Uprawnienia NTFS do folderów i plików

T: Uprawnienia NTFS do folderów i plików.

Zadanie1:
Zapoznaj się z dostępnym w Pomocy i obsłudze technicznej opisem na temat Ustawiania uprawnień.

W celu konfiguracji uprawnień systemu plików NTFS należy wywołać menu kontekstowe dla danego pliku lub katalogu i wybrać Właściwości. W wyświetlonym oknie przechodzimy na zakładkę Zabezpieczenia.

W systemach Windows XP nie pracujących w domenie domyślnie zakładka Zabezpieczenia jest niewyświetlana. W celu wyświetlenia zakładki konfiguracji zabezpieczeń systemu plików należy w Eksploratorze Windows wybrać => Narzędzia => Opcje folderów => Widok i następnie odznaczyć ustawienie Użyj prostego udostępniania plików.

Zadanie2:
Opisz dostępne uprawnienia dla katalogów i plików w systemie plików NTFS.

Uprawnienia NTFS przypisywane są dla poszczególnych użytkowników i grup dostępnych w systemie operacyjnym Windows. Uprawnienia dzielą się na dwa rodzaje: Zezwól i Odmów. Kolejności wpisów kontroli dostępu (ACE, Access Control Entry) zakłada umieszczanie odmowy dostępu przed prawem dostępu.

Uprawnienia dla katalogów:

Pełna kontrola - Przeglądanie, uruchamianie, zmienianie, usuwanie i zmienianie właściciela,
Modyfikacja - Przeglądanie, uruchamianie, zmienianie i usuwanie,
Zapis i wykonanie - Przeglądanie i uruchamianie,
Wyświetlanie zawartości folderu - Przeglądanie,
Odczyt - Przeglądanie,
Zapis - Wyświetlanie, uruchamianie, zmienianie i usuwanie,
Uprawnienia specjalne.

Zadanie 3:
Zapoznaj się z uprawnieniami specjalnymi dostępne po wybraniu opcji Zaawansowane => Edytuj.

Uprawnienia specjalne stosowane są, gdy zachodzi konieczność bardzo precyzyjnego określenia uprawnień użytkowników, zaś uprawnienia standardowe nie są wystarczające. Spośród uprawnień specjalnych najważniejsze są:

Przechodzenie poprzez folder zezwala lub zabrania na dostęp do pliku w sytuacji, gdy użytkownik ten nie posiada odpowiednich uprawnień do zawierającego ten plik katalogu, ale posiada je w stosunku do samego pliku.
Uprawnienie Wykonanie pliku przyznaje lub odmawia użytkownikowi prawa do uruchamiania plików zawierających programy. Prawo to stosuje się jedynie do plików.
Odczyt atrybutów - Zezwala lub odmawia przeglądania atrybutów pliku lub folderu.
Odczyt atrybutów rozszerzonych - Zezwala bądź odmawia przeglądania rozszerzonych atrybutów pliku bądź folderu. Niektóre rozszerzone atrybuty definiują same aplikacje we właściwy dla siebie sposób. Należą do nich również dwa atrybuty NTFS - kompresji i szyfrowania.
Tworzenie plików/Zapis danych - Zezwala bądź odmawia prawa do tworzenia plików wewnątrz folderu. Zapis danych zezwala bądź odmawia prawa do dokonywania zmian w plikach i nadpisywania ich bieżącej zawartości. Prawo to stosuje się jedynie do plików.
Tworzenie folderów/Dołączanie danych - Zezwala bądź odmawia prawa tworzenia podkatalogów wewnątrz folderu. Dołączanie danych zezwala bądź odmawia do dopisywania danych na końcu istniejącego pliku, lecz nie do zmiany, usuwania lub nadpisywania istniejących już w nim danych.
Zapis atrybutów - Zezwala bądź odmawia prawa do zmieniania atrybutów pliku lub folderu.
Zapis rozszerzonych atrybutów - Zezwala bądź odmawia prawa do zmieniania rozszerzonych atrybutów pliku lub folderu.
Usuwanie podfolderów i plików - Zezwala bądź odmawia prawa do usuwania znajdujących się wewnątrz folderu plików zabezpieczeń podkatalogów, nawet jeżeli użytkownik nie posiada uprawnienia Usuwanie do usuwanego pliku lub podkatalogu.
Usuwanie - Zezwala bądź odmawia prawa do usuwania plików i katalogów. Jeżeli użytkownik nie posiada uprawnienia Usuwanie do pliku lub katalogu, ciągle może je usunąć o ile posiada uprawnienie Usuwanie podfolderów i plików w stosunku do folderu nadrzędnego.
Odczyt uprawnień - Zezwala bądź odmawia prawa do odczytywania uprawnień zastosowanych do pliku lub folderu, takich jak Pełna kontrola, Zapis, Odczyt.
Zmiana uprawnień - Zezwala bądź odmawia prawa do zmieniania uprawnień zastosowanych do pliku lub folderu takich jak Pełna kontrola, Zapis, Odczyt.
Przejęcie na własność- Zezwala bądź odmawia prawa do przejęcia pliku lub folderu na własność. Właściciel pliku lub folderu może zawsze zmienić jego uprawnienia, niezależnie od tego, jakie zastosowano uprawnienia w celu jego ochrony.
Synchronizacja - Zezwala bądź odmawia prawa do tego, aby różne wątki mogły oczekiwać na zwolnienie uchwytu do pliku zabezpieczeń w ten sposób synchronizować się z innymi, sygnalizującymi to wątkami. Ten rodzaj uprawnienia ma zastosowanie jedynie dla programów wielowątkowych i wieloprocesorowych.

