Windowsi operatsioonisüsteeme kasutavad arvutid saavad töötada erinevate failisüsteemidega, nagu FAT32 ja NTFS. Ilma sarnasustesse laskumata võib öelda, et need erinevad põhiliselt – NTFS-failisüsteem võimaldab konfigureerida iga faili või kausta (kataloogi) turvaseadeid. Need. Iga faili või kausta jaoks salvestab NTFS-failisüsteem nn ACL-id (Access Control List), mis loetleb kõik kasutajad ja rühmad, kellel on teatud juurdepääsuõigused antud failile või kaustale. FAT32 failisüsteemil seda võimalust pole.

NTFS-failisüsteemis võivad igal failil või kaustal olla järgmised turbeõigused:

• Lugemine- Võimaldab sirvida kaustu ja vaadata failide ja alamkaustade loendit, vaadata faili sisu ja sellele juurde pääseda;
• Salvestamine- Võimaldab lisada faile ja alamkaustu, kirjutada andmeid faili;
• Lugemine ja teostamine- Võimaldab sirvida kaustu ja vaadata failide ja alamkaustade loendit, võimaldab vaadata faili sisu ja sellele juurde pääseda, samuti käivitada täitmisfaili;
• Loetlege kausta sisu- Võimaldab sirvida kaustu ja vaadata ainult failide ja alamkaustade loendit. See luba ei anna juurdepääsu faili sisule!;
• Muuda- Võimaldab vaadata sisu ning luua faile ja alamkaustu, kustutada kausta, lugeda ja faili andmeid kirjutada, faili kustutada;
• Täielik juurdepääs- Võimaldab vaadata sisu, samuti luua, muuta ja kustutada faile ja alamkaustu, lugeda ja kirjutada andmeid ning muuta ja kustutada faili

Eespool loetletud õigused on põhilised. Põhiõigused koosnevad eriõigustest. Eriõigused on üksikasjalikumad õigused, mis moodustavad põhiõigused. Erilubade kasutamine annab õiguste määramisel palju paindlikkust.

Failide ja kaustade erilubade loend:

• Sirvige kaustu/käivitage faile- Võimaldab liikuda kaustastruktuuris teiste failide või kaustade otsimisel, failide käivitamisel;
• Kausta sisu/andmete lugemine- Võimaldab vaadata kaustas sisalduvate failide või alamkaustade nimesid, lugeda failist andmeid;
• Lugemisomadused- Võimaldab vaadata selliseid faili või kausta atribuute nagu "kirjutuskaitstud" ja "peidetud";
• Täiendavate atribuutide lugemine- Võimaldab vaadata faili või kausta täiendavaid atribuute;
• Looge faile / kirjutage andmeid- Võimaldab luua kaustas faile (kehtib ainult kaustade kohta), teha failis muudatusi ja kirjutada olemasoleva sisu üle (kehtib ainult failidele);
• Looge kaustu / lisage andmed- Võimaldab luua kaustas kaustu (kehtib ainult kaustade kohta), lisada andmeid faili lõppu, kuid mitte muuta, kustutada ega asendada olemasolevaid andmeid (kehtib ainult failide puhul);
• Atribuudi kirje- Lubab või keelab muuta selliseid faili või kausta atribuute nagu "kirjutuskaitstud" ja "peidetud";
• Täiendavate atribuutide salvestamine— lubab või keelab muuta faili või kausta täiendavaid atribuute;
• Alamkaustade ja failide kustutamine- Võimaldab kustutada alamkaustu ja faile isegi siis, kui teil pole "Kustuta" luba (kehtib ainult kaustade puhul);
• Eemaldus- Võimaldab faili või kausta kustutada. Kui failil või kaustal pole kustutamisõigust, saab objekti siiski kustutada, kui ülemkaustal on õigus Kustuta alamkaustad ja failid;
• Lugemisload- Võimaldab lugeda selliseid failide või kaustade juurdepääsuõigusi nagu "Täielik kontroll", "Lugemine" ja "Kirjutamine";
• Lubade muutmine- Võimaldab muuta selliseid failide või kaustade juurdepääsuõigusi nagu "Täielik kontroll", "Lugemine" ja "Kirjutamine";
• Omaniku vahetus- Võimaldab omandada faili või kausta omandiõigust;
• Sünkroonimine- Võimaldab erinevatel lõimedel oodata faile või kaustu ja sünkroonida neid teiste lõimedega, mis võivad neid hõivata. See luba kehtib ainult mitmelõimelises režiimis ja mitme protsessiga töötavatele programmidele;

!!!Kõik põhi- ja eriõigused on nii lubavad kui ka keelavad.

Kõik faili- ja kaustaõigused on jagatud kahte tüüpi: selgesõnalised ja päritud. Pärimismehhanism eeldab millegi automaatset ülekandmist vanemobjektilt lapsele. Failisüsteemis tähendab see, et iga fail või kaust võib pärida oma õigused oma ülemkaustalt. See on väga mugav mehhanism, mis välistab vajaduse määrata kõikidele vastloodud failidele ja kaustadele selgesõnalisi õigusi. Kujutage ette, et teil on mõnel kettal mitu tuhat faili ja kausta, kuidas saate neile kõik juurdepääsuõigused anda, istuda ja neid kõigile määrata? Ei. Siin toimib pärimine. Tegime ketta juure kausta, kaust sai automaatselt täpselt samad õigused kui ketta juur. Muutis vastloodud kausta õigusi. Seejärel loodi loodud kausta sees veel üks alamkaust. Selle vastloodud alamkausta õigused päritakse ülemkaustast jne. ja nii edasi.

Selgesõnaliste ja päritud õiguste rakendamise tulemuseks on konkreetse kausta või faili tegelikud õigused. Selles on palju lõkse. Näiteks on teil kaust, milles lubate kasutajal "Vasya" faile kustutada. Siis mäletate, et selles kaustas on üks väga oluline fail, mida Vasya ei tohi mingil juhul kustutada. Seadsite olulisele failile selgesõnalise keelu (spetsiaalne keeluõigus) "Kustuta"). Näib, et tegu on tehtud, fail on kustutamise eest selgelt kaitstud. Ja Vasya siseneb rahulikult kausta ja kustutab selle ülikaitstud faili. Miks? Kuna Vasyal on õigus emakaustast kustutada, mis antud juhul on prioriteetsed.

Püüdke mitte kasutada õiguste määramist otse failidele, määrake õigused kaustadele.

!!! Proovige õigusi määrata ainult rühmadele, see lihtsustab haldust oluliselt. Microsoft ei soovita konkreetsetele kasutajatele õiguste määramist. Ärge unustage, et grupp võib hõlmata mitte ainult kasutajaid, vaid ka teisi rühmi.

Näiteks. Kui arvuti kuulub domeeni, lisatakse domeeni kasutajate rühm (domeeni kasutajad) automaatselt selle kohalikku kasutajate gruppi ja domeeni administraatorite rühm (domeeniadministraatorid) lisatakse automaatselt kohalikku administraatorite gruppi ja vastavalt sellele määratakse mis tahes õiguste kausta kohalike kasutajate rühmale, määrate automaatselt õigused kõigile domeeni kasutajatele.

Ärge heitke meelt, kui kõik ülaltoodu pole kohe selge. Näited ja iseseisev töö parandavad olukorra kiiresti!

Asume üksikasjadesse.

Näitan kõiki näiteid Windows XP akende näitel. Windows 7 ja uuemates versioonides jäi olemus identseks, ainult paar akent oli rohkem.

Seega tuleb faili või kausta õiguste määramiseks või muutmiseks paremklõpsata Exploreris soovitud failil või kaustal ja valida menüükäsk "Omadused"

Peaksite nägema vahekaardiga akent "Ohutus"

Kui sellist järjehoidjat pole, tehke järgmist. Käivitage Explorer, seejärel avage menüü "Teenus"—"Kausta atribuudid..."

Avanevas aknas minge vahekaardile "Vaade" ja tühjendage suvand "Kasuta lihtsat failijagamist (soovitatav)"

See on kõik, nüüd on teil juurdepääs kõigile NTFS-failisüsteemi omadustele.

Tagasi järjehoidja juurde "Ohutus".

