Računari koji koriste Windows operativni sistem mogu raditi sa različitim sistemima datoteka kao što su FAT32 i NTFS. Ne ulazeći u sličnosti, možemo reći jednu stvar da se razlikuju u glavnoj stvari - NTFS sistem datoteka vam omogućava da konfigurirate sigurnosne postavke za svaku datoteku ili mapu (direktorij). One. Za svaku datoteku ili folder, sistem datoteka NTFS pohranjuje takozvane ACL-ove (Liste kontrole pristupa), koje navode sve korisnike i grupe koje imaju određena prava pristupa na ovaj fajl ili folder. FAT32 sistem datoteka nema ovu mogućnost.

U sistemu datoteka NTFS, svaka datoteka ili folder može imati sljedeća sigurnosna prava:

• Reading— Omogućava pretraživanje foldera i pregled liste datoteka i podfoldera, pregled i pristup sadržaju datoteka;
• Zapis— Omogućava dodavanje datoteka i podfoldera, pisanje podataka u datoteku;
• Pročitajte i izvršite— Omogućava pregledavanje foldera i pregled liste datoteka i podfoldera, omogućava pregled i pristup sadržaju datoteke, kao i pokretanje izvršne datoteke;
• Lista sadržaja foldera— Omogućava pretraživanje foldera i pregled samo liste datoteka i podfoldera. Ova dozvola ne omogućava pristup sadržaju datoteke!;
• Promjena— Omogućava pregled sadržaja i kreiranje datoteka i podfoldera, brisanje foldera, čitanje i upisivanje podataka u datoteku, brisanje datoteke;
• Potpuni pristup- Omogućava pregled sadržaja, kao i kreiranje, modificiranje i brisanje datoteka i podmapa, čitanje i pisanje podataka, te modificiranje i brisanje fajla

Gore navedena prava su osnovna. Osnovna prava se sastoje od posebnih prava. Specifična prava su detaljnija prava iz kojih se formiraju osnovna prava. Korištenje posebnih prava daje vam veliku fleksibilnost prilikom postavljanja prava pristupa.

Lista posebnih prava pristupa datotekama i folderima:

• Pregledajte foldere/izvršite datoteke— Omogućava navigaciju kroz strukturu foldera u potrazi za drugim datotekama ili folderima, izvršavanje datoteka;
• Sadržaj fascikle/Podaci za čitanje— Omogućava pregled imena datoteka ili podfoldera sadržanih u fascikli, čitanje podataka iz datoteke;
• Atributi čitanja— Omogućava pregled atributa datoteke ili fascikle kao što su „Samo za čitanje“ i „Skriveno“;
• Čitanje dodatnih atributa— Omogućava pregled dodatnih atributa datoteke ili fascikle;
• Kreiranje datoteka/Pisanje podataka— Omogućava kreiranje fajlova u fascikli (odnosi se samo na fascikle), unošenje izmena u fajl i pisanje preko postojećeg sadržaja (odnosi se samo na fajlove);
• Kreiranje foldera / Dodavanje podataka— Omogućava kreiranje fascikli unutar fascikle (odnosi se samo na fascikle), dodavanje podataka na kraj datoteke, ali ne menjanje, brisanje ili zamenu postojećih podataka (primenjivo samo na fajlove);
• Atributi snimanja— Dozvoljava ili odbija promjenu atributa datoteke ili mape kao što su „Samo za čitanje“ i „Skriveno“;
• Pisanje dodatnih atributa— Dozvoljava ili zabranjuje promjenu dodatnih atributa datoteke ili mape;
• Brisanje podfoldera i fajlova— Omogućava brisanje podfoldera i datoteka čak i ako ne postoji dozvola za brisanje (odnosi se samo na fascikle);
• Uklanjanje— Omogućava brisanje datoteke ili fascikle. Ako datoteka ili mapa nemaju dozvolu za brisanje, objekt se i dalje može izbrisati ako roditeljski folder ima dozvolu za brisanje podmapa i datoteka;
• Dozvole za čitanje- Omogućava dozvole za pristup datoteci ili fascikli kao što su “Puna kontrola”, “Čitanje” i “Pisanje”;
• Promjena dozvola— Omogućava vam da promijenite dozvole za pristup datoteci ili fascikli, kao što su “Puna kontrola”, “Čitanje” i “Pisanje”;
• Promjena vlasnika— Omogućava vam da preuzmete vlasništvo nad datotekom ili fasciklom;
• Sinhronizacija- Omogućava različitim nitima da čekaju na datoteke ili mape i da ih sinhroniziraju s drugim nitima koje ih mogu zauzeti. Ova dozvola se odnosi samo na programe koji se pokreću u višenitnom načinu rada s više procesa;

!!!Sva osnovna i posebna prava su i dozvoljena i zabrana.

