Комп'ютери, які працюють під керуванням операційних систем Windows, можуть працювати з різними файловими системами, такими як FAT32 та NTFS. Не вдаючись у подібності можна сказати одне, що вони відрізняються головним – файлова система NTFS дозволяє налаштовувати параметри безпеки для кожного файлу або папки (каталогу). Тобто. Для кожного файлу або папки файлова система NTFS зберігає так звані списки ACL (Access Control List), в яких перелічені всі користувачі та групи, які мають певні права доступу до файлу або папки. Файлова система FAT32 така можливість позбавлена.

У файловій системі NTFS кожен файл або папка може мати такі права безпеки:

• Читання— Дозволяє перегляд папок та перегляд списку файлів та папок, перегляд та доступ до вмісту файлу;
• Запис- Дозволяє додавання файлів та підпапок, запис даних у файл;
• Читання та виконання— Дозволяє перегляд папок та перегляд списку файлів та підпапок, дозволяє перегляд та доступ до вмісту файлу, а також запуск виконуваного файлу;
• Список вмісту папки— Дозволяє перегляд папок та перегляд лише списку файлів та папок. Доступ до вмісту файлу ця роздільна здатність не дає!;
• Змінити— Дозволяє перегляд вмісту та створення файлів та підпапок, видалення папки, читання та запис даних у файл, видалення файлу;
• Повний доступ— Дозволяє перегляд вмісту, створення, зміна та видалення файлів та папок, читання та запис даних, а також зміна та видалення файлу

Перелічені вище права є базовими. Базові права складаються з особливих прав. Особливі права — це докладніші права, у тому числі формуються базові права. Використання спеціальних прав дає дуже велику гнучкість при налаштуванні прав доступу.

Список особливих прав доступу до файлів та папок:

• Огляд папок/Виконання файлів— Дозволяє переміщення структурою папок у пошуках інших файлів або папок, виконання файлів;
• Зміст папки/Читання даних- Дозволяє перегляд імен файлів або підпапок, що містяться в папці, читання даних із файлу;
• Читання атрибутів— Дозволяє перегляд таких атрибутів файлу чи папки, як «Тільки читання» та «Прихований»;
• Читання додаткових атрибутів— Дозволяє перегляд додаткових атрибутів файлу чи папки;
• Створення файлів / Запис даних— Дозволяє створення файлів у папці (застосовується лише до папок), внесення змін до файлу та запис поверх наявного вмісту (застосовується лише до файлів);
• Створення папок / Дозапис даних— Дозволяє створення папок у папці (застосовується тільки до папок), внесення даних до кінця файлу, але не зміна, видалення або заміну наявних даних (застосовується лише до файлів);
• Запис атрибутів- Дозволяє або забороняє зміну таких атрибутів файлу або папки, як "Тільки читання" та "Прихований";
• Запис додаткових атрибутів- Дозволяє або забороняє зміну додаткових атрибутів файлу чи папки;
• Видалення підпапок та файлів— Дозволяє видалити підпапки та файли навіть за відсутності дозволу «Видалення» (застосовується тільки до папок);
• Вилучення— Дозволяє видалити файл або папку. Якщо для файлу або папки немає роздільної здатності «Видалення», об'єкт можна видалити за наявності дозволу «Видалення підпапок та файлів» для батьківської папки;
• Читання дозволів— Дозволяє читати такі дозволи на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна дозволів— Дозволяє зміну таких дозволів на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна власника- Дозволяє вступати у володіння файлом або папкою;
• Синхронізація— Дозволяє очікувати різними потоками файлів або папок та синхронізувати їх з іншими потоками, які можуть займати їх. Ця роздільна здатність застосовується лише до програм, що виконуються в багатопотоковому режимі з кількома процесами;

!!!Всі базові та особливі права є як вирішальними, так і забороняючими.

Усі дозволи файлів і папок поділяються на два види: явні та успадковані. Механізм успадкування має на увазі автоматичну передачу чогось від батьківського об'єкта дочірньому. У файловій системі це означає, що будь-який файл або папка можуть успадковувати свої права батьківської папки. Це дуже зручний механізм, що позбавляє необхідності призначати явні права для всіх новостворених файлів і папок. Уявіть, що у вас на якомусь диску кілька тисяч файлів та папок, як їм усім роздати права доступу, сидіти та призначати кожному? Ні. Тут працює механізм успадкування. Створили папку в корені диска, папка автоматично отримала такі самі права, як і корінь диска. Змінили права для новоствореної папки. Потім усередині створеної папки створили ще вкладену папку. У цій новоствореній вкладеній папці права успадковуються від батьківської папки і т.д. і т.п.

Результатом застосування явних та успадкованих прав будуть фактичні права на конкретну папку або файл. Підводного каміння при цьому дуже багато. Наприклад, у вас є папка, в якій ви дозволяєте користувачеві "Вася" видаляти файли. Потім ви згадуєте, що в цій папці є один дуже важливий файл, який Вася в жодному разі не повинен видалити. Ви встановлюєте на важливий файл явну заборону (особливе право заборони «Видалення»). Здавалося б, справа зроблена, файл явно захищений від видалення. А Вася спокійно заходить до папки та видаляє цей суперзахищений файл. Чому? Тому, що Вася має права віддалення від батьківської папки, які в даному випадку є пріоритетними.

Намагайтеся не користуватися призначенням прав безпосередньо на файли, призначайте права на папки.

!!! Намагайтеся призначати права лише для груп, що значно спрощує адміністрування. Призначення прав для конкретних користувачів не рекомендується Microsoft. Не забувайте, що до групи можуть входити не лише користувачі, а й інші групи.

Наприклад. Якщо комп'ютер включено в домен, то до його локальної групи «Користувачі» автоматично додається група «Domain Users» (користувачі домену), а до локальної групи «Адміністратори» автоматично додається група «Domain Admins» (адміністратори домену), і відповідно, призначаючи на будь-яку папку права групі локальних користувачів, ви автоматично призначаєте права всіх користувачів домену.

Не турбуйтеся якщо все описане вище відразу не дуже зрозуміло. Приклади та самостійна робота швидко виправлять становище!

Переходимо до конкретики.

Всі приклади я показуватиму на прикладі вікон Windows XP. У Windows 7 і вище суть залишилася ідентичною, тільки вікон стало трохи більше.

Отже, щоб призначити або змінити права на файл або паку, необхідно в провіднику натиснути правою клавішею мишки на потрібний файл або папку вибрати пункт меню «Властивості»

У вас має відчинитися вікно із закладкою «Безпека»

Якщо такої закладки немає, тоді робимо таке. Запускаємо Провідник, потім відкриваємо меню «Сервіс»—"Властивості папки…"

У вікні, що відкрилося, переходимо на закладку «Вид» і знімаємо галочку з параметра «Використовувати простий доступ до файлів (рекомендується)»

Тепер вам доступні всі властивості файлової системи NTFS.

Повертаємось до закладки «Безпека».

