Чем отличается ntfs разрешение полный доступ full control от редактирования modify?

25 ответов на вопрос “Чем отличается ntfs разрешение полный доступ full control от редактирования modify?”

  1. AkiKosmos Ответить

    ИТ-консультант Брэд Берд (Brad Bird) рассказывает о файловых разрешениях NTFS по умолчанию, о том, что они в себя включают, как переносятся в рамках иерархии файлов и папок и что это означает с точки зрения информационной безопасности.
    В этой статье я буду говорить о файловых разрешениях, принятых в Windows Vista Business Edition. В других версиях Windows – NT, 2000, 2003, XP, 2008 – могут быть некоторые отличия с точки зрения функционального наполнения разрешений. А вот с точки зрения механизмов применения разрешений по умолчанию разные версии Windows отличаются друг от друга намного существеннее. Например, в Windows 2000 группа «Все» (Everyone) по умолчанию имеет полный доступ на уровне C:\, и эти разрешения наследуются в рамках полной иерархии файлов и папок – не самый разумный подход к безопасности. В последующих версиях Windows к применению разрешений по умолчанию подходят с большей осторожностью.
    В большинстве случаев разрешений NTFS по умолчанию должно быть более чем достаточно для выполнения любых пользовательских задач. Давайте посмотрим, какие разрешения имеются в виду.
    1…Полный доступ (Full Control)
    2…Изменить (Modify)
    3…Чтение и выполнение (Read and Execute)
    4…Содержание папки (List Folder Contents)
    5…Чтение (Read)
    6…Запись (Write)
    В сущности, если пользователь имеет разрешение изменять файл или папку, он получает и все остальные разрешения на редактирование. Разрешение на чтение и выполнение автоматически присваивает пользователю разрешение на чтение и просмотр содержания папок и так далее. Единственное исключение представляет собой разрешение на запись: бывают ситуации, в которых необходимо разрешить пользователю записать файл или папку, но запретить их чтение. Ключ ко всем разрешениям – полный доступ. Он не только дает пользователю разрешения на редактирование, но и позволяет изменять параметры доступа к файлу или папке.
    Перечисленные выше разрешения по умолчанию на самом деле состоят из целого ряда индивидуальных разрешений, перечисленных в таблице A.
    Таблица А:
    Полный доступ
    Изменить
    Чтение и выполнение
    Содержание (только папки)
    Чтение
    Запись
    Полный доступ
    Да
    Обзор папок/Выполнение файлов
    (Traverse Folder/Execute File)
    Да
    Да
    Да
    Да
    Содержание папки/Чтение данных
    (List Folder/Read Data)
    Да
    Да
    Да
    Да
    Да
    Чтение атрибутов
    (Read Attributes)
    Да
    Да
    Да
    Да
    Да
    Чтение дополнительных атрибутов
    (Read Extended Attributes)
    Да
    Да
    Да
    Да
    Да
    Создание файлов/Запись данных
    (Create Files/Write Data)
    Да
    Да
    Да
    Создание папок/Дозапись данных
    (Create Folders/Append Data)
    Да
    Да
    Да
    Запись атрибутов
    (Write Attributes)
    Да
    Да
    Да
    Запись дополнительных атрибутов
    (Extended Attributes)
    Да
    Да
    Да
    Удаление подпапок и файлов
    (Delete Subfolders and Files)
    Да
    Удаление
    (Delete)
    Да
    Да
    Чтение разрешений
    (Read Permissions)
    Да
    Да
    Да
    Да
    Да
    Да
    Смена разрешений
    (Change Permissions)
    Да
    Смена владельца
    (Take Ownership)
    Да
    Обратите внимание: индивидуальные разрешения, входящие в состав разрешений на чтение и выполнение, просмотр содержания папки и только чтение, очень похожи, но применяются по-разному.
    Другой аспект, на который следует обратить особое внимание, – на каком уровне применяются эти разрешения. По умолчанию они наследуются в рамках иерархии файлов и папок до самого нижнего уровня.
    Изменить уровень применения разрешений по умолчанию можно с помощью следующих опций:
    • «Только для этой папки» (This folder only)
    • «Только для этой папки, ее подпапок и файлов» (This folder, subfolders, and files)
    • «Только для этой папки и ее подпапок» (This folder and subfolders)
    • «Только для этой папки и ее файлов» (This folder and files)
    • «Только для подпапок и файлов» (Subfolders and files only)
    • «Только для подпапок» (Subfolders only)
    • «Только для файлов» (Files only)
    По умолчанию выбрана опция «Только для этой папки, ее подпапок и файлов», чем и объясняется наследование разрешений по всей иерархии файлов и папок. В зависимости от обстоятельств, применение разрешений бывает необходимо ограничить – например, если речь идет о доступе к системной папке C:\Windows.
    Целью данной статьи было только проанализировать содержание файловых разрешений NTFS и рассказать о параметрах, принятых в Windows по умолчанию. А что думаете вы? Есть ли у вас надежные рецепты применения разрешений на все случаи жизни? Поделитесь с нами своим мнением в комментариях!
    Автор: Brad Bird
    Перевод: SVET
    Оцените статью:

  2. РэЙк_БеЗ_ФэЙк Ответить

      Информация взята из тринадцатой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).
    На томах с файловой системой NTFS Вы можете установить разрешения безопасности для файлов и папок. Эти разрешения предоставляют или запрещают доступ к файлам и папкам. Для просмотра текущих разрешений безопасности выполните следующее:
    1. В Проводнике (Windows Explorer) выберите файл или папку для просмотра параметров безопасности и щелкните правой кнопкой мыши. 2. В контекстном меню выберите команду Свойства (Properties) и перейдите на вкладку Безопасность (Security) диалогового окна. 3. В списке Имя (Name) выберите пользователя, контакт, компьютер или группу разрешения которых Вы хотите просмотреть. Если флажки в области Разрешения: (Permissions) затенены, значит, разрешения унаследованы от родительского объекта.

    Общее представление о разрешениях для файлов и папок

    В Таблице 13-3 отражены базовые разрешения, применимые к файлам и папкам.
    Существуют следующие базовые разрешения на доступ к файлам: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Чтение (Read) и Запись (Write).
    Для папок применимы такие базовые разрешения: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Список содержимого папки (List Folder Contents), Чтение (Read) и Запись (Write).
    При установке разрешений для файлов и папок всегда следует учитывать следующее:
    • Для запуска сценариев достаточно иметь разрешение на Чтение (Read). Разрешение на Выполнение файла (особое разрешение Execute File) не обязательно. • Для доступа к ярлыку и связанному объекту требуется разрешение на Чтение (Read). • Разрешение на Запись в файл (особое разрешение Write Data) при отсутствии разрешения на Удаление файла (особое разрешение Delete) все еще позволяет пользователю удалять содержимое файла. • Если пользователь имеет базовое разрешение Полный доступ (Full Control) к папке, он может удалять любые файлы в такой папке, независимо от разрешений на доступ к этим файлам. Таблица 13-3 – Базовые разрешения для файлов и папок в Windows 2000
    Базовое разрешение Значение для папок Значение для файлов Чтение (Read) Разрешает обзор папок и просмотр списка файлов и подпапок Разрешает просмотр и доступ к содержимому файла Запись (Write) Разрешает добавление файлов и подпапок Разрешает запись данных в файл Чтение и Выполнение (Read & Execute) Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется файлами и папками Разрешает просмотр и доступ к содержимому файла, а также запуск исполняемого файла Список содержимого папки (List Folder Contents) Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется только папками Не применимо Изменить (Modify) Разрешает просмотр содержимого и создание файлов и подпапок; допускает удаление папки Разрешает чтение и запись данных в файл; допускает удаление файла Полный доступ (Full Control) Разрешает просмотр содержимого, а также создание, изменение и удаление файлов и подпапок Разрешает чтение и запись данных, а также изменение и удаление файла Базовые разрешения созданы при помощи объединения в логические группы особых разрешений, которые показаны в Таблице 13-4 (для файлов) и 13-5 (для папок). Особые разрешения можно назначить индивидуально, используя дополнительные параметры настройки. При изучении особых разрешений для файлов, необходимо учитывать следующее:
    • Если группе или пользователю явно не определены права доступа, то доступ к файлу для них закрыт. • При вычислении действующих разрешений пользователя принимаются во внимание все разрешения назначенные пользователю, а также группам, членом которых он является. Например, если пользователь GeorgeJ имеет доступ на Чтение (Read), и в то же время входит в группу Techies, у которой доступ на изменение (Modify), то в результате, у пользователя GeorgeJ появляется доступ на изменение (Modify). Если группу Techies включить в группу Администраторы (Administrators) с полным доступом (Full Control), то GeorgeJ будет полностью контролировать файл.
    Таблица 13-4 – Особые разрешения для файлов
    Особые разрешения Полный доступ (Full Control) Изменить (Modify) Чтение и выполнение (Read & Execute) Чтение (Read) Запись (Write) Выполнение файлов (Execute File)  X  X  X       Чтение данных (Read Data)  X  X  X  X    Чтение атрибутов (Read Attributes)  X  X  X  X    Чтение дополнительных атрибутов (Read Extended Attributes)  X  X  X  X    Запись данных (Write Data)  X  X        X Дозапись данных (Append Data)  X  X        X Запись атрибутов (Write Attributes)  X  X        X Запись дополнительных атрибутов (Write Extended Attributes)  X  X        X Удаление (Delete)  X  X          Чтение разрешений (Read Permissions)  X  X  X  X  X Смена разрешений (Change Permissions)  X             Смена владельца (Take Ownership)  X             В Таблице 13-5 показаны особые разрешения, используемые для создания базовых разрешений для папок. При изучении особых разрешений для папок необходимо учитывать следующее:
    • При установке разрешений для родительской папки можно привести элементы разрешений файлов и подпапок в соответствие с разрешениями текущей родительской папки. Для этого нужно установить флажок Сбросить разрешения для всех дочерних объектов и включить перенос наследуемых разрешений (Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions). • Создаваемые файлы наследуют некоторые разрешения от родительского объекта. Эти разрешения показаны, как разрешения файла по умолчанию. Таблица 13-5 – Особые разрешения для папок
    Особые разрешения Полный доступ (Full Control) Изменить (Modify) Чтение и выполнение (Read & Execute) Список содержимого папки (List Folder Contents) Чтение (Read) Запись (Write) Обзор папок (Traverse Folder)  X  X  X  X       Содержание папки (List Folder)  X  X  X  X  X    Чтение атрибутов (Read Attributes)  X  X  X  X  X    Чтение дополнительных атрибутов (Read Extended Attributes)  X  X  X  X  X    Создание файлов (Create Files)  X  X           X Создание папок (Create Folders)  X  X           X Запись атрибутов (Write Attributes)  X  X           X Запись дополнительных атрибутов (Write Extended Attributes)  X  X           X Удаление подпапок и файлов (Delete Subfolders and Files)  X                Удаление (Delete)  X  X             Чтение разрешений (Read Permissions)  X  X  X  X  X  X Смена разрешений (Change Permissions)  X                Смена владельца (Take Ownership)  X               

    Установка разрешений для файлов и папок

    Для установки разрешений для файлов и папок выполните следующее:
    1. В Проводнике (Windows Explorer) выберите файл или папку и щелкните правой кнопкой мыши. 2. В контекстном меню выберите команду Свойства (Properties) и в диалоговом окне перейдите на вкладку Безопасность (Security), показанную на Рисунке 13-12.
    Рисунок 13-12 – Настройка базовых разрешений для файлов или папок на вкладке Безопасность (Security)
    3. В списке Имя (Name) перечислены пользователи или группы, имеющие доступ к файлу или папке. Чтобы изменить разрешения для этих пользователей или групп, выполните следующее: • Выделите пользователя или группу, разрешения для которых Вы хотите изменить.
    • Используйте список Разрешения: (Permissions) для задания или отмены разрешений.
    Совет. Флажки унаследованных разрешений затенены. Для отмены унаследованного разрешения измените его на противоположное.
    4. Для установки разрешений пользователям, контактам, компьютерам или группам, которых нет в списке Имя (Name), нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups), показанное на Рисунке 13-13.
    Рисунок 13-13 – Выделите пользователей, компьютеры и группы, для которых необходимо разрешить или запретить доступ.
    5. Используйте диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups) для выбора пользователей, компьютеров или групп, для которых Вы хотите установить разрешения доступа. Это окно содержит поля, описание которых приводится ниже: • Искать в (Look In) Этот раскрывающийся список позволяет просмотреть доступные учетные записи других доменов. В том числе, список текущего домена, доверенных доменов и других доступных ресурсов. Чтобы увидеть все учетные записи в папке, выберите Весь каталог (Entire Directory).
    Имя (Name) Эта колонка показывает существующие учетные записи выбранного домена или ресурса.
    Добавить (Add) Эта кнопка добавляет выделенные имена в список выбранных имен.
    Проверить имена (Check Names) Эта кнопка позволяет проверить имена пользователей, компьютеров или групп в списке выбранных имен. Это может быть полезно, когда имена вводятся вручную и необходимо убедиться в их правильности.
    6. В списке Имя (Name) выделите пользователя, контакт, компьютер или группу для настройки, затем установите или снимите флажки в области Разрешения: (Permissions) для определения прав доступа. Повторите эти же действия и для других пользователей, компьютеров или групп. 7. По завершении работы нажмите кнопку OK.

    Аудит системных ресурсов

    Применение аудита – это лучший способ для отслеживания событий в системах Windows 2000. Аудит можно использовать для сбора информации, связанной с использованием какого-либо ресурса. Примерами событий для аудита можно назвать доступ к файлу, вход в систему и изменения системной конфигурации. После включения аудита объекта, в журнал безопасности системы заносятся записи при любой попытке доступа к этому объекту. Журнал безопасности можно просмотреть из оснастки Просмотр событий (Event Viewer).
    Примечание. Для изменения большинства настроек аудита необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы», или иметь право Управление аудитом и журналом безопасности (Manage Auditing And Security Log) в групповой политике.

    Установка политик аудита

    Применение политик аудита существенно повышает безопасность и целостность систем. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности. Настройка политик аудита доступна в оснастке Групповая политика (Group Policy). С помощью этого компонента можно установить политики аудита для целого сайта, домена, или подразделения. Политики также могут быть заданы для персональных рабочих станций или серверов.
    После выбора необходимого контейнера групповой политики можно настроить политики аудита следующим образом:
    1. Как показано на Рисунке 13-14, найти узел Политика аудита (Audit Policy) можно продвигаясь вниз по дереву консоли: Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings), Локальные политики (Local Policies), Политика аудита (Audit Policy).
    Рисунок 13-14 – Настройка политики аудита с использованием узла Политика аудита (Audit Policy) в Групповой политике (Group Policy).
    2. Существуют следующие категории аудита: • Аудит событий входа в систему (Audit Account Logon Events) отслеживает события, связанные с входом пользователя в систему и выходом из неё.
    Аудит управления учетными записями (Audit Account Management) отслеживает все события, связанные с управлением учетными записями, средствами оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Записи аудита появляются при создании, изменении или удалении учетных записей пользователя, компьютера или группы.
    Аудит доступа к службе каталогов (Audit Directory Service Access) отслеживает события доступа к каталогу Active Directory. Записи аудита создаются каждый раз при доступе пользователей или компьютеров к каталогу.
    Аудит входа в систему (Audit Logon Events) отслеживает события входа в систему или выхода из нее, а также удаленные сетевые подключения.
    Аудит доступа к объектам (Audit Object Access) отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory.
    Аудит изменения политики (Audit Policy Change) отслеживает изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.
    Аудит использования привилегий (Audit Privilege Use) отслеживает каждую попытку применения пользователем предоставленного ему права или привилегии. Например, права архивировать файлы и каталоги.
    Примечание. Политика Аудит использования привилегий (Audit Privilege Use) не отслеживает события, связанные с доступом к системе, такие, как использование права на интерактивный вход в систему или на доступ к компьютеру из сети. Эти события отслеживаются с помощью политики Аудит входа в систему (Audit Logon Events).
    Аудит отслеживания процессов (Audit Process Tracking) отслеживает системные процессы и ресурсы, используемые ими.
    Аудит системных событий (Audit System Events) отслеживает события включения, перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или отражаемые в журнале безопасности.
    3. Для настройки политики аудита дважды щелкните на нужной политике, или выберите в контекстном меню выбранной политики команду Свойства (Properties). После этого откроется диалоговое окно Параметр локальной политики безопасности (Properties). 4. Установите флажок Определить следующий параметр политики (Define These Policy Settings). Затем установите или снимите флажки Успех (Success) и Отказ (Failure). Аудит успехов означает создание записи аудита для каждого успешного события (например, успешной попытки входа в систему). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки входа в систему). 5. По завершении нажмите кнопку OK.

    Аудит операций с файлами и папками

    Если задействована политика Аудит доступа к объектам (Audit Object Access), можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.
    Для настройки аудита файла и папки проделайте следующее:
    1. В Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду Свойства (Properties). 2. Перейдите на вкладку Безопасность (Security), а затем нажмите кнопку Дополнительно (Advanced). 3. В диалоговом окне Параметры управления доступом (Access Control Settings) перейдите на вкладку Аудит (Auditing), показанную на Рисунке 13-15.
    Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).
    4. Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object). 5. Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries). 6. Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove). 7. Чтобы добавить учетную запись, нажмите кнопку Добавить (Add) для появления диалогового окна Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете OK, появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), показанное на Рисунке 13-16. Примечание. Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу Все (Everyone). В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях.