Sve dozvole za datoteke i mape podijeljene su u dvije vrste: eksplicitne i naslijeđene. Mehanizam nasljeđivanja uključuje automatski prijenos nečega sa roditeljskog objekta na podređeni objekt. U sistemu datoteka, to znači da bilo koji fajl ili folder može naslijediti svoja prava od svoje roditeljske mape. Ovo je vrlo zgodan mehanizam koji eliminira potrebu za ponovnom dodjelom eksplicitnih prava svima kreiranih fajlova i foldere. Zamislite da imate nekoliko hiljada fajlova i foldera na nekom disku, kako da im svima podelite prava pristupa, da sednete i dodelite ih svakom od njih? br. Ovdje je na djelu mehanizam nasljeđivanja. Napravili smo fasciklu u korenu diska, fascikla je automatski dobila potpuno ista prava kao i koren diska. Promijenjene dozvole za novokreirani folder. Zatim, unutar kreiranog foldera, kreirali su još jedan podfolder. Ovaj novokreirani podfolder će imati prava naslijeđena od nadređenog foldera, itd. itd.

Rezultat primjene eksplicitnih i naslijeđenih prava bit će stvarna prava na određenu mapu ili datoteku. Postoji mnogo zamki. Na primjer, imate mapu u kojoj dopuštate korisniku "Vasya" da izbriše datoteke. Onda se sjetite da u ovoj mapi postoji jedna vrlo važna datoteka koju Vasya ni pod kojim okolnostima ne bi trebao izbrisati. Postavljate eksplicitnu zabranu na važan fajl (pravo posebne zabrane "Izbriši"). Čini se da je posao obavljen, datoteka je jasno zaštićena od brisanja. I Vasya mirno ulazi u mapu i briše ovu super zaštićenu datoteku. Zašto? Zato što Vasya ima prava za brisanje iz nadređene mape, koja u ovom slučaju imaju prioritet.

Pokušajte da ne koristite dodelu prava direktno datotekama;

!!! Pokušajte dodijeliti prava samo grupama, ovo uvelike pojednostavljuje administraciju. Microsoft ne preporučuje dodelu prava određenim korisnicima. Ne zaboravite da grupa može uključivati ​​ne samo korisnike, već i druge grupe.

Na primjer. Ako je računar uključen u domenu, tada se grupa “Korisnici domene” automatski dodaje svojoj lokalnoj grupi “Korisnici”, a grupa “Administratori domene” se automatski dodaje lokalnoj grupi “Administratori” i u skladu s tim se dodjeljuje bilo koji prava na folder grupi lokalnih korisnika, automatski dodjeljujete prava svim korisnicima domene.

Nemojte se obeshrabriti ako sve gore opisano nije odmah jasno. Primjeri i samostalan rad brzo će popraviti situaciju!

Hajdemo na pojedinosti.

Pokazat ću sve primjere primjerom Windows prozori XP. U Windowsima 7 i novijim, suština je ostala identična, samo je bilo malo više prozora.

Dakle, da biste dodijelili ili promijenili prava na fajl ili paket, potrebno je da kliknete desnim tasterom miša potreban fajl ili folder izaberite stavku menija "Svojstva"

Treba da se otvori prozor sa obeleživačem. "sigurnost"

Ako nema takve oznake, učinite sljedeće. Pokrenite Explorer, a zatim otvorite meni "Usluga"—"Svojstva foldera..."

U prozoru koji se otvori idite na karticu "Prikaz" i poništite izbor opcije "Koristite jednostavno dijeljenje datoteka (preporučeno)"

To je to, sada su vam sve nekretnine dostupne sistem datoteka NTFS.

Vraćanje na bookmark "sigurnost".