У вікні нам доступно багато інформації. Зверху знаходиться список «Групи та користувачі:», в якому перераховані всі користувачі та групи, які мають права доступу до папки (стрілка 1). У нижньому списку показано дозволи для виділеного користувача/групи (стрілка 2). У разі це користувач SYSTEM. У цьому списку дозволів є базові дозволи. Зверніть увагу, що у колонці «Дозволити»галочки мають бляклий колір та не доступні для редагування. Це говорить про те, що ці права успадковані від батьківської папки. Ще раз, у цьому випадку всі права користувача SYSTEM на папку «Робоча»повністю успадковані від батьківської папки, і користувач SYSTEM має всі права ( "Повний доступ")

Виділяючи у списку потрібну групу чи користувача, ми можемо переглянути базові права цієї групи чи користувача. Виділивши користувача «Гостьовий користувач ( [email protected])» можна побачити, що у нього всі права явні

А ось гурт «Користувачі (KAV-VM1\Користувачі»)має комбіновані права, частина з них успадкована від батьківської папки (сірі квадратики навпроти «Читання та виконання», "Список вмісту папки", «Читання»), а частина встановлено явно – це право «Змінити»і «Запис»

!!!Увага. Зверніть увагу на назви користувачів та груп. У дужках вказується приналежність групи чи користувача. Групи та користувачі можуть бути локальними, тобто. створеними безпосередньо на цьому комп'ютері, а можуть бути доменними. У цьому випадку група «Адміністратори»локальна, оскільки запис у дужках вказує ім'я комп'ютера KAV-VM1, а після слеша вже йде сама назва групи. Навпаки, користувач «Гостьовий користувач»є користувачем домену btw.by, на це вказує запис повного імені [email protected]

Найчастіше під час перегляду або зміни прав можна обмежитися вікном з базовими правами, але іноді цього недостатньо. Тоді можна відкрити вікно, в якому змінюються особливі дозволи, власник або переглядаються чинні дозволи. Як це зробити? Натискаємо на кнопку «Додатково». Відкривається таке вікно

У цьому вікні у таблиці «Елементи дозволів»перераховані всі користувачі, які мають права на цю папку. Так само, як і для базових дозволів, ми виділяємо потрібного користувача або групу та натискаємо кнопку «Змінити». Відкривається вікно, де показано всі особливі дозволи для виділеного користувача або групи

Аналогічно базовим дозволам, спеціальні дозволи, успадковані від батьківської папки, будуть показані бляклим сірим кольором і не будуть доступні для редагування

Як ви вже могли помітити, у вікні спеціальних дозволів для деяких користувачів чи груп є кілька рядків.


Це відбувається тому, що для одного користувача або групи можуть бути різні види прав: явні та успадковані, які дозволяють або забороняють, що різняться за видом спадкування. У цьому випадку права на читання для групи «Користувачі» успадковуються від батьківської папки, а права на зміну додані явно.

Приклади призначення прав.

!!! Усі приклади будуть йти з наростанням складності. Читайте та розбирайтеся з ними в такій же послідовності, як вони йдуть у тексті. Однотипні дії в наступних прикладах опускатиму, щоб скоротити обсяг тексту. 🙂

Приклад 1. Надання права доступу до папки певній локальній групі безпеки лише читання.

Спочатку створимо локальну групу, до якої включимо весь список потрібних користувачів. Можна і без групи, але тоді для кожного користувача потрібно буде налаштовувати права окремо, і щоразу, коли знадобиться дати права новій людині, потрібно робити всі операції знову. А якщо права надати локальній групі, то для налаштування нової людини знадобиться лише одна дія – включення цієї людини до локальної групи. Як створити локальну групу безпеки читаємо у статті "Налаштування локальних груп безпеки".

Отже. Ми створили локальну групу безпеки з ім'ям «Колегам для читання»,


у яку додали всіх потрібних користувачів.

Тепер налаштовую права доступу до папки. У цьому прикладі я зроблю права доступу до створеної групи «Колегам для читання»на папку "Фото".

Натискаю правою кнопкою мишки на папку «ФОТО»та вибираю пункт меню «Властивості», переходжу на закладку «Безпека».

У закладці, що відкрилася «Безпека»відображаються поточні права папки «ФОТО». Виділивши групи та користувачів у списку, можна побачити, що права цієї папки успадковуються від батьківської папки (сірі галочки в стовпці «Дозволити»). У цій ситуації я не хочу, щоб хтось, окрім новоствореної групи, мав хоч якийсь доступ до папки. «ФОТО».

Тому я повинен прибрати спадкування прав і видалити непотрібних користувачів та групи зі списку. Натискаю кнопку «Додатково». У вікні,


прибираю галочку з пункту «Наслідувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволи, додаючи їх до явно заданих у цьому вікні.» . При цьому відкриється вікно, в якому я зможу вибрати, що робити з успадкованими правами.

Найчастіше я раджу натискати тут кнопку «Копіювати», тому що якщо вибрати "Видалити", то список прав стає порожнім, і ви можете фактично забрати права у себе. Так, не дивуйтеся, що це дуже легко зробити. І якщо ви не адміністратор на своєму комп'ютері, чи не користувач групи «Оператори архіву», то відновити права вам буде неможливо. Ситуація нагадує двері з автоматичною клямкою, яку ви закриваєте, залишаючи ключі всередині. Тому краще завжди натискайте кнопку «Копіювати»а потім видаляйте непотрібне.

Після того, як я натиснув «Копіювати»,я знову повертаюся до попереднього вікна, тільки вже зі знятою галочкою.

Натискаю "ОК"та повертаюся у вікно базових прав. Усі права стали доступними для редагування. Мені потрібно залишити права для локальної групи «Адміністратори»та користувача SYSTEM, а решту видалити. Я по черзі виділяю непотрібних користувачів та групи та натискаю кнопку "Видалити".

В результаті у мене виходить така картина.

Тепер мені залишається додати лише групу «Колегам для читання»та призначити цій групі права на читання.

Я натискаю кнопку «Додати», і у стандартному вікні вибору вибираю локальну групу «Колегам для читання». Як працювати з вікном вибору докладно описано у статті.

В результаті всіх дій я додав групу «Колегам для читання» до списку базових прав, при цьому для цієї групи автоматично встановилися права «Читання та виконання», "Список вмісту папки", «Читання».

Все, залишається натиснути кнопку "ОК"та права призначені. Тепер будь-який користувач, який належить локальній групі безпеки «Колегам для читання»,отримає можливість читати весь вміст папки «ФОТО».

Приклад 2. Надання персонального доступу користувачам до своїх папок у папці.

Ця ситуація теж поширена практично. Наприклад, у вас є папка для нових сканованих документів. У цій папці для кожного користувача створено окрему підпапку. Після сканування документ забирається користувачем зі своєї підпапки. Завдання призначити права так, щоб кожен користувач бачив вміст лише своєї підпапки та не міг отримати доступ до підпапки колеги.

Для цього прикладу я трохи перефразую завдання. Припустимо, у нас є спільна папка «ФОТО», в якій для кожного користувача є підпапка. Необхідно налаштувати права так, щоб користувач мав у своїй підпапці всі права, а підпапки інших користувачів були йому недоступні.

Для цього я повністю повторюю всі дії з першого прикладу. В результаті повторення у мене виходять права для всієї групи «Колегам для читання»на читання до всіх підпапок. Але моє завдання зробити видимою користувачеві лише «свою» підпапку. Тому у вікні базових прав я натискаю кнопку «Додатково»

і переходжу у вікно особливих прав, у якому виділяю групу «Колегам для читання»та натискаю кнопку «Змінити»

У вікні я змінюю правила успадкування, замість значення в полі "Застосовувати:"я вибираю значення «Тільки для цієї папки».

Це найголовніший момент цього прикладу. Значення «Тільки для цієї папки»призводить до того, що права читання для групи «Колегам для читання»поширюються лише на корінь папки «ФОТО»але не на підпапки. Таким чином, кожен користувач зможе дістатися своєї папки, але заглянути в сусідню не зможе, права на перегляд підпапок у нього немає. Якщо ж не дати таке право групі зовсім, то користувачі взагалі не зможуть потрапити до своїх підпапок. Файлова система не пропустить їх навіть у папку «ФОТО».

У результаті користувачі зможуть заходити в папку «ФОТО»але далі до підпапок зайти не зможуть!

У вікні особливих прав натискаємо "ОК"і виходимо у попереднє вікно, тепер у стовпці «Застосовувати до»навпроти групи «Колегам для читання»стоїть значення «Тільки для цієї папки».

Натискаємо у всіх вікнах "ОК"та виходимо.

Всі. Тепер залишається налаштувати персональні права на кожну підпапку. Зробити це доведеться для кожної підпапки, права персональні для кожного користувача.

