2.1. Изучите общие сведения об использовании разрешений NTFS
Разрешения NTFS позволяют явно указать, какие пользователи и группы имеют доступ к файлам и папкам и какие операции с содержимым этих файлов или папок им разрешено выполнять. Разрешения NTFS применимы только к томам, отформатированным с использованием файловой системы NTFS. Они не предусмотрены для томов, использующих файловые системы FAT или FAT32. Система безопасности NTFS эффективна независимо от того, обращается ли пользователь к файлу или папке на локальном компьютере или в сети.
Разрешения, устанавливаемые для папок, отличаются от разрешений, устанавливаемых для файлов. Администраторы, владельцы файлов или папок и пользователи с разрешением Полный доступ (Full Control) имеют право назначать разрешения NTFS пользователям и группам для управления доступом к этим файлам и папкам.
Разрешения для папок в NTFS
Ниже перечислены стандартные разрешения для папок в NTFS, которые вы можете установить, и обеспечиваемые ими типы доступа (таблица 3.1). Вы можете запретить разрешение для пользователя или группы. Для полного запрещения доступа пользователя или группы к папке, откажите в разрешении Полный доступ (Full Control).
|
|
Стандартные расширения для папок в NTFS Таблица 3.1
Разрешения для папок в NTFS | Права пользователя |
Чтение (Read) | Просматривать файлы и папки, а также список владельцев, разрешения и атрибуты папки [такие, как Только чтение (Read-Only), Скрытый (Hidden), Архивный (Archive) и Системный (System)] |
Запись (Write) | Создавать новые файлы и папки внутри папки, изменять атрибуты папки и просматривать владельцев и разрешения для папки |
Список содержимого папки (List Folder Contents) | Просматривать имена файлов и папок |
Чтение и выполнение (Read & Execute) | Перемещаться по структуре папок в поисках других файлов или папок, даже если пользователь не обладает разрешением на доступ к просматриваемым папкам. Выполнять все действия, право на которые дают разрешения Чтение (Read) и Список содержимого папки (List Folder Contents) |
Изменить (Modify) | Удалять папки и выполнять все действия, право на которые дают разрешения Запись (Write) и Чтение и выполнение (Read & Execute) |
Полный доступ (Full Control) | Изменять разрешения, менять владельца, удалять папки и файлы и выполнять действия, право на которые дают все остальные разрешения NTFS для папок |
Разрешения для файлов в NTFS управляют доступом пользователей к файлам. Ниже перечислены стандартные разрешения для файлов в NTFS, которые можно установить, и обеспечиваемые ими типы доступа.
В NTFS хранится список управления доступом (access control list, ACL) для каждого файла и папки на томе NTFS. В этом списке перечислены пользователи и группы, для которых установлены разрешения для файла или папки, а также сами назначенные разрешения. Чтобы пользователь получил доступ к ресурсу, в ACL должна быть запись, называемая элемент списка управления доступом (access control entry, АСЕ), для этого пользователя или группы, к которой он принадлежит. Эта запись назначит запрашиваемый тип доступа [например, Чтение (Read)] пользователю. Если в ACL нет соответствующей АСЕ, то пользователь не получит доступ к ресурсу.
|
|
Стандартные разрешения для файлов в NTFS Таблица 3.2
Разрешения для файлов в NTFS | Права пользователя |
Чтение (Read) | Просматривать файлы, владельцев, разрешения и атрибуты |
Запись (Write) | Перезаписывать файл, изменять атрибуты файлов и просматривать владельцев и разрешения |
Чтение и выполнение (Read & Execute) | Запускать приложения и выполнять (Read & Execute) все действия, право на которые дает разрешение Чтение (Read) |
Изменить (Modify) | Изменять и удалять файл, а также выполнять все действия, право на которые дают разрешения Запись (Write) и Чтение и выполнение (Read & Execute) |
Полный доступ (Full Control) | Изменять разрешения, менять владельца и выполнять действия, право на которые дают все остальные разрешения NTFS для файлов |
Множественные разрешения NTFS
Вы можете установить несколько разрешений пользователю и всем группам, членом которых он является. Для этого вы должны иметь представление о правилах и приоритетах, по которым в NTFS назначаются и объединяются множественные разрешения и о наследовании разрешений NTFS.
Эффективные разрешения пользователя для ресурса — это совокупность разрешений NTFS, которые вы назначаете отдельному пользователю и всем группам, к которым он принадлежит. Если у пользователя есть разрешение Чтение (Read) для папки и он входит в группу, у которой есть разрешение Запись (Write) для той же папки, значит, у этого пользователя есть оба разрешения.
Приоритет разрешений для файлов над разрешениями для папок.
В NTFS разрешения для файлов имеют больший приоритет, чем разрешения для папок. Если у вас есть разрешение на доступ к файлу и право Обход перекрестной проверки (Bypass Traverse Checking), то вы сможете воспользоваться доступом к этому файлу, даже если у вас нет доступа к папке, в которой содержится файл. Вы можете получить доступ к тем файлам, для которых у вас есть разрешения, воспользовавшись UNC-именем файла или локальным путем для открытия файла из соответствующего приложения. Это возможно, даже если папка, в которой находится файл, невидима и у вас нет соответствующего разрешения для данной папки. Другими словами, если у вас нет разрешения на доступ к папке, содержащей нужный вам файл, для доступа к файлу вам необходимо обладать правом Обход перекрестной проверки (Bypass Traverse Checking) и знать полный путь к файлу.