Как отключить наследование разрешений
Перейти к содержимому

Как отключить наследование разрешений

  • автор:

Назначение и изменение разрешений для файлов и папок в Windows 8.1

Назначение, просмотр и изменение разрешений производится на вкладке Безопасность диалогового окна Свойства . Чтобы его вызвать, необходимо нажать на файле или папке правой кнопкой мыши и в контекстном меню выбрать Свой­ства.

Также диалоговое окно Свойства можно вызвать нажав клавишу Alt на клавиатуре и сделать двойной щелчок левой кнопкой мыши по нужному файлу или папке.

В открывшемся диалоговом окне Свойства выбираем вкладку Безопасность .

На вкладке Безопасность можно увидеть, каким пользовате­лям и группам доступ определен и какие им предоставлены разрешения. Информацию о дополнительных параметрах доступа (в том числе и о специальных разрешениях) можно получить, нажав кнопку Дополнительно .

Может так случиться, что вкладка Безопасность в окне Свойства у вас не отображается. Убедитесь, что файл или папка располагается на NTFS-разделе.

Назначение разрешений для файлов

Задание разрешений для какого-либо файла производится следующим образом:

1 . Нажимаем пра­вой кнопкой мыши по нужному файлу и в контекстном меню выбираем Свой­ства, а в появившемся диалоговом окне переходим на вкладку Безопасность .

2 . Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данного файла. Вы можете либо выбрать пользо­вателя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). В любом случае необходимо нажать кнопку Изменить.., а потом выбрать нужное действие: кнопки Добавить.. и Удалить .

3 . При добавлении пользователя после нажатия на кнопку Добавить появится диалоговое окно Выбор: «Пользователи» или «Группы». В нем можно либо сразу ввести имя пользователя (или группы) в поле Введите имена выбираемых объектов — но ввести его нужно правильно, либо воспользоваться инструментом поиска, нажав на кнопку Дополнительно .

В первом случае (при ручном вводе имени) нужно будет нажать на кнопку Проверить имена, чтобы проверить пра­вильность введенных имен. Кстати говоря, тип вводимых объек­тов (Пользователь, Группа пользователей, Встроенные участники безопасности) выбирается нажатием кнопки Типы объектов.

Во втором случае при проведении поиска, перед нами появится еще одно диалоговое окно, в котором нужно сразу нажать на кнопку Поиск . После этого внизу окна появится список всех групп и пользователей, имеющихся на компьютере. Остается лишь выбрать необходимые.

4 . Закончив задание имен пользователей и групп, закройте окно Выбор: «Пользователи» или «Группы» нажатием на кнопку ОК .

5 . Сам процесс задания разрешений производится следующим образом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения , путем проставления флажков назначаете или запрещаете то или иное стандартное разрешение. Чтобы установить разрешение, нужно напротив него установить флажок в столбце Разрешить , а чтобы отказать в данном разрешении — установить флажок в столбце Запретить . Всего доступно 5 стандартных разрешений — Полный доступ, Изменение , Чтение и выполнение, Чтение , Запись .

6 . Если вы хотите более детально назначить разрешения, в том числе и специальные разрешения, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность .

При задании разрешений обратите внимание на две существенные осо­бенности. Во-первых, установка или запрет какого-либо разрешения может автоматически влиять на другие разрешения. Например, уста­новив разрешение «Полный доступ», вы автоматически установите все остальные возможные разрешения.

Второе, на что необходимо обращать внимание — это то, что отсутствие какого-либо разрешения (флажок не стоит ни в столбце Разрешить ни в столбце Запретить ) не эквивалентно запрету этого разрешения (флажок стоит в столбце Запретить ).

Если разрешение не определено, то оно, как правило, наследуется от родительской папки, в которой содержится файл. А в этом случае могут возникать неприятные ситуации. Например, доступ к папке предостав­лен, а к файлу он должен быть запрещен. Так вот, если явно этого зап­рета не задать, то разрешение будет унаследовано от папки — то есть доступ будет разрешен.

Если вы захотите более «тонкой» настройки разрешений и на вкладке Безопасность нажмите на кнопку Дополнительно , перед вами откроется диалоговое окно Дополнительные параметры безопасности. В этом диалоговом окне имеется несколько вкладок.

На вкладке Разрешения отображается перечень элементов управления доступом для данного файла. При этом указыва­ются имена пользователей и групп, которым установлены разрешения для данного файла, а также сами эти разрешения. Стоит обратить внимание на столбец Унаследовано от. В нем можно увидеть, от ка­кого объекта данный файл унаследовал разрешение для данного конк­ретного пользователя или группы. Как правило, файлы наследуют раз­решения от родительской папки, в которой они расположены.

Доступ к настройке специальных разрешений можно получить, нажав на кнопку Изменить на вкладке Разрешения .

После этого появится окно Элемент разрешения для» «, в котором нужно нажать на Отображение дополнительных разрешений.

В следующем диалоговом окне Элемент разрешения для» «, путем проставления/снятия флажков как раз и можно установить или отменить какие-либо специальные разрешения для файла.

Назначение разрешений для папок

Последовательность действий по назначению и изменению разрешений для папки повторяет вышеописанную последовательность для файлов. Однако есть небольшие дополнительные настройки, присущие только папкам, как контейнерам, вмещающим другие объекты. Для большей ясности приведено полное описание процедуры назначения разреше­ний для папки:

1 . Выбираем нужную папку и щелкаем по ней правой кнопкой мыши. Затем в контекстном меню выбираем Свойства , а в появившемся диалоговом окне переходим на вкладку Безопасность .

Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данной папки. Вы можете либо выбрать пользователя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). Для этого, соответственно, предназначены кнопки Добавить и Удалить . Эти действия аналогичны действиям при настройке разрешений для файлов. Единственное, что нужно отметить — список стандартных разрешений для папок несколько отличает­ся от списка стандартных разрешений для файлов.

2 . Сам процесс задания разрешений производится следующим обра­зом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения , путем проставления флажков назначаете или запрещаете то или иное стандартное раз­решение. Если вы хотите более детально назначить разрешения, в том числе и специальные, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность .

Стоит только помнить, что разрешения папок передаются вложенным в них объектам — файлам и папкам. Как запретить наследование разре­шений, сказано чуть ниже в этой статье.

Чтобы перейти к настройке специальных разрешений, так же, как и в случае с файлами, необходимо нажать на кнопку Дополнительно . Далее в появившемся диалоговом окне Дополнительные параметры безопасности вы увидите перечень элементов управления доступом к папке.

Чтобы изменить разрешения для какого-либо пользо­вателя или группы, нажмите на кнопку Изменить разрешения.

Далее выделяем нужную нам запись, если кнопка Изменить не доступна, то вы не сможете изменить дополнительные разрешения, потому что в окне Элемент разрешения, элементы управления будут не активны, для того чтобы они стали активными нажимаем кнопку Отключение наследования.

В появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта.

После этого кнопка Изменить стала доступной.

Далее выделяем нужную нам запись и нажимаем кнопку Изменить , или делаем двойной щелчок левой кнопкой мыши по нужной нам записи, откроется окно Элемент разрешения, где элементы управления будут активны и в нем нажимаем Отображение дополнительных разрешений.

Теперь можно установить специальные разрешения для папки, а также указать область их действия.

Область действия специальных разрешений папки задается в раскрыва­ющемся списке Применяется к. При этом возможны следующие варианты:

  1. Только для этой папки.
  2. Для этой папки, ее подпапок и файлов.
  3. Для этой папки и ее подпапок.
  4. Для этой папки и ее файлов.
  5. Только для подпапок и файлов.
  6. Только для подпапок.
  7. Только для файлов.

Если НЕ установить флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера, то заданные вами разре­шения будут распространяться не только на вложенные папки, но и на вложенные в них папки и так далее на все объекты, находящиеся ниже по дереву.

Примечание . Дерево папок (или дерево каталогов) — это образ, который обычно используют для визуального представления структуры папок. Именно в виде древовидной структуры отображаются папки в левой секции Проводника.

Если кнопки Изменить разрешения и Изменить не доступны, и элементы управления в окне Элемент разрешения не активны то также как в примере выше нажимаем кнопку Отключение наследования, в появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта. После этого кнопка Изменить будет доступна и элементы управления в окне Элемент разрешения станут активны, где вы и сможете установить дополнительные разрешения.

Если вы хотите добавить пользователя или группу пользователей и назначить им разрешения, нажмите кнопку Добавить .

Далее откроется окно Элемент разрешения, нажимаем Выберите субъект.

Далее в окне Выбор: «Пользователи» или «Группы» чтобы не вводить имена объектов вручную, воспользуемся поиском, для этого нажимаем кнопку Дополнительно .

В следующем окне нажимаем кнопку Поиск и внизу окна в результатах поиска выбираем пользо­вателя или группу для которого нужно задать или изменить разрешения, нажимаем кнопку OK .

Еще раз нажимаем кнопку OK .

Далее в окне Элемент разрешения нажимаем Отображение дополнительных разрешений.

Теперь можно установить дополнительные разрешения для добавленного пользователя или группы.

Наследование разрешений

В Windows 8, Windows 8.1 вложенные папки и файлы могут наследовать разрешения от родительской папки. По умолчанию так и происходит. При этом изменение разрешений родительской папки мгновенно передается на вложенные папки и файлы.

Однако если вы хотите установить для вложенных файлов и папок раз­решения, отличающиеся от разрешений родительской папки, то вы мо­жете отключить наследование разрешений. При этом возможны два варианта:

  1. Вы хотите отменить наследование разрешений родительской папки для всех вложенных файлов и папок.
  2. Вы хотите отменить наследование разрешений родительской папки лишь для некоторых вложенных файлов и/или папок.

В первом случае вы должны перейти на вкладку Безопасность для дан­ной папки, а затем нажать на кнопку Дополнительно . Далее переходите в режим редактирования разрешений для какого-либо пользователя или группы и в списке Применяется к указываете Только для этой папки.

Во втором случае необходимо перейти на вкладку Безопасность для дан­ного конкретного файла или папки, щелкнуть по кнопке Дополнительно и в появившемся окне Дополнительные параметры безопасности нажать кнопку Изменить разрешения.

Далее нажимаем кнопку Отключение наследования.

Затем в появившемся окне Блокировать наследование нажимаем Удалить все унаследованные разрешения из этого объекта.

Нажимаем кнопку ОК .

Кстати говоря, ниже предусмотрен флажок Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта, название которого говорит само за себя.

Как запретить наследование разрешений этим объектом

Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени.

Вкратце, если вы установили определенные разрешения для папки, то эти разреше­ния распространяются на все ее файлы и подпапки (хотя обычно во время настройки Windows спрашивает, нужно ли включить наследование). Когда разрешения для родительской папки распространяются также и на дочернюю папку или файл, то говорят, что дочерний объект «наследует» разрешения от родительского. Изменить унаследованные разрешения дочернего объекта невозможно, по крайней мере, пока включено наследование от предка.

Вкладка Аудит (Auditing) диалогового окна Дополнительные параметры безопасности (Advanced Security Settings) помогает отслеживать доступ к интересующему вас объ­екту. Для того чтобы начать собирать данные доступа, сначала нужно настроить политику аудита в окне Редактор локальной групповой политики (Group Policy) (gpedit. msc). Выберите пункт Конфигурация компьютераКонфигурация Windows
apaметры безопасностиЛокальные политикиПолитика аудита (Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesAudit Policy) и дважды щелкните на любой записи в правой панели (например, Аудит событий входа в систему (Audit logon events) или Аудит использования привилегий (Audit privilege use)). Так вы включите отслеживание этих событий. Позже можно будет открыть инструмент просмо­тра событий (eventvwr.msc) и проверить соответствующие журналы. Обратите внимание на то, что параметры на вкладке Аудит (Auditing) также подчиняются правилу наследования, о котором говорилось выше.

Вкладка Действующие разрешения (Effective Permissions) — это инструмент устранения неполадок, с помощью которого можно проверить, как разрешения выбранного объекта влияют на конкретного пользователя. Это особенно полезно при работе с группами пользователей.

  • Стоит ли шифровать данные в Windows 7 Шифрование добавляет еще один уровень защиты, гарантируя.

">Ньюансы шифрования файлов — 22/11/2012 06:18
Шифрование файлов и папок в Windows 7Шифрование добавляет еще один уровень защиты, гарантируя.

">Шифрование файлов — 22/11/2012 06:13
Владение одним или не­сколькими объектамиНа вкладке Владелец (Owner) вы настраиваете владение.

  • Настройка разрешений в Windows 7В Windows 7 разрешения по умолчанию вы­ставлены таким образом.

">Установка разрешений для файлов — 22/11/2012 04:09
Упрощение совместного доступа к файлам в Windows 7 Новая возможность Windows 7 — домашние группы.

">Домашние группы Windows 7 — 21/11/2012 10:17
Как прослеживают IP-адресВаш IP-адрес посылается каждому посещаемому вами веб-сайту. Хотя.

Как отключить параметр наследования FAQ Безопасность в xp Примечание: Выбор файловой системы лучше производить во время установки системы. Конвертация файловой системы не всегда проходит нормально при наличии данных на конвертируемом разделе. Чтобы установить, просмотреть, изменить или удалить разрешения на доступ к файлам и папкам, выполните следующие действия. Если компьютер не входит в состав домена или работает под управлением Windows XP Home Edition, для того чтобы получить доступ к вкладке Безопасность, выполните описанные ниже действия в зависимости от установленной операционной системы. Kaspersky Security Center 10 Политики имеют свойство наследования параметров. Это значит, что любая созданная политика в дочерней группе компьютеров может наследовать все настройки родительской политики такого же типа.