Усі потрібні дії ви вже робили в першому прикладі, повторимо пройдене 🙂

На підпапці «Користувач1»натискаю правою кнопкою мишки, вибираю пункт меню «Властивості», переходжу на закладку «Безпека». Натискаю кнопку «Додати»

та у стандартному вікні вибору вибираю доменного користувача з ім'ям «Користувач1».

Залишається встановити галочку для вирішального права «Змінити». При цьому галочка для вирішального права «Запис»встановиться автоматично.

Натискаємо "ОК". Виходимо. Залишається повторити аналогічні дії для всіх підпапок.

Приклад 3. Надання персонального доступу користувачеві до своєї підпапки на запис з одночасною забороною зміни або видалення.

Розумію, що важко звучить, але намагатимусь пояснити. Такий вид доступу я називаю клямкою. У побуті ми маємо аналогічну ситуацію зі звичайною поштовою скринькою, в яку кидаємо паперові листи. Тобто. кинути листа в ящик можна, але витягти його з ящика вже не можна. У комп'ютерному господарстві таке може стати в нагоді для ситуації, коли вам хтось записує в папку звіт. Тобто. файл записується користувачем, але потім цей користувач уже нічого не може зробити з цим файлом. Таким чином, можна бути впевненим, що творець вже не зможе змінити чи видалити переданий звіт.

Як і в попередньому прикладі, повторюємо всі дії, за винятком того, що користувачу не даємо відразу повні права на свою папку, спочатку в базових дозволах даємо лише доступ на читання, і натискаємо кнопку «Додатково»

У вікні виділяємо «Користувач1»та натискаємо кнопку «Змінити»

У вікні ми бачимо стандартні права на читання

Для того, щоб дати право користувачеві створювати файли, ставимо дозвіл на право. "Створення файлів/Запис даних", а на права «Видалення підпапок та файлів»і «Видалення»ставимо заборону. Спадкування залишаємо стандартне «Для цієї папки, її підпапок та файлів».

Після натискання кнопки "ОК"і повернення до попереднього вікна можна побачити суттєві зміни. Замість одного запису для «Користувач1»з'явилося дві.

Це тому, що встановлені два види прав, одні забороняють, вони йдуть у списку першими, другі – у списку другі. Оскільки особливі права є нестандартними, то в стовпці "Дозвіл"стоїть значення «Особливі». При натисканні кнопки "ОК"з'являється вікно, до якого windows попереджає, що є заборонні права і що вони мають більш високий пріоритет. У перекладі це означає тугіше ситуацію з дверима, що самозакриваються, ключі від якої знаходяться всередині. Подібну ситуацію я описував у другому прикладі.

Всі. Права встановлені. Тепер «Користувач1»зможе записати у свою папку будь-який файл, відкрити його, але змінити чи видалити не зможе.

А як же повна аналогія із реальною поштовою скринькою?

Щоб користувач не зміг відкрити або скопіювати записаний файл, потрібно зробити таке. Знову відкриваємо дозволяючі особливі дозволи для «Користувач1», і в полі "Застосовувати:"змінюємо значення на «Тільки для цієї папки»

При цьому користувач не має права на читання або копіювання файлу.

Всі. Тепер аналогія із фізичною поштовою скринькою майже повна. Він зможе тільки бачити назви файлів, їх розмір, атрибути, але файл побачити не зможе.

Перегляд чинних прав.

Хочу сказати відразу, що наявна можливість переглянути чинні права для папки або файлу є повною фікцією. У моєму поданні такі інструменти мають надавати гарантовану інформацію. У разі це негаразд. Майкрософт сама визнається в тому, що цей інструмент не враховує багато факторів, що впливають на результуючі права, наприклад, умови входу. Тому користуватися подібним інструментом – лише вводити себе в оману щодо реальних прав.

Описаний на початку статті випадок, із забороною видалення файлу з папки у разі є дуже промовистим. Якщо ви змоделюєте подібну ситуацію і подивіться на права файлу, захищеного від видалення, ви побачите, що в правах файлу на видалення стоїть заборона. Однак, видалити цей файл не складе труднощів. Чому Майкрософт так зробила – я не знаю.

Якщо ж ви таки вирішите подивитися чинні права, то для цього необхідно у вікні базових прав натиснути кнопку «Додатково», і у вікні особливих прав перейти на закладку «Діючі дозволи».

Потім потрібно натиснути кнопку «Вибрати»та у стандартному вікні вибору вибрати потрібного користувача чи групу.

Після вибору можна побачити «приблизні» дозволи, що діють.

У висновку хочу сказати, що тема прав файлової системи NTFS дуже велика, наведені вище приклади лише дуже мала частина того, що можна зробити. Тому, якщо виникають питання, ставте їх у коментарях до цієї статті. Постараюсь на них відповісти.

На просторах Росії багато фірм і дрібних підприємств не мають у штаті свого системного адміністратора на постійній основі або час від часу. Фірма росте і рано чи пізно однієї розшарованої папки в мережі, де кожен може робити, що захоче, стає мало. Потрібно розмежувати доступ для різних користувачів або груп користувачів на платформі MS Windows. Лінуксоїдів та досвідчених адмінів прохання не читати статтю.

Найкращий варіант - взяти до штату досвідченого адміна і задуматися про покупку сервера. Досвідчений адмін на місці сам вирішить: чи піднімати MS Windows Server з Active Directory або використовувати щось зі світу Linux.

Але ця стаття написана для тих, хто вирішив поки що мучитися самостійно, не застосовуючи сучасні програмні рішення. Спробую пояснити бодай як правильно реалізовувати розмежування прав.

Перш ніж почати хотілося б розжувати кілька моментів:

• Будь-яка операційна система "дізнається" і "розрізняє" реальних людей через їхні облікові записи. Повинно бути так: одна людина = один обліковий запис.
• У статті описується ситуація, що у фірмі немає свого адміна і не куплено, наприклад, MS Windows Server. Будь-яка звичайна MS Windows одночасно обслуговує по мережі не більше 10 для WinXP та 20 осіб для Win7. Це зроблено фірмою Microsoft спеціально, щоб клієнтські Windows не переходили дорогу серверам Windows і ви не псували бізнес Microsoft. Пам'ятайте число 10-20 і коли у вашій фірмі буде більше 10-20 чоловік, вам доведеться задуматися про купівлю MS Windows Server або попросити будь-кого підняти вам безкоштовний Linux Samba сервер, який не має таких обмежень.
• Якщо у вас немає грамотного адміністратора, то ваш стандартний комп'ютер з клієнтською MS Windows буде зображати з себе файловий сервер. Ви будете змушені продублювати на ньому облікові записи користувачів з інших комп'ютерів, щоб отримувати доступ до розшарованих файлів. Іншими словами, якщо є у фірмі ПК1 бухгалтера Олі з обліковим записом olya, то і на цьому "сервері" (ім'я його надалі як WinServer) потрібно створити обліковий запис olya з таким же паролем, як і на ПК1.
• Люди приходять та йдуть. Плинність кадрів є скрізь і якщо ви, та бідна людина, яка не адмін і призначена (змушена) підтримувати ІТ питання фірми, то ось вам порада. Робіть облікові записи, які не прив'язані до особи.Створюйте для менеджерів – manager1, manager2. Для бухгалтерів – buh1, buh2. Або щось подібне. Пішла людина? Інший не образиться, якщо використовуватиме manager1. Погодьтеся це краще, ніж Семен використовувати обліковий запис olya, так як влом або нікому переробляти і вже все працює 100 років.
• Забудьте такі слова, як: "зробити пароль на папку". Ті часи, коли на ресурси накладався пароль давно минули. Змінилася філософія роботи з різними ресурсами. Зараз користувач входить у свою систему за допомогою облікового запису (ідентифікація), підтверджуючи себе своїм паролем (автентифікація) і надається доступ до всіх дозволених ресурсів. Один раз увійшов у систему і отримав доступ до всього – ось що треба пам'ятати.
• Бажано виконувати наведені нижче дії від вбудованого облікового запису Адміністратор або від першого облікового запису в системі, яка за умовчанням входить до групи Адміністратори.