Avanevas aknas on meile saadaval palju teavet. Üleval on nimekiri "Rühmad ja kasutajad:", mis loetleb kõik kasutajad ja rühmad, kellel on sellele kaustale juurdepääsuõigused (nool 1). Alumine loend näitab valitud kasutaja/rühma õigusi (nool 2). Sel juhul on see SÜSTEEMI kasutaja. Selles lubade loendis on nähtavad põhiõigused. Pange tähele, et veerus "Lubama" linnukesed on tuhmunud ja neid ei saa muuta. See näitab, et need õigused on päritud ülemkaustast. Veelkord, antud juhul kõik SÜSTEEMI kasutaja õigused kaustas "Töötab" on täielikult päritud ülemkaustast ja SÜSTEEMI kasutajal on kõik õigused ( "Täielik juurdepääs")

Soovitud grupi või kasutaja loendis esiletõstmisel saame vaadata selle grupi või kasutaja põhiõigusi. Kasutaja esiletõstmine "Külaline kasutaja ( [e-postiga kaitstud])» näete, et tal on kõik selgesõnalised õigused

Ja siin on grupp "Kasutajad (KAV-VM1\Kasutajad" on kombineeritud õigused, mõned neist on päritud ülemkaustast (hallid ruudud vastas "Lugemine ja täitmine", "Kausta sisu loend", "Lugemine") ja osa on selgesõnaliselt kindlaks määratud – see on õige "Muuda" Ja "Rekord"

!!!Tähelepanu. Pöörake tähelepanu kasutajate ja rühmade nimedele. Sulud näitavad grupi või kasutaja omandiõigust. Grupid ja kasutajad võivad olla kohalikud, s.t. loodud otse selles arvutis ja võib olla domeen. Sel juhul rühm "Administraatorid" kohalik, kuna sulgudes olev kirje näitab KAV-VM1 arvuti nime ja pärast kaldkriipsu tuleb juba rühma enda nimi. Vastupidi, kasutaja "Külaline kasutaja" on domeeni btw.by kasutaja, seda näitab täisnime kirje [e-postiga kaitstud]

Sageli saate õiguste vaatamisel või muutmisel piirduda põhiõigustega aknaga, kuid mõnikord sellest ei piisa. Seejärel saate avada akna, mis muudab eriõigusi, omanikku või vaadata kehtivaid õigusi. Kuidas seda teha? Klõpsake nuppu "Lisaks". See aken avaneb

Selles aknas tabelis "Lubade üksused" loetleb kõik kasutajad, kellel on selle kausta õigused. Sarnaselt põhiõigustega valime soovitud kasutaja või rühma ja vajutame nuppu "Muuda". Avaneb aken, mis näitab kõiki valitud kasutaja või rühma eriõigusi

Sarnaselt põhiõigustega kuvatakse ülemkaustast päritud eriõigused tuhmunud halli värviga ja neid ei saa muuta.

Nagu olete märganud, on mõne kasutaja või rühma jaoks spetsiaalsete lubade aknas mitu rida.


Selle põhjuseks on asjaolu, et ühe kasutaja või rühma jaoks võivad olla erinevat tüüpi õigused: selgesõnalised ja päritud, lubavad või keelavad õigused, erinevad pärimise tüübi poolest. Sel juhul päritakse kasutajate rühma lugemisõigused ülemkaustast ja muutmisõigused lisatakse selgesõnaliselt.

Näited õiguste loovutamisest.

!!! Kõik näited lähevad järjest keerukamaks. Lugege ja käsitlege neid samas järjekorras, nagu need tekstis on. Sarnased toimingud järgmistes näidetes jäetakse teksti mahu vähendamiseks ära. 🙂

Näide 1: kirjutuskaitstud juurdepääsu andmine kaustale konkreetsele kohalikule turberühmale.

Kõigepealt loome kohaliku grupi, kuhu lisame kogu vajalike kasutajate loendi. See on võimalik ka ilma grupita, kuid siis tuleb iga kasutaja jaoks õigused eraldi seadistada ja iga kord, kui on vaja anda õigused uuele inimesele, tuleb kõik toimingud uuesti teha. Ja kui õigused antakse kohalikule grupile, siis uue isiku loomiseks on vaja ainult ühte toimingut - kaasata see inimene kohalikku gruppi. Kohaliku turvagrupi loomise kohta lugege artiklit "Kohalike turvarühmade seadistamine".

Niisiis. Oleme loonud kohaliku turvarühma nimega "Kolleegidele lugemiseks",


millele on lisatud kõik vajalikud kasutajad.

Nüüd määran kausta õigused. Selles näites annan loodud rühmale õigused "Kolleegid lugemiseks" kausta kohta "Foto".

Paremklõpsake kaustal "FOTO" ja valige menüüelement "Omadused", minge järjehoidja juurde "Ohutus".

Avatud järjehoidjas "Ohutus" kuvab praeguse kausta õigused "FOTO". Valides loendist grupid ja kasutajad, näete, et selle kausta õigused on päritud ülemkaustalt (veerus hallid linnukesed "Lubama"). Sellises olukorras ei soovi ma, et kellelgi peale vastloodud grupi oleks kaustale juurdepääs "FOTO".

Seetõttu pean eemaldama õiguste pärandi ja eemaldama loendist mittevajalikud kasutajad ja rühmad. Vajutan nuppu "Lisaks". Avanenud aknas,


Tühjendan märkeruudu "Pärin ülemobjektilt alamobjektidele kehtivad õigused, lisades need selles aknas selgelt määratud õigustele". . See avab akna, kus saan valida, mida praeguste päritud õigustega teha.

Enamikul juhtudel soovitan teil klõpsata siin "Kopeeri", sest kui me valime "Kustuta", siis muutub õiguste nimekiri tühjaks ja tegelikult saad õigused endalt ära võtta. Jah, ärge imestage, seda on väga lihtne teha. Ja kui te pole oma arvutis administraator või rühmakasutaja "Arhiivioperaatorid", siis on teil võimatu õigusi taastada. Olukord on nagu uks automaatsulguriga, mille sulged, jättes võtmed sisse. Seetõttu on parem alati nuppu vajutada "Kopeeri" ja seejärel kustutage see, mida te ei vaja.

Pärast seda, kui ma vajutasin "Kopeeri", Naasen uuesti eelmisesse aknasse, ainult siis, kui märkeruut on märkimata.

ma vajutan "OKEI" ja naaske põhiõiguste aknasse. Kõik õigused on muutunud redigeerimiseks kättesaadavaks. Pean jätma kohalikule grupile load "Administraatorid" ja kasutaja SÜSTEEM ja kustuta ülejäänud. Valin ükshaaval välja mittevajalikud kasutajad ja rühmad ning vajutan nuppu "Kustuta".

Selle tulemusel saan selle pildi.

Nüüd pean lihtsalt rühma lisama "Kolleegid lugemiseks" ja määrake sellele grupile lugemisõigused.

Vajutan nuppu "Lisama", ja standardses valikuaknas valin kohaliku rühma "Kolleegid lugemiseks". Artiklis kirjeldatakse üksikasjalikult, kuidas valikuaknaga töötada.

Kõikide toimingute tulemusena lisasin põhiõiguste loendisse grupi "Kolleegid lugemiseks", samas kui selle grupi õigused määrati automaatselt "Lugemine ja täitmine", "Kausta sisu loend", "Lugemine".

Kõik, mida pead tegema, on vajutada nuppu "OKEI" ja õigused on määratud. Nüüd iga kasutaja, kes kuulub kohalikku turvagruppi "Kolleegid lugemiseks", saab lugeda kogu kausta sisu "FOTO".

Näide 2: andke kasutajatele isiklik juurdepääs kausta alamkaustadele.

Selline olukord on ka praktikas tavaline. Näiteks on teil kaust uute skannitud dokumentide jaoks. Selles kaustas on igal kasutajal oma eraldi alamkaust. Pärast skannimist võtab kasutaja dokumendi selle alamkaustast. Ülesanne on määrata õigused nii, et iga kasutaja näeks ainult enda alamkausta sisu ega pääseks ligi kolleegi alamkaustale.

Selle näite puhul sõnastan ülesande veidi ümber. Oletame, et meil on jagatud kaust "FOTO", millel on iga kasutaja jaoks alamkaust. Vajalik on seada õigused nii, et kasutajal oleksid kõik õigused oma alamkaustas ja teiste kasutajate alamkaustad oleksid talle kättesaamatud.

Selle seadistuse jaoks kordan täielikult kõiki esimese näite samme. Kordamise tulemusena saan kogu grupi õigused "Kolleegid lugemiseks" et lugeda kõikidesse alamkaustadesse. Aga minu ülesanne on teha kasutajale nähtavaks ainult "minu" alamkaust. Seetõttu klõpsan põhiõiguste aknas nuppu "Lisaks"

ja minge eriõiguste aknasse, kus ma valin rühma "Kolleegid lugemiseks" ja vajutan nuppu "Muuda"

Avanevas aknas muudan väljal oleva väärtuse asemel pärimisreegleid "Rakenda:" ma valin väärtuse "Ainult selle kausta jaoks".

