Вибір читачів
Популярні статті
Твітнути
При відкритті, видаленні або інших маніпуляціях з файлами та папками можна зіткнутися з помилкою доступу до файлів. Я розповім про те, як із цим боротися і чому так відбувається.
Спочатку інструкція про те, як отримати повний доступ до папок та файлів. У наступному розділі буде пояснення для допитливих.
Відкриваємо папку, де є проблемний файл чи папка. Щоб отримати повний доступ до їх вмісту, потрібно налаштувати доступ до файлів:
1. Натискаємо правою кнопкою миші по заблокованому файлу (або папці) без доступу - Властивостівибираємо вкладку Безпека:
2. Натискаємо кнопку Додаткововибираємо вкладку Власник:
3. Натискаємо кнопку Змінитиі вибираємо ім'я вашого користувача (у моєму випадку це Dima,у вас буде інше), також ставимо галку на Замінити власника підконтейнерів та об'єктів:
4. Якщо з'явиться вікно з текстом «Ви не маєте дозволу читати вміст папки. Бажаєте замінити дозволи для цієї папки так, щоб мати права повного доступу?», відповідаємо Так:
5. Після зміни власника папки з'явиться вікно з текстом Ви тільки що стали власником цього об'єкта. Потрібно закрити та знову відкрити вікно властивостей цього об'єкта, щоб бачити чи змінювати дозволи». Натискаємо OKпотім знову натискаємо OK(у вікні Додаткові параметри безпеки).
6. У вікні Властивості - Безпеказнову натискаємо Додатково, тільки тепер дивимося першу вкладку вікна - Дозволи.Потрібно натиснути кнопку Змінити дозволи:
7. Натисніть кнопку Додати:
(Якщо ви працюєте з властивостями папки, а не файлу, позначте галкою пункт «Замінити всі дозволи дочірнього об'єкта на дозволи, успадковані від цього об'єкта».)
8. У вікні «Вибір: користувачі або групи» вам потрібно буде ввести ім'я вашого користувача (можете подивитися його в меню «Пуск» - ім'я буде найвищим рядком), натиснути кнопку Перевірити імена, потім OK:
Якщо вам потрібно, щоб папка (або файл) відкривалася без обмежень абсолютно всіма користувачами, тобто. не тільки вашим, то знову натисніть Додатиі введіть ім'я « Усе» без лапок («All» в англомовній версії Windows), потім натисніть Перевірити іменаі OK.
9. На вкладці Дозволипо черзі натискайте двічі по рядках з іменами користувачів та ставте галку на пункт «Повний доступ»:
Це автоматично поставить галки на нижче пунктах.
10. Потім натискайте ОК, у наступному вікні відповідайте на попередження Так, знову ОК, щоб закрити усі вікна.
Готово! Повний доступ до файлів та папок отримано!Можете спокійно їх відкривати, змінювати та робити інші дії з ними.
Висновок:потрібно зробити два кроки: стати "власником" файлу або папки (п. 3), потім призначити собі права доступу (п. 6). Багато інструкцій про те, як отримати повний доступ до файлів і папок, згадують лише перший крок, забуваючи про другий. Це не зовсім правильно, тому що налаштування безпеки файлу/папки можуть бути різні, треба привести їх у нормальний вигляд, а не лише стати «власником».
Механізм розмежування доступу до файлів та папок необхідний з багатьох причин. Наприклад:
1. Обмеження доступу до інформації різними користувачами.
Якщо одному комп'ютері чи спільної мережі працює кілька (більше одного) користувачів, логічно обмежити доступом до інформації - одним користувачам доступна вся інформація (найчастіше це адміністратори), іншим - лише їх власні файли і папки (звичайні користувачі).
Наприклад, вдома можна зробити обмеження прав одного користувача так, щоб захистити важливі файли та папки від видалення (щоб дитина не змогла по незнанню видалити важливі документи), тоді як з іншого (батьківського профілю) можна було робити все, що завгодно.
У першому розділі я показав, як дозволитидоступ до певних користувачів. Так само можна і обмежитидоступ - кроки ті самі, тільки в пункті 9 треба ставити інші галочки.
2. Безпека операційної системи.
У Windows XP все влаштовано досить просто - користувачі з правами адміністратора можуть змінювати (і видаляти) будь-які папки і файли на жорсткому диску, у тому числі системні, тобто. що належать Windows. Фактично, будь-яка програма, запущена у профілі користувача-адміністратора, могла зробити з вмістом жорсткого диска все що завгодно. Наприклад, видалити файл boot.ini, через що Windows перестане завантажуватися.
Під правами обмеженого користувача, де завдяки налаштуванням безпеки не можна було видаляти важливі системні файли, мало хто сидів, віддаючи перевагу адміністраторському обліковому запису. Таким чином, обліковий запис з правами адміністратора в Windows XP створює найсприятливіші умови для вірусів.
У Windows Vista, Windows 7 та Windows 8 працює «Контроль облікових записів користувача» (коротко UAC): під час роботи в адміністраторському обліковому записі програми, що запускаються користувачем, працюють з обмеженимиправами. Тобто видалити або змінити системні файли програми не можуть. Програми здатні отримати більш повний доступ, запросивши його у користувача за допомогою вікна UAC, про яке я вже :
Якщо права доступу до файлів налаштовані правильно і UAC увімкнено, то віруси, запущені в адміністраторському обліковому записі Vista/7/8, не зможуть серйозно нашкодити системі без дозволу людини, яка сидить за комп'ютером.
UAC марнийу випадках:
1. Якщо за комп'ютером сидить користувач, який бездумно натискає кнопки «Так» та «OK»
2. Якщо запускати програми від імені адміністратора (правою кнопкою по ярлику програми - Запустити від імені адміністратора).
3. UAC вимкнено.
4. Для системних файлів та папок на жорсткому диску дозволено повний доступ для всіх користувачів.
Програми, запущені в обліковому записі обмеженого користувача Windows Vista/7/8 (тип «Звичайний доступ»), не можуть викликати вікно UAC і працювати з правами адміністратора, що цілком логічно.
