Твітнути

При відкритті, видаленні або інших маніпуляціях з файлами та папками можна зіткнутися з помилкою доступу до файлів. Я розповім про те, як із цим боротися і чому так відбувається.

Як отримати повний доступ до файлів та папок

Спочатку інструкція про те, як отримати повний доступ до папок та файлів. У наступному розділі буде пояснення для допитливих.

Відкриваємо папку, де є проблемний файл чи папка. Щоб отримати повний доступ до їх вмісту, потрібно налаштувати доступ до файлів:

1. Натискаємо правою кнопкою миші по заблокованому файлу (або папці) без доступу - Властивостівибираємо вкладку Безпека:

2. Натискаємо кнопку Додаткововибираємо вкладку Власник:

3. Натискаємо кнопку Змінитиі вибираємо ім'я вашого користувача (у моєму випадку це Dima,у вас буде інше), також ставимо галку на Замінити власника підконтейнерів та об'єктів:

4. Якщо з'явиться вікно з текстом «Ви не маєте дозволу читати вміст папки. Бажаєте замінити дозволи для цієї папки так, щоб мати права повного доступу?», відповідаємо Так:

5. Після зміни власника папки з'явиться вікно з текстом Ви тільки що стали власником цього об'єкта. Потрібно закрити та знову відкрити вікно властивостей цього об'єкта, щоб бачити чи змінювати дозволи». Натискаємо OKпотім знову натискаємо OK(у вікні Додаткові параметри безпеки).

6. У вікні Властивості - Безпеказнову натискаємо Додатково, тільки тепер дивимося першу вкладку вікна - Дозволи.Потрібно натиснути кнопку Змінити дозволи:

7. Натисніть кнопку Додати:

(Якщо ви працюєте з властивостями папки, а не файлу, позначте галкою пункт «Замінити всі дозволи дочірнього об'єкта на дозволи, успадковані від цього об'єкта».)

8. У вікні «Вибір: користувачі або групи» вам потрібно буде ввести ім'я вашого користувача (можете подивитися його в меню «Пуск» - ім'я буде найвищим рядком), натиснути кнопку Перевірити імена, потім OK:

Якщо вам потрібно, щоб папка (або файл) відкривалася без обмежень абсолютно всіма користувачами, тобто. не тільки вашим, то знову натисніть Додатиі введіть ім'я « Усе» без лапок («All» в англомовній версії Windows), потім натисніть Перевірити іменаі OK.

9. На вкладці Дозволипо черзі натискайте двічі по рядках з іменами користувачів та ставте галку на пункт «Повний доступ»:

Це автоматично поставить галки на нижче пунктах.

10. Потім натискайте ОК, у наступному вікні відповідайте на попередження Так, знову ОК, щоб закрити усі вікна.

Готово! Повний доступ до файлів та папок отримано!Можете спокійно їх відкривати, змінювати та робити інші дії з ними.

Висновок:потрібно зробити два кроки: стати "власником" файлу або папки (п. 3), потім призначити собі права доступу (п. 6). Багато інструкцій про те, як отримати повний доступ до файлів і папок, згадують лише перший крок, забуваючи про другий. Це не зовсім правильно, тому що налаштування безпеки файлу/папки можуть бути різні, треба привести їх у нормальний вигляд, а не лише стати «власником».

Навіщо потрібні права файлів та папок

Механізм розмежування доступу до файлів та папок необхідний з багатьох причин. Наприклад:

1. Обмеження доступу до інформації різними користувачами.

Якщо одному комп'ютері чи спільної мережі працює кілька (більше одного) користувачів, логічно обмежити доступом до інформації - одним користувачам доступна вся інформація (найчастіше це адміністратори), іншим - лише їх власні файли і папки (звичайні користувачі).

Наприклад, вдома можна зробити обмеження прав одного користувача так, щоб захистити важливі файли та папки від видалення (щоб дитина не змогла по незнанню видалити важливі документи), тоді як з іншого (батьківського профілю) можна було робити все, що завгодно.

У першому розділі я показав, як дозволитидоступ до певних користувачів. Так само можна і обмежитидоступ - кроки ті самі, тільки в пункті 9 треба ставити інші галочки.

2. Безпека операційної системи.

У Windows XP все влаштовано досить просто - користувачі з правами адміністратора можуть змінювати (і видаляти) будь-які папки і файли на жорсткому диску, у тому числі системні, тобто. що належать Windows. Фактично, будь-яка програма, запущена у профілі користувача-адміністратора, могла зробити з вмістом жорсткого диска все що завгодно. Наприклад, видалити файл boot.ini, через що Windows перестане завантажуватися.

Під правами обмеженого користувача, де завдяки налаштуванням безпеки не можна було видаляти важливі системні файли, мало хто сидів, віддаючи перевагу адміністраторському обліковому запису. Таким чином, обліковий запис з правами адміністратора в Windows XP створює найсприятливіші умови для вірусів.

У Windows Vista, Windows 7 та Windows 8 працює «Контроль облікових записів користувача» (коротко UAC): під час роботи в адміністраторському обліковому записі програми, що запускаються користувачем, працюють з обмеженимиправами. Тобто видалити або змінити системні файли програми не можуть. Програми здатні отримати більш повний доступ, запросивши його у користувача за допомогою вікна UAC, про яке я вже :

Якщо права доступу до файлів налаштовані правильно і UAC увімкнено, то віруси, запущені в адміністраторському обліковому записі Vista/7/8, не зможуть серйозно нашкодити системі без дозволу людини, яка сидить за комп'ютером.

UAC марнийу випадках:

1. Якщо за комп'ютером сидить користувач, який бездумно натискає кнопки «Так» та «OK»

2. Якщо запускати програми від імені адміністратора (правою кнопкою по ярлику програми - Запустити від імені адміністратора).

3. UAC вимкнено.

4. Для системних файлів та папок на жорсткому диску дозволено повний доступ для всіх користувачів.

Програми, запущені в обліковому записі обмеженого користувача Windows Vista/7/8 (тип «Звичайний доступ»), не можуть викликати вікно UAC і працювати з правами адміністратора, що цілком логічно.

Повторюю ще раз: коли немає можливості підвищити свої права до адміністраторських, нашкодити захищеним за допомогою обмеження прав доступу до файлів операційної системи не можна.

Причини та вирішення проблем із доступом до файлів

Проблема в тому, що ви намагаєтеся отримати доступ до файлів та папок, створених під іншим обліковим записом. Рішення два:або дозволити всімкористувачам доступ, або дозволити лише тим, кому це потрібно, перерахувавши їх. Обидва рішення легко реалізуються за інструкцією вище. Різниця лише в тому, що ви вводитимете в пункті 8 - слово «Всі» або перераховуючи користувачів.

До речі, можна дозволити доступ всім, але заборонити одному (кільком) користувачам, при цьому налаштування заборони буде пріоритетним для перерахованих користувачів.

Причин виникнення проблем із доступом до файлів безліч. Найчастіше вони з'являються, якщо у вас кілька облікових записів, кілька операційних систем або комп'ютерів - скрізь облікові записи різні, при створенні файлів та папок права призначаються різні.

Що з правами файлів та папок робити не можна

У жодному разі не призначайте повний доступ до файлів і папок на всьому жорсткому диску з встановленою операційною системою!

Існує міф про те, що операційна система обмежує доступ користувача до файлів, тому треба призначати права доступу всім файлам на диску. Це неправда і змінювати права всіх файлів не можна!У системі, в якій не «колупалися», не призначали права доступу вручну, все призначено правильно!

Використовуйте мою інструкцію лише у разі реальних проблем, не для запобігання надуманим.