U prozoru koji se otvori dostupan nam je veliki broj informacija. Na vrhu je lista "Grupe i korisnici:", koji navodi sve korisnike i grupe koji imaju prava pristupa ovoj fascikli (strelica 1). Donja lista prikazuje dozvole za odabranog korisnika/grupu (strelica 2). U ovom slučaju to je korisnik SISTEM. IN ovu listu dozvole, osnovne dozvole su vidljive. Imajte na umu da u koloni "Dozvoli" kvačice su izblijedjele u boji i ne mogu se uređivati. Ovo ukazuje da su ova prava naslijeđena od nadređenog foldera. Još jednom, u ovom slučaju sva prava korisnika SYSTEM na folder "radna" potpuno su naslijeđeni od roditeljskog foldera, a korisnik SYSTEM ima sva prava ( "Potpuni pristup")

Isticanje na listi željenu grupu ili korisnika, možemo pogledati osnovna prava za tu grupu ili korisnika. Odabirom korisnika "Gost korisnik ( [email protected])» možete vidjeti da ima sva prava eksplicitna

A evo i grupe "Korisnici (KAV-VM1\Korisnici" ima kombinirana prava, neka od njih su naslijeđena iz roditeljskog foldera (sivi kvadrati nasuprot "Pročitaj i izvrši", "Popis sadržaja foldera", "čitanje"), a dio je utvrđen eksplicitno - to je pravo "promjena" I "Rekord"

!!!Pažnja. Obratite pažnju na imena korisnika i grupa. Grupna ili korisnička pripadnost je navedena u zagradama. Grupe i korisnici mogu biti lokalni, tj. kreiran direktno na ovom računaru, ili može biti domen. U ovom slučaju grupa "Administratori" lokalni, pošto unos u zagradama označava naziv računara KAV-VM1, a iza kose crte je naziv same grupe. Naprotiv, korisnik "Gost korisnik" je korisnik domene btw.by, to je naznačeno zapisom punog imena [email protected]

Često, kada gledate ili mijenjate prava, možete se ograničiti na prozor s osnovnim pravima, ali ponekad to nije dovoljno. Zatim možete otvoriti prozor u kojem možete promijeniti određene dozvole, promijeniti vlasnika ili pogledati trenutne dozvole. Kako to učiniti? Kliknite na dugme "dodatno". Ovaj prozor se otvara

U ovom prozoru u tabeli "Elementi dozvole" navodi sve korisnike koji imaju prava na ovaj folder. Na isti način kao i za osnovne dozvole, ističemo željenog korisnika ili grupu i pritisnite dugme "promjena". Otvara se prozor koji prikazuje sve posebne dozvole za odabranog korisnika ili grupu

Slično osnovnim dozvolama, posebne dozvole naslijeđene iz roditeljskog foldera će izgledati izblijedjelo sivo i neće se moći uređivati.

Kao što ste možda već primijetili, postoji nekoliko linija u prozoru posebnih dozvola za neke korisnike ili grupe.


To je zato što za jednog korisnika ili grupu može postojati razne vrste prava: izričita i naslijeđena, koja dozvoljavaju ili zabranjuju, razlikuju se po vrsti nasljeđivanja. U ovom slučaju, prava čitanja za grupu Korisnici su naslijeđena iz nadređenog foldera, a prava uređivanja se dodaju eksplicitno.

Primjeri ustupanja prava.

!!! Svi primjeri će napredovati sa sve većom složenošću. Pročitajte ih i razumite istim redoslijedom kako se pojavljuju u tekstu. Izostaviću slične radnje u narednim primjerima kako bih smanjio volumen teksta. 🙂

Primjer 1: Dodjela pristupa samo za čitanje folderu za određenu lokalnu sigurnosnu grupu.

Prvo, napravimo lokalnu grupu, koja će uključivati ​​cijelu listu korisnika koji su nam potrebni. Moguće je i bez grupe, ali tada ćete za svakog korisnika morati posebno konfigurirati prava, a svaki put kada budete trebali da date prava novoj osobi, sve operacije ćete morati ponoviti. A ako dodijelite prava lokalnoj grupi, tada će postavljanje nove osobe zahtijevati samo jednu radnju - uključujući ovu osobu u lokalnu grupu. Kako kreirati lokalnu sigurnosnu grupu možete pronaći u članku “Konfiguriranje lokalnih sigurnosnih grupa”.

Dakle. Stvorili smo lokalnu sigurnosnu grupu pod nazivom "Kolege za čitanje"


kojoj smo dodali sve potrebne korisnike.

Sada postavljam prava pristupa folderu. U ovom primjeru dat ću prava pristupa kreiranoj grupi "Da kolege čitaju" u folder "fotografija".

Kliknite desnim tasterom miša na fasciklu "FOTO" i izaberite stavku menija "Svojstva", idite na bookmark "sigurnost".