Приготування.

У Провіднику приберіть спрощений доступ до потрібних речей.

• MS Windows XP.Меню Сервіс - Властивості папки - Вид. Зняти галочку Використати майстер загального доступу
• MS Windows 7Натисніть клавішу Alt. Меню Сервіс - Установки папок - Вид. Зняти галочку Використовувати простий доступ до файлів.

Створіть на вашому комп'ютері WinServer папку, яка зберігатиме ваше багатство у вигляді файлів наказів, договорів тощо. У мене, як приклад, це буде C:\dostup\. Папка обов'язкова має бути створена розділ з NTFS.

Доступ до мережі.

На цьому етапі потрібно видати доступ до мережі(розшарити - share) папку для роботи з нею іншими користувачами на своїх комп'ютерах цієї локальної мережі.

І найголовніше! Видати папку в доступ з повною роздільною здатністю для всіх!Так Так! Ви не дочули. А як же розмежування доступу?

Ми дозволяємо по локальній мережі всім приєднуватися до папки, АЛЕ розмежовувати доступ буде засобами безпеки, що зберігаються у файловій системі NTFS, на якій розташована наш каталог.

• MS Windows XP.На потрібній папці (C:\dostup\) правою кнопкою миші і там властивості. Вкладка Доступ - Повний доступ.
• MS Windows 7На потрібній папці (C:\dostup\) правою кнопкою миші і там властивості. Вкладка Доступ - розширене налаштування. Ставимо галочку Відкрити спільний доступ до цієї папки. Заповнюємо Примітку. Тиснемо Дозвіл. Група Все має мати по мережі право Повний доступ.

Користувачі та групи безпеки.

Потрібно створити необхідні облікові записи користувачів. Нагадую, що якщо на численних ваших персональних комп'ютерах використовуються різні облікові записи для користувачів, то всі вони повинні бути створені на вашому "сервері" і з тими самими паролями. Це можна уникнути, тільки якщо у вас грамотний адмін і комп'ютери в Active Directory. Ні? Тоді ретельно створюйте облікові записи.

• MS Windows XP.
  Локальні користувачі та групи - Користувачі. Меню Дія – Новий користувач.
• MS Windows 7Панель управління - Адміністрація - управління комп'ютером.
  Локальні користувачі та групи - Користувачі. Меню Дія - Створити користувача.

Тепер черга за найголовнішим – гурти! Групи дозволяють включати облікові записи користувачів і спрощують маніпуляції з видачею прав і розмежуванням доступу.

Трохи нижче буде пояснено "накладення прав" на каталоги та файли, але зараз головне зрозуміти одну думку. Права на папки або файли будуть надаватися групам, які можна порівняти з контейнерами. А групи вже "передадуть" права включених до них облікових записів. Тобто потрібно мислити лише на рівні груп, а чи не лише на рівні окремих облікових записів.

• MS Windows XP.Панель управління - Адміністрація - управління комп'ютером.
  
• MS Windows 7Панель управління - Адміністрація - управління комп'ютером.
  Локальні користувачі та групи - Групи. Меню Дія - Створити групу.

Потрібно включити у необхідні групи необхідні облікові записи. Для прикладу, на групі Бухгалтери правою кнопкою миші і там Додати до групиабо Властивості та там кнопка Додати. В полі Введіть імена вибраних об'єктіввпишіть ім'я необхідного облікового запису та натисніть Перевірити імена. Якщо все вірно, то обліковий запис зміниться до виду ІМ'ЯСЕРВЕРА. На малюнку вище обліковий запис buh3 був приведений до WINSERVER\buh3.

Отже, потрібні групи створені та облікові записи користувачів включені до потрібних груп. Але до етапу призначення прав на папках та файлах за допомогою груп хотілося б обговорити кілька моментів.

Чи варто морочитися з групою, якщо в ній буде один обліковий запис? Вважаю, що варте! Група дає гнучкість та маневреність. Завтра вам знадобиться ще одній людині Б дати ті ж права, що й певній людині з її обліковим записом А. Ви просто додасте обліковий запис Б до групи, де вже є А і все!

Набагато простіше, коли права доступу видані групам, а чи не окремим персонам. Вам залишається лише маніпулювати групами та включенням до них необхідних облікових записів.

Права доступу.

Бажано виконувати наведені нижче дії від вбудованого облікового запису Адміністратор або від першого облікового запису в системі, яка за умовчанням входить до групи Адміністратори.

Ось і дісталися етапу, де безпосередньо і відбувається магія розмежування прав доступу для різних груп, а через них і користувачам (точніше їх обліковим записам).

Отже, ми маємо директорію за адресою C:\dostup\, яку ми вже видали в доступ по мережі всім співробітникам. Усередині каталогу C:\dostup\ для прикладу створимо папки Договору, Накази, Облік МЦ. Припустимо, що завдання зробити:

• папка Договору має бути доступна для Бухгалтерів лише для читання. Читання та запис для групи Менеджерів.
• папка Облік МЦ має бути доступною для Бухгалтерів на читання та запис. Група менеджерів не має доступу.
• папка Накази повинна бути доступна для Бухгалтерів та Менеджерів лише для читання.

На папці Договору правою клавішею і там Властивості – вкладка Безпека. Ми бачимо, що якісь групи та користувачі вже мають до неї доступ. Ці права були успадковані від батька dostup\, а та у свою чергу від свого батька С:

Ми перервемо це спадкування прав та призначимо свої права-хотелки.

Тиснемо кнопку Додатково - вкладка Дозволи - кнопка Змінити дозволи.

Спочатку перериваємо спадкування прав від батька.Знімаємо галочку Додати дозволи, що успадковуються від батьківських об'єктів.Нас попередять, що дозволи від батька не будуть застосовуватись до цього об'єкта (у даному випадку це папка Договору). Вибір: Скасувати або Видалити або Додати. Тиснемо Додати і права від батька залишаться нам у спадок, але більше права батька на нас не поширюватимуться. Інакше кажучи, якщо у майбутньому права доступу в батька (папка dostup) змінити - це позначиться на дочірній папці Договору. Зауважте у полі Успадковано відстоїть не успадковано. Тобто зв'язок батько - дитинарозірвано.

Тепер акуратно видаляємо зайві права, залишаючи Повний доступдля Адміністраторів та Система. Виділяємо по черзі всякі Ті, хто пройшов перевіркуі просто Користувачіта видаляємо кнопкою Видалити.

Кнопка Додати у цьому вікні Додаткові параметри безпекипризначена для досвідчених адмінів, які зможуть поставити спеціальні, спеціальні дозволи. Стаття націлена на знання досвідченого користувача.

Ми ставимо галочку Замінити всі дозволи дочірнього об'єкта на дозволи, успадковані від цього об'єктаі тиснемо Ок. Повертаємось назад і знову Ок, щоб повернутися до простого вигляду Властивості.

Це вікно дозволить спрощено досягти бажаного.Кнопка Редагувати виводить вікно "Дозволи для групи".

Тиснемо Додати. У новому вікні пишемо Бухгалтери і тиснемо "Перевірити імена" - Ок. За промовчанням дається у спрощеному вигляді доступ "на читання". Галочки в колонці Дозволити автоматично виставляються "Читання та виконання", "Список вмісту папки", "Читання". Нас це влаштовує і тиснемо Ок.

Тепер, за нашим технічним завданням, потрібно дати права на читання та запис для групи Менеджери. Якщо ми у вікні Властивості, знову Змінити - Додати - вбиваємо Менеджери - Перевірити імена. Додаємо в колонці Дозволити галочки Зміна та Запис.

Тепер потрібно все перевірити!

