Uprawnienia do plików i folderów
Wyświetlanie
Uprawnienia
Pełna
Odczyt i
zawartości
Modyfikacja
Odczyt Zapis
specjalne
kontrola
wykonanie folderu (tylko
foldery)
Przechodzenie przez
folder/Wykonywanie
x
x
x
x
pliku
Wyświetlanie
zawartości
x
x
x
x
x
folderu/Odczyt danych
Odczyt atrybutów
x
x
x
x
x
Odczyt atrybutów
x
x
x
x
x
rozszerzonych
Tworzenie
x
x
x
plików/Zapis danych
Tworzenie
folderów/Dołączanie
x
x
x
danych
Zapis atrybutów
x
x
x
Zapis atrybutów
x
x
x
rozszerzonych
Usuwanie podfolderów
x
i plików
Usuwanie
x
x
Odczyt uprawnień
x
x
x
x
x
x
Zmiana uprawnień
x
Przejęcie na własność
x
Synchronizowanie
x
x
x
x
x
x
Ważne
• Grupy lub użytkownicy, którym przyznano uprawnienie Pełna kontrola do folderu, mogą usuwać z tego folderu dowolne pliki niezależnie od uprawnień chroniących plik.
Mechanizm zabezpieczeń określający operacje, które może wykonywać uwierzytelniony użytkownik, grupa, usługa lub komputer na komputerze lub konkretnym obiekcie na przykład pliku, drukarce, kluczu rejestru lub obiekcie usługi katalogowej.
Omówienie kontroli dostępu
Kontrola dostępu jest to proces autoryzowania użytkowników, grup i komputerów w celu udostępniania obiektów znajdujących się w sieci. Do głównych pojęć, związanych z kontrolą dostępu, należą:
Uprawnienia
Uprawnienia definiują typ dostępu udzielanego użytkownikom lub grupom do obiektu lub właściwości obiektu. Na przykład grupie Finanse można udzielić uprawnień Odczyt i Zapis do pliku wynagrodzenia.dat.
Uprawnienia stosuje się do wszystkich zabezpieczonych obiektów, takich jak pliki, obiekty usługi Active Directory lub obiekty rejestru. Uprawnień można udzielić dowolnemu użytkownikowi, grupie lub komputerowi. Dobrze jest przypisywać uprawnienia do grup.
Uprawnienia obiektu można przypisać:
Grupom, użytkownikom i specjalnym tożsamościom w domenie.
Grupom i użytkownikom z domeny oraz z innych zaufanych domen.
Grupom i użytkownikom lokalnym, utworzonym na komputerze, na którym znajduje się dany obiekt.
Uprawnienia przyłączone do obiektu zależą od typu obiektu. Na przykład uprawnienia, które można przyłączyć do pliku, różnią się od uprawnień, które można przyłączyć do klucza rejestru. Jednak niektóre uprawnienia są wspólne dla większości typów obiektów. Tymi wspólnymi uprawnieniami są:
• Uprawnienie Odczyt
• Uprawnienie Modyfikacja
• Zmiana właściciela
• Usuwanie
Podczas konfigurowania uprawnień jest określany poziom dostępu dla grup i użytkowników.
Na przykład jednemu użytkownikowi można pozwolić na odczytywanie zawartości pliku, drugiemu użytkownikowi na wprowadzanie zmian do tego pliku, a wszystkim innym użytkownikom zabronić dostępu do tego pliku. Podobne uprawnienia można ustawiać w odniesieniu do drukarek, tak aby określeni użytkownicy mogli konfigurować drukarkę, a inni mogli tylko na niej drukować dokumenty.
Jeśli zajdzie konieczność zmiany uprawnień wybranego obiektu, można po prostu uruchomić odpowiednie narzędzie i zmienić właściwości tego obiektu. Na przykład aby zmienić uprawnienia do pliku, należy uruchomić Eksplorator Windows, kliknąć nazwę pliku prawym
przyciskiem myszy, a następnie kliknąć polecenie Właściwości. Na karcie Zabezpieczenia można zmienić uprawnienia do pliku. Aby uzyskać więcej informacji, zobacz Uprawnienia.
Własność obiektów
W momencie tworzenia obiektu jest przypisywany do niego właściciel. Domyślnie właścicielem jest ten użytkownik, który utworzył dany obiekt. Niezależnie od uprawnień ustawionych do obiektu właściciel obiektu może je zawsze zmienić. Aby uzyskać więcej informacji, zobacz Własność.
Dziedziczenie uprawnień
Dziedziczenie umożliwia administratorom łatwe udzielanie uprawnień i zarządzanie nimi.
Funkcja ta powoduje, że obiekty znajdujące się w kontenerze automatycznie dziedziczą uprawnienia tego kontenera. Na przykład pliki znajdujące się w folderze dziedziczą po utworzeniu uprawnienia tego folderu.
Inspekcja obiektu
Można dokonywać inspekcji dostępu użytkowników do obiektów. Następnie za pomocą Podglądu zdarzeń można przeglądać zdarzenia związane z zabezpieczeniami, znajdujące się w dzienniku zabezpieczeń. Aby uzyskać więcej informacji, zobacz Inspekcja.
Najważniejsze wskazówki
Uprawnienia
• Uprawnienia jest lepiej przypisywać do grup, a nie do użytkowników.
Ponieważ bezpośrednie zarządzanie kontami użytkowników jest nieefektywne, przypisywanie praw poszczególnym użytkownikom powinno być wyjątkiem.
• Uprawnienia należy ustawiać tak, by były dziedziczone przez obiekty podrzędne.
• Jeżeli nie ma przeciwwskazań, należy przypisywać Pełną kontrolę, a nie poszczególne uprawnienia.
• W szczególnych przypadkach należy skorzystać z odmowy.
o
Odmowy uprawnień należy używać do wyłączenia podzestawu grupy, której przyznano uprawnienia.
o
Odmowy można użyć do wyłączenia szczególnego uprawnienia po przyznaniu użytkownikowi lub grupie pełnej kontroli.
• Prawa należy przypisywać na jak najwyższym poziomie w drzewie kontenerów.
Dzięki temu można uzyskać największe efekty najmniejszym wysiłkiem. Ustanawiane prawa powinny być zgodne z większością najważniejszych zabezpieczeń.
• Należy stosować dziedziczenie do propagowania praw w drzewie. Można szybko i efektywnie stosować ustawienia kontroli dostępu dla wszystkich obiektów podrzędnych lub poddrzewa obiektu nadrzędnego.
• Administratorzy powinni używać konta z restrykcyjnymi uprawnieniami do wykonywania rutynowych zadań nieadministracyjnych i wykorzystywać konto z szerszymi uprawnieniami tylko do wykonywania określonych zadań administracyjnych. Aby osiągnąć ten cel bez wylogowania i ponownego logowania, należy logować się na koncie zwykłego użytkownika i używać polecenia runas do uruchamiania narzędzi, które wymagają szerszych uprawnień.
Jaki wpływ na uprawnienia do plików i
folderów ma dziedziczenie
Po ustawieniu uprawnień do folderu nadrzędnego nowe pliki i podfoldery, tworzone w folderze, dziedziczą te uprawnienia. Aby pliki i podfoldery nie dziedziczyły uprawnień, podczas konfigurowania uprawnień specjalnych do folderu nadrzędnego należy zaznaczyć na liście Zastosuj dla pozycję Tylko ten folder. Aby tylko określone pliki i podfoldery nie dziedziczyły uprawnień, należy kliknąć prawym przyciskiem myszy plik lub podfolder, kliknąć polecenie Właściwości, kliknąć kartę Zabezpieczenia, kliknąć przycisk Zaawansowane, a następnie wyczyścić pole wyboru Dziedzicz po obiekcie nadrzędnym wpisy uprawnienia stosowane do obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi.
Jeśli pola wyboru są zacieniowane, plik lub folder odziedziczył uprawniania po folderze nadrzędnym. Istnieją trzy sposoby wprowadzania zmian do uprawnień dziedziczonych:
• Wprowadź zmiany do folderu nadrzędnego, a plik lub folder będzie dziedziczyć te uprawnienia.
• Zaznacz uprawnienie przeciwne (Zezwalaj lub Odmów), aby zastąpić uprawnienie dziedziczone.
• Wyczyść pole wyboru Dziedzicz po obiekcie nadrzędnym wpisy uprawnienia stosowane do obiektów podrzędnych. Uwzględnij je razem z wpisami tutaj zdefiniowanymi. Następnie można wprowadzać zmiany do uprawnień lub usunąć użytkownika albo grupę z listy uprawnień. Jednak plik lub folder nie będzie już wtedy dziedziczyć uprawnień po folderze nadrzędnym.
W większości przypadków uprawnienie Odmów zastępuje Zezwalaj, chyba że folder dziedziczy skonfliktowane ustawienia po różnych obiektach nadrzędnych. W takim przypadku pierwszeństwo ma ustawienie dziedziczone po obiekcie nadrzędnym, znajdującym się najbliżej w poddrzewie.
Tylko uprawnienia dziedziczne są dziedziczone przez obiekty podrzędne. Ustawiając uprawnienia do obiektu nadrzędnego, można zdecydować za pomocą listy Zastosuj dla, czy
foldery lub podfoldery mogą je dziedziczyć. Aby uzyskać więcej informacji, zobacz Wybieranie, gdzie stosować uprawnienia.
Uprawnienia użytkownika lub grupy do obiektu można zawsze sprawdzić za pomocą narzędzia Czynne uprawnienia.