U otvorenom obeleživaču "sigurnost" prikazuju se trenutne dozvole foldera "FOTO". Isticanjem grupa i korisnika na listi, možete vidjeti da su prava ovog foldera naslijeđena od nadređenog foldera (sive kvačice u koloni "Dozvoli"). U ovoj situaciji, ne želim da bilo ko osim novokreirane grupe ima pristup fascikli "FOTO".

Stoga moram ukloniti nasljeđivanje prava i ukloniti nepotrebne korisnike i grupe sa liste. Pritisnem dugme "dodatno". U prozoru koji se otvori,


Poništavam potvrdni okvir "Naslijediti dozvole primjenjive na podređene objekte od nadređenog objekta, dodajući ih onima koje su eksplicitno specificirane u ovom prozoru." . Ovo će otvoriti prozor u kojem mogu izabrati šta da radim sa trenutno nasleđenim pravima.

U većini slučajeva preporučujem da kliknete na dugme ovdje "kopija", jer ako izaberete "Izbriši", tada lista prava postaje prazna, a vi zapravo možete sebi oduzeti prava. Da, nemojte se iznenaditi, to je vrlo lako učiniti. I ako niste administrator na svom računaru, ili niste korisnik grupe "arhivski operateri", tada će vam biti nemoguće vratiti svoja prava. Situacija je slična kao kod vrata sa automatskom bravom koja zatvarate dok ključeve ostavljate unutra. Zato je bolje uvijek pritisnuti dugme "kopija", a zatim izbrišite ono što je nepotrebno.

Nakon što sam kliknuo "Kopija", Ponovo se vraćam na prethodni prozor, samo ovaj put sa poništenim potvrdnim okvirom.

pritisnem "OK" i vratite se na prozor osnovnih prava. Sva prava su postala dostupna za uređivanje. Moram ostaviti dozvole za lokalnu grupu "Administratori" i korisnika SISTEM, i izbrišite ostatak. Odaberem nepotrebne korisnike i grupe jednu po jednu i kliknem na dugme "Izbriši".

Kao rezultat, dobijam ovu sliku.

Sada sve što treba da uradim je da dodam grupu "Da kolege čitaju" i dodijelite dozvole za čitanje ovoj grupi.

Pritisnem dugme "Dodaj", a u standardnom prozoru za odabir biram lokalnu grupu "Da kolege čitaju". Kako raditi s prozorom za odabir detaljno je opisano u članku.

Kao rezultat svih radnji, dodao sam grupu “Kolege za čitanje” na listu osnovnih prava, a prava za ovu grupu su automatski postavljena "Pročitaj i izvrši", "Popis sadržaja foldera", "čitanje".

Sve što treba da uradite je da pritisnete dugme "OK" i prava su dodijeljena. Sada svaki korisnik koji pripada lokalnoj sigurnosnoj grupi "Čitanje za kolege" moći će pročitati cijeli sadržaj foldera "FOTO".

Primjer 2: Davanje ličnog pristupa korisnicima njihovim podfolderima u folderu.

Ova situacija je takođe uobičajena u praksi. Na primjer, recimo da imate folder za nove skenirane dokumente. U ovoj fascikli svaki korisnik ima svoju zasebnu podmapu. Nakon skeniranja, korisnik preuzima dokument iz svoje podfoldere. Zadatak je da se dodijele prava tako da svaki korisnik vidi sadržaj samo svoje podmape i ne može pristupiti podfolderu kolege.

Za ovaj primjer Malo ću preformulisati zadatak. Pretpostavimo da imamo zajednički folder "FOTO", u kojem postoji podmapa za svakog korisnika. Neophodno je konfigurisati prava tako da korisnik ima sva prava u svom podfolderu, a podfolderi drugih korisnika su mu nedostupni.

Za ovo podešavanje u potpunosti ponavljam sve korake iz prvog primjera. Kao rezultat ponavljanja, dobijam prava za cijelu grupu "Da kolege čitaju" za čitanje u sve podfoldere. Ali moj zadatak je da korisniku učinim vidljivom samo "moju" podmapu. Stoga u prozoru osnovnih prava kliknem na dugme "dodatno"

i idi na prozor posebnih prava, u kojem biram grupu "Da kolege čitaju" i pritisnite dugme "promjena"

U prozoru koji se otvori mijenjam pravila nasljeđivanja, umjesto vrijednosti u polju "Primijeniti:" Ja biram vrijednost "Samo za ovaj folder".

