Spis treści

Lista kontroli dostępu

Systemy Windows z rodziny NT posiadają w przeciwieństwie do Windows 9x „prawdziwą” obsługę użytkowników i grup. Zarówno uprawnienia na poziomie udostępniania jak i na poziomie systemu plików NTFS bazują na listach kontroli dostępu (tzw. ACL – Access Control List). Pozwalają one na bardzo szczegółowe zdefiniowanie uprawnień do poszczególnych obiektów (np. plików, katalogów, udostępnień). Ta szczegółowość wynika z dwu rzeczy: 

  • Z dużej ilości rodzajów i ich szczegółowości uprawnień jakie można przypisać szczególnie na poziomie systemu plików NTFS.
  • Dlatego że uprawnienia można nadawać (Zezwalaj) ale i odbierać (Odmów).

Przydatność szczególnie tej drugiej zalety jest zrozumiała po zrozumieniu jak działają uprawnienia. Zaznaczenie pola „Zezwalaj” nadaje użytkownikowi (grupie) dane uprawnienia. Uprawnienia każdego użytkownika do danego obiektu są sumą uprawnień wynikających z praw jaki ma dany użytkownik oraz z praw jakie mają grupy do których on przynależy. Zaznaczenie „odmawiaj” ma zastosowanie wtedy gdyż temu użytkownikowi chcemy zabrać prawo do danego obiektu mimo posiadania przez niego praw wynikających z jego przynależności do danej grupy użytkowników. Czyli ujmując to inaczej jest to nadanie wyjątku („Odmawiaj”) od reguły („Zezwól”). Z kolei uprawnienia do udziału (udostępnienia) sieciowego są wypadkową (różnicą) wynikającą z uprawnień nadanych na poziomie udziału oraz na poziomie systemu plików NTFS. Czyli zawsze zostaną zastosowane bardziej rygorystyczne uprawnienia. Oczywiście jeśli używasz partycji FAT to jedyną metodą nadawania uprawnień są uprawnienia na poziomie udziału. Te akurat cechy nie są niczym szczególnym (znaczy w Samba/Unix jest podobna zasada) ale warto o tym wiedzieć. Kolejną cechą ACL jest to że uprawnienia do danego obiektu mogą być przypisywane dla wielu użytkowników i grup i każdy z nich może mieć inne prawa zupełnie nie powiązane z innymi użytkownikami lub grupami, które mają "cokolwiek wspólnego" z tym obiektem. Uprawnienia udostępniania

Udostępniając zasób możesz każdemu użytkownikowi lub grupie przydzielić uprawnienia:

Pełna kontrola - Jak sama nazwa wskazuje użytkownik z takimi prawami posiada pełną swobodę działania, może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące oraz zmieniać uprawnienia i przejmować na własność.. Nadawaj te uprawnienie ze szczególną ostrożnością. 

Zmiana - Użytkownik posiada te same uprawnienia co Pełna kontrola poza prawem do zmiany uprawnień i przejmowania na własność, czyli może tworzyć nowe pliki, odczytywać, modyfikować, zapisywać i usuwać już istniejące. 

Odczyt - Użytkownik posiada prawo do odczytywania plików (w tym ich uruchamiania), nie może tworzyć nowych plików i usuwać ani modyfikować już istniejących.


Uprawnienia systemu plików NTFS

zabezpieczenia

Uprawnienia systemu plików NTFS pozwalają w bardzo precyzyjny sposób określić prawa do plików i katalogów w systemie Windows. Ze względu na swą precyzje a co za tym ilość możliwych uprawnień zostały one pogrupowane w celu szybkiej dostępu. I właśnie te grupy uprawnień ujrzymy po wyborze w menu kontekstowego pliku lub katalogu „Właściwości” i następnie zakładki „Zabezpieczenia” (jak na obrazku powyżej. Oczywiście jeśli potrzebujemy precyzyjnie określić co komu wolno lub nie, wybierzemy tutaj „Zaawansowane”.

Uprawnienia do folderów

Uprawnienia do folderów pozwalają na kontrolę dostępu do poszczególnych folderów oraz do znajdujących się w nich plików i podfolderów. Poniższa tabela zawiera listę standardowych uprawnień do folderów wraz z opisem dostępu. 

Wyświetlanie zawartości folderu (List Folder Contents) - Możliwe jest przeglądanie nazw plików i przenoszenie ich do podfolderów znajdujących się w danym folderze 

Odczyt (Read) - To samo co Wyświetlanie zawartości folderu oraz dodatkowo prawo do przeglądania informacji dotyczących właściciela danego folderu, jego uprawnień oraz atrybutów (Read-Only, Hidden, System oraz Archive) zawartości plików i ich uruchamiania 

Zapis (Write) - Możliwe jest tworzenie nowych plików i podfolderów w danych folderze, zmiana atrybutów folderu oraz podgląd informacji o dotyczących jego właściciela i uprawnień. 

Zapis i Wykonanie (Read & Execute) - Pozwala wykonywać wszystkie czynności dozwolone dla uprawnień Odczyt oraz Wyświetlanie zawartości folderu oraz dodatkowo przemieszczać się między folderami w celu odnalezienia innych plików, nawet jeśli użytkownik nie ma uprawnień do tych folderów. 

Modyfikacja (Modify) - Możliwe jest wykonanie wszystkich czynności dopuszczalnych dla uprawnień Zapis oraz Zapis i Wykonanie oraz usunięcie danego folderu. 

Pełna kontrola (Full Control) - Uprawnienie to pozwala na zmianę uprawnień, przejmowanie na własność danego folderu, kasowanie plików oraz podfolderów oraz wykonywać wszystkie akcje dopuszczalne dla pozostałych uprawnień do folderów dla systemu plików NTFS.


Uprawnienia do plików

Uprawnienia do plików pozwalają kontrolować dostęp do plików.

Odczyt (Read) - Prawo to zezwala użytkownikowi na odczyt zawartości plików, podgląd jego atrybutów oraz uprawnień, a ponadto identyfikację właściciela. 

Zapis (Write) - Uprawnienie to pozwala na nadpisanie pliku, zmianę jego atrybutów, podgląd uprawnień dla tego pliku oraz identyfikację właściciela tego pliku. 

Zapis i Wykonanie (Read and Execute) - Pozwala na uruchamianie programów oraz dodatkowo wykonywanie wszystkich czynności dopuszczalnych dla prawa Odczyt. 

Modyfikacja (Modify) - Prawo to zezwala na modyfikację i usunięcie pliku, a także na wszystkie czynności, które można wykonywać dzięki prawom Zapis oraz Zapis i Wykonanie 

Pełna kontrola (Full Control) - Prawo to pozwala wykonywać wszystkie akcje dopuszczalne dla pozostałych uprawnień oraz dodatkowo na zmianę uprawnień oraz przejęcie pliku na własność Warto pamiętać, że dla partycji sformatowanych z użyciem NTFS do głównego katalogu przypisywane jest uprawnienie Pełna kontrola dla grupy Wszyscy. Domyślnie więc, grupa Wszyscy ma pełny dostęp do wszystkich folderów oraz plików, tworzonych w katalogu głównym. Aby dostęp do plików i folderów mieli tylko autoryzowani użytkownicy, należy zmienić domyślne uprawnienia do tworzonych plików i folderów.

Specjalne uprawnienia

Standardowe uprawnienia NTFS dają użytkownikom systemu Windows 2000/XP wystarczające sposoby do kontroli i zabezpieczania dostępu do zasobów. Może jedna wystąpić sytuacja, kiedy administrator systemu nie będzie w stanie określić poziomu dostępu do zasobów, jakiego wymagają użytkownicy. W takim przypadku należy skorzystać ze specjalnych uprawnień systemu NTFS. W systemie Windows 2000 dostępnych jest 13 specjalnych uprawnień. Odpowiednia kombinacja uprawnień specjalnych jest odpowiednikiem uprawnień standardowych. Przykładowo, uprawnienie standardowe Odczyt jest kombinacją następujących uprawnień specjalnych: Odczyt danych, Odczyt uprawnień, Odczyt atrybutów oraz Odczyt rozszerzonych atrybutów.

  • Do uprawnień specjalnych zaliczamy następujące uprawnienia:
  • Przechodzenie przez folder/Wykonywanie pliku
  • Wyświetlenie zawartości folderu/Odczyt danych
  • Odczyt atrybutów
  • Odczyt rozszerzonych atrybutów
  • Tworzenie plików/Zapis danych
  • Tworzenie folderów/Dołączanie danych
  • Zapis atrybutów
  • Zapis rozszerzonych atrybutów
  • Usuwanie podfolderów i plików
  • Usuwanie
  • Odczyt uprawnień
  • Zmiana uprawnień
  • Przejęcie na własność

Dwa z nich są szczególnie przydatne przy zarządzaniem dostępem do zasobów. Są to: 

Zmiana uprawnień - uprawnienie to umożliwia zmianę uprawnień do folderu lub pliku przez użytkownika. 

Przejęcie na własność - umożliwia ono użytkownikowi stanie się właścicielem danego pliku lub folderu. Jeżeli przypisujemy specjalne uprawnienia do folderu, możemy wybrać czy uprawnienia będą odziedziczone przez podfoldery i pliki znajdujące się w tym folderze.


Lista kontroli dostępu ACL

NTFS wraz z każdym plikiem i folderem przechowuje na dysku listę kontroli dostęp (ACL – Access Control List). Lista ta zawiera spis wszystkich kont użytkowników i grup, które mają nadany dostęp do plików i folderów, jak również typ dostępu, jaki został im nadany. Aby użytkownik mógł skorzystać z danego pliku lub folderu na liście ACL musi istnieć wpis zwany Access Control Entry (ACE), dla niego lub grupy, do której on należy. Wpis ten musi pozwalać na rodzaj dostępu, który jest żądany (np. odczyt) dla użytkownika, który chce ten dostęp uzyskać. Jeśli wpis ACE nie występuje na liście ACL, wówczas użytkownik nie będzie miał dostępu do danego zasobu.