Слідкуйте за думкою. Ми наказали, щоб папка Договору не успадкувала права свого батька dostup. Наказали дочірнім папкам та файлам усередині папки Договору успадковувати права від неї.

На папку Договору ми наклали такі права доступу: група Бухгалтери повинна лише читати файли та відкривати папки всередині, а група Менеджери створювати, змінювати файли та створювати папки.

Отже, якщо всередині директорії Договору створюватиметься файл-документ, на ньому будуть дозволи від його батька. Користувачі зі своїми обліковими записами отримуватимуть доступ до таких файлів та каталогів через свої групи.

Зайдіть до папки Договору та створіть тестовий файл договор1.txt

На ньому клацання правою клавішею миші і там Властивості – вкладка Безпека – Додатково – вкладка Діючі дозволи.

Тиснемо Вибрати і пишемо обліковий запис будь-якого бухгалтера, наприклад buh1. Ми бачимо наочно, що buh1 отримав права від своєї групи Бухгалтери, які мають права на читання до батьківської папки Договору, яка "поширює" свої дозволи на свої дочірні об'єкти.

Пробуємо manager2 і бачимо наочно, що менеджер отримує доступ на читання та запис, тому що входить до групи Менеджери, яка надає такі права для цієї папки.

Так само, за аналогією з папкою Договору, накладаються права доступу і для інших папок, дотримуючись вашого технічного завдання.

Підсумок.

• Використовуйте розділи NTFS.
• Коли розмежуєте доступ до папок (і файлів), то маніпулюйте групами.
• Створюйте облікові записи для кожного користувача. 1 людина = 1 обліковий запис.
• Облікові записи включайте до груп. Обліковий запис може входити одночасно до різних груп. Якщо обліковий запис знаходиться в декількох групах і якась група щось дозволяє, це буде дозволено облікового запису.
• Колонка Заборонити (забороняючі права) мають пріоритет перед Дозвіл. Якщо обліковий запис знаходиться в декількох групах і якась група щось забороняє, а інша група це дозволяє, це буде заборонено облікового запису.
• Видаляйте обліковий запис із групи, якщо хочете позбавити доступу, який дана група дає.
• Подумайте про найм адміністратора і не ображайте його грошима.

Задавайте запитання у коментарях та запитуйте, поправляйте.

Відеоматеріал показує окремий випадок, коли потрібно лише заборонити доступ до папки, користуючись тим, що забороняючі правила мають пріоритет перед дозволяючими правилами.

Ця стаття ідейно продовжує статтю. Як було зазначено, після вибору користувачів та (або) груп необхідно вказати параметри доступу до них. Зробити це можна за допомогою дозволів файлової системи NTFS, розглянутих у таблиці.

Дозволи доступу до файлів

• Читання. Дозволяється читати файл, а також переглянути його параметри, такі як ім'я власника, дозволи та додаткові властивості.
• Запис. Дозволяється перезапис файлу, зміна його параметрів, перегляд імені власника та дозволів.
• Читання та виконання. Дозвіл на читання та право на запуск програми, що виконується.
• Зміна. Дозволено зміну та видалення файлу, а також все, що передбачено дозволами Читання та виконання, а також Запис.
• Повний доступ.
• Дозволено повний доступ до файлу. Це означає, що допускаються всі дії, передбачені всіма переліченими вище дозволами. Дозволено також стати власником файлу та змінювати його дозволи.

Дозволи доступу до папок

• Читання. Дозволяється переглядати вкладені папки та файли, а також їхні властивості, такі як ім'я власника, дозволи та атрибути читання, такі як Тільки читання, Прихований, Архівний та Системний.
• Запис. Дозволяється створювати та розміщувати всередині папки нові файли та підпапки, а також змінювати параметри папки та переглядати її властивості, зокрема ім'я власника та дозволу доступу.
• Список папки. Дозволяється переглядати імена файлів, що містяться в папці, і вкладених папок.
• Читання та виконання. Дозволяє отримати доступ до файлів у вкладених папках, навіть якщо немає доступу до самої папки. Крім того, дозволені ті ж дії, що передбачені для дозволів Читання та Список вмісту папки.
• Зміна. Дозволено всі дії, передбачені для дозволів Читання та Читання та виконання, а також дозволено видалення папки.
• Повний доступ. Дозволяється повний доступ до папки. Інакше кажучи, допускаються всі дії, передбачені всіма переліченими вище дозволами. Додатково можна стати власником папки та змінювати її дозволи.
• Особливі дозволи. Набір додаткових дозволів, відмінних від стандартних.

Автор файлу завжди вважається його власником, який має права Повний доступ, навіть якщо обліковий запис власника не вказано на вкладці Безпека файлу. Крім зазначених вище дозволів для файлу, можна вибрати два додаткові типи дозволів.

• Зміна власника. Цей тип дозволу дозволяє користувачеві стати власником файлу. Даний тип дозволу за замовчуванням присвоєно групі Адміністратори.
• Зміна дозволів. Користувач отримує можливість змінювати список користувачів та груп, які мають доступ до файлу, а також змінювати типи дозволів доступу до файлу.

Твітнути

При відкритті, видаленні або інших маніпуляціях з файлами та папками можна зіткнутися з помилкою доступу до файлів. Я розповім про те, як із цим боротися і чому так відбувається.

Як отримати повний доступ до файлів та папок

Спочатку інструкція про те, як отримати повний доступ до папок та файлів. У наступному розділі буде пояснення для допитливих.

Відкриваємо папку, де є проблемний файл чи папка. Щоб отримати повний доступ до їх вмісту, потрібно налаштувати доступ до файлів:

1. Натискаємо правою кнопкою миші по заблокованому файлу (або папці) без доступу - Властивостівибираємо вкладку Безпека:

2. Натискаємо кнопку Додаткововибираємо вкладку Власник:

3. Натискаємо кнопку Змінитиі вибираємо ім'я вашого користувача (у моєму випадку це Dima,у вас буде інше), також ставимо галку на Замінити власника підконтейнерів та об'єктів:

4. Якщо з'явиться вікно з текстом «Ви не маєте дозволу читати вміст папки. Бажаєте замінити дозволи для цієї папки так, щоб мати права повного доступу?», відповідаємо Так:

5. Після зміни власника папки з'явиться вікно з текстом Ви тільки що стали власником цього об'єкта. Потрібно закрити та знову відкрити вікно властивостей цього об'єкта, щоб бачити чи змінювати дозволи». Натискаємо OKпотім знову натискаємо OK(у вікні Додаткові параметри безпеки).

6. У вікні Властивості - Безпеказнову натискаємо Додатково, тільки тепер дивимося першу вкладку вікна - Дозволи.Потрібно натиснути кнопку Змінити дозволи:

7. Натисніть кнопку Додати:

(Якщо ви працюєте з властивостями папки, а не файлу, позначте галкою пункт «Замінити всі дозволи дочірнього об'єкта на дозволи, успадковані від цього об'єкта».)

8. У вікні «Вибір: користувачі або групи» вам потрібно буде ввести ім'я вашого користувача (можете подивитися його в меню «Пуск» - ім'я буде найвищим рядком), натиснути кнопку Перевірити імена, потім OK:

Якщо вам потрібно, щоб папка (або файл) відкривалася без обмежень абсолютно всіма користувачами, тобто. не тільки вашим, то знову натисніть Додатиі введіть ім'я « Усе» без лапок («All» в англомовній версії Windows), потім натисніть Перевірити іменаі OK.

9. На вкладці Дозволипо черзі натискайте двічі по рядках з іменами користувачів та ставте галку на пункт «Повний доступ»:

Це автоматично поставить галки на нижче пунктах.

10. Потім натискайте ОК, у наступному вікні відповідайте на попередження Так, знову ОК, щоб закрити усі вікна.

Готово! Повний доступ до файлів та папок отримано!Можете спокійно їх відкривати, змінювати та робити інші дії з ними.

