ve výchozím nastavení členem skupiny Administrators.

    Vaření.

    V Průzkumníku odeberte zjednodušený přístup k věcem, které potřebujeme.

    • MS Windows XP. Nabídka Nástroje - Možnosti složky - Zobrazit. Zrušte zaškrtnutí Použijte Průvodce sdílením
    • MS Windows 7. Stiskněte Alt. Nabídka Nástroje - Možnosti složky - Zobrazit. Zrušte zaškrtnutí Používejte jednoduché obecný přístup do souborů.

    Vytvořte si na svém počítači s WinServerem složku, do které bude uloženo vaše bohatství ve formě souborů objednávek, smluv a tak dále. Pro mě to bude jako příklad C: \dostup \. Složka musí být vytvořena na oddílu s NTFS.

    Přístup přes síť.

    V této fázi potřebujete sdílet v síti(share - share) složka, se kterou mohou pracovat ostatní uživatelé na svých počítačích lokální síť.

    A to nejdůležitější! Sdílejte složku s plným oprávněním pro všechny! Ano ano! Slyšel jsi dobře. Ale co kontrola přístupu?

    Umožňujeme každému se připojit ke složce v lokální síti, ALE omezíme přístup pomocí zabezpečení uloženého v souborovém systému NTFS, na kterém je náš adresář umístěn.

    • MS Windows XP. Na požadovanou složku(C:\dostup\) klikněte pravým tlačítkem a tam Vlastnosti. Přístupová karta - Plný přístup.
    • MS Windows 7. Na požadovanou složku (C:\dostup\) klikněte pravým tlačítkem myši a tam Vlastnosti. Záložka Přístup – Pokročilá konfigurace. Zaškrtněte políčko Sdílej tuto složku... Vyplňujeme Poznámku. Stiskneme Rozlišení. Skupina Všichni na to musí mít právo Plný přístup.

    Uživatelé a skupiny zabezpečení.

    Musíte vytvořit požadované uživatelské účty. Připomínám, že pokud na vaší četné osobní počítače jsou používány různé uživatelské účty, pak musí být všechny vytvořeny na vašem "serveru" a se stejnými hesly. Tomu se lze vyhnout pouze v případě, že máte kompetentního správce a počítače v Active Directory. Ne? Poté si pečlivě vytvořte své účty.

    • MS Windows XP.
      Místní uživatelé a skupiny – uživatelé. Nabídka akcí - Nový uživatel.
    • MS Windows 7. Ovládací panely - Nástroje pro správu - Správa počítače.
      Místní uživatelé a skupiny – uživatelé. Nabídka akcí – Vytvořit uživatele.

    Nyní je řada na tom nejdůležitějším – na skupinách! Skupiny umožňují zahrnout uživatelské účty a zjednodušit manipulaci s udělováním práv a řízením přístupu.

    Níže bude vysvětleno "překrytí" adresářů a souborů, ale prozatím je hlavní pochopit jednu myšlenku. Práva ke složkám nebo souborům budou udělena skupinám, které lze obrazně přirovnat ke kontejnerům. A skupiny již „převedou“ práva k účtům v nich obsaženým. To znamená, že musíte přemýšlet na úrovni skupiny, a ne na úrovni jednotlivých účtů.

    • MS Windows XP. Ovládací panely - Nástroje pro správu - Správa počítače.
    • MS Windows 7. Ovládací panely - Nástroje pro správu - Správa počítače.
      Místní uživatelé a skupiny - Skupiny. Nabídka akcí – Vytvořit skupinu.

    Potřebné účty musíte zahrnout do potřebných skupin. Například ve skupině Účetní klikněte pravým tlačítkem a tam Přidat do skupiny nebo Vlastnosti a je zde tlačítko Přidat. V terénu Zadejte názvy objektů, které chcete vybrat zadejte název požadovaného účtu a klikněte Zkontrolujte jména... Pokud je vše v pořádku, pak se účet změní na typ SERVER NAME \ account. Na obrázku výše byl účet buh3 vynucen na WINSERVER \ buh3.

    Požadované skupiny tedy byly vytvořeny a uživatelské účty jsou zahrnuty do požadovaných skupin. Ale před fází přidělování práv složkám a souborům pomocí skupin bych rád probral několik bodů.

    Má cenu se obtěžovat se skupinou, když má jeden účet? Myslím, že to stojí za to! Skupina poskytuje flexibilitu a agilitu. Zítra budete muset dát ještě jedné osobě B stejná práva jako určitá osoba s jejím účtem A. Stačí přidat účet B do skupiny, kde už A je a je to!

    Je mnohem snazší, když jsou oprávnění přidělena spíše skupinám než jednotlivcům. Musíte pouze manipulovat se skupinami a zahrnout do nich potřebné účty.