Пояснюю: дозволивши доступ до системних файлів, Windows, як і раніше, буде працювати, ось тільки будь-який вірус або некоректно працююча програма можуть зробити дуже погані речі. Навряд вам потрібні проблеми.

Свої настройки безпеки мають папки "C:\Windows", "C:\Program files", "C:\Program files (x86)", "C:\Users", "C:\System Volume Information", "C: \ProgramData", "C:\Recovery" та багато інших. Їх міняти не можна, за винятком випадків, якщо треба зробити будь-які маніпуляції з файлами (наприклад, щоб змінити тему Windows), причому треба повернути налаштування назад.

Не змінюйте налаштування безпеки «просто так», роблячи систему беззахисною перед вірусами та збоями! Після встановлення Windows права доступу до системних папок правильно налаштовані, не треба їх змінювати!

Порада:якщо програма коретно працює тільки в тому випадку, якщо запущена «від імені адміністратора», при звичайному запуску видаючи помилки - спробуйте призначити повні права на зміну папки з нею в C: Program files або C: Program files (x86) » (Не папці Program files, а папці з потрібною програмою всередині неї!).

Найчастіше це допомагає запустити на Windows Vista/7/8/10 старі ігри, які зберігають файли налаштувань, збережених усередині папки. Будучи запущеними без прав змінити власні файли, такі ігри в кращому разі не можуть зберегти ігровий прогрес, в гіршому - закриваються або зовсім не запускаються. Зі старими програмами те саме.

Висновки

1. Призначити права доступу щодо легко.

2. Права доступу змінювати без обґрунтованої мети не можна.

3. Змінили права системних файлів – змінюйте їх назад. Щоб змінити права системнихпапок та файлів на попередні, можна скористатися цією інструкцією (метод для Windows Vista повинен підійти і до Windows 7, Windows 8, 10).

4. Зміна налаштувань безпеки – справа тонка і автор статті не несе відповідальності за ваші дії.

Комп'ютери, які працюють під керуванням операційних систем Windows, можуть працювати з різними файловими системами, такими як FAT32 та NTFS. Не вдаючись у подібності можна сказати одне, що вони відрізняються головним – файлова система NTFS дозволяє налаштовувати параметри безпеки для кожного файлу або папки (каталогу). Тобто. Для кожного файлу або папки файлова система NTFS зберігає так звані списки ACL (Access Control List), в яких перелічені всі користувачі та групи, які мають певні права доступу до файлу або папки. Файлова система FAT32 така можливість позбавлена.

У файловій системі NTFS кожен файл або папка може мати такі права безпеки:

• Читання— Дозволяє перегляд папок та перегляд списку файлів та папок, перегляд та доступ до вмісту файлу;
• Запис- Дозволяє додавання файлів та підпапок, запис даних у файл;
• Читання та виконання— Дозволяє перегляд папок та перегляд списку файлів та підпапок, дозволяє перегляд та доступ до вмісту файлу, а також запуск виконуваного файлу;
• Список вмісту папки— Дозволяє перегляд папок та перегляд лише списку файлів та папок. Доступ до вмісту файлу ця роздільна здатність не дає!;
• Змінити— Дозволяє перегляд вмісту та створення файлів та підпапок, видалення папки, читання та запис даних у файл, видалення файлу;
• Повний доступ— Дозволяє перегляд вмісту, створення, зміна та видалення файлів та папок, читання та запис даних, а також зміна та видалення файлу

Перелічені вище права є базовими. Базові права складаються з особливих прав. Особливі права — це докладніші права, у тому числі формуються базові права. Використання спеціальних прав дає дуже велику гнучкість при налаштуванні прав доступу.

Список особливих прав доступу до файлів та папок:

• Огляд папок/Виконання файлів— Дозволяє переміщення структурою папок у пошуках інших файлів або папок, виконання файлів;
• Зміст папки/Читання даних- Дозволяє перегляд імен файлів або підпапок, що містяться в папці, читання даних із файлу;
• Читання атрибутів— Дозволяє перегляд таких атрибутів файлу чи папки, як «Тільки читання» та «Прихований»;
• Читання додаткових атрибутів— Дозволяє перегляд додаткових атрибутів файлу чи папки;
• Створення файлів / Запис даних— Дозволяє створення файлів у папці (застосовується лише до папок), внесення змін до файлу та запис поверх наявного вмісту (застосовується лише до файлів);
• Створення папок / Дозапис даних— Дозволяє створення папок у папці (застосовується тільки до папок), внесення даних до кінця файлу, але не зміна, видалення або заміну наявних даних (застосовується лише до файлів);
• Запис атрибутів- Дозволяє або забороняє зміну таких атрибутів файлу або папки, як "Тільки читання" та "Прихований";
• Запис додаткових атрибутів- Дозволяє або забороняє зміну додаткових атрибутів файлу чи папки;
• Видалення підпапок та файлів— Дозволяє видалити підпапки та файли навіть за відсутності дозволу «Видалення» (застосовується тільки до папок);
• Вилучення— Дозволяє видалити файл або папку. Якщо для файлу або папки немає роздільної здатності «Видалення», об'єкт можна видалити за наявності дозволу «Видалення підпапок та файлів» для батьківської папки;
• Читання дозволів— Дозволяє читати такі дозволи на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна дозволів— Дозволяє зміну таких дозволів на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна власника- Дозволяє вступати у володіння файлом або папкою;
• Синхронізація— Дозволяє очікувати різними потоками файлів або папок та синхронізувати їх з іншими потоками, які можуть займати їх. Ця роздільна здатність застосовується лише до програм, що виконуються в багатопотоковому режимі з кількома процесами;

!!!Всі базові та особливі права є як вирішальними, так і забороняючими.

Усі дозволи файлів і папок поділяються на два види: явні та успадковані. Механізм успадкування має на увазі автоматичну передачу чогось від батьківського об'єкта дочірньому. У файловій системі це означає, що будь-який файл або папка можуть успадковувати свої права батьківської папки. Це дуже зручний механізм, що позбавляє необхідності призначати явні права для всіх новостворених файлів і папок. Уявіть, що у вас на якомусь диску кілька тисяч файлів та папок, як їм усім роздати права доступу, сидіти та призначати кожному? Ні. Тут працює механізм успадкування. Створили папку в корені диска, папка автоматично отримала такі самі права, як і корінь диска. Змінили права для новоствореної папки. Потім усередині створеної папки створили ще вкладену папку. У цій новоствореній вкладеній папці права успадковуються від батьківської папки і т.д. і т.п.

Результатом застосування явних та успадкованих прав будуть фактичні права на конкретну папку або файл. Підводного каміння при цьому дуже багато. Наприклад, у вас є папка, в якій ви дозволяєте користувачеві "Вася" видаляти файли. Потім ви згадуєте, що в цій папці є один дуже важливий файл, який Вася в жодному разі не повинен видалити. Ви встановлюєте на важливий файл явну заборону (особливе право заборони «Видалення»). Здавалося б, справа зроблена, файл явно захищений від видалення. А Вася спокійно заходить до папки та видаляє цей суперзахищений файл. Чому? Тому, що Вася має права віддалення від батьківської папки, які в даному випадку є пріоритетними.

Намагайтеся не користуватися призначенням прав безпосередньо на файли, призначайте права на папки.

!!! Намагайтеся призначати права лише для груп, що значно спрощує адміністрування. Призначення прав для конкретних користувачів не рекомендується Microsoft. Не забувайте, що до групи можуть входити не лише користувачі, а й інші групи.