Повторюю ще раз: коли немає можливості підвищити свої права до адміністраторських, нашкодити захищеним за допомогою обмеження прав доступу до файлів операційної системи не можна.
Проблема в тому, що ви намагаєтеся отримати доступ до файлів та папок, створених під іншим обліковим записом. Рішення два:або дозволити всімкористувачам доступ, або дозволити лише тим, кому це потрібно, перерахувавши їх. Обидва рішення легко реалізуються за інструкцією вище. Різниця лише в тому, що ви вводитимете в пункті 8 - слово «Всі» або перераховуючи користувачів.
До речі, можна дозволити доступ всім, але заборонити одному (кільком) користувачам, при цьому налаштування заборони буде пріоритетним для перерахованих користувачів.
Причин виникнення проблем із доступом до файлів безліч. Найчастіше вони з'являються, якщо у вас кілька облікових записів, кілька операційних систем або комп'ютерів - скрізь облікові записи різні, при створенні файлів та папок права призначаються різні.
У жодному разі не призначайте повний доступ до файлів і папок на всьому жорсткому диску з встановленою операційною системою!
Існує міф про те, що операційна система обмежує доступ користувача до файлів, тому треба призначати права доступу всім файлам на диску. Це неправда і змінювати права всіх файлів не можна!У системі, в якій не «колупалися», не призначали права доступу вручну, все призначено правильно!
Використовуйте мою інструкцію лише у разі реальних проблем, не для запобігання надуманим.
Пояснюю: дозволивши доступ до системних файлів, Windows, як і раніше, буде працювати, ось тільки будь-який вірус або некоректно працююча програма можуть зробити дуже погані речі. Навряд вам потрібні проблеми.
Свої настройки безпеки мають папки "C:\Windows", "C:\Program files", "C:\Program files (x86)", "C:\Users", "C:\System Volume Information", "C: \ProgramData", "C:\Recovery" та багато інших. Їх міняти не можна, за винятком випадків, якщо треба зробити будь-які маніпуляції з файлами (наприклад, щоб змінити тему Windows), причому треба повернути налаштування назад.
Не змінюйте налаштування безпеки «просто так», роблячи систему беззахисною перед вірусами та збоями! Після встановлення Windows права доступу до системних папок правильно налаштовані, не треба їх змінювати!
Порада:якщо програма коретно працює тільки в тому випадку, якщо запущена «від імені адміністратора», при звичайному запуску видаючи помилки - спробуйте призначити повні права на зміну папки з нею в C: Program files або C: Program files (x86) » (Не папці Program files, а папці з потрібною програмою всередині неї!).
Найчастіше це допомагає запустити на Windows Vista/7/8/10 старі ігри, які зберігають файли налаштувань, збережених усередині папки. Будучи запущеними без прав змінити власні файли, такі ігри в кращому разі не можуть зберегти ігровий прогрес, в гіршому - закриваються або зовсім не запускаються. Зі старими програмами те саме.
1. Призначити права доступу щодо легко.
2. Права доступу змінювати без обґрунтованої мети не можна.
3. Змінили права системних файлів – змінюйте їх назад. Щоб змінити права системнихпапок та файлів на попередні, можна скористатися цією інструкцією (метод для Windows Vista повинен підійти і до Windows 7, Windows 8, 10).
4. Зміна налаштувань безпеки – справа тонка і автор статті не несе відповідальності за ваші дії.
Комп'ютери, які працюють під керуванням операційних систем Windows, можуть працювати з різними файловими системами, такими як FAT32 та NTFS. Не вдаючись у подібності можна сказати одне, що вони відрізняються головним – файлова система NTFS дозволяє налаштовувати параметри безпеки для кожного файлу або папки (каталогу). Тобто. Для кожного файлу або папки файлова система NTFS зберігає так звані списки ACL (Access Control List), в яких перелічені всі користувачі та групи, які мають певні права доступу до файлу або папки. Файлова система FAT32 така можливість позбавлена.
У файловій системі NTFS кожен файл або папка може мати такі права безпеки:
Перелічені вище права є базовими. Базові права складаються з особливих прав. Особливі права — це докладніші права, у тому числі формуються базові права. Використання спеціальних прав дає дуже велику гнучкість при налаштуванні прав доступу.
Список особливих прав доступу до файлів та папок:
!!!Всі базові та особливі права є як вирішальними, так і забороняючими.
Усі дозволи файлів і папок поділяються на два види: явні та успадковані. Механізм успадкування має на увазі автоматичну передачу чогось від батьківського об'єкта дочірньому. У файловій системі це означає, що будь-який файл або папка можуть успадковувати свої права батьківської папки. Це дуже зручний механізм, що позбавляє необхідності призначати явні права для всіх новостворених файлів і папок. Уявіть, що у вас на якомусь диску кілька тисяч файлів та папок, як їм усім роздати права доступу, сидіти та призначати кожному? Ні. Тут працює механізм успадкування. Створили папку в корені диска, папка автоматично отримала такі самі права, як і корінь диска. Змінили права для новоствореної папки. Потім усередині створеної папки створили ще вкладену папку. У цій новоствореній вкладеній папці права успадковуються від батьківської папки і т.д. і т.п.
Результатом застосування явних та успадкованих прав будуть фактичні права на конкретну папку або файл. Підводного каміння при цьому дуже багато. Наприклад, у вас є папка, в якій ви дозволяєте користувачеві "Вася" видаляти файли. Потім ви згадуєте, що в цій папці є один дуже важливий файл, який Вася в жодному разі не повинен видалити. Ви встановлюєте на важливий файл явну заборону (особливе право заборони «Видалення»). Здавалося б, справа зроблена, файл явно захищений від видалення. А Вася спокійно заходить до папки та видаляє цей суперзахищений файл. Чому? Тому, що Вася має права віддалення від батьківської папки, які в даному випадку є пріоритетними.
Намагайтеся не користуватися призначенням прав безпосередньо на файли, призначайте права на папки.
!!! Намагайтеся призначати права лише для груп, що значно спрощує адміністрування. Призначення прав для конкретних користувачів не рекомендується Microsoft. Не забувайте, що до групи можуть входити не лише користувачі, а й інші групи.