    Přístupová práva.

    Následující akce je vhodné provádět z vestavěného účtu Administrator nebo z prvního účtu v systému, který je ve výchozím nastavení členem skupiny Administrators.

    Dostali jsme se tedy do fáze, kdy se odehrává kouzlo rozlišování přístupových práv pro různé skupiny a jejich prostřednictvím i pro uživatele (přesněji jejich účty).

    Máme tedy adresář na C:\dostup\, který jsme již zpřístupnili všem zaměstnancům po síti. V adresáři C: \dostup \ si pro příklad vytvoříme složky Dohody, Objednávky, Účetnictví MC. Předpokládejme, že existuje úkol:

    • složka Smlouvy musí být pro účetní pouze ke čtení. Číst a psát pro skupinu manažerů.
    • složka UUCHMTs musí být přístupná účetním pro čtení a zápis. Skupina manažerů nemá přístup.
    • složka Objednávky by měla být pouze pro čtení pro účetní a manažery.

    Ve složce Smlouvy klikněte pravým tlačítkem myši a tam Vlastnosti - karta Zabezpečení. Vidíme, že některé skupiny a uživatelé k němu již mají přístup. Tato práva byla zděděna od nadřazeného přístupu \ a ten zase od jeho nadřazeného C:

    Přerušíme toto dědictví práv a přiřadíme naše seznamy přání.

    Klepněte na tlačítko Upřesnit - karta Oprávnění - tlačítko Změnit oprávnění.

    Nejprve přerušíme dědění práv po rodiči. Zrušte zaškrtnutí políčka Přidejte oprávnění zděděná od nadřazených objektů. Budeme upozorněni, že na tento objekt se nebudou vztahovat rodičovská oprávnění (v v tomto případě toto je složka Smlouvy). Volba: Zrušit nebo Odebrat nebo Přidat. Klikněte na Přidat a práva od rodiče zůstanou jako dědictví, ale práva rodiče se na nás již nebudou vztahovat. Jinými slovy, pokud se v budoucnu změní přístupová práva nadřazené složky (složka dostup), nebude to mít vliv na podřízenou složku Smlouvy. Upozornění v terénu Zděděno od náklady nedědil... Tedy spojení rodič – dítě roztrhané.

    Nyní opatrně odeberte nadbytečná práva a odejděte Plný přístup pro administrátory a systém. Vybíráme postupně všechny druhy Ověřeno A prostě Uživatelé a smazat tlačítkem Smazat.

    Přidat tlačítko v tomto okně Další možnosti zabezpečení určeno pro zkušené administrátory, kteří mohou nastavit speciální, speciální oprávnění. Článek je zaměřen na znalosti zkušeného uživatele.

    Zaškrtneme políčko Nahraďte všechna oprávnění podřízeného objektu oprávněními zděděnými od tohoto objektu a klepněte na OK. Vraťte se a znovu OK pro návrat jednoduchá mysl Vlastnosti.

    Toto okno vám umožní dosáhnout toho, co chcete, zjednodušeným způsobem. Tlačítko Upravit zobrazí okno Oprávnění skupiny.

    Klepněte na tlačítko Přidat. V novém okně napište Účetní a klikněte na "Zkontrolovat jména" - Ok. Standardně je přístup „čtení“ poskytnut ve zjednodušené formě. Zaškrtávací políčka ve sloupci Povolit jsou automaticky nastavena na "Číst a spouštět", "Seznam obsahu složky", "Číst". Jsme s tím spokojeni a klikneme na OK.

    Nyní, v souladu s našimi podmínkami, musíme udělit oprávnění ke čtení a zápisu pro skupinu Managers. Pokud jsme v okně Vlastnosti, tak opět Změnit - Přidat - jednotka ve Správcích - Kontrola jmen. Přidejte zaškrtávací políčka Změnit a Zaznamenat do sloupce Povolit.

    Nyní musíte vše zkontrolovat!

    Následujte myšlenku. Nařídili jsme, že složka Smlouvy nedědí práva od svého nadřazeného přístupu. Nařídili jsme podřízeným složkám a souborům ve složce Smlouvy, aby z ní zdědily práva.

    Složce Smlouvy jsme uložili následující přístupová práva: skupina Účetní by měla pouze číst soubory a otevírat složky uvnitř a skupina Manažeři by měla vytvářet, upravovat soubory a vytvářet složky.

    Pokud je tedy soubor dokumentu vytvořen v adresáři smlouvy, bude mít oprávnění od svého rodiče. Uživatelé s vlastními účty budou mít k těmto souborům a adresářům přístup prostřednictvím svých skupin.

    Přejděte do složky Smlouvy a vytvořte testovací soubor agreement1.txt

    Klikněte na něj pravým tlačítkem a tam Vlastnosti - karta Zabezpečení - Upřesnit - karta Efektivní oprávnění.

