Разрешения ntfs в windows server 2008 r2
Сообщения: 498
Благодарности: 44
Профиль | Сайт | Отправить PM | Цитировать
Доброго времени суток.
Сейчас будет глупый вопрос: чем отличаются разрешения на шару (вкладка Доступ -> Расширенная настройка -> Разрешения) от разрешений NTFS? Как я считал, права на на шару показывают, можно ли вообще подключиться к общему ресурсу (хотя не понятно зачем чтение/запись/полный доступ, что означает «запись» для общего ресурса — не понятно), а после подключения доступ к данным ограничивается NTFS-разрешениями. Я это к чему, обычно шарил для пользователей домена на чтение, а дальше контролировал права разрешениями NTFS, но сейчас столкнулся с такой ситуацией:
Каталог оказался расшарен странным образом (машина в домене):
1. По кнопке «общий доступ» во вкладке «Доступ» кроме 2х администраторов не был указан никто.
2. По кнопке «Расширенная настройка ->Разрешения» во вкладке «Доступ» были указаны администраторы с полным доступом и Все (хотя в списке по кнопке «общий доступ» их не было) тоже с полным доступом. Уже странно.
Начали поступать жалобы, что пользователи не могут править .mdb файл то одновременно, то вообще никто (я никогда не работал с access`ом и такого рода базами, но как я понимаю, в общем случае не должно быть никакого «монопольного» открытия), хотя раньше могли. Права на каталог для нужной группы с одним из проблемных .mdb есть на изменение/дозапись и т.д.
Обратил внимание на права на общий ресурс. Добавил нужную группу безопасности (скажем, Х) в «Расширенная настройка -> Разрешения» на вкладке «Доступ» — проблемы остались. По кнопке «общий доступ» группа X отсутствовала, добавил ее и туда (пока дал на чтение/запись) — проблемы устранились. Что это означает, почему разрешения на общий ресурс (а не NTFS-разрешения) устранили проблему и почему после внесения группы X в «Расширенная настройка -> Разрешения» она не появилась в списке по кнопке «Общий доступ».
Я знаю, довольно сумбурно, буду очень благодарен, если кто-то это осилит и поможет.
| чем отличаются разрешения на шару (вкладка Доступ -> Расширенная настройка -> Разрешения) от разрешений NTFS? » |
Разрешения NTFS действуют как при локальном, так и при сетевом доступе.
Но при сетевом доступе с ними объединяются разрешения с закладки «Доступ»таким образом, что действует более жёсткое правило. Например, для какой-то папки общего доступа даны все разрешения для группы «Все», но в сетевом доступе нет явного разрешения на запись в эту папку, например, пользователю VasyaPupkin (или группе, в которую он входит) – то всё, VasyaPupkin при входе по сети в эту папку писать не сможет даже если он является пользователем на данном компьютере и при локальном доступе никаких проблем не испытывает.
Разрешения ntfs в windows server 2008 r2
Сообщения: 498
Благодарности: 44
Профиль | Сайт | Отправить PM | Цитировать
Доброго времени суток.
Сейчас будет глупый вопрос: чем отличаются разрешения на шару (вкладка Доступ -> Расширенная настройка -> Разрешения) от разрешений NTFS? Как я считал, права на на шару показывают, можно ли вообще подключиться к общему ресурсу (хотя не понятно зачем чтение/запись/полный доступ, что означает «запись» для общего ресурса — не понятно), а после подключения доступ к данным ограничивается NTFS-разрешениями. Я это к чему, обычно шарил для пользователей домена на чтение, а дальше контролировал права разрешениями NTFS, но сейчас столкнулся с такой ситуацией:
Каталог оказался расшарен странным образом (машина в домене):
1. По кнопке «общий доступ» во вкладке «Доступ» кроме 2х администраторов не был указан никто.
2. По кнопке «Расширенная настройка ->Разрешения» во вкладке «Доступ» были указаны администраторы с полным доступом и Все (хотя в списке по кнопке «общий доступ» их не было) тоже с полным доступом. Уже странно.
Начали поступать жалобы, что пользователи не могут править .mdb файл то одновременно, то вообще никто (я никогда не работал с access`ом и такого рода базами, но как я понимаю, в общем случае не должно быть никакого «монопольного» открытия), хотя раньше могли. Права на каталог для нужной группы с одним из проблемных .mdb есть на изменение/дозапись и т.д.