See on selle näite kõige olulisem punkt. Tähendus "Ainult selle kausta jaoks" põhjustab grupile lugemisõigused "Kolleegid lugemiseks" rakendatakse ainult kausta juurele "FOTO", kuid mitte alamkaustades. Seega pääseb iga kasutaja oma kausta, kuid ei saa vaadata järgmisse kausta, tal pole õigust alamkaustu vaadata. Kui te seda õigust grupile üldse ei anna, ei pääse kasutajad üldse oma alamkaustadesse. Failisüsteem ei lase neid isegi kaustadesse "FOTO".

Selle tulemusena pääsevad kasutajad kausta juurde "FOTO" kuid nad ei saa minna kaugemale alamkaustadesse!

Eriõiguste aknas klõpsake nuppu "OKEI" ja väljuge eelmisest aknast, nüüd veerus "Rakendama" rühma ees "Kolleegid lugemiseks" väärtust väärt "Ainult selle kausta jaoks".

Klõpsake kõigil akendel "OKEI" ja me lahkume.

Kõik. Nüüd jääb üle iga alamkausta jaoks isiklikud õigused seadistada. Seda tuleb teha iga alamkausta puhul, õigused on iga kasutaja jaoks isiklikud.

Olete esimeses näites kõik vajalikud toimingud juba teinud, kordame tehtut 🙂

Alamkaustas "Kasutaja1" paremklõpsake, valige menüüelement "Omadused", minge järjehoidja juurde "Ohutus". Vajutan nuppu "Lisama"

ja standardses valikuaknas valin domeeni kasutaja nimega "Kasutaja1".

Jääb üle märkida loaõiguse kast "Muuda". Samal ajal ka loaõiguse märkeruut "Rekord" installitakse automaatselt.

Klõpsake "OKEI". Me lahkume. Kõikide alamkaustade puhul tuleb korrata samu samme.

Näide 3. Kasutajale isikliku juurdepääsu võimaldamine tema alamkaustale kirjutamiseks, keelates samal ajal muutmise või kustutamise.

Ma tean, et see kõlab raskelt, aga ma püüan selgitada. Ma nimetan sellist juurdepääsu riiviks. Igapäevaelus on meil sarnane olukord tavalise postkastiga, kuhu viskame paberkirju. Need. Kirja võib kasti visata, aga karbist välja võtta ei saa. Arvutitööstuses võib see olla kasulik olukorras, kus keegi kirjutab teile aruande kausta. Need. faili on kirjutanud kasutaja, kuid siis ei saa see kasutaja selle failiga enam midagi teha. Seega võite olla kindel, et tegija ei saa enam esitatud aruannet muuta ega kustutada.

Nagu eelmises näites, kordame kõiki samme, välja arvatud see, et me ei anna kasutajale kohe oma kausta täielikke õigusi, esialgu anname põhiõigustes ainult lugemisõiguse ja vajutame nuppu "Lisaks"

Valige avanevas aknas "Kasutaja1" ja vajutage nuppu "Muuda"

Avanevas aknas näeme standardseid lugemisõigusi

Kasutajale failide loomise õiguse andmiseks seadke luba paremale "Loo faile / kirjuta andmed", aga paremal "Kustuta alamkaustad ja failid" Ja "Kustuta" keelu panema. Jätke pärand vaikimisi "Selle kausta, selle alamkaustade ja failide jaoks".

Pärast nupu vajutamist "OKEI" ja naastes eelmisesse aknasse, näete olulisi muudatusi. Ühe sissekande asemel "Kasutaja1" ilmusid kaks.

Selle põhjuseks on asjaolu, et seatud on kahte tüüpi õigusi, üks on keelav, need lähevad nimekirjas esikohale, teine ​​on lubav, nad on loendis teisel kohal. Kuna eriõigused on ebastandardsed, siis veerus "luba" väärtust väärt "Eriline". Kui vajutate nuppu "OKEI" ilmub aken, milles aknad hoiatavad keelamisõiguste olemasolu ja kõrgema prioriteedi eest. Tõlkes tähendab see sama olukorda isesulguva uksega, mille võtmed on sees. Sarnast olukorda kirjeldasin teises näites.

Kõik. Õigused on määratud. Nüüd "Kasutaja1" saab kirjutada mis tahes faili selle kausta, seda avada, kuid ei saa seda muuta ega kustutada.

Aga kuidas on lood täieliku analoogiaga päris postkastiga?

Selleks, et kasutaja ei saaks salvestatud faili avada või kopeerida, peate tegema järgmist. Jällegi avame, lubades erilubasid "Kasutaja1", ja põllul "Rakenda:" muutke väärtuseks "Ainult selle kausta jaoks"

Kasutajal ei ole õigust faili lugeda ega kopeerida.

Kõik. Nüüd on analoogia füüsilise postkastiga peaaegu täielik. Ta näeb ainult failide nimesid, suurust ja atribuute, kuid ta ei näe faili ennast.

Vaadake kehtivaid õigusi.

Tahan kohe öelda, et võimalus vaadata kausta või faili kehtivaid õigusi on täielik väljamõeldis. Minu arvates peaksid sellised vahendid andma garanteeritud teavet. Antud juhul ei ole. Microsoft tunnistab ise, et see tööriist ei võta arvesse paljusid tegureid, mis mõjutavad sellest tulenevaid õigusi, näiteks sisselogimistingimusi. Seetõttu tähendab sellise tööriista kasutamine ainult enda eksitamist asjaõiguste osas.

Artikli alguses kirjeldatud juhtum koos faili kaustast kustutamise keeluga on antud juhul väga kõnekas. Kui simuleerite sarnast olukorda ja vaatate kustutamise eest kaitstud faili õigusi, näete, et faili kustutamisõigused on keelatud. Selle faili kustutamine pole aga keeruline. Miks Microsoft seda tegi, ma ei tea.

Kui otsustate siiski vaadata kehtivaid õigusi, peate selleks klõpsama põhiõiguste aknas nuppu "Lisaks" ja minge eriõiguste aknas vahekaardile "Kehtivad load".

Seejärel peate nuppu vajutama "Vali" ja standardvaliku aknas valige soovitud kasutaja või rühm.

Pärast valimist näete "ligikaudseid" kehtivaid õigusi.

Kokkuvõtteks tahan öelda, et NTFS-failisüsteemi õiguste teema on väga ulatuslik, ülaltoodud näited on vaid väga väike osa sellest, mida saab teha. Seetõttu, kui teil on küsimusi, küsige neid selle artikli kommentaarides. Püüan neile vastata.

Venemaa avarustes ei ole paljudel ettevõtetel ja väikeettevõtetel oma alalist süsteemiadministraatorit või kes tuleb aeg-ajalt. Ettevõte kasvab ja varem või hiljem ühest jagatud kaustast võrgus, kus igaüks saab teha, mida tahab, ei piisa. Nõuab juurdepääsu kontrolli erinevatele kasutajatele või kasutajarühmadele MS Windowsi platvormil. Linuxoidid ja kogenud administraatorid, palun ärge lugege artiklit.

Parim variant on palgata kogenud administraator ja mõelda serveri ostmisele. Kogenud administraator kohapeal otsustab ise: kas tõsta MS Windows Server Active Directoryst või kasutada midagi Linuxi maailmast.

Kuid see artikkel on kirjutatud neile, kes on otsustanud esialgu omaette kannatada, kasutamata kaasaegseid tarkvaralahendusi. Püüan vähemalt selgitada, kuidas õiguste diferentseerimist õigesti rakendada.