    Klikněte na Vybrat a napište účet libovolného účetního, například buh1. Jasně vidíme, že buh1 obdržel práva od své skupiny Účetní, kteří mají práva pro čtení k nadřazené složce Dohody, která „rozšiřuje“ svá oprávnění na své podřízené objekty.

    Vyzkoušíme manager2 a jasně vidíme, že manažer má přístup pro čtení a zápis, protože je členem skupiny Managers, která této složce uděluje taková práva.

    Naprosto stejným způsobem, analogicky se složkou Dohoda, jsou přístupová práva uložena pro další složky podle vašich podmínek.

    Sečteno a podtrženo.

    • Použijte oddíly NTFS.
    • Při vymezování přístupu ke složkám (a souborům) pak manipulujte se skupinami.
    • Vytvořte účty pro každého uživatele. 1 osoba = 1 účet.
    • Zahrnout účty do skupin. Účet může být členem různých skupin současně. Pokud je účet v několika skupinách a kterákoli skupina něco umožňuje, bude to pro účet povoleno.
    • Sloupec Odepřít (Odmítnout práva) má přednost před Povolit. Pokud je účet v několika skupinách a některá skupina něco zakazuje a jiná skupina to povoluje, bude to účtu odepřeno.
    • Odeberte účet ze skupiny, pokud chcete zrušit přístup, který tato skupina uděluje.
    • Zvažte najmutí admina a neurážejte ho penězi.

    Ptejte se v komentářích a ptejte se, opravte.

    Video materiál ukazuje zvláštní případ, kdy stačí zamítnout přístup ke složce s využitím skutečnosti, že odepření pravidel má přednost před povolenými pravidly.

    Počítače provozující operační sály Systémy Windows, může pracovat s různými systémy souborů, jako je FAT32 a NTFS. Aniž bychom zacházeli do podobností, můžeme říci jednu věc, že ​​se liší v hlavním - souborový systém NTFS vám umožňuje konfigurovat nastavení zabezpečení pro každý soubor nebo složku (adresář). Tito. pro každý soubor nebo složku ukládá systém souborů NTFS tzv. seznamy řízení přístupu (ACL), které obsahují seznam všech uživatelů a skupin, kteří mají určitá přístupová práva tento soubor nebo složku. Systém souborů FAT32 tuto schopnost nemá.

    V systému souborů NTFS může mít každý soubor nebo složka následující bezpečnostní práva:

    • Čtení- Umožňuje procházení složek a prohlížení seznamu souborů a podsložek, prohlížení a přístup k obsahu souboru;
    • Záznam- Umožňuje přidávání souborů a podsložek, zápis dat do souboru;
    • Čtení a provádění- Umožňuje procházení složek a prohlížení seznamu souborů a podsložek, umožňuje prohlížení a přístup k obsahu souboru a také spouštění spustitelného souboru;
    • Seznam obsahu složky- Umožňuje procházení složek a prohlížení pouze seznamu souborů a podsložek. Toto oprávnění nedává přístup k obsahu souboru !;
    • Změna- Umožňuje prohlížení obsahu a vytváření souborů a podsložek, mazání složky, čtení a zápis dat do souboru, mazání souboru;
    • Plný přístup- Umožňuje prohlížení obsahu, jakož i vytváření, úpravu a mazání souborů a podsložek, čtení a zápis dat a úpravu a mazání souboru

    Výše uvedená práva jsou základní. Základní práva jsou tvořena zvláštními právy. Zvláštní práva jsou podrobnější práva, z nichž se tvoří základní práva. Použití speciálních práv vám poskytuje velkou flexibilitu při nastavování přístupových práv.

    Seznam speciálních přístupových práv k souborům a složkám:

    • Procházet složky / Spouštět soubory- Umožňuje pohyb ve struktuře složek při hledání jiných souborů nebo složek, spouštění souborů;
    • Obsah složky / čtení dat- Umožňuje prohlížení názvů souborů nebo podsložek obsažených ve složce, čtení dat ze souboru;
    • Atributy čtení- Umožňuje prohlížení atributů souboru nebo složky jako "Pouze pro čtení" a "Skryté";
    • Čtení dalších atributů- Umožňuje prohlížení dalších atributů souboru nebo složky;
    • Vytváření souborů / Zápis dat- Umožňuje vytvářet soubory ve složce (platí pouze pro složky), provádět změny v souboru a přepisovat existující obsah (platí pouze pro soubory);
    • Vytvořit složky / Přidat data- Umožňuje vytvářet složky ve složce (platí pouze pro složky), přidávat data na konec souboru, ale ne upravovat, mazat nebo nahrazovat existující data (platí pouze pro soubory);
    • Psaní atributů- Povolí nebo zakáže změnu atributů souboru nebo složky jako "Pouze pro čtení" a "Skryté";
    • Psaní dalších atributů- Povolí nebo zakáže změnu dalších atributů souboru nebo složky;
    • Odebírání podsložek a souborů- Umožňuje mazání podsložek a souborů, i když nemáte oprávnění "Odstranit" (platí pouze pro složky);
    • Mazání- Umožňuje smazání souboru nebo složky. Pokud soubor nebo složka nemá oprávnění k odstranění, můžete objekt odstranit, pokud máte oprávnění k odstranění podsložek a souborů v nadřazené složce;
    • Oprávnění ke čtení- Umožňuje čtení takových přístupových oprávnění k souborům nebo složkám, jako je "Plná kontrola", "Čtení" a "Zápis";
    • Změnit oprávnění- Umožňuje změnit taková oprávnění pro přístup k souboru nebo složce, jako je "Plná kontrola", "Čtení" a "Zápis";
    • Změna vlastníka- Umožňuje převzít vlastnictví souboru nebo složky;
    • Synchronizace- Umožňuje různým streamům čekat na soubory nebo složky a synchronizovat je s jinými streamy, které je mohou zabírat. Toto oprávnění se vztahuje pouze na programy spuštěné ve vícevláknovém režimu s více procesy;

    Všechna základní a zvláštní práva jsou jak dovolující, tak zakazující.

    Všechna oprávnění k souborům a složkám jsou rozdělena do dvou typů: explicitní a zděděná. Dědičný mechanismus znamená automatický převod něčeho z rodiče na dítě. V systému souborů to znamená, že jakýkoli soubor nebo složka může zdědit svá práva od nadřazené složky. Jedná se o velmi pohodlný mechanismus, který eliminuje potřebu znovu přidělovat explicitní práva všem. generované soubory a složky. Představte si, že máte na nějakém disku několik tisíc souborů a složek, jak jim můžete dát všechna přístupová práva, sedět a přidělovat každý? Ne. Funguje zde mechanismus dědičnosti. Vytvořili jsme složku v kořenu disku, složka automaticky dostala úplně stejná práva jako kořen disku. Změněna práva pro nově vytvořenou složku. Poté byla uvnitř vytvořené složky vytvořena další podsložka. Tato nově vytvořená podsložka zdědí oprávnění z nadřazené složky a tak dále. atd.

    Výsledkem použití explicitních a zděděných práv budou skutečná práva ke konkrétní složce nebo souboru. Zároveň je zde spousta úskalí. Máte například složku, ve které umožňujete uživateli „Vasya“ mazat soubory. Pak si pamatujete, že v této složce je jeden velmi důležitý soubor, který by Vasya za žádných okolností neměl smazat. Nastavíte výslovný zákaz důležitého souboru (zvláštní právo na zákaz "Odstranění")... Zdálo by se, že skutek je hotov, soubor je jasně chráněn před smazáním. A Vasya klidně vstoupí do složky a smaže tento super-chráněný soubor. Proč? Protože Vasya má právo odstranit z nadřazené složky, které jsou v tomto případě prioritní.

    Snažte se nepoužívat přidělování práv přímo souborům, přidělujte práva složkám.

    !!! Snažte se přidělovat práva pouze skupinám, značně to zjednodušuje administraci. Společnost Microsoft nedoporučuje přidělování práv konkrétním uživatelům. Nezapomeňte, že skupina může zahrnovat nejen uživatele, ale i další skupiny.

    Například. Pokud je počítač zahrnut do domény, je skupina Domain Users (uživatelé domény) automaticky přidána do její místní skupiny Users a skupina Domain Admins (správci domény) je automaticky přidána do místní skupiny Administrators a podle toho se libovolná práva složky skupině lokálních uživatelů, automaticky přidělujete práva všem uživatelům domény.

    Nenechte se odradit, pokud vše výše popsané není najednou příliš jasné. Příklady a samostatná práce situaci rychle napraví!

    Pojďme ke specifikům.

    Všechny příklady ukážu na příkladu. okna okna XP. Ve Windows 7 a vyšších zůstala podstata stejná, jen tam bylo trochu více oken.

    Chcete-li tedy přiřadit nebo změnit práva k souboru nebo balíčku, musíte na něj kliknout pravým tlačítkem požadovaný soubor nebo položku nabídky pro výběr složky "Vlastnosti"

    Měli byste otevřít okno se záložkou. "Bezpečnostní"

    Pokud taková karta neexistuje, provedeme následující. Spusťte Průzkumníka a poté otevřete nabídku "Servis""Vlastnosti složky…"

    V okně, které se otevře, přejděte na kartu "Zobrazit" a zrušte zaškrtnutí parametru Použít základní sdílení souborů (doporučeno)

    Vše, nyní jsou vám k dispozici všechny nemovitosti souborový systém NTFS.