Обратил внимание на права на общий ресурс. Добавил нужную группу безопасности (скажем, Х) в «Расширенная настройка -> Разрешения» на вкладке «Доступ» — проблемы остались. По кнопке «общий доступ» группа X отсутствовала, добавил ее и туда (пока дал на чтение/запись) — проблемы устранились. Что это означает, почему разрешения на общий ресурс (а не NTFS-разрешения) устранили проблему и почему после внесения группы X в «Расширенная настройка -> Разрешения» она не появилась в списке по кнопке «Общий доступ».
Я знаю, довольно сумбурно, буду очень благодарен, если кто-то это осилит и поможет.
| чем отличаются разрешения на шару (вкладка Доступ -> Расширенная настройка -> Разрешения) от разрешений NTFS? » |
Разрешения NTFS действуют как при локальном, так и при сетевом доступе.
Но при сетевом доступе с ними объединяются разрешения с закладки «Доступ»таким образом, что действует более жёсткое правило. Например, для какой-то папки общего доступа даны все разрешения для группы «Все», но в сетевом доступе нет явного разрешения на запись в эту папку, например, пользователю VasyaPupkin (или группе, в которую он входит) – то всё, VasyaPupkin при входе по сети в эту папку писать не сможет даже если он является пользователем на данном компьютере и при локальном доступе никаких проблем не испытывает.
Разрешения NTFS
Развитая система безопасности — это одна из особенностей операционной системы Windows 8.1, Windows 10. И основой этой безопасности служит файловая система NTFS, которая предполагает использование так называемых разрешений.
Под разрешением NTFS понимается правило, связанное с объектом (файлом, папкой) и используемое для управления доступом пользователей к этому объекту. При этом под пользователем понимается не только пользователь-человек как таковой, но и программы, запущенные от его имени (под его учетной записью).
В NTFS, разрешения назначаемые папкам, отличаются от разрешений, назначаемых файлам. Далее будут по отдельности рассмотрены и те и другие. Причем в NTFS предусмотрен как стандартный набор разрешений (для общих случаев), так и специализированный набор — для «тонкой» настройки.
Стандартные разрешения
Разрешения для папок имеют ту особенность, что они определяют возможные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.
Стандартные разрешения NTFS для папок:
| Разрешение | Допускаемые действия |
|---|---|
| Чтение (Read) | Разрешается просматривать вложенные папки и файлы, а также их свойства: имя владельца, разрешения и атрибуты (такие как «только чтение», «скрытый», «архивный» и «системный») |
| Запись (Write) | Разрешается создавать и размещать внутри папки новые файлы и подпапки, а также изменять атрибуты папки и просматривать ее свойства: владельца и разрешения |
| Список содержимого папки (List folder contents) | Дает право просматривать имена содержащихся в папке файлов и вложенных подпапок |
| Чтение и выполнение (Read&Execute) | Позволяет получить доступ к файлам в подпапках, даже если нет доступа к самой папке. Кроме того разрешает те же действия, что предусмотрены для разрешений «Чтение» и «Список содержимого папки» |
| Изменение (Modify) | Разрешает все действия, предусмотренные для разрешений «Чтение» и «Чтение и выполнение» + разрешает удаление папки |
| Полный доступ (Full control) | Предоставляет полный доступ к папке. Это значит, что допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно позволя- ется становиться владельцем папки и изменять ее разрешения |
| Особые Permission) | Задает набор специальных разрешений, отличающийся от стандартных и перечисленных ниже |
Разрешения для файлов имеют те же названия, но смысл их несколько отличается.
Стандартные разрешения NTFS для файлов:
| Разрешение | Допускаемые действия |
|---|---|
| Чтение (Read) | Разрешается чтение файла, а также просмотр его свойств: имя владельца, разрешений и атрибутов |
| Запись (Write) | Разрешается перезапись файла, изменение его атрибутов, а также просмотр его владельца и разрешений |
| Чтение и выполнение (Read&Execute) | То же что и «Чтение» + возможность запуска приложения (если файл исполняемый) |
| Изменение (Modify) | Допускает изменение и удаление файла + то, что предусмотрено разрешениями «Запись» и «Чтение и выполнение» |
| Полный доступ (Full control) | Предоставляет полный доступ к файлу. Это значит, что допускаются все действия, предусмотренные всеми перечис- ленными выше разрешениями. Дополнительно позволяется становиться владельцем файла и изменять его разрешения |
| Особые Permission) | Задает набор специальных разрешений, отличающийся от стандартных и перечисленных ниже |
Специальные разрешения
Если стандартные разрешения предназначены для общих случаев, для быстрого и удобного назначения прав доступа, то специализированные права доступа позволяют подойти к этому делу более ответственно.