    Рисунок 13-16 – Диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.
    8. Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto). 9. Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениями (Таблицы 13-4 и 13-5) за исключением синхронизации автономных файлов и папок, аудит которой невозможен. 10. По завершении нажмите кнопку OK. Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.

    Аудит объектов каталога Active Directory

    Если задействована политика Аудит доступа к службе каталогов (Audit Directory Service Access), можно использовать аудит на уровне объектов службы каталогов Active Directory. Это позволит точно отслеживать их использование.
    Для настройки аудита объекта проделайте следующее:
    1. В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) выберите контейнер объекта. 2. Щелкните по объекту для аудита правой кнопкой мыши и в контекстном меню выберите команду Свойства (Properties). 3. Перейдите на вкладку Безопасность (Security) и нажмите кнопку Дополнительно (Advanced). 4. Перейдите на вкладку Аудит (Auditing) диалогового окна Параметры управления доступом (Access Control Settings). Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object). 5. Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove). 6. Чтобы добавить учетную запись, нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете OK, появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder). 7. Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto). 8. Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для каждого успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки удаления файла). 9. По завершении нажмите кнопку OK. Повторите эти шаги для настройки аудита других пользователей, контактов, групп или компьютеров.
    Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.
    Наверх страницы
    Обсуждение статьи на форуме

  3. Blackfist Ответить

    Чтобы предоставить права только на верхнем уровне и не изменять разрешения на вложенные объекты (только на папку), используйте команду:
    Add-NTFSAccess c:\data\public -Account corp\aaivanov -AccessRights Modify -AppliesTo ThisFolderOnly
    Удалить назначенные NTFS разрешения:
    Remove-NTFSAccess -Path C:\distr -Account ‘WORKSTAT1\confroom’ -AccessRights FullControl -PassThru
    Следующей командой можно лишить указанную учетную прав на все вложенные объекты в указанной папке (наследованные разрешения будут пропущены):
    Get-ChildItem -Path C:\distr -Recurse | Get-NTFSAccess -Account ‘WORKSTAT1\confroom’ -ExcludeInherited |Remove-NTFSAccess -PassThru
    Следующей командой можно назначить учетную запись Administrator владельцем всех вложенных объектов в каталоге:
    Get-ChildItem -Path C:\distr -Recurse -Force | Set-NTFSOwner -Account ‘Administrator’
    Чтобы очистить все разрешения, назначенные на объекты каталога вручную (не будет удалены унаследованные разрешения):
    Get-ChildItem -Path C:\distr -Recurse -Force | Clear-NTFSAccess
    Включить NTFS наследование для всех объектов в каталоге:
    Get-ChildItem -Path C:\distr -Recurse -Force | Enable-NTFSAccessInheritance
    Чтобы вывести все разрешения, которые назначены вручную, исключая унаследованные разрешения:
    dir C:\distr | Get-NTFSAccess –ExcludeInherited
    Можно вывести разрешения, назначенные для определенного аккаунта (не путайте с эффективными разрешениями, речь о них ниже):
    dir C:\distr | Get-NTFSAccess -Account corp\aaivanov

    Проверка эффективных NTFS разрешений на объекты из PowerShell

    Вы можете проверить эффективные NTFS разрешения на конкретный файл или папку с помощью командлета Get-EffectiveAccess. Допустим вы предоставили доступ на некоторую папку нескольким группам безопасности AD и теперь хотите понять, есть ли у конкретного аккаунта (SID) доступ к данной папке или нет. Как это сделать, не выводя состав групп AD, в которых входит его учетная запись? В этой ситуации как раз поможет функция проверки эффективные NTFS разрешений. Допустим, нужно проверить эффективные права на все вложенные папки в каталоге для пользователя confroom.
    Get-ChildItem -Path c:\distr -Recurse -Directory | Get-NTFSEffectiveAccess -Account ‘WORKSTAT1\confroom’ | select Account, AccessControlType, AccessRights, FullName
    Либо вы можете проверить эффективные разрешения на конкретный файл:
    Get-Item -Path ‘C:\distr\mstsc.exe.manifest’ | Get-NTFSEffectiveAccess -Account ‘WORKSTAT1\confroom’ | Format-List

  4. Darim Ответить

    Сводка разрешений NTFS
    Read
    Обеспечивает просмотр, копирование, печать и переименование файлов, папок и объектов. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты (например, бит Archive, EFS). Позволяет составить список файлов и подпапок папки
    Write
     Разрешения чтения, плюс создание и перезапись файлов и папок
    List (Folders Only)
    Позволяет просматривать имена файлов и подпапок внутри папки
    Read & Execute
     Чтение разрешений и запуск программных файлов

    Modify
     Предоставляет все разрешения, кроме возможности присвоить владение и назначать разрешения. Позволяет читать, удалять, изменять и перезаписывать файлы и папки

    Full Control
     Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения
    Special Permissions
     Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится разрешение Synchronize
    Детальные разрешения NTFS

    Traverse Folder / Execute File
     Traverse Folder позволяет перемещаться по папкам для доступа к другим файлам и папкам, даже если субъект безопасности не имеет разрешений в транзитной папке. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user (предоставляется группе Everyone по умолчанию). Execute File позволяет запускать программные файлы. Назначение разрешения Traverse Folder для папки не устанавливает автоматически разрешения Execute File для всех файлов в папке
    List Folder / Read Data
     Обеспечивает просмотр имен файлов и подпапок в папке. List Folder воздействует только на содержимое папки — оно не влияет на то, будет ли внесена в список папка, для которой назначается разрешение. Read Data позволяет просматривать, копировать и печатать файлы
    Read Attributes
     Субъект безопасности видит атрибуты объекта (например, Read-only, System, Hidden)
    Read Extended Attributes
     Субъект безопасности видит расширенные атрибуты объекта (например, EFS, Compression)
    Create Files / Write Data
     Create Files позволяет создавать файлы внутри папки (применяется только к папкам). Write Data позволяет вносить изменения в файл и перезаписывать существующий контент (применяется только к файлам)
    Create Folders / Append Data
     Create Folders позволяет создавать папки внутри папки (применяется только к папкам). Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные (применяется только к файлам)
    Write Attributes
     Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты (например, Read-only, System, Hidden) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты.
    Write Extended Attributes
     Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты (например, EFS, Compression) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты
    Delete Subfolders and Files
     Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу
    Delete
    Позволяет удалять папку или файл. При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке
    Read Permissions
     Позволяет читать разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет прочитать сам файл
    Change Permissions
     Позволяет изменять разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет изменять сам файл
    Take Ownership
     Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения
    Synchronize
     Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу

  5. Rainbrand Ответить

    Системное администрирование*
    Для чего в большинстве случаев в организации нужен сервер? Active Directory, RDS, сервер печати и еще куча мелких и крупных сервисов. Самая заметная всем роль, пожалуй, это файловый сервер. С ним люди, в отличие, от других ролей работают осознаннее всего. Они запоминают в какой папке что лежит, где находятся сканы документов, где их отчеты, где факсы, где общая папка, в которой можно все, куда доступ только одному из отделов, куда другому, а о некоторых они вообще не догадываются
    О доступе к сетевым и локальным папкам на сервере я и хочу поговорить.
    Доступ к общим ресурсам на сервере осуществляется, как все прекрасно знают, по протоколу SMB уже 3.0. Доступ по сети к папкам можно ограничивать SMB и NTFS-разрешениями. SMB-разрешения работают только при доступе к общей папке по сети и не имеют никакого влияния на доступность той или иной папки локально. NTFS-разрешения работают, как по сети, так и локально, обеспечивая намного больше гибкости в создании прав доступа. SMB и NTFS разрешения работают не отдельно, а дополняют друг друга, по принципу наибольшего ограничения прав.
    Для того, чтобы отдать папку в общий доступ в Server 2012 в группе SMB Share Cmdlets, появился командлет New-SMBShare. На примере этого командлета мы увидим все возможности, доступные при создании общей папки, кроме кластерных конфигураций (это отдельная большая тема).
    Создание новой общей папки выглядит очень просто:
    net share homefolder=s:ivanivanov /grant:”admin”,full /grant:”folderowner”,change /grant:”manager”,read /cache:programs /remark:”Ivanov”
    или
    new-smbshare homefolder s:ivanivanov –cachingmode programs –fullaccess admin –changeaccess folderowner –readaccess manager –noaccess all –folderenumerationmode accessbased -description “Ivanov”
    Разбираемся:
    -name
    имя общей папки в сети, может отличаться от имени папки на локальном компьютере. Имеет ограничение в 80 символов, нельзя использовать имена pipe и mailslot.
    -path
    путь к локальной папке, которую нужно отдать в общий доступ. Путь должен быть полным, от корня диска.
    -cachingmode
    настройка автономности файлов в общей папке.
    Что такое автономный файл?Автономный файл – это копия файла, находящегося на сервере. Эта копия находится на локальном компьютере и позволяет работать с файлом без подключения к серверу. При подключении изменения синхронизируются. Синхронизируются в обе стороны: если вы сделали изменения в своем автономном файле – при следующем подключении файл на сервере будет изменен; если кто-то сделал изменения на сервере – то ваша локальная копия будет изменена. Если изменения произошли в обоих файлах сразу – получаем ошибку синхронизации и придется выбирать, какую версию сохранить. Для совместной работы использовать эту возможность я бы не стал, но если для каждого пользователя наделать шар и ограничить доступ для других чтением, без возможности записи получаем следующие плюшки:
    Работа не зависит от сети – может сгореть свитч, может перезагружаться сервер, может оборваться провод или выключиться точка доступа – пользователь работает со своей копией, не замечая, что у вас там какая-то авария, при восстановлении сетевого подключения его работа уходит на сервер.
    Пользователь может работать работу где угодно: на даче, в автобусе, в самолете – в тех местах, где подключение к VPN по каким-то причинам недоступно.
    Если даже пользователь работает через VPN, но подключение или очень медленное, или постоянно обрывается – проще работать с автономной копией и синхронизировать изменения, чем пытаться что-то сделать на сервере.
    Пользователь сам может выбирать что и когда синхронизировать, если дать ему такую возможность.
    Принимает следующие значения:
    none – файлы недоступны автономно, для доступа к файлам нужен доступ к серверу
    manual – пользователи сами выбирают файлы, которые будут доступны автономно
    programs – все в папке доступно автономно (документы и программы (файлы с расширением *.exe, *.dll))
    documents – документы доступны, программы нет
    branchcache – кэширование вместо локального компьютера пользователя происходит на серверах BranchCache, пользователи сами выбирают автономные файлы
    -noaccess, -readaccess, -changeaccess, -fullaccess
    разрешения общего доступа (share permissions).
    У этих разрешений есть одно большое преимущество – они очень простые.
    -noaccess secretary,steward – секретарше и завхозу нечего делать в общих папках бухгалтерии
    -readaccess auditor – аудитор, проверяющий работу бухгалтерии может видеть имена файлов и подпапок в общей папке, открывать файлы для чтения, запускать программы.
    -changeaccess accountant – бухгалтеры в своей общей папке могут создавать файлы и подпапки, изменять существующие файлы, удалять файлы и подпапки
    -fullaccess admin – fullaccess это readaccess+changeaccess плюс возможность изменять разрешения.
    При создании общей папки автоматически применяется наиболее ограничивающее правило – группе «Все» дается право на чтение.
    Эти разрешения применяются только для пользователей, получивших доступ к общей папке по сети. При локальном входе в систему, например в случае терминального сервера, и секретарша и завхоз увидят в бухгалтерии все, что пожелают. Это исправляется NTFS-разрешениями. SMB-разрешения применяются ко всем файлам и папкам на общем ресурсе. Более тонкая настройка прав доступа осуществляется также NTFS-разрешениями.
    -concurrentuserlimit
    c помощью этого параметра можно ограничить максимальное число подключений к папке общего доступа. В принципе, также можно использовать для ограничения доступа к папке, дополняя NTFS-разрешения, только надо быть точно уверенным в необходимом количестве подключений.
    -description
    описание общего ресурса, которое видно в сетевом окружении. Описание – это очень хорошая вещь, которой многие пренебрегают.
    -encryptdata
    шифрование
    В SMB до версии 3.0 единственным способом защитить трафик от файлового сервера клиенту был VPN. Как его реализовать зависело полностью от предпочтений системного администратора: SSL, PPTP, IPSEC-туннели или еще что-нибудь. В Server 2012 шифрование работает из коробки, в обычной локальной сети или через недоверенные сети, не требуя никаких специальных инфраструктурных решений. Его можно включить как для всего сервера, так и для отдельных общих папок. Алгоритмом шифрования в SMB 3.0 является AES-CCM, алгоритмом хеширования вместо HMAC-SHA256 стал AES-CMAC. Хорошая новость в том, что SMB 3.0 поддерживает аппаратный AES (AES-NI), плохая новость в том, что Россия не поддерживает AES-NI.
    Чем грозит включение шифрования? Тем, что работать с зашифрованными общими папками смогут только клиенты, поддерживающие SMB 3.0, то есть Windows 8. Причина опять же, максимально допустимое ограничение прав пользователей. Предполагается, что администратор знает, что он делает и при необходимости даст доступ для клиентов с другой версией SMB. Но так как SMB 3.0 использует новые алгоритмы шифрования и хеширования трафик клиентов с другой версией SMB шифроваться не будет, нужен VPN. Пустить всех клиентов на файловый сервер с включенным шифрованием поможет команда set-smbserverconfiguration –rejectunencryptedaccess $false
    В конфигурации по умолчанию (запрещен нешифрованный трафик к зашифрованным общим папкам), при попытке доступа к папке клиента с версией SMB ниже 3.0 на клиенте мы получим «Ошибку доступа». На сервере в журнал Microsoft-Windows-SmbServer/Operational будет добавлено событие 1003, в котором можно будет найти IP-адрес клиента, пытавшегося получить доступ.
    Шифрование SMB и EFS – это разные вещи, никак не связанные друг с другом, то есть его можно применять на FAT и ReFS томах.
    -folderenumerationmode
    Это Access-Based Enumeration. С включенным Access-Based Enumeration пользователи, не имеющие доступа к общей папке, просто не увидят ее на файловом сервере и будет меньше вопросов, почему у меня нет доступа к той или этой папке. Пользователь видит свои доступные папки и не пытается лезть в чужие дела. По умолчанию – выключено.
    accessbased – включить
    unrestricted – выключить
    -temporary
    Этот ключ создает временную общую папку, доступ к которой будет прекращен после перезагрузки сервера. По умолчанию создаются постоянные общие папки.
    NTFS-разрешения
    С помощью NTFS-разрешений мы можем более детально разграничить права в папке. Можем запретить определенной группе изменять определенный файл, оставив возможность редактирования всего основного; в одной и той же папке одна группа пользователей может иметь права изменения одного файла и не сможет просматривать другие файлы, редактируемые другой группой пользователей и наоборот. Короче говоря, NTFS-разрешения позволяют нам создать очень гибкую систему доступа, главное самому потом в ней не запутаться. К тому же NTFS-разрешения работают, как при доступе к папке по сети, дополняя разрешения общего доступа, так и при локальном доступе к файлам и папкам.
    Существует шесть основных (basic) разрешений, которые являются комбинацией из 14 дополнительных (advanced) разрешений.
    Основные разрешения
    Полный доступ (fullcontrol) – полный доступ к папке или файлу, с возможностью изменять права доступа и правила аудита к папкам и файлам
    Изменение (modify) – право чтения, изменения, просмотра содержимого папки, удаления папок/файлов и запуска выполняемых файлов. Включает в себя Чтение и выполнение (readandexecute), Запись (write) и Удаление (delete).
    Чтение и выполнение (readandexecute) – право открывать папки и файлы для чтения, без возможности записи. Также возможен запуск выполняемых файлов.
    Список содержимого папки (listdirectory) – право просматривать содержимое папки
    Чтение (read) – право открывать папки и файлы для чтения, без возможности записи. Включает в себя Содержание папки / Чтение данных (readdata), Чтение атрибутов (readattributes), Чтение дополнительных атрибутов (readextendedattributes) и Чтение разрешений (readpermissions)
    Запись (write) – право создавать папки и файлы, модифицировать файлы. Включает в себя Создание файлов / Запись данных (writedata), Создание папок / Дозапись данных (appenddata), Запись атрибутов (writeattributes) и Запись дополнительных атрибутов (writeextendedattributes)
    Дополнительные разрешения
    Я ставил на папку только 1 из 14 разрешений и смотрел, что получается. В реальном мире, в большинстве случаев хватает основных разрешений, но мне было интересно поведение папок и файлов с максимально урезанными правами.
    Траверс папок / выполнение файлов (traverse) – право запускать и читать файлы, независимо от прав доступа к папке. Доступа к папке у пользователя не будет, (что находится в папке останется загадкой) но файлы в папке будут доступны по прямой ссылке (полный, относительный или UNC-путь). Можно поставить на папку Траверс папок, а на файл любые другие разрешения, которые нужны пользователю для работы. Создавать и удалять файлы в папке у пользователя не получится.
    Содержание папки / Чтение данных (readdata) – право просматривать содержимое папки без возможности изменения. Запускать и открывать файлы в просматриваемой папке нельзя
    Чтение атрибутов (readattributes) – право просматривать атрибуты (FileAttributes) папки или файла.
    Просматривать содержимое папки или файлов или изменить какие-либо атрибуты нельзя.
    Чтение дополнительных атрибутов (readextendedattributes) – право просматривать дополнительные атрибуты папки или файла.
    Единственное, что я смог найти по дополнительным атрибутам – это то, что они используются для обеспечения обратной совместимости с приложениями OS/2. (Windows® Internals, Part 2: Covering Windows Server® 2008 R2 and Windows 7). Больше мне о них ничего не известно.
    Создание файлов / запись данных (writedata) – дает пользователю возможность создавать файлы в папке, в которую у него нет доступа. Можно копировать файлы в папку и создавать в папке новые файлы. Нельзя просматривать содержимое папки, создавать новые папки и изменять уже существующие файлы. Пользователь не сможет изменить какой-либо файл, даже если он является владельцем этого файла – только создавать.
    Создание папок / дозапись данных (appenddata) – дает пользователю возможность создавать подпапки в папке и добавлять данные в конец файла, не изменяя существующее содержание.
    ПроверкаC созданием подпапок все понятно: ni c:testpermstestappend –itemtype directory
    отработает, как ожидается — создаст в недоступной для просмотра пользователем папке testperms подпапку testappend. Попробуем добавить строку в конец файла – сэмулируем ведение какого-нибудь лога.newevent >> c:testpermsuser.log
    Отказано в доступе.
    Хм… В CMD не работает. А если так.ac c:testpermsuser.log newevent
    ac : Отказано в доступе по пути “C:testpermsuser.log”.
    А по конвейеру?”newevent” | out-file c:testpermsuser.log -append
    out-file : Отказано в доступе по пути “C:testpermsuser.log”.
    И так не работает.
    Начинаем сеанс черной магии: используем класс File, метод AppendText. Получаем объект лога.
    $log = [io.file]::appendtext(“c:testpermsuser.log”)
    Исключение при вызове “AppendText” с “1” аргументами: “Отказано в доступе по пути “c:testpermsuser.log”.”
    Думаю, что AppendAllText пробовать уже не стоит
    $log = [io.file]::appendalltext(“c:testpermsuser.log”,”newevent”)
    Исключение при вызове “AppendAllText” с “2” аргументами: “Отказано в доступе по пути “c:testpermsuser.log”.”
    Дело, в принципе, ясное. Только права на дозапись данных в файл вышеперечисленным способам не хватает, им нужна запись в файл. Но вместе с этим мы дадим возможность на изменение файла, а не только добавление записей, то есть открываем потенциальную возможность уничтожить все содержимое файла.
    Нам нужно пересмотреть концепцию: давайте будем не получать объект лога, а создадим новый, в котором зададим все интересующие нас параметры. Нам нужно что-то где мы можем явно указать права доступа. Нам нужен FileStream, а конкретнее нам поможет FileStream Constructor (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions). Нужны следующие параметры:
    Путь к файлу – понятно
    Как открывать файл – открыть файл и найти конец файла
    Права доступа к файлу – дозапись данных
    Доступ для других объектов FileStream – не нужен
    Размер буфера – по умолчанию 8 байт
    Дополнительные опции — нет
    Получается примерно так:
    $log = new-object io.filestream(“c:testpermsuser.log”,[io.filemode]::append,[security.accesscontrol.filesystemrights]::appenddat
    a,[io.fileshare]::none,8,[io.fileoptions]::none)
    Работает! Объект лога мы создали, попробуем туда что-нибудь записать. Метод FileStream.Write принимает входящие значения в байтах. Перегоняем событие, которое мы хотим записать, в байты – класс Encoding, метод GetEncoding (нам не нужны кракозябры на выходе) и GetBytes (собственно, конвертирование)
    $event = “Произошло новое событие.”
    $eventbytes = [text.encoding]::getencoding(“windows-1251”).getbytes($event)
    Параметры FileStream.Write:
    Что писать; откуда начинать писать; количество байт, которые нужно записать
    Записываем:
    $log.write($eventbytes,0,$eventbytes.count)
    Проверяем.
    gc c:testpermsuser.log
    gc : Отказано в доступе по пути “C:testpermsuser.log “.
    Все нормально, у пользователя нет прав на просмотр написанного. Перелогиниваемся под администратором.
    gc c:testpermsuser.log
    Произошло новое событие.
    Все работает.
    Папке, в которой находится файл кроме разрешения Создание папок / дозапись данных должно быть еще выдано разрешение Содержание папки / Чтение данных. На файл хватает только Создание папок / дозапись данных с отключенным наследованием. Полностью оградить пользователя (а пользователем может быть и злоумышленник) от файлов, в которые он должен что-то писать не получится, но с другой стороны, кроме списка файлов в папке, пользователь ничего не увидит и не сможет сделать.
    Вывод из этого простой: в батниках реализовать безопасное логирование чего-либо не получится, PowerShell спасает умение работать c .NET объектами.
    Запись атрибутов (writeattributes) – разрешаем пользователю изменять атрибуты файла или папки. Вроде все просто. Но вот только что ответить на вопрос: «Фотографии моих котиков занимают почти все место в моем профиле и у меня не остается места для деловой переписки. Я бы хотел сжать папку с котиками, но у меня требуют прав администратора. Вы же говорили, что у меня есть право менять атрибуты папок. Это же атрибут? Почему я не могу его поменять?»
    Да, пользователю с правом записи атрибутов можно менять почти все видимые атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Технически, пользователю дается право выполнять функцию SetFileAttributes. А сжатие файлов выполняется функцией DeviceIOControl, которой нужно передать параметр FSCTL_SET_COMPRESSION и сжатие файлов является далеко не единственной ее работой. С помощью этой функции мы можем управлять всеми устройствами и их ресурсами в системе и, наверное, дать пользователю это право на выполнение этой функции означает сделать его администратором.
    С шифрованием история похожа: функция EncryptFile, которая как раз и отвечает за шифрование, требует, чтобы у пользователя были права Содержание папки / Чтение данных, Создание файлов / Запись данных, Чтение атрибутов, Запись атрибутов и Синхронизация на объект. Без них ничего не получится.
    Запись расширенных атрибутов (writextendedattributes). Ну это тех, которые используются для обратной совместимости с приложениями OS/2, ага. Ну, а еще в расширенные атрибуты файла C:Windowssystem32services.exe с недавних пор начали записывать троянов (ZeroAccess.C). Может быть стоит их отключать на самом верхнем уровне? На этот вопрос я не могу дать ответ, теоретически – может быть и стоит, практически в продакшене – я не пробовал.
    Удаление подпапок и файлов. (deletesubdirectoriesandfiles) Интересное разрешение, применяемое только к папкам. Суть в том, чтобы разрешить пользователю удалять подпапки и файлы в родительской папке, не давая разрешения Удаление.
    Допустим, есть каталог товаров, в который пользователи заносят данные. Есть родительская папка Catalog, внутри подпапки по алфавиту, от A до Z, внутри них какие-нибудь наименования. Наименования меняются каждый день, что-то добавляется, что-то изменяется, что-то устаревает и устаревшую информацию нужно удалять. Но будет не очень хорошо, если кто-нибудь по запарке или злому умыслу грохнет весь каталог K, что очень возможно, если у пользователей есть право Удаление. Если забрать у пользователей право Удаление, то администратору можно смело менять работу, потому что он весь день будет выполнять запросы на удаление того или иного наименования.
    Вот тут и включается Удаление подпапок и файлов. На всех буквах алфавита отключается наследование и пользователям добавляется право Удаление подпапок и файлов. В итоге, в папке catalog пользователи не смогут удалить ни одну букву, но внутри букв могут удалять все, что угодно.
    Удаление (delete). Здесь все просто. Удаление — это удаление. Не работает без права Чтение.
    Чтение разрешений (readpermissions) дает право пользователю просматривать разрешения на папке или файле. Нет права – пользователь не видит разрешения на вкладке «Безопасность»
    Смена разрешений (changepermissions) – разрешает пользователю менять разрешения, по сути делает пользователя администратором папки. Можно использовать, например, для делегирования полномочий техподдержке. Без права чтения разрешений не имеет никакого смысла. Смена разрешений не подразумевает смену владельца папки.
    Смена владельца (takeownership) – для начала, кто такой владелец. Владелец – это пользователь, создавший файл или папку.
    Особенностью владельца является то, что у него есть полный доступ к созданной папке, он может раздавать разрешения на свою созданную папку, но что важнее – никто не может лишить владельца права изменять разрешения на его папку или файл. Если Вася создал папку, дал полный доступ Пете, а Петя зашел и грохнул доступ пользователей к папке вообще и Васи в частности, то Вася без особого труда может восстановить статус-кво, так как он является владельцем папки. Изменить владельца папки Петя не сможет, даже если у него есть разрешение Смена владельца. Более того, даже Вася не может изменить владельца, несмотря на то, что папку создал он. Право Смена владельца относится только к группе Администраторы или Администраторы домена.
    Но если Петя внутри Васиной папки создал файл и не дал Васе доступа к нему, то Васе остается только думать и гадать, что же внутри этого файла такого секретного. Вася не сможет изменить права доступа к файлу, потому что владельцем файла является Петя. Также Вася не сможет изменить владельца файла – изменение владельца подконтейнеров и объектов также является привилегией группы Администраторы, к которой Вася не относится. Единственный оставшийся у Васи вариант – смотреть на Петин файл внутри своей папки.
    Управляем
    В CMD для управления разрешениями используется хорошо всем известная icacls. В PowerShell управление NTFS-разрешениями выглядит примерно так:
    Получить объект, на который мы будем устанавливать разрешения
    $acl = get-acl c:testperms
    Соорудить строку с правами с помощью класса System.Security.AccessControl.FileSystemAccessRule. Можем задать следующие параметры:
    группа/имя пользователя – для кого делаем ACL
    разрешение – ACE (принимает значения, указанные в посте)
    применяется к – в GUI это выпадающий список в дополнительных параметрах безопасности. На самом деле принимает всего 3 значения: none (только к этой папке), containerinherit (применяется ко всем подпапкам), objectinherit (применяется ко всем файлам). Значения можно комбинировать.
    применять эти разрешения к объектам и контейнерам только внутри этого контейнера (чекбокс в GUI) – также 3 значения: none (флажок снят), inheritonly (ACE применяется только к выбранному типу объекта), nopropagateinherit (применять разрешения только внутри этого контейнера).
    правило – разрешить (allow) или запретить (deny)
    Строка с правами по умолчанию будет выглядеть так:
    $permission = “contoso.comadmin”,”fullcontrol”,”containerinherit,objectinherit”,”none”,”allow”
    Сделать новую ACE с определенными выше разрешениями
    $ace = new-object security.accesscontrol.filesystemaccessrule $permission
    И применить свежесозданную ACE к объекту
    $acl.setaccessrule($ace)
    $acl | set-acl c:testperms
    Применяем на практике
    Вооружившись знаниями о SMB и NTFS разрешениях, комбинируя их можно создавать правила доступа абсолютно любой сложности. Несколько примеров:
    Тип
    SMB-разрешения
    NTFS-разрешения
    Папка для всех (Public)
    Пользователи – Чтение/запись
    Пользователи – Изменение
    Черный ящик. Пользователи скидывают конфиденциальные отчеты, предложения, кляузы – руководство читает.
    Пользователи – Чтение/запись
    Руководство – Чтение/запись
    Пользователи – Запись, применяется Только для этой папки. Предполагается, что запись файла в эту папку – билет в один конец, так как удобного способа редактирования без права Просмотр содержимого папки сохраненных в этой папке файлов не существует (удобного для пользователей способа записи в такую папку, кстати, тоже не существует). А просмотр нарушает конфиденциальность.
    Руководство – Изменение.
    Приложения
    Пользователи – Чтение
    Пользователи – Чтение, Чтение и выполнение, Просмотр содержимого папки.
    Естественно, некоторые приложения могут требовать дополнительных прав для своей работы. Но в общем случае, например, хранение системных утилит для диагностики (того же SysInternals Suite) этого вполне хватает.
    Профили пользователей
    Каждому пользователю – Чтение/запись на его папку
    Каждому пользователю – Изменение на его папку.
    Разрешения в Windows – противоречивая штука. С одной стороны – основные разрешения довольно просты и покрывают 90% случаев. Но когда начинает требоваться более тонкая настройка: разные группы пользователей, одна папка, требования безопасности к общим папкам – то разобраться с дополнительными разрешениями, наследованиями и владельцами бывает довольно сложно.
    Надеюсь, я не запутал никого еще больше.
    Использован материал из:
    MSDN
    Technet
    Original source: habrahabr.ru (comments, light).
    Читать дальше

  6. Fenrill Ответить

    Разрешения NTFS

    В предыдущей лекции мы рассказывали о сетевой безопасности и о таком понятии, как разрешения, но к этому стоит вернуться сейчас, так как разрешения доступны только на жестких дисках в формате NTFS. В этом разделе мы будем говорить о возможностях NTFS оберегать ваши файлы от посторонних глаз. В отличие от системы FAT доступ к общим ресурсам нельзя включать и отключать. NTFS обеспечивает такой уровень детализации отбора, что пропускает только тех, кому вы хотите предоставить доступ, и отсеивает всех остальных.

    Разрешения отдельного пользователя

    Перед тем как обсуждать разрешения пользователей и групп, а также самих файлов важно рассмотреть основы работы разрешений. Сначала мы покажем, что представляет собой наследование, а затем рассмотрим инструмент Windows XP Professional, который должен вам помогать, но может превратиться в камень преткновения, если вы не разберетесь в его функциях.
    Наследование
    В сети может быть всего пара пользователей, а могут быть и тысячи. При установке пользовательских разрешений для NTFS-томов и папок эта задача может быть сравнительно простой в организации, состоящей из шести человек. Как уже отмечалось в лекции 9, если организация начинает расти, то деление пользователей на специфические группы делает управление разрешениями значительно легче.
    Сначала вам следует создать набор разрешений для определенной группы, например для инженеров. В таком случае, при появлении нового инженера в организации он автоматически добавляется в эту группу. Одновременно ему по наследству переходят и разрешения для данной группы.
    Примечание. Наследование имеет отношение и к другим объектам NTFS-тома. Например, если вы установили разрешения для определенной папки, а затем создали в ней подпапку, то право наследования освобождает вас от создания нового набора разрешений для этой подпапки, так как она наследует разрешения родительской папки.
    Если вы считаете, что группе инженеров нужно выдать или возобновить определенное разрешение, то это легко сделать. После изменения (о чем мы поговорим в этой лекции позже) новое разрешение присваивается каждому члену этой группы.
    С другой стороны, какому-то конкретному инженеру может потребоваться разрешение, в котором не нуждаются остальные. Вы можете, войдя в группу инженеров, внести изменения, необходимые данному пользователю, и он получит новое разрешение, которое не будет унаследовано им по принадлежности к этой группе. В этом случае разрешение не будет распространяться на других членов группы.
    Новым качеством в Windows XP Professional является простое совместное использование файла (simple file sharing). Эта функция включается при первичной инсталляции Windows XP Professional или при совместном использовании тома или папки. Чтобы подключить большее количество инструментов управления доступами пользователей, простое совместное использование файла надо отключить.
    Вы можете задать вопрос, зачем же нужно простое совместное использование файлов, если эту функцию надо отключать. Только затем, чтобы облегчить процесс совместного использования файлов и папок. При включенном простом совместном использование файлов нет и множества конфигураций для осуществления доступа пользователей к файлам, принтерам и т. д. Этим обеспечивается легкий способ совместного использования файлов. Однако если вы хотите управлять тем, кто именно может получать право доступа к файлам, то простое совместное использование файлов следует отключить. Для этого проделайте следующие шаги.
    Выберите Start\My Computer (Пуск\Мой компьютер), затем щелкните на Tools (Сервис) и выберите Folder Options (Свойства папки) .
    В диалоговом окне Folder Options щелкните на вкладке View (Просмотр).
    Просмотрите до конца перечень настроек в окне Advanced Settings (Дополнительные параметры) и либо установите, либо очистите флажок Use simple file sharing (Использовать простой общий доступ к файлам).
    Нажмите на ОК.
    Примечание. Само по себе отключение простого совместного использования файла не позволит вам устанавливать разрешения для файлов. Вы должны также разместить все свои файлы и папки в NTFS-томе или разделе.

    Разрешения для папок и томов

    Разрешения осуществляют контроль над тем, что пользователь или группа могут делать с объектом в сети или на своем локальном компьютере. Разрешения поддерживаются только при отключении простого совместного использования файла и на жестком диске в формате NTFS. В таблице 10.2
    перечислены разрешения, назначаемые для папок, а в таблице 10.3
    – для файлов.