    Zpět k záložce "Bezpečnostní".

    V okně, které se otevře, máme k dispozici spoustu informací. Nahoře je seznam "Skupiny a uživatelé:", kde jsou uvedeni všichni uživatelé a skupiny, kteří mají přístupová práva k této složce (šipka 1). Spodní seznam zobrazuje oprávnění pro zvýrazněného uživatele / skupinu (šipka 2). V tomto případě se jedná o uživatele SYSTEM. PROTI tento seznam oprávnění jsou viditelná pro základní oprávnění. Upozorňujeme, že ve sloupci "Dovolit" zaškrtávací značky jsou vybledlé a nelze je upravovat. To znamená, že tato práva jsou zděděna z nadřazené složky. Ještě jednou, v tomto případě všechna uživatelská práva SYSTEM ke složce "Pracovní" jsou zcela zděděny z nadřazené složky a uživatel SYSTEM má všechna práva ( "Plný přístup")

    Označením požadované skupiny nebo uživatele v seznamu vidíme základní práva pro tuto skupinu nebo uživatele. Zvýraznění uživatele "Hostující uživatel ( [e-mail chráněný] můžete vidět, že má všechna explicitní práva

    A tady je skupina "Uživatelé (KAV-VM1 \ Uživatelé" má kombinovaná práva, některá z nich jsou zděděna z nadřazené složky (šedé čtverečky naproti Číst a spouštět, "Seznam obsahu složky", "Čtení"), a část je výslovně stanovena - to je právo "Změna" a "Záznam"

    !!!Pozornost. Věnujte pozornost jménům uživatelů a skupin. Závorky označují příslušnost ke skupině nebo uživateli. Skupiny a uživatelé mohou být lokální, tzn. vytvořené přímo na tomto počítači a může být doménou. V tomto případě skupina "Administrátoři" local, protože záznam v závorkách označuje název počítače KAV-VM1 a za lomítkem následuje název samotné skupiny. Naopak uživatel "Hostující uživatel" je uživatelem domény btw.by, jak je uvedeno v záznamu celého jména [e-mail chráněný]

    Často se při prohlížení nebo změně práv můžete omezit na okno se základními právy, ale někdy to nestačí. Poté můžete otevřít okno, ve kterém můžete změnit zvláštní oprávnění, vlastníka nebo zobrazit platná oprávnění. Jak to udělat? Klikněte na tlačítko "Dodatečně"... Toto okno se otevře.

    V tomto okně v tabulce Položky povolení jsou uvedeni všichni uživatelé, kteří mají práva k této složce. Stejným způsobem jako u základních rozlišení zvýrazňujeme požadovaného uživatele nebo skupinu a stiskněte tlačítko "Změna"... Otevře se okno se všemi speciálními oprávněními pro zvýrazněného uživatele nebo skupinu

    Podobně jako základní oprávnění budou speciální oprávnění zděděná z nadřazené složky zobrazena matně šedou barvou a nebude možné je upravit.

    Jak jste si možná všimli, v okně zvláštních oprávnění je pro některé uživatele nebo skupiny několik řádků.


    To proto, že pro jednoho uživatele nebo skupinu může existovat různé druhy práva: výslovná a zděděná, povolená nebo odepřená, lišící se typem dědictví. V tomto případě jsou práva pro čtení pro skupinu Users zděděna z nadřazené složky a práva pro úpravy jsou explicitně přidána.

    Příklady postoupení práv.

    !!! Všechny příklady budou přicházet s rostoucí složitostí. Přečtěte si je a vypořádejte se s nimi ve stejném pořadí, v jakém jsou uvedeny v textu. V následujících příkladech vynechám akce stejného typu, abych zredukoval množství textu. 🙂

    Příklad 1. Udělení přístupu pouze pro čtení ke složce určité místní skupině zabezpečení.

    Nejprve si vytvoříme lokální skupinu, do které zařadíme celý seznam uživatelů, které potřebujeme. Je to možné bez skupiny, ale pak pro každého uživatele budete muset nakonfigurovat práva samostatně a pokaždé, když budete potřebovat udělit práva nové osobě, budete muset provést všechny operace znovu. A pokud udělíte práva místní skupině, pak k založení nové osoby – včetně této osoby v místní skupině – stačí pouze jedna akce. Jak vytvořit místní bezpečnostní skupinu jsme se dočetli v článku „Konfigurace místních bezpečnostních skupin“.

    Tak. Vytvořili jsme místní bezpečnostní skupinu s názvem Read Colleagues


    ke kterému byli přidáni všichni potřební uživatelé.

