Занятие 1. Основные понятия

(Продолжительность занятия 20 минут)

Разрешения NTFS служат для ограничения доступа к папкам и файлам томов NTFS. Они защищают ресурсы локального компьютера как от пользователя, работающего на этом компьютере, так и от пользователей, подключающихся к ним по сети. На этом занятии Вы познакомитесь с принципами защиты ресурсов средствами разрешений NTFS.

• описать ситуации, в которых требуются разрешения файловой системы Microsoft Windows NT (NTFS) на доступ к. файлам и папкам;
• дать определение разрешения NTFS;
• объяснить результат одновременного применения нескольких разрешений NTFS.

Что такое разрешения NTFS

Разрешения NTFS (NTFS permissions) — это набор специальных свойств файла или папки, заданных для ограничения доступа пользователей к этим объектам. Они доступны только на томах, где установлена файловая система Windows NT (NTFS). Разрешения обеспечивают гибкую защиту, так как их можно применять и к папкам, и к отдельным файлам; они распространяются как на локальных пользователей (работающих на компьютерах, где находятся защищенные папки и файлы), так и на пользователей, подключающихся к ресурсам по сети.

Зачем нужны разрешения NTFS

Разрешения NTFS служат для защиты ресурсов от:

• локальных пользователей, работающих за компьютером, на котором располагается ресурс;
• удаленных пользователей, подключающихся к общей папке по сети. Разрешения NTFS обеспечивают высокую избирательность защиты: для каждого файла в папке Вы можете установить свои разрешения. Например, одному пользователю позвольте считывать и изменять содержимое файла, другому — только считывать, а остальным — вообще запретите доступ к нему.

Индивидуальные разрешения

В Windows NT имеется шесть типов индивидуальных разрешений NTFS, каждый из которых задает тип доступа к файлу или папке.

В таблице описаны разрешенные пользователю операции с папкой или файлом при наложении на объект одного из индивидуальных разрешений NTFS.

Индивидуальное разрешение NTFS	Разрешенные операции с папкой	Разрешенные операции с файлом
Read (R) (Чтение)	Просматривать имена папок и файлов в данной папке, разрешения на доступ к ней, ее атрибуты и сведения о владельце	Просматривать содержимое файла, разрешения на доступ к файлу, его атрибуты и владельца
Write (W) (Запись)	Добавлять в папку файлы и папки; изменять ее атрибуты; просматривать атрибуты папки, сведения о ее владельце и разрешения на доступ к ней	Просматривать разрешения на доступ к файлу и сведения о владельце; изменять атрибуты файла; изменять и добавлять данные в файл
Execute (X) (Выполнение)	Просматривать атрибуты папки; вносить изменения в папки, вложенные в данную папку; просматривать разрешения на доступ к этой папке и сведения о ее владельце	Просматривать разрешения на доступ к файлу, его атрибуты и сведения о его владельце; запускать файл (если файл является исполняемым)
Delete (D) (Удаление)	Удалять папку	Удалять файл
Change Permissions (P) (Смена разрешений)	Изменять разрешения на доступ к папке	Изменять разрешения на доступ к файлу
Take Ownership (0) (Смена владельца)	Назначить себя владельцем папки	Назначить себя владельцем файла

Стандартные разрешения

В большинстве случаев Вы будете пользоваться стандартными разрешениями NTFS. Они представляют собой комбинации индивидуальных разрешений. Одновременное назначение нескольких индивидуальных разрешений для файла или папки значительно упрощает администрирование.

После названия стандартного разрешения в скобках приводятся аббревиатуры составляющих его индивидуальных разрешений. Например, стандартное разрешение Read (Чтение) для файла эквивалентно двум, индивидуальным, разрешениям — Read (Чтение) и Execute (Выполнение) — и в скобках будут стоять буквы RX.

Стандартные разрешения для папок

В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.

Стандартное разрешение	Индивидуальные разрешения для папки	Индивидуальные разрешения для файлов данной папки
No Access (Нет доступа)	Нет	Нет
List (Просмотр)	RX	—
Read (Чтение)	RX	RX
Add (Добавление)	WX	—
Add & Read (Чтение и запись)	RWX	RX
Change (Изменение)	RWXD	RWXD
Full Control (Полный контроль)	Все	Все

Стандартные разрешения для файлов

В таблице перечислены стандартные разрешения для файлов и указаны соответствующие им индивидуальные разрешения NTFS.

Стандартное разрешение	Индивидуальные разрешения
No Access (Нет доступа)	Нет
Read (Чтение)	RX
Change (Изменение)	RWXD
Full Control (Полный контроль)	Все

Применение разрешений NTFS

Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и права доступа к общим ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.

Применение разрешений NTFS для папок сходно с применением прав доступа к общим ресурсам.

Как и права доступа к общим ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, членом которых он является. Единственное исключение — разрешение No Access (Нет доступа): оно отменяет все остальные разрешения.

В отличие от прав доступа к общим ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в данной папке, могут иметь другие разрешения, нежели она сама.

Разрешения NTFS для файла превалируют над разрешениями для папки, в которой он содержится. Например, если пользователь имеет разрешения Read (Чтение) для папки и Write (Запись) для вложенного в нее файла, то он сможет записывать данные в файл, но не сможет создать новый файл в папке.

Пример разрешений NTFS для папки

Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет разрешение Write (Запись) на папку «Данные». Кроме того, он является членом группы Everyone (Все), которой присвоено разрешение Read (Чтение). Следовательно, фактическим разрешением пользователя Пользователь1 будет комбинация разрешений Read и Write, но только для папки «Данные».

В отличие от прав доступа к общим ресурсам, разрешения NTFS не предоставляют доступ к вложенным папкам папки «Данные».

Пример разрешений NTFS для файла

Ниже проиллюстрирована следующая ситуация: пользователь Пользователь1 имеет разрешения Read (Чтение) и Write (Запись) для файла Файл1 папки «Данные». Кроме того, он является членом группы Отдел продаж, которая имеет другое разрешение для папки «Данные» — Read (Чтение). В результате Пользователь1 получит разрешение на чтение папки «Данные», а также на чтение и запись в файл Файл1, так как разрешения NTFS для файлов имеют преимущество над разрешениями для папок.

Резюме

• Разрешения NTFS обеспечивают надежную защиту папок и файлов, расположенных на томах файловой системы Windows NT (NTFS).
• Разрешения NTFS для папок и файлов распространяются как на пользователей, непосредственно работающих на компьютере, так и на обращающихся к защищенным объектам компьютера по сети.
• Как и в случае с правами доступа к общим ресурсам, пользователь может получить разрешение NTFS либо непосредственно, либо являясь членом одной или нескольких групп, имеющих разрешение.
• Подобно правам доступа к общим ресурсам, фактические разрешения NTFS для пользователя представляют собой комбинацию разрешений пользователя и групп, в состав которых он входит. Единственное исключение из этого правила — разрешение No Access (Нет доступа), которое отменяет все остальные разрешения.
• В отличие от прав доступа к общим ресурсам, разрешения NTFS могут быть разными для папки и файлов (папок), вложенных в нее.
• Разрешения NTFS для файла имеют преимущество над разрешениями для папки, в которой он содержится.

Дополнительную информацию о ...	Вы найдете в...
разрешениях NTFS	главе 4, «Managing Shared Resources and Resource Security», документа Microsoft Windows NT Server Concepts and Planning
томах FAT и NTFS	главе 17, «Disk and File System Basics», комплекта документации Microsoft Windows NT Workstation Resource Kit
учетных записях групп	главе 2, «Working With User And Group Accounts», документа Microsoft Windows NT Server Concepts and Planning