Enne kui alustame, tahaksin jagada paar punkti:

• Iga operatsioonisüsteem "tunneb ära" ja "eristab" tegelikke inimesi nende kontode kaudu. See peaks olema selline: üks inimene = üks konto.
• Artiklis kirjeldatakse olukorda, et ettevõttel puudub oma administraator ja näiteks MS Windows Server on ostmata. Ükskõik milline tavaline MS Windows teenindab võrgu kaudu korraga kuni 10 inimest WinXP ja 20 inimese Win7 jaoks. Seda teeb Microsoft meelega, et Windowsi kliendid ei jääks Windowsi serverite teele ega rikuks Microsofti äri. Pidage meeles numbrit 10-20 ja kui teie ettevõttes on rohkem kui 10-20 inimest, peate mõtlema MS Windows Serveri ostmisele või paluma kellelgi seadistada teile tasuta Linux Samba server, millel selliseid piiranguid pole.
• Kuna teil pole pädevat administraatorit, siis teie tavaline arvuti kliendiga MS Windows teeskleb failiserverit. Jagatud failidele juurdepääsu saamiseks olete sunnitud sellel olevaid kasutajakontosid teistest arvutitest dubleerima. Ehk kui PC1-s on olya kontoga raamatupidaja Olya, siis selles "serveris" (edaspidi WinServer) tuleb luua olya konto sama parooliga nagu PC1-l.
• Inimesed tulevad ja lähevad. Personali voolavus on igal pool ja kui sina, see vaene inimene, kes ei ole admin ja on määratud (sunnitud) ettevõtte IT-teemasid toetama, siis siin on sulle üks nõuanne. Tehke kontosid, mis pole üksikisikuga seotud. Loo juhtidele – juht1, juht2. Raamatupidajatele - buh1, buh2. Või midagi sarnast. Kas inimene on lahkunud? Teine ei solvu, kui kasutab manager1. Nõus, see on parem kui olya konto kasutamine Semyoni jaoks, kuna see on katki või pole kedagi, kes seda uuesti teeks ja kõik on toiminud 100 aastat.
• Unustage sellised sõnad nagu: "tehke kaustale parool." Need ajad, mil ressurssidele parool peale suruti, on ammu möödas. Erinevate ressurssidega töötamise filosoofia on muutunud. Nüüd logib kasutaja oma süsteemi sisse konto (identifitseerimise) abil, kinnitades end oma parooliga (autentimine) ja talle võimaldatakse juurdepääs kõikidele lubatud ressurssidele. Ühe korra sisse logitud ja kõigele juurde pääseda – seda tuleb meeles pidada.
• Järgmised toimingud on soovitav teha sisseehitatud administraatori kontolt või süsteemi esimeselt kontolt, mis vaikimisi on lisatud administraatorite rühma.

Kokkamine.

Eemaldage Exploreris lihtsustatud juurdepääs vajalikele asjadele.

• MS Windows XP. Menüü Tööriistad – Kausta valikud – Vaade. tühjendage märge Kasutage jagamisviisardit
• MS Windows 7. Vajutage Alt. Menüü Tööriistad – Kausta valikud – Vaade. tühjendage märge Kasutage lihtsat failijagamist.

Looge oma WinServeri arvutis kaust, mis salvestab teie vara tellimusfailide, lepingute jms kujul. Minu jaoks on see näiteks C:\access\. Kaust tuleb luua NTFS-i partitsioonile.

Juurdepääs võrgule.

Selles etapis on vaja võrgu kaudu kättesaadavaks teha(jaga – jaga) kaust, et teised kasutajad saaksid sellega oma kohaliku võrgu arvutites töötada.

Ja mis kõige tähtsam! Jagage kausta kõigi täieliku loaga! Jah Jah! Sa kuulsid õigesti. Aga kuidas on lood juurdepääsukontrolliga?

Lubame kõigil luua kaustaga ühenduse kohaliku võrgu kaudu, KUID me piirame juurdepääsu turvalisuse abil, mis on salvestatud NTFS-failisüsteemi, kus meie kataloog asub.

• MS Windows XP. Paremklõpsake soovitud kaustal (C:\dostup\) ja seal Atribuudid. Juurdepääsu vahekaart – Täielik juurdepääs.
• MS Windows 7. Paremklõpsake soovitud kaustal (C:\dostup\) ja seal Atribuudid. Juurdepääsu vahekaart – täpsemad seaded. Pane linnuke Jaga seda kausta. Täitke märkus. Vajutame Luba. Rühmal Kõik peavad olema võrguõigus Täielik juurdepääs.

Kasutajad ja turvarühmad.

Peate looma vajalikud kasutajakontod. Tuletame meelde, et kui teie paljudes personaalarvutites kasutatakse mitut kasutajakontot, tuleb need kõik luua teie "serveris" ja samade paroolidega. Seda saab vältida ainult siis, kui teil on Active Directorys pädev administraator ja arvutid. Ei? Seejärel looge hoolikalt kontod.

• MS Windows XP.
  Kohalikud kasutajad ja rühmad – kasutajad. Menüütoiming – uus kasutaja.
• MS Windows 7. Juhtpaneel – Haldustööriistad – Arvutihaldus.
  Kohalikud kasutajad ja rühmad – kasutajad. Menüütoiming – kasutaja loomine.

Nüüd on kord kõige tähtsamal – rühmadel! Grupid võimaldavad kaasata kasutajakontosid ja lihtsustada manipuleerimist õiguste väljastamise ja juurdepääsu kontrolliga.

Veidi hiljem tuleb kataloogidele ja failidele "õiguste kehtestamine" lahti, kuid praegu on peaasi ühest mõttest aru saada. Õigused kaustadele või failidele antakse rühmadele, mida saab piltlikult võrrelda konteineritega. Ja rühmad hakkavad juba "üle andma" õigusi nendes sisalduvatele kontodele. See tähendab, et peate mõtlema rühmade, mitte üksikkontode tasemel.

• MS Windows XP. Juhtpaneel – Haldustööriistad – Arvutihaldus.
  
• MS Windows 7. Juhtpaneel – Haldustööriistad – Arvutihaldus.
  Kohalikud kasutajad ja rühmad – rühmad. Menüü toiming – loo grupp.

Peate kaasama õiged kontod õigetesse rühmadesse. Näiteks grupis Raamatupidajad paremklõpsake ja seal Lisa gruppi või Properties ja seal nupp Lisa. Põllul Sisestage valitavate objektide nimed sisestage vajaliku konto nimi ja klõpsake nuppu Kontrollige nimesid. Kui kõik on õige, muutub konto vormiks SERVERI NIMI\konto. Ülaltoodud joonisel on buh3 konto üle kantud teenusesse WINSERVER\buh3.

Seega luuakse vajalikud rühmad ja kasutajakontod kaasatakse vajalikesse rühmadesse. Kuid enne kaustadele ja failidele rühmade abil õiguste määramise etappi tahaksin arutada paari punkti.

Kas tasub grupiga vaeva näha, kui sellel on üks konto? Ma arvan, et see on seda väärt! Grupp annab paindlikkuse ja manööverdusvõime. Homme pead sa andma teisele isikule B samad õigused nagu teatud isikule tema kontoga A. Lisad lihtsalt konto B gruppi, kus A on juba olemas ja kõik!

Palju lihtsam, kui õigused antakse rühmadele, mitte üksikisikutele. Peate lihtsalt rühmadega manipuleerima ja neisse lisama vajalikud kontod.

Juurdepääsuõigused.

Järgmised toimingud on soovitav teha sisseehitatud administraatori kontolt või süsteemi esimeselt kontolt, mis vaikimisi on lisatud administraatorite rühma.

Nii jõudsimegi faasi, kus erinevate gruppide juurdepääsuõiguste piiritlemise võlu toimub otse ja nende kaudu kasutajateni (täpsemalt nende kontodeni).

Seega on meil aadressil C:\dostup\ kataloog, mille oleme juba võrgu kaudu kõigile töötajatele kättesaadavaks teinud. Näiteks loome kataloogi C:\dostup\ kaustad Contracts, Orders, Accounting for MC. Oletame, et on vaja teha ülesanne:

• Lepingu kaust peab olema raamatupidajate jaoks kirjutuskaitstud. Lugege ja kirjutage juhtide rühmale.
• Raamatupidamiskeskuse kaust peab olema raamatupidajatele lugemiseks ja kirjutamiseks kättesaadav. Haldurirühmal pole juurdepääsu.
• kaust Tellimused peaks olema raamatupidajate ja juhtide jaoks kirjutuskaitstud.

Paremklõpsake kaustas Leping ja seal vahekaarti Atribuudid - Turvalisus. Näeme, et mõnel rühmal ja kasutajal on sellele juba juurdepääs. Need õigused olid päritud vanemalt dostup\, mis omakorda pärandati selle vanemalt C:

Me katkestame selle õiguste pärimise ja loovutame oma soovinimekirja õigused.

Klõpsake nuppu Täpsemalt – vahekaarti Õigused – Muuda õigusi.

Esiteks katkestame õiguste pärimise vanemalt. Tühjendage märge Lisage ülemobjektidelt päritud õigused. Meid hoiatatakse, et sellele objektile (antud juhul Lepingu kaustale) vanemalt saadud load ei kehti. Valik: tühistada või eemaldada või lisada. Klõpsake nuppu Lisa ja vanema õigused jäävad meile pärandiks, kuid vanema õigused meile enam ei kehti. Teisisõnu, kui tulevikus muudetakse vanema juurdepääsuõigusi (dostup kausta), ei mõjuta see Lepingu alamkausta. Märkus põllul Päritud alates kulud ei ole päritud. See on seos vanem - laps rebenenud.

Nüüd eemaldame hoolikalt lisaõigused, lahkudes Täielik juurdepääs administraatoritele ja süsteemile. Võtame igaüks kordamööda Kinnitatud ja lihtsalt Kasutajad ja kustutage see nupuga Kustuta.