    Nyní jsem nastavil přístupová práva ke složce. V tomto příkladu udělám přístupová práva vytvořené skupiny „Kolegům za čtení“ na složku "Fotografie".

    Klikněte pravým tlačítkem na složku "FOTOGRAFIE" a vyberte položku nabídky "Vlastnosti", přejděte na záložku "Bezpečnostní".

    V otevřené záložce "Bezpečnostní" zobrazí se práva aktuální složky "FOTOGRAFIE"... Po výběru skupin a uživatelů v seznamu můžete vidět, že práva této složky jsou zděděna z nadřazené složky (šedé zaškrtnutí ve sloupci "Dovolit"). V této situaci nechci, aby měl někdo jiný než nově vytvořená skupina alespoň nějaký přístup ke složce "FOTOGRAFIE".

    Proto musím odebrat dědičnost práv a odstranit nepotřebné uživatele a skupiny ze seznamu. Stisknu tlačítko "Dodatečně"... V okně, které se otevře,


    zrušte zaškrtnutí políčka "Zdědit od nadřazeného objektu oprávnění platná pro podřízené objekty a přidat je k těm, která jsou explicitně nastavena v tomto okně." ... Otevře se mi okno, ve kterém si mohu vybrat, co dělat s aktuálními zděděnými právy.

    Ve většině případů vám doporučuji kliknout na tlačítko zde. "Kopírovat", protože pokud si vyberete "Vymazat", pak se seznam práv vyprázdní a můžete si práva skutečně vzít sami od sebe. Ano, nedivte se, je to velmi snadné. A pokud nejste správcem svého počítače nebo uživatelem skupiny "Operátoři archivu", pak pro vás nebude možné práva obnovit. Situace je jako dveře s automatickou západkou, které zavřete a klíče necháte uvnitř. Proto je lepší vždy stisknout tlačítko. "Kopírovat" a poté odstraňte nepotřebné.

    Poté, co jsem stiskl "Kopírovat", Znovu se vrátím do předchozího okna, pouze s nezaškrtnutým políčkem.

    tisknu "OK" a vraťte se do okna základních práv. Všechna práva jsou nyní k dispozici pro úpravy. Musím přenechat práva místní skupině "Administrátoři" a uživatel SYSTÉM a zbytek smažte. Postupně vyberu nepotřebné uživatele a skupiny a kliknu na tlačítko "Vymazat".

    V důsledku toho dostávám následující obrázek.

    Teď už jen musím přidat skupinu „Kolegům za čtení“ a přiřadit této skupině práva ke čtení.

    Stisknu tlačítko "Přidat" a ve standardním okně výběru vyberu místní skupinu „Kolegům za čtení“... Jak pracovat s výběrem okna je podrobně popsáno v článku.

    V důsledku všech akcí jsem do seznamu základních práv přidal skupinu „Pro kolegy ke čtení“, přičemž práva pro tuto skupinu byla automaticky nastavena Číst a spouštět, "Seznam obsahu složky", "Čtení".

    Vše, zbývá stisknout tlačítko "OK" a práva jsou přidělena. Nyní každý uživatel, který patří do místní skupiny zabezpečení "Kolegům za čtení", bude moci číst celý obsah složky "FOTOGRAFIE".

    Příklad 2. Udělení osobního přístupu uživatelům k jejich podsložkám ve složce.

    I tato situace je v praxi běžná. Máte například složku pro nové naskenované dokumenty. V této složce byla pro každého uživatele vytvořena samostatná podsložka. Po naskenování dokument převezme uživatel ze své podsložky. Úkolem je přidělit práva tak, aby každý uživatel viděl obsah pouze své podsložky a neměl přístup do podsložky kolegy.

    Pro tento příklad Trochu přeformuluji úkol. Řekněme, že máme sdílenou složku "FOTOGRAFIE", která má pro každého uživatele podsložku. Je nutné nakonfigurovat práva tak, aby uživatel měl všechna práva ve své podsložce a podsložky ostatních uživatelů by pro něj byly nepřístupné.

    Pro toto nastavení kompletně opakuji všechny kroky z prvního příkladu. V důsledku opakování získávám práva pro celou skupinu. „Kolegům za čtení“ pro čtení do všech podsložek. Mým úkolem je ale zviditelnit uživateli pouze „moji“ podsložku. Proto v okně základních práv kliknu na tlačítko "Dodatečně"


    a přejděte do okna speciálních práv, ve kterém vyberu skupinu „Kolegům za čtení“ a stiskněte tlačítko "Změna"

    V okně, které se otevře, změním pravidla dědičnosti místo hodnoty v poli "Aplikovat:" volím hodnotu "Pouze pro tuto složku".