Наприклад. Якщо комп'ютер включено в домен, то до його локальної групи «Користувачі» автоматично додається група «Domain Users» (користувачі домену), а до локальної групи «Адміністратори» автоматично додається група «Domain Admins» (адміністратори домену), і відповідно, призначаючи на будь-яку папку права групі локальних користувачів, ви автоматично призначаєте права всіх користувачів домену.
Не турбуйтеся якщо все описане вище відразу не дуже зрозуміло. Приклади та самостійна робота швидко виправлять становище!
Переходимо до конкретики.
Всі приклади я показуватиму на прикладі вікон Windows XP. У Windows 7 і вище суть залишилася ідентичною, тільки вікон стало трохи більше.
Отже, щоб призначити або змінити права на файл або паку, необхідно в провіднику натиснути правою клавішею мишки на потрібний файл або папку вибрати пункт меню «Властивості»
У вас має відчинитися вікно із закладкою «Безпека»
Якщо такої закладки немає, тоді робимо таке. Запускаємо Провідник, потім відкриваємо меню «Сервіс»—"Властивості папки…"
У вікні, що відкрилося, переходимо на закладку «Вид» і знімаємо галочку з параметра «Використовувати простий доступ до файлів (рекомендується)»
Тепер вам доступні всі властивості файлової системи NTFS.
Повертаємось до закладки «Безпека».
У вікні нам доступно багато інформації. Зверху знаходиться список «Групи та користувачі:», в якому перераховані всі користувачі та групи, які мають права доступу до папки (стрілка 1). У нижньому списку показано дозволи для виділеного користувача/групи (стрілка 2). У разі це користувач SYSTEM. У цьому списку дозволів є базові дозволи. Зверніть увагу, що у колонці «Дозволити»галочки мають бляклий колір та не доступні для редагування. Це говорить про те, що ці права успадковані від батьківської папки. Ще раз, у цьому випадку всі права користувача SYSTEM на папку «Робоча»повністю успадковані від батьківської папки, і користувач SYSTEM має всі права ( "Повний доступ")
Виділяючи у списку потрібну групу чи користувача, ми можемо переглянути базові права цієї групи чи користувача. Виділивши користувача «Гостьовий користувач ( [email protected])»
можна побачити, що у нього всі права явні
А ось гурт «Користувачі (KAV-VM1\Користувачі»)має комбіновані права, частина з них успадкована від батьківської папки (сірі квадратики навпроти «Читання та виконання», "Список вмісту папки", «Читання»), а частина встановлено явно – це право «Змінити»і «Запис»
!!!Увага. Зверніть увагу на назви користувачів та груп. У дужках вказується приналежність групи чи користувача. Групи та користувачі можуть бути локальними, тобто. створеними безпосередньо на цьому комп'ютері, а можуть бути доменними. У цьому випадку група «Адміністратори»локальна, оскільки запис у дужках вказує ім'я комп'ютера KAV-VM1, а після слеша вже йде сама назва групи. Навпаки, користувач «Гостьовий користувач»є користувачем домену btw.by, на це вказує запис повного імені [email protected]
Найчастіше під час перегляду або зміни прав можна обмежитися вікном з базовими правами, але іноді цього недостатньо. Тоді можна відкрити вікно, в якому змінюються особливі дозволи, власник або переглядаються чинні дозволи. Як це зробити? Натискаємо на кнопку «Додатково». Відкривається таке вікно
У цьому вікні у таблиці «Елементи дозволів»перераховані всі користувачі, які мають права на цю папку. Так само, як і для базових дозволів, ми виділяємо потрібного користувача або групу та натискаємо кнопку «Змінити». Відкривається вікно, де показано всі особливі дозволи для виділеного користувача або групи
Аналогічно базовим дозволам, спеціальні дозволи, успадковані від батьківської папки, будуть показані бляклим сірим кольором і не будуть доступні для редагування
Як ви вже могли помітити, у вікні спеціальних дозволів для деяких користувачів чи груп є кілька рядків.
Це відбувається тому, що для одного користувача або групи можуть бути різні види прав: явні та успадковані, які дозволяють або забороняють, що різняться за видом спадкування. У цьому випадку права на читання для групи «Користувачі» успадковуються від батьківської папки, а права на зміну додані явно.
!!! Усі приклади будуть йти з наростанням складності. Читайте та розбирайтеся з ними в такій же послідовності, як вони йдуть у тексті. Однотипні дії в наступних прикладах опускатиму, щоб скоротити обсяг тексту. 🙂
Спочатку створимо локальну групу, до якої включимо весь список потрібних користувачів. Можна і без групи, але тоді для кожного користувача потрібно буде налаштовувати права окремо, і щоразу, коли знадобиться дати права новій людині, потрібно робити всі операції знову. А якщо права надати локальній групі, то для налаштування нової людини знадобиться лише одна дія – включення цієї людини до локальної групи. Як створити локальну групу безпеки читаємо у статті "Налаштування локальних груп безпеки".
Отже. Ми створили локальну групу безпеки з ім'ям «Колегам для читання»,
у яку додали всіх потрібних користувачів.
Тепер налаштовую права доступу до папки. У цьому прикладі я зроблю права доступу до створеної групи «Колегам для читання»на папку "Фото".
Натискаю правою кнопкою мишки на папку «ФОТО»та вибираю пункт меню «Властивості», переходжу на закладку «Безпека».
У закладці, що відкрилася «Безпека»відображаються поточні права папки «ФОТО». Виділивши групи та користувачів у списку, можна побачити, що права цієї папки успадковуються від батьківської папки (сірі галочки в стовпці «Дозволити»). У цій ситуації я не хочу, щоб хтось, окрім новоствореної групи, мав хоч якийсь доступ до папки. «ФОТО».
Тому я повинен прибрати спадкування прав і видалити непотрібних користувачів та групи зі списку. Натискаю кнопку «Додатково». У вікні,
прибираю галочку з пункту «Наслідувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволи, додаючи їх до явно заданих у цьому вікні.» . При цьому відкриється вікно, в якому я зможу вибрати, що робити з успадкованими правами.