Lisamisnupp selles aknas Täiendavad turvavalikud on mõeldud kogenud administraatoritele, kes saavad määrata spetsiaalseid eriõigusi. Artikkel on suunatud kogenud kasutaja teadmistele.

Teeme linnukese kasti Asendage kõik alamobjekti õigused sellelt objektilt päritud õigustega ja klõpsake nuppu OK. Lihtsa atribuudivaatesse naasmiseks edasi-tagasi OK.

See aken muudab soovitud saavutamise lihtsamaks. Nupp Redigeerimine avab akna "Grupi õigused".

Klõpsake nuppu Lisa. Uues aknas kirjutage Raamatupidajad ja klõpsake "Kontrolli nimesid" - OK. Vaikimisi antakse "lugemisõigus" lihtsustatud kujul. Märkeruudud veerus Luba seatakse automaatselt valikutele "Loe ja käivita", "Kausta sisu loend", "Loe". Oleme sellega rahul ja klõpsake nuppu OK.

Nüüd peame meie volituste kohaselt andma haldurite rühmale lugemis- ja kirjutamisõigused. Kui oleme Properties aknas, siis jälle Muuda - Lisa - drive in Managers - Kontrolli nimesid. Lisage veergu Luba märkeruudud Redigeerimine ja kirjutamine.

Nüüd peame kõike kontrollima!

Järgige mõtet. Oleme tellinud, et lepingu kaust ei päri oma dostup-vanemalt. Tellitud alamkaustad ja failid Lepingu kaustas, et pärida sealt õigused.

Kaustale Lepingud oleme määranud järgmised juurdepääsuõigused: raamatupidajate grupp tohib lugeda ainult faile ja avada sees olevaid kaustu ning juhatajate rühm luua, muuta faile ja luua kaustu.

Seega, kui dokumendifail luuakse lepingu kataloogis, on sellel õigused oma emalt. Oma kontodega kasutajad pääsevad sellistele failidele ja kataloogidele juurde oma rühmade kaudu.

Minge kausta Lepingud ja looge testfail contract1.txt

Paremklõpsake sellel ja seal vahekaart Properties - Security - Advanced - Valid Permissions.

Klõpsake nuppu Vali ja kirjutage suvalise raamatupidaja konto, näiteks buh1. Näeme selgelt, et buh1-le on antud load tema rühmalt Raamatupidajad, kes on lugenud õigusi põhikaustale Lepingud, mis "levib" oma õigusi oma alamobjektidele.

Proovime manager2 ja näeme selgelt, et haldur saab lugemis- ja kirjutamisõiguse, kuna see kuulub gruppi Haldurid, mis annab sellele kaustale sellised õigused.

Täpselt samamoodi, analoogselt Lepingu kaustaga, määratakse juurdepääsuõigused ka teistele kaustadele, järgides teie pädevust.

Tulemus.

• Kasutage NTFS-i partitsioone.
• Kui piirate juurdepääsu kaustadele (ja failidele), siis manipuleerige rühmadega.
• Looge iga kasutaja jaoks konto. 1 inimene = 1 konto.
• Kontode lisamine rühmadesse. Konto võib olla korraga erinevate gruppide liige. Kui konto on rohkem kui ühes grupis ja mis tahes grupp lubab midagi, siis see konto on lubatud.
• Veerg Keela (õiguste keelamine) on Lubamise ees ülimuslik. Kui konto on mitmes grupis ja üks grupp keelab midagi ja teine ​​lubab, siis konto blokeeritakse.
• Kui soovite selle grupi juurdepääsu tühistada, eemaldage grupist konto.
• Mõelge adminni palkamisele ja ärge solvake teda rahaga.

Küsige kommentaarides küsimusi ja küsige, parandage.

Videomaterjalis on näha erijuhtumit, mil tuleb lihtsalt keelata juurdepääs kaustale, kasutades ära asjaolu, et keelavad reeglid on reeglite lubamise suhtes ülimuslikud.

See artikkel jätkab ideoloogiliselt artiklit. Nagu selles öeldi, peate pärast kasutajate ja (või) rühmade valimist määrama neile juurdepääsu parameetrid. Seda saate teha järgmises tabelis kirjeldatud NTFS-failisüsteemi õiguste abil.

Failile juurdepääsu õigused

• Lugemine. Faili lugemine on lubatud, aga ka selle seadete (nt omaniku nimi, õigused ja lisaatribuudid) vaatamine.
• Salvestus. Saate faili üle kirjutada, muuta selle sätteid, vaadata selle omaniku nime ja õigusi.
• Lugemine ja teostamine. Lugemisõigus ja käivitatava rakenduse käitamise õigus.
• Muuda. Võimaldab muuta ja kustutada faili, samuti kõike, mida pakuvad lugemis- ja täitmis- ning kirjutamisõigused.
• Täielik juurdepääs.
• Täielik juurdepääs failile on lubatud. See tähendab, et kõik ülaltoodud õigustega antud toimingud on lubatud. Samuti võite võtta faili omandiõiguse ja muuta selle õigusi.

Kausta õigused

• Lugemine. Teil on lubatud vaadata alamkaustu ja faile ning nende atribuute, nagu omaniku nimi, õigused ja lugemisatribuudid, nagu kirjutuskaitstud, peidetud, arhiiv ja süsteem.
• Salvestus. Saate luua ja paigutada kausta uusi faile ja alamkaustu, samuti muuta kausta sätteid ja vaadata selle atribuute, nagu omaniku nimi ja juurdepääsuõigused.
• Kausta sisu loend. Saate vaadata kaustas olevate failide ja alamkaustade nimesid.
• Lugemine ja teostamine. Võimaldab juurdepääsu alamkaustades olevatele failidele isegi siis, kui kaust ise pole juurdepääsetav. Lisaks on lubatud samad toimingud kui kaustade sisu lugemise ja loendi õigused.
• Muuda. Kõik lugemis-, lugemis- ja täitmisõigustega pakutavad toimingud on lubatud ning kausta saab kustutada.
• Täielik juurdepääs. Võimaldab täielikku juurdepääsu kaustale. Teisisõnu, kõik toimingud, mis on ette nähtud kõigi ülaltoodud lubadega, on lubatud. Lisaks võite võtta kausta omandiõiguse ja muuta selle õigusi.
• Eriload. Täiendavate õiguste komplekt, mis erinevad standardsetest õigustest.

Faili loojat peetakse alati selle omanikuks, kellel on õigused Täielik juurdepääs, isegi kui omaniku konto pole vahekaardil loetletud Failide turvalisus. Lisaks ülaltoodud failiõigustele saate valida veel kahte tüüpi õigusi.

• Omaniku vahetus. Seda tüüpi luba võimaldab kasutajal faili omandiõigust omandada. See loatüüp on rühmale vaikimisi määratud Administraatorid.
• Lubade muutmine. Kasutaja saab võimaluse muuta failile juurdepääsu omavate kasutajate ja rühmade loendit, samuti failidele juurdepääsu lubade tüüpe.

säutsuma

Failide ja kaustade avamisel, kustutamisel või muul viisil manipuleerimisel võib tekkida failidele juurdepääsu tõrge. Räägin sellest, kuidas sellega toime tulla ja miks see juhtub.

Kuidas saada täielikku juurdepääsu failidele ja kaustadele

Esiteks juhised kaustadele ja failidele täieliku juurdepääsu saamiseks. Järgmises peatükis on seletus uudishimulikele.

Avage kaust, kus probleemne fail või kaust asub. Nende sisule täieliku juurdepääsu saamiseks peate konfigureerima juurdepääsu failidele.

1. Paremklõpsake juurdepääsuta lukustatud failil (või kaustal) - Omadused - valige vahekaart Ohutus:

2. Vajutame nuppu Valikuline – valige vahekaart Omanik:

3. Vajutame nuppu Muuda ja valige oma kasutajanimi (minu puhul see on Dima, teil on teine), pange ka linnuke sisse Asendage alamkonteinerite ja objektide omanik:

4. Kui ilmub aken tekstiga "Teil pole luba kausta sisu lugeda. Kas soovite selle kausta õigusi muuta, et teil oleks täielikud juurdepääsuõigused?", vastame Jah:

5. Pärast kausta omaniku muutmist ilmub aken tekstiga „Olete just võtnud selle üksuse omanikuks. Selle objekti õiguste nägemiseks või muutmiseks peate atribuutide akna sulgema ja uuesti avama. Klõpsake Okei, seejärel vajutage uuesti Okei(aknas Täiendavad turvavalikud).