    To je klíčový bod tohoto příkladu. Význam "Pouze pro tuto složku" způsobí, že skupina má oprávnění ke čtení „Kolegům za čtení“ platí pouze pro kořenový adresář složky "FOTOGRAFIE" ale ne do podsložek. Každý uživatel se tak dostane do své složky, ale nebude moci nahlédnout do sousední, nemá právo prohlížet podsložky. Pokud takové právo skupině vůbec neudělíte, uživatelé se do svých podsložek vůbec nedostanou. Souborový systém je nepustí ani do složky "FOTOGRAFIE".

    V důsledku toho budou uživatelé moci vstoupit do složky "FOTOGRAFIE" ale nebudou moci jít dále do podsložek!

    V okně zvláštních práv klikněte na "OK" a návrat do předchozího okna, nyní ve sloupci "Platit pro" naproti skupině „Kolegům za čtení“ stojí za to "Pouze pro tuto složku".

    Klikněte ve všech oknech "OK" a odcházíme.

    Všechno. Nyní zbývá nakonfigurovat osobní práva pro každou podsložku. Toto bude muset být provedeno pro každou podsložku, práva jsou osobní pro každého uživatele.

    V prvním příkladu jste již provedli všechny potřebné akce, zopakujeme minulost 🙂

    V podsložce "Uživatel1" Stisknu pravé tlačítko myši, vyberu položku nabídky "Vlastnosti", přejděte na záložku "Bezpečnostní"... Stisknu tlačítko "Přidat"

    a ve standardním okně výběru vyberu uživatele domény se jménem "Uživatel1".

    Zbývá zaškrtnout políčko pro povolovací právo "Změna"... V tomto případě zaškrtnutí u povolovacího práva "Záznam" se nainstaluje automaticky.

    Tam "OK"... Odcházíme. Zbývá opakovat podobné akce pro všechny podsložky.

    Příklad 3. Udělení osobního přístupu uživateli k jeho podsložce pro zápis, při současném zákazu změn nebo mazání.

    Chápu, že to zní těžce, ale pokusím se to objasnit. Tomuto přístupu říkám západka. V běžném životě máme podobnou situaci s běžnými poštovní schránka do kterého házíme papírová písmena. Tito. Dopis můžete hodit do krabice, ale nemůžete ho z krabice vyjmout. V počítačové ekonomice se to může hodit pro situaci, kdy vám někdo napíše hlášení do složky. Tito. soubor je zapsán uživatelem, ale pak tento uživatel již nemůže s tímto souborem nic dělat. Můžete si tak být jisti, že tvůrce již nebude moci zaslanou zprávu změnit nebo smazat.

    Stejně jako v předchozím příkladu zopakujeme všechny kroky, kromě toho, že uživateli okamžitě neudělíme plná práva k jeho složce, zpočátku v základních oprávněních udělíme pouze přístup pro čtení a stiskneme tlačítko "Dodatečně"

    V okně, které se otevře, vyberte "Uživatel1" a stiskněte tlačítko "Změna"

    V okně, které se otevře, vidíme standardní oprávnění ke čtení

    Chcete-li uživateli udělit právo vytvářet soubory, nastavte oprávnění vpravo "Vytvářet soubory / zapisovat data", ale vpravo "Odebírání podsložek a souborů" a "Odstranění" dali jsme zákaz. Nechte standardní dědictví "Pro tuto složku, její podsložky a soubory".

    Po stisknutí tlačítka "OK" a vrátit se do předchozího okna, můžete vidět významné změny. Místo jednoho záznamu pro "Uživatel1" objevily se dva.

    Je to proto, že jsou nainstalovány dva typy práv, jedno zakazující, jsou na prvním místě v seznamu, druhé povolující, jsou na druhém místě v seznamu. Protože speciální práva jsou nestandardní, ve sloupci "Povolení" stojí za to "Speciální"... Po stisknutí tlačítka "OK" zobrazí se okno, ve kterém okna varují, že jsou práva odepřena a že mají vyšší prioritu. V překladu to znamená stejnou situaci se samozavíracími dveřmi, ke kterým jsou klíče uvnitř. Podobnou situaci jsem popsal ve druhém příkladu.

    Všechno. Práva jsou založena. Nyní "Uživatel1" bude moci zapsat jakýkoli soubor do své složky, otevřít jej, ale nebude jej moci změnit ani odstranit.

    Ale co úplná analogie se skutečnou poštovní schránkou?

    Abyste zabránili uživateli otevřít nebo zkopírovat zaznamenaný soubor, musíte provést následující. Znovu otevřete povolující zvláštní oprávnění pro "Uživatel1" a v terénu "Aplikovat:" změnit hodnotu na "Pouze pro tuto složku"

    V tomto případě uživatel nemá právo číst nebo kopírovat soubor.