Найчастіше я раджу натискати тут кнопку «Копіювати», тому що якщо вибрати "Видалити", то список прав стає порожнім, і ви можете фактично забрати права у себе. Так, не дивуйтеся, що це дуже легко зробити. І якщо ви не адміністратор на своєму комп'ютері, чи не користувач групи «Оператори архіву», то відновити права вам буде неможливо. Ситуація нагадує двері з автоматичною клямкою, яку ви закриваєте, залишаючи ключі всередині. Тому краще завжди натискайте кнопку «Копіювати»а потім видаляйте непотрібне.
Після того, як я натиснув «Копіювати»,я знову повертаюся до попереднього вікна, тільки вже зі знятою галочкою.
Натискаю "ОК"та повертаюся у вікно базових прав. Усі права стали доступними для редагування. Мені потрібно залишити права для локальної групи «Адміністратори»та користувача SYSTEM, а решту видалити. Я по черзі виділяю непотрібних користувачів та групи та натискаю кнопку "Видалити".
В результаті у мене виходить така картина.
Тепер мені залишається додати лише групу «Колегам для читання»та призначити цій групі права на читання.
Я натискаю кнопку «Додати», і у стандартному вікні вибору вибираю локальну групу «Колегам для читання». Як працювати з вікном вибору докладно описано у статті.
В результаті всіх дій я додав групу «Колегам для читання» до списку базових прав, при цьому для цієї групи автоматично встановилися права «Читання та виконання», "Список вмісту папки", «Читання».
Все, залишається натиснути кнопку "ОК"та права призначені. Тепер будь-який користувач, який належить локальній групі безпеки «Колегам для читання»,отримає можливість читати весь вміст папки «ФОТО».
Ця ситуація теж поширена практично. Наприклад, у вас є папка для нових сканованих документів. У цій папці для кожного користувача створено окрему підпапку. Після сканування документ забирається користувачем зі своєї підпапки. Завдання призначити права так, щоб кожен користувач бачив вміст лише своєї підпапки та не міг отримати доступ до підпапки колеги.
Для цього прикладу я трохи перефразую завдання. Припустимо, у нас є спільна папка «ФОТО», в якій для кожного користувача є підпапка. Необхідно налаштувати права так, щоб користувач мав у своїй підпапці всі права, а підпапки інших користувачів були йому недоступні.
Для цього я повністю повторюю всі дії з першого прикладу. В результаті повторення у мене виходять права для всієї групи «Колегам для читання»на читання до всіх підпапок. Але моє завдання зробити видимою користувачеві лише «свою» підпапку. Тому у вікні базових прав я натискаю кнопку «Додатково»
і переходжу у вікно особливих прав, у якому виділяю групу «Колегам для читання»та натискаю кнопку «Змінити»
У вікні я змінюю правила успадкування, замість значення в полі "Застосовувати:"я вибираю значення «Тільки для цієї папки».
Це найголовніший момент цього прикладу. Значення «Тільки для цієї папки»призводить до того, що права читання для групи «Колегам для читання»поширюються лише на корінь папки «ФОТО»але не на підпапки. Таким чином, кожен користувач зможе дістатися своєї папки, але заглянути в сусідню не зможе, права на перегляд підпапок у нього немає. Якщо ж не дати таке право групі зовсім, то користувачі взагалі не зможуть потрапити до своїх підпапок. Файлова система не пропустить їх навіть у папку «ФОТО».
У результаті користувачі зможуть заходити в папку «ФОТО»але далі до підпапок зайти не зможуть!
У вікні особливих прав натискаємо "ОК"і виходимо у попереднє вікно, тепер у стовпці «Застосовувати до»навпроти групи «Колегам для читання»стоїть значення «Тільки для цієї папки».
Натискаємо у всіх вікнах "ОК"та виходимо.
Всі. Тепер залишається налаштувати персональні права на кожну підпапку. Зробити це доведеться для кожної підпапки, права персональні для кожного користувача.
Усі потрібні дії ви вже робили в першому прикладі, повторимо пройдене 🙂
На підпапці «Користувач1»натискаю правою кнопкою мишки, вибираю пункт меню «Властивості», переходжу на закладку «Безпека». Натискаю кнопку «Додати»
та у стандартному вікні вибору вибираю доменного користувача з ім'ям «Користувач1».
Залишається встановити галочку для вирішального права «Змінити». При цьому галочка для вирішального права «Запис»встановиться автоматично.
Натискаємо "ОК". Виходимо. Залишається повторити аналогічні дії для всіх підпапок.
Розумію, що важко звучить, але намагатимусь пояснити. Такий вид доступу я називаю клямкою. У побуті ми маємо аналогічну ситуацію зі звичайною поштовою скринькою, в яку кидаємо паперові листи. Тобто. кинути листа в ящик можна, але витягти його з ящика вже не можна. У комп'ютерному господарстві таке може стати в нагоді для ситуації, коли вам хтось записує в папку звіт. Тобто. файл записується користувачем, але потім цей користувач уже нічого не може зробити з цим файлом. Таким чином, можна бути впевненим, що творець вже не зможе змінити чи видалити переданий звіт.
Як і в попередньому прикладі, повторюємо всі дії, за винятком того, що користувачу не даємо відразу повні права на свою папку, спочатку в базових дозволах даємо лише доступ на читання, і натискаємо кнопку «Додатково»
У вікні виділяємо «Користувач1»та натискаємо кнопку «Змінити»
У вікні ми бачимо стандартні права на читання
Для того, щоб дати право користувачеві створювати файли, ставимо дозвіл на право. "Створення файлів/Запис даних", а на права «Видалення підпапок та файлів»і «Видалення»ставимо заборону. Спадкування залишаємо стандартне «Для цієї папки, її підпапок та файлів».
Після натискання кнопки "ОК"і повернення до попереднього вікна можна побачити суттєві зміни. Замість одного запису для «Користувач1»з'явилося дві.