Висновок:потрібно зробити два кроки: стати "власником" файлу або папки (п. 3), потім призначити собі права доступу (п. 6). Багато інструкцій про те, як отримати повний доступ до файлів і папок, згадують лише перший крок, забуваючи про другий. Це не зовсім правильно, тому що налаштування безпеки файлу/папки можуть бути різні, треба привести їх у нормальний вигляд, а не лише стати «власником».

Навіщо потрібні права файлів та папок

Механізм розмежування доступу до файлів та папок необхідний з багатьох причин. Наприклад:

1. Обмеження доступу до інформації різними користувачами.

Якщо одному комп'ютері чи спільної мережі працює кілька (більше одного) користувачів, логічно обмежити доступом до інформації - одним користувачам доступна вся інформація (найчастіше це адміністратори), іншим - лише їх власні файли і папки (звичайні користувачі).

Наприклад, вдома можна зробити обмеження прав одного користувача так, щоб захистити важливі файли та папки від видалення (щоб дитина не змогла по незнанню видалити важливі документи), тоді як з іншого (батьківського профілю) можна було робити все, що завгодно.

У першому розділі я показав, як дозволитидоступ до певних користувачів. Так само можна і обмежитидоступ - кроки ті самі, тільки в пункті 9 треба ставити інші галочки.

2. Безпека операційної системи.

У Windows XP все влаштовано досить просто - користувачі з правами адміністратора можуть змінювати (і видаляти) будь-які папки і файли на жорсткому диску, у тому числі системні, тобто. що належать Windows. Фактично, будь-яка програма, запущена у профілі користувача-адміністратора, могла зробити з вмістом жорсткого диска все що завгодно. Наприклад, видалити файл boot.ini, через що Windows перестане завантажуватися.

Під правами обмеженого користувача, де завдяки налаштуванням безпеки не можна було видаляти важливі системні файли, мало хто сидів, віддаючи перевагу адміністраторському обліковому запису. Таким чином, обліковий запис з правами адміністратора в Windows XP створює найсприятливіші умови для вірусів.

У Windows Vista, Windows 7 та Windows 8 працює «Контроль облікових записів користувача» (коротко UAC): під час роботи в адміністраторському обліковому записі програми, що запускаються користувачем, працюють з обмеженимиправами. Тобто видалити або змінити системні файли програми не можуть. Програми здатні отримати більш повний доступ, запросивши його у користувача за допомогою вікна UAC, про яке я вже :

Якщо права доступу до файлів налаштовані правильно і UAC увімкнено, то віруси, запущені в адміністраторському обліковому записі Vista/7/8, не зможуть серйозно нашкодити системі без дозволу людини, яка сидить за комп'ютером.

UAC марнийу випадках:

1. Якщо за комп'ютером сидить користувач, який бездумно натискає кнопки «Так» та «OK»

2. Якщо запускати програми від імені адміністратора (правою кнопкою по ярлику програми - Запустити від імені адміністратора).

3. UAC вимкнено.

4. Для системних файлів та папок на жорсткому диску дозволено повний доступ для всіх користувачів.

Програми, запущені в обліковому записі обмеженого користувача Windows Vista/7/8 (тип «Звичайний доступ»), не можуть викликати вікно UAC і працювати з правами адміністратора, що цілком логічно.

Повторюю ще раз: коли немає можливості підвищити свої права до адміністраторських, нашкодити захищеним за допомогою обмеження прав доступу до файлів операційної системи не можна.

Причини та вирішення проблем із доступом до файлів

Проблема в тому, що ви намагаєтеся отримати доступ до файлів та папок, створених під іншим обліковим записом. Рішення два:або дозволити всімкористувачам доступ, або дозволити лише тим, кому це потрібно, перерахувавши їх. Обидва рішення легко реалізуються за інструкцією вище. Різниця лише в тому, що ви вводитимете в пункті 8 - слово «Всі» або перераховуючи користувачів.

До речі, можна дозволити доступ всім, але заборонити одному (кільком) користувачам, при цьому налаштування заборони буде пріоритетним для перерахованих користувачів.

Причин виникнення проблем із доступом до файлів безліч. Найчастіше вони з'являються, якщо у вас кілька облікових записів, кілька операційних систем або комп'ютерів - скрізь облікові записи різні, при створенні файлів та папок права призначаються різні.

Що з правами файлів та папок робити не можна

У жодному разі не призначайте повний доступ до файлів і папок на всьому жорсткому диску з встановленою операційною системою!

Існує міф про те, що операційна система обмежує доступ користувача до файлів, тому треба призначати права доступу всім файлам на диску. Це неправда і змінювати права всіх файлів не можна!У системі, в якій не «колупалися», не призначали права доступу вручну, все призначено правильно!

Використовуйте мою інструкцію лише у разі реальних проблем, не для запобігання надуманим.

Пояснюю: дозволивши доступ до системних файлів, Windows, як і раніше, буде працювати, ось тільки будь-який вірус або некоректно працююча програма можуть зробити дуже погані речі. Навряд вам потрібні проблеми.

Свої настройки безпеки мають папки "C:\Windows", "C:\Program files", "C:\Program files (x86)", "C:\Users", "C:\System Volume Information", "C: \ProgramData", "C:\Recovery" та багато інших. Їх міняти не можна, за винятком випадків, якщо треба зробити будь-які маніпуляції з файлами (наприклад, щоб змінити тему Windows), причому треба повернути налаштування назад.

Не змінюйте налаштування безпеки «просто так», роблячи систему беззахисною перед вірусами та збоями! Після встановлення Windows права доступу до системних папок правильно налаштовані, не треба їх змінювати!

Порада:якщо програма коретно працює тільки в тому випадку, якщо запущена «від імені адміністратора», при звичайному запуску видаючи помилки - спробуйте призначити повні права на зміну папки з нею в C: Program files або C: Program files (x86) » (Не папці Program files, а папці з потрібною програмою всередині неї!).

Найчастіше це допомагає запустити на Windows Vista/7/8/10 старі ігри, які зберігають файли налаштувань, збережених усередині папки. Будучи запущеними без прав змінити власні файли, такі ігри в кращому разі не можуть зберегти ігровий прогрес, в гіршому - закриваються або зовсім не запускаються. Зі старими програмами те саме.

Висновки

1. Призначити права доступу щодо легко.

2. Права доступу змінювати без обґрунтованої мети не можна.

3. Змінили права системних файлів – змінюйте їх назад. Щоб змінити права системнихпапок та файлів на попередні, можна скористатися цією інструкцією (метод для Windows Vista повинен підійти і до Windows 7, Windows 8, 10).

4. Зміна налаштувань безпеки – справа тонка і автор статті не несе відповідальності за ваші дії.

Інформація взята з тринадцятого розділу книги «Windows 2000. Керівництво адміністратора». Автор Вільям Р. Станек (William R. Stanek).

На томах з файловою системою NTFS можна встановити роздільну здатність безпеки для файлів і папок. Ці дозволи надають або забороняють доступ до файлів та папок. Щоб переглянути поточні дозволи безпеки, виконайте такі дії:

Загальне уявлення про дозволи для файлів та папок

У Таблиці 13-3 відображені базові дозволи, які застосовуються до файлів та папок.
Існують такі базові дозволи на доступ до файлів: Повний доступ (Full Control), Змінити (Modify), Читання та Виконання (Read & Execute), Читання (Read) та Запис (Write).
Для папок застосовні такі базові дозволи: Повний доступ (Full Control), Змінити (Modify), Читання та Виконання (Read & Execute), Список вмісту папки (List Folder Contents), Читання (Read) та Запис (Write).