Lista kontroli dostępu (Access Control List) jest listą zapisów kontroli dostępu (Access Control Entries - ACEs), przechowywaną razem z obiektem, który chroni. W Windows XP ACL jest przechowywana jako wartość binarna, zwana deskryptorem bezpieczeństwa (Security Descriptor). Każdy ACE zawiera identyfikator bezpieczeństwa (Security Identifier - SID), który identyfikuje głównego (użytkownika bądź grupę), do którego odnosi się ACE, oraz informacje, jaki rodzaj dostępu ACE ma przyznany lub zabroniony.

Dziedziczenie ACL (ACL Inheritance) pozwala danemu ACE uzyskać rozszerzenie uprawnień z kontenera, do którego się podłączył na wszystkie dzieci tego kontenera. Dziedziczenie może być łączone z uprawnieniami do administrowania całym poddrzewem bazy danych przy pojedynczej operacji aktualizacji. Prawa do delegacji dostępu odnoszą się do kontenera w zakresie delegacji.

Konfiguracji uprawnień do plików w trybie tekstowym na partycjach NTFS dokonujemy poleceniem cacls.

Kłopoty z prawami dostępu do pliku mogą dotyczyć kolejności wpisów kontroli dostępu (ACE, Access Control Entry). Kolejność ta zakłada umieszczanie odmowy dostępu przed prawem na zezwolenie dostępu. Programy mogą te wpisy mieszać. W związku z tym system może mieć problem z odczytaniem takiej nietypowej listy. Rozwiązaniem jest użycie narzędzia Cacls.exe.

Start >>> Run (Uruchom) >>> cmd
cacls "ścieżka dostępu do pliku/folderu" /E /G NazwaKonta:F

Powyższa komenda daje pełny dostęp (F= Full Control) dla podanej nazwy konta. Jeśli potem chcemy z powrotem usunąć pozwolenie wystarczy wpisać:

cacls "ścieżka dostępu do pliku/folderu" /E /R NazwaKonta
echo T | cacls o:\redirected\student002a /G Administratorzy:F student042d:F SYSTEM:F TWÓRCA-WŁAŚCICIEL:F nauczyciele:C
echo T | cacls o:\redirected\nauczyciel077n /G Administratorzy:F nauczyciel077n:F SYSTEM:F TWÓRCA-WŁAŚCICIEL:F
echo T | cacls o:\desktop\pozioma\student066a /G Administratorzy:F student066a:C SYSTEM:F TWÓRCA-WŁAŚCICIEL:F nauczyciele:C
echo T | cacls o:\homepages\student003a /G Administratorzy:F student003a:C SYSTEM:F Uľytkownicy:R nauczyciele:C

xcopy c:\inetpub\wwwroot\*.* o:\homepages /E /Y