Це тому, що встановлені два види прав, одні забороняють, вони йдуть у списку першими, другі – у списку другі. Оскільки особливі права є нестандартними, то в стовпці "Дозвіл"стоїть значення «Особливі». При натисканні кнопки "ОК"з'являється вікно, до якого windows попереджає, що є заборонні права і що вони мають більш високий пріоритет. У перекладі це означає тугіше ситуацію з дверима, що самозакриваються, ключі від якої знаходяться всередині. Подібну ситуацію я описував у другому прикладі.
Всі. Права встановлені. Тепер «Користувач1»зможе записати у свою папку будь-який файл, відкрити його, але змінити чи видалити не зможе.
А як же повна аналогія із реальною поштовою скринькою?
Щоб користувач не зміг відкрити або скопіювати записаний файл, потрібно зробити таке. Знову відкриваємо дозволяючі особливі дозволи для «Користувач1», і в полі "Застосовувати:"змінюємо значення на «Тільки для цієї папки»
При цьому користувач не має права на читання або копіювання файлу.
Всі. Тепер аналогія із фізичною поштовою скринькою майже повна. Він зможе тільки бачити назви файлів, їх розмір, атрибути, але файл побачити не зможе.
Хочу сказати відразу, що наявна можливість переглянути чинні права для папки або файлу є повною фікцією. У моєму поданні такі інструменти мають надавати гарантовану інформацію. У разі це негаразд. Майкрософт сама визнається в тому, що цей інструмент не враховує багато факторів, що впливають на результуючі права, наприклад, умови входу. Тому користуватися подібним інструментом – лише вводити себе в оману щодо реальних прав.
Описаний на початку статті випадок, із забороною видалення файлу з папки у разі є дуже промовистим. Якщо ви змоделюєте подібну ситуацію і подивіться на права файлу, захищеного від видалення, ви побачите, що в правах файлу на видалення стоїть заборона. Однак, видалити цей файл не складе труднощів. Чому Майкрософт так зробила – я не знаю.
Якщо ж ви таки вирішите подивитися чинні права, то для цього необхідно у вікні базових прав натиснути кнопку «Додатково», і у вікні особливих прав перейти на закладку «Діючі дозволи».
Потім потрібно натиснути кнопку «Вибрати»та у стандартному вікні вибору вибрати потрібного користувача чи групу.
Після вибору можна побачити «приблизні» дозволи, що діють.
У висновку хочу сказати, що тема прав файлової системи NTFS дуже велика, наведені вище приклади лише дуже мала частина того, що можна зробити. Тому, якщо виникають питання, ставте їх у коментарях до цієї статті. Постараюсь на них відповісти.
З кожним об'єктом, який знаходиться у веденні Mac OS X, пов'язаний певний набір прав доступу (у unix-середовищі використовується термін привілею доступу), який повністю визначає, хто є власником цього об'єкта і що з ним можуть робити різні користувачі.
Ці права можна переглянути у вікні властивостей об'єкта – команда Файл>>Властивості, розділ Загальний доступ та права доступу.
Кому призначаються права доступу
У вікні властивостей об'єкта, в колонці Ім'я вказані користувачі або точніше, категорії користувачів, які мають якісь специфічні права на цей об'єкт: зареєстрований користувач позначений силуетом однієї людини, група – два силуети та решта – три силуети. Розглянемо їх докладніше.
Зареєстрований користувач. За замовчуванням першим таким користувачем вказано власника - того, хто створив цей об'єкт. Їм може бути будь-який зареєстрований користувач або root (у Finder root фігурує під ім'ям system).
Група. У вікні властивостей зазвичай вказується її ім'я, у прикладі це staff. Саме поняття групи використовується для того, щоб відокремити від «решти» певне коло людей, яким потрібно дати особливі права доступу до цього об'єкта.
Наприклад, якщо йдеться про якийсь важливий документ у межах організації, - скажімо, робочий розклад, - то доступ до нього з правом читання можуть мати всі співробітники цієї структури, а право змінювати його - лише певне коло осіб. Адміністратор, який визначає привілеї доступу до цього файлу, об'єднає людей, які мають право вносити корективи у файл, в окрему групу та надасть їй потрібні права.
У Mac OS за замовчуванням задані та використовуються такі групи: Admin - усі зареєстровані адміністратори, і в тому числі tool, Wheel - усі зареєстровані системні адміністратори, за замовчуванням це тільки root, і Staff – усі зареєстровані користувачі та root, групи можна створювати на панелі Облікові заші в Системних настредтках.
Інші (everyone)- це всі інші користувачі, які не є власниками цього елемента і не входять до групи, що має особливі права щодо цього об'єкта.
Які бувають права доступу
Що стосується прав, пов'язаних з певним об'єктом, то у Finder ви зможете задати такі з них:
Налаштування прав доступу до об'єкту
Коли ви створите в своїй особистій папці нову папку або збережете сюди власний файл, цей об'єкт отримає такі права доступу: власник має всі права - може і записувати в неї файли, і відкривати об'єкти, що містяться; члени групи staff (тобто зареєстровані користувачі) можуть переглядати її вміст; решта (тобто ті, хто підключився до вашого Маку з гостьовими правами) - теж переглядати її вміст.
Як бачите, права, які отримує кожна папка, що створюється, дуже демократичні (вони істотно відрізняються від встановлених папок - до них маєте доступ тільки ви, як власник). Якщо ви не хотіли б, щоб кожен користувач вашого комп'ютера мав доступ до всієї інформації в цій папці, обов'язково відредагуйте пов'язані з нею права.
У вікні вибору користувачів та груп є об'єкт Адресна книга. Виділивши його, ви отримаєте доступ до списку людей, чиї контакти зберігаються у вашій адресній книзі. Користувачі яких ви. додайте туди, будуть автоматично реєструватися на вашому Маку тільки для мережного доступу.
Користувачі або групи, які у вікні властивостей знаходяться у верхній частині списку користувачів, мають перевагу перед нижніми. Наприклад, якщо ви додасте до списку групу kids і дасте їм права читання та запису, то вони вже не будуть обмежені правами групи staff, хоч і входитимуть до її числа.