При встановленні дозволів для файлів та папок завжди слід враховувати наступне:

	Для запуску сценаріїв достатньо мати дозвіл на читання (Read). Дозвіл на виконання файлу (особлива роздільна здатність Execute File) не обов'язково.
	Для доступу до ярлика та пов'язаного об'єкта потрібен дозвіл на читання (Read).
	Дозвіл на Запис у файл (особлива роздільна здатність Write Data) за відсутності дозволу на Видалення файлу (особлива роздільна здатність Delete) все ще дозволяє користувачеві видаляти вміст файлу.
	Якщо користувач має базову роздільну здатність Повний доступ (Full Control) до папки, він може видаляти будь-які файли в такій папці, незалежно від дозволів на доступ до цих файлів. Таблиця 13-3 – Базові дозволи для файлів та папок у Windows 2000 Базовий дозвіл Значення для папок Значення для файлів Читання (Read) Дозволяє перегляд папок та перегляд списку файлів та папок Дозволяє перегляд та доступ до вмісту файлу Запис (Write) Дозволяє додавання файлів та папок Дозволяє запис даних у файл Дозволяє перегляд папок та перегляд списку файлів та підпапок; успадковується файлами та папками Дозволяє перегляд і доступ до вмісту файлу, а також запуск виконуваного файлу Дозволяє перегляд папок та перегляд списку файлів та підпапок; успадковується лише папками Не застосовується Змінити (Modify) Дозволяє перегляд вмісту та створення файлів та підпапок; допускає видалення папки Дозволяє читання та запис даних у файл; допускає видалення файлу Повний доступ (Full Control) Дозволяє перегляд вмісту, а також створення, зміну та видалення файлів та папок Дозволяє читання та запис даних, а також зміна та видалення файлу Базові дозволи створені з допомогою об'єднання в логічні групи спеціальних дозволів, які у Таблиці 13-4 (для файлів) і 13-5 (для папок). Особливі дозволи можна призначити індивідуально за допомогою додаткових параметрів налаштування. При вивченні особливих дозволів для файлів необхідно враховувати наступне:
	Якщо групі або користувачу явно не визначено права доступу, доступ до файлу для них закритий.
	При обчисленні чинних дозволів користувача беруться до уваги всі дозволи, призначені користувачеві, а також групам, членом яких він є. Наприклад, якщо користувач GeorgeJ має доступ до Читання (Read), і в той же час входить до групи Techies, у якої доступ на зміну (Modify), то в результаті, у користувача GeorgeJ з'являється доступ на зміну (Modify). Якщо групу Techies включити до групи Адміністратори з повним доступом (Full Control), то GeorgeJ буде повністю контролювати файл. Таблиця 13-4 – Особливі дозволи для файлів Особливі дозволи Повний доступ (Full Control) Змінити (Modify) Читання та виконання (Read & Execute) Читання (Read) Запис (Write) Виконання файлів (Execute File) X X X Читання даних (Read Data) X X X X X X X X X X X X Запис даних (Write Data) X X X Дозапис даних (Append Data) X X X X X X X X X Вилучення (Delete) X X X X X X X X X У Таблиці 13-5 показані спеціальні дозволи, які використовуються для створення базових дозволів для папок. При вивченні спеціальних дозволів для папок необхідно враховувати наступне:
	При встановленні дозволів для батьківської папки можна привести елементи дозволів файлів і підпапок у відповідність до дозволів поточної батьківської папки. Для цього потрібно встановити прапорець Скинути дозволи для всіх дочірніх об'єктів і включити перенесення наслідуваних дозволів.
	Створювані файли успадковують деякі дозволи батьківського об'єкта. Ці дозволи показані як роздільна здатність файлу за промовчанням. Таблиця 13-5 – Особливі дозволи для папок Особливі дозволи Повний доступ (Full Control) Змінити (Modify) Читання та виконання (Read & Execute) Список папки (List Folder Contents) Читання (Read) Запис (Write) Огляд папок (Traverse Folder) X X X X Зміст папки (List Folder) X X X X X Читання атрибутів (Read Attributes) X X X X X Читання додаткових атрибутів (Read Extended Attributes) X X X X X Створення файлів (Create Files) X X X Створення папок (Create Folders) X X X Запис атрибутів (Write Attributes) X X X Запис додаткових атрибутів (Write Extended Attributes) X X X Видалення підпапок та файлів (Delete Subfolders and Files) X Вилучення (Delete) X X Читання дозволів (Read Permissions) X X X X X X Зміна дозволів (Change Permissions) X Зміна власника (Take Ownership) X

Встановлення дозволів для файлів та папок

Для встановлення дозволів для файлів та папок виконайте таке:

1.	Виберіть файл або папку і клацніть правою кнопкою миші.
2.	У контекстному меню виберіть команду Властивості (Properties)і в діалоговому вікні перейдіть на вкладку Безпека (Security), показану на малюнку 13-12. Рисунок 13-12 – Налаштування базових дозволів для файлів або папок на вкладці Безпека (Security)
3.	В списку Ім'я (Name)перераховані користувачі або групи, які мають доступ до файлу чи папки. Щоб змінити дозволи для цих користувачів або груп, виконайте такі дії: Виділіть користувача або групу, дозволи для яких потрібно змінити. Використовуйте список Дозволи: (Permissions)для завдання чи скасування дозволів. Порада.Прапорці успадкованих дозволів затінені. Щоб скасувати успадкований дозвіл, змініть його на протилежне.
4.	Для встановлення дозволів користувачам, контактам, комп'ютерам або групам, яких немає у списку Ім'я (Name), натисніть кнопку Додати (Add). З'явиться діалогове вікно, показане на малюнку 13-13. Рисунок 13-13 – Виділіть користувачів, комп'ютери та групи, для яких потрібно дозволити або заборонити доступ.
5.	Використовуйте діалогове вікно Вибір: Користувач, Комп'ютер або Група (Select Users, Computers, Or Groups)для вибору користувачів, комп'ютерів або груп, для яких Ви бажаєте встановити дозволи на доступ. Це вікно містить поля, опис яких наводиться нижче: Шукати в (Look In)Цей розкривний список дозволяє переглянути доступні облікові записи інших доменів. У тому числі список поточного домену, довірених доменів та інших доступних ресурсів. Щоб побачити всі облікові записи в папці, виберіть Весь каталог (Entire Directory). Ім'я (Name)Ця колонка відображає наявні облікові записи вибраного домену або ресурсу. Додати (Add)Ця кнопка додає виділені імена до списку вибраних імен. Перевірити імена (Check Names)Ця кнопка дозволяє перевірити імена користувачів, комп'ютерів або груп у списку вибраних імен. Це може бути корисно, коли вводяться імена вручну і необхідно переконатися в їх правильності.
6.	В списку Ім'я (Name)перейдіть до користувача, контакту, комп'ютера або групи для налаштування, а потім встановіть або зніміть прапорці в області Дозволи: (Permissions)визначення прав доступу. Повторіть ці дії для інших користувачів, комп'ютерів або груп.
7.	Після завершення роботи натисніть кнопку Добре.

Аудит системних ресурсів

Застосування аудиту – це найкращий спосіб відстеження подій у системах Windows 2000. Аудит можна використовувати для збору інформації, пов'язаної з використанням будь-якого ресурсу. Прикладами подій для аудиту можна назвати доступ до файлу, вхід до системи та зміни системної конфігурації. Після включення аудиту об'єкта до журналу безпеки системи заносяться записи при будь-якій спробі доступу до цього об'єкта. Журнал безпеки можна переглянути з оснастки Перегляд подій (Event Viewer).

Примітка.Для зміни більшості налаштувань аудиту необхідно увійти до системи з обліковим записом «Адміністратор» або члена групи «Адміністратори», або мати право Управління аудитом та журналом безпеки (Manage Auditing And Security Log)у груповій політиці.

Встановлення політик аудиту

Застосування політик аудиту суттєво підвищує безпеку та цілісність систем. Практично кожна комп'ютерна система у мережі має бути налаштована з веденням журналів безпеки. Налаштування політик аудиту доступне в оснащенні Групова політика (Group Policy). За допомогою цього компонента можна встановити політики аудиту для цілого сайту, домену або підрозділу. Політики також можуть бути задані для робочих станцій або серверів.

Після вибору необхідного контейнера групової політики можна налаштувати політики аудиту так:

1.	Як показано на малюнку 13-14, знайти вузол можна просуваючись вниз по дереву консолі: Конфігурація комп'ютера (Computer Configuration), Конфігурація Windows (Windows Settings), Параметри безпеки (Security Settings), Локальні політики (Local Policies), Політика аудиту (Audit Policy). Рисунок 13-14 – Налаштування політики аудиту за допомогою вузла Політика аудиту (Audit Policy) у Груповій політиці (Group Policy).
2.	Існують такі категорії аудиту: Аудит подій входу до системи (Audit Account Logon Events)відстежує події, пов'язані з входом користувача до системи та виходом із неї. Аудит управління обліковими записами (Audit Account Management)відстежує всі події, пов'язані з керуванням обліковими записами, засобами оснащення . Записи аудиту з'являються під час створення, зміни або видалення облікових записів користувача, комп'ютера або групи. Відстежує події доступу до каталогу Active Directory. Записи аудиту створюються щоразу при доступі користувачів або комп'ютерів до каталогу. Відстежує події входу або виходу з системи, а також віддалені мережні підключення. Відстежує використання системних ресурсів файлами, каталогами, спільними ресурсами та об'єктами Active Directory. Аудит зміни політики (Audit Policy Change)відстежує зміни політик призначення прав користувачів, аудиту або політик довірчих відносин. Відслідковує кожну спробу застосування користувачем наданого йому права чи привілею. Наприклад, права архівувати файли та каталоги. Примітка.Політика Аудит використання привілеїв (Audit Privilege Use)не відстежує події, пов'язані з доступом до системи, такі як використання права на інтерактивний вхід до системи або доступ до комп'ютера з мережі. Ці події відстежуються за допомогою політики Аудит входу до системи (Audit Logon Events). Аудит відстеження процесів (Audit Process Tracking)відстежує системні процеси та ресурси, що використовуються ними. Аудит системних подій (Audit System Events)відстежує події увімкнення, перезавантаження або вимкнення комп'ютера, а також події, що впливають на системну безпеку або відображаються в журналі безпеки.
3.	Для налаштування політики аудиту двічі клацніть на потрібній політиці, або виберіть у контекстному меню обраної політики команду Властивості (Properties). Після цього відкриється діалогове вікно Параметр локальної політики безпеки (Properties).
4.	Встановіть прапорець Визначити наступний параметр політики (Define These Policy Settings). Потім встановіть або зніміть прапорці Успіх (Success)і Відмова (Failure). Аудит успіхів означає створення запису аудиту для кожної успішної події (наприклад, успішної спроби входу до системи). Аудит відмов означає створення запису аудиту для кожної невдалої події (наприклад, невдалої спроби входу до системи).
5.	Після завершення натисніть кнопку OK.

Аудит операцій з файлами та папками

Якщо задіяна політика Аудит доступу до об'єктів (Audit Object Access), можна використовувати аудит на рівні окремих папок та файлів. Це дозволить точно відстежувати їхнє використання. Ця можливість доступна лише на томах із файловою системою NTFS.

Для налаштування аудиту файлу та папки виконайте наступне:

1.	У Провіднику (Windows Explorer)Виберіть файл або папку, для якої потрібно настроїти аудит. У контекстному меню виберіть команду Властивості (Properties).
2.	Перейдіть на вкладку Безпека (Security), а потім натисніть кнопку Додатково (Advanced).
3.	У діалоговому вікні перейдіть на вкладку Аудит (Auditing), показану на малюнку 13-15. Рисунок 13-15 – Налаштування політик аудиту для окремих файлів або папок на вкладці Аудит (Auditing).
4.	Щоб параметри аудиту успадковувалися від батьківського об'єкта, повинен стояти прапорець Переносити аудит на цей об'єкт (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.	Щоб дочірні об'єкти успадкували параметри аудиту поточного об'єкта, встановіть прапорець Скинути елементи аудиту для всіх дочірніх об'єктів та включити перенесення наслідуваних елементів аудиту (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
6.	Використовуйте список Видалити (Remove).
7.	Додати (Add)для появи діалогового вікна OKз'явиться діалогове вікно Елемент аудиту для Ім'я папки або файлу , показане на малюнку 13-16. Примітка.Якщо ви бажаєте відстежувати дії всіх користувачів, використовуйте спеціальну групу Усі (Everyone). В інших випадках для аудиту вибирайте окремих користувачів чи групи у будь-яких комбінаціях. Малюнок 13-16 – Діалогове вікно Елемент аудиту для Ім'я папки або файлу(Auditing Entry For New Folder), який використовується для встановлення елементів аудиту користувачеві, контакту, комп'ютеру або групі.
8.	Застосовувати (Apply Onto).
9.	Встановіть прапорці Успіх (Successful)та/або Відмова (Failed)для необхідних подій аудиту. Аудит успіху означає створення запису аудиту для успішної події (наприклад, успішного читання файлу). Аудит відмов означає створення запису аудиту для невдалої події (наприклад, невдалої спроби видалення файлу). Події для аудиту збігаються з особливими дозволами (Таблиці 13-4 та 13-5) за винятком синхронізації автономних файлів та папок, аудит якої неможливий.
10.	Після завершення натисніть кнопку OK. Повторіть ці кроки, щоб настроїти аудит інших користувачів, груп або комп'ютерів.

Аудит об'єктів каталогу Active Directory

Якщо задіяна політика Аудит доступу до служби каталогів (Audit Directory Service Access), можна використовувати аудит на рівні об'єктів служби каталогів Active Directory. Це дозволить точно відстежувати їхнє використання.

Для налаштування аудиту об'єкта виконайте наступне:

1.	У оснащенні Active Directory - користувачі та комп'ютери (Active Directory Users And Computers)Виберіть контейнер об'єкта.
2.	Клацніть по об'єкту для аудиту правою кнопкою миші та в контекстному меню виберіть команду Властивості (Properties).
3.	Перейдіть на вкладку Безпека (Security)та натисніть кнопку Додатково (Advanced).
4.	Перейдіть на вкладку Аудит (Auditing)діалогового вікна Параметри керування доступом (Access Control Settings). Щоб параметри аудиту успадковувалися від батьківського об'єкта, повинен стояти прапорець Переносити аудит на цей об'єкт (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.	Використовуйте список Елементи аудиту (Auditing Entries)для вибору користувачів, комп'ютерів або груп, дії яких будуть відстежуватись. Щоб видалити обліковий запис з цього списку, виберіть його та натисніть кнопку Видалити (Remove).
6.	Щоб додати обліковий запис, натисніть кнопку Додати (Add). З'явиться діалогове вікно Вибір: Користувачі, Контакти, Комп'ютери або Групи (Select Users, Contacts, Computers, Or Groups), у якому виберіть обліковий запис для додавання. Коли натиснете OKз'явиться діалогове вікно Елемент аудиту для Ім'я папки або файлу(Auditing Entry For New Folder).
7.	Якщо необхідно уточнити об'єкти для застосування налаштувань аудиту, скористайтесь розкривним списком Застосовувати (Apply Onto).
8.	Встановіть прапорці Успіх (Successful)та/або Відмова (Failed)для необхідних подій аудиту. Аудит успіху означає створення запису аудиту для кожної успішної події (наприклад, успішного читання файлу). Аудит відмови означає створення запису аудиту для кожної невдалої події (наприклад, невдалої спроби видалення файлу).
9.	Після завершення натисніть кнопку OK. Повторіть ці кроки, щоб настроїти аудит інших користувачів, контактів, груп або комп'ютерів.

Матеріал узятий із книги «Windows 2000. Керівництво адміністратора». Автор Вільям Р. Станек (William R. Stanek). © Microsoft, 1999. Всі права захищені.