  7. SuperHero Ответить

    Доподлинно известно, что право доступа на ресурс (файл/папка) определяется ACL самого ресурса. Однако, это не совем верно. Разберём типичный случай:
    Проблема:
    Имеется папка, скажем, Folder1 и пользователю JohnSmith назначаются на неё право Full Control. При этом пользователь JohnSmith будет иметь права Full Control как на эту папку, так и на все вложенные подпапки и файлы. Но, если администратор захочет на вложенный файл File дать право Read/Execute. Т.к. права доступа к ресурсу определяются самим ресурсом, то можно предположить, что пользователь JohnSmith будет иметь право Full Control на всю папку Folder1 и все её подпапки, кроме файла File1. В этом можно смело убедиться, если посмотреть вкладку Effective Permissions в дополнительных свойствах безопасности файла. Однако, приходит JohnSmith и спокойно удаляет файл. Резонный вопрос, “почему так? Ведь Effective Permissions показывает, что у пользователя права Только чтение!”. Вот тут необходимо уловить одну тонкость:
    право удаления файла появляется не от разрешений самого файла, а родительской папки.
    Дело в том, что при удалении файла NTFS не берёт в расчёт разрешения самого файла, а смотрит право родительской папки для этого файла. А если посмотреть свойства родительской папки, то там будет отмечено разрешение Delete subfolders and files. При этом не важно, наследует ли файл разрешения от родителькой папки, или нет. Именно право Delete subfolders and files перекрывает право самого файла (Read) и позволяет удалить этот файл.
    Решение проблемы:
    Очень многие спотыкаются на эти грабли, поэтому для эффективного, а главное, гарантированного назначения прав пользователю следует руководствоваться следующими правилами:
    не задавать права на ресурсы на уровне файлов, а только на уровне папок;
    не давать пользователям права Full Control на папку, а только Modify;
    Создавать иерархию разрешений в виде ёлочки. Т.е. увеличивая права пользователя на ресурс спускаясь по дереву. Иными словами “наименьшие права на корень ресурса и расширять права уже на дочерние ресурсы.
    Во втором пункте отмечено Modify. Почему Modify, если это по сути равно Full Control? Дело в том, что право Modify не содержит права Delete subfolders and files, а значит, что при правах чтения на файл пользователь уже не сможет его удалить.
    Проблема:
    Схожий случай. Имеется папка Folder1, на которую пользователи JohnSmith и MikeJohnson имеют право Full Control. В этой папке JohnSmith создал свой файл. Файл может наследовать права, а может и не наследовать права от родительской папки (вобщем, без разницы). Но по некоторым причинам администратору потребовалось временно запретить доступ к файлу для пользователя MikeJohnson. Но при этом оставить права Full Control для остальных ресурсов в папке Folder1. Что самое вероятное сделает администратор? Как показывает практика, то администратор выставит на файле Deny Full Control для пользователя MikeJohnson. При этом будет запрещён доступ к файлу у MikeJohnson и задача по сути решена. Но опираясь на предыдущий пример при наличии прав Full Control пользователь сможет его удалить, хотя из-за запрета Deny просмотреть содержимое файла не сможет (а перехватить владение ему не даст политика). А если просмотреть Effective Permissions для пользователя MikeJohnson, то увидим, что прав он никаких не имеет на файл. Но, пользуясь правом Delete subfolders and files, которое перекроет явный запрет от родительской папки удаление возможно. И тут даже не спасает _явный_ запрет любого доступа к файлу.
    Решение:
    решение данной ситуации (точнее её избежание) будет основываться на следующих правилах:
    не задавать права на ресурсы на уровне файлов, а только на уровне папок;
    не давать пользователям права Full Control на папку, а только Modify;
    не использовать явный запрет Deny для ресурсов без чёткого понимания работы разрешений NTFS;
    отменять какой-либо вид доступа только путём отнятия явного/унаследованного разрешения на действие.Обе эти ситуации можно смоделировать и получите результат, который я описал. Одно дело моделирование в тестовой среде, а другое дело, когда администраторы _сознательно_ так делают на производстве, а потом на форумах обвиняют Microsoft в кривом NTFS, не разобравшись в принципе его работы. Действительно, разрешения NTFS – очень серьёзная и обширная тема, которой, увы, системные администраторы не всегда уделяют должного внимания.Для интересующихся могу подкинуть две задачки по второй проблеме, а так же просто подумать на досуге, о том, что не всё так просто как кажется.А именно:
    а теперь найдите где-нибудь удалённый пользователем файл.
    Представьте, что MikeJohnson сам создал в папке файл и администратор задал для файла Deny Full Control пользователю MikeJohnson. Т.е. аналогичная ситуация, кроме факта, что пользователю закрыли доступ на файл, который он создал сам. При попытке удалить файл у него уже не срабатывает право Delete subfolders and files, хотя оно есть. Но пока пользователь не уберёт запрет с файла, удалить его не сможет.
    Оригинал статьи здесь.

  8. Mokora Ответить

    Автор: Erik Eckel
    Защита файлов и общих папок
    Тема информационной защиты сегодня популярна, как никогда. IT-профессионалы черпают знания отовсюду: из специальных статей в журнале и даже из ежедневных рассылок по электронной почте.
    Большинство технических средств защищают ресурсы организации от постороннего вмешательства. Но зачастую необходимо разделить доступ к информации внутри самого предприятия. Только представьте, какие проблемы могут возникнуть, если все сотрудники получат доступ к личным записям своих коллег.
    Файловая система NTFS в Windows XP и её полномочия для общих папок специально разработаны для защиты содержимого папок общего доступа как от внутренних, так и внешних утечек. В этой статье дано несколько советов, следуя которым администратор сможет грамотно назначать NTFS-полномочия и управлять доступом к общим папкам и файлам
    Управление доступом к файлам
    Большинство пользователей выкладывает файлы в открытый доступ для участников рабочих групп и p2p-сетей, для этого нужно:
    Щёлкнуть правой кнопкой на папке с файлами, к которым нужно предоставить доступ
    Из раскрывшегося меню выбрать пункт Sharing And Security (Общий доступ и безопасность)
    В диалоговом окне свойств папки перейти на вкладку Sharing (Доступ) и выбрать команду Share This Folder (Открыть общий доступ к этой папке), как показано на изображении A.

    Изображение A. В диалоговом окне свойств папки производится настройка уровня управления доступом для пользовательских и групповых полномочий
    Введите название папки в графу Share Name (Имя общего ресурса)
    По желанию можно добавить несколько пояснительных слов в графу Comment (Описание).
    Нажмите OK.
    Однако такой метод не всегда работает корректно, особенно на системах Windows XP с дисками, форматированными в NTFS (когда противоречивые NTFS-полномочия, вступая в конфликт, не допускают разрешённых пользователей к этим ресурсам; подробнее об этом чуть ниже). Ну, а самое печальное в том, что полномочия, заданные по умолчаниюWindows XP, предоставляют доступ к содержимому каталогов всем пользователям.
    Также для того, чтобы назначить разные полномочия для разных пользователей, необходимо отключить активную по умолчанию опцию Windows XP Simple File Sharing (Простой общий доступ к файлам):
    Откройте проводник Windows Explorer
    Перейдите в меню Tools (Сервис)
    Выберите пункт Folder Options (Свойства папки)
    Перейдите на вкладку View (Вид).
    В окне Advanced Settings (Дополнительные параметры) уберите отметку с параметра Use Simple File Sharing (Recommended) | Использовать простой общий доступ к файлам (рекомендуется).
    Нажмите OK.
    Для того, чтобы отключить разрешение для Всех (Everyone) и настроить уровень доступа для каждого пользователя индивидуально:
    Щёлкните правой кнопкой на требуемой папке.
    Из раскрывшегося меню выберите пункт Sharing And Security (Общий доступ и безопасность).
    Нажмите на кнопку Permissions (Разрешения). Откроется диалоговое окно Permissions For… (Разрешения для…), как показано на изображении B.

    Изображение B. Настройка полномочий доступа на вкладке Share Permissions (Разрешения для общего ресурса) диалогового окна Permissions For… (Разрешения для…).
    Выделите объект Everyone (Все) в списке представленных групп или пользователей.
    Нажмите на кнопку Remove (Удалить)
    Нажмите на кнопку Add (Добавить). Откроется диалоговое окно Select Users Or Groups (Выбор: Пользователь или Группа), как показано на изображении C.

    Изображение C. Выберите пользователей или группы, для которых требуется настроить полномочия доступа, в поле Enter The Object Names To Select (Введите имена выбираемых объектов) и нажмите OK.
    В окне Enter The Object Names To Select (Введите имена выбираемых объектов) выберите пользователей или группы, для которых требуется настроить полномочия доступа, и нажмите OK.
    На панели Group Or User Names (Группы или пользователи) выделите объекты, для которых будет произведена настройка полномочий доступа: можно разрешить или запретить (Allow или Deny) Полный доступ (Full Control), Чтение (Change) и Изменение (Read) находящейся в папке информации.
    Нажмите OK для того, чтобы изменения вступили в силу, и закройте диалоговое окно; нажмите OK для выхода из окна свойств папки.
    Полномочия полного доступа (Full Control) разрешают пользователям или группам читать, изменять, удалять и запускать содержащиеся в папке файлы. Помимо этого такие пользователи могут создавать и удалять в этом каталоге новые подпапки.
    Пользователи, имеющие право изменять информацию в папке (Change), могут просматривать и изменять находящиеся в каталоге файлы, создавать в нём свои файлы и папки и запускать расположенные в нём программы на исполнение.
    Пользователям и группам, наделённых полномочиями чтения информации (Read), разрешается только просматривать хранимые в каталоге файлы и запускать программы. Для информации на дисках Windows XP, отформатированных в файловую систему NTFS, можно устанавливать дополнительные полномочия.
    NTFS-полномочия
    NTFS-полномочия в среде Windows предоставляют собой дополнительный набор параметров, которые можно настраивать для каждого отдельного файла или папки.
    Для начала нужно убедиться, что настройки Windows XP позволяют работать с файловой системой NTFS:
    Нажмите Start (Пуск)
    Выберите команду Run (Выполнить)
    Введите в строку compmgmt.msc и нажмите OK. Откроется консоль Computer Management (Управление компьютером).
    Перейдите к объекту Disk Management (Управление дисками) на вкладке Storage (Запоминающие устройства) для того, чтобы узнать какой тип файловой системы используется на каждом диске.
    Если диск или один из его разделов не отформатированы в NTFS, это можно исправить, если ввести convert X: /fs:ntfs, поставив вместо X букву нужного диска или раздела. Команда convert поменяет текущую файловую систему диска на NTFS, не уничтожая при этом хранящиеся на нём данные. Тем не менее, перед запуском команды на выполнение лучше сделать резервную копию содержимого диска.
    Для настройки NTFS-разрешений:
    Щёлкните на нужном файле или папке.
    Из контекстного меню выберите пункт Properties (Свойства)
    Перейдите на вкладку Security (Безопасность)
    При помощи кнопок Add/Remove (Добавить/Удалить) добавляйте или удаляйте пользователей и групп, для которых требуется произвести настройку NTFS-полномочий доступа
    Выберите нужный объект из окна Group Or User Names (Группы или пользователи) и назначайте/запрещайте полномочия, устанавливая или убирая соответствующие отметки в окне Permissions For (Разрешения для), как показано на изображении D
    Нажмите ОК для сохранения изменений.

    Изображение D. NTFS-полномочия обладают большим количеством настраиваемых параметров по сравнению со службой простого общего доступа.
    Учтите, что по умолчанию подкаталоги наследуют свойства своих корневых директорий. Для того, чтобы это изменить, нажмите на кнопке Advanced (Дополнительно) на вкладке Security (Безопасность) диалогового окна Properties (Свойства).
    Виды NTFS-полномочий:
    Full Control (Полный доступ) – разрешает пользователям и группам выполнять любые операции с содержимым папки, включая просмотр файлов и подкаталогов, запуск файлов приложений, управление списком содержимого папки, чтение и запуск исполняемых файлов, изменение атрибутов файлов и папок, создание новых файлов, добавление данных в файлы, удаление файлов и подкаталогов, а также изменение полномочий доступа к файлам и папкам.
    Modify (Изменить) – разрешает пользователям и группам осуществлять просмотр файлов и подкаталогов, запускать исполняемые файлы приложений, управлять списком содержимого папки, просматривать параметры папки, изменять атрибуты папок и файлов, создавать новые файлы и подкаталоги, добавлять данные в файлы и удалять файлов.
    Read & Execute (Чтение и выполнение) – разрешает пользователям и группам просматривать список файлов и подкаталогов, запускать исполняемые файлы приложений, просматривать содержимое файлов, а также изменять атрибуты файлов и папок.
    List Folder Contents (Список содержимого папки) – разрешает пользователям и группам осуществлять навигацию по каталогам, работать со списком содержимого папки, а также просматривать атрибуты файлов и папок.
    Read (Чтение) – разрешает пользователям и группам просматривать содержимое папки, читать файлы и просматривать атрибуты файлов и папок.
    Write (Запись) – разрешает пользователям и группам изменять атрибуты файлов и папок, создавать новые папки и файлы, а также изменять и дополнять содержимое файлов.
    Для определения окончательных полномочий того или иного пользователя вычтите из NTFS-разрешений, предоставленных ему непосредственно (или как члену группы), все индивидуальные запреты (или запреты, который он получил в качестве члена группы). К примеру, если пользователь получил полный доступ (Full Control) к данной папке, но в то же время является членом группы, для которой запрещён полный доступ, то он в результате не будет обладать правами полного доступа. Если уровень доступа пользователя ограничен параметрами Read & Execute (Чтение и выполнение) и List Folder Contents (Список содержимого папки) в одной группе, и в то же время ему запрёщен доступ на уровне List Folder Contents (Список содержимого папки), то в результате его NTFS-полномочия будут ограничены только уровнем Read & Execute (Чтение и выполнение). По этой причине администратором следует подходить к запретам с особой осторожностью, поскольку запрещённые функции имеют приоритет перед разрешёнными для того же пользователя или группы.
    Windows XP снабжена удобной утилитой для подтверждения действующих разрешений пользователя или группы:
    Откройте диалоговое окно свойств нужного файла или папки (Properties)
    Перейдите на вкладку Security (Безопасность)
    Нажмите на кнопку Advanced (Дополнительно). Откроется диалоговое окно Advanced Security Settings For (Дополнительные параметры безопасности для…)
    Перейдите на вкладку Effective Permissions (Действующие разрешения). (Изображение E)
    Нажмите на кнопку Select (Выбрать).
    Откроется диалоговое окно Select User Or Group (Выбор: Пользователь или Группа).
    В поле Enter The Object Name To Select (Введите имена выбираемых объектов) введите имя пользователя или группы, чьи полномочия необходимо подтвердить, и нажмите OK
    Диалоговое окно Advanced Security Settings For (Дополнительные параметры безопасности для…) отобразит итоговый набор NTFS-полномочий для выбранного пользователя или группы.