Зауважте, що лише адміністратори можуть вільно змінювати права доступу до об'єктів. Якщо звичайний користувач, наприклад, спробує "чужий" документ зробити "своїм", йому доведеться ввести пароль адміністратора.
Групове налаштування прав доступу
Як бути, якщо потрібно змінити права доступу до кількох об'єктів? Звичайно, вам не доведеться перебирати їх поодинці. Є кілька варіантів вирішення цього завдання.
Якщо при спробі запустити таку програму ви отримаєте повідомлення, що "Програма не відповідає" або щось таке, перевірте, чи правильно задані привілеї доступу до папки -/Бібліотеки/.
Ви повинні бути єдиним користувачем з правами читання та запису. Решта повинна мати категорію «немає доступу».
У такому разі увімкніть Ігнорувати власників у цьому томі та спокійно відкривайте всі документи. Іноді для цього може знадобитися перезавантажити комп'ютер.
"Швидка допомога" для прав доступу
Раджу дуже обережно ставитись до зміни прав доступу, особливо до папок, що містять системні та програмні компоненти. Після деяких, здавалося б, абсолютно невинних змін - наприклад, заборони всім іншим користувачам мати доступ до системних папок - можлива неправильна робота системи та інших програм.
Тому краще обмежитися налаштуванням прав для власних папок, які ви хотіли б приховати від загального доступу.
Але не завжди стан справ з правами залежатиме лише від вас. Є ряд ситуацій, після яких можливі зміни у правах доступу до системних компонентів, що загрожує збоями в роботі системи та деяких програм. Перелічимо основні причини виникнення проблем із правами.
Вирішити проблеми в роботі системи, пов'язані з неправильно встановленими правами, можна за допомогою програми Дискова утиліта (/Програми/ Службові програми). У лівому вікні профами вилетіть диск (або розділ диска), де знаходиться «проблемна» Mac OS, у правому – відкрийте закладку Перша допомога (First Aid). Що можна зробити:
Перевірити права доступу. Програма перевірить чи немає конфліктів у правах доступу на цьому диску. Ви отримаєте звіт про перевірку, на підставі якого зможете вирішити, чи їх потрібно виправляти чи ні.
Відновити права доступу. Якщо під час перевірки прав доступу було виявлено якісь проблеми, можете спробувати їх виправити. На повідомлення типу ACL виявлено, але не очікується, можна не звертати уваги. Наявність ACL не порушує роботи системних компонентів і Дискова утиліта їх зазвичай не видаляє.
У Леопарді можна відновлювати права доступу без перезавантаження з інсталяційного диска, як того вимагали попередні версії Mac OS. Права доступу до всіх компонентів операційної системи та програм Apple будуть скинуті у стан «за замовчуванням». Програми Apple в процесі встановлення записують інформацію про свої компоненти до папки /Бібліотеки/Receipts/. Ці дані дискова утиліта і використовує відновлення прав. Якщо вміст папки з даними про ці пакети було знищено, утиліта відновить лише системні права.
Без змін залишаться програми сторонніх виробників, і якщо вони під час встановлення змінювали права доступу до системного програмного забезпечення, то після відновлення прав доступу можуть працювати некоректно.
Засоби обміну даними між користувачами
До цих пір ми розповідали, як Mac OS захищає дані користувачів від стороннього доступу. Але є безліч ситуацій, коли навпаки - багато даних, таких як медіатека iTunes або фото iPhoto повинні стати доступними всім користувачам одного Мака. Розглянемо, які є засоби організації обміну файлами всіх зареєстрованих користувачів.
Папка Загальний доступ. Знаходиться в папці /Користувачі/. Інформація всередині цієї папки доступна всім користувачам – вони можуть копіювати з неї наявні об'єкти та записувати свої.
Папка Загальні. Знаходиться у вашій особистій папці. Інформація в цій папці доступна іншим користувачам лише з правом читання. Всі можуть відкривати її, переглядати файли і що-небудь з неї копіювати.
Папка Поштова скринька. Знаходиться в папці -/Загальні/). Тільки ви матимете до неї повний доступ. Всі інші можуть у неї тільки щось записувати, без права навіть переглядати її вміст.
Отже, якщо вам потрібно надати файл або папку для загального користування, помістіть її в папку /Користувачі/Спільний доступ/. Тільки не поспішайте копіювати туди свою медіатеку чи фототеку. Щоб розмістити в ній файли якихось програм, краще звернутися до довідки цих програм – тут можуть бути нюанси щодо того, які компоненти краще скопіювати туди і як іншим користувачам «підключитися» до загальних даних. Але якщо музичні файли або зображення зберігаються у вас за межами медіатеки або фототеки, можете сміливо переносити їх до папки Загальний доступ - вони відразу стануть доступними для всіх користувачів.
Якщо хочете, щоб усі могли користуватися вашими файлами, але не могли їх видаляти або додавати свої, запишіть ці файли в папку -/Загальні/. І, нарешті, щоб передати файл будь-кому особисто, киньте його в Поштову скриньку цього користувача.
Ви також можете створювати інші папки для обміну даними, призначаючи іншим користувачам відповідні права доступу.
Файлова система NTFS дозволяє налаштовувати дозволи на доступ до окремих папок або файлів для окремих користувачів. Ви можете налаштувати доступ до папок/файлів так, як хочете: закрити доступ до своїх файлів для одних користувачів та відкрити доступ іншим користувачам. У такому разі перші зможуть працювати з Вашими документами, а другі побачать перед собою вікно з повідомленням. Відмовлено у доступі до файлу». Але можливості налаштування доступу до папок/файлів не обмежуються лише тим, чи можуть або не можуть користувачі достукатися до Ваших документів. Ви можете конкретизувати дозволи на доступ. Так, хтось із користувачів зможе лише прочитати документ, а хтось зможе змінити його.
Щоб налаштувати права доступу до файлу/папки, потрібно вибрати пункт Властивостіу контекстному меню файлу/папки. У вікні необхідно перейти у вкладку Безпека. Далі перед Вами представлено два способи налаштування прав доступу.