При этом можно изменить стандартный набор разрешений так, как будет необходимо. Описание специализированных разрешений как для папок, так и для файлов показано в таблице ниже.
Специальные разрешения NTFS для файлов и папок:
| Разрешение | Описание |
|---|---|
| Обзор папок / Выполнение файлов | Для папок. Разрешение «Обзор папок» позволяет или запрещает перемещение по структуре папок в поисках других файлов или папок. Причем это допускается даже в тех случаях, когда пользователь не обладает разрешением на доступ к просматриваемым папкам. Для разрешения «Обзор папок» имеется одно ограничение: оно действительно только в том случае, если группа или пользователь не обладает правом «Обход перекрестной проверки», устанавливаемым в оснастке «Групповая политика». (По умолчанию правом «Обход перекрестной проверки» наделена группа «Все»). Для файлов. Разрешение «Выполнение файлов» позволяет или |
| Содержание папки / Чтение данных | Для папок. Разрешение «Содержание папки» позволяет или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Это разрешение относится только к содержимому данной папки и не означает, что имя самой этой папки также должно включаться в список. Для файлов. Разрешение «Чтение данных» позволяет или |
| Чтение атрибутов | Разрешает или запрещает просмотр таких атрибутов файла или папки, как «Только чтение» и «Скрытый» |
| Чтение атрибутов | Разрешает или запрещает просмотр дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ |
| Создание файлов / Запись данных | Для папок. Разрешение «Создание файлов» позволяет или запрещает создание файлов в папке (применимо только к папкам). Для файлов. Разрешение «Запись данных» позволяет или. запрещает внесение изменений в файл и запись поверх имеющегося содержимого |
| Создание папок / Дозапись данных | Для папок. Разрешение «Создание папок» позволяет или запрещает создание папок внутри папки (применимо только к папкам). Для файлов. Разрешение «Дозапись данных» позволяет или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных (применимо только к файлам) |
| Запись атрибутов | Разрешает или запрещает смену таких атрибутов файла или папки, как «Только чтение» и «Скрытый». При этом разрешение «Запись атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты |
| Запись дополнительных атрибутов | Разрешает или запрещает смену дополнительных атрибутов файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ. Разрешение «Запись дополнительных атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты |
| Удаление | Разрешает или запрещает удаление файла или папки. Если для файла или папки отсутствует разрешение «Удаление», то объект все же можно удалить при наличии разрешения «Удаление подпапок и файлов» для родительской папки |
| Удаление подпапок и файлов | Это разрешение применяется только к папкам. Оно позволяет или запрещает удаление подпапок и файлов внутри папки даже в тех случаях, когда отсутствует разрешение «Удаление» |
| Чтение разрешений | Разрешает или запрещает чтение разрешений на доступ к файлу или папке (т.е. разрешений «Полный доступ», «Чтение» и «Запись») |
| Смена разрешений | Разрешает или запрещает смену разрешений на доступ к файлу или папке (таких как «Полный доступ», «Чтение» и «Запись») |
| Смена владельца | Разрешает или запрещает вступать во владение файлом или папкой. Привилегия владельца состоит в том, что он всегда может изменять разрешения на доступ к файлу или папке, независимо от любых разрешений, защищающих этот файл или папку |
| Синхронизация | При одновременном доступе к одним и тем же папкам (файлам) данное разрешение позволяет или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами |
Разрешения для файлов и папок
Ниже, в таблице показано, какие особые разрешения входят в какие стандартные разрешения. Например, можно увидеть, что в стандартное разрешение «Полный доступ» входят все специальные разрешения, а в стандартное разрешение «Изменение» — все, кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца».
В таблице также можно увидеть, что стандартные разрешения «Список содержимого папки» и «Чтение и выполнение» включают в себя одинаковый перечень особых разрешений. Тем не менее разница все-таки есть, а заключается она в том, что наследуются эти разрешения по разному. Так, разрешение «Список содержимого папки» наследуется только папками и отображается только при просмотре разрешений на доступ к папкам. Файлами это разрешение не наследуется.
Что касается разрешения «Чтение и выполнение», то оно наследуется как папками, так и файлами. Отображается оно также при просмотре разрешений на доступ как к папкам, так и к файлам.
В этой связи следует отметить, что пользователи, которым разрешен полный доступ к папке, могут удалять любые файлы в этой папке, независимо от установленных для них разрешений.
Вхождение специальных разрешений в стандартные разрешения.