    Изображение E. Вкладка Effective Permissions (Действующие разрешения) помогает легко определить, какими полномочиями на самом деле обладает пользователь или группа.
    Сочетание NTFS-разрешений с полномочиями общего доступа
    Звучит многообещающе. Казалось бы, достаточно грамотно раздать пользователям соответствующие полномочия – и можно начинать работу. Однако на самом деле не всё так просто. Полномочия общего доступа и NTFS-разрешения должны чётко определять, какими реальными правами доступа обладают пользователи и группы, но, к сожалению, они часто конфликтуют между собой. Для определения окончательных полномочий того или иного пользователя сравните итоговые полномочия общего доступа с итоговыми NTFS-разрешениями. Помните, что ограничения доступа будут доминировать над разрешениями. Например, если итоговые NTFS-права доступа пользователя ограниченны уровнем Read and Execute (Чтение и выполнение), а итоговые права общего доступа – уровнем Full Control (Полный доступ), система не предоставит этому пользователю действительные права полного доступа, а выберет наиболее приоритетный уровень, в данном случае это NTFS-разрешение на чтение и выполнение. Всегда необходимо помнить о том, что итоговые ограничения в правах превалируют над итоговыми разрешениями. Это очень важный момент, который легко забывается, после чего доставляет пользователям немало хлопот. Поэтому тщательно рассчитывайте соотношения запретов и разрешений полномочий NTFS и общего доступа
    Источник: winblog.ru

  9. TipOK Ответить

    Компьютеры, работающие под управлением операционных систем Windows, могут работать с различными файловыми системами, такими как FAT32 и NTFS. Не вдаваясь в подобности можно сказать одно, что отличаются они главным – файловая система NTFS позволяет настраивать параметры безопасности для каждого файла или папки(каталога). Т.е. для каждого файла или папки файловая система NTFS хранит так называемые списки ACL(Access Control List), в которых перечислены все пользователи и группы, которые имеют определенные права доступа к данному файлу или папке. Файловая система FAT32 такой возможности лишена.
    В файловой системе NTFS каждый файл или папка могут иметь следующие права безопасности:
    Чтение — Разрешает обзор папок и просмотр списка файлов и подпапок, просмотр и доступ к содержимому файла;
    Запись — Разрешает добавление файлов и подпапок, запись данных в файл;
    Чтение и Выполнение — Разрешает обзор папок и просмотр списка файлов и подпапок, разрешает просмотр и доступ к содержимому файла, а также запуск исполняемого файла;
    Список содержимого папки —     Разрешает обзор папок и просмотр только списка файлов и подпапок. Доступ к содержимому файла это разрешение не дает!;
    Изменить — Разрешает просмотр содержимого и создание файлов и подпапок, удаление папки, чтение и запись данных в файл, удаление файла;
    Полный доступ — Разрешает просмотр содержимого, а также создание, изменение и удаление файлов и подпапок, чтение и запись данных, а также изменение и удаление файла
    Перечисленные выше права являются базовыми. Базовые права состоят из особых прав. Особые права — это более подробные права, из которых формируются базовые права. Использование особых прав дает очень большую гибкость при настройке прав доступа.
    Список особых прав доступа к файлам и папкам:
    Обзор папок/Выполнение файлов — Разрешает перемещение по структуре папок в поисках других файлов или папок, выполнение файлов;
    Содержание папки/Чтение данных — Разрешает просмотр имен файлов или подпапок, содержащихся в папке, чтение данных из файла;
    Чтение атрибутов — Разрешает просмотр таких атрибутов файла или папки, как «Только чтение» и «Скрытый»;
    Чтение дополнительных атрибутов — Разрешает просмотр дополнительных атрибутов файла или папки;
    Создание файлов / Запись данных — Разрешает создание файлов в папке (применимо только к папкам), внесение изменений в файл и запись поверх имеющегося содержимого (применимо только к файлам);
    Создание папок / Дозапись данных — Разрешает создание папок в папке (применимо только к папкам), внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных (применимо только к файлам);
    Запись атрибутов — Разрешает или запрещает смену таких атрибутов файла или папки, как «Только чтение» и «Скрытый»;
    Запись дополнительных атрибутов — Разрешает или запрещает смену дополнительных атрибутов файла или папки;
    Удаление подпапок и файлов — Разрешает удаление подпапок и файлов даже при отсутствии разрешения «Удаление» (применимо только к папкам);
    Удаление — Разрешает удаление файла или папки. Если для файла или папки отсутствует разрешение «Удаление», объект все же можно удалить при наличии разрешения «Удаление подпапок и файлов» для родительской папки;
    Чтение разрешений — Разрешает чтение таких разрешений на доступ к файлу или папке, как «Полный доступ», «Чтение» и «Запись»;
    Смена разрешений — Разрешает смену таких разрешений на доступ к файлу или папке, как «Полный доступ», «Чтение» и «Запись»;
    Смена владельца — Разрешает вступать во владение файлом или папкой;
    Синхронизация — Разрешает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками, могущими занимать их. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами;
    !!!Все базовые и особые права являются как разрешающими так и запрещающими.
    Все разрешения файлов и папок делятся на два вида: явные и наследуемые. Механизм наследования подразумевает автоматическую передачу чего-либо от родительского объекта дочернему. В файловой системе это означает, что любой файл или папка могут наследовать свои права от родительской папки. Это очень удобный механизм, избавляющий от необходимости назначать явные права для всех вновь создаваемых файлов и папок. Представьте, что у вас на каком-то диске несколько тысяч файлов и папок, как им всем раздать права доступа, сидеть и каждому назначать? Нет. Тут работает механизм наследования. Создали папку в корне диска, папка автоматически получила точно такие же права, как и корень диска. Изменили права для вновь созданной папки. Потом внутри созданной папки создали еще вложенную папку. У этой вновь созданной вложенной папки права унаследуются от родительской папки и т.д. и т.п.
    Результатом применения явных и наследуемых прав и будут фактические права на конкретную папку или файл. Подводных камней при этом очень много. Например, у вас есть папка, в которой вы разрешаете пользователю «Вася» удалять файлы. Потом вы вспоминаете, что в этой папке есть один очень важный файл, который Вася ни в коем случае не должен удалить. Вы устанавливаете на важный файл явный запрет (особое право запрета «Удаление»). Казалось бы, дело сделано, файл явно защищен от удаления. А Вася спокойно заходит в папку и удаляет этот суперзащищенный файл. Почему? Потому что Вася имеет права удаления от родительской папки, которые в данном случае являются приоритетными.
    Старайтесь не пользоваться назначением прав, непосредственно, на файлы, назначайте права на папки.
    !!! Старайтесь назначать права только для групп, это значительно упрощает администрирование. Назначение прав для конкретных пользователей не рекомендуется фирмой Microsoft. Не забывайте, что в группу могут входить не только пользователи, но и другие группы.
    Например. Если компьютер включен в домен, то в его локальную группу «Пользователи» автоматически добавляется группа «Domain Users»(пользователи домена), а в локальную группу «Администраторы» автоматически добавляется группа «Domain Admins»(администраторы домена), и соответственно, назначая на какую-либо папку права группе локальных пользователей, вы автоматически назначаете права для всех пользователей домена.
    Не расстраивайтесь если все описанное выше сразу не очень понятно. Примеры и самостоятельная работа быстро исправят положение!
    Переходим к конкретике.
    Все примеры я буду показывать на примере окон Windows XP. В Windows 7 и выше сущность осталась идентичной, только окон стало немного больше.
    Итак, чтобы назначить или изменить права на файл или паку необходимо в проводнике нажать правой клавишей мышки на нужный файл или папку выбрать пункт меню «Свойства»

    У вас должно открыться окно с закладкой «Безопасность»

    Если такой закладки нет, тогда делаем следующее. Запускаем Проводник, затем открываем меню «Сервис»«Свойства папки…»

    В открывшемся окне переходим на закладку «Вид» и снимаем галочку с параметра «Использовать простой общий доступ к файлам(рекомендуется)»

    Все, теперь вам доступны все свойства файловой системы NTFS.
    Возвращаемся к закладке «Безопасность».
    В открывшемся окне нам доступно много информации. Сверху находится список «Группы и пользователи:», в котором перечислены все пользователи и группы, имеющие права доступа к данной папке (стрелка 1). В нижнем списке показаны разрешения для выделенного пользователя/группы(стрелка 2). В данном случае это пользователь SYSTEM. В данном списке разрешений видны базовые разрешения. Обратите внимание, что в колонке «Разрешить» галочки имеют блеклый цвет и не доступны для редактирования. Это говорит о том, что данные права унаследованы от родительской папки. Еще раз, в данном случае все права пользователя SYSTEM на папку «Рабочая» полностью унаследованы от родительской папки, и пользователь SYSTEM имеет все права («Полный доступ»)

    Выделяя в списке нужную группу или пользователя, мы можем посмотреть базовые права для этой группы или пользователя. Выделив пользователя «Гостевой пользователь (gu@btw.by)» можно увидеть, что у него все права явные

    А вот группа «Пользователи (KAV-VM1\Пользователи» имеет комбинированные права, часть из них унаследована от родительской папки(серые квадратики напротив «Чтение и выполнение», «Список содержимого папки», «Чтение»), а часть установлено явно – это право «Изменить» и «Запись»

    !!!Внимание. Обратите внимание на названия пользователей и групп. В скобочках указывается принадлежность группы или пользователя. Группы и пользователи могут быть локальными, т.е. созданными непосредственно на этом компьютере, а могут быть доменными. В данном случае группа «Администраторы» локальная, так как запись в скобочках указывает имя компьютера KAV-VM1, а после слэша уже идет само название группы. Напротив, пользователь «Гостевой пользователь» является пользователем домена btw.by, на это указывает запись полного имени gu@btw.by
    Зачастую при просмотре или изменении прав можно ограничиться окном с базовыми правами, но иногда этого недостаточно. Тогда можно открыть окно, в котором изменяются особые разрешения, владелец или просматриваются действующие разрешения. Как это сделать? Нажимаем на кнопку «Дополнительно». Открывается вот такое окно

    В данном окне в таблице «Элементы разрешений» перечислены все пользователи, имеющие права на данную папку. Точно так же, как и для базовых разрешений, мы выделяем нужного пользователя или группу и нажимаем кнопку «Изменить». Открывается окно, в котором показаны все особые разрешения для выделенного пользователя или группы

    Аналогично базовым разрешениям, особые разрешения, унаследованные от родительской папки, будут показаны блеклым серым цветом и не будут доступны для редактирования

    Как вы уже могли заметить, в окне особых разрешений для некоторых пользователей или групп есть несколько строк.

    Это происходит потому, что для одного пользователя или группы могут быть различные виды прав: явные и наследуемые, разрешающие или запрещающие, различающиеся по виду наследования. В данном случае права на чтение для группы «Пользователи» наследуются от родительской папки, а права на изменение добавлены явно.
    Примеры назначения прав.
    !!! Все примеры будут идти с нарастанием сложности. Читайте и разбирайтесь с ними в такой же последовательности как они идут в тексте. Однотипные действия в последующих примерах буду опускать, чтобы сократить объём текста. ??

    Пример 1. Предоставление права доступа к папке определенной локальной группе безопасности только на чтение.

    Данная ситуация очень распространена. Предположим у вас есть локальная папка, содержимым которой вы хотите поделиться с определенным количеством пользователей. Причем доступ к данной папке перечисленным пользователям должен быть только на чтение. Как это сделать?
    Сначала создадим локальную группу, в которую включим весь список нужных нам пользователей. Можно и без группы, но тогда для каждого пользователя нужно будет настраивать права отдельно, и каждый раз, когда понадобится дать права новому человеку, потребуется проделывать все операции заново. А если права предоставить локальной группе, то для настройки нового человека понадобится только одно действие – включение этого человека в локальную группу. Как создать локальную группу безопасности читаем в статье «Настройка локальных групп безопасности».
    Итак. Мы создали локальную группу безопасности с именем «Коллегам для чтения»,

    в которую добавили всех нужных пользователей.

    Теперь настраиваю права доступа к папке. В данном примере я сделаю права доступа созданной группе «Коллегам для чтения» на папку «Фото».
    Нажимаю правой клавишей мышки на папку «ФОТО» и выбираю пункт меню «Свойства», перехожу на закладку «Безопасность».

    В открывшейся закладке «Безопасность» отображаются текущие права папки «ФОТО». Выделив группы и пользователей в списке, можно увидеть, что права этой папки наследуются от родительской папки(серые галочки в столбце «Разрешить»). В данной ситуации я не хочу, чтобы кто-то кроме вновь созданной группы имел хоть какой-то доступ к папке «ФОТО».

    Поэтому, я должен убрать наследование прав и удалить ненужных пользователей и группы из списка. Нажимаю кнопку «Дополнительно». В открывшемся окне,

    убираю галочку с пункта «Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.». При этом откроется окно, в котором я смогу выбрать, что делать с текущими унаследованными правами.

    В большинстве случаев я советую нажимать здесь кнопку «Копировать», так как если выбрать «Удалить», то список прав становится пуст, и вы можете фактически забрать права у самого себя. Да, не удивляйтесь, это очень легко сделать. И если вы не администратор на своем компьютере, или не пользователь группы «Операторы архива», то восстановить права вам будет невозможно. Ситуация напоминает дверь с автоматической защелкой, которую вы закрываете, оставляя ключи внутри. Поэтому, лучше всегда нажимайте кнопку «Копировать», а потом удаляйте ненужное.
    После того, как я нажал «Копировать», я опять возвращаюсь в предыдущее окно, только уже со снятой галочкой.

    Нажимаю «ОК» и возвращаюсь в окно базовых прав. Все права стали доступны для редактирования. Мне нужно оставить права для локальной группы «Администраторы» и пользователя SYSTEM, а остальных удалить. Я поочередно выделяю ненужных пользователей и группы и нажимаю кнопку «Удалить».

    В результате у меня получается вот такая картина.

    Теперь мне остается добавить только группу «Коллегам для чтения» и назначить этой группе права на чтение.
    Я нажимаю кнопку «Добавить», и в стандартном окне выбора выбираю локальную группу «Коллегам для чтения». Как работать с окном выбора подробно описано в статье «Настройка локальных групп безопасности».

    В результате всех действий, я добавил группу «Коллегам для чтения» в список базовых прав, при этом для этой группы автоматически установились права «Чтение и выполнение», «Список содержимого папки», «Чтение».

    Все, остается нажать кнопку «ОК» и права назначены. Теперь любой пользователь, который принадлежит локальной группе безопасности «Коллегам для чтения», получит возможность читать все содержимое папки «ФОТО».

    Пример 2. Предоставление персонального доступа пользователям к своим подпапкам в папке.

    Данная ситуация тоже распространена на практике. Например, у вас есть папка для новых сканированных документов. В этой папке для каждого пользователя создана своя отдельная подпапка. После сканирования документ забирается пользователем из свой подпапки. Задача назначить права так, чтобы каждый пользователь видел содержимое только своей подпапки и не мог получить доступ в подпапку коллеги.
    Для данного примера я немного перефразирую задание. Предположим у нас есть общая папка «ФОТО», в которой для каждого пользователя есть подпапка. Необходимо настроить права так, чтобы пользователь имел в своей подпапке все права, а подпапки других пользователей были бы ему недоступны.

    Для такой настройки я полностью повторяю все действия из первого примера. В результате повторения у меня получаются права для всей группы «Коллегам для чтения» на чтение ко всем подпапкам. Но моя задача сделать видимой пользователю только «свою» подпапку. Поэтому, в окне базовых прав я нажимаю кнопку «Дополнительно»

    и перехожу в окно особых прав, в котором выделяю группу «Коллегам для чтения» и нажимаю кнопку «Изменить»

    В открывшемся окне я меняю правила наследования, вместо значения «Для этой папки, ее подпапок и файлов» в поле «Применять:» я выбираю значение «Только для этой папки».

    Это самый ключевой момент этого примера. Значение «Только для этой папки» приводит к тому, что права чтения для группы «Коллегам для чтения» распространяются только на корень папки «ФОТО», но не на подпапки. Таким образом, каждый пользователь сможет добраться к своей папке, но заглянуть в соседнюю не сможет, права на просмотр подпапок у него нет. Если же не дать такое право группе совсем, то пользователи вообще не смогут попасть в свои подпапки. Файловая система не пропустит их даже в папку «ФОТО».
    В итоге, пользователи смогут заходить в папку «ФОТО» но дальше в подпапки зайти не смогут!
    В окне особых прав нажимаем «ОК» и выходим в предыдущее окно, теперь в столбце «Применять к» напротив группы «Коллегам для чтения» стоит значение «Только для этой папки».

    Нажимаем во всех окнах «ОК» и выходим.
    Все. Теперь остается настроить персональные права на каждую подпапку. Сделать это придется для каждой подпапки, права-то персональные для каждого пользователя.
    Все нужные действия вы уже делали в первом примере, повторим пройденное ??
    На подпапке «Пользователь1» нажимаю правой клавишей мышки, выбираю пункт меню «Свойства», перехожу на закладку «Безопасность». Нажимаю кнопку «Добавить»

    и в стандартном окне выбора выбираю доменного пользователя с именем «Пользователь1».

    Остается установить галочку для разрешающего права «Изменить». При этом галочка для разрешающего права «Запись» установится автоматически.

    Нажимаем «ОК». Выходим. Остается повторить аналогичные действия для всех подпапок.

    Пример 3. Предоставление персонального доступа пользователю к своей подпапке на запись, с одновременным запретом изменения или удаления.

    Понимаю, что тяжело звучит, но постараюсь пояснить. Такой вид доступа я называю защелка. В быту мы имеем аналогичную ситуацию с обычным почтовым ящиком, в который бросаем бумажные письма. Т.е. бросить письмо в ящик можно, но вытащить его из ящика уже нельзя. В компьютерном хозяйстве такое может пригодиться для ситуации, когда вам кто-то записывает в папку отчет. Т.е. файл записывается пользователем, но потом этот пользователь уже ничего не может с этим файлом сделать. Таким образом, можно быть уверенным, что создатель уже не сможет изменить или удалить переданный отчет.
    Как и в предыдущем примере, повторяем все действия, за исключением того, что пользователю не даем сразу полные права на свою папку, изначально в базовых разрешениях даем только доступ на чтение, и нажимаем кнопку «Дополнительно»

    В открывшемся окне выделяем «Пользователь1» и нажимаем кнопку «Изменить»

    В открывшемся окне мы видим стандартные права на чтение

    Для того чтобы дать права пользователю создавать файлы ставим разрешение на право «Создание файлов/Запись данных», а на права «Удаление подпапок и файлов» и «Удаление» ставим запрет. Наследование оставляем стандартное «Для этой папки, ее подпапок и файлов».

    После нажатия кнопки «ОК» и возврата в предыдущее окно можно увидеть существенные изменения. Вместо одной записи для «Пользователь1» появилось две.

    Это потому, что установлены два вида прав, одни запрещающие, они идут в списке первыми, вторые разрешающие, они в списке вторые. Так как особые права являются нестандартными, то в столбце «Разрешение» стоит значение «Особые». При нажатии кнопки «ОК» появляется окно, к котором windows предупреждает, что есть запрещающие права и что они имеют более высокий приоритет. В переводе это означает туже ситуацию с самозакрывающейся дверью, ключи от которой находятся внутри. Подобную ситуацию я описывал во втором примере.

    Все. Права установлены. Теперь «Пользователь1» сможет записать в свою папку любой файл, открыть его, но изменить или удалить не сможет.
    А как же полная аналогия с реальным почтовым ящиком ?
    Чтобы пользователь не смог открыть или скопировать записанный файл, нужно сделать следующее. Опять открываем разрешающие особые разрешения для «Пользователь1», и в поле «Применять:» меняем значение на «Только для этой папки»

    При этом у пользователя не остается права на чтение или копирование файла.
    Все. Теперь аналогия с физическим почтовым ящиком почти полная. Он сможет только видеть названия файлов, их размер, атрибуты, но сам файл увидеть не сможет.

    Просмотр действующих прав.

    Хочу сказать сразу, имеющаяся возможность просмотреть действующие права для папки или файла, является полной фикцией. В моем представлении такие инструменты должны давать гарантированную информацию. В данном случае это не так. Майкрософт сама признается в том, что данный инструмент не учитывает много факторов, влияющих на результирующие права, например, условия входа. Поэтому, пользоваться подобным инструментом – только вводить себя в заблуждение относительно реальных прав.
    Описанный в самом начале статьи случай, с запретом на удаление файла из папки в данном случае является очень красноречивым. Если вы смоделируете подобную ситуацию и посмотрите на права файла, защищенного от удаления, то вы увидите, что в правах файла на удаление стоит запрет. Однако, удалить этот файл не составит труда. Почему Майкрософт так сделала — я не знаю.
    Если же вы все-таки решите посмотреть действующие права, то для этого необходимо в окне базовых прав нажать кнопку «Дополнительно», и в окне особых прав перейти на закладку «Действующие разрешения».

    Затем необходимо нажать кнопку «Выбрать» и в стандартном окне выбора выбрать нужного пользователя или группу.

    После выбора можно увидеть «приблизительные» действующие разрешения.
    В заключении хочу сказать, что тема прав файловой системы NTFS очень обширна, приведенные выше примеры лишь очень малая часть того, что можно сделать. Поэтому, если возникают вопросы, задавайте их в комментариях к этой статье. Постараюсь на них ответить.

  10. JoJot Ответить

    Хочу немного рассказать, как грамотно настроить разрешения на файловом сервере.
    Права на сетевые ресурсы бывают двух типов, это share permissions – то есть разрешение на доступ именно по сети, и NTFS permissions – разрешения на доступ к файлу или папке.
    Немного теории о правах NTFS. Каждый объект в системе содержит два ACL (access control list), которые называются DACL и SACL. Discretionary Access Control List и System Access Control List. Первый ACL контролирует доступ к файлу, второй настройки аудита файла. Оба этих листа доступа содержат записи ACE – access control entry. DACL содержит SID (Security Identifier) пользователей и групп и права доступа, а SACL из объекта системного аудита, и записываемых действий. По умолчанию аудит отключен.
    Когда мы задаём доступ к сетевой папке, то как правило назначаем share и ntfs permissions. Права у нас назначаются,  исходя из минимальных назначенных права. Например если share permissions у нас только “чтение” для всех, то несмотря на то, что на папку назначены права “полный доступ”, у всех будут права только только чтение. И соответственно наоборот.
    Поэтому в примере ниже, правильный способ назначения share permissions.

    По умолчанию мы предоставляем всем полный сетевой доступ.
    Следующим этапом создаём группы, в которые впоследствии будем добавлять пользователей. Например test_folder_read, и test_folder_write. Добавляем эти группы на доступ в папку, и выставляем права. При выставлении полных прав на доступ к папке, никогда не ставьте галочку “полные права”, всегда достаточно чтения и изменения. Связано это с тем, что галочка “полные права” даёт возможность изменять атрибуты папки и права на неё, что согласитесь для пользователей совсем лишнее.

    Теперь, сочетание прав у нас следующее: хоть сетевой доступ у нас предоставлен всем, права доступа в папку ограниченны группами read и write, и те кто не добавлен в них, доступа в папку иметь не будут.
    В windows server есть очень интересная фича, которая называется ABE – access base enumerate, или перечисление на основе доступа. Включить её можно установить роль “файловые службы”, и зайдя в остнастку “управление общими ресурсами и хранилищами”

    При её включении, если у человека нет доступа на просмотр этой папки, он не будет видеть её в проводнике.
    Часто возникает потребность, дать доступ к вложенной папке, таким образом, что бы файлы в папках верхних уровней были не видны. Допустим у нас есть вложенные друг в друга папки folder1, folder2 и folder3, и нам нужно дать полный доступ к folder3, но не давая доступ на чтение к folder1 и folder2. Делается это следующим образом. Заходим на вкладку безопасность, дополнительно папки folder1. Выбираем пользователя, которому нужно заходить в эту папку, но не нужно видеть её содержимое. (при условии что включен ABE), в противном случае файлы будут видны, но к ним не будет доступа. Выставляем права “чтение” и применяем их только к этой папке.

    Применительно к folder2 делаем то же самое. А на папку folder3 выставляем разрешения для нужной группы или пользователя. В конечном итоге, пользователь будет заходить в папки folder1 и folder2, и увидит в них только одну папку – folder3.
    Еще частым бывает вопрос – на folder1 у нас прописаны права для групп, которые наследуются. Как пользователю оставить доступ к папкам folder1 и folder2, но запретить доступ к папке folder3 не затрагивая других пользователей? Для этого сделаем следующее. Заходим в настройки безопасности, вкладка дополнительно папки folder3. Нажимаем кнопку “отключить наследования”, и становимся перед выбором – очистить все права доступа, или преобразовать наследованные права доступа в явные. Во втором случае это значит, что все права останутся такие же, какие и были, но больше не будут наследоваться, и мы спокойно можем их менять.

    Например сможем явно запретить пользователю доступ к этой папке. А так как запрещающие правила имеют больший приоритет – то даже несмотря на то, что пользователь состоит в группе, которая имеет полные права – запрет будет эти права перебивать.
    Если у Вас есть вопросы, задавайте их на форуме, или ниже в комментариях.

  11. Кристалли Ответить

    Лабораторная работа №2
    Тема: Использование приёмов работы с файловой системой NTFS. Назначение разрешений доступа к файлам и папкам.
    Время выполнения: 2 часа
    Цель: Научиться устанавливать разрешения NTFS для файлов и для папок для отдельных пользователей и групп в операционной системы Windows 7, а также устранять проблемы доступа к ресурсам.
    Содержание работы и последовательность ее выполнения
    Теоретические сведения
    Общие сведения об использовании разрешений NTFS
    Разрешения NTFS позволяют явно указать, какие пользователи и группы имеют доступ к файлам и папкам и какие операции с содержимым этих файлов или папок им разрешено выполнять. Разрешения NTFS применимы только к томам, отформатированным с использованием файловой системы NTFS. Они не предусмотрены для томов, использующих файловые системы FAT или FAT32. Система безопасности NTFS эффективна независимо от того, обращается ли пользователь к файлу или папке, размещенным на локальном компьютере или в сети.
    Разрешения, устанавливаемые для папок, отличаются от разрешений, устанавливаемых для файлов. Администраторы, владельцы файлов или папок и пользователи с разрешением «Полный доступ» имеют право назначать разрешения NTFS пользователям и группам для управления доступом к этим файлам и папкам. Список управления доступом
    В NTFS хранится список управления доступом (access control list —ACL)для каждого файла и папки на томе NTFS. В этом списке перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения. Чтобы пользователь получил доступ к ресурсу, в ACL должна быть запись, называемая элемент списка управления доступом (access control entry — АСЕ) для этого пользователя или группы, к которой он принадлежит. Эта запись назначит запрашиваемый тип доступа (например, Чтение)пользователю. Если в ACL нет соответствующей АСЕ, то пользователь не получит доступ к ресурсу.
    Множественные разрешения NTFS
    Вы можете установить несколько разрешений пользователю и всем группам, членом которых он является. Для этого вы должны иметь представление о правилах и приоритетах, по которым в NTFS назначаются и объединяются множественные разрешения и о наследовании разрешений NTFS.
    Эффективные разрешения.Эффективные разрешения пользователя для ресурса — это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Ес ли у пользователя есть разрешение «Чтение» для папки, и он входит в группу, у которой есть разрешение «Запись» для той же папки, значит, у этого пользователя есть оба разрешения.
    Установка разрешений NTFS и особых разрешений
    Вы должны руководствоваться определенными принципами при установке разрешений NTFS. Устанавливайте разрешения согласно потребностям групп и пользователей, что включает в себя разрешение или предотвращение наследования разрешений родительской папки подпапками и файлами, содержащимися в родительской папке.
    Если вы уделите немного времени на планирование ваших разрешений NTFS и будете соблюдать при планировании несколько принципов, то обнаружите, что разрешениями легко управлять.
    • Для упрощения процесса администрирования сгруппируйте файлы по папкам следующих типов: папки с приложениями, папки с данными, личные папки. Централизуйте общедоступные и личные папки на отдельном томе, не содержащем файлов операционной системы и других приложений. Действуя таким образом, вы получите следующие преимущества:
    — сможете устанавливать разрешения только папкам, а не отдельным файлам;
    — упростите процесс резервного копирования, так как вам не придется делать резервные копии файлов приложений, а все общедоступные и личные папки находятся в одном месте.
    Устанавливайте для пользователей только необходимый уровень доступа. Если необходимо чтение файла, установите пользователю разрешение Чтение для этого файла. Это уменьшит вероятность случайного изменения файла или удаления важных документов и файлов приложений пользователем.
    Создавайте группы согласно необходимому членам группы типу доступа, затем установите соответствующие разрешения для группы. Назначайте разрешения отдельным пользователям только в тех случаях, когда это необходимо.
    При установке разрешений для работы с данными или файлами приложений установите разрешение Чтение и выполнение для групп Пользователии Администраторы. Это предотвратит случайное удаление файлов приложений или их повреждение вирусами или пользователями.
    При установке разрешений для папок с общими данными назначьте разрешения Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ для группы Создатель-владелец. По умолчанию пользователь, создавший документ, также является его владельцем. Владелец файла может дать другому пользователю разрешение на владение файлом. Пользователь, который принимает такие права, в этом случае становится владельцем файла. Если вы установите разрешение Чтение и выполнение и Запись группе Пользователи и разрешение Полный доступ группе Создатель-владелец, то пользователи получат возможность читать и изменять документы, созданные другими пользователями, а также читать, изменять и удалять файлы и папки, создаваемые ими.
    Запрещайте разрешения, только если необходимо запретить отдельный тип доступа определенному пользователю или группе.
    Поощряйте пользователей в установке разрешений для файлов и папок, которые они создают, и научите их это делать самостоятельно.
    Администраторы, пользователи с разрешением Полный доступ и владельцы файлов и папок могут устанавливать разрешения для отдельных пользователей и групп.
    Дополнительно Позволяет получить доступ к дополнительным возможностям поиска, включая возможность поиска удаленных учетных записей пользователей, учетных записей с неустаревшими паролями и учетных записей, по которым не подключались определенное количество дней.

    Статьи к прочтению:

    Установка режимов черчения
    Установка связи между файловой переменной и физическим внешним устройством

    Как разграничить права доступа к общей папке

    Похожие статьи:

    Разрешения для файлов и папок.
    Расшаривание» ресурсов Возможности GUI Windows NT. Для того, чтобы сделать ресурс доступным в сети, в ОС Windows NT существует закладка «Доступ» у…
    Перемещение защищенных файлов в ntfs
    Папки более высокого уровня в NTFS обычно обладают теми же правами, что и находящиеся в них файлы и папки. Например, если вы создаете папку внутри другой…

  12. ..._Tanya_... Ответить

    Наследование
    По умолчанию все файлы, папки и разделы реестра наследуют разрешения от родительского контейнера. Наследование можно активизировать или отключить для индивидуальных файлов, папок или разделов реестра и для отдельных пользователей или групп. Как мы видим на Экране 1, поле Apply To на вкладке Permissions диалогового окна Advanced Security Settings показывает, ограничено ли действие конкретного разрешения текущим контейнером, или оно распространяется на подпапки и файлы. Администратор может назначить разрешение (для отдельных пользователей), которые наследуются или нет. В данном примере группа Everyone имеет разрешение Read & Execute в текущей папке, и это разрешение не наследуется.

    Если файл или папка наследует большинство своих разрешений, но имеет также и набор явно заданных разрешений, то последние всегда имеют приоритет перед унаследованными правами. Например, можно предоставить пользователю разрешение Full Control-Deny в корневом каталоге конкретного тома, и задать наследование этих разрешений всеми файлами и папками диска. Затем можно назначить любому файлу или папке на диске право доступа, которое отменяет унаследованный режим Full Control-Deny.
    Эффективные разрешения
    Монитор защиты Windows определяет эффективные разрешения пользователей (реальные разрешения, которыми они располагают на практике) с учетом нескольких факторов. Как отмечалось выше, монитор защиты сначала собирает информацию об индивидуальной учетной записи пользователя и всех группах, к которым он принадлежит, и обобщает все разрешения, назначенные всем пользовательским и групповым SID. Если разрешения Deny и Allow существуют на одном уровне, то, как правило, приоритет имеет Deny. Если приоритет получает Full Control-Deny, то пользователь, как правило, не имеет доступа к объекту.
    По умолчанию при учете разрешений NTFS и Share (пользователь подключается к ресурсу через сеть) монитор защиты должен собрать все разрешения Share и NTFS. В результате эффективные разрешения пользователя представляют собой набор разрешений, предоставленных как разрешениями Share, так и NTFS.
    Например, в конечном итоге у пользователя могут оказаться Share-разрешения Read и Change, и NTFS-разрешения Read и Modify. Эффективные разрешения — самый ограниченный набор разрешений. В данном случае разрешения почти идентичны. Эффективными разрешениями будут Read и Change/Modify. Многие администраторы ошибочно полагают, что эффективные разрешения — только Read, из-за плохих, чрезмерно упрощенных примеров или устаревшей документации.
    В диалоговом окне Advanced Security Settings в Windows XP и более новых версиях появилась вкладка Effective Permissions (см. Экран 2). К сожалению, на вкладке Effective Permissions отражаются только разрешения NTFS. Не учитывается влияние разрешений Share, групп на базе действий, членства в которых пользователь не имеет, и других факторов, таких как файловая система с шифрованием (Encrypting File System — EFS). Если EFS активизирована для файла или папки, то пользователь с соответствующими разрешениями NTFS и Share может лишиться возможности доступа к объекту, если не имеет права доступа EFS к папке или файлу.

