Komputery ze współczesnym światem

Uprawnienia ntfs do folderów i plików. Dlaczego potrzebujemy uprawnień ntfs

Bardzo często zdarzają się sytuacje, kiedy jest to konieczne twardy dysk przenieść lub skopiować duży plik na dysk zewnętrzny.

Czasami dysk flash musi zmienić system plików w celu uruchomienia żądany plik duży rozmiar.

W przypadku standardowego systemu plików FAT32 dla urządzeń zewnętrznych przesyłanie plików większych niż 2 GB jest często niemożliwe. Istnieją dwa sposoby rozwiązania tego problemu:

  • Sformatuj dysk flash ze zmianą ostatecznego systemu plików.
  • Zmień system plików za pomocą wiersza poleceń.

Zmiana systemu plików wraz z formatowaniem urządzenia

W pierwszym przypadku warto przenieść wszystkie dane z pendrive'a na dysk twardy, aby je zapisać. Ta metoda jest odpowiednia dla małych urządzeń. Aby zmienić system plików, musisz wykonać kilka operacji:

Włóż urządzenie USB do wymaganego portu.

Otwórz „Komputer” i kliknij prawym przyciskiem myszy zewnętrzne urządzenie na kartę Formatowanie.

W elemencie „System plików” wybierz element NTFS i kliknij „Format”.

Po zabiegu otrzymasz całkowicie wyczyszczony dysk z nowym systemem plików. Na takim urządzeniu można nagrać plik dowolnej wielkości.

Instrukcja wideo dotycząca zmiany systemu plików poprzez formatowanie

Konwertuj za pomocą wiersza poleceń

Aby rozpocząć konwersję, musisz uruchomić wiersz poleceń. Aby to zrobić, otwórz menu Start i wpisz cmd w pasku wyszukiwania. Jest jeden plik, który należy uruchomić.

Teraz linia poleceń działa przed tobą. Pożądane jest przeprowadzenie procesu w imieniu administratora. Następną operacją jest wywołanie funkcji convert z żądanym systemem plików.

Musisz wpisać convert g / fs:ntfs i nacisnąć Enter, aby rozpocząć proces konwersji.

G to dysk, którego system plików wymaga zmiany.

Wpis w oknie wiersza poleceń wygląda następująco.

W niektórych system operacyjny Może pojawić się komunikat o zmianie nazwy urządzenia. W przypadku braku nazwy urządzenia pamięci masowej problemy z konwersją mogą wystąpić mniej.

Proces konwersji zajmuje mniej niż minutę w przypadku urządzenia o pojemności 16 GB.

Po zakończeniu konwersji możesz upewnić się, że wszystkie pliki są zapisane na swoich miejscach.

Instrukcja wideo dotycząca zmiany systemu plików za pomocą wiersza poleceń

Jak przekonwertować system z NTFS na FAT32

W przypadku formatowania dysku flash proces jest absolutnie identyczny, wystarczy wybrać odpowiedni system plików.

Podczas konwersji z powrotem za pomocą wiersza poleceń użytkownik musi wprowadzić w wierszu poleceń

przekonwertuj g: /fs:ntfs /nosecurity /x

Aby pomyślnie zakończyć proces konwersji, lepiej sprawdzić dysk pod kątem błędów. Aby to zrobić, we „Właściwościach” dysku musisz znaleźć element „Sprawdzanie błędów”.

Dzięki tej metodzie fragmentacja plików wpłynie na szybkość urządzenia. Trochę zejdzie. Jeśli na urządzeniu znajdują się aplikacje wymagające rejestracji, dane rejestracyjne najprawdopodobniej znikną.

Precyzyjny i złożony system uprawnień służy do kontrolowania dostępu użytkowników do folderów i plików. Mechanizm kontroli dostępu do obiektów systemu Windows jest jednym z najbardziej szczegółowych znanych systemów operacyjnych. Istnieje co najmniej 14 uprawnień NTFS dla plików i folderów, które można włączyć lub wyłączyć — i sprawdzić. Uprawnienia te można przypisywać do plików lub folderów oraz do użytkowników lub grup. Ponadto można przypisać kolejność dziedziczenia uprawnień dla plików lub folderów oraz użytkowników lub grup. W labiryncie uprawnień łatwo się zgubić. W tym artykule omówimy sposób działania uprawnień do folderów i plików oraz najskuteczniejsze sposoby ich wykorzystania.

Podstawy dostępu do obiektów

Użytkownik nigdy nie wchodzi w bezpośredni „dotyk” z jakimkolwiek obiektem Windows. Cały dostęp do obiektów odbywa się za pośrednictwem programów (na przykład Eksplorator Windows, Biuro Microsoftu) lub procesów. Program uzyskujący dostęp do zasobów w imieniu użytkownika wykonuje procedurę zwaną personifikacją. Program, który uzyskuje dostęp do zdalnego zasobu, wykonuje procedurę zwaną delegacją.

Po zarejestrowaniu użytkownika jego identyfikator systemowy (SID) i identyfikatory SID grupy są przetwarzane przez proces lsass.exe, który generuje token bezpieczeństwa użytkownika. Do tokena bezpieczeństwa wprowadzane są również inne informacje, w tym prawa (uprawnienia) przypisane użytkownikowi, identyfikator sesji użytkownika (unikalny dla każdej sesji), maska ​​uprawnień wraz ze szczegółowym opisem typu żądanego dostępu. Prawa przypisane użytkownikowi można zobaczyć za pomocą polecenia

Gdy program uzyskuje dostęp do chronionego zasobu w imieniu użytkownika, monitor referencyjny zabezpieczeń systemu Windows monituje program o podanie tokenu zabezpieczającego użytkownika. Następnie monitor bezpieczeństwa analizuje token, aby określić efektywne uprawnienia użytkownika i zezwolić lub odmówić operacji żądanej przez użytkownika. Skuteczne uprawnienia opisano bardziej szczegółowo poniżej.

Udostępnij uprawnienia

Każdy chroniony obiekt systemu Windows — w tym pliki, foldery, udziały, drukarki i klucze rejestru — zachowuje uprawnienia zabezpieczeń. Każdy folder Windowsa można upublicznić, aby umożliwić zdalny dostęp. Uprawnienia udziału można przypisać do dowolnego folderu Windows i obiektów drukarek, ale uprawnienia mają zastosowanie tylko wtedy, gdy dostęp do obiektu odbywa się za pośrednictwem zasób sieciowy. Uprawnienia do udziału w folderze obejmują pełną kontrolę, zmianę i odczyt.

Podmioty ochrony, którym przypisano prawo Pełna kontrola do obiektu, mogą wykonywać na obiekcie prawie każdą operację. Mogą usuwać, zmieniać nazwy, kopiować, przenosić i modyfikować obiekty. Użytkownik z uprawnieniem Pełna kontrola może zmienić uprawnienia Udostępnij obiektu i stać się właścicielem obiektu (chyba że już jest właścicielem i nie ma uprawnienia Przejęcie własności). W ten sposób każdy użytkownik z uprawnieniem Pełna kontrola może cofnąć uprawnienia innych osób, w tym administratora (chociaż administrator zawsze może odebrać własność i uprawnienia). Możliwość zmiany uprawnień jest wymagana w każdym systemie operacyjnym z selektywną kontrolą dostępu (DAC), takim jak Windows.

W większości przypadków podstawowym uprawnieniem dostępu do zasobów wymaganym przez zwykłych użytkowników jest Zmiana. Z uprawnieniem Zmiana użytkownik może dodawać, usuwać, modyfikować i zmieniać nazwy dowolnego zasobu w odpowiednim folderze. Uprawnienie Odczyt umożliwia przeglądanie, kopiowanie, zmianę nazwy i drukowanie obiektu. Użytkownik z uprawnieniem Odczyt może skopiować obiekt do innej lokalizacji, w której ma prawo Pełna kontrola.

Uprawnienia NTFS

Jeśli system Windows używa systemu plików NTFS (a nie FAT), wszystkie pliki, foldery, klucze rejestru i wiele innych obiektów ma uprawnienia NTFS. Uprawnienia NTFS dotyczą zarówno lokalnego, jak i zdalnego dostępu do obiektów. Aby wyświetlić i zmienić uprawnienia NTFS do pliku lub folderu, po prostu kliknij kliknij prawym przyciskiem myszy kliknij obiekt, wybierz Właściwości i przejdź do zakładki Zabezpieczenia.

Tabela 1 przedstawia łącznie 7 uprawnień NTFS. Uprawnienia sumaryczne to różne kombinacje 14 bardziej szczegółowych uprawnień przedstawionych w tabeli 2. Szczegółowe uprawnienia można wyświetlić, otwierając okno dialogowe Zaawansowane ustawienia zabezpieczeń dla obiektu, klikając przycisk Zaawansowane na karcie Zabezpieczenia, a następnie klikając przycisk Edytuj na karcie Uprawnienia. Poznawanie szczegółowych uprawnień obiektu (zwłaszcza takiego, który wymaga zwiększonego bezpieczeństwa) to dobry nawyk, choć wymaga więcej wysiłku. Uprawnienia podsumowujące nie zawsze dokładnie odzwierciedlają stan uprawnień szczegółowych. Na przykład widziałem podsumowanie uprawnień do odczytu, gdy użytkownik faktycznie miał uprawnienia do odczytu i wykonywania.

Podobnie jak uprawnienie Pełna kontrola Udostępnij, uprawnienie Pełna kontrola NTFS zapewnia właścicielom więcej opcji. Użytkownicy niebędący administratorami często mają uprawnienie Pełna kontrola do swojego katalogu domowego oraz innych plików i folderów. Jak już wspomniano, właściciel tego poziomu uprawnień może zmienić uprawnienia do pliku i stać się właścicielem. Zamiast dawać użytkownikom uprawnienie Pełna kontrola, możesz przyznać im tylko prawo do modyfikacji. Jeśli użytkownik jest właścicielem pliku, w razie potrzeby możesz ręcznie uniemożliwić mu zmianę uprawnień.

Z technicznego punktu widzenia uprawnienia NTFS są znane jako uznaniowe listy kontroli dostępu (DACL). Uprawnienia do inspekcji są znane jako systemowe listy ACL (SACL). Większość chronionych obiektów NTFS ma oba rodzaje uprawnień.

Wpływ relacji zaufania systemu Windows

Domyślnie wszystkie domeny i lasy systemu Windows 2000 i nowszych mają dwukierunkową relację zaufania ze wszystkimi innymi domenami w lesie. Jeśli domena ufa innej domenie, wszyscy użytkownicy w zaufanej domenie mają takie same uprawnienia zabezpieczeń w domenie ufającej, jak grupa Wszyscy i Użytkownicy uwierzytelnieni w domenie ufającej. W każdej domenie wiele uprawnień jest domyślnie przypisywanych do tych grup, a trusty pośrednio zapewniają rozległe uprawnienia, które w innym przypadku nie zostałyby przyznane. Należy pamiętać, że jeśli relacja zaufania nie jest selektywna, wszelkie uprawnienia przyznane grupom Wszyscy i Użytkownicy uwierzytelnieni są przypisywane wszystkim innym użytkownikom w lesie.

Sprawdzanie uprawnień z wiersza poleceń

Program Cacls jest opisany w artykule „ ” opublikowanym przez firmę Microsoft. Jest to starsze narzędzie, które zostało dołączone do systemu Windows od czasu systemu Windows NT. Cacls nie jest tak użyteczny jak Subinacl czy Xacls, ale narzędzie jest zawsze dostępne w systemie Windows. Dzięki Cacls możesz przeglądać i modyfikować pliki i uprawnienia według użytkowników i grup, ale nie możesz tworzyć szczegółowych uprawnień NTFS. Cacls jest obecnie ograniczony do uprawnień Brak dostępu, Odczyt, Zmiana i Pełna kontrola, które odpowiadają uprawnieniom NTFS, ale nie uprawnieniom do udostępniania. Ponadto uprawnienie Odczyt Cacls jest zgodne z uprawnieniem Odczyt i wykonywanie systemu NTFS.

Dziedzictwo

Domyślnie wszystkie pliki, foldery i klucze rejestru dziedziczą uprawnienia z kontenera nadrzędnego. Dziedziczenie można włączyć lub wyłączyć dla poszczególnych plików, folderów lub kluczy rejestru oraz dla poszczególnych użytkowników lub grup. Jak widać na ekranie 1, pole Zastosuj do na karcie Uprawnienia okna dialogowego Zaawansowane ustawienia zabezpieczeń pokazuje, czy dane uprawnienie jest ograniczone do bieżącego kontenera, czy też dotyczy podfolderów i plików. Administrator może przypisać uprawnienie (dla poszczególnych użytkowników), które jest dziedziczone lub nie. W ten przykład grupa Wszyscy ma uprawnienie Odczyt i wykonywanie w bieżącym folderze, a uprawnienie to nie jest dziedziczone.

Rysunek 1: Szczegółowe uprawnienia obiektu

Jeśli plik lub folder dziedziczy większość swoich uprawnień, ale ma też zestaw jawnych uprawnień, te ostatnie zawsze mają pierwszeństwo przed uprawnieniami odziedziczonymi. Na przykład można przyznać użytkownikowi uprawnienie Pełna kontrola-Odmowa dostępu do katalogu głównego określonego woluminu i ustawić, aby te uprawnienia były dziedziczone przez wszystkie pliki i foldery na dysku. Następnie możesz przypisać dowolnemu plikowi lub folderowi na dysku uprawnienie, które zastępuje odziedziczony tryb Pełna kontrola-Odmowa.

Skuteczne uprawnienia

Monitor Ochrona Windowsa określa efektywne uprawnienia użytkowników (rzeczywiste uprawnienia, które mają w praktyce) na podstawie kilku czynników. Jak wspomniano powyżej, monitor bezpieczeństwa najpierw zbiera informacje o indywidualnym koncie użytkownika i wszystkich grupach, do których należy, a następnie agreguje wszystkie uprawnienia przypisane do wszystkich identyfikatorów SID użytkowników i grup. Jeśli uprawnienia Odmów i Zezwól istnieją na tym samym poziomie, zwykle pierwszeństwo ma opcja Odmów. Jeśli pierwszeństwo ma opcja Pełna kontrola-odmowa, użytkownik generalnie nie ma dostępu do obiektu.

Domyślnie, biorąc pod uwagę uprawnienia NTFS i Udział (użytkownik łączy się z zasobem przez sieć), monitor bezpieczeństwa powinien zbierać wszystkie uprawnienia Udział i NTFS. W rezultacie efektywne uprawnienia użytkownika to zestaw uprawnień przyznanych zarówno przez uprawnienia udostępniania, jak i uprawnienia NTFS.

Na przykład użytkownik może otrzymać uprawnienia Udostępnij Odczyt i zmiana oraz uprawnienia NTFS Odczyt i modyfikacja. Efektywne uprawnienia to najbardziej restrykcyjny zestaw uprawnień. W tym przypadku uprawnienia są prawie identyczne. Efektywne uprawnienia to Odczyt i Zmiana/Modyfikacja. Wielu administratorów błędnie uważa, że ​​tylko uprawnienia do odczytu są skuteczne z powodu słabych, nadmiernie uproszczonych przykładów lub nieaktualnej dokumentacji.

Okno dialogowe Zaawansowane ustawienia zabezpieczeń w systemie Windows XP i nowszych zawiera kartę Efektywne uprawnienia (patrz rysunek 2). Niestety karta Efektywne uprawnienia pokazuje tylko uprawnienia NTFS. Nie bierze pod uwagę wpływu uprawnień do udostępniania, grup opartych na akcjach, do których użytkownik nie jest członkiem, ani innych czynników, takich jak system szyfrowania plików (EFS). Jeśli system EFS jest włączony dla pliku lub folderu, użytkownik z odpowiednimi uprawnieniami NTFS i udziałów może nie mieć dostępu do obiektu, jeśli nie ma dostępu EFS do tego folderu lub pliku.


Rysunek 2: Efektywne uprawnienia obiektów NTFS

Zachowaj ostrożność podczas przyznawania uprawnień Pełna kontrola zwykłym użytkownikom. Zamiast tego warto nadać im uprawnienie Modyfikuj. W większości przypadków takie podejście zapewnia użytkownikom wszystkie potrzebne uprawnienia bez możliwości zmiany uprawnień lub przejmowania własności.

Uważaj na grupę Wszyscy; lepiej jest skorzystać z grupy Użytkownicy uwierzytelnieni (lub Użytkownicy) lub specjalnej grupy z ograniczonymi uprawnieniami. Istotnymi pominięciami w grupie Użytkownicy uwierzytelnieni są brak Gościa i użytkownika nieuwierzytelnionego.

Często zdarza się, że administratorzy sieci są proszeni o wprowadzenie gościa Konta dla użytkowników zewnętrznych (na przykład konsultantów, wykonawców, niezależnych programistów). Ale prawa zwykłego użytkownika są często zbędne dla gościa. Należy utworzyć i używać grupy, która jest domyślnie mocno ograniczona (na przykład uprawnienie Pełna kontrola-Odmowa dla katalogów głównych), a następnie jawnie zezwolić na dostęp tylko do plików i folderów, których potrzebuje to konto gościa. Jawne uprawnienia są preferowane, ponieważ dają użytkownikom-gościom dokładnie takie uprawnienia, jakich potrzebują do wykonywania swojej pracy, i nic więcej.

Należy zachować ostrożność podczas ograniczania grup Wszyscy i Użytkownicy, ponieważ administratorzy są również członkami tych grup.

W przypadku relacji zaufania z innymi domenami przydatne jest stosowanie zaufania jednokierunkowego i selektywnego w celu ograniczenia praw użytkowników zaufanej domeny.

Należy okresowo sprawdzać uprawnienia NTFS i udostępniania, aby upewnić się, że są one tak restrykcyjne, jak to tylko możliwe.

Dzięki tym wskazówkom i tabeli przeglądowej, która podsumowuje wszystkie uprawnienia, możesz bezpiecznie zapuścić się w labirynt systemu plików. Administrator będzie mógł pewnie nadawać uprawnienia do plików, folderów, użytkowników i grup.

Tabela 1. Podsumowanie uprawnień NTFS

Tabela 2. Szczegółowe uprawnienia NTFS

Rogera Grimesa ( [e-mail chroniony]) jest konsultantem ds. bezpieczeństwa. Certyfikowany przez CPA, CISSP, CEH, CHFI, TICSA i MCSE: Bezpieczeństwo.

Poniżej przedstawiono następującą sytuację: użytkownik Użytkownik1 ma uprawnienia do zapisu w folderze Dane. Ponadto jest członkiem grupy Wszyscy, której przypisano uprawnienie Odczyt. W związku z tym rzeczywiste uprawnienia użytkownika 1 będą kombinacją uprawnień do odczytu i zapisu, ale tylko dla folderu danych.

W przeciwieństwie do uprawnień do udziału, uprawnienia NTFS nie zapewniają dostępu do podfolderów folderu Dane.

Przykład uprawnień ntfs do pliku

Poniżej przedstawiono następującą sytuację: Użytkownik Użytkownik1 ma uprawnienia Odczyt i Zapis do pliku Plik1 w folderze Dane. Ponadto jest członkiem zespołu sprzedaży, który ma inne uprawnienia do folderu Dane, Odczyt. W rezultacie Użytkownik1 będzie miał uprawnienia do odczytu folderu Dane, a także do odczytu i zapisu w Pliku1, ponieważ uprawnienia NTFS do plików mają pierwszeństwo przed uprawnieniami do folderów.

    Uprawnienia NTFS zapewniają silną ochronę folderów i plików znajdujących się na woluminach systemu plików Windows NT (NTFS).

    Uprawnienia NTFS do folderów i plików dotyczą zarówno użytkowników pracujących bezpośrednio na komputerze, jak i dostępu do chronionych obiektów komputera przez sieć.

    Podobnie jak w przypadku uprawnień do udziału, użytkownik może uzyskać uprawnienia NTFS bezpośrednio lub będąc członkiem co najmniej jednej grupy z uprawnieniami.

    Podobnie jak uprawnienia do udostępniania, rzeczywiste uprawnienia NTFS użytkownika są kombinacją uprawnień użytkownika i grup, do których należą. Jedynym wyjątkiem od tej reguły jest uprawnienie Brak dostępu, które zastępuje wszystkie inne uprawnienia.

    W przeciwieństwie do uprawnień do udziału, uprawnienia NTFS mogą być różne dla folderu i plików (folderów) w nim zagnieżdżonych.

    Uprawnienia NTFS do pliku mają pierwszeństwo przed uprawnieniami do folderu, który go zawiera.

    1. uprawnienia i uprawnienia ntfs

Uprawnienia udziału woluminu NTFS działają w połączeniu z uprawnieniami do plików i folderów. W tej lekcji dowiesz się, jak zabezpieczyć zasoby dyskowe, łącząc uprawnienia i uprawnienia NTFS.

      1. Podstawowe informacje

Aby użytkownicy mieli dostęp do zasobów dyskowych przez sieć, musisz je udostępnić powszechny użytek foldery zawierające te zasoby. Te foldery można chronić, przypisując odpowiednie prawa dostępu użytkownikom i grupom. Jednak uprawnienia do udostępniania zapewniają jedynie ograniczoną ochronę, ponieważ:

    zapewnić ten sam poziom dostępu do wszystkich folderów i plików znajdujących się w folderze współdzielonym;

    nie chroń zasobu przed lokalnym użytkownikiem;

    nie można używać do ochrony pojedynczych plików.

Jeśli folder udostępniony znajduje się na woluminie NTFS, możesz użyć uprawnień NTFS, aby zmienić lub odmówić użytkownikowi dostępu do folderów i plików znajdujących się w folderze udostępnionym. Wykorzystanie uprawnień NTFS i praw dostępu zapewnia najwyższy stopień ochrony.

Oto najprostszy sposób łączenia uprawnień NTFS i uprawnień: zachowaj domyślne uprawnienie Pełna kontrola przypisane do grupy Wszyscy i przypisz uprawnienia NTFS poszczególnym grupom i kontom użytkowników do określonych folderów i plików w folderze współdzielonym.

W przypadku kombinacji uprawnień i uprawnień NTFS dostęp jest zawsze określany przez najsilniejsze ograniczenie. Na przykład, jeśli folder ma uprawnienie Pełna kontrola i uprawnienie NTFS Odczyt, wynikowe uprawnienie będzie bardziej restrykcyjne Odczyt.

Poniżej zilustrowano następujący scenariusz: Użytkownik1 ma dostęp do odczytu folderu udostępnionego Dane publiczne na komputerze1 (po połączeniu przez sieć) oraz uprawnienie NTFS Pełna kontrola do pliku A tego folderu. W rezultacie Użytkownik1 będzie miał dostęp tylko do odczytu do Pliku A, ponieważ Odczyt jest bardziej restrykcyjnym ograniczeniem. Dostęp użytkownika 2 do pliku B jest również tylko do odczytu, ponieważ uprawnienie NTFS do odczytu i uprawnienie do odczytu skutkują tymi samymi ograniczeniami.

Kiedy Użytkownik1 pracuje na Komputerze1, nie ma praw dostępu do folderu Dane publiczne. Jednak efekt uprawnień NTFS (pełna kontrola nad plikiem A i dostęp tylko do odczytu do pliku B) zostaje zachowany. Jeśli Użytkownik1 połączy się z tym udostępnionym folderem, podobnie jak Użytkownik1 otrzyma dostęp tylko do odczytu.

Dlaczego większość organizacji potrzebuje serwera? Active Directory, RDS, serwer wydruku i garść małych i dużych usług. Być może najbardziej widoczną rolą dla wszystkich jest serwer plików. Przy nim ludzie, w przeciwieństwie do innych ról, pracują najbardziej świadomie. Pamiętają, w którym folderze co jest, gdzie są skany dokumentów, gdzie są ich raporty, gdzie są faksy, gdzie jest folder współdzielony, w którym wszystko jest możliwe, do którego dostęp ma tylko jeden z działów, a gdzie drugi, a niektórych w ogóle nie znają

Chcę porozmawiać o dostępie do folderów sieciowych i lokalnych na serwerze.

Dostęp do współdzielonych zasobów na serwerze odbywa się, jak wszyscy doskonale wiedzą, za pomocą protokołu SMB już 3.0. Dostęp sieciowy do folderów może być ograniczony przez uprawnienia SMB i NTFS. Uprawnienia SMB działają tylko podczas uzyskiwania dostępu do folderu udostępnionego przez sieć i nie mają wpływu na lokalną dostępność określonego folderu. Uprawnienia NTFS działają zarówno w sieci, jak i lokalnie, zapewniając znacznie większą elastyczność w tworzeniu uprawnień. Uprawnienia SMB i NTFS nie działają osobno, lecz uzupełniają się, zgodnie z zasadą największego ograniczenia praw.

Aby udostępnić folder w Server 2012 w grupie SMB Share Cmdlets, pojawiło się cmdlet New-SMBShare. Na przykładzie tego cmdletu zobaczymy wszystkie możliwości dostępne podczas tworzenia folderu współdzielonego, z wyjątkiem konfiguracji klastrów (to osobny duży temat).

Tworzenie nowego folderu współdzielonego wygląda bardzo prosto:
net share homefolder=s:\ivanivanov /grant:"admin",full /grant:"folderowner",change /grant:"manager",read /cache:programs /remark:"Ivanov" lub
folder domowy new-smbshare s:\ivanivanov –programy w trybie pamięci podręcznej –administrator z pełnym dostępem –zmianawłaściciel folderu –adres dostępu do odczytu –brak dostępu do wszystkich –tryb wyliczania folderów oparty na dostępie -opis „Iwanow”

Zrozumienie:

-nazwa nazwa udostępnionego folderu w sieci, może różnić się od nazwy folderu na komputerze lokalnym. Ma limit 80 znaków, nie można używać nazw potoków i skrzynek pocztowych.

Ścieżka to ścieżka do folderu lokalnego do udostępnienia. Ścieżka musi być kompletna, zaczynając od katalogu głównego dysku.

Tryb buforowania ustawiający autonomię plików w folderze współdzielonym.

Co to jest plik offline?

Plik offline to kopia pliku znajdującego się na serwerze. Ta kopia znajduje się na komputerze lokalnym i umożliwia pracę z plikiem bez łączenia się z serwerem. Po podłączeniu zmiany są synchronizowane. Synchronizacja w obu kierunkach: jeśli dokonałeś zmian w pliku offline, przy następnym połączeniu plik na serwerze zostanie zmieniony; jeśli ktoś dokonał zmian na serwerze, to Twoja lokalna kopia zostanie zmieniona. Jeśli zmiany zaszły w obu plikach jednocześnie, otrzymamy błąd synchronizacji i będziemy musieli wybrać, którą wersję zapisać. Do współpracy nie używałbym tej funkcji, ale jeśli dla każdego użytkownika zrobimy kulę i ograniczymy innym dostęp do czytania, bez możliwości pisania, otrzymamy następujące gadżety:

  • Praca nie zależy od sieci - może się spalić switch, zrestartować serwer, przerwać przewód lub wyłączyć punkt dostępowy - użytkownik pracuje ze swoją kopią nie zauważając, że masz tam jakiś wypadek, kiedy połączenie sieciowe zostaje przywrócone, jego praca trafia na serwer.
  • Użytkownik może pracować w dowolnym miejscu: na wsi, w autobusie, w samolocie - tam, gdzie z jakiegoś powodu połączenie VPN nie jest dostępne.
  • Nawet jeśli użytkownik pracuje przez VPN, ale połączenie jest albo bardzo wolne, albo ciągle rozłączane, łatwiej jest pracować z kopią offline i synchronizować zmiany, niż próbować coś zrobić na serwerze.
  • Sam użytkownik może wybrać, co i kiedy synchronizować, jeśli ma taką możliwość.

Przyjmuje następujące wartości:
  • brak - pliki nie są dostępne w trybie offline, dostęp do plików wymaga dostępu do serwera
  • instrukcja - użytkownicy sami wybierają pliki, które będą dostępne offline
  • programy – wszystko w folderze jest dostępne offline (dokumenty i programy (pliki z rozszerzeniem *.exe, *.dll))
  • dokumenty - dokumenty są dostępne, brak programu
  • branchcache - zamiast tego buforowanie komputer lokalny doświadczenie użytkownika występuje na serwerach BranchCache, użytkownicy wybierają pliki offline
-noaccess, -readaccess, -changeaccess, -fullaccess uprawnienia do udziału.

Uprawnienia te mają jedną wielką zaletę - są bardzo proste.

Sekretarka Noaccess, steward - sekretarka i kierownik zaopatrzenia nie mają nic wspólnego z folderami publicznymi działu księgowości
-readaccess audytor - audytor sprawdzający pracę działu księgowości może przeglądać nazwy plików i podfolderów we współdzielonym folderze, otwierać pliki do odczytu, uruchamiać programy.
-changeaccess accountant - księgowi w swoim udostępnionym folderze mogą tworzyć pliki i podfoldery, zmieniać istniejące pliki, usuń pliki i podfoldery
-fullaccess admin – fullaccess to readaccess+changeaccess plus możliwość zmiany uprawnień.

Podczas tworzenia folderu udostępnionego automatycznie stosowana jest najbardziej restrykcyjna reguła - grupa „Wszyscy” otrzymuje prawo do odczytu.

Uprawnienia te dotyczą tylko użytkowników uzyskujących dostęp do folderu udostępnionego przez sieć. Logując się lokalnie, np. w przypadku serwera terminali, zarówno sekretarka, jak i kierownik zaopatrzenia zobaczą wszystko, co chcą w dziale księgowości. Jest to naprawione przez uprawnienia NTFS. Uprawnienia SMB dotyczą wszystkich plików i folderów w udziale. Precyzyjne dostrajanie praw dostępu odbywa się również za pomocą uprawnień NTFS.

Concurrentuserlimit Użyj tego ustawienia, aby ograniczyć maksymalną liczbę połączeń z udostępnionym folderem. W zasadzie można go również wykorzystać do ograniczenia dostępu do folderu, uzupełniając uprawnienia NTFS, wystarczy mieć pewność co do wymaganej liczby połączeń.

Opis Opis udostępnionego zasobu, który jest widoczny w środowisku sieciowym. Opis to bardzo dobra rzecz, którą wiele osób zaniedbuje.

zaszyfrujszyfrowanie danych

W SMB przed wersją 3.0 jedynym sposobem zabezpieczenia ruchu z serwera plików do klienta była sieć VPN. Sposób jego realizacji zależał całkowicie od preferencji. Administrator systemu: tunele SSL, PPTP, IPSEC lub coś innego. W Server 2012 szyfrowanie działa od razu po wyjęciu z pudełka, w normalny sposób lokalna sieć lub przez niezaufane sieci bez konieczności stosowania specjalnych rozwiązań infrastrukturalnych. Można go włączyć dla całego serwera lub dla poszczególnych folderów współdzielonych. Algorytm szyfrowania w SMB 3.0 to AES-CCM, algorytm mieszania to AES-CMAC zamiast HMAC-SHA256. Dobrą wiadomością jest to, że SMB 3.0 obsługuje sprzętowy AES (AES-NI), złą wiadomością jest to, że Rosja nie obsługuje AES-NI.

Co zagraża włączeniu szyfrowania? Fakt, że tylko klienci obsługujący SMB 3.0, czyli Windows 8, będą mogli pracować z zaszyfrowanymi folderami współdzielonymi.Powodem znowu jest maksymalne dopuszczalne ograniczenie praw użytkownika. Zakłada się, że administrator wie co robi iw razie potrzeby da dostęp klientom z inną wersją SMB. Ale ponieważ SMB 3.0 wykorzystuje nowe algorytmy szyfrowania i mieszania, ruch klientów z inną wersją SMB nie będzie szyfrowany, potrzebna jest sieć VPN. Polecenie set-smbserverconfiguration –rejectunencryptedaccess $false umożliwi wszystkim klientom dostęp do serwera plików z włączonym szyfrowaniem.
W domyślnej konfiguracji (brak niezaszyfrowanego ruchu do zaszyfrowanych folderów współdzielonych), podczas próby uzyskania dostępu do folderu klienta z wersją SMB poniżej 3.0 na kliencie otrzymamy „Błąd dostępu”. Na serwerze zdarzenie 1003 zostanie dodane do dziennika Microsoft-Windows-SmbServer/Operational, w którym można znaleźć adres IP klienta, który próbował uzyskać dostęp.

Szyfrowanie SMB i EFS to różne rzeczy, które nie mają ze sobą nic wspólnego, to znaczy mogą być używane na woluminach FAT i ReFS.

Tryb wyliczania folderów Jest to wyliczanie oparte na dostępie. Po włączeniu wyliczania opartego na dostępie użytkownicy, którzy nie mają dostępu do folderu współdzielonego, po prostu nie zobaczą go na serwerze plików, a pytań o to, dlaczego nie mam dostępu do tego lub innego folderu, będzie mniej. Użytkownik widzi swoje dostępne foldery i nie próbuje wchodzić w sprawy innych osób. Domyślnie jest wyłączone.

  • oparty na dostępie - włącz
  • nieograniczony - wyłączony
-temporary Ten przełącznik tworzy tymczasowy folder współdzielony, który będzie niedostępny po ponownym uruchomieniu serwera. Domyślnie tworzone są trwałe foldery współdzielone.

uprawnienia NTFS

Za pomocą uprawnień NTFS możemy bardziej szczegółowo rozróżnić prawa w folderze. Możemy zabronić określonej grupie zmiany określonego pliku, pozostawiając możliwość edycji całego głównego; w tym samym folderze jedna grupa użytkowników może mieć uprawnienia do edycji jednego pliku i nie mieć możliwości przeglądania innych plików edytowanych przez inną grupę użytkowników i odwrotnie. Krótko mówiąc, uprawnienia NTFS pozwalają nam stworzyć bardzo elastyczny system dostępu, najważniejsze jest, aby później się nie pomylić. Ponadto uprawnienia NTFS działają zarówno podczas uzyskiwania dostępu do folderu przez sieć, uzupełniając uprawnienia dostępu współdzielonego, jak i podczas lokalnego uzyskiwania dostępu do plików i folderów.

Istnieje sześć uprawnień podstawowych, które są kombinacją 14 uprawnień zaawansowanych.

Podstawowe uprawnienia
Pełna kontrola– pełny dostęp do folderu lub pliku, z możliwością zmiany praw dostępu i reguł audytu dla folderów i plików

Zmień (modyfikuj)– prawo do odczytu, modyfikacji, przeglądania zawartości folderu, usuwania folderów/plików oraz uruchamiania plików wykonywalnych. Obejmuje odczyt i wykonanie (odczyt i wykonanie), zapis (zapis) i usuwanie (usunięcie).

Odczyt i wykonanie (readandexecute)- prawo do otwierania folderów i plików do czytania, bez możliwości pisania. Możliwe jest również uruchamianie plików wykonywalnych.

Lista zawartości folderu (listdirectory)- prawo wglądu do zawartości folderu

Czytanie- prawo do otwierania folderów i plików do czytania, bez możliwości pisania. Obejmuje zawartość folderu / dane odczytu (readdata), atrybuty odczytu (readattributes), rozszerzone atrybuty odczytu (readextendedattributes) i uprawnienia do odczytu (readpermissions)

Pisać– prawo do tworzenia folderów i plików, modyfikowania plików. Obejmuje tworzenie plików / zapisywanie danych (writedata), tworzenie folderów / dołączanie danych (appenddata), zapisywanie atrybutów (writeattributes) i zapisywanie rozszerzonych atrybutów (writeextendedattributes)

Dodatkowe uprawnienia
Umieściłem tylko 1 z 14 uprawnień w folderze i obserwowałem, co się stało. W realnym świecie w większości przypadków wystarczą podstawowe uprawnienia, ale interesowało mnie zachowanie folderów i plików z najbardziej ograniczonymi uprawnieniami.

Przechodzenie przez folder / wykonywanie plików (przechodzenie)– prawo do uruchamiania i odczytu plików, niezależnie od praw dostępu do folderu. Użytkownik nie będzie miał dostępu do folderu (to, co znajduje się w folderze, pozostanie tajemnicą), ale pliki w folderze będą dostępne za pośrednictwem bezpośredniego łącza (ścieżka pełna, względna lub UNC). Możesz umieścić w folderze Traverse folders, aw pliku wszelkie inne uprawnienia potrzebne użytkownikowi do pracy. Użytkownik nie będzie mógł tworzyć i usuwać plików w folderze.

Odczytywanie atrybutów (readattributes)– prawo do przeglądania atrybutów (FileAttributes) folderu lub pliku.
Nie można przeglądać zawartości folderu lub plików ani zmieniać żadnych atrybutów.

Odczyt rozszerzonych atrybutów (readextendedattributes)– prawo do przeglądania dodatkowych atrybutów folderu lub pliku.

Jedyne, co mogłem znaleźć w dodatkowych atrybutach, to to, że są one używane do wstecznej kompatybilności z aplikacjami OS/2. (Wewnętrzne elementy systemu Windows, część 2: Omówienie systemów Windows Server 2008 R2 i Windows 7). Nic więcej o nich nie wiem.

Tworzenie plików / zapis danych (writedata)- daje użytkownikowi możliwość tworzenia plików w folderze, do którego nie ma dostępu. Możesz kopiować pliki do folderu i tworzyć nowe pliki w folderze. Nie można przeglądać zawartości folderu, tworzyć nowych folderów ani modyfikować istniejących plików. Użytkownik nie będzie mógł modyfikować żadnego pliku, nawet jeśli jest właścicielem tego pliku - tylko tworzyć.

Tworzenie folderów / dodawanie danych (appenddata)– umożliwia użytkownikowi tworzenie podfolderów w folderze i dodawanie danych na końcu pliku bez zmiany istniejącej zawartości.

Badanie

Dzięki utworzeniu podfolderów wszystko jest jasne: ni c:\testperms\testappend –itemtype katalog będzie działał zgodnie z oczekiwaniami - utworzy niedostępny dla użytkownika podfolder testappend w folderze testperms. Spróbujmy dodać linię na końcu pliku - zasymulujmy coś w rodzaju logowania. nowe zdarzenie >> c:\testperms\user.log Odmowa dostępu.
Hmm... Nie działa w CMD. A jeśli tak. ac c:\testperms\user.log newevent ac: Odmowa dostępu w ścieżce „C:\testperms\user.log”.
A co z przenośnikiem? "nowe wydarzenie" | out-file c:\testperms\user.log -append out-file: Odmowa dostępu w ścieżce „C:\testperms\user.log”.
A to nie działa.

Rozpocznijmy sesję czarnej magii: używamy klasy File, metody AppendText. Otrzymujemy obiekt dziennika.
$log = ::appendtext("c:\testperms\user.log") Wyjątek podczas wywoływania "AppendText" z argumentami "1": "Odmowa dostępu do ścieżki 'c:\testperms\user.log'."
Myślę, że AppendAllText nie jest już wart wypróbowania
$log = ::appendalltext("c:\testperms\user.log","newevent") Wyjątek podczas wywoływania „AppendAllText” z argumentami „2”: „Odmowa dostępu do ścieżki „c:\testperms\user.log”” ”.
Sprawa jest w zasadzie jasna. Tylko powyższe metody nie mają uprawnień do dopisywania danych do pliku, muszą zapisywać do pliku. Ale jednocześnie damy możliwość zmiany pliku, a nie tylko dodawania wpisów, czyli otwieramy potencjalną możliwość zniszczenia całej zawartości pliku.

Musimy przemyśleć koncepcję: nie bierzmy obiektu dziennika, tylko stwórzmy nowy, w którym ustawimy wszystkie interesujące nas parametry. Potrzebujemy czegoś, w czym możemy jawnie ustawić uprawnienia. Potrzebujemy FileStream , a dokładniej konstruktora FileStream (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions) nam w tym pomoże. Wymagane są następujące parametry:

  • Ścieżka do pliku jest jasna
  • Jak otworzyć plik - otwórz plik i znajdź koniec pliku
  • Uprawnienia do plików - dołączanie danych
  • Dostęp dla innych obiektów FileStream - nie jest potrzebny
  • Rozmiar bufora - domyślnie 8 bajtów
  • Dodatkowe opcje - nie
Okazuje się, że coś takiego:
$log = new-object io.filestream("c:\testperms\user.log",::append,::appenddata,::none,8,::none)
Pracuje! Stworzyliśmy obiekt dziennika, spróbujmy tam coś napisać. Metoda FileStream.Write przyjmuje wartości wejściowe w bajtach. Destylujemy zdarzenie, które chcemy zapisać na bajty - klasę Encoding, metodę GetEncoding (nie potrzebujemy skrótów na wyjściu) i GetBytes (właściwie konwertując)
$event = "Wystąpiło nowe zdarzenie." $eventbytes = ::getencoding("windows-1251").getbytes($event)
Opcje FileStream.Write:
Co napisać; od czego zacząć pisać; liczba bajtów do zapisania
Zapisujemy:
$log.write($eventbytes,0,$eventbytes.count)
Sprawdzamy.
gc c:\testperms\user.log gc: Odmowa dostępu w ścieżce „C:\testperms\user.log”.
Wszystko jest w porządku, użytkownik nie ma uprawnień do przeglądania tego, co jest napisane. Logujemy się jako administrator.
gc c:\testperms\user.log Wystąpiło nowe zdarzenie.
Wszystko działa.

Folder, w którym znajduje się plik, oprócz uprawnienia Tworzenie folderów / dodawanie danych, musi mieć również uprawnienie Folder zawartości / Odczyt danych. Tylko tworzenie folderów / dołączanie danych z wyłączonym dziedziczeniem wystarczy dla pliku. Nie będzie możliwe całkowite zabezpieczenie użytkownika (a atakujący też może być użytkownikiem) przed plikami, w których musi coś zapisać, ale z drugiej strony użytkownik nie zobaczy nic poza listą plików w folder i nie będzie można nic zrobić.

Wniosek z tego jest prosty: nie da się zaimplementować bezpiecznego logowania w plikach wsadowych, PowerShell oszczędza możliwość pracy z obiektami .NET.


Zapisz atrybuty (writeattributes)- pozwalają użytkownikowi na zmianę atrybutów pliku lub folderu. Wszystko wydaje się proste. Ale wystarczy odpowiedzieć na pytanie: „Zdjęcia moich kotów zajmują prawie całe miejsce w moim profilu i nie mam miejsca na korespondencję biznesową. Chciałbym skompresować folder cat, ale wymagają one uprawnień administratora. Powiedziałeś, że mam prawo do zmiany atrybutów folderów. Czy to atrybut? Dlaczego nie mogę tego zmienić?”

Tak, użytkownik z uprawnieniami do zapisu atrybutów może zmieniać prawie wszystkie widoczne atrybuty plików i folderów, z wyjątkiem atrybutów kompresji i szyfrowania. Technicznie rzecz biorąc, użytkownik otrzymuje prawo do wykonania funkcji SetFileAttributes. A kompresja plików jest wykonywana przez funkcję DeviceIOControl, do której trzeba przekazać parametr FSCTL_SET_COMPRESSION, a kompresja plików nie jest jej jedynym zadaniem. Dzięki tej funkcji możemy zarządzać wszystkimi urządzeniami i ich zasobami w systemie i prawdopodobnie nadanie użytkownikowi tego uprawnienia do wykonywania tej funkcji oznacza uczynienie go administratorem.

W przypadku szyfrowania historia jest podobna: funkcja EncryptFile, która jest odpowiedzialna za szyfrowanie, wymaga od użytkownika posiadania uprawnień do folderu zawartości / odczytu danych, tworzenia plików / zapisu danych, odczytu atrybutów, zapisu atrybutów i synchronizacji na obiekcie. Bez nich nic nie będzie działać.

Pisanie rozszerzonych atrybutów (writeextendedattributes). Cóż, to są te używane do wstecznej kompatybilności z aplikacjami OS/2, tak. Cóż, ostatnio trojany (ZeroAccess.C) zaczęły być zapisywane w rozszerzonych atrybutach pliku C:\Windows\system32\services.exe. Może powinieneś je wyłączyć na najwyższym poziomie? Teoretycznie nie potrafię odpowiedzieć na to pytanie - może warto, praktycznie w produkcji - nie próbowałem.

Usuwanie podfolderów i plików. (usuń podkatalogi i pliki) Ciekawe uprawnienie, które dotyczy tylko folderów. Chodzi o to, aby umożliwić użytkownikowi usuwanie podfolderów i plików w folderze nadrzędnym bez udzielania uprawnienia do usuwania.

Załóżmy, że istnieje katalog produktów, w którym użytkownicy wprowadzają dane. Istnieje nadrzędny folder Katalog, wewnątrz podfolderu w porządku alfabetycznym, od A do Z, wewnątrz nich znajdują się nazwy. Nazwy zmieniają się każdego dnia, coś jest dodawane, coś się zmienia, coś się dezaktualizuje, a nieaktualne informacje trzeba usunąć. Ale nie będzie zbyt dobrze, jeśli ktoś zhakuje cały katalog K z parku lub złośliwych zamiarów, co jest bardzo możliwe, jeśli użytkownicy mają prawo do usuwania. Jeśli usuniesz użytkownikom prawo do usuwania, administrator może bezpiecznie zmienić pracę, ponieważ przez cały dzień będzie wypełniał prośby o usunięcie tej lub innej nazwy.

W tym miejscu wchodzi w grę Usuń podfoldery i pliki. Dziedziczenie jest wyłączone dla wszystkich liter alfabetu, a użytkownicy otrzymują prawo do usuwania podfolderów i plików. W rezultacie w folderze katalogu użytkownicy nie będą mogli usunąć ani jednej litery, ale wewnątrz liter będą mogli usunąć wszystko, co chcą.

Usuń (usuń). Tutaj wszystko jest proste. Usunięcie to usunięcie. Nie działa bez uprawnienia do odczytu.

Odczyt uprawnień daje użytkownikowi prawo do przeglądania uprawnień do folderu lub pliku. Brak uprawnień — użytkownik nie widzi uprawnień na zakładce „Bezpieczeństwo”.

Zmień uprawnienia (zmień uprawnienia)- pozwala użytkownikowi na zmianę uprawnień, zasadniczo czyniąc go administratorem folderu. Może służyć na przykład do delegowania uprawnień do wsparcia technicznego. Bez uprawnień do odczytu uprawnienia nie mają żadnego sensu. Zmiana uprawnień nie oznacza zmiany właściciela folderu.

Zmiana własności (przejęcie) Po pierwsze, kto jest właścicielem? Właścicielem jest użytkownik, który utworzył plik lub folder.

Osobliwością właściciela jest to, że ma pełny dostęp do utworzonego folderu, może rozdzielać uprawnienia do utworzonego przez siebie folderu, ale co ważniejsze, nikt nie może pozbawić właściciela prawa do zmiany uprawnień do jego folderu lub pliku. Jeśli Vasya utworzył folder, dał Petyi pełny dostęp, a Petya wszedł i uderzył użytkowników w dostęp do folderu w ogóle, a Vasya w szczególności, wtedy Vasya może łatwo przywrócić status quo, ponieważ jest właścicielem folderu. Petya nie będzie mógł zmienić właściciela folderu, nawet jeśli ma uprawnienia do zmiany właściciela. Co więcej, nawet Vasya nie może zmienić właściciela, mimo że utworzył folder. Prawo do zmiany własności dotyczy tylko grupy Administratorzy lub Administratorzy domeny.

Ale jeśli Petya stworzył plik w folderze Vasyi i nie dał Vasyi do niego dostępu, to Vasya może tylko myśleć i zgadywać, co jest tak tajne w tym pliku. Vasya nie będzie mógł zmienić uprawnień do pliku, ponieważ Petya jest właścicielem pliku. Ponadto Vasya nie będzie mógł zmienić właściciela pliku - zmiana właściciela podkontenerów i obiektów jest również przywilejem grupy Administratorzy, do której Vasya nie należy. Jedyną opcją, jaka pozostała Vasyi, jest przejrzenie akt Petyi w jego teczce.

My zarządzamy

CMD używa dobrze znanego icacls do zarządzania uprawnieniami. W PowerShell zarządzanie uprawnieniami NTFS wygląda mniej więcej tak:

Pobierz obiekt, na którym ustawimy uprawnienia
$acl = get-acl c:\testperms
Skonstruuj ciąg praw przy użyciu klasy System.Security.AccessControl.FileSystemAccessRule. Możemy ustawić następujące parametry:

  • grupa / nazwa użytkownika - dla kogo tworzymy ACL
  • rozdzielczość - ACE (akceptuje wartości podane w poście)
  • dotyczy — w GUI jest to lista rozwijana w zaawansowanych opcjach bezpieczeństwa. W rzeczywistości przyjmuje tylko 3 wartości: none (dotyczy tylko tego folderu), containerinherit (dotyczy wszystkich podfolderów), objectinherit (dotyczy wszystkich plików). Wartości można łączyć.
  • zastosuj te uprawnienia do obiektów i kontenerów tylko wewnątrz tego kontenera (checkbox w GUI) – również 3 wartości: none (odznaczone), dziedziczenie (ACE dotyczy tylko wybranego typu obiektu), nopropagateinherit (zastosuj uprawnienia tylko wewnątrz tego kontenera).
  • reguła - zezwól (zezwól) lub odmów (odmów)
Domyślna linia uprawnień będzie wyglądać następująco:
$permission = „contoso.com\admin”, „fullcontrol”, „containerinherit,objectinherit”, „none”, „allow”
Utwórz nowe ACE z uprawnieniami zdefiniowanymi powyżej
$ace = nowy obiekt security.accesscontrol.filesystemaccessrule $permission
I zastosuj świeżo utworzone ACE do obiektu
$acl.setaccessrule($as) $acl | ustaw acl c:\testperms

Stosujemy w praktyce

Uzbrojony w wiedzę na temat uprawnień SMB i NTFS, łącząc je, możesz tworzyć reguły dostępu o absolutnie dowolnej złożoności. Kilka przykładów:
Typ Uprawnienia SMB uprawnienia NTFS
Folder dla wszystkich (Publiczny) Użytkownicy — odczyt/zapis Użytkownicy — zmiana
Czarna skrzynka. Użytkownicy wyrzucają poufne doniesienia, propozycje, pomówienia - czytamy w zarządzie. Użytkownicy — odczyt/zapis
Ręczny — odczyt/zapis		 Użytkownicy — wpis dotyczy tylko tego folderu. Zakłada się, że zapisanie pliku do tego folderu jest biletem w jedną stronę, ponieważ wygodnym sposobem edycja bez przeglądania zawartości folderu W tym folderze nie są zapisane żadne pliki (nawiasem mówiąc, nie ma wygodnego sposobu, aby użytkownicy mogli pisać do takiego folderu). A przeglądanie narusza prywatność.

Przywództwo — zmiana.
Aplikacje Użytkownicy - Czytaj Użytkownicy — Odczyt, Odczyt i wykonywanie, Wyświetlanie zawartości folderów.

Oczywiście niektóre aplikacje mogą wymagać dodatkowych praw do swojego działania. Ale w ogólnym przypadku wystarczy na przykład przechowywanie narzędzi systemowych do diagnostyki (ten sam pakiet SysInternals).

Profile użytkowników Na użytkownika — odczyt/zapis w jego folderze Do każdego użytkownika - Przejdź do jego folderu.

Uprawnienia w systemie Windows to kontrowersyjna sprawa. Z jednej strony podstawowe uprawnienia są dość proste i obejmują 90% przypadków. Ale kiedy zaczyna być wymagane dokładniejsze dostrojenie: różne grupy użytkowników, jeden folder, wymagania bezpieczeństwa dla folderów współdzielonych, wtedy radzenie sobie z dodatkowymi uprawnieniami, dziedziczeniami i właścicielami może być dość trudne.

Mam nadzieję, że nikogo bardziej nie zmyliłem.

Uprawnienia NTFS(uprawnienia NTFS) to zestaw specjalnych rozszerzonych atrybutów pliku lub katalogu (folderu) ustawionych w celu ograniczenia dostępu użytkownika do tych obiektów. Są one dostępne tylko na woluminach, na których jest zainstalowany system plików NTFS. Uprawnienia zapewniają elastyczną ochronę, ponieważ można je stosować zarówno do katalogów, jak i pojedynczych plików; dotyczą one zarówno użytkowników lokalnych (pracujących na komputerach, na których znajdują się chronione foldery i pliki), jak i użytkowników łączących się z zasobami przez sieć.

Nie należy mylić uprawnienia Z prawa. To są zupełnie inne koncepcje; więcej na ten temat jest napisane w podsekcji „Model bezpieczeństwa Windows NT/2000/XP”. Niestety w literaturze technicznej iw życiu codziennym terminy te są często mylone. Źródłem tego są przede wszystkim błędy w tłumaczeniu oryginalnych materiałów anglojęzycznych.

Uprawnienia NTFS służą przede wszystkim do ochrony zasobów przed lokalnymi użytkownikami pracującymi na komputerze, na którym znajduje się zasób. Można ich jednak również używać w przypadku zdalnych użytkowników łączących się z folderem udostępnionym przez sieć. Oczywiście w tym przypadku użytkownicy podlegają dwóm mechanizmom ograniczania dostępu do zasobów: najpierw sieciowemu, a dopiero potem lokalnemu plikowemu. W związku z tym wynikające uprawnienia dostępu zostaną określone jako minimum uprawnień sieciowych i plików. W tym miejscu należy zaznaczyć, że całkowite uprawnienia sieciowe dostępu do zasobów, które użytkownik będzie miał podczas pracy w sieci, są obliczane jako maksymalne uprawnienia na liście uprawnień dostępu, ponieważ użytkownik może należeć do kilku grup wymienionych w Lista. Podobnie w przypadku uprawnień NTFS: użytkownik otrzymuje maksymalne uprawnienia wymienione na liście kontroli dostępu i tylko uprawnienie Brak dostępu (brak dostępu) może przekreślić wszystkie inne uprawnienia.

Uprawnienia NTFS zapewniają wysoce selektywną ochronę: możesz ustawić różne uprawnienia dla każdego pliku w folderze. Na przykład jednemu użytkownikowi można zezwolić na odczyt i modyfikację zawartości pliku, innemu tylko odczyt, a trzeciemu można całkowicie odmówić dostępu. Należy jednak pamiętać, że zdecydowanie zaleca się ustawianie uprawnień na listach ACL przy użyciu kont grup użytkowników, a nie indywidualnych kont użytkowników.

Każdy obiekt plikowy posiada tzw maska ​​dostępu(maska ​​dostępu). Maska dostępu zawiera standard(standard), konkretny(konkretny) i ogólny(ogólne) uprawnienia.

Standardowe prawa dostępu definiują operacje, które są wspólne dla wszystkich chronionych obiektów.

Określone uprawnienia wskazują podstawowe uprawnienia specyficzne dla obiektów plików. Na przykład określone prawa Read_Data, Write_Data i Append_Data umożliwiają odczyt danych, zapis informacji i odpowiednio dodawanie danych do pliku. Prawa Odczyt_atrybutów, Zapis_atrybutów

oraz Read_EA, Write_EA pozwalają odpowiednio na odczyt lub zapis atrybutów lub rozszerzonych atrybutów pliku lub katalogu. Wreszcie, takie specyficzne prawo dostępu, jak Execute, pozwala na uruchomienie pliku do wykonania.

Ogólne prawa dostępu są używane przez system; określają kombinacje praw standardowych i szczególnych. Na przykład prawo dostępu generic_Read zastosowane do pliku obejmuje następujące uprawnienia szczegółowe i standardowe: Read_Control, File_Read_Data, File_Read_Attributes, File_Read_EA, Synchronize.

Tak więc uprawnienia NTFS są przedstawiane inaczej w systemach operacyjnych Windows NT 4.0 i rodzinie Windows NT 4.0. systemy Windows 2000/XR. Różnice te dotyczą przede wszystkim interfejsu, czyli program Explorer inaczej wyświetla uprawnienia, które faktycznie są przypisane do obiektu pliku w postaci uprawnień dostępu i są przetwarzane na poziomie programu. Uprawnienia w systemie Windows 2000/XP są bliższe określonym, standardowym i ogólnym uprawnieniom, o których mówiliśmy powyżej, ale nie są tak wygodne do kontrolowania dostępu do plików jak Uprawnienia Windowsa NT 4.0.

Podziel się z przyjaciółmi:
Podobne posty