6. Aknas Omadused - Ohutus vajutage uuesti Lisaks, alles nüüd vaatame avaneva akna esimest vahekaarti - load. Peab nuppu vajutama Muuda õigusi:

7. Klõpsake nuppu Lisama:

(Kui töötate atribuutidega kaustad, faili asemel märkige ruut "Asenda kõik alamobjekti õigused sellelt objektilt päritud õigustega.")

8. Avanevas aknas "Select: Users or Groups" peate sisestama oma kasutaja nime (seda näete menüüs "Start" - nimi on ülemisel real), vajutage nuppu Kontrollige nimesid, siis Okei:

Kui teil on piiranguteta avamiseks vaja kausta (või faili). absoluutselt kõik kasutajad, st. mitte ainult teie, siis klõpsake uuesti Lisama ja sisesta nimi " Kõik” ilma jutumärkideta (Windowsi ingliskeelses versioonis „Kõik”), seejärel klõpsake Kontrollige nimesid Ja Okei.

9. Vahekaardil load omakorda topeltklõpsake kasutajanimedega ridadel ja märkige ruut "Täielik juurdepääs":

See märgib automaatselt allolevad ruudud.

10. Seejärel vajutage Okei, reageerige järgmises aknas hoiatusele Jah, jälle Okei kõigi akende sulgemiseks.

Valmis! Saadud täielik juurdepääs failidele ja kaustadele! Saate neid turvaliselt avada, muuta ja nendega muid toiminguid teha.

Järeldus: peate tegema kaks sammu: saama faili või kausta "omanikuks" (lk 3), seejärel määrama endale juurdepääsuõigused (lk 6). Paljud juhised failidele ja kaustadele täieliku juurdepääsu saamiseks mainivad ainult esimest sammu, unustades teise. See pole täiesti õige, kuna faili / kausta turvaseaded võivad olla erinevad, peate need normaalseks muutma, mitte lihtsalt saama "omanikuks".

Miks vajavad failid ja kaustad lubasid?

Failidele ja kaustadele juurdepääsu eristamise mehhanism on vajalik mitmel põhjusel. Näiteks:

1. Erinevate kasutajate teabele juurdepääsu piiramine.

Kui samas arvutis või ühises võrgus töötab mitu (rohkem kui üks) kasutajat, on loogiline piirata juurdepääsu teabele - ühel kasutajal on juurdepääs kogu teabele (enamasti on need administraatorid), teistel ainult oma failid ja kaustad (tavakasutajad).

Näiteks saab kodus piirata ühe kasutaja õigusi nii, et kaitsta olulisi faile ja kaustu kustutamise eest (et laps ei saaks endale teadmata olulisi dokumente kustutada), teiselt (vanemaprofiililt) aga mida iganes sa soovid.

Esimeses peatükis näitasin, kuidas lubama juurdepääs teatud kasutajatele. Samamoodi on see võimalik piirata juurdepääs - sammud on samad, ainult lõigus 9 peate panema muud märkeruudud.

2. Operatsioonisüsteemi turvalisus.

Windows XP-s on kõik üsna primitiivselt korraldatud – administraatoriõigustega kasutajad saavad kõvakettal mis tahes kaustu ja faile muuta (ja kustutada), ka süsteemi omasid, s.t. kuulub Windowsile. Tegelikult võiks kõvaketta sisuga hakkama saada iga administraatori kasutajaprofiilis töötav programm midagi. Näiteks faili boot.ini kustutamine lõpetab Windowsi laadimise.

Piiratud kasutaja õiguste all, kus tänu turvaseadetele ei olnud võimalik olulisi süsteemifaile kustutada, istusid vähesed, eelistades administraatori kontot. Seega loob administraatoriõigustega konto Windows XP-s viirustele kõige soodsamad tingimused.

Windows Vista, Windows 7 ja Windows 8 puhul töötab "User Account Control" (lühidalt UAC): administraatori kontol töötades töötavad kasutaja käivitatud programmid piiratudõigusi. See tähendab, et kustutage või muutke programmi süsteemifaile ei saa. Programmid saavad täielikuma juurdepääsu, taotledes seda kasutajalt UAC-akna kaudu, mida ma juba mainisin:

Kui failiõigused on õigesti seadistatud ja UAC lubatud, siis ei saa Vista/7/8 administraatori kontol jooksvad viirused ilma arvuti taga istuja loata süsteemi tõsiselt kahjustada.

UAC kasutu juhtudel:

1. Kui kasutaja istub arutult arvuti taga ja vajutab nuppe "Jah" ja "OK".

2. Kui käivitate programme "administraatorina" (paremklõps programmi otseteel - Käivita administraatorina).

3. UAC on keelatud.

4. Kõvakettal olevatele süsteemifailidele ja kaustadele on lubatud täielik juurdepääs kõigile kasutajatele.

Programmid, mis töötavad Windows Vista/7/8 piiratud kasutajakonto all (tüüp "Tavaline juurdepääs") ei saa avada UAC akent ja töötada administraatori õigustega, mis on üsna loogiline.

Kordan veel kord: kui oma õigusi pole võimalik administraatoriks tõsta, ei saa te kahjustada juurdepääsuõiguste piiramisega kaitstud operatsioonisüsteemi faile.

Failijuurdepääsuprobleemide põhjused ja lahendused

Probleem on selles, et proovite pääseda juurde failidele ja kaustadele, mis on loodud teise konto all. Lahendused kaks: kas lubada kõik kasutajatele juurdepääs või lubage neid loetledes ainult neile, kes seda vajavad. Mõlemat lahendust on ülaltoodud juhiste järgi lihtne rakendada. Ainus erinevus on see, et sisestate lõikesse 8 sõna "Kõik" või kasutajate loendi.

Muide, saate lubada juurdepääsu kõigile, kuid keelata ühe (mitu) kasutajat, samas kui keelu seadmine on loetletud kasutajatele prioriteetne.

Failijuurdepääsuprobleemidel on palju põhjuseid. Enamasti tekivad need siis, kui sul on mitu kontot, mitu operatsioonisüsteemi või arvutit – kontod on igal pool erinevad, failide ja kaustade loomisel määratakse ka õigused erinevad.

Mida ei saa teha failide ja kaustade õigustega

Ärge mingil juhul määrake installitud operatsioonisüsteemiga kogu kõvaketta failidele ja kaustadele täielikku juurdepääsu!

Levib müüt, et operatsioonisüsteem piirab kasutaja juurdepääsu tema failidele, nii et peate määrama juurdepääsuõigused kõigile kettal olevatele failidele. See pole tõsi ja te ei saa muuta kõigi failide õigusi! Süsteemis, mida ei “torgatud” ega määratud juurdepääsuõigusi käsitsi, oli kõik õigesti määratud!

Kasutage minu juhiseid ainult tõeliste probleemide korral, mitte kaugeleulatuvate probleemide vältimiseks.

Selgitan: lubades juurdepääsu süsteemifailidele, töötab Windows endiselt, kuid iga viirus või valesti töötav programm võib teha väga halbu asju. Tõenäoliselt ei taha te probleeme.

Kaustad "C:\Windows", "C:\Program files", "C:\Program files (x86)", "C:\Users", "C:\System Volume Information", "C: \ProgramData" , "C:\Recovery" ja paljud teised. Neid ei saa muuta, välja arvatud juhul, kui peate tegema failiga manipuleerimist (näiteks Windowsi teema muutmiseks) ja seaded tagasi saatma.

Ärge muutke turvaseadeid niisama, muutes süsteemi viiruste ja krahhide vastu kaitsetuks! Pärast Windowsi installimist on süsteemikaustade õigused õigesti konfigureeritud, neid pole vaja muuta!

Nõuanne: kui programm töötab õigesti ainult siis, kui seda käivitatakse "administraatorina", mis annab tavapärase käivitamise ajal tõrkeid - proovige määrata täielikud õigused kausta muutmiseks "C:\Program files" või "C:\Program files (x86)" (mitte programmifailide kaust ise, vaid kaust, mille sees on soovitud programm!).

Väga sageli aitab see käitada Windows Vista/7/8/10 vanu mänge, mis salvestavad seadete faile ja salvestavad nende kausta. Kuna sellised mängud käivitatakse ilma oma failide muutmise õiguseta, ei saa need parimal juhul mängu edenemist salvestada, halvimal juhul sulguvad või ei käivitu üldse. Sama on vanade programmidega.

järeldused

1. Lubade määramine on suhteliselt lihtne.

2. Juurdepääsuõigusi ei saa muuta ilma põhjendatud eesmärgita.

3. Muutis süsteemifailide õigusi – muutke need tagasi. Lubade muutmiseks süsteemne kaustad ja failid eelmistele, saate seda juhist kasutada (Windows Vista meetod peaks toimima ka Windows 7, Windows 8, 10 puhul).