Вибір відповідних дозволів здійснюється шляхом додавання галочки навпроти відповідного пункту.
Вкладка Аудитдозволяє налаштувати документування різних спроб доступу до файлу/папки. Так, Ви можете отримувати повідомлення щоразу, коли хтось успішно або безуспішно відкриває папку/файл, коли хтось змінює назву або вміст документа тощо. Ви можете вести аудит як успішних, так і безуспішних дій. Для аудиту також можна налаштувати область його дії. Задокументовані дані можна буде переглянути у Журналі подій.
Вкладка Чинні права доступупокаже права доступу до об'єкта для вибраного користувача.
Перед тим, як почати навішувати галочки для будь-яких користувачів, варто знати наступне: права доступу повинні бути явно налаштовані. Це означає, що для доступу до об'єкта необхідно отримати явний дозвіл. А щоб доступу до об'єкта не було, достатньо взагалі не виділяти жодних дозволів. Адже якщо Ви явно не вказали дозвіл доступу, то користувач не зможе отримати доступ до цього об'єкта. Тому виникає резонне питання, чому взагалі потрібен тип дозволу Заборонити? А для цього потрібно знати ще два правила:
Якщо з першим пунктом питань не повинно бути, то другий вимагає пояснення. Розглянемо на прикладі: якщо до папки papkaзвичайний користувач userмає дозвіл на читання та запис, а група Користувачімають дозвіл лише на читання папки papka, то підсумкові права доступу для користувача userбудуть дозволяти і читання, і запис щодо цієї папки, що суперечить політиці, за якою Користувачі можуть лише читати цю папку. Саме тому і потрібен тип дозволу Заборонити. Якщо по одній політиці доступ до файлу у користувача повинен бути, а по-іншому - ні, то необхідно заборонити доступ до файлу, адже інакше він у нього з'явиться, а це суперечить другій політиці.
Саме для того, щоб полегшити підсумовування всіх правил доступу до об'єкта, існує вкладка Чинні права доступу.
На додаток до всього перерахованого необхідно знати, що всі користувачі, незалежно від налаштованих прав доступу, за замовчуванням входять до групи Користувачі. І за замовчуванням на всі об'єкти (крім деяких об'єктів операційної системи) користувачі цієї групи мають доступ до читання та зміни. А ось користувачі із групи Адміністраториза промовчанням мають повний доступ до всіх об'єктів системи. До групи користувачів Ті, хто пройшов перевіркувходять будь-які користувачі, які увійшли до системи. Дозволи доступу вони приблизно рівні з правами доступу звичайних користувачів.
Знаючи це, Ви можете позбавити себе зайвої роботи з надання повного доступу для певного користувача з адміністративними правами або з налаштування прав доступу на читання та запис для звичайного користувача. Все це вже зроблено.
До того ж, не варто видаляти перераховані вище групи з прав доступу до будь-якого об'єкта. Також не варто видавати заборону доступу для цих груп. Навіть якщо Ви користувач з адміністративними правами, то заборона доступу до групи Користувачідо будь-якого об'єкта безцеремонно вдарить Вас у шию, оскільки Ви також є користувачем цієї групи. Тому будьте обережні і не намагайтеся вносити зміни до стандартних налаштувань.
На просторах Росії багато фірм і дрібних підприємств не мають у штаті свого системного адміністратора на постійній основі або час від часу. Фірма росте і рано чи пізно однієї розшарованої папки в мережі, де кожен може робити, що захоче, стає мало. Потрібно розмежувати доступ для різних користувачів або груп користувачів на платформі MS Windows. Лінуксоїдів та досвідчених адмінів прохання не читати статтю.
Найкращий варіант - взяти до штату досвідченого адміна і задуматися про покупку сервера. Досвідчений адмін на місці сам вирішить: чи піднімати MS Windows Server з Active Directory або використовувати щось зі світу Linux.
Але ця стаття написана для тих, хто вирішив поки що мучитися самостійно, не застосовуючи сучасні програмні рішення. Спробую пояснити бодай як правильно реалізовувати розмежування прав.
Перш ніж почати хотілося б розжувати кілька моментів:
У Провіднику приберіть спрощений доступ до потрібних речей.
Створіть на вашому комп'ютері WinServer папку, яка зберігатиме ваше багатство у вигляді файлів наказів, договорів тощо. У мене, як приклад, це буде C:\dostup\. Папка обов'язкова має бути створена розділ з NTFS.
На цьому етапі потрібно видати доступ до мережі(розшарити - share) папку для роботи з нею іншими користувачами на своїх комп'ютерах цієї локальної мережі.
І найголовніше! Видати папку в доступ з повною роздільною здатністю для всіх!Так Так! Ви не дочули. А як же розмежування доступу?
Ми дозволяємо по локальній мережі всім приєднуватися до папки, АЛЕ розмежовувати доступ буде засобами безпеки, що зберігаються у файловій системі NTFS, на якій розташована наш каталог.
Потрібно створити необхідні облікові записи користувачів. Нагадую, що якщо на численних ваших персональних комп'ютерах використовуються різні облікові записи для користувачів, то всі вони повинні бути створені на вашому "сервері" і з тими самими паролями. Це можна уникнути, тільки якщо у вас грамотний адмін і комп'ютери в Active Directory. Ні? Тоді ретельно створюйте облікові записи.
Тепер черга за найголовнішим – гурти! Групи дозволяють включати облікові записи користувачів і спрощують маніпуляції з видачею прав і розмежуванням доступу.
Трохи нижче буде пояснено "накладення прав" на каталоги та файли, але зараз головне зрозуміти одну думку. Права на папки або файли будуть надаватися групам, які можна порівняти з контейнерами. А групи вже "передадуть" права включених до них облікових записів. Тобто потрібно мислити лише на рівні груп, а чи не лише на рівні окремих облікових записів.
Потрібно включити у необхідні групи необхідні облікові записи. Для прикладу, на групі Бухгалтери правою кнопкою миші і там Додати до групиабо Властивості та там кнопка Додати. В полі Введіть імена вибраних об'єктіввпишіть ім'я необхідного облікового запису та натисніть Перевірити імена. Якщо все вірно, то обліковий запис зміниться до виду ІМ'ЯСЕРВЕРА. На малюнку вище обліковий запис buh3 був приведений до WINSERVER\buh3.
Отже, потрібні групи створені та облікові записи користувачів включені до потрібних груп. Але до етапу призначення прав на папках та файлах за допомогою груп хотілося б обговорити кілька моментів.
Чи варто морочитися з групою, якщо в ній буде один обліковий запис? Вважаю, що варте! Група дає гнучкість та маневреність. Завтра вам знадобиться ще одній людині Б дати ті ж права, що й певній людині з її обліковим записом А. Ви просто додасте обліковий запис Б до групи, де вже є А і все!
Набагато простіше, коли права доступу видані групам, а чи не окремим персонам. Вам залишається лише маніпулювати групами та включенням до них необхідних облікових записів.
Бажано виконувати наведені нижче дії від вбудованого облікового запису Адміністратор або від першого облікового запису в системі, яка за умовчанням входить до групи Адміністратори.
Ось і дісталися етапу, де безпосередньо і відбувається магія розмежування прав доступу для різних груп, а через них і користувачам (точніше їх обліковим записам).
Отже, ми маємо директорію за адресою C:\dostup\, яку ми вже видали в доступ по мережі всім співробітникам. Усередині каталогу C:\dostup\ для прикладу створимо папки Договору, Накази, Облік МЦ. Припустимо, що завдання зробити:
На папці Договору правою клавішею і там Властивості – вкладка Безпека. Ми бачимо, що якісь групи та користувачі вже мають до неї доступ. Ці права були успадковані від батька dostup\, а та у свою чергу від свого батька С:
Ми перервемо це спадкування прав та призначимо свої права-хотелки.
Тиснемо кнопку Додатково - вкладка Дозволи - кнопка Змінити дозволи.
Спочатку перериваємо спадкування прав від батька.Знімаємо галочку Додати дозволи, що успадковуються від батьківських об'єктів.Нас попередять, що дозволи від батька не будуть застосовуватись до цього об'єкта (у даному випадку це папка Договору). Вибір: Скасувати або Видалити або Додати. Тиснемо Додати і права від батька залишаться нам у спадок, але більше права батька на нас не поширюватимуться. Інакше кажучи, якщо у майбутньому права доступу в батька (папка dostup) змінити - це позначиться на дочірній папці Договору. Зауважте у полі Успадковано відстоїть не успадковано. Тобто зв'язок батько - дитинарозірвано.
Тепер акуратно видаляємо зайві права, залишаючи Повний доступдля Адміністраторів та Система. Виділяємо по черзі всякі Ті, хто пройшов перевіркуі просто Користувачіта видаляємо кнопкою Видалити.
Кнопка Додати у цьому вікні Додаткові параметри безпекипризначена для досвідчених адмінів, які зможуть задати спеціальні, спеціальні дозволи. Стаття націлена на знання досвідченого користувача.
Ми ставимо галочку Замінити всі дозволи дочірнього об'єкта на дозволи, успадковані від цього об'єктаі тиснемо Ок. Повертаємось назад і знову Ок, щоб повернутися до простого вигляду Властивості.
Це вікно дозволить спрощено досягти бажаного.Кнопка Редагувати виводить вікно "Дозволи для групи".
Тиснемо Додати. У новому вікні пишемо Бухгалтери і тиснемо "Перевірити імена" - Ок. За промовчанням дається у спрощеному вигляді доступ "на читання". Галочки в колонці Дозволити автоматично виставляються "Читання та виконання", "Список вмісту папки", "Читання". Нас це влаштовує і тиснемо Ок.
Тепер, за нашим технічним завданням, потрібно дати права на читання та запис для групи Менеджери. Якщо ми у вікні Властивості, знову Змінити - Додати - вбиваємо Менеджери - Перевірити імена. Додаємо в колонці Дозволити галочки Зміна та Запис.
Тепер потрібно все перевірити!
Слідкуйте за думкою. Ми наказали, щоб папка Договору не успадкувала права свого батька dostup. Наказали дочірнім папкам та файлам усередині папки Договору успадковувати права від неї.
На папку Договору ми наклали такі права доступу: група Бухгалтери повинна лише читати файли та відкривати папки всередині, а група Менеджери створювати, змінювати файли та створювати папки.
Отже, якщо всередині директорії Договору створюватиметься файл-документ, на ньому будуть дозволи від його батька. Користувачі зі своїми обліковими записами отримуватимуть доступ до таких файлів та каталогів через свої групи.
Зайдіть до папки Договору та створіть тестовий файл договор1.txt
На ньому клацання правою клавішею миші і там Властивості – вкладка Безпека – Додатково – вкладка Діючі дозволи.
Тиснемо Вибрати і пишемо обліковий запис будь-якого бухгалтера, наприклад buh1. Ми бачимо наочно, що buh1 отримав права від своєї групи Бухгалтери, які мають права на читання до батьківської папки Договору, яка "поширює" свої дозволи на свої дочірні об'єкти.
Пробуємо manager2 і бачимо наочно, що менеджер отримує доступ на читання та запис, тому що входить до групи Менеджери, яка надає такі права для цієї папки.
Так само, за аналогією з папкою Договору, накладаються права доступу і для інших папок, дотримуючись вашого технічного завдання.
Задавайте запитання у коментарях та запитуйте, поправляйте.
Відеоматеріал показує окремий випадок, коли потрібно лише заборонити доступ до папки, користуючись тим, що забороняючі правила мають пріоритет перед дозволяючими правилами.
Статті на тему: | |
Як прибрати стартову сторінку Webalta, Megogo, Goinf
Як вимкнути передплату Мегого, щоб уникнути незапланованого... Чи не запускається Dishonored?
Якщо ви зіткнулися з тим, що Dishonored гальмує, вилітає, Dishonored... Достовірні причини чому в вк не завантажується фото Не вантажить фотографії в вк
Привіт шановні користувачі. Якщо ви читаєте цю статтю, значить... |