    Рекомендации
    В завершении статьи — несколько рекомендаций по работе с файлами и папками:
    Осмотрительно предоставлять разрешения Full Control обычным пользователям. Полезно назначить им вместо этого разрешение Modify. В большинстве случаев такой подход обеспечивает пользователям все необходимые разрешения, не позволяя изменять права или присваивать себе владение.
    Аккуратно работайте с группой Everyone; лучше использовать группу Authenticated Users (или Users), или специальную группу с ограниченными правами. Важные упущения группы Authenticated Users — отсутствие Guest и неаутентифицированного пользователя.
    Нередко сетевых администраторов просят ввести гостевые учетные записи для сторонних пользователей (например, консультантов, подрядчиков, внештатных программистов). Но права обычного пользователя часто избыточны для гостя. Следует сформировать и использовать группу, права которой по умолчанию сильно урезаны (например, разрешение Full Control-Deny для корневых каталогов), а затем явно разрешить доступ только к файлам и папкам, необходимым данной гостевой учетной записи. Явно назначаемые разрешения предпочтительны, поскольку предоставляют гостевым пользователям именно те разрешения, которые необходимы для их работы, но не больше.
    Следует проявлять осторожность, налагая запреты на группы Everyone и Users, так как администраторы входят и в эти группы.
    В случае доверительных отношений с другими доменами полезно применять одностороннее и селективное доверие, чтобы ограничить права пользователей доверенного домена.
    Необходимо периодически осуществлять аудит разрешений NTFS и Share, чтобы убедиться в том, что они максимально ограничены.
    Используя эти рекомендации и справочные таблицы с кратким описанием всех разрешений, можно смело отправляться в лабиринт файловой системы. Администратор сможет уверенно назначать разрешения для файлов, папок, пользователей и групп.
    Таблица 1. Сводка разрешений NTFS
    Разрешение
    Действие
    Read
    Обеспечивает просмотр, копирование, печать и переименование файлов, папок и объектов. Не позволяет запускать выполняемые программы, кроме файлов сценариев. Позволяет считывать разрешения объектов, атрибуты объектов и расширенные атрибуты (например, бит Archive, EFS). Позволяет составить список файлов и подпапок папки
    Write
    Разрешения чтения, плюс создание и перезапись файлов и папок
    List (Folders Only)
    Позволяет просматривать имена файлов и подпапок внутри папки
    Read & Execute
    Чтение разрешений и запуск программных файлов
    Modify
    Предоставляет все разрешения, кроме возможности присвоить владение и назначать разрешения. Позволяет читать, удалять, изменять и перезаписывать файлы и папки
    Full Control
    Обеспечивает полное управление папками и файлами, в том числе позволяет назначать разрешения
    Special Permissions
    Позволяет составлять комбинации из 14 более детальных разрешений, которые не входят ни в одно из остальных 6 суммарных разрешений. К этой группе относится разрешение Synchronize
    Таблица 2. Детальные разрешения NTFS
    Разрешение
    Действие
    Traverse Folder / Execute File
    Traverse Folder позволяет перемещаться по папкам для доступа к другим файлам и папкам, даже если субъект безопасности не имеет разрешений в транзитной папке. Применяется только к папкам. Traverse Folder вступает в силу, только если субъект безопасности не имеет разрешения Bypass traverse checking user (предоставляется группе Everyone по умолчанию). Execute File позволяет запускать программные файлы. Назначение разрешения Traverse Folder для папки не устанавливает автоматически разрешения Execute File для всех файлов в папке
    List Folder / Read Data
    Обеспечивает просмотр имен файлов и подпапок в папке. List Folder воздействует только на содержимое папки — оно не влияет на то, будет ли внесена в список папка, для которой назначается разрешение. Read Data позволяет просматривать, копировать и печатать файлы
    Read Attributes
    Субъект безопасности видит атрибуты объекта (например, Read-only, System, Hidden)
    Read Extended Attributes
    Субъект безопасности видит расширенные атрибуты объекта (например, EFS, Compression)
    Create Files / Write Data
    Create Files позволяет создавать файлы внутри папки (применяется только к папкам). Write Data позволяет вносить изменения в файл и перезаписывать существующий контент (применяется только к файлам)
    Create Folders / Append Data
    Create Folders позволяет создавать папки внутри папки (применяется только к папкам). Append Data позволяет вносить изменения в конец файла, но не изменять, удалять или перезаписывать существующие данные (применяется только к файлам)
    Write Attributes
    Определяет, может ли субъект безопасности записывать или изменять стандартные атрибуты (например, Read-only, System, Hidden) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты.
    Write Extended Attributes
    Определяет, может ли субъект безопасности записывать или изменять расширенные атрибуты (например, EFS, Compression) файлов и папок. Не влияет на содержимое файлов и папок, только на их атрибуты
    Delete Subfolders and Files
    Позволяет удалять подпапки и файлы, даже если разрешение Delete не предоставлено подпапке или файлу
    Delete
    Позволяет удалять папку или файл. При отсутствии разрешения Delete для файла или папки ее можно удалить, если имеется разрешение Delete Subfolders and Files в родительской папке
    Read Permissions
    Позволяет читать разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет прочитать сам файл
    Change Permissions
    Позволяет изменять разрешения (например, Full Control, Read, Write) файла или папки. Не позволяет изменять сам файл
    Take Ownership
    Определяет, кто может быть владельцем файла или папки. Владельцы всегда могут иметь Full Control, и их разрешения в файле или папке не могут быть постоянно отменены, если при этом не отменяется и право владения
    Synchronize
    Администраторы редко используют это разрешение. Применяется для синхронизации в многопотоковых, многопроцессных программах и определяет взаимодействие между несколькими потоками, которые обращаются к одному ресурсу
    Автор: Роджер Граймз
    Источник: http://www.osp.ru

  13. Слив Ответить

    На томах с файловой системой NTFS Вы можете установить разрешения безопасности для файлов и папок. Эти разрешения предоставляют или запрещают доступ к файлам и папкам. Для просмотра текущих разрешений безопасности выполните следующее:
    1.
    В
    Проводнике (Windows Explorer) выберите файл или папку для просмотра параметров безопасности и щелкните правой кнопкой мыши.
    2.
    В контекстном меню выберите команду
    Свойства (Properties) и перейдите на вкладку
    Безопасность (Security) диалогового окна.
    3.
    В списке
    Имя (Name) выберите пользователя, контакт, компьютер или группу разрешения которых Вы хотите просмотреть. Если флажки в области
    Разрешения: (Permissions) затенены, значит, разрешения унаследованы от родител
    ьского объекта.

    Общее представление о разрешениях для файлов и папок

    В Таблице 13-3 отражены базовые разрешения, применимые к файлам и папкам.
    Существуют следующие базовые разрешения на доступ к файлам: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Чтение (Read) и Запись (Write).
    Для папок применимы такие базовые разрешения: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Список содержимого папки (List Folder Contents), Чтение (Read) и Запись (Write).
    При установке разрешений для файлов и папок всегда следует учитывать следующее:

    Для запуска сценариев достаточно иметь разрешение на Чтение (Read). Разрешение на Выполнение файла (особое разрешение Execute File) не обязательно.

    Для доступа к ярлыку и связанному объекту требуется разрешение на Чтение (Read).

    Разрешение на Запись в файл (особое разрешение Write Data) при отсутствии разрешения на Удаление файла (особое разрешение Delete) все еще позволяет пользователю удалять содержимое файла.

    Если пользователь имеет базовое разрешение Полный доступ (Full Control) к папке, он может удалять любые файлы в такой папке, независимо от разрешений на доступ к этим файлам.
    Таблица 13-3 – Базовые разрешения для файлов и папок в Windows 2000
    Базовое разрешение
    Значение для папок
    Значение для файлов
    Чтение (Read)
    Разрешает обзор папок и просмотр списка файлов и подпапок
    Разрешает просмотр и доступ к содержимому файла
    Запись (Write)
    Разрешает добавление файлов и подпапок
    Разрешает запись данных в файл
    Чтение и Выполнение (Read & Execute)
    Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется файлами и папками
    Разрешает просмотр и доступ к содержимому файла, а также запуск исполняемого файла
    Список содержимого папки (List Folder Contents)
    Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется только папками
    Не применимо
    Изменить (Modify)
    Разрешает просмотр содержимого и создание файлов и подпапок; допускает удаление папки
    Разрешает чтение и запись данных в файл; допускает удаление файла
    Полный доступ (Full Control)
    Разрешает просмотр содержимого, а также создание, изменение и удаление файлов и подпапок
    Разрешает чтение и запись данных, а также изменение и удаление файла
    Базовые разрешения созданы при помощи объединения в логические группы особых разрешений, которые показаны в Таблице 13-4 (для файлов) и 13-5 (для папок). Особые разрешения можно назначить индивидуально, используя дополнительные параметры настройки. При изучении особых разрешений для файлов, необходимо учитывать следующее:

    Если группе или пользователю явно не определены права доступа, то доступ к файлу для них закрыт.

    При вычислении действующих разрешений пользователя принимаются во внимание все разрешения назначенные пользователю, а также группам, членом которых он является. Например, если пользователь GeorgeJ имеет доступ на Чтение (Read), и в то же время входит в группу Techies, у которой доступ на изменение (Modify), то в результате, у пользователя GeorgeJ появляется доступ на изменение (Modify). Если группу Techies включить в группу Администраторы (Administrators) с полным доступом (Full Control), то GeorgeJ будет полностью контролировать файл.
    Таблица 13-4 – Особые разрешения для файлов
    Особые разрешения
    Полный доступ (Full Control)
    Изменить (Modify)
    Чтение и выполнение (Read & Execute)
    Чтение (Read)
    Запись (Write)
    Выполнение файлов (Execute File)
    X
    X
    X
    Чтение данных (Read Data)
    X
    X
    X
    X
    Чтение атрибутов (Read Attributes)
    X
    X
    X
    X
    Чтение дополнительных атрибутов (Read Extended Attributes)
    X
    X
    X
    X
    Запись данных (Write Data)
    X
    X
    X
    Дозапись данных (Append Data)
    X
    X
    X
    Запись атрибутов (Write Attributes)
    X
    X
    X
    Запись дополнительных атрибутов (Write Extended Attributes)
    X
    X
    X
    Удаление (Delete)
    X
    X
    Чтение разрешений (Read Permissions)
    X
    X
    X
    X
    X
    Смена разрешений (Change Permissions)
    X
    Смена владельца (Take Ownership)
    X
    В Таблице 13-5 показаны особые разрешения, используемые для создания базовых разрешений для папок. При изучении особых разрешений для папок необходимо учитывать следующее:

    При установке разрешений для родительской папки можно привести элементы разрешений файлов и подпапок в соответствие с разрешениями текущей родительской папки. Для этого нужно установить флажок
    Сбросить разрешения для всех дочерних объектов и включить перенос наследуемых разрешений (Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions).

    Создаваемые файлы наследуют некоторые разрешения от родительского объекта. Эти разрешения показаны, как разрешения файла по умолчанию.
    Таблица 13-5 – Особые разрешения для папок
    Особые разрешения
    Полный доступ (Full Control)
    Изменить (Modify)
    Чтение и выполнение (Read & Execute)
    Список содержимого папки (List Folder Contents)
    Чтение (Read)
    Запись (Write)
    Обзор папок (Traverse Folder)
    X
    X
    X
    X
    Содержание папки (List Folder)
    X
    X
    X
    X
    X
    Чтение атрибутов (Read Attributes)
    X
    X
    X
    X
    X
    Чтение дополнительных атрибутов (Read Extended Attributes)
    X
    X
    X
    X
    X
    Создание файлов (Create Files)
    X
    X
    X
    Создание папок (Create Folders)
    X
    X
    X
    Запись атрибутов (Write Attributes)
    X
    X
    X
    Запись дополнительных атрибутов (Write Extended Attributes)
    X
    X
    X
    Удаление подпапок и файлов (Delete Subfolders and Files)
    X
    Удаление (Delete)
    X
    X
    Чтение разрешений (Read Permissions)
    X
    X
    X
    X
    X
    X
    Смена разрешений (Change Permissions)
    X
    Смена владельца (Take Ownership)
    X

    Установка разрешений для файлов и папок

    Для установки разрешений для файлов и папок выполните следующее:
    1.
    В
    Проводнике (Windows Explorer) выберите файл или папку и щелкните правой кнопкой мыши.
    2.
    В контекстном меню выберите команду
    Свойства (Properties) и в диалоговом окне перейдите на вкладку
    Безопасность (Security), показанную на Рисунке 13-12.

    Рисунок 13-12 – Настройка базовых разрешений для файлов или папок на вкладке Безопасность (Security)
    3.
    В списке
    Имя (Name) перечислены пользователи или группы, имеющие доступ к файлу или папке. Чтобы изменить разрешения для этих пользователей или групп, выполните следующее:
    • Выделите пользователя или группу, разрешения для которых Вы хотите изменить.
    • Используйте список
    Разрешения: (Permissions) для задания или отмены разрешений.
    Совет.
    Флажки унаследованных разрешений затенены. Для отмены унаследованного разрешения измените его на противоположное.
    4.
    Для установки разрешений пользователям, контактам, компьютерам или группам, которых нет в списке
    Имя (Name), нажмите кнопку
    Добавить (Add). Появится диалоговое окно
    Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups), показанное на Рисунке 13-13.

    Рисунок 13-13 – Выделите пользователей, компьютеры и группы, для которых необходимо разрешить или запретить доступ.
    5.
    Используйте диалоговое окно
    Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups) для выбора пользователей, компьютеров или групп, для которых Вы хотите установить разрешения доступа. Это окно содержит поля, описание которых приводится ниже:

    Искать в (Look In) Этот раскрывающийся список позволяет просмотреть доступные учетные записи других доменов. В том числе, список текущего домена, доверенных доменов и других доступных ресурсов. Чтобы увидеть все учетные записи в папке, выберите
    Весь каталог (Entire Directory).

    Имя (Name) Эта колонка показывает существующие учетные записи выбранного домена или ресурса.

    Добавить (Add) Эта кнопка добавляет выделенные имена в список выбранных имен.

    Проверить имена (Check Names) Эта кнопка позволяет проверить имена пользователей, компьютеров или групп в списке выбранных имен. Это может быть полезно, когда имена вводятся вручную и необходимо убедиться в их правильности.
    6.
    В списке
    Имя (Name) выделите пользователя, контакт, компьютер или группу для настройки, затем установите или снимите флажки в области
    Разрешения: (Permissions) для определения прав доступа. Повторите эти же действия и для других пользователей, компьютеров или групп.
    7.
    По завершении работы нажмите кнопку
    OK.

    Аудит системных ресурсов

    Применение аудита – это лучший способ для отслеживания событий в системах Windows 2000. Аудит можно использовать для сбора информации, связанной с использованием какого-либо ресурса. Примерами событий для аудита можно назвать доступ к файлу, вход в систему и изменения системной конфигурации. После включения аудита объекта, в журнал безопасности системы заносятся записи при любой попытке доступа к этому объекту. Журнал безопасности можно просмотреть из оснастки
    Просмотр событий (Event Viewer).
    Примечание.
    Для изменения большинства настроек аудита необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы», или иметь право
    Управление аудитом и журналом безопасности (Manage Auditing And Security Log) в групповой политике.

    Установка политик аудита

    Применение политик аудита существенно повышает безопасность и целостность систем. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности. Настройка политик аудита доступна в оснастке
    Групповая политика (Group Policy). С помощью этого компонента можно установить политики аудита для целого сайта, домена, или подразделения. Политики также могут быть заданы для персональных рабочих станций или серверов.
    После выбора необходимого контейнера групповой политики можно настроить политики аудита следующим образом:
    1.
    Как показано на Рисунке 13-14, найти узел
    Политика аудита (Audit Policy) можно продвигаясь вниз по дереву консоли:
    Конфигурация компьютера (Computer Configuration),
    Конфигурация Windows (Windows Settings),
    Параметры безопасности (Security Settings),
    Локальные политики (Local Policies),
    Политика аудита (Audit Policy).

    Рисунок 13-14 – Настройка политики аудита с использованием узла Политика аудита (Audit Policy) в Групповой политике (Group Policy).
    2.
    Существуют следующие категории аудита:

    Аудит событий входа в систему (Audit Account Logon Events) отслеживает события, связанные с входом пользователя в систему и выходом из неё.

    Аудит управления учетными записями (Audit Account Management) отслеживает все события, связанные с управлением учетными записями, средствами оснастки
    Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Записи аудита появляются при создании, изменении или удалении учетных записей пользователя, компьютера или группы.

    Аудит доступа к службе каталогов (Audit Directory Service Access) отслеживает события доступа к каталогу Active Directory. Записи аудита создаются каждый раз при доступе пользователей или компьютеров к каталогу.

    Аудит входа в систему (Audit Logon Events) отслеживает события входа в систему или выхода из нее, а также удаленные сетевые подключения.

    Аудит доступа к объектам (Audit Object Access) отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory.

    Аудит изменения политики (Audit Policy Change) отслеживает изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений.

    Аудит использования привилегий (Audit Privilege Use) отслеживает каждую попытку применения пользователем предоставленного ему права или привилегии. Например, права архивировать файлы и каталоги.
    Примечание.
    Политика
    Аудит использования привилегий (Audit Privilege Use) не отслеживает события, связанные с доступом к системе, такие, как использование права на интерактивный вход в систему или на доступ к компьютеру из сети. Эти события отслеживаются с помощью политики
    Аудит входа в систему (Audit Logon Events).

    Аудит отслеживания процессов (Audit Process Tracking) отслеживает системные процессы и ресурсы, используемые ими.

    Аудит системных событий (Audit System Events) отслеживает события включения, перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или отражаемые в журнале безопасности.
    3.
    Для настройки политики аудита дважды щелкните на нужной политике, или выберите в контекстном меню выбранной политики команду
    Свойства (Properties). После этого откроется диалоговое окно
    Параметр локальной политики безопасности (Properties).
    4.
    Установите флажок
    Определить следующий параметр политики (Define These Policy Settings). Затем установите или снимите флажки
    Успех (Success) и
    Отказ (Failure). Аудит успехов означает создание записи аудита для каждого успешного события (например, успешной попытки входа в систему). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки входа в систему).
    5.
    По завершении нажмите кнопку
    OK.

    Аудит операций с файлами и папками

    Если задействована политика
    Аудит доступа к объектам (Audit Object Access), можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.
    Для настройки аудита файла и папки проделайте следующее:
    1.
    В
    Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду
    Свойства (Properties).
    2.
    Перейдите на вкладку
    Безопасность (Security), а затем нажмите кнопку
    Дополнительно (Advanced).
    3.
    В диалоговом окне
    Параметры управления доступом (Access Control Settings) перейдите на вкладку
    Аудит (Auditing), показанную на Рисунке 13-15.

    Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).
    4.
    Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок
    Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
    5.
    Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок
    Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита
    (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
    6.
    Используйте список
    Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку
    Удалить (Remove).
    7.
    Чтобы добавить учетную запись, нажмите кнопку
    Добавить (Add) для появления диалогового окна
    Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете
    OK, появится диалоговое окно
    Элемент аудита для
    Имя папки или файла (Auditing Entry For New Folder), показанное на Рисунке 13-16.
    Примечание.
    Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу
    Все (Everyone). В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях.

    Рисунок 13-16 – Диалоговое окно Элемент аудита для
    Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.
    8.
    Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком
    Применять (Apply Onto).
    9.
    Установите флажки
    Успех (Successful) и/или
    Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениями (Таблицы 13-4 и 13-5) за исключением синхронизации автономных файлов и папок, аудит которой невозможен.
    10.
    По завершении нажмите кнопку
    OK. Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.

    Аудит объектов каталога Active Directory

    Если задействована политика
    Аудит доступа к службе каталогов (Audit Directory Service Access), можно использовать аудит на уровне объектов службы каталогов Active Directory. Это позволит точно отслеживать их использование.
    Для настройки аудита объекта проделайте следующее:
    1.
    В оснастке
    Active Directory — пользователи и компьютеры (Active Directory Users And Computers) выберите контейнер объекта.
    2.
    Щелкните по объекту для аудита правой кнопкой мыши и в контекстном меню выберите команду
    Свойства (Properties).
    3.
    Перейдите на вкладку
    Безопасность (Security) и нажмите кнопку
    Дополнительно (Advanced).
    4.
    Перейдите на вкладку
    Аудит (Auditing) диалогового окна
    Параметры управления доступом (Access Control Settings). Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок
    Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
    5.
    Используйте список
    Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку
    Удалить (Remove).
    6.
    Чтобы добавить учетную запись, нажмите кнопку
    Добавить (Add). Появится диалоговое окно
    Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете
    OK, появится диалоговое окно
    Элемент аудита для
    Имя папки или файла (Auditing Entry For New Folder).
    7.
    Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком
    Применять (Apply Onto).
    8.
    Установите флажки
    Успех (Successful) и/или
    Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для каждого успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки удаления файла).
    9.
    По завершении нажмите кнопку
    OK. Повторите эти шаги для настройки аудита других пользователей, контактов, групп или компьютеров.
    Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.
    Автор: Шамиль Абакаров aka Sham
    Иcточник: (переведено с англ.)
    Microsoft Technet
    Взято с: http://oszone.ru
    Оцените статью:

  14. Выгнали из ада Ответить

    В последнее время замечаю такую тенденцию, что пользователи и системные администраторы не совсем понимают механизм работы NTFS и понятия как “Действующие разрешения”. Непонимание этого вопроса приводит к тому, что при выдаче прав на некий ресурс пользователю реальные права самого пользователя оказываются не совсем такими, как этого ожидал администратор.
    Итак, я попробую разъяснить некоторые подводные камни при назначении прав Full Control пользователям и назначения прав на уровне файлов.
    Доподлинно известно, что право доступа на ресурс (файл/папка) определяется ACL самого ресурса. Однако, это не совем верно. Разберём типичный случай:
    Проблема:
    Имеется папка, скажем, Folder1 и пользователю JohnSmith назначаются на неё право Full Control. При этом пользователь JohnSmith будет иметь права Full Control как на эту папку, так и на все вложенные подпапки и файлы. Но, если администратор захочет на вложенный файл File дать право Read/Execute. Т.к. права доступа к ресурсу определяются самим ресурсом, то можно предположить, что пользователь JohnSmith будет иметь право Full Control на всю папку Folder1 и все её подпапки, кроме файла File1. В этом можно смело убедиться, если посмотреть вкладку Effective Permissions в дополнительных свойствах безопасности файла. Однако, приходит JohnSmith и спокойно удаляет файл. Резонный вопрос, “почему так? Ведь Effective Permissions показывает, что у пользователя права Только чтение!”. Вот тут необходимо уловить одну тонкость:
    право удаления файла появляется не от разрешений самого файла, а родительской папки.
    Дело в том, что при удалении файла NTFS не берёт в расчёт разрешения самого файла, а смотрит право родительской папки для этого файла. А если посмотреть свойства родительской папки, то там будет отмечено разрешение Delete subfolders and files. При этом не важно, наследует ли файл разрешения от родителькой папки, или нет. Именно право Delete subfolders and files перекрывает право самого файла (Read) и позволяет удалить этот файл.
    Решение проблемы:
    Очень многие спотыкаются на эти грабли, поэтому для эффективного, а главное, гарантированного назначения прав пользователю следует руководствоваться следующими правилами:
    не задавать права на ресурсы на уровне файлов, а только на уровне папок;
    не давать пользователям права Full Control на папку, а только Modify;
    Создавать иерархию разрешений в виде ёлочки. Т.е. увеличивая права пользователя на ресурс спускаясь по дереву. Иными словами “наименьшие права на корень ресурса и расширять права уже на дочерние ресурсы.
    Во втором пункте отмечено Modify. Почему Modify, если это по сути равно Full Control? Дело в том, что право Modify не содержит права Delete subfolders and files, а значит, что при правах чтения на файл пользователь уже не сможет его удалить.
    Проблема:
    Схожий случай. Имеется папка Folder1, на которую пользователи JohnSmith и MikeJohnson имеют право Full Control. В этой папке JohnSmith создал свой файл. Файл может наследовать права, а может и не наследовать права от родительской папки (вобщем, без разницы). Но по некоторым причинам администратору потребовалось временно запретить доступ к файлу для пользователя MikeJohnson. Но при этом оставить права Full Control для остальных ресурсов в папке Folder1. Что самое вероятное сделает администратор? Как показывает практика, то администратор выставит на файле Deny Full Control для пользователя MikeJohnson. При этом будет запрещён доступ к файлу у MikeJohnson и задача по сути решена. Но опираясь на предыдущий пример при наличии прав Full Control пользователь сможет его удалить, хотя из-за запрета Deny просмотреть содержимое файла не сможет (а перехватить владение ему не даст политика). А если просмотреть Effective Permissions для пользователя MikeJohnson, то увидим, что прав он никаких не имеет на файл. Но, пользуясь правом Delete subfolders and files, которое перекроет явный запрет от родительской папки удаление возможно. И тут даже не спасает _явный_ запрет любого доступа к файлу.
    Решение:
    решение данной ситуации (точнее её избежание) будет основываться на следующих правилах:
    не задавать права на ресурсы на уровне файлов, а только на уровне папок;
    не давать пользователям права Full Control на папку, а только Modify;
    не использовать явный запрет Deny для ресурсов без чёткого понимания работы разрешений NTFS;
    отменять какой-либо вид доступа только путём отнятия явного/унаследованного разрешения на действие.Обе эти ситуации можно смоделировать и получите результат, который я описал. Одно дело моделирование в тестовой среде, а другое дело, когда администраторы _сознательно_ так делают на производстве, а потом на форумах обвиняют Microsoft в кривом NTFS, не разобравшись в принципе его работы. Действительно, разрешения NTFS – очень серьёзная и обширная тема, которой, увы, системные администраторы не всегда уделяют должного внимания.Для интересующихся могу подкинуть две задачки по второй проблеме, а так же просто подумать на досуге, о том, что не всё так просто как кажется.А именно:
    а теперь найдите где-нибудь удалённый пользователем файл.
    Представьте, что MikeJohnson сам создал в папке файл и администратор задал для файла Deny Full Control пользователю MikeJohnson. Т.е. аналогичная ситуация, кроме факта, что пользователю закрыли доступ на файл, который он создал сам. При попытке удалить файл у него уже не срабатывает право Delete subfolders and files, хотя оно есть. Но пока пользователь не уберёт запрет с файла, удалить его не сможет.

  15. Yoramar Ответить

    В NTFS для внутреннего разграничения доступа к данным используется список контроля доступа — Access Control List или ACL.
    Для манипуляции с ACL в PowerShell есть два комадлета Get-ACL и Set-Acl, для получения и записи ACL объектов соответственно. Get-ACL  получает объект типа System.Security.AccessControl.DirectorySecurity или System.Security.AccessControl.FileSecurity в зависимости от того на какой тип ресурса он будет применён.
    Рассмотрим следующий пример изменения прав на существующей папке «D:\test».
    PowerShell
    $acl = Get-ACL -Path “D:\test”
    $Rule=new-object System.Security.AccessControl.FileSystemAccessRule “LocalComputer\Test”,”Read,Delete”,”ContainerInherit”, “None”,”allow”
    $acl.AddAccessRule($Rule)
    Set-Acl -Path “D:\test” -AclObject $acl
    1
    2
    3
    4
    $acl = Get-ACL -Path “D:\test”
    $Rule=new-object System.Security.AccessControl.FileSystemAccessRule “LocalComputer\Test”,”Read,Delete”,”ContainerInherit”, “None”,”allow”
    $acl.AddAccessRule($Rule)
    Set-Acl -Path “D:\test” -AclObject $acl

    Get-ACL

    $acl = Get-ACL -Path “D:\test”
    1
    $acl = Get-ACL -Path “D:\test”
    Здесь переменной $acl мы присваиваем значение acl таблицы папки «D:\test». При этом параметр -Path можно опустить и запись будет выглядеть так:
    PowerShell
    $acl = Get-ACL “D:\test”
    1
    $acl = Get-ACL “D:\test”

    AddAccessRule

    $Rule=new-object System.Security.AccessControl.FileSystemAccessRule “LocalComputer\Test”,”Read,Delete”,”ContainerInherit”, “None”,”allow”
    $acl.AddAccessRule($Rule)
    2
    3
    $Rule=new-object System.Security.AccessControl.FileSystemAccessRule “LocalComputer\Test”,”Read,Delete”,”ContainerInherit”, “None”,”allow”
    $acl.AddAccessRule($Rule)
    Для того, что бы добавить права в нашу ACL сначала надо их обозначить, для этого создадим ещё одну переменную $Rule с типом System.Security.AccessControl.FileSystemAccessRule сразу, при создании объявим необходимые нам параметры:
    1) с начала задаём имя пользователя или группы. В нашем примере «LocalComputer» это имя локального компьютера, вместо него можно указать ваш домен. «Test» — имя пользователя в место него можно указать имя группы.
    2)  Дальше идёт уровень предоставляемого доступа и может принимать следующие параметры:
    Уровень доступа
    Значение параметра
    Чтение
    Read
    Запись
    Write
    Изменение
    Modify
    Полный доступ
    FullControl
    Траверс / выполнение файлов
    ExecuteFile
    Содержание папки/чтение данных
    ReadData
    Чтение атрибутов
    ReadAttributes
    Чтение дополнительных атрибутов
    ReadExtendedAttributes
    Создание файлов/запись данных
    CreateFiles
    Создание папок /дозапись данных
    AppendData
    Запись атрибутов
    WriteAttributes
    Запись дополнительных атрибутов
    WriteExtendedAttributes
    Удаление подпапок и файлов
    DeleteSubdirectoriesAndFiles
    Удаление
    Delete
    Чтение разрешений
    ReadPermissions
    Смена разрешений
    ChangePermissions
    Смена владельца
    TakeOwnership
    При этом параметры Read, Write, Modify и FullControl это Общие разрешения, которые содержат дополнительные разрешения:
    Read
    Уровень доступа
    Значение параметра
    Содержание папки/чтение данных
    ReadData
    Чтение атрибутов
    ReadAttributes
    Чтение дополнительных атрибутов
    ReadExtendedAttributes
    Чтение разрешений
    ReadPermissions
    Write
    Уровень доступа
    Значение параметра
    Создание файлов/запись данных
    CreateFiles
    Создание папок /дозапись данных
    AppendData
    Запись атрибутов
    WriteAttributes
    Запись дополнительных атрибутов
    WriteExtendedAttributes
    Чтение и выполнение/Список содержимого папки
    ReadAndExecute
    Траверс / выполнение файлов
    ExecuteFile
    Содержание папки/чтение данных
    ReadData
    Чтение атрибутов
    ReadAttributes
    Чтение дополнительных атрибутов
    ReadExtendedAttributes
    Чтение разрешений
    ReadPermissions
    Modify
    Уровень доступа
    Значение параметра
    Траверс / выполнение файлов
    ExecuteFile
    Содержание папки/чтение данных
    ReadData
    Чтение атрибутов
    ReadAttributes
    Чтение дополнительных атрибутов
    ReadExtendedAttributes
    Создание файлов/запись данных
    CreateFiles
    Создание папок /дозапись данных
    AppendData
    Запись атрибутов
    WriteAttributes
    Запись дополнительных атрибутов
    WriteExtendedAttributes
    Удаление
    Delete
    Чтение разрешений
    ReadPermissions
    FullControl
    Уровень доступа
    Значение параметра
    Траверс / выполнение файлов
    ExecuteFile
    Содержание папки/чтение данных
    ReadData
    Чтение атрибутов
    ReadAttributes
    Чтение дополнительных атрибутов
    ReadExtendedAttributes
    Создание файлов/запись данных
    CreateFiles
    Создание папок /дозапись данных
    AppendData
    Запись атрибутов
    WriteAttributes
    Запись дополнительных атрибутов
    WriteExtendedAttributes
    Удаление подпапок и файлов
    DeleteSubdirectoriesAndFiles
    Удаление
    Delete
    Чтение разрешений
    ReadPermissions
    Смена разрешений
    ChangePermissions
    Смена владельца
    TakeOwnership
    В нашем случае права состоят из основного параметра Read и дополнительного  Delete.
    3) Дальше идут два параметра наследования, можно использовать  следующие сочитания:
    Параметр1,Параметр2
    Описание
    #171;#187;»None»»»,»None»
    Права применяются только для этой папки.
    #171;#187;»ContainerInherit»»»,»None»
    Права применяются для этой папки и её подпапок
    #171;#187;»ObjectInherit»»»,»None»
    Права применяются для этой папки и её файлов
    #171;#187;»ContainerInherit,ObjectInherit»»»,»None»
    Права применяются для этой папки её подпапок и файлов
    #171;#187;»ContainerInherit»»», «InheritOnly»
    Права применяются только для подпапок
    #171;#187;»ObjectInherit»»», «InheritOnly»
    Права применяются только для файлов
    #171;#187;»ContainerInherit,ObjectInherit»»», «InheritOnly»
    Права применяются только для подпапок и файлов
    Так же работают и другие сочитания данных параметров. По отдельности они значат следующее:
    Первый параметр:
    Параметр
    Описание
    ContainerInherit
    Элемент управления доступом наследуется дочерними объектами-контейнерами.
    None
    Элемент управления доступом не наследуется дочерними объектами.
    ObjectInherit
    Элемент управления доступом наследуется дочерними конечными объектами.
    Второй параметр:
    Параметр
    Описание
    InheritOnly
    Указывает, что элемент управления доступом распространяется только на дочерние объекты. К ним относятся контейнеры и конечные дочерние объекты.
    None
    Указывает, что флаги наследования не установлены.
    NoPropagateInherit
    Указывает, что элемент управления доступом не распространяется на дочерние объекты.
    4) Последний параметр указывает это запрещающее или разрешающее правило, может принимать следующие значения:
    Параметр
    Описание
    Allow
    Правило разрешает доступ к объекту
    Deny
    Правило запрещает доступ к объекту
    После того,  как правило создано, мы можем добавить его к acl с помощью свойства AddAccessRule :
    PowerShell
    $acl.AddAccessRule($Rule)
    3
    $acl.AddAccessRule($Rule)

    Set-Acl

    Set-Acl -Path “D:\test” -AclObject $acl
    4
    Set-Acl -Path “D:\test” -AclObject $acl
    Теперь мы можем назначить наш объект acl обратно на ресурс. Это мы делаем с помощью командлета Set-Acl если опустить параметры Path и AclObject данная запись будет выглядеть так:
    Set-Acl “D:\test” $acl
    4
    Set-Acl “D:\test” $acl

  16. Nuadafyn Ответить

    Доброго времени суток.
    Сейчас будет глупый вопрос: чем отличаются разрешения на шару (вкладка Доступ -> Расширенная настройка -> Разрешения) от разрешений NTFS? Как я считал, права на на шару показывают, можно ли вообще подключиться к общему ресурсу (хотя не понятно зачем чтение/запись/полный доступ, что означает “запись” для общего ресурса – не понятно), а после подключения доступ к данным ограничивается NTFS-разрешениями. Я это к чему, обычно шарил для пользователей домена на чтение, а дальше контролировал права разрешениями NTFS, но сейчас столкнулся с такой ситуацией:
    Каталог оказался расшарен странным образом (машина в домене):
    1. По кнопке “общий доступ” во вкладке “Доступ” кроме 2х администраторов не был указан никто.
    2. По кнопке “Расширенная настройка ->Разрешения” во вкладке “Доступ” были указаны администраторы с полным доступом и Все (хотя в списке по кнопке “общий доступ” их не было) тоже с полным доступом. Уже странно.
    Начали поступать жалобы, что пользователи не могут править .mdb файл то одновременно, то вообще никто (я никогда не работал с access`ом и такого рода базами, но как я понимаю, в общем случае не должно быть никакого “монопольного” открытия), хотя раньше могли. Права на каталог для нужной группы с одним из проблемных .mdb есть на изменение/дозапись и т.д.
    Обратил внимание на права на общий ресурс. Добавил нужную группу безопасности (скажем, Х) в “Расширенная настройка -> Разрешения” на вкладке “Доступ” – проблемы остались. По кнопке “общий доступ” группа X отсутствовала, добавил ее и туда (пока дал на чтение/запись) – проблемы устранились. Что это означает, почему разрешения на общий ресурс (а не NTFS-разрешения) устранили проблему и почему после внесения группы X в “Расширенная настройка -> Разрешения” она не появилась в списке по кнопке “Общий доступ”.
    Я знаю, довольно сумбурно, буду очень благодарен, если кто-то это осилит и поможет.

  20. VideoAnswer Ответить

Добавить ответ

Ваш e-mail не будет опубликован. Обязательные поля помечены *