4. Turvaseadete muutmine on delikaatne asi ja artikli autor ei vastuta teie tegude eest.

Teave on võetud Windows 2000 administraatori juhendi kolmeteistkümnest peatükist. Kirjutas William R. Stanek.

NTFS-köidete puhul saate määrata failidele ja kaustadele turvaõigused. Need õigused annavad või keelavad juurdepääsu failidele ja kaustadele. Praeguste turbelubade vaatamiseks tehke järgmist.

Failide ja kaustade õiguste mõistmine

Tabel 13-3 näitab failidele ja kaustadele kehtivaid põhiõigusi.
Põhilised failijuurdepääsuload on järgmised: täielik juhtimine, muutmine, lugemine ja käivitamine, lugemine ja kirjutamine.
Kaustade puhul kehtivad järgmised põhiõigused: täielik kontroll, muutmine, lugemine ja käivitamine, kausta sisu loend, lugemine ja kirjutamine.

Failide ja kaustade lubade määramisel peaksite alati arvestama järgmisega.

	Skriptide käitamiseks peab teil olema ainult lugemisõigus. Faili käivitamise luba (spetsiaalne faili käivitamise luba) on valikuline.
	Juurdepääs otseteele ja seotud objektile nõuab lugemisluba.
	Faili kirjutamise luba (andmete kirjutamise eriluba) võimaldab faili kustutamise loa puudumisel (eriluba kustutada) siiski kasutajal faili sisu kustutada.
	Kui kasutajal on kaustas täielik täielik kontroll, saab ta kustutada kõik selles kaustas olevad failid, olenemata nende failide õigustest. Tabel 13-3 – Windows 2000 failide ja kaustade põhiõigused Põhiresolutsioon Kaustade väärtus Tähendus failide jaoks Lugemine Võimaldab sirvida kaustu ning vaadata failide ja alamkaustade loendit Võimaldab faili sisu vaadata ja sellele juurde pääseda Kirjutage Võimaldab lisada faile ja alamkaustu Võimaldab kirjutada andmeid faili Võimaldab sirvida kaustu ning vaadata failide ja alamkaustade loendit; päritud failide ja kaustade kaudu Võimaldab vaadata faili sisu ja sellele juurde pääseda, samuti käivitada käivitatavat faili Võimaldab sirvida kaustu ning vaadata failide ja alamkaustade loendit; ainult kaustade järgi päritud Ei kohaldata Muutma Võimaldab vaadata sisu ning luua faile ja alamkaustu; võimaldab kausta kustutada Võimaldab lugeda ja faili andmeid kirjutada; võimaldab failide kustutamist Täielik kontroll Võimaldab vaadata sisu ning luua, muuta ja kustutada faile ja alamkaustu Võimaldab lugeda ja kirjutada andmeid, samuti muuta ja kustutada faili Põhiõigused luuakse, rühmitades konkreetsed õigused loogilistesse rühmadesse, mis on näidatud tabelis 13-4 (failide jaoks) ja 13-5 (kaustade jaoks). Eriõigusi saab määrata individuaalselt, kasutades täpsemaid konfiguratsioonivalikuid. Faili erilubade tundmaõppimisel pidage meeles järgmist.
	Kui grupi või kasutaja juurdepääsuõigusi pole selgesõnaliselt määratletud, keelatakse neile juurdepääs failile.
	Kasutaja kehtivate õiguste arvutamisel võetakse arvesse kõiki kasutajale määratud õigusi ja ka gruppe, mille liige kasutaja on. Näiteks kui kasutajal GeorgeJ-l on lugemisõigus ja ta on samal ajal grupi Techies liige, millel on muutmisjuurdepääs, siis selle tulemusena on GeorgeJ-l muutmisõigus. Kui rühm Techies on kaasatud täieliku kontrolliga administraatorite rühma, on GeorgeJ-l faili üle täielik kontroll. Tabel 13-4 – Failide eriload Eriload Täielik kontroll Muutma Lugege ja käivitage Lugemine Kirjutage Käivitage fail X X X Lugege andmeid X X X X X X X X X X X X Kirjuta andmed X X X Andmete lisamine X X X X X X X X X Kustuta X X X X X X X X X Tabel 13-5 näitab kausta põhiõiguste loomiseks kasutatavaid eriõigusi. Kausta erilubade kohta õppides pidage meeles järgmist.
	Kui määrate ülemkaustale õigused, saate failide ja alamkaustade õigused sobitada praeguse ülemkausta õigustega. Selleks märkige ruut Lähtesta kõigi alamobjektide õigused ja lubage päritavate õiguste levitamine.
	Loodud failid pärivad mõned õigused ülemobjektilt. Need õigused kuvatakse faili vaikeõigustena. Tabel 13-5 – Kaustade eriõigused Eriload Täielik kontroll Muutma Lugege ja käivitage Loetlege kausta sisu Lugemine Kirjutage Kausta ülevaade (Kausta läbimine) X X X X Kausta sisu (loendikaust) X X X X X Lugege atribuute X X X X X Lugege laiendatud atribuute X X X X X Loo failid X X X Loo kaustu X X X Kirjutage atribuudid X X X Kirjutage laiendatud atribuudid X X X Alamkaustade ja failide kustutamine (Alamkaustade ja failide kustutamine) X Kustuta X X Lubade lugemine X X X X X X Muuda õigusi X Omaniku vahetus (Omandumine) X

Lubade määramine failidele ja kaustadele

Failidele ja kaustadele õiguste määramiseks tehke järgmist.

1.	Valige fail või kaust ja paremklõpsake.
2.	Valige kontekstimenüüst käsk Omadused ja avage dialoogiaknas vahekaart Turvalisus näidatud joonisel 13-12. Joonis 13-12 – Põhiõiguste seadmine failidele või kaustadele vahekaardil Turvalisus
3.	Loetletud Nimi loetleb kasutajad või rühmad, kellel on juurdepääs failile või kaustale. Nende kasutajate või rühmade õiguste muutmiseks tehke järgmist. Valige kasutaja või rühm, kelle õigusi soovite muuta. Kasutage loendit Load: (Load) lubade määramiseks või tühistamiseks. Nõuanne. Päritud lubade märkeruudud on hallid. Päritud loa tühistamiseks tühistage see.
4.	Lubade määramine kasutajatele, kontaktidele, arvutitele või rühmadele, mida loendis pole Nimi, vajuta nuppu Lisama. Ilmub joonisel 13-13 näidatud dialoogiboks. Joonis 13-13 – Valige kasutajad, arvutid ja rühmad, millele peate juurdepääsu lubama või keelama.
5.	Kasutage dialoogiboksi Valik: kasutaja, arvuti või rühm (valige kasutajad, arvutid või rühmad) et valida kasutajad, arvutid või rühmad, kellele soovite juurdepääsuõigusi määrata. See aken sisaldab allpool kirjeldatud välju: Otsi (Look Sisse) See rippmenüü võimaldab teil vaadata saadaolevaid kontosid teistest domeenidest. Kaasa arvatud praeguse domeeni, usaldusväärsete domeenide ja muude saadaolevate ressursside loend. Kõigi kaustas olevate kontode vaatamiseks valige Kogu kataloog. Nimi See veerg näitab valitud domeeni või ressursi olemasolevaid kontosid. Lisama See nupp lisab valitud nimed valitud nimede loendisse. Kontrollige nimesid See nupp võimaldab kontrollida kasutajate, arvutite või rühmade nimesid valitud nimede loendis. See võib olla kasulik, kui nimed sisestatakse käsitsi ja peate veenduma, et need on õiged.
6.	Loetletud Nimi tõstke esile konfigureeritav kasutaja, kontakt, arvuti või rühm, seejärel märkige või tühjendage ruudud Load: (Load) juurdepääsuõiguste määratlemiseks. Korrake samu samme teiste kasutajate, arvutite või rühmade puhul.
7.	Kui olete lõpetanud, vajutage nuppu OKEI.

Süsteemi ressursside audit

Auditi kasutamine on parim viis sündmuste jälgimiseks süsteemides Windows 2000. Auditi abil saate koguda ressursi kasutamisega seotud teavet. Auditeeritavate sündmuste näited hõlmavad juurdepääsu failidele, sisselogimist ja süsteemi konfiguratsiooni muudatusi. Pärast objekti auditeerimise lubamist kirjutatakse sissekanded süsteemi turvalogi alati, kui sellele objektile üritatakse juurde pääseda. Turvalogi saab vaadata lisandmoodulist Sündmuste vaataja.

Märge. Enamiku auditi sätete muutmiseks peate olema sisse logitud administraatorina või administraatorite rühma liikmena või omama Hallake auditi- ja turvalogi grupipoliitikas.