Ovo je najključnija tačka ovog primjera. Značenje "Samo za ovaj folder" uzrokuje dozvole za čitanje za grupu "Da kolege čitaju" primijeniti samo na korijen foldera "FOTO", ali ne u podmape. Tako će svaki korisnik moći da dođe do svog foldera, ali neće moći da pogleda u susedni, nema pravo da vidi podmape. Ako uopće ne date ovo pravo grupi, korisnici uopće neće moći ući u svoje podmape. Sistem datoteka ih neće dozvoliti čak ni u folder "FOTO".

Kao rezultat, korisnici će moći pristupiti folderu "FOTO" ali neće moći ići dalje u podfoldere!

U prozoru sa posebnim pravima kliknite "OK" i idite na prethodni prozor, sada u koloni "Prijavi se na" naspram grupe "Da kolege čitaju" vrijedan vrijednosti "Samo za ovaj folder".

Kliknite u svim prozorima "OK" i izlazimo.

Sve. Sada ostaje samo da konfigurišete lična prava za svaki podfolder. Ovo će se morati uraditi za svaku podmapu, prava su lična za svakog korisnika.

Već ste obavili sve potrebne radnje u prvom primjeru, hajde da ponovimo ono što smo pokrili :)

U podfolderu "Korisnik1" Kliknem desnim tasterom miša i izaberem stavku menija "Svojstva", idite na bookmark "sigurnost". Pritisnem dugme "Dodaj"

i u standardnom prozoru za odabir biram korisnika domene sa imenom "Korisnik1".

Sve što preostaje je da označite kućicu za pravu dozvolu "promjena". U ovom slučaju, potvrdni okvir za pravo dozvoljavanja "Rekord"će se instalirati automatski.

Kliknite "OK". Hajdemo van. Ostaje ponoviti slične korake za sve podmape.

Primer 3. Omogućavanje korisniku ličnog pristupa za pisanje u njegovu podfolderu, uz istovremeno zabranu modifikacije ili brisanja.

Razumijem da zvuči teško, ali pokušaću da objasnim. Ja ovu vrstu pristupa nazivam bravom. U svakodnevnom životu imamo sličnu situaciju sa običnim po poštanskom sandučetu, u koje ubacujemo papirna slova. One. Možete baciti pismo u kutiju, ali ga ne možete izvaditi iz kutije. U informatici, ovo može biti korisno u situaciji kada vam neko napiše izvještaj u fascikli. One. fajl je napisao korisnik, ali tada ovaj korisnik više ne može ništa da radi sa ovom datotekom. Na ovaj način možete biti sigurni da kreator više neće moći mijenjati ili brisati dostavljeni izvještaj.

Kao iu prethodnom primjeru, ponavljamo sve korake, osim što ne damo odmah korisniku puna prava u vašu fasciklu, u početku u osnovnim dozvolama dajemo samo pristup za čitanje i pritisnite dugme "dodatno"

U prozoru koji se otvori odaberite "Korisnik1" i pritisnite dugme "promjena"

U prozoru koji se otvori vidimo standardne dozvole za čitanje

Da biste korisniku dali pravo da kreira fajlove, postavite dozvolu na desno “Kreiranje fajlova/pisanje podataka”, i na desnoj strani "Brisanje podfoldera i fajlova" I "Izbriši" stavili smo zabranu. Nasljedstvo ostavljamo kao standard "Za ovaj folder, njegove podmape i fajlove".

Nakon pritiska na dugme "OK" i vraćajući se na prethodni prozor, možete vidjeti značajne promjene. Umjesto jednog unosa za "Korisnik1" pojavila su se dva.

To je zato što su uspostavljene dvije vrste prava, jedna zabranjujuća, prva su na listi, druga je dopuštena, druga su na listi. Pošto su posebna prava nestandardna, u koloni "Dozvola" vrijedan vrijednosti "poseban". Kada se pritisne dugme "OK" Pojavljuje se prozor na koji Windows upozorava da postoje zabranjujuća prava i da imaju veći prioritet. Prevedeno, to znači ista situacija sa samozatvarajućim vratima, čiji se ključevi nalaze unutra. Opisao sam sličnu situaciju u drugom primjeru.

Sve. Prava su određena. Sada "Korisnik1" moći će upisati bilo koju datoteku u svoju mapu, otvoriti je, ali neće moći promijeniti ili izbrisati.

Ali šta je sa potpunom analogijom sa pravim poštanskim sandučićem?

Da biste spriječili