    Všechno. Nyní je analogie s fyzickou schránkou téměř kompletní. Uvidí pouze názvy souborů, jejich velikost, atributy, ale neuvidí samotný soubor.

    Podívejte se na svá aktuální práva.

    Chci hned říci, že možnost zobrazit aktuální práva pro složku nebo soubor je úplná fikce. Podle mého názoru by takové nástroje měly poskytovat zaručené informace. V tomto případě tomu tak není. Sám Microsoft to přiznává tento nástroj nezohledňuje mnoho faktorů, které ovlivňují výsledná práva, jako jsou vstupní podmínky. Použití takového nástroje je tedy pouze zaváděním se o skutečných právech.

    Případ popsaný hned na začátku článku se zákazem smazání souboru ze složky je v tomto případě velmi výmluvný. Pokud nasimulujete podobnou situaci a podíváte se na práva souboru chráněného před smazáním, uvidíte, že práva souboru na smazání jsou zakázána. Není však těžké tento soubor odstranit. Proč to Microsoft udělal - nevím.

    Pokud se přesto rozhodnete podívat se na aktuální práva, musíte k tomu kliknout na tlačítko v okně základních práv "Dodatečně" a v okně zvláštních práv přejděte na kartu "Platná povolení".

    Poté musíte stisknout tlačítko "Vybrat" a ve standardním okně výběru vyberte požadovaného uživatele nebo skupinu.

    Po výběru se zobrazí „přibližná“ platná oprávnění.

    Závěrem chci říci, že téma práv k souborovému systému NTFS je velmi rozsáhlé, výše uvedené příklady jsou jen velmi malou částí toho, co se dá dělat. Proto, pokud máte nějaké dotazy, zeptejte se jich v komentářích k tomuto článku. Pokusím se na ně odpovědět.

    Tento článek ideologicky navazuje na článek. Jak v něm bylo řečeno, po výběru uživatelů a (nebo) skupin musíte zadat parametry pro přístup k nim. To lze provést pomocí oprávnění systému souborů NTFS, která jsou popsána v následující tabulce.

    Oprávnění k souboru

    • Čtení. Můžete číst soubor a také prohlížet jeho parametry, jako je jméno vlastníka, oprávnění a další vlastnosti.
    • Záznam. Umožňuje přepsat soubor, změnit jeho parametry, zobrazit jméno jeho vlastníka a oprávnění.
    • Čtení a provádění. Oprávnění ke čtení a právo spustit spustitelnou aplikaci.
    • Změna. Povoleno upravovat a odstraňovat soubor, stejně jako vše, co poskytují oprávnění Číst a Spouštět a Zápis.
    • Plný přístup.
    • Úplný přístup k souboru povolen. To znamená, že všechny akce poskytované všemi výše uvedenými oprávněními jsou povoleny. Můžete také převzít vlastnictví souboru a změnit jeho oprávnění.

    Oprávnění složky

    • Čtení. Můžete prohlížet podsložky a soubory a také jejich vlastnosti, jako je jméno vlastníka, oprávnění a atributy pouze pro čtení, jako jsou Jen pro čtení, Skryté, Archiv a Systém.
    • Záznam. Do složky je možné vytvářet a umisťovat nové soubory a podsložky, měnit nastavení složky a prohlížet její vlastnosti, zejména jméno vlastníka a přístupová oprávnění.
    • Seznam obsahu složky. Můžete zobrazit názvy souborů a podsložek obsažených ve složce.
    • Čtení a provádění. K souborům v podsložkách je povolen přístup, i když není přístup k samotné složce. Kromě toho jsou povoleny stejné akce jako u oprávnění Číst a Vypisovat obsah složky.
    • Změna. Všechny akce pro oprávnění Číst a Číst a Spouštět jsou povoleny a složku lze odstranit.
    • Plný přístup. Je povolen úplný přístup ke složce. Jinými slovy, všechny akce poskytované všemi výše uvedenými oprávněními jsou povoleny. Kromě toho je povoleno převzít vlastnictví složky a změnit její oprávnění.
    • Zvláštní oprávnění. Sada dalších oprávnění, která se liší od standardních.

    Za tvůrce souboru je vždy považován jeho vlastník, který má práva Plný přístup, i když účet vlastníka není uveden v záložce Zabezpečení souborů... Kromě výše uvedených oprávnění k souborům můžete vybrat dva další typy oprávnění.

    • Změna vlastníka... Tento typ oprávnění umožňuje uživateli převzít vlastnictví souboru. Tenhle typ výchozí oprávnění přiřazená skupině Správci.
    • Změnit oprávnění... Uživatel získá možnost změnit seznam uživatelů a skupin, kteří mají přístup k souboru, a také změnit typy přístupových oprávnění k souboru.