Opis udostępniania plików i uprawnień w systemie Windows XP
Na komputerze z systemem Windows XP pliki mogą być udostępniane różnym użytkownikom, zarówno innym użytkownikom lokalnym danego komputera, jak i użytkownikom zdalnym. Użytkownicy lokalni logują się bezpośrednio na danym komputerze, korzystając z własnego konta lub z konta gościa. Użytkownicy zdalni łączą się z danym komputerem za pośrednictwem sieci i uzyskują dostęp do udostępnionych na nim plików.
Dostęp do interfejsu prostego udostępniania plików można uzyskać podczas przeglądania właściwości folderu. Za pośrednictwem interfejsu prostego udostępniania plików można konfigurować zarówno uprawnienia udziału, jak i uprawnienia systemu NTFS na poziomie folderu. Uprawnienia tego typu dotyczą folderu, wszystkich plików w danym folderze, folderów podrzędnych i wszystkich plików w folderach podrzędnych. Pliki i foldery utworzone w folderze lub skopiowane do niego dziedziczą uprawnienia zdefiniowane w ich folderze nadrzędnym. W tym artykule opisano sposób konfigurowania dostępu do plików na podstawie poziomów uprawnień. Niektóre z informacji podanych w tym artykule, dotyczących poziomów uprawnień, nie są udokumentowane w plikach systemu operacyjnego lub pliku Pomocy.
Korzystając z udostępniania plików w systemie Windows XP, można konfigurować pięć poziomów uprawnień. Poziom 1 to ustawienie najbardziej prywatne i bezpieczne, a poziom 5 — ustawienie najbardziej publiczne i oferujące największe możliwości zmian (najsłabiej zabezpieczone). Poziomy 1, 2, 4 i 5 można konfigurować za pomocą interfejsu prostego udostępniania plików. Aby to zrobić, należy kliknąć folder prawym przyciskiem myszy, a następnie kliknąć polecenie Udostępnianie i zabezpieczenia w celu otwarcia interfejsu prostego udostępniania plików. Aby skonfigurować poziom 3, należy skopiować plik lub folder do folderu Dokumenty udostępnione w oknie Mój komputer. Ta konfiguracja nie ulega zmianie w przypadku włączenia lub wyłączenia prostego udostępniania plików.
Włączanie i wyłączanie prostego udostępniania plików
Na komputerach z systemem Windows XP Home Edition proste udostępnianie plików jest zawsze włączone. Na komputerach z systemem Windows XP Professional, przyłączonych do grupy roboczej, interfejs prostego udostępniania plików jest domyślnie włączony. Na komputerach z systemem Windows XP Professional, przyłączonych do domeny, stosuje się tylko klasyczny interfejs udostępniania plików i zabezpieczeń. W przypadku korzystania z interfejsu prostego udostępniania plików (znajdującego się we właściwościach folderu) konfigurowane są zarówno uprawnienia udziału, jak i uprawnienia plików.
Wyłączenie prostego udostępniania plików umożliwia rozszerzenie zakresu kontroli nad uprawnieniami udzielanymi poszczególnym użytkownikom. Zapewnienie przy tym wyższego poziomu ochrony plików i folderów wymaga jednak zaawansowanej wiedzy o uprawnieniach systemu NTFS i uprawnieniach udziału.
Wyłączenie prostego udostępniania plików nie powoduje wyłączenia funkcji Dokumenty udostępnione.
Aby włączyć lub wyłączyć proste udostępnianie plików w systemie Windows XP Professional, wykonaj następujące kroki:
Kliknij dwukrotnie ikonę Mój komputer na pulpicie.
W menu Narzędzia kliknij polecenie Opcje folderów.
Kliknij kartę Widok, a następnie zaznacz pole wyboru Użyj prostego udostępniania plików (zalecane) w celu włączenia prostego udostępniania plików (wyczyść to pole wyboru, aby wyłączyć tę funkcję).
Zarządzanie poziomami uprawnień dostępu do udziałów i plików
Korzystając z prostego udostępniania plików, można konfigurować pięć różnych poziomów uprawnień dotyczących dostępu do udziałów i plików:
Poziom 1:Moje dokumenty (prywatny)
Poziom 2:Moje dokumenty (domyślny)
Poziom 3:Pliki dostępne dla użytkowników lokalnych w folderze Dokumenty udostępnione
Poziom 4:Pliki udostępnione w sieci (do odczytu przez wszystkich)
Poziom 5:Pliki udostępnione w sieci (do odczytu i zapisu przez wszystkich)
UWAGI
Pliki przechowywane w folderze Moje dokumenty są domyślnie plikami poziomu 2.
Foldery poziomów 1, 2 i 3 są dostępne tylko dla użytkowników logujących się lokalnie. Do użytkowników logujących się lokalnie zalicza się użytkownika, który loguje się na komputerze z systemem Windows XP Professional za pośrednictwem sesji pulpitu zdalnego (RDP).
Foldery poziomów 4 i 5 są dostępne dla użytkowników logujących się lokalnie i użytkowników zdalnych z sieci.
Uprawnienia opisano w następującej tabeli:
Poziom dostępu | Wszyscy (NTFS/plik) | Właściciel | System | Administratorzy | Wszyscy (udział) |
---|---|---|---|---|---|
Poziom 1 | nie dotyczy | Pełna kontrola | Pełna kontrola | nie dotyczy | nie dotyczy |
Poziom 2 | nie dotyczy | Pełna kontrola | Pełna kontrola | Pełna kontrola | nie dotyczy |
Poziom 3 | Odczyt | Pełna kontrola | Pełna kontrola | Pełna kontrola | nie dotyczy |
Poziom 4 | Odczyt | Pełna kontrola | Pełna kontrola | Pełna kontrola | Odczyt |
Poziom 5 | Zmiana | Pełna kontrola | Pełna kontrola | Pełna kontrola | Pełna kontrola |
Poziom 1: Moje dokumenty (prywatne)
Właściciel pliku lub folderu ma uprawnienia do odczytu i zapisu dla danego pliku lub folderu. Nikt inny nie może odczytywać ani zapisywać danych w folderze ani w zawartych w nim plikach. Wszystkie podfoldery zawarte w folderze oznaczonym jako prywatny pozostają prywatne, chyba że zmienione zostaną uprawnienia folderu nadrzędnego.
Jeśli jako administrator komputera utworzysz dla swego konta hasło użytkownika, korzystając z narzędzia Panelu sterowania o nazwie Konta użytkowników, zostanie wyświetlony monit
sugerujący nadanie plikom i folderowi statusu prywatnych.
UWAGA: Opcja nadania folderowi statusu prywatnego (poziom 1) jest dostępna dla konta użytkownika tylko w jego własnym folderze Moje dokumenty.
Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 1, wykonaj następujące kroki:
Kliknij folder prawym przyciskiem myszy, a następnie kliknij polecenie Udostępnianie i zabezpieczenia.
Zaznacz pole wyboru Nie udostępniaj tego folderu, a następnie kliknij przycisk OK.
Lokalne uprawnienia systemu NTFS:
Właściciel: Pełna kontrola
System: Pełna kontrola
Sieciowe uprawnienia udziału:
Nie udostępniono
Poziom 2 (domyślny): Moje dokumenty (domyślny)
Właściciel pliku lub folderu i lokalni administratorzy komputera mają uprawnienia do odczytu i zapisu w odniesieniu do danego pliku lub folderu. Nikt inny nie może odczytywać ani zapisywać danych w folderze ani w zawartych w nim plikach. To jest ustawienie domyślne dla wszystkich folderów i plików w folderze Moje dokumenty każdego z użytkowników.
Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 2, wykonaj następujące kroki:
Kliknij folder prawym przyciskiem myszy, a następnie kliknij polecenie Udostępnianie i zabezpieczenia.
Upewnij się, że oba pola wyboru Nie udostępniaj tego folderu oraz Udostępnij ten folder są wyczyszczone, a następnie kliknij przycisk OK.
Lokalne uprawnienia systemu NTFS:
Właściciel: Pełna kontrola
Administratorzy: Pełna kontrola
System: Pełna kontrola
Sieciowe uprawnienia udziału:
Nie udostępniono
Poziom 3: Pliki dostępne dla użytkowników lokalnych w folderze Dokumenty udostępnione
Pliki są udostępniane użytkownikom logującym się do komputera lokalnie. Lokalni administratorzy komputera mogą odczytywać, zapisywać i usuwać pliki w folderze Dokumenty udostępnione. Użytkownicy z ograniczonym dostępem mogą tylko odczytywać pliki z folderu Dokumenty udostępnione. Ponadto w systemie Windows XP Professional użytkownicy zaawansowani mogą odczytywać, zapisywać i usuwać dowolne pliki w folderze Dokumenty udostępnione. Grupa użytkowników zaawansowanych jest dostępna tylko w systemie Windows XP Professional. Użytkownicy zdalni nie mogą uzyskiwać dostępu do folderów ani plików na poziomie 3.
Aby umożliwić użytkownikom zdalnym dostęp do plików, należy udostępnić je w sieci (poziom 4 lub 5).
Aby skonfigurować plik lub folder i wszystkie znajdujące się w nim pliki na poziomie 3, uruchom Eksploratora Windows, a następnie w oknie Mój komputer skopiuj lub przenieś plik lub folder do folderu Dokumenty udostępnione.
Lokalne uprawnienia systemu NTFS:
Właściciel: Pełna kontrola
Administratorzy: Pełna kontrola
Użytkownicy zaawansowani: Zmiana
Użytkownicy z ograniczonym dostępem: Odczyt
System: Pełna kontrola
Sieciowe uprawnienia udziału:
Nie udostępniono
Poziom 4: Udostępnianie w sieci (tylko do odczytu)
Pliki są udostępnione do odczytu wszystkim użytkownikom w sieci. Wszyscy użytkownicy lokalni, w tym korzystający z konta gościa, mogą odczytywać pliki, ale nie mogą modyfikować ich zawartości. Każda osoba może odczytywać i zmieniać pliki użytkownika.
Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 4, wykonaj następujące kroki:
Kliknij folder prawym przyciskiem myszy, a następnie kliknij polecenie Udostępnianie i zabezpieczenia.
Kliknij, aby zaznaczyć pole wyboru Udostępnij ten folder.
Kliknij, aby wyczyścić pole wyboru Zezwalaj użytkownikom sieci na zmianę moich plików, a następnie kliknij przycisk OK.
Lokalne uprawnienia systemu NTFS:
Właściciel: Pełna kontrola
Administratorzy: Pełna kontrola
System: Pełna kontrola
Wszyscy: Odczyt
Sieciowe uprawnienia udziału:
Wszyscy: Odczyt
Poziom 5: Udostępnianie w sieci (do odczytu i zapisu)
Ten poziom jest najbardziej dostępnym i najmniej bezpiecznym poziomem dostępu. Każdy użytkownik (lokalny lub zdalny) może odczytać, zapisać, zmienić lub usunąć plik w folderze udostępnianym na tym poziomie dostępu. Firma Microsoft zaleca korzystanie z tego poziomu tylko w sieci zamkniętej, dla której skonfigurowano zaporę. Wszyscy użytkownicy lokalni, w tym korzystający z konta gościa, mogą również odczytywać i modyfikować pliki.
Aby skonfigurować folder i wszystkie znajdujące się w nim pliki na poziomie 5, wykonaj następujące kroki:
Kliknij folder prawym przyciskiem myszy, a następnie kliknij polecenie Udostępnianie i zabezpieczenia.
Kliknij, aby zaznaczyć pole wyboru Udostępnij ten folder, a następnie kliknij przycisk OK.
Lokalne uprawnienia systemu NTFS:
Właściciel: Pełna kontrola
Administratorzy: Pełna kontrola
System: Pełna kontrola
Wszyscy: Zmiana
Sieciowe uprawnienia udziału:
Wszyscy: Pełna kontrola
UWAGA: Wszystkie uprawnienia NTFS odnoszące się do grupy Wszyscy dotyczą także konta gościa.
Wszystkie poziomy opisane w tym artykule wzajemnie się wykluczają. Foldery prywatne (poziom 1) nie mogą być udostępniane, chyba że przestaną być prywatne. Foldery udostępnione (poziom 4 i 5) nie mogą stać się prywatnymi, dopóki nie wyłączy się ich udostępniania.
W przypadku utworzenia folderu w folderze Dokumenty udostępnione (poziom 3), udostępnienia go w sieci, a następnie zezwolenia użytkownikom w sieci na zmianę plików (poziom 5), uprawnienia poziomu 5 zostaną zastosowane w odniesieniu do tego folderu, znajdujących się w nim plików, folderów podrzędnych i tak dalej. Inne pliki i foldery z folderu Dokumenty udostępnione pozostaną skonfigurowane na poziomie 3.
Uwaga: Jedyny wyjątek to sytuacja, w której folder (PrzykładowyPodfolder) udostępniony na poziomie 4, znajduje się w folderze (PrzykładowyFolder) udostępnionym na poziomie 5. Użytkownicy zdalni mają prawidłowy poziom dostępu do każdego z tych udostępnionych folderów. Użytkownicy zalogowani lokalnie mają jednak uprawnienia do zapisu (poziom 5) w odniesieniu do folderu nadrzędnego (PrzykładowyFolder) i podrzędnego (PrzykładowyPodfolder).
Zasady praktyczne
Firma Microsoft zaleca udostępnianie folderów tylko w sieci, do której muszą uzyskać dostęp użytkownicy zdalni z innych komputerów. Firma Microsoft nie zaleca udostępniania katalogu głównego dysku systemowego, ponieważ naraża to komputer na działania złośliwych użytkowników zdalnych. Komputer staje się wtedy bardziej narażony na ataki złośliwych użytkowników. Karta Udostępnianie okna dialogowego Właściwości dysku wyświetla ostrzeżenie, gdy nastąpi próba udostępnienia katalogu głównego (na przykład C:\). Aby kontynuować, należy kliknąć łącze Jeśli masz świadomość ryzyka, ale mimo to chcesz udostępnić katalog główny dysku, kliknij tutaj.
Jedynie administratorzy komputera mogą udostępnić katalog główny dysku.
Pliki na urządzeniu służącym tylko do odczytu, takim jak stacja CD-ROM, po udostępnieniu na poziomie 4 lub 5 są dostępne tylko wówczas, gdy dysk CD znajduje się w stacji CD-ROM. Każdy dysk CD znajdujący się w stacji CD-ROM jest dostępny dla wszystkich użytkowników sieci.
Uprawnienia dla pliku mogą się różnić od uprawnień dla folderu zawierającego ten plik, jeśli spełniony jest jeden z następujących warunków:
W wierszu polecenia użyto polecenia move, aby przenieść do danego folderu plik z innego folderu znajdującego się na tym samym dysku, ale o innych uprawnieniach.
Użyto skryptu, aby przenieść do danego folderu plik z innego folderu znajdującego się na tym samym dysku, ale o innych uprawnieniach.
W wierszu polecenia uruchomiono program Cacls.exe lub skrypt w celu zmiany uprawnień dla pliku.
Na dysku twardym istniały pliki przed zainstalowaniem systemu Windows XP.
Zmieniono uprawnienia dla pliku przy wyłączonym prostym udostępnianiu plików w systemie Windows XP Professional.
UWAGA: Uprawnienia NTFS nie są zachowywane w wyniku operacji przenoszenia plików za pomocą Eksploratora Windows przy włączonym prostym udostępnianiu plików.
W przypadku włączania i wyłączania prostego udostępniania plików uprawnienia dla plików nie zmieniają się. Uprawnienia systemu NTFS i uprawnienia udziału nie ulegają zmianie, dopóki nie nastąpi zmiana uprawnień w interfejsie. Ustawienie uprawnień przy włączonym prostym udostępnianiu plików wpływa tylko na wpisy kontroli dostępu (ACE) tych plików, które są objęte prostym udostępnianiem plików. Interfejs prostego udostępniania plików wpływa na następujące wpisy ACE listy kontroli dostępu (ACL) plików i folderów:
Właściciel
Administratorzy
Wszyscy
System
Rozwiązywanie problemów z udostępnianiem plików w systemie Windows XP
Komputer z systemem Windows 2000 Professional lub Windows NT 4.0, który jest przyłączony do domeny lub grupy roboczej, po uaktualnieniu do systemu Windows XP Professional zachowuje swoje członkostwo w domenie lub grupie roboczej, a klasyczny interfejs udostępniania plików i zabezpieczeń jest włączony.
Uprawnienia systemu NTFS i udziału nie zmieniają się w wyniku uaktualnienia.
Jeżeli uaktualniany jest komputer o uprawnieniach udostępniania „dla udziału”, na którym uruchomiono system Windows 98, Windows 98 Wydanie drugie lub Windows Millennium Edition, po uaktualnieniu do systemu Windows XP proste udostępnianie plików jest domyślnie zawsze włączone.
Po uaktualnieniu udziały o przypisanych hasłach są usuwane, a udziały o hasłach pustych pozostają udostępnione.
W przypadku uaktualniania do systemu Windows XP Professional komputera zalogowanego do domeny, na którym uruchomiono systemem Windows 98, Windows 98 Wydanie drugie lub Windows Millennium Edition, jeżeli dla danego komputera włączono dostęp na poziomie udziału i dołączenie do domeny następuje w trakcie instalacji, komputer jest uruchamiany z wyłączonym prostym udostępnianiem plików.
W przypadku komputera z systemem Windows 98, Windows 98 Wydanie drugie lub Windows Millennium Edition po uaktualnieniu do systemu Windows XP Home proste udostępnianie plików jest domyślnie włączone.
Znane problemy
Aby użytkownicy zdalni mogli uzyskiwać dostęp do plików z sieci (poziom 4 i 5), zapora połączenia internetowego (ICF, Internet Connection Firewall) musi być wyłączona na interfejsie sieciowym, za pośrednictwem którego użytkownicy zdalni nawiązują połączenie.
Zapory internetowe uniemożliwiają przeglądanie i udostępnianie plików
Kiedy proste udostępnianie plików jest włączone, administracja zdalna i zdalne edytowanie rejestru nie działają zgodnie z oczekiwaniami na komputerze zdalnym, a połączenia do udziałów administracyjnych (takich jak C$) nie działają, ponieważ wszyscy użytkownicy zdalni są uwierzytelniani za pomocą konta gościa. Konta gościa nie mają uprawnień administracyjnych. Po włączeniu prostego udostępniania plików, jeżeli konfigurowane są specyficzne wpisy ACE użytkowników, wprowadzane zmiany nie dotyczą użytkowników zdalnych, ponieważ w takim przypadku każdy użytkownik zdalny uwierzytelnia się jako Gość.
Po konwersji dysku twardego na system NTFS na komputerach użytkowników zdalnych może zostać wyświetlony komunikat „Odmowa dostępu” dotyczący udziału, z którym uprzednio łączyli się pomyślnie Takie zachowanie ma miejsce na komputerach z systemem Windows XP, na których włączono proste udostępnianie plików, po uaktualnieniu z systemu Windows 98, Windows 98 Wydanie drugie lub Windows Millennium Edition. Przyczyna tego zachowania tkwi w tym, że uprawnienia domyślne dysku twardego przekonwertowanego na system plików NTFS nie zawierają grupy Wszyscy, wymaganej przez użytkowników zdalnych uzyskujących dostęp do plików za pomocą konta gościa. W celu resetowania uprawnień należy przerwać udostępnianie udziałów i ponownie udostępnić odpowiednie foldery.
Zachowanie, na które wpływa włączenie prostego udostępniania plików
Interfejs prostego udostępniania plików we właściwościach folderu służy do konfigurowania zarówno uprawnień udziału, jak i uprawnień pliku.
Użytkownicy zdalni są zawsze uwierzytelniani za pomocą konta gościa.
Eksplorator Windows nie zachowuje uprawnień dla plików przenoszonych w obrębie tego samego dysku NTFS. Uprawnienia są zawsze dziedziczone z folderu nadrzędnego.
Na komputerach z systemem Windows XP Professional, na których włączono proste udostępnianie plików, oraz na komputerach z systemem Windows XP Home Edition narzędzia Foldery udostępnione (Fsmgmt.msc) i Zarządzanie komputerem (Compmgmt.msc) prezentują prostszy interfejs udostępniania i zabezpieczeń.
W konsolach Zarządzanie komputerem i Foldery udostępnione polecenie Nowy udział pliku jest niedostępne po kliknięciu prawym przyciskiem myszy ikony Udziały. Ponadto po kliknięciu prawym przyciskiem myszy dowolnego wyświetlonego udziału polecenia Właściwości i Zatrzymaj udział są niedostępne.
Zachowanie, które nie wynika z włączenia prostego udostępniania plików
W systemie Windows XP Home Edition w przystawce Zarządzanie komputerem nie jest wyświetlany węzeł Użytkownicy i grupy lokalne. Przystawki Użytkownicy i grupy lokalne nie można dodać do przystawki niestandardowej. To zachowanie jest ograniczeniem systemu Windows XP Home Edition, a nie wynikiem stosowania prostego udostępniania plików.
W przypadku wyłączenia konta gościa w narzędziu o nazwie Konta użytkowników w Panelu sterowania ma to wpływ tylko na możliwość logowania się gościa na lokalnym komputerze. Konto nie jest wyłączane.
Użytkownicy zdalni nie mogą być uwierzytelniani za pomocą konta z hasłem pustym. Ten rodzaj uwierzytelniania jest konfigurowany oddzielnie.
W systemie Windows XP Home Edition nie można przyłączyć komputera do domeny. Można skonfigurować komputer tylko jako element grupy roboczej.