Auditipoliitika seadmine

Auditipoliitika rakendamine parandab oluliselt süsteemide turvalisust ja terviklikkust. Peaaegu iga võrgu arvutisüsteem peaks olema konfigureeritud turvalogimisega. Auditipoliitika säte on saadaval lisandmoodulis Grupipoliitika. Selle komponendiga saate määrata auditipoliitikad tervele saidile, domeenile või organisatsiooniüksusele. Reegleid saab määrata ka isiklikele tööjaamadele või serveritele.

Pärast vajaliku rühmapoliitika konteineri valimist saate auditipoliitikad konfigureerida järgmiselt.

1.	Nagu on näidatud joonisel 13-14, saab sõlme leida konsoolipuus allapoole liikudes: Arvuti konfigureerimine, Windowsi konfiguratsioon (Windowsi sätted), Turvaseaded, Kohalikud eeskirjad, Auditipoliitika. Joonis 13-14 – Auditipoliitika konfigureerimine rühmapoliitika auditipoliitika sõlme abil.
2.	Auditi kategooriad on järgmised: Konto sisselogimise sündmuste auditeerimine jälgib kasutaja sisse- ja väljalogimisega seotud sündmusi. Auditi kontohaldus peab arvet kõikidel kontohaldusega seotud sündmustel, lisatööriistadel. Auditikirjed kuvatakse kasutaja-, arvuti- või rühmakontode loomisel, muutmisel või kustutamisel. Jälgib Active Directory juurdepääsusündmusi. Auditikirjed luuakse iga kord, kui kasutajad või arvutid kataloogi avavad. Jälgib sisse- ja väljalogimissündmusi ning kaugvõrguühendusi. Jälgib süsteemi ressursikasutust failide, kataloogide, aktsiate ja Active Directory objektide kaupa. Auditipoliitika muudatus jälgib muudatusi kasutajaõiguste määramise poliitikates, auditipoliitikates või usalduspoliitikates. Jälgib kõiki kasutaja katseid teatud õigusi või privileege kasutada. Näiteks failide ja kataloogide arhiivimise õigused. Märge. poliitika Auditiõiguse kasutamine ei jälgi süsteemi juurdepääsuga seotud sündmusi, näiteks interaktiivse sisselogimisõiguse kasutamist või arvutile võrgu kaudu juurdepääsu. Neid sündmusi jälgib poliitika Sisselogimissündmuste auditeerimine. Auditiprotsessi jälgimine jälgib süsteemiprotsesse ja nende kasutatavaid ressursse. Auditisüsteemi sündmused jälgib arvuti käivitamise, taaskäivitamise või sulgemise sündmusi, samuti sündmusi, mis mõjutavad süsteemi turvalisust või ilmuvad turvalogis.
3.	Auditipoliitika konfigureerimiseks topeltklõpsake vajalikul poliitikal või valige valitud poliitika kontekstimenüüst käsk. Omadused. See avab dialoogiboksi. Kohaliku turvapoliitika seade (Atribuudid).
4.	Märkeruut Määratlege need poliitika sätted. Seejärel märkige või tühjendage Edu Ja Ebaõnnestumine. Eduaudit tähendab auditikirje loomist iga eduka sündmuse (näiteks eduka sisselogimiskatse) kohta. Ebaõnnestunud auditeerimine tähendab auditikirje loomist iga ebaõnnestunud sündmuse (nt ebaõnnestunud sisselogimiskatse) kohta.
5.	Kui olete lõpetanud, klõpsake nuppu Okei.

Kontrollige faili ja kausta toiminguid

Kui reegel on lubatud Objekti juurdepääsu auditeerimine, saate kasutada auditeerimist üksikute kaustade ja failide tasemel. See võimaldab teil nende kasutamist täpselt jälgida. See funktsioon on saadaval ainult NTFS-failisüsteemiga köidetel.

Failide ja kaustade auditi konfigureerimiseks tehke järgmist.

1.	IN Explorer (Windows Explorer) valige fail või kaust, mille jaoks soovite auditi seadistada. Valige kontekstimenüüst käsk Omadused.
2.	Minge vahekaardile Turvalisus ja seejärel klõpsake nuppu Täiustatud.
3.	Klõpsake dialoogiboksis vahekaarti Auditeerimine näidatud joonisel 13-15. Joonis 13-15 Auditipoliitika konfigureerimine üksikute failide või kaustade jaoks vahekaardil Auditeerimine.
4.	Auditi sätete pärimiseks ülemobjektilt tuleb märkida ruut Allow Heritable Auditing Entries From Parent To Propagate To This Object.
5.	Kui soovite, et alamobjektid päriksid praeguse objekti auditi sätted, märkige ruut Lähtestage kõigi alamobjektide auditiüksused ja lubage päritud auditiüksuste migreerimine (Lähtestage kõigi alamobjektide auditeerimiskirjed ja lubage päritavate auditeerimiskirjete levitamine).
6.	Kasutage loendit Eemalda.
7.	Lisama dialoogiboksi ilmumiseks Okei, ilmub dialoogiboks. Auditi element jaoks Kausta või faili nimi näidatud joonisel 13-16. Märge. Kui soovite jälgida kõigi kasutajate tegevust, kasutage spetsiaalset rühma Kõik (kõik). Muul juhul valige auditeerimiseks üksikud kasutajad või rühmad mis tahes kombinatsioonis. Joonis 13-16 – Dialoogiboks Audit element for Kausta või faili nimi(Uue kausta auditeerimiskirje), mida kasutatakse kasutaja, kontakti, arvuti või rühma auditikirjete määramiseks.
8.	Rakenda (Rakenda).
9.	Märkige ruudud Edu ja/või Ebaõnnestumine nõutavate auditisündmuste jaoks. Eduaudit tähendab eduka sündmuse (näiteks faili eduka lugemise) jaoks auditikirje loomist. Ebaõnnestunud auditeerimine tähendab auditikirje loomist ebaõnnestunud sündmuse kohta (näiteks ebaõnnestunud faili kustutamise katse). Auditeerimise sündmused on samad, mis eriõigused (tabelid 13-4 ja 13-5), välja arvatud võrguühenduseta failide ja kaustade sünkroonimine, mida ei saa auditeerida.
10.	Kui olete lõpetanud, klõpsake nuppu Okei. Teiste kasutajate, rühmade või arvutite auditi seadistamiseks korrake neid samme.

Active Directory objektide auditeerimine

Kui reegel on lubatud Juurdepääs kataloogiteenusele, saate kasutada Active Directory objektitaseme auditeerimist. See võimaldab teil nende kasutamist täpselt jälgida.

Objekti auditi konfigureerimiseks tehke järgmist.

1.	hetkega Active Directory – kasutajad ja arvutid (Active Directory kasutajad ja arvutid) valige objekti konteiner.
2.	Paremklõpsake auditeeritaval objektil ja valige kontekstimenüüst käsk Omadused.
3.	Minge vahekaardile Turvalisus ja vajutage nuppu Täiustatud.
4.	Minge vahekaardile Auditeerimine Dialoogikast Juurdepääsu kontrolli sätted. Auditi sätete pärimiseks ülemobjektilt tuleb märkida ruut Allow Heritable Auditing Entries From Parent To Propagate To This Object.
5.	Kasutage loendit Auditeerimiskanded kasutajate, arvutite või rühmade valimiseks, kelle tegevust jälgitakse. Konto loendist eemaldamiseks valige see ja klõpsake Eemalda.
6.	Konto lisamiseks klõpsake nuppu Lisama. Ilmub dialoogiboks Valik: kasutajad, kontaktid, arvutid või rühmad (valige kasutajad, kontaktid, arvutid või rühmad), kus valite lisatava konto. Kui vajutate Okei, ilmub dialoogiboks. Auditi element jaoks Kausta või faili nimi(Uue kausta kirje auditeerimine).
7.	Kui teil on vaja auditi sätete rakendamiseks objekte täpsustada, kasutage ripploendit Rakenda (Rakenda).
8.	Märkige ruudud Edu ja/või Ebaõnnestumine nõutavate auditisündmuste jaoks. Eduaudit tähendab auditikirje loomist iga eduka sündmuse (näiteks faili eduka lugemise) kohta. Ebaõnnestunud auditeerimine tähendab auditikirje loomist iga ebaõnnestunud sündmuse kohta (näiteks ebaõnnestunud faili kustutamise katse).
9.	Kui olete lõpetanud, klõpsake nuppu Okei. Teiste kasutajate, kontaktide, rühmade või arvutite auditi seadistamiseks korrake neid samme.

Materjal on võetud raamatust "Windows 2000 administraatori juhend". Kirjutas William R. Stanek. Autoriõigus © Microsoft Corporation 1999. Kõik õigused kaitstud.