Наприклад. Якщо комп'ютер включено в домен, то до його локальної групи «Користувачі» автоматично додається група «Domain Users» (користувачі домену), а до локальної групи «Адміністратори» автоматично додається група «Domain Admins» (адміністратори домену), і відповідно, призначаючи на будь-яку папку права групі локальних користувачів, ви автоматично призначаєте права всіх користувачів домену.

Не турбуйтеся якщо все описане вище відразу не дуже зрозуміло. Приклади та самостійна робота швидко виправлять становище!

Переходимо до конкретики.

Всі приклади я показуватиму на прикладі вікон Windows XP. У Windows 7 і вище суть залишилася ідентичною, тільки вікон стало трохи більше.

Отже, щоб призначити або змінити права на файл або паку, необхідно в провіднику натиснути правою клавішею мишки на потрібний файл або папку вибрати пункт меню «Властивості»

У вас має відчинитися вікно із закладкою «Безпека»

Якщо такої закладки немає, тоді робимо таке. Запускаємо Провідник, потім відкриваємо меню «Сервіс»—"Властивості папки…"

У вікні, що відкрилося, переходимо на закладку «Вид» і знімаємо галочку з параметра «Використовувати простий доступ до файлів (рекомендується)»

Тепер вам доступні всі властивості файлової системи NTFS.

Повертаємось до закладки «Безпека».

У вікні нам доступно багато інформації. Зверху знаходиться список «Групи та користувачі:», в якому перераховані всі користувачі та групи, які мають права доступу до папки (стрілка 1). У нижньому списку показано дозволи для виділеного користувача/групи (стрілка 2). У разі це користувач SYSTEM. У цьому списку дозволів є базові дозволи. Зверніть увагу, що у колонці «Дозволити»галочки мають бляклий колір та не доступні для редагування. Це говорить про те, що ці права успадковані від батьківської папки. Ще раз, у цьому випадку всі права користувача SYSTEM на папку «Робоча»повністю успадковані від батьківської папки, і користувач SYSTEM має всі права ( "Повний доступ")

Виділяючи у списку потрібну групу чи користувача, ми можемо переглянути базові права цієї групи чи користувача. Виділивши користувача «Гостьовий користувач ( [email protected])» можна побачити, що у нього всі права явні

А ось гурт «Користувачі (KAV-VM1\Користувачі»)має комбіновані права, частина з них успадкована від батьківської папки (сірі квадратики навпроти «Читання та виконання», "Список вмісту папки", «Читання»), а частина встановлено явно – це право «Змінити»і «Запис»

!!!Увага. Зверніть увагу на назви користувачів та груп. У дужках вказується приналежність групи чи користувача. Групи та користувачі можуть бути локальними, тобто. створеними безпосередньо на цьому комп'ютері, а можуть бути доменними. У цьому випадку група «Адміністратори»локальна, оскільки запис у дужках вказує ім'я комп'ютера KAV-VM1, а після слеша вже йде сама назва групи. Навпаки, користувач «Гостьовий користувач»є користувачем домену btw.by, на це вказує запис повного імені [email protected]

Найчастіше під час перегляду або зміни прав можна обмежитися вікном з базовими правами, але іноді цього недостатньо. Тоді можна відкрити вікно, в якому змінюються особливі дозволи, власник або переглядаються чинні дозволи. Як це зробити? Натискаємо на кнопку «Додатково». Відкривається таке вікно

У цьому вікні у таблиці «Елементи дозволів»перераховані всі користувачі, які мають права на цю папку. Так само, як і для базових дозволів, ми виділяємо потрібного користувача або групу та натискаємо кнопку «Змінити». Відкривається вікно, де показано всі особливі дозволи для виділеного користувача або групи

Аналогічно базовим дозволам, спеціальні дозволи, успадковані від батьківської папки, будуть показані бляклим сірим кольором і не будуть доступні для редагування

Як ви вже могли помітити, у вікні спеціальних дозволів для деяких користувачів чи груп є кілька рядків.


Це відбувається тому, що для одного користувача або групи можуть бути різні види прав: явні та успадковані, які дозволяють або забороняють, що різняться за видом спадкування. У цьому випадку права на читання для групи «Користувачі» успадковуються від батьківської папки, а права на зміну додані явно.

Приклади призначення прав.

!!! Усі приклади будуть йти з наростанням складності. Читайте та розбирайтеся з ними в такій же послідовності, як вони йдуть у тексті. Однотипні дії в наступних прикладах опускатиму, щоб скоротити обсяг тексту. 🙂

Приклад 1. Надання права доступу до папки певній локальній групі безпеки лише читання.

Спочатку створимо локальну групу, до якої включимо весь список потрібних користувачів. Можна і без групи, але тоді для кожного користувача потрібно буде налаштовувати права окремо, і щоразу, коли знадобиться дати права новій людині, потрібно робити всі операції знову. А якщо права надати локальній групі, то для налаштування нової людини знадобиться лише одна дія – включення цієї людини до локальної групи. Як створити локальну групу безпеки читаємо у статті "Налаштування локальних груп безпеки".

Отже. Ми створили локальну групу безпеки з ім'ям «Колегам для читання»,


у яку додали всіх потрібних користувачів.

Тепер налаштовую права доступу до папки. У цьому прикладі я зроблю права доступу до створеної групи «Колегам для читання»на папку "Фото".

Натискаю правою кнопкою мишки на папку «ФОТО»та вибираю пункт меню «Властивості», переходжу на закладку «Безпека».

У закладці, що відкрилася «Безпека»відображаються поточні права папки «ФОТО». Виділивши групи та користувачів у списку, можна побачити, що права цієї папки успадковуються від батьківської папки (сірі галочки в стовпці «Дозволити»). У цій ситуації я не хочу, щоб хтось, окрім новоствореної групи, мав хоч якийсь доступ до папки. «ФОТО».

Тому я повинен прибрати спадкування прав і видалити непотрібних користувачів та групи зі списку. Натискаю кнопку «Додатково». У вікні,


прибираю галочку з пункту «Наслідувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволи, додаючи їх до явно заданих у цьому вікні.» . При цьому відкриється вікно, в якому я зможу вибрати, що робити з успадкованими правами.

Найчастіше я раджу натискати тут кнопку «Копіювати», тому що якщо вибрати "Видалити", то список прав стає порожнім, і ви можете фактично забрати права у себе. Так, не дивуйтеся, що це дуже легко зробити. І якщо ви не адміністратор на своєму комп'ютері, чи не користувач групи «Оператори архіву», то відновити права вам буде неможливо. Ситуація нагадує двері з автоматичною клямкою, яку ви закриваєте, залишаючи ключі всередині. Тому краще завжди натискайте кнопку «Копіювати»а потім видаляйте непотрібне.

Після того, як я натиснув «Копіювати»,я знову повертаюся до попереднього вікна, тільки вже зі знятою галочкою.

Натискаю "ОК"та повертаюся у вікно базових прав. Усі права стали доступними для редагування. Мені потрібно залишити права для локальної групи «Адміністратори»та користувача SYSTEM, а решту видалити. Я по черзі виділяю непотрібних користувачів та групи та натискаю кнопку "Видалити".

В результаті у мене виходить така картина.

Тепер мені залишається додати лише групу «Колегам для читання»та призначити цій групі права на читання.

Я натискаю кнопку «Додати», і у стандартному вікні вибору вибираю локальну групу «Колегам для читання». Як працювати з вікном вибору докладно описано у статті.

В результаті всіх дій я додав групу «Колегам для читання» до списку базових прав, при цьому для цієї групи автоматично встановилися права «Читання та виконання», "Список вмісту папки", «Читання».

Все, залишається натиснути кнопку "ОК"та права призначені. Тепер будь-який користувач, який належить локальній групі безпеки «Колегам для читання»,отримає можливість читати весь вміст папки «ФОТО».

Приклад 2. Надання персонального доступу користувачам до своїх папок у папці.

Ця ситуація теж поширена практично. Наприклад, у вас є папка для нових сканованих документів. У цій папці для кожного користувача створено окрему підпапку. Після сканування документ забирається користувачем зі своєї підпапки. Завдання призначити права так, щоб кожен користувач бачив вміст лише своєї підпапки та не міг отримати доступ до підпапки колеги.

Для цього прикладу я трохи перефразую завдання. Припустимо, у нас є спільна папка «ФОТО», в якій для кожного користувача є підпапка. Необхідно налаштувати права так, щоб користувач мав у своїй підпапці всі права, а підпапки інших користувачів були йому недоступні.

Для цього я повністю повторюю всі дії з першого прикладу. В результаті повторення у мене виходять права для всієї групи «Колегам для читання»на читання до всіх підпапок. Але моє завдання зробити видимою користувачеві лише «свою» підпапку. Тому у вікні базових прав я натискаю кнопку «Додатково»

і переходжу у вікно особливих прав, у якому виділяю групу «Колегам для читання»та натискаю кнопку «Змінити»

У вікні я змінюю правила успадкування, замість значення в полі "Застосовувати:"я вибираю значення «Тільки для цієї папки».

Це найголовніший момент цього прикладу. Значення «Тільки для цієї папки»призводить до того, що права читання для групи «Колегам для читання»поширюються лише на корінь папки «ФОТО»але не на підпапки. Таким чином, кожен користувач зможе дістатися своєї папки, але заглянути в сусідню не зможе, права на перегляд підпапок у нього немає. Якщо ж не дати таке право групі зовсім, то користувачі взагалі не зможуть потрапити до своїх підпапок. Файлова система не пропустить їх навіть у папку «ФОТО».

У результаті користувачі зможуть заходити в папку «ФОТО»але далі до підпапок зайти не зможуть!

У вікні особливих прав натискаємо "ОК"і виходимо у попереднє вікно, тепер у стовпці «Застосовувати до»навпроти групи «Колегам для читання»стоїть значення «Тільки для цієї папки».

Натискаємо у всіх вікнах "ОК"та виходимо.

Всі. Тепер залишається налаштувати персональні права на кожну підпапку. Зробити це доведеться для кожної підпапки, права персональні для кожного користувача.

Усі потрібні дії ви вже робили в першому прикладі, повторимо пройдене 🙂

На підпапці «Користувач1»натискаю правою кнопкою мишки, вибираю пункт меню «Властивості», переходжу на закладку «Безпека». Натискаю кнопку «Додати»

та у стандартному вікні вибору вибираю доменного користувача з ім'ям «Користувач1».

Залишається встановити галочку для вирішального права «Змінити». При цьому галочка для вирішального права «Запис»встановиться автоматично.

Натискаємо "ОК". Виходимо. Залишається повторити аналогічні дії для всіх підпапок.

Приклад 3. Надання персонального доступу користувачеві до своєї підпапки на запис з одночасною забороною зміни або видалення.

Розумію, що важко звучить, але намагатимусь пояснити. Такий вид доступу я називаю клямкою. У побуті ми маємо аналогічну ситуацію зі звичайною поштовою скринькою, в яку кидаємо паперові листи. Тобто. кинути листа в ящик можна, але витягти його з ящика вже не можна. У комп'ютерному господарстві таке може стати в нагоді для ситуації, коли вам хтось записує в папку звіт. Тобто. файл записується користувачем, але потім цей користувач уже нічого не може зробити з цим файлом. Таким чином, можна бути впевненим, що творець вже не зможе змінити чи видалити переданий звіт.

Як і в попередньому прикладі, повторюємо всі дії, за винятком того, що користувачу не даємо відразу повні права на свою папку, спочатку в базових дозволах даємо лише доступ на читання, і натискаємо кнопку «Додатково»

У вікні виділяємо «Користувач1»та натискаємо кнопку «Змінити»

У вікні ми бачимо стандартні права на читання

Для того, щоб дати право користувачеві створювати файли, ставимо дозвіл на право. "Створення файлів/Запис даних", а на права «Видалення підпапок та файлів»і «Видалення»ставимо заборону. Спадкування залишаємо стандартне «Для цієї папки, її підпапок та файлів».

Після натискання кнопки "ОК"і повернення до попереднього вікна можна побачити суттєві зміни. Замість одного запису для «Користувач1»з'явилося дві.

Це тому, що встановлені два види прав, одні забороняють, вони йдуть у списку першими, другі – у списку другі. Оскільки особливі права є нестандартними, то в стовпці "Дозвіл"стоїть значення «Особливі». При натисканні кнопки "ОК"з'являється вікно, до якого windows попереджає, що є заборонні права і що вони мають більш високий пріоритет. У перекладі це означає тугіше ситуацію з дверима, що самозакриваються, ключі від якої знаходяться всередині. Подібну ситуацію я описував у другому прикладі.

Всі. Права встановлені. Тепер «Користувач1»зможе записати у свою папку будь-який файл, відкрити його, але змінити чи видалити не зможе.

А як же повна аналогія із реальною поштовою скринькою?

Щоб користувач не зміг відкрити або скопіювати записаний файл, потрібно зробити таке. Знову відкриваємо дозволяючі особливі дозволи для «Користувач1», і в полі "Застосовувати:"змінюємо значення на «Тільки для цієї папки»

При цьому користувач не має права на читання або копіювання файлу.

Всі. Тепер аналогія із фізичною поштовою скринькою майже повна. Він зможе тільки бачити назви файлів, їх розмір, атрибути, але файл побачити не зможе.

Перегляд чинних прав.

Хочу сказати відразу, що наявна можливість переглянути чинні права для папки або файлу є повною фікцією. У моєму поданні такі інструменти мають надавати гарантовану інформацію. У разі це негаразд. Майкрософт сама визнається в тому, що цей інструмент не враховує багато факторів, що впливають на результуючі права, наприклад, умови входу. Тому користуватися подібним інструментом – лише вводити себе в оману щодо реальних прав.

Описаний на початку статті випадок, із забороною видалення файлу з папки у разі є дуже промовистим. Якщо ви змоделюєте подібну ситуацію і подивіться на права файлу, захищеного від видалення, ви побачите, що в правах файлу на видалення стоїть заборона. Однак, видалити цей файл не складе труднощів. Чому Майкрософт так зробила – я не знаю.

Якщо ж ви таки вирішите подивитися чинні права, то для цього необхідно у вікні базових прав натиснути кнопку «Додатково», і у вікні особливих прав перейти на закладку «Діючі дозволи».

Потім потрібно натиснути кнопку «Вибрати»та у стандартному вікні вибору вибрати потрібного користувача чи групу.

Після вибору можна побачити «приблизні» дозволи, що діють.

У висновку хочу сказати, що тема прав файлової системи NTFS дуже велика, наведені вище приклади лише дуже мала частина того, що можна зробити. Тому, якщо виникають питання, ставте їх у коментарях до цієї статті. Постараюсь на них відповісти.

З кожним об'єктом, який знаходиться у веденні Mac OS X, пов'язаний певний набір прав доступу (у unix-середовищі використовується термін привілею доступу), який повністю визначає, хто є власником цього об'єкта і що з ним можуть робити різні користувачі.

Ці права можна переглянути у вікні властивостей об'єкта – команда Файл>>Властивості, розділ Загальний доступ та права доступу.

Кому призначаються права доступу

У вікні властивостей об'єкта, в колонці Ім'я вказані користувачі або точніше, категорії користувачів, які мають якісь специфічні права на цей об'єкт: зареєстрований користувач позначений силуетом однієї людини, група – два силуети та решта – три силуети. Розглянемо їх докладніше.

Зареєстрований користувач. За замовчуванням першим таким користувачем вказано власника - того, хто створив цей об'єкт. Їм може бути будь-який зареєстрований користувач або root (у Finder root фігурує під ім'ям system).

Група. У вікні властивостей зазвичай вказується її ім'я, у прикладі це staff. Саме поняття групи використовується для того, щоб відокремити від «решти» певне коло людей, яким потрібно дати особливі права доступу до цього об'єкта.

Наприклад, якщо йдеться про якийсь важливий документ у межах організації, - скажімо, робочий розклад, - то доступ до нього з правом читання можуть мати всі співробітники цієї структури, а право змінювати його - лише певне коло осіб. Адміністратор, який визначає привілеї доступу до цього файлу, об'єднає людей, які мають право вносити корективи у файл, в окрему групу та надасть їй потрібні права.

У Mac OS за замовчуванням задані та використовуються такі групи: Admin - усі зареєстровані адміністратори, і в тому числі tool, Wheel - усі зареєстровані системні адміністратори, за замовчуванням це тільки root, і Staff – усі зареєстровані користувачі та root, групи можна створювати на панелі Облікові заші в Системних настредтках.

Інші (everyone)- це всі інші користувачі, які не є власниками цього елемента і не входять до групи, що має особливі права щодо цього об'єкта.

Які бувають права доступу

Що стосується прав, пов'язаних з певним об'єктом, то у Finder ви зможете задати такі з них:

Тільки читанняпозначає, що користувач може, якщо це файл, відкривати його, а якщо папка – відкривати та копіювати її вміст. Зазвичай такі права мають документи та папки, призначені лише перегляду. Користувач із правом "тільки читання" не зможе якось змінювати або видаляти ці об'єкти. Візуальним позначенням папки, вміст якої ви не можете змінювати, служить значок «перекреслений олівець», який з'являється у нижньому лівому куті вікна Finder.

Тільки запис(поштова скринька) означає, що користувач може зберігати свої файли в цій папці. При цьому якщо в парі з пей не йде право «читання», то він. навіть не зможе бачити, що знаходиться усередині цієї папки. Виходить така «чорна скринька», в яку можна тільки щось кинути.

Читання та запис- Користувач має всі права: він може і відкривати цей елемент, і змінювати його, і видаляти. Зазвичай, такі права доступу мають створені вами папки та документи.

Немає доступу- повна відсутність будь-яких прав щодо цього об'єкта. Користувач зможе лише бачити його іконку – і все. Так, якщо ви відкриєте особисту папку іншого користувача, папки, які ви не можете відкривати, будуть позначені дорожнім знаком «Проїзд заборонено».

Налаштування прав доступу до об'єкту

Коли ви створите в своїй особистій папці нову папку або збережете сюди власний файл, цей об'єкт отримає такі права доступу: власник має всі права - може і записувати в неї файли, і відкривати об'єкти, що містяться; члени групи staff (тобто зареєстровані користувачі) можуть переглядати її вміст; решта (тобто ті, хто підключився до вашого Маку з гостьовими правами) - теж переглядати її вміст.

Як бачите, права, які отримує кожна папка, що створюється, дуже демократичні (вони істотно відрізняються від встановлених папок - до них маєте доступ тільки ви, як власник). Якщо ви не хотіли б, щоб кожен користувач вашого комп'ютера мав доступ до всієї інформації в цій папці, обов'язково відредагуйте пов'язані з нею права.

У вікні вибору користувачів та груп є об'єкт Адресна книга. Виділивши його, ви отримаєте доступ до списку людей, чиї контакти зберігаються у вашій адресній книзі. Користувачі яких ви. додайте туди, будуть автоматично реєструватися на вашому Маку тільки для мережного доступу.

Користувачі або групи, які у вікні властивостей знаходяться у верхній частині списку користувачів, мають перевагу перед нижніми. Наприклад, якщо ви додасте до списку групу kids і дасте їм права читання та запису, то вони вже не будуть обмежені правами групи staff, хоч і входитимуть до її числа.

Зауважте, що лише адміністратори можуть вільно змінювати права доступу до об'єктів. Якщо звичайний користувач, наприклад, спробує "чужий" документ зробити "своїм", йому доведеться ввести пароль адміністратора.

Групове налаштування прав доступу

Як бути, якщо потрібно змінити права доступу до кількох об'єктів? Звичайно, вам не доведеться перебирати їх поодинці. Є кілька варіантів вирішення цього завдання.

Потрібно змінити права доступу до кількох об'єктів, які знаходяться в одній папці, але не до всього вмісту цієї папки. Виділіть потрібні об'єкти. Це повинні бути однорідні об'єкти, тобто, тільки файли або тільки папки. Далі, утримуючи клавішу Alt, виберіть Файл>Показати інспектор. Відкриється загальне вікно властивостей, в якому ви, розгорнувши розділ Загальний доступ і права доступу, можете змінити характер доступу до всіх виділених об'єктів.

Потрібно змінити права доступу до папки (диску)та всім об'єктам, що знаходяться всередині. Може статися, що через ваші неправильні дії або некоректну роботу якихось програм було змінено права доступу до вашої особистої папки або її вмісту Це може вплинути на роботу програм, що зберігають свої файли у вашій особистій папці (наприклад, Mail та Адресної книги) .

Якщо при спробі запустити таку програму ви отримаєте повідомлення, що "Програма не відповідає" або щось таке, перевірте, чи правильно задані привілеї доступу до папки -/Бібліотеки/.

Ви повинні бути єдиним користувачем з правами читання та запису. Решта повинна мати категорію «немає доступу».

Ігнорувати права доступу на диску (томі), У вікні властивостей незавантажувального диска, у розділі Загальний доступ та пра&а доступу, є опція Ігнорувати власників у цьому томі. Якщо вона відключена, тобто права доступу на цьому томі беруться до уваги, ви можете зіткнутися з ситуацією, що вам недоступні ваші документи, які знаходяться в старій особистій папці (з якої ви давно «переїхали»).

У такому разі увімкніть Ігнорувати власників у цьому томі та спокійно відкривайте всі документи. Іноді для цього може знадобитися перезавантажити комп'ютер.

"Швидка допомога" для прав доступу

Раджу дуже обережно ставитись до зміни прав доступу, особливо до папок, що містять системні та програмні компоненти. Після деяких, здавалося б, абсолютно невинних змін - наприклад, заборони всім іншим користувачам мати доступ до системних папок - можлива неправильна робота системи та інших програм.

Тому краще обмежитися налаштуванням прав для власних папок, які ви хотіли б приховати від загального доступу.

Але не завжди стан справ з правами залежатиме лише від вас. Є ряд ситуацій, після яких можливі зміни у правах доступу до системних компонентів, що загрожує збоями в роботі системи та деяких програм. Перелічимо основні причини виникнення проблем із правами.

Установники програм сторонніх виробників можуть некоректно встановлювати права для своїх папок і файлів, і навіть для папки /Програми/, Симптомом таких порушень стає поява знака питання замість іконок програм у Доці і, можливо, проблеми з підключенням до Інтернету.

Перезавантажившись з іншого системного диска та ввімкнувши опцію Ігнорувати власників у цьому томі, ви фактично отримуєте права суперкористувача по відношенню до всіх файлів Mac OS X, які знаходяться на жорсткому диску – можете переносити, видаляти та змінювати навіть її системні компоненти. Щоб уникнути подальших проблем у роботі такої системи, краще не виконувати жодних дій із незнайомими елементами, навіть не відкривати їх.

Вирішити проблеми в роботі системи, пов'язані з неправильно встановленими правами, можна за допомогою програми Дискова утиліта (/Програми/ Службові програми). У лівому вікні профами вилетіть диск (або розділ диска), де знаходиться «проблемна» Mac OS, у правому – відкрийте закладку Перша допомога (First Aid). Що можна зробити:

Перевірити права доступу. Програма перевірить чи немає конфліктів у правах доступу на цьому диску. Ви отримаєте звіт про перевірку, на підставі якого зможете вирішити, чи їх потрібно виправляти чи ні.

Відновити права доступу. Якщо під час перевірки прав доступу було виявлено якісь проблеми, можете спробувати їх виправити. На повідомлення типу ACL виявлено, але не очікується, можна не звертати уваги. Наявність ACL не порушує роботи системних компонентів і Дискова утиліта їх зазвичай не видаляє.

У Леопарді можна відновлювати права доступу без перезавантаження з інсталяційного диска, як того вимагали попередні версії Mac OS. Права доступу до всіх компонентів операційної системи та програм Apple будуть скинуті у стан «за замовчуванням». Програми Apple в процесі встановлення записують інформацію про свої компоненти до папки /Бібліотеки/Receipts/. Ці дані дискова утиліта і використовує відновлення прав. Якщо вміст папки з даними про ці пакети було знищено, утиліта відновить лише системні права.

Без змін залишаться програми сторонніх виробників, і якщо вони під час встановлення змінювали права доступу до системного програмного забезпечення, то після відновлення прав доступу можуть працювати некоректно.

Засоби обміну даними між користувачами

До цих пір ми розповідали, як Mac OS захищає дані користувачів від стороннього доступу. Але є безліч ситуацій, коли навпаки - багато даних, таких як медіатека iTunes або фото iPhoto повинні стати доступними всім користувачам одного Мака. Розглянемо, які є засоби організації обміну файлами всіх зареєстрованих користувачів.

Папка Загальний доступ. Знаходиться в папці /Користувачі/. Інформація всередині цієї папки доступна всім користувачам – вони можуть копіювати з неї наявні об'єкти та записувати свої.

Папка Загальні. Знаходиться у вашій особистій папці. Інформація в цій папці доступна іншим користувачам лише з правом читання. Всі можуть відкривати її, переглядати файли і що-небудь з неї копіювати.

Папка Поштова скринька. Знаходиться в папці -/Загальні/). Тільки ви матимете до неї повний доступ. Всі інші можуть у неї тільки щось записувати, без права навіть переглядати її вміст.

Отже, якщо вам потрібно надати файл або папку для загального користування, помістіть її в папку /Користувачі/Спільний доступ/. Тільки не поспішайте копіювати туди свою медіатеку чи фототеку. Щоб розмістити в ній файли якихось програм, краще звернутися до довідки цих програм – тут можуть бути нюанси щодо того, які компоненти краще скопіювати туди і як іншим користувачам «підключитися» до загальних даних. Але якщо музичні файли або зображення зберігаються у вас за межами медіатеки або фототеки, можете сміливо переносити їх до папки Загальний доступ - вони відразу стануть доступними для всіх користувачів.

Якщо хочете, щоб усі могли користуватися вашими файлами, але не могли їх видаляти або додавати свої, запишіть ці файли в папку -/Загальні/. І, нарешті, щоб передати файл будь-кому особисто, киньте його в Поштову скриньку цього користувача.

Ви також можете створювати інші папки для обміну даними, призначаючи іншим користувачам відповідні права доступу.

Файлова система NTFS дозволяє налаштовувати дозволи на доступ до окремих папок або файлів для окремих користувачів. Ви можете налаштувати доступ до папок/файлів так, як хочете: закрити доступ до своїх файлів для одних користувачів та відкрити доступ іншим користувачам. У такому разі перші зможуть працювати з Вашими документами, а другі побачать перед собою вікно з повідомленням. Відмовлено у доступі до файлу». Але можливості налаштування доступу до папок/файлів не обмежуються лише тим, чи можуть або не можуть користувачі достукатися до Ваших документів. Ви можете конкретизувати дозволи на доступ. Так, хтось із користувачів зможе лише прочитати документ, а хтось зможе змінити його.

Як відкрити або закрити доступ до файлів або папок у Windows?

Щоб налаштувати права доступу до файлу/папки, потрібно вибрати пункт Властивостіу контекстному меню файлу/папки. У вікні необхідно перейти у вкладку Безпека. Далі перед Вами представлено два способи налаштування прав доступу.

1. Натискаємо кнопку Змінити. Після чого спостерігаємо таку картину:
   У цьому вікні ми можемо додати або видалити користувача або групу користувачів, для яких ми хочемо налаштувати права доступу до цього об'єкта. Для цього необхідно використовувати кнопки Додатиі видалити. Після того як Ви вибрали користувачів, для яких хочете налаштувати відповідні права доступу, по черзі виділіть їх та наділіть відповідними правами на основу різних . Щоб дозволити або навпаки заборонити доступ, необхідно наділити галочкою відповідні пункти. Щоб зберегти зміни, тисніть Застосувати, після чого ОК.
2. Тиснемо кнопку Додатково. Це вікно надає додаткові можливості для налаштування прав доступу до об'єкта.
   
   Функціонал, представлений у першому пункті, міститься у вкладці Дозволи. За допомогою кнопок Додатиі видалитиВи можете відповідно додати користувачів до списку або видалити їх. Щоб виставити відповідні дозволи для вибраного користувача або , необхідно скористатися кнопкою Змінити.
   
   У спадному меню Ви можете вибрати тип дозволу (дозволити або заборонити), а у випадку з папками, Ви можете вибрати область дії даних правил. Як бачите, це вікно надає все ті ж до об'єкта. Але якщо натиснути кнопку Відображення додаткових дозволів, то Ви отримаєте цілих .

   

   Вибір відповідних дозволів здійснюється шляхом додавання галочки навпроти відповідного пункту.

   Вкладка Аудитдозволяє налаштувати документування різних спроб доступу до файлу/папки. Так, Ви можете отримувати повідомлення щоразу, коли хтось успішно або безуспішно відкриває папку/файл, коли хтось змінює назву або вміст документа тощо. Ви можете вести аудит як успішних, так і безуспішних дій. Для аудиту також можна налаштувати область його дії. Задокументовані дані можна буде переглянути у Журналі подій.

   Вкладка Чинні права доступупокаже права доступу до об'єкта для вибраного користувача.

Дозволити чи заборонити доступ?

Перед тим, як почати навішувати галочки для будь-яких користувачів, варто знати наступне: права доступу повинні бути явно налаштовані. Це означає, що для доступу до об'єкта необхідно отримати явний дозвіл. А щоб доступу до об'єкта не було, достатньо взагалі не виділяти жодних дозволів. Адже якщо Ви явно не вказали дозвіл доступу, то користувач не зможе отримати доступ до цього об'єкта. Тому виникає резонне питання, чому взагалі потрібен тип дозволу Заборонити? А для цього потрібно знати ще два правила:

1. Тип дозволу Заборонитимає пріоритет над типом Дозволити.
2. Підсумкові для користувача виходять шляхом підсумовування всіх правил доступу до даного об'єкта.

Якщо з першим пунктом питань не повинно бути, то другий вимагає пояснення. Розглянемо на прикладі: якщо до папки papkaзвичайний користувач userмає дозвіл на читання та запис, а група Користувачімають дозвіл лише на читання папки papka, то підсумкові права доступу для користувача userбудуть дозволяти і читання, і запис щодо цієї папки, що суперечить політиці, за якою Користувачі можуть лише читати цю папку. Саме тому і потрібен тип дозволу Заборонити. Якщо по одній політиці доступ до файлу у користувача повинен бути, а по-іншому - ні, то необхідно заборонити доступ до файлу, адже інакше він у нього з'явиться, а це суперечить другій політиці.

Саме для того, щоб полегшити підсумовування всіх правил доступу до об'єкта, існує вкладка Чинні права доступу.

Користувачі, Адміністратори, Перевірку і так далі

На додаток до всього перерахованого необхідно знати, що всі користувачі, незалежно від налаштованих прав доступу, за замовчуванням входять до групи Користувачі. І за замовчуванням на всі об'єкти (крім деяких об'єктів операційної системи) користувачі цієї групи мають доступ до читання та зміни. А ось користувачі із групи Адміністраториза промовчанням мають повний доступ до всіх об'єктів системи. До групи користувачів Ті, хто пройшов перевіркувходять будь-які користувачі, які увійшли до системи. Дозволи доступу вони приблизно рівні з правами доступу звичайних користувачів.

Знаючи це, Ви можете позбавити себе зайвої роботи з надання повного доступу для певного користувача з адміністративними правами або з налаштування прав доступу на читання та запис для звичайного користувача. Все це вже зроблено.

До того ж, не варто видаляти перераховані вище групи з прав доступу до будь-якого об'єкта. Також не варто видавати заборону доступу для цих груп. Навіть якщо Ви користувач з адміністративними правами, то заборона доступу до групи Користувачідо будь-якого об'єкта безцеремонно вдарить Вас у шию, оскільки Ви також є користувачем цієї групи. Тому будьте обережні і не намагайтеся вносити зміни до стандартних налаштувань.

На просторах Росії багато фірм і дрібних підприємств не мають у штаті свого системного адміністратора на постійній основі або час від часу. Фірма росте і рано чи пізно однієї розшарованої папки в мережі, де кожен може робити, що захоче, стає мало. Потрібно розмежувати доступ для різних користувачів або груп користувачів на платформі MS Windows. Лінуксоїдів та досвідчених адмінів прохання не читати статтю.

Найкращий варіант - взяти до штату досвідченого адміна і задуматися про покупку сервера. Досвідчений адмін на місці сам вирішить: чи піднімати MS Windows Server з Active Directory або використовувати щось зі світу Linux.

Але ця стаття написана для тих, хто вирішив поки що мучитися самостійно, не застосовуючи сучасні програмні рішення. Спробую пояснити бодай як правильно реалізовувати розмежування прав.

Перш ніж почати хотілося б розжувати кілька моментів:

• Будь-яка операційна система "дізнається" і "розрізняє" реальних людей через їхні облікові записи. Повинно бути так: одна людина = один обліковий запис.
• У статті описується ситуація, що у фірмі немає свого адміна і не куплено, наприклад, MS Windows Server. Будь-яка звичайна MS Windows одночасно обслуговує по мережі не більше 10 для WinXP та 20 осіб для Win7. Це зроблено фірмою Microsoft спеціально, щоб клієнтські Windows не переходили дорогу серверам Windows і ви не псували бізнес Microsoft. Пам'ятайте число 10-20 і коли у вашій фірмі буде більше 10-20 чоловік, вам доведеться задуматися про купівлю MS Windows Server або попросити будь-кого підняти вам безкоштовний Linux Samba сервер, який не має таких обмежень.
• Якщо у вас немає грамотного адміністратора, то ваш стандартний комп'ютер з клієнтською MS Windows буде зображати з себе файловий сервер. Ви будете змушені продублювати на ньому облікові записи користувачів з інших комп'ютерів, щоб отримувати доступ до розшарованих файлів. Іншими словами, якщо є у фірмі ПК1 бухгалтера Олі з обліковим записом olya, то і на цьому "сервері" (ім'я його надалі як WinServer) потрібно створити обліковий запис olya з таким же паролем, як і на ПК1.
• Люди приходять та йдуть. Плинність кадрів є скрізь і якщо ви, та бідна людина, яка не адмін і призначена (змушена) підтримувати ІТ питання фірми, то ось вам порада. Робіть облікові записи, які не прив'язані до особи.Створюйте для менеджерів – manager1, manager2. Для бухгалтерів – buh1, buh2. Або щось подібне. Пішла людина? Інший не образиться, якщо використовуватиме manager1. Погодьтеся це краще, ніж Семен використовувати обліковий запис olya, так як влом або нікому переробляти і вже все працює 100 років.
• Забудьте такі слова, як: "зробити пароль на папку". Ті часи, коли на ресурси накладався пароль давно минули. Змінилася філософія роботи з різними ресурсами. Зараз користувач входить у свою систему за допомогою облікового запису (ідентифікація), підтверджуючи себе своїм паролем (автентифікація) і надається доступ до всіх дозволених ресурсів. Один раз увійшов у систему і отримав доступ до всього – ось що треба пам'ятати.
• Бажано виконувати наведені нижче дії від вбудованого облікового запису Адміністратор або від першого облікового запису в системі, яка за умовчанням входить до групи Адміністратори.

Приготування.

У Провіднику приберіть спрощений доступ до потрібних речей.

• MS Windows XP.Меню Сервіс - Властивості папки - Вид. Зняти галочку Використати майстер загального доступу
• MS Windows 7Натисніть клавішу Alt. Меню Сервіс - Установки папок - Вид. Зняти галочку Використовувати простий доступ до файлів.

Створіть на вашому комп'ютері WinServer папку, яка зберігатиме ваше багатство у вигляді файлів наказів, договорів тощо. У мене, як приклад, це буде C:\dostup\. Папка обов'язкова має бути створена розділ з NTFS.

Доступ до мережі.

На цьому етапі потрібно видати доступ до мережі(розшарити - share) папку для роботи з нею іншими користувачами на своїх комп'ютерах цієї локальної мережі.

І найголовніше! Видати папку в доступ з повною роздільною здатністю для всіх!Так Так! Ви не дочули. А як же розмежування доступу?

Ми дозволяємо по локальній мережі всім приєднуватися до папки, АЛЕ розмежовувати доступ буде засобами безпеки, що зберігаються у файловій системі NTFS, на якій розташована наш каталог.

• MS Windows XP.На потрібній папці (C:\dostup\) правою кнопкою миші і там властивості. Вкладка Доступ - Повний доступ.
• MS Windows 7На потрібній папці (C:\dostup\) правою кнопкою миші і там властивості. Вкладка Доступ - розширене налаштування. Ставимо галочку Відкрити спільний доступ до цієї папки. Заповнюємо Примітку. Тиснемо Дозвіл. Група Все має мати по мережі право Повний доступ.

Користувачі та групи безпеки.

Потрібно створити необхідні облікові записи користувачів. Нагадую, що якщо на численних ваших персональних комп'ютерах використовуються різні облікові записи для користувачів, то всі вони повинні бути створені на вашому "сервері" і з тими самими паролями. Це можна уникнути, тільки якщо у вас грамотний адмін і комп'ютери в Active Directory. Ні? Тоді ретельно створюйте облікові записи.

• MS Windows XP.
  Локальні користувачі та групи - Користувачі. Меню Дія – Новий користувач.
• MS Windows 7Панель управління - Адміністрація - управління комп'ютером.
  Локальні користувачі та групи - Користувачі. Меню Дія - Створити користувача.

Тепер черга за найголовнішим – гурти! Групи дозволяють включати облікові записи користувачів і спрощують маніпуляції з видачею прав і розмежуванням доступу.

Трохи нижче буде пояснено "накладення прав" на каталоги та файли, але зараз головне зрозуміти одну думку. Права на папки або файли будуть надаватися групам, які можна порівняти з контейнерами. А групи вже "передадуть" права включених до них облікових записів. Тобто потрібно мислити лише на рівні груп, а чи не лише на рівні окремих облікових записів.

• MS Windows XP.Панель управління - Адміністрація - управління комп'ютером.
  
• MS Windows 7Панель управління - Адміністрація - управління комп'ютером.
  Локальні користувачі та групи - Групи. Меню Дія - Створити групу.

Потрібно включити у необхідні групи необхідні облікові записи. Для прикладу, на групі Бухгалтери правою кнопкою миші і там Додати до групиабо Властивості та там кнопка Додати. В полі Введіть імена вибраних об'єктіввпишіть ім'я необхідного облікового запису та натисніть Перевірити імена. Якщо все вірно, то обліковий запис зміниться до виду ІМ'ЯСЕРВЕРА. На малюнку вище обліковий запис buh3 був приведений до WINSERVER\buh3.

Отже, потрібні групи створені та облікові записи користувачів включені до потрібних груп. Але до етапу призначення прав на папках та файлах за допомогою груп хотілося б обговорити кілька моментів.

Чи варто морочитися з групою, якщо в ній буде один обліковий запис? Вважаю, що варте! Група дає гнучкість та маневреність. Завтра вам знадобиться ще одній людині Б дати ті ж права, що й певній людині з її обліковим записом А. Ви просто додасте обліковий запис Б до групи, де вже є А і все!

Набагато простіше, коли права доступу видані групам, а чи не окремим персонам. Вам залишається лише маніпулювати групами та включенням до них необхідних облікових записів.

Права доступу.

Бажано виконувати наведені нижче дії від вбудованого облікового запису Адміністратор або від першого облікового запису в системі, яка за умовчанням входить до групи Адміністратори.

Ось і дісталися етапу, де безпосередньо і відбувається магія розмежування прав доступу для різних груп, а через них і користувачам (точніше їх обліковим записам).

Отже, ми маємо директорію за адресою C:\dostup\, яку ми вже видали в доступ по мережі всім співробітникам. Усередині каталогу C:\dostup\ для прикладу створимо папки Договору, Накази, Облік МЦ. Припустимо, що завдання зробити:

• папка Договору має бути доступна для Бухгалтерів лише для читання. Читання та запис для групи Менеджерів.
• папка Облік МЦ має бути доступною для Бухгалтерів на читання та запис. Група менеджерів не має доступу.
• папка Накази повинна бути доступна для Бухгалтерів та Менеджерів лише для читання.

На папці Договору правою клавішею і там Властивості – вкладка Безпека. Ми бачимо, що якісь групи та користувачі вже мають до неї доступ. Ці права були успадковані від батька dostup\, а та у свою чергу від свого батька С:

Ми перервемо це спадкування прав та призначимо свої права-хотелки.

Тиснемо кнопку Додатково - вкладка Дозволи - кнопка Змінити дозволи.

Спочатку перериваємо спадкування прав від батька.Знімаємо галочку Додати дозволи, що успадковуються від батьківських об'єктів.Нас попередять, що дозволи від батька не будуть застосовуватись до цього об'єкта (у даному випадку це папка Договору). Вибір: Скасувати або Видалити або Додати. Тиснемо Додати і права від батька залишаться нам у спадок, але більше права батька на нас не поширюватимуться. Інакше кажучи, якщо у майбутньому права доступу в батька (папка dostup) змінити - це позначиться на дочірній папці Договору. Зауважте у полі Успадковано відстоїть не успадковано. Тобто зв'язок батько - дитинарозірвано.

Тепер акуратно видаляємо зайві права, залишаючи Повний доступдля Адміністраторів та Система. Виділяємо по черзі всякі Ті, хто пройшов перевіркуі просто Користувачіта видаляємо кнопкою Видалити.

Кнопка Додати у цьому вікні Додаткові параметри безпекипризначена для досвідчених адмінів, які зможуть задати спеціальні, спеціальні дозволи. Стаття націлена на знання досвідченого користувача.

Ми ставимо галочку Замінити всі дозволи дочірнього об'єкта на дозволи, успадковані від цього об'єктаі тиснемо Ок. Повертаємось назад і знову Ок, щоб повернутися до простого вигляду Властивості.

Це вікно дозволить спрощено досягти бажаного.Кнопка Редагувати виводить вікно "Дозволи для групи".

Тиснемо Додати. У новому вікні пишемо Бухгалтери і тиснемо "Перевірити імена" - Ок. За промовчанням дається у спрощеному вигляді доступ "на читання". Галочки в колонці Дозволити автоматично виставляються "Читання та виконання", "Список вмісту папки", "Читання". Нас це влаштовує і тиснемо Ок.

Тепер, за нашим технічним завданням, потрібно дати права на читання та запис для групи Менеджери. Якщо ми у вікні Властивості, знову Змінити - Додати - вбиваємо Менеджери - Перевірити імена. Додаємо в колонці Дозволити галочки Зміна та Запис.

Тепер потрібно все перевірити!

Слідкуйте за думкою. Ми наказали, щоб папка Договору не успадкувала права свого батька dostup. Наказали дочірнім папкам та файлам усередині папки Договору успадковувати права від неї.

На папку Договору ми наклали такі права доступу: група Бухгалтери повинна лише читати файли та відкривати папки всередині, а група Менеджери створювати, змінювати файли та створювати папки.

Отже, якщо всередині директорії Договору створюватиметься файл-документ, на ньому будуть дозволи від його батька. Користувачі зі своїми обліковими записами отримуватимуть доступ до таких файлів та каталогів через свої групи.

Зайдіть до папки Договору та створіть тестовий файл договор1.txt

На ньому клацання правою клавішею миші і там Властивості – вкладка Безпека – Додатково – вкладка Діючі дозволи.

Тиснемо Вибрати і пишемо обліковий запис будь-якого бухгалтера, наприклад buh1. Ми бачимо наочно, що buh1 отримав права від своєї групи Бухгалтери, які мають права на читання до батьківської папки Договору, яка "поширює" свої дозволи на свої дочірні об'єкти.

Пробуємо manager2 і бачимо наочно, що менеджер отримує доступ на читання та запис, тому що входить до групи Менеджери, яка надає такі права для цієї папки.

Так само, за аналогією з папкою Договору, накладаються права доступу і для інших папок, дотримуючись вашого технічного завдання.

Підсумок.

• Використовуйте розділи NTFS.
• Коли розмежуєте доступ до папок (і файлів), то маніпулюйте групами.
• Створюйте облікові записи для кожного користувача. 1 людина = 1 обліковий запис.
• Облікові записи включайте до груп. Обліковий запис може входити одночасно до різних груп. Якщо обліковий запис знаходиться в декількох групах і якась група щось дозволяє, це буде дозволено облікового запису.
• Колонка Заборонити (забороняючі права) мають пріоритет перед Дозвіл. Якщо обліковий запис знаходиться в декількох групах і якась група щось забороняє, а інша група це дозволяє, це буде заборонено облікового запису.
• Видаляйте обліковий запис із групи, якщо хочете позбавити доступу, який дана група дає.
• Подумайте про найм адміністратора і не ображайте його грошима.

Задавайте запитання у коментарях та запитуйте, поправляйте.

Відеоматеріал показує окремий випадок, коли потрібно лише заборонити доступ до папки, користуючись тим, що забороняючі правила мають пріоритет перед дозволяючими правилами.