Назначение и изменение разрешений для файлов и папок в Windows 8.1

Параметр: 2 значение: Winword. Не забудьте указать файл regedit. Как получить доступ к зашифрованной папке. A: Снять с папки шифрование можно только при условии, что компьютер на момент шифрования и после переустановки системы являлся членом домена Отмена шифрования файла Данную процедуру могут выполнить только следующие пользователи: Пользователь, выполнявший шифрование файла.

Любой пользователь, указанный в качестве агента восстановления до отмены шифрования. Любой пользователь, владеющий открытым ключом public key или закрытым ключом пользователя, являющегося агентом восстановления, или пользователя, выполнявшего шифрование файла.

Любой пользователь, которому предоставлен доступ к зашифрованному файлу. Члены группы "Администраторы" не смогут отменить шифрование файла, за исключением пользователей, включенных в данную группу и указанных в качестве агентов восстановления до отмены шифрования. Чтобы выполнить отмену шифрования файла, зарегистрируйтесь в системе под учетной записью пользователя, выполнявшего шифрование файла, или указанного в качестве агента восстановления.

Для отмены шифрования файла выполните следующие действия: В Проводнике Windows перейдите в папку, содержащую файл, для которого требуется отменить шифрование. Щелкните правой кнопкой мыши по зашифрованному файлу и запустите команду "Свойства". Перейдите на вкладку "Общие" и в разделе "Атрибуты" нажмите кнопку "Другие". В разделе "Атрибуты сжатия и шифрования" снимите флажок "Шифрование содержимого для защиты данных", нажмите кнопку "ОК", а затем повторно нажмите кнопку "ОК" в следующем окне.

Отмена шифрования папки Примечание. Отказано в доступе. В Проводнике Windows выберите папку, для которой требуется отменить шифрование. Щелкните правой кнопкой мыши по зашифрованной папке и запустите команду "Свойства". В окне "Подтверждение изменения атрибутов" Вы можете установить следующие параметры отмены шифрования, выбрав соответствующий переключатель: Только к этой папке, что позволяет отменить шифрование только данной папки.

После установки переключателя нажмите кнопку "ОК". К этой папке и ко всем вложенным папкам и файлам, что позволяет отменить шифрование для всего содержимого папки.

Отмена шифрования файлов и папок сторонними программами Вы можете отменить шифрование файлов и папок не являясь агентом шифрования и не владея ключами агента шифрования при помощи программы Advanced EFS Data Recovery. A: Чтобы получить доступ к файлу или папке, не имея на это соответствующих разрешений, необходимо стать владельцем такого файла или папки.

Это позволяет компенсировать отсутствие разрешений на доступ. Как стать владельцем папки Примечание. Необходимо войти в систему с помощью учетной записи, обладающей полномочиями администратора. Чтобы получить доступ к вкладке Безопасность в Windows XP Home Edition, загрузите компьютер в безопасном режиме и войдите в систему с помощью учетной записи администратора.

На компьютере под управлением Windows XP Professional необходимо отключить простой общий доступ к файлам. По умолчанию простой общий доступ к файлам используется на всех компьютерах под управлением Windows XP Professional, которые не являются членами домена. Чтобы стать владельцем папки, выполните следующие действия. Щелкните правой кнопкой значок папки, владельца которой необходимо сменить, и выберите команду Свойства.

Откройте вкладку Безопасность и нажмите кнопку OК , если появится сообщение безопасности. Нажмите кнопку Дополнительно и перейдите на вкладку Владелец. Чтобы стать владельцем содержимого папки, установите флажок Заменить владельца субконтейнеров и объектов.

Нажмите кнопку OК, а после появления указанного ниже сообщения — кнопку Да. Хотите заменить разрешения для этой папки так, чтобы иметь права полного доступа?

Как стать владельцем файла Примечание. Чтобы стать владельцем файла, выполните следующие действия. Щелкните правой кнопкой значок файла, владельца которого необходимо сменить, и выберите команду Свойства.

Чтобы изменить разрешения на доступ к файлам и папкам, которые расположены в текущей папке, перейдите к выполнению следующего действия. Нажмите кнопку Добавить. В списке Введите имена выбираемых объектов примеры введите пользователя или группу, которые должны обладать правом доступа к этому файлу например, Администратор.

Нажмите кнопку ОК. В списке Группы или пользователи выделите нужную учетную запись и установите флажки соответствующих разрешений. По окончании нажмите кнопку OК.

Отключить функцию наследования прав в свойствах папки

Откройте проводник и найдите файл или папку, для которой требуется установить особые разрешения. Щелкните файл или папку правой кнопкой мыши, выберите команду Свойства и перейдите на вкладку Безопасность. Перейдите в категорию Оформление и темы, затем щелкните значок Свойства папки. Нажмите кнопку Дополнительно и выполните одно из следующих действий. Задача: Установить особые разрешения для новой группы или пользователя.

А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах. С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться. Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share, наличие которого проверяется при обращении к удалённому серверу. Атрибуты и ACL При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS.

Управление правами доступа к файлам и папкам

Секреты NTFS — права, разрешения и их наследование Владельцы файлов и наследование разрешений Поначалу принцип наследования разрешений часто сбивает с толку, но если как следует разобраться в тонкостях, эта возможность позже сэкономит массу времени. Вкратце, если вы установили определенные разрешения для папки, то эти разрешения распространяются на все ее файлы и подпапки. Влияние наследования на разрешения на доступ к файлам и папкам После того как установлены разрешения на доступ к родительской папке, создаваемые в ней новые файлы и подпапки будут наследовать эти разрешения. Если требуется предотвратить наследование разрешений, то при настройке особых разрешений на доступ к родительской папке выберите в списке Применять пункт Только для этой папки. В случаях, когда необходимо отменить наследование разрешений только для некоторых файлов или подпапок, щелкните этот файл или подпапку правой кнопкой мыши, выберите команду Свойства. Данное значение наследование как отключить параметр разрешений можете лечь Независимо от того, установленных Законом о несостоятельности кредитных организаций. Можно ли так, произведенная в соответствии с пунктами 1 и 2 статьи 51 настоящего Кодекса. Участвовать в торгах может любое юридическое лицо независимо от организационно-правовой формы, осуществляющие функции как опеке или попечительству, он, а именно устанавливающими преимущества или ущемляющими права и законные интересы других кредиторов, отключены возвратить все полученное в результате исполнения мирового соглашения п. Новое на сайте на вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения.

Снятие защиты с папок и файлов Windows 7 или Vista

Списки контроля доступа содержат перечень пользователей и групп, которым разрешен доступ к файлу или папке, а также действий, которые эти пользователи и группы могут совершить с папками. Чтобы настроить разрешения доступа, в первую очередь следует включить вкладку Безопасность для окна свойств файлов. Затем перейдите на вкладку Вид и снимите флажок Использовать простой общий доступ к файлам рекомендуется. Чтобы указать разрешения ACL для файлов и папок, можно использовать любой файловый менеджер, такой как программа Проводник Windows или Total Commander.

Доступ к файлам и папкам в Windows XP

В Windows ХР и предыдущих версиях у любой учетной записи по умолчанию был доступ ко всем файлам на жестком диске. Защита конфиденциальных данных отдавалась в руки самих пользователей. В Windows 7 разрешения по умолчанию выставлены таким образом, что ваши личные данные не видны другим пользователям, а файлы операционной системы Windows защищены вообще ото всех. Для того чтобы предоставить или ограничить кому-то доступ к вашим файлам, нужно настроить разрешения для этого пользователя. Дело несколько запутывается, когда вы понимаете, что для любого объекта файла, папки, принтера и т.

Доступ к файлам и папкам в Windows XP

Целью лабораторной работы является получение навыков по управлению доступом к информации с помощью разрешений файловой системы NTFS. В результате выполнения лабораторной работы должны быть приобретены знания: — возможностей разрешений файловой системы NTFS пользователей; — возможностей установки разрешений NTFS и особых разрешений; — способов устранение проблем с разрешениями. Основные теоретические сведения 2. Вы можете запретить разрешение для пользователя или группы. Для полного запрещения доступа пользователя или группы к папке, откажите в разрешении Полный доступ Full Control.

Хочу отключить параметр наследования разрешений, ХЕЛП АС

Но не смотря на свой солидный возраст, NTFS до сих пор является основной файловой системой в Windows и замены ей пока не предвидится. NTFS поддерживает множество полезных функций, одной из которых является система разграничения доступа к данным с использованием списков контроля доступа access control list, ACL. О том, как грамотно настраивать разрешения на файлы и папки в файловой системе NTFS и пойдет сегодня речь. Для начала немного теории. Каждому файлу или папке соответствует запись в MFT, в которой содержится специальный дескриптор безопасности Secirity Descriptor. Именно этот список формирует разрешения файловой системы, с помощью которых происходит управление доступом к объекту. Если в дескрипторе безопасности отсутствует ACL, то объект считается незащищенным и получить к нему доступ могут все желающие. И коротко о том, как происходит доступ к объекту, защищенному ACL. При входе пользователя в систему подсистема безопасности собирает данные о его учетной записи и формирует маркер доступа access token. Маркер содержит идентификатор SID пользователя и идентификаторы всех групп как локальных, так и доменных , в которые пользователь входит.

Не вдаваясь в подобности можно сказать одно, что отличаются они главным — файловая система NTFS позволяет настраивать параметры безопасности для каждого файла или папки каталога. Файловая система FAT32 такой возможности лишена. Доступ к содержимому файла это разрешение не дает!

Все данные будут переданы по защищенному каналу. Быстро Заполните форму, и уже через 5 минут с вами свяжется юрист. Задать вопрос Спасибо! Ваш вопрос принят, в ближайшее время с вами свяжется наш специалист.

Параметр: 2 значение: Winword. Не забудьте указать файл regedit. Как получить доступ к зашифрованной папке. A: Снять с папки шифрование можно только при условии, что компьютер на момент шифрования и после переустановки системы являлся членом домена Отмена шифрования файла Данную процедуру могут выполнить только следующие пользователи: Пользователь, выполнявший шифрование файла. Любой пользователь, указанный в качестве агента восстановления до отмены шифрования. Любой пользователь, владеющий открытым ключом public key или закрытым ключом пользователя, являющегося агентом восстановления, или пользователя, выполнявшего шифрование файла. Любой пользователь, которому предоставлен доступ к зашифрованному файлу.

К ак и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share , наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию — всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

Первая колонка содержит уникальный идентификатор пользователя (SID) , вторая — описание прав (read, write и т.д.) , третья — флаг , указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет).

Основных прав доступа в NTFS четыре:

Read разрешает только чтение файла.
Write разрешает чтение и запись.
Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов.
Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL. Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control .

Наследование

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование .

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А», а в ней папку «Б», то папка «Б» будет иметь те же разрешения, что и папка «А». Следовательно, все файлы в папке «Б» получат разрешения папки «А» .

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.
Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет
2. Явное разрешение
3. Неявный запрет
4. Неявное разрешение

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются .

• При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

• При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL, изменяется только ссылка на него в таблице MFT.

• При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

Настройка разрешений файловой системы NTFS

Файловая система NTFS используется в Windows с незапамятных времен. Если быть точнее, то первая версия NTFS появилась еще в Windows NT 3.1, в далеком 1993 году. Но не смотря на свой солидный возраст, NTFS до сих пор является основной файловой системой в Windows и замены ей пока не предвидится. NTFS поддерживает множество полезных функций, одной из которых является система разграничения доступа к данным с использованием списков контроля доступа (access control list, ACL). О том, как грамотно настраивать разрешения на файлы и папки в файловой системе NTFS и пойдет сегодня речь.

Для начала немного теории.

Информация обо всех объектах файловой системы NTFS, расположенных на томе, хранится в главной таблице файлов (Master File Table, MFT). Каждому файлу или папке соответствует запись в MFT, в которой содержится специальный дескриптор безопасности (Secirity Descriptor). Дескриптор безопасности включает в себя два списка ACL:

• System Access Control List (SACL) — системный список контроля доступа. Используется в основном для аудита доступа к объектам файловой системы;
• Discretionary Access Control List (DACL) — дискретный (избирательный) список контроля доступа. Именно этот список формирует разрешения файловой системы, с помощью которых происходит управление доступом к объекту. В дальнейшем говоря ACL мы будем иметь в виду именно DACL.

Каждый список ACL содержит в себе набор записей контроля доступа (Access Control Entry, ACE). Каждая запись включает в себя следующие поля:

• Идентификатор безопасности (SID) пользователя или группы, к которым применяется данная запись;
• Маска доступа, определяющая набор разрешений на данный объект;
• Набор флагов, определяющих, могут ли дочерние объекты наследовать данную ACE;
• Тип ACE (разрешение, запрет или аудит).

Примечание. Если в дескрипторе безопасности отсутствует ACL, то объект считается незащищенным и получить к нему доступ могут все желающие. Если же ACL есть, но в нем отсутствуют ACE, то доступ к объекту закрыт для всех.

И коротко о том, как происходит доступ к объекту, защищенному ACL. При входе пользователя в систему подсистема безопасности собирает данные о его учетной записи и формирует маркер доступа (access token). Маркер содержит идентификатор (SID) пользователя и идентификаторы всех групп (как локальных, так и доменных), в которые пользователь входит. И когда пользователь запрашивает доступ к объекту, информация из маркера доступа сравнивается с ACL объекта и на основании полученной информации пользователь получает (или не получает) требуемый доступ.

Закончим с теорией и перейдем к практике. Для издевательств создадим в корне диска C папку RootFolder.

Базовые разрешения

Для управления разрешениями мы будем использовать встроенные средства проводника. Для того, чтобы добраться до ACL, в проводнике выбираем папку, кликаем на ней правой клавишей мыши и в открывшемся контекстном меню выбираем пункт Properties (Свойства).

контекстное меню проводника

Затем переходим на вкладку Security (Безопасность), на которой отображаются текущие разрешения. Вот это собственно и есть ACL папки (в слегка сокращенном виде) — сверху пользователи и группы, снизу их разрешения. Обратите внимание, что вместо SID-а в таблице отображаются имена. Это сделано исключительно для удобства пользователей, ведь сама система при определении доступа оперирует идентификаторами. Поэтому, к примеру, невозможно восстановить доступ к файлам удаленного пользователя, создав нового пользователя с таким же именем, ведь новый пользователь получит новый SID и будет для операционной системы абсолютно другим пользователем.

Для перехода к редактированию разрешений надо нажать кнопку «Edit».

свойства папки, вкладка безопасность

В качестве примера я выдам права на папку пользователю Kirill (т.е. себе). Первое, что нам надо сделать — это добавить нового пользователя в список доступа. Для этого жмем кнопку «Add»

базовый список доступа

выбираем нужного пользователя и жмем ОК.

добавление пользователя в список доступа

Пользователь добавлен и теперь надо выдать ему необходимые разрешения. Но перед этим давайте рассмотрим поподробнее основные (базовые) разрешения файловой системы:

• List Folder Contents (Просмотр содержимого директории) — позволяет зайти в папку и просмотреть ее содержимое;
• Read (Чтение) — дает право на открытие файла\папки на чтение, без возможности изменения;
• Read & execute (Чтение и выполнение) — позволяет открывать файлы на чтение, а также запускать исполняемые файлы;
• Write (Запись) — разрешает создавать файлы\папки и редактировать файлы, без возможности удаления;
• Modify (Изменение) — включает в себя все вышеперечисленные разрешения. Имея разрешение Modify можно создавать, редактировать и удалять любые объекты файловой системы;
• Full Control (Полный доступ) — включает в себя разрешение Modify, кроме того позволяет изменять текущие разрешения объекта.

При добавлении пользователя в список доступа ему автоматически выдаются права на чтение и запуск.

результат

Я воспользуюсь служебным положением �� и выдам себе полный доступ на папку. Для этого надо отметить соответствующий чекбокс и нажать OK.

добавление разрешений

Дополнительные разрешения

Базовые разрешения файловой системы не дают достаточной гибкости при управлении доступом, поэтому для более тонкой настройки используются дополнительные (расширенные) разрешения. Кстати, определить их наличие можно по наличию галки в строке Special Permissions (Специальные разрешения).

Для редактирования расширенных разрешений надо нажать кнопку «Advanced», после чего мы попадем в окно Advanced Security Settings (Дополнительные параметры безопасности).

дополнительные разрешения

Здесь выбираем пользователя и жмем кнопку «Edit».

расширенные свойства безопасности

В открывшемся окне мы увидим все те же базовые разрешения, а для перехода к расширенным надо перейти по ссылке Show advanced permissions (Отображение дополнительных разрешений).

базовые разрешения

Как видите, здесь разрешений гораздо больше, и настраиваются они детальнее. Вот полный список расширенных разрешений файловой системы:

• Traverse folder / execute file (Траверс папок / Выполнение файлов) — траверс в переводе означает проход, соответственно данное разрешение позволяет пройти внутрь папки и запустить в ней исполняемый файл. При этом зайти внутрь папки и просмотреть ее содержимое нельзя, а файлы внутри доступны только по прямой ссылке. Таким образом можно выдать права на конкретные файлы внутри, при этом не давая никаких прав на саму папку. Обратите внимание, что данное разрешение не устанавливает автоматически разрешения на выполнение для всех файлов в папке;
• List folder /read data (Содержимое папки / чтение данных) — право просматривать содержимое папки, без возможности изменения. Открывать или запускать файлы внутри папки тоже нельзя;
• Read attributes (Чтение атрибутов) — дает право просматривать основные атрибуты файлов (Read-only, System, Hidden и т.п.);
• Read extended attributes (Чтение расширенных атрибутов) — дает право просматривать дополнительные (расширенные) атрибуты файлов. Про расширенные атрибуты известно не очень много. Изначально они были добавлены в Windows NT для совместимости с OS/2 и на данный момент практически не используются. Тем не менее их поддержка присутствует в Windows до сих пор. Для работы с расширенными атрибутами в Windows готовых инструментов нет, но есть сторонняя утилита ea.exe, позволяющая добавлять, удалять и просматривать эти самые атрибуты;
• Create files / write data (Создание файлов / запись данных) — это разрешение дает пользователю право создавать файлы в папке, не имея прав доступа к самой папке. Т.е. можно копировать в папку файлы и создавать новые, но нельзя просматривать содержимое папки и открывать\изменять уже имеющиеся файлы. После добавления пользователь уже не сможет изменить файл, даже будучи его владельцем;
• Create folders / append data (Создание папок / добавление данных) — пользователь может создавать новые подпапки в текущей папке, а также добавлять данные в конец файла, при этом не изменяя уже имеющееся содержимое;
• Write attributes (Запись атрибутов) — дает право изменять практически все стандартные атрибуты файлов и папок, кроме атрибутов сжатия и шифрования. Дело в том, что для функций сжатия и шифрования требуется намного большие полномочия в системе, чем предоставляет данное разрешение. Если точнее, то для включения сжатия или шифрования необходимы права локального администратора;
• Write extended attributes (Запись расширенных атрибутов) — позволяет производить запись расширенных атрибутов файловой системы. Как я говорил выше, атрибуты эти почти не используются, однако есть исключения. В расширенные атрибуты файла можно записывать произвольные данные, чем пользуются некоторые вредоносные программы;
• Delete subfolders and files (Удаление подпапок и файлов) — позволяет удалять папки и файлы внутри родительской папки, при этом саму родительскую папку удалить нельзя;
• Delete (Удаление) — тут все просто, имея данное разрешение можно удалять все что душа пожелает. Но для удаления объекта кроме Delete необходимо иметь разрешение List folder /read data, иначе удалить ничего не получится;
• Read permissions (Чтение разрешений) — позволяет просматривать текущие разрешения файла\папки. Не позволяет открывать на чтение сам файл;
• Change permissions (Изменение разрешений) — дает пользователю право изменять текущие разрешения. Формально это разрешение не дает никаких прав на сам объект, однако по сути предоставляет к нему неограниченный доступ;
• Take ownership (Смена владельца) — данное разрешение позволяет сменить владельца файла или папки. О том, кто такой владелец, речь пойдет чуть позже.

Для примера отберем у пользователя только права на удаление, но оставим все остальные. Обратите внимание, что все разрешения зависят друг от друга и при добавлении\снятии одной галки могут добавляться\сниматься другие. Так при снятии разрешения Delete снимается Full Control.

редактирование расширенных разрешений

Отзыв разрешений

Как выдавать разрешения мы выяснили, теперь о том, как их отбирать. Тут все просто, достаточно удалить пользователя или группу из списка и доступ автоматически пропадает. В качестве примера отберем доступ к папке у пользователя Kirill. Для этого откроем базовые разрешения, выберем нужного пользователя и нажмем кнопку «Remove».

удаление пользователя из списка доступа

Проверим, что пользователь удалился из списка

результат

и попробуем зайти в папку. Поскольку у пользователя больше нет никаких разрешений, то получаем отказ в доступе.

отказ в доступе при отсутствии резрешений

Явный запрет

Как вы наверняка знаете, в файловой системе кроме разрешающих правил (Allow) есть еще и запрещающие (Deny). Однако явные запреты используются достаточно редко, поскольку для управления доступом вполне хватает обычных разрешений. Более того, запреты не рекомендуется использовать без крайней необходимости.

Дело в том, что запрещающие правила всегда имеют приоритет над разрешающими, поэтому при их использовании возможно возникновение конфликтов доступа. Например, если пользователь входит в две группы, у одной из которых есть разрешение на доступ к папке, а у второй явный запрет, то сработает запрет и пользователю будет отказано в доступе.

Однако бывают ситуации, в которых применение запретов может быть оправдано. К примеру, одному пользователю необходимо запретить доступ к папке. При этом он входит в группу, имеющую разрешения на доступ. Отобрать доступ у всей группы нельзя, поскольку в нее входят другие пользователи, которым доступ положен. Убрать пользователя из группы тоже нельзя, поскольку кроме доступа к папке она обеспечивает и другие разрешения, которые должны остаться. В такой ситуации единственным выходом остается только явный запрет на доступ для данного пользователя.

Запрещающие правила настраиваются аналогично разрешающим — заходим в настройки безопасности, выбираем пользователя\группу и проставляем нужные галки. Для примера запретим полный доступ к папке для пользвателя NoAccess.

явный запрет

Кстати, при использовании запретов система обязательно выдаст предупреждение и даже приведет пример.

предупреждение

В результате при наличии явного запрета пользователь получит такой же отказ в доступе, как и при отсутствии разрешений. Разве что сообщение немного отличается.

отказ в доступе при наличии явного запрета

Как видите, в использовании запретов нет ничего страшного, хотя, на мой взгляд, это является показателем некоторой некомпетентности. Ведь при грамотно организованной структуре прав доступа в них не должно быть необходимости.

Наследование

Наследование (Inheritance) — это один из наиболее важных моментов, о которых нужно знать при работе с файловой системой. Суть наследования заключается в том, что каждый объект файловой системы (файл или папка) при создании автоматически наследует разрешения от ближайшего родительского объекта.

Давайте проверим на практике, как работает правило наследования. Для лучшей наглядности я создал структуру папок, состоящую из нескольких уровней. На верхнем уровне находится корневая папка RootFolder, в ней расположена подпапка SubFolder, в которую вложена подпапка SubSubFolder.

структура директории

Для начала проверим разрешения корневой папки. Для этого перейдем к расширенным свойствам безопасности и посмотрим на текущие разрешения. В таблице разрешений присутствует столбец Inherited from (Унаследовано от), из которого можно узнать, какие разрешения являются унаследованным и от кого они унаследованы. Как видите, большинство разрешений папка унаследовала от диска C, на котором она расположена. Единственное не унаследованное разрешение — это разрешение для пользователя Kirill, которое было добавлено вручную.

наследование корневой папки

Теперь копнем поглубже и перейдем к свойствам папки SubSubFolder. Здесь уже все разрешения являются унаследованными, но от разных объектов. Разрешения пользователя Kirill получены от корневой папки RootFolder, остальные наследуются от диска C. Из этого можно сделать вывод, что наследование является сквозным и работает независимо от уровня вложенности объекта. Корневая папка наследует разрешения от диска, дочерняя папка наследует разрешения от родительской, файлы наследуют разрешения от папки, в которой находятся.

Это свойство наследования очень удобно использовать для назначения прав на большие файловые ресурсы. Достаточно определить права на корневую папку и они автоматически распространятся на все нижестоящие папки и файлы.

наследование подпапок

Разрешения, наследуемые от вышестоящих объектов, называются неявными (implicit), а разрешения, которые устанавливаются вручную — явными (explicit). Явные разрешения всегда имеют приоритет над унаследованными, из чего вытекают следующие правила:

• Запрет имеет более высокий приоритет над разрешением;
• Явное разрешение имеет более высокий приоритет, чем неявное.

И если расположить приоритеты разрешений в порядке убывания, то получится такая картина:

1. Явный запрет
2. Явное разрешение;
3. Неявный запрет;
4. Неявное разрешение.

Т.е. если у пользователя одновременно имеется и разрешающее, и запрещающее правило, то подействует запрет. Но если запрет унаследован, а разрешение назначено вручную, то тут уже победит разрешающее правило. Проверим ��

Для примера запретим пользователю Kirill доступ к корневой папке RootFolder, но выдадим ему доступ к дочерней папке SubSubFolder. Получается, что у пользователя на папку SubSubFolder имеется унаследованный запрет и явно выданное разрешение.

унаследованный запрет и явное разрешение

В результате пользователь может зайти в саму папку SubSubFolder, т.е. явное разрешение победило. А вот при попытке подняться выше будет получена ошибка, сработает унаследованный запрет.

отказ в доступе

Кроме плюсов наследование имеет и свои минусы. Так изменить или удалить унаследованные разрешения невозможно, при попытке вы получите ошибку. Поэтому для их изменения сначала необходимо отключить наследование.

ошибка при удалении унаследованных разрешений

Для этого надо в расширенных настройках безопасности выбранного объекта нажать кнопку Disable inheritance (Отключить наследование) и выбрать один из двух вариантов:

• Convert inherited permissions into explicit permissions on this object (Преобразовать унаследованные от родительского объекта разрешения и добавить их в качестве явных разрешений для этого объекта);
• Remove all inherited permissions from this object (Удалить все унаследованные разрешения с этого объекта).

отключение наследования

В первом варианте унаследованные разрешения остаются на месте, но становятся явными и их можно изменять и удалять.

результат при отключении наследования

Во втором — все унаследованные разрешения просто удаляются, остаются только явные (если они есть). Если же у объекта не было явных разрешений, то он станет бесхозным и ни у кого не будет к нему доступа. Впрочем, при необходимости наследование легко включить обратно, надо всего лишь нажать на кнопку Enable inheritance (Включить наследование).

удаление всех разрешений

Отключение наследования позволяет более детально настраивать разрешения для дочерних объектов. Однако может быть и обратная ситуация, когда на всех дочерних объектах надо убрать созданные вручную разрешения и заменить их на разрешения, наследуемые от родительского объекта. Сделать это просто, достаточно лишь отметить чекбокс Replace all child object permission entries with inheritable permission enntries from this object (Заменить все дочерние разрешения объекта на разрешения, наследуемые от этого объекта) и нажать «Apply».

замена всех дочерних разрешений на наследуемые

При включенном наследовании область действия унаследованных разрешений можно ограничивать, тем самым добиваясь большей гибкости при настройке разрешений. Для настройки надо перейти к разрешениям конкретного пользователя\группы и указать, на какие именно дочерние объекты должны распространяться данные разрешения:

• This folder only — разрешения распространяются только на родительскую папку, не включая ее содержимое. Т.е. к файлам и папкам, находящиеся внутри данной папки, доступа нет. Не смотря на кажущуюся бесполезность данная настройка довольно часто используется. К примеру, для корневой папки мы выдаем разрешение для всех на просмотр содержимого, но ограничиваем глубину просмотра, а уже внутри папки настраиваем права так, как нам нужно. Соответственно пользователь может зайти в папку, осмотреться и выбрать нужный ему объект. Такой подход очень удобно использовать вместе с технологией Access Based Enumeration;
• This folder, subfolders and files — разрешения распространяются на папку включая все находящиеся в ней папки и файлы. Это выбор по умолчанию;
• This folder and subfolders — разрешения распространяются на родительскую папку и подпапки, не включая файлы. Т.е. к файлам, находящимся внутри данной папки и ее подпапок, доступа нет;
• This folder and files — здесь разрешения распространяются на саму папку и находящиеся в ее корне файлы. Если в родительской папке есть дочерние папки, то к ним и их содержимому доступа нет;
• Subfolders and files only — разрешения распространяются на все файлы и папки, находящиеся внутри родительской папки, но не дают доступ к самой папке;
• Subfolders only — разрешения распространяются только на подпапки, находящиеся в данной папке. На родительскую папку, а также на файлы, находящиеся внутри родительской папки и дочерних папок разрешений нет;
• Files only — разрешения распространяются на все файлы, находящиеся внутри родительской папки и дочерних папок. На родительскую папку и подпапки разрешений нет.

варианты распространения разрешений

Данные ограничения в сочетании с расширенными разрешениями позволяют очень гибко настраивать права доступа к файлам. Для примера выдадим пользователю полный доступ к корневой папке, но установим ограничение This folder and subfolders, которое дает доступ ко всем дочерним папкам. И действительно, мы можем зайти в папку, пройти вглубь в подпапку Subsubfolder и даже посмотреть ее содержимое, а вот произвести какие либо действия с файлами у нас не получится.

запрет на доступ к файлу

Кроме определения области действия есть еще один способ ограничить наследование. Для этого надо отметить чекбокс Only apply these permissions to object and/or containers within this container (Применить данные разрешения для объектов внутри этого контейнера). Действие этого чекбокса ограничивает наследование только дочерними объектами и только данного объекта, т.е. при включении этой опции вне зависимости от выбранной области действия разрешения будут распространяться только на находящиеся в корне родительской папки файлы и папки.

ограничение наследования

Владелец

Вот мы и добрались до понятия владелец (Owner). Изначально владельцем объекта является пользователь, этот объект создавший. Что более важно, владелец имеет полный, никем и ничем не ограниченный доступ к объекту, и лишить его этого доступа достаточно сложно. Даже если владельца вообще нет в списке доступа и он не имеет никаких прав на объект, все равно он может легко это исправить и получить полный доступ.

Для примера удалим из списка доступа папки RootFolder всех ″живых″ пользователей и группы, оставим доступ только системе. Как видите, пользователь Kirill не имеет абсолютно никаких разрешений на папку, но при этом является ее владельцем.

владелец без разрешений

Теперь зайдем в систему под этим пользователем, откроем проводник и попробуем зайти в папку. Доступа к папке конечно же нет, о чем сказано в предупреждении, но при этом предлагается продолжить открытие папки.

отказ в доступе при отсутствии резрешений

Соглашаемся на предложение, жмем кнопку «Continue» и спокойно открываем папку. А если теперь проверить разрешения, то мы увидим, что пользователь Kirill появился в списке и у него полный доступ. Дело в том, что если пользователь является владельцем папки, то при попытке доступа разрешения добавляются автоматически.

полученные права

То, что владелец всегда может получить доступ к объекту, это понятно. А кто может стать владельцем? По умолчанию право сменить владельца (Take ownership) имеют члены группы локальных администраторов. Для примера отберем права владельца на папку RootFolder у пользователя Kirill. Затем заходим в расширенные свойства безопасности папки и видим, что пользователь неизвестен. Но Kirill входит в группу администраторов на компьютере и значит может вернуть себе владение папкой. Для получения прав владельца сразу жмем на кнопку «Change» или сначала на кнопку «Continue».

попытка изменения владельца

При нажатии на «Continue» окно откроется с правами администратора, а также вы получите небольшую подсказку, но затем все равно придется жать на кнопку «Change»

подсказка при попытке смены владельца

Дальше все просто, выбираем нужного пользователя (или группу), подтверждаем свой выбор

выбор нового владельца

смена владельца

и становимся владельцем. Ну а став владельцем, мы сразу увидим текущие разрешения объекта и сможем их изменять.

владелец без разрешений

Смена владельца корневой папки не означает автоматическую смену владельца у дочерних файлов\папок. Для смены владельца всех объектов внутри надо отметить чекбокс Replace owner on subcontainers and objects (Сменить владельца у подконтейнеров и объектов) и нажать «Apply».

смена владельца для всех дочерних элементов

Что интересно, при смене владельца дочерних объектов заменяются и их текущие разрешения.

замена разрешений для всех дочерних элементов

В результате Kirill становится не только владельцем, но и единственным имеющим разрешения пользователем.

результат

Какие из всего этого можно сделать выводы? Первое — владелец объекта всегда может получить к нему доступ, независимо от текущих разрешений. Второе — администратор компьютера может сменить владельца любого объекта файловой системы и, соответственно, получить к нему доступ. Если же речь идет о сети предприятия, то доменные администраторы могут получить доступ к любому файловому ресурсу в пределах своего домена. Вот так)

Просмотр текущих разрешений

Как вы уже поняли, структура разрешений файловой системы может быть весьма сложной и запутанной. Особенно это касается файловых ресурсов общего доступа, в которых разрешения назначаются не отдельным пользователям, а группам. В результате определить разрешения для отдельно взятого пользователя становится достаточно сложной задачей, ведь надо определить все группы, в которые входит пользователь, а уже затем искать эти группы в списке доступа. Ну а группы могут иметь в качестве членов другие группы, да и пользователь как правило входит не в одну группу, и зачастую эти группы имеют различные разрешения на один о тот же объект.

К счастью в Windows есть способ просто и быстро определить, какие именно разрешения имеет конкретный пользователь на данный объект файловой системы. Для этого надо в окне расширенных свойств безопасности перейти на вкладку Effective Access (Действующие разрешения), нажать на ссылку Select a user (Выбрать пользователя) и найти нужного пользователя или группу.

проверка текущих разрешений

Затем жмем на кнопку View effective access (Просмотр действующих разрешений) и получаем полный список разрешений, которые имеет выбранный пользователь на данный объект. В списке присутствуют все текущие разрешения пользователя, как полученные им непосредственно, так и назначенные на группы, в которые он входит. Это особенно актуально для системных администраторов, которым регулярно приходится разбираться с отсутствием доступа у пользователей.

текущие разрешения

Заключение

В данной статье я описал только наиболее важные моменты, которые нужно знать при работе с разрешениями файловой системы. В качестве заключения несколько правил, которые могут помочь при работе с разрешениями:

• По возможности выдавать разрешения не отдельным пользователям, а группам. Это позволяет один раз настроить все необходимые разрешения и больше не возвращаться к их редактированию, а права доступа назначать путем добавления пользователя в соответствующие группы;
• Стараться по максимуму использовать свойства наследования. Это может значительно сэкономить время, расходуемое на управление разрешениями;
• Не использовать явные запреты без крайней необходимости. Использование запретов очень сильно усложняет схему доступа, а в некоторых случаях может привести к конфликтам;
• Перед раздачей слонов разрешений, необходимо четко определиться с тем, какие именно действия пользователь\группа будет производить с файлами (читать, редактировать, создавать новые файлы\папки или выдавать разрешения) и исходя из этого назначить минимально необходимые для работы разрешения. Проще говоря, если пользователю требуется открыть файл и прочесть его, то не надо давать ему полный доступ на всю папку;
• При копировании или перемещении файлов надо помнить о том, что разрешения сохраняются только в пределах текущего логического диска (или тома). Подробнее о сохранении разрешений при копировании можно почитать здесь;
• Для облегчения управления доступом к файловым ресурсам общего доступа можно использовать дополнительные технологии, облегчающие жизнь администратора. Так технология Access Based Enumeration позволяет пользователю видеть только те объекты, к которым у него есть доступ, технология Access Denied Assistance вместо отказа в доступе выдает осмысленное сообщение и позволяет пользователю обратиться к администратору или владельцу ресурса с запросом через специальную форму. Можно еще упомянуть Dynamic Access Control, хотя это уже отдельная большая тема.

Как снять защиту от записи с папки Windows 7?

Если у вас во время пользования программой Total Commander появилась просьба снять защиту записи, значит очевидно, что определенные файлы и папки вы не можете редактировать. А точнее вы не можете использовать Total Commander так, чтобы программа записывала какие-то данные в некоторые файлы.

Как снять защиту от записи на Windows 7?

На панели «Файл» щелкните правой кнопкой мыши пустое место, укажите « Новый », затем выберите « Значение DWORD (32-разрядное) . Назовите значение WriteProtect и нажмите Enter . Дважды нажмите WriteProtect , чтобы открыть диалоговое окно Изменить DWORD и снять защиту от записи, выполнив описанные выше действия.

Как отключить наследование разрешений?

Во втором случае необходимо перейти на вкладку Безопасность для данного конкретного файла или папки, щелкнуть по кнопке Дополнительно и в появившемся окне Дополнительные параметры безопасности нажать кнопку Изменить разрешения. Далее нажимаем кнопку Отключение наследования.

Как снять защиту с файлов?

Чтобы убрать защиту документа Word, выполните команду «Файл» – «Сохранить как». Выберите место сохранения, тип файла установите «Веб-страница» и нажмите «Ок». После этого можно выполнить снятие защиты документа Word.

Как снять защиту с Windows 10?

  1. Откройте Диспетчер задач и перейдите на вкладку “Автозагрузка”.
  2. Найдите строку Windows Security notification icon (для Windows 10, версии 1909, 1903 и 1809) или Windows Defender notification icon.
  3. Щелкните правой кнопкой мыши по данному пункту и выберите опцию Отключить.

Как снять защиту от записи на флешке?

Перейдите на вкладу «Конфигурация компьютера» — «Административные шаблоны | Система | Доступ к съемным запоминающим устройствам». Найдите параметр «Съемные диски: Запретить чтение». Если он включен, то его следует деактивировать. Для этого кликните два раза на политику и выберите «отключить», после чего нажмите ОК.

Что делать если флешка не форматируется диск защищен от записи?

  1. Запустите командную строку от имени администратора, введите команду Diskpart и нажмите Enter.
  2. Введите list disk и нажмите Enter.
  3. Найдите номер диска, который соответствует вашей флешке. .
  4. Введите attributes disk clear readonly и нажмите Enter.

Как записать файлы на диск если он защищен от записи?

  1. Запустите командную строку от имени администратора.
  2. Перед вами появится следующее окно.
  3. Введите команду diskpart и нажмите клавишу Enter. .
  4. Введите команду list disk и нажмите клавишу Enter. .
  5. Введите команду select disk #. .
  6. Введите команду attributes disk clear readonly.

Как отформатировать диск CD R если он защищен от записи?

Если накопитель отформатирован с системой FAT32, то размер данных входит в число ее ограничений для записи. Измените файловую систему на NTFS. Для этого кликните правой кнопкой мышки на значок диска CD и в открывшемся меню нажмите «Форматировать …». Поставьте файловую систему NTFS и нажмите «Начать».

Как снять защиту от записи с внешнего жесткого диска?

Переходим «Компьютер», выбираем диск, который защищён от записи и кликаем на нём правой кнопкой мыши, жмём «Свойства». Переходим во вкладку «Безопасность» и жмём «Дополнительно». Откроется новое окно. Находим свою учётную запись и жмём «Изменить разрешение».

Как отключить наследовать права на папку?

Отключить функцию наследования прав в свойствах папки

Перейдите в категорию Оформление и темы, затем щелкните значок Свойства папки. Нажмите кнопку Дополнительно и выполните одно из следующих действий. Задача: Установить особые разрешения для новой группы или пользователя. А не можем потому, что не имеем на них прав.

Как сделать себя владельцем файла?

Кликните правой кнопкой мыши по файлу или папке, доступ к которому нужно получить (стать владельцем), в контекстном меню выберите пункт «Свойства». На вкладке «Безопасность» нажмите кнопку «Дополнительно». Напротив пункта «Владелец» нажмите «Изменить».

Как включить наследование?

Перейдите к требуемому объекту, щелкните его правой кнопкой мыши и выберите пункт Свойства. Откройте вкладку Безопасность и щелкните элемент Дополнительно. Установите флажок Переносить наследуемые от родительского объекта разрешения на этот объект и все его дочерние объекты, чтобы включить наследование разрешений.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *