NTFS - tai paprasta

Šios pamokos metu Išmoksite naudotis NTFS (New Technology File System) failų sistemos galimybėmis, nustatyti NTFS leidimus vartotojams.

Samprata

NTFS leidimai (NTFS permisions) - tai rinkinys specialių failo arba katalogo savybių nustatytų tam, kad apriboti vartotojų priėjimą prie šių objektų. Leidimai užtikrina įvairiapusę apsaugą: juos galima nustatyti ir katalogams, ir atskiriems failams; jie galioja tiek vietiniams vartotojams (dirbantiems kompiuteriu, kuriame yra apsaugoti katalogai ir failai), tiek ir vartotojams, kurie jungiasi prie resursų per tinklą.

NTFS leidimai užtikrina platų apsaugos pasirinkimą: kiekvienam katalogui ar failui galima nustatyti skirtingus leidimus. Pavyzdžiui, vienam vartotojui bus leista skaityti ir keisti failo turinį, kitam - tik skaityti, o likusiems - iš viso uždrausti priėjimą prie jo.

NTFS leidimai yra dviejų tipų: standartiniai ir išplėstiniai. Standartiniai leidimai susideda iš keleto išplėstinių. Pavyzdžiui, standartinis leidimas skaityti (Read) susideda iš išplėstinių leidimų: List Folder Contents, Read Attributes, Read Extended Attributes, Read Permissions. Standartiniai leidimai supaprastina leidimų nustatymą, o išplėstiniai leidžia pasiekti norimą rezultatą sudėtingesnėse situacijose.

Standartiniai NTFS leidimai

NTFS leidimas	Leidžiami veiksmai
	Su katalogu	Su failu
Read - skaitymas	Peržiūrinėti kataloge esančius pakatalogius ir failus, katalogo atributus, duomenis apie savininką ir leidimus.	Peržiūrinėti failo turinį, failo atributus, duomenis apie failo savininką, ir leidimus
Write - rašymas	Sukurti naujus pakatalogius ir failus, keisti katalogo vardus ir atributus, peržiūrinėti katalogo atributus ir duomenis apie savininką.	Keisti failo turinį ir vardą, jo atributus; peržiūrinėti failui nustatytus leidimus ir duomenis apie savininką
List Folder Contents - katalogo turinio skaitymas	Peržiūrinėti kataloge esančius failus ir pakatalogius
Read & Execute - skaitymas ir vykdymas	Atlikti visas Read ir List Folder Contents komandų operacijas, o taip pat vykdyti vykdomuosius failus.	Vykdyti failą (jei jis vykdomasis) atlikti visas Read leidimo operacijas
Modify - keitimas	Šalinti katalogą ir jame esančius failus bei atlikti visas Read & Execute leidimų operacijas.	Šalinti failą ir keisti jo turinį bei atlikti visas Read & Execute leidimų operacijas.
Full Control - pilna kontrolė	Keisti katalogo atributus ir NTFS leidimus, perimti savininko teises, šalinti pakatalogius ir failus, atlikti visas prieš tai išvardintas operacijas.	Keisti failo leidimus, perimti savininko teises, atlikti visas prieš tai išvardintų leidimų operacijas.

Jei leidimas (Allow) nenustatytas, tuomet atlikti veiksmus yra draudžiama, nenustačius jokių leidimų, objektas taps neprieinamas niekam, net pačiai sistemai. Tačiau, leidimai turi draudimus (Deny), bet kurį lentelėje aprašytą leidimą galima uždrausti. Kyla klausimas, kam reikalingi draudimai, jei ir taip išjungtas leidimas yra draudimas. Taip, galima apsieiti ir be draudimų, tačiau draudimai, kai kuriose situacijose labai palengvina NTFS leidimų nustatymą.
Pavyzdžiui, vartotojas Stasys priklauso Users ir Kursantų grupėms. Kursantų grupei jūs norite uždrausti naudotis katalogu Bendras, todėl pašalinate leidimus nuo katalogo Bendras. Users grupei šiuo katalogu leista naudotis, tad Stasys nors ir priklauso Kursantų grupei ir toliau galės naudotis šiuo katalogu. Kaip uždrausti Stasiui juo naudotis? Lieka vienintelis kelias, pašalinti Stasį iš Users grupės arba Users grupei pakeisti leidimus, ko nesinorėtų daryti, nes nukentės ir kiti vartotojai.
Kad išspręsti panašias problemas naudojami draudimai (Deny). Draudimai yra viršesni už leidimus, tad nustačius Stasiui draudimą naudotis katalogu Bendras, nesvarbu kokioms grupėms Stasys priklausys ir kokius leidimus turės, jam bus draudžiama naudotis šiuo katalogu.

Taigi, leidimai tarpusavyje sumuojasi. Jei vartotojas priklausys keletui grupių su skirtingais leidimais, galios leidimas suteikiantis daugiausia teisių.

Draudimai yra viršesni už leidimus, t.y. jei tam pačiam objektui nustatytas leidimas ir draudimas, tuomet galios draudimas.

Standartinių NTFS leidimų nustatymas

NTFS leidimus galima nustatyti Explorer programa. Leidimų nustatymo langas iškviečiamas dešiniu pelės klavišu spragtelint failo arba katalogo piktogramą ir kontekstiniame meniu pasirinkus Properties.

Atsidariusiame lange pasirenkama Security kortelė.

Dabar paspaudus mygtuką Add... įtraukiami vartotojai, kuriems bus nustatomi leidimai pasirinktam objektui, mūsų atveju, tai failas encrypted.txt. Žemiau esančiame laukelyje Permissions uždedant varneles nustatomi NTFS leidimai arba draudimai.
Varnelė ties Allow inheritable permissions... reiškia, kad pasirinkto objekto leidimai bus paveldėti iš katalogo, kuriame šis objektas yra. Apie leidimų paveldėjimą skaitykite skirsnyje Leidimų paveldėjimas.

Paspaudus mygtuką OK bus nustatyti standartiniai NTFS leidimai. Jei reikia nustatyti išplėstinius leidimus, tuomet spaudžiamas mygtukas Advanced...

Išplėstiniai NTFS leidimai

Leidimas	Aprašymas
Traverse Folder/Execute File	Leidžia arba draudžia priėjimą prie katalogų ar pakatalogių. Leidžia arba draudžia vykdyti failą, jei jis yra vykdomasis.
List Folder/Read Data	Leidžia arba draudžia peržiūrėti kataloge esančius failus ir pakatalogius (taikoma tik katalogams). Leidžia arba draudžia skaityti duomenis iš failo.
Read Attributes	Leidžia arba draudžia peržiūrėti failo, katalogo atributus (pvz.: Read-only, Hidden)
Read Extented Attributes	Leidžia arba draudžia peržiūrėti failo, katalogo išplėstinius atributus.
Create Files/ Write Data	Leidžia arba draudžia sukurti naujus failus kataloge (taikoma tik katalogams). Leidžia arba draudžia išsaugoti failą, keisti jo turinį.
Create Folders/Append Data	Leidžia arba draudžia kataloge kurti naujus katalogus, tačiau draudžia kurti ir keisti failus.
Write Attributes	Leidžia arba draudžia keisti failo arba katalogo atributus.
Write Extented Attributes	Leidžia arba draudžia keisti failo arba katalogo išplėstinius atributus.
Delete Subfolders and Files	Leidžia arba draudžia šalinti pakatalogius arba failus, jei jiems nėra suteiktas individualus Delete leidimas.
Delete	Leidžia arba draudžia šalinti failą arba katalogą. Jei nesuteiktas šis leidimas, bet uždėtas leidimas Delete Subfolders and Files, tuomet vis tiek bus leista pašalinti objektus.
Read Permissions	Leidžia arba draudžia skaityti failo arba katalogo NTFS leidimus.
Change Permissions	Leidžia arba draudžia keisti failo arba katalogo NTFS leidimus.
Take Ownership	Leidžia arba draudžia perimti failo arba katalogo savininko teises. Savininkui, neatsižvelgiant į bet kokius NTFS leidimus, visuomet yra leista apsaugoti savo failą arba katalogą.

Išplėstinių ir standartinių leidimų palyginimas

Leidimai

Full Control

Modify

Read & Execute

List Folder Contents

Read

Write

Katalogui

Failui

Katalogui

Failui

Katalogui

Failui

Katalogui

Failui

Katalogui

Failui

Katalogui

Failui

Traverse Folder/Execute File

X

X

X

X

X

X

X

List Folder/Read Data

X

X

X

X

X

X

X

X

X

Read Attributes

X

X

X

X

X

X

X

X

X

Read Extented Attributes

X

X

X

X

X

X

X

X

X

Create Files/ Write Data

X

X

X

X

X

X

Create Folders/Append Data

X

X

X

X

X

X

Write Attributes

X

X

X

X

X

X

Write Extented Attributes

X

X

X

X

X

X

Delete Subfolders and Files

X

X

Delete

X

X

X

X

Read Permissions

X

X

X

X

X

X

X

X

X

X

X

Change Permissions

X

X

Take Ownership

X

X

Išplėstinių NTFS leidimų nustatymas

Mygtuku Advanced... iškviečimas detalių leidimų nustatymo langas.

Toliau spaudžiamas mygtukas View/Edit..., atsidarys išplėstinių leidimų nustatymo langas.

Dabar uždedant arba nuimant varneles nustatomi išplėstiniai leidimai. Paspaudus mygtuką Change... galima pakeisti vartotoją arba vartotojų grupę, kuriems nustatomi šie leidimai. Mygtukas Clear All pašalins visas varneles nuo pažymėtų laukelių.
Viską nustačius, spaudžiamas mygtukas OK.

Leidimų paveldėjimas

Būtų labai nepatogu kiekvienam naujai sukurtam failui nustatinėti NTFS leidimus. Kad to nereikėtų daryti, naujai sukurti failai, katalogai paveldi aukštesnio katalogo (kuriame jie yra) leidimus. Pakeitus katalogo leidimus, pasikeis ir visų tame kataloge esančių failų leidimai. NTFS leidimų paveldėjimas žymiai supaprastina NTFS leidimų nustatymą. Kaip įjungti arba išjungti leidimų paveldėjimą skaitykite žemiau.

Svarbu:

NTFS leidimai saugomi kartu su failu.

Jei sukuriamas naujas failas, sukuriami ir nauji leidimai (sukuriant naują failą, kopijuojant, perkeliant iš kito dalmens). Vadinasi perkeliant arba kopijuojant failą iš kito dalmens, jo NTFS leidimai bus prarasti, o nauja failo kopija paveldės katalogo, į kurį buvo patalpintas failas leidimus.

Perkeliant failą tame pačiame dalmenyje, jis nesikeičia, todėl ir NTFS leidimai išliks nepakitę.

Kopijuojant failus iš FAT į NTFS failų sistemą, failai paveldės katalogo į kurį bus talpinami leidimus.

Kopijuojant failus iš NTFS į FAT ar kitą failų sistemą, NTFS leidimai bus prarasti.

Norėdami išsiaiškinti kaip veikia leidimų paveldėjimas, sukursime naują katalogą pavadinimu Bandymas. Iškvietus NTFS leidimų nustatymo langą matyti, kad katalogas paveldėjo aukštesnio katalogo leidimus.

Varnelė ties Allow inheritable permissions... reiškia, kad pasirinkto objekto (šiuo atveju katalogo Bandymas) leidimai yra paveldėti iš katalogo, kuriame šis objektas yra. Be to leidimų nustatymo varnelės pažymėtos pilkšva spalva, kas taip pat reiškia, kad leidimai yra paveldėti.

Dabar panaikinsime šiam katalogui leidimų paveldėjimą. Tam tikslui nuimsime varnelę Allow inheritable permissions...

Nuėmus varnelę atsidarys štai toks langas:

Čia klausia kokius leidimus šiam failui (objektui) nustatyti. Paspaudus mygtuką Copy, šiam objektui bus perkopijuoti aukštesnio katalogo, kuriame šis objektas patalpintas leidimai. Paspaudus Remove, visi leidimai šiam objektui bus pašalinti. Paspaudus Cansel leidimų paveldėjimo panaikinimo operacija bus atšaukta.

Mes nusprendėme panaikinti visus paveldėtus leidimus, nustatysime naujus. Tam tikslui spaudžiame mygtuką Remove. Atsidarys štai toks langas:

Dabar galima įtraukti naujus vartotojus arba jų grupes ir jiems nustatyti naujus leidimus, kurie nebepriklausys nuo aukštesnio katalogo. Šiam katalogui nustatysime standartinį NTFS leidimą Modify visiems autentifikuotiems vartotojams.

Spaudžiame OK.
Štai ir viskas sukūrėme katalogą Bandymas, kuriam nustatėme individualius leidimus, nebepriklausančius nuo aukštesnio katalogo leidimų, t.y. atjungėme leidimų paveldėjimą.

Dabar reikia patikrinti ar viskas gerai veikia. Tam tikslui kataloge Bandymas sukursime naują failą, pagal nutylėjimą jis turėtų paveldėti katalogo Bandymas leidimus.

Patikriname ar paveldėjo:

Taigi naujai sukurti failai paveldės katalogo Bandymas leidimus. Jeigu reikia, leidimų paveldėjimą jiems galima panaikinti čia aprašytu būdu.

Priverstinis leidimų paveldėjimas

Ką daryti jeigu diske pilna katalogų, kuriuose yra atjungtas NTFS leidimų paveldėjimas, t.y. jų leidimai daugiau nebepriklauso nuo disko leidimų, tačiau jums reikia nustatyti visiems katalogams vienodus (tokius pat kaip disko) leidimus. O tokių katalogų keli šimtai. Yra kelios išeitys. Pirma, kiekvienam katalogui individualiai nustatinėti tokius pat NTFS leidimus kaip ir disko. Antra, priversti visus šakninius katalogus su visais pakatalogiais ir failais paveldėti disko leidimus. Pastarasis variantas yra priimtinesnis.

Pabandysime priversti kataloge Bandymas, esančius failus paveldėti šio katalogo leidimus. Tam tikslui kataloge Bandymas sukurtam failui panaikinsime leidimų paveldėjimą ir nustatysime individualius leidimus. O po to vėl priversime paveldėti leidimus iš katalogo.

Panaikiname leidimų paveldėjimą, kataloge Bandymas esančiam failui ir nustatome kokius nors kitokius leidimus:

Dabar priversime kataloge Bandymas, esančius failus paveldėti šio katalogo leidimus. Tam tikslui iškviečiamas NTFS leidimų nustatymo langas šiam katalogui.

Toliau spaudžiamas mygtukas Advanced... ir atsidariusiame lange uždedama varnelė ant Reset permisions on all...

Spaudžiama OK arba Apply. Atsiras pranešimas, perspėjantis apie tai, kad visų kataloge Bandymas esančių failų NTFS leidimai bus pakeisti į šio katalogo leidimus. Tai labai atsakinga operacija. Pavyzdžiui, jei tokiu būdu pakeisti visų WINNT katalogo failų leidimus, tuomet bus visiškai sugadinta Windows sistema.

Taigi spaudžiame OK. Dar kartą OK. Štai ir viskas.

Dabar patikrinkime ar tikrai kataloge Bandymas esantis failas paveldėjo katalogo leidimus.

Kaip matyti - taip! Žinoma jei viską padarėte teisingai.

Nuosavybės teisės

NTFS failų sistemoje vartotojas, sukūręs naują failą arba katalogą, tampa jo savininku. Savininkas su savo failais, katalogais gali daryti viską, t.y. pagal nutylėjimą turi leidimą Full Control. Taigi objekto savininkas, turėdamas Full Control leidimus gali uždrausti prieiti prie savo failų net ir sistemos administratoriui.

Svarbu:

Savininkas su savo nuosavybe gali daryti viską

Savininkas yra tas, kas sukūrė tą failą ar katalogą

Gali būti tik vienas savininkas

Tik vartotojas (o ne grupė) gali būti savininku. Yra tik viena administratorių grupė, kuriai taikoma išimtis, nes administratoriai gali perimti nuosavybės teises.

Galima pasisavinti nuosavybės teises (turint Full Control leidimus), bet negalima jų perduoti kitam vartotojui. Be to nuosavybės teisių pasisavinimas yra žmogaus teisių pažeidimas, todėl perimdamas nuosavybės teises, administratorius tam turi turėti leidimą, turi būti svari priežastis tam.

Nuosavybės teisių perėmimas

Kad perimti objekto nuosavybės teises, būtina turėti Full Control leidimą arba būti administratorių grupėje. Nuosavybės teisių perėmimas atliekamas iškvietus NTFS leidimų nustatymo langą

Toliau spaudžiamas mygtukas Advanced... ir atsidariusiame lange pereinama į Owner kortelę

Dabar, kad pakeisti objekto savininką, reikia pažymėti savo vartotoją (save) ir uždėti varnelę ties Replace owner on ... Spaudžiama OK arba Apply. Jei nustatytas draudimas vartotojui, perėminėjančiam nuosavybės teises į objektą, tuomet dar atsidarys užklausimas:

Spaudžiama Yes

Štai ir viskas. Nuosavybės teisės perimtos.

Praktiniai patarimai

NTFS leidimus nustatinėti reikia ne failams, o katalogams, kuriuose failai talpinami.

Naudokite leidimų paveldėjimą, tai labai palengvina NTFS leidimų nustatymą sudėtiniuose kataloguose (pakatalogiuose).

Nepiktnaudžiaukite Deny draudimu, jis reikalingas tik tuomet, kai vartotojas priklauso kelioms grupėms ir reikia permušti Allow leidimus šiam vartotojui.

Nepiktnaudžiaukite Full Control leidimu, kad vartotojai galėtų tvarkyti dokumentus, jiems pilnai pakanka Modify leidimo.

Nepiktnaudžiaukite Everyone grupe nustatinėdami NTFS leidimus, žymiai geriau vietoje jos naudoti Authenticated Users grupę.

Kontroliniai klausimai

1. Kokios yra NTFS failų sistemos galimybės?

2. Kuo NTFS leidimai skiriasi nuo draudimų?

3. Kas yra nuosavybės teisė?

4. Kuo skiriasi standartiniai leidimai nuo išplėstinių?

5. Kokius leidimus reikia nustatyti katalogui, kad jame būtų galima sukurti naujus failus, tačiau trinti būtų draudžiama?

6. Kuo skiriasi leidimai katalogams ir failams?

7. Ar pasikeis ir kaip pasikeis leidimai perkopijavus failą į kitą vietą tame pačiame NTFS dalmenyje?

8. Paaiškinkite, kas yra NTFS leidimų paveldėjimas?

9. Kodėl rekomenduojama NTFS leidimus nustatinėti ne failams, o katalogams?

Praktinės užduotys

 

1 Užduotis

Sukurkite katalogą BENDRAS, jame sukurkite ne mažiau kaip 3 tekstinius failus su prasmingu tekstu. Padarykite, kad:
- visi vartotojai galėtų peržiūrėti, nusikopijuoti bylas, esančias tame kataloge;
- administratoriai turi galėti viską;
- vartotojas user turi galėti redaguoti bylas šiame kataloge;
- vartotojas mok turi nieko negalėti daryti šiame kataloge.

2 Užduotis

Sukurkite tokius vartotojus: Jonas, Petras, Simas. Įtraukite juos į vartotojų grupę Specialistai.
Tada susikurkite tokį katalogų medį:
D:\VARTOTOJAI
D:\VARTOTOJAI\Jonas
D:\VARTOTOJAI\Petras
D:\VARTOTOJAI\Simas
D:\VARTOTOJAI\Bendras
ir padarykite, kad: kataloge Jonas
– administratoriai galėtų viską;
– vartotojas Jonas turi galėti peržiūrėti, redaguoti, sukurti naują, trinti failus.
kataloge Petras
– administratoriai galėtų viską;
– vartotojas Petras turi galėti peržiūrėti, redaguoti, sukurti naują, trinti failus.
– vartotojai Simas, Jonas turi galėti peržiūrėti failus.
kataloge Simas
– administratoriai galėtų viską;
– vartotojas Simas turi galėti peržiūrėti, redaguoti, sukurti naują, trinti failus.
– vartotojai Petras, Jonas turi galėti peržiūrėti failus.
kataloge Bendras
– administratoriai galėtų viską;
– vartotojas Jonas, Petras, Simas turi galėti peržiūrėti, redaguoti bei sukurti naujus failus.
Pastaba: bet turi negalėti trinti failų.Visi kiti vartotojai turi negalėti nieko.

3 Užduotis

Atlikite šiuos veiksmus:

- sukurkite vartotoją Senis.
- sukurkite katalogą D:\senio.
- jame sukurkite tris bylas: byla1.txt, byla2.txt, byla3.txt.
- nustatykite tokius leidimus, kad vartotojas Senis turėtų "Full Control" teisę, o visi kiti neturėtų jokių teisių.
- ištrinkite vartotoją Senis.
- sukurkite vartotoją Naujas.

Užduotis: padarykite, kad vartotojas Naujas (bet tik šis vartotojas ir niekas kitas) galėtų naudotis bylomis, esančiomis kataloge D:\senio.

 

Nuorodos

http://www.windowsecurity.com/articles/Understanding-Windows-NTFS-Permissions.html

http://www.mcmcse.com/microsoft/guides/ntfs_and_share_permissions.shtml

http://support.microsoft.com/default.aspx?scid=kb;en-us;313398&sd=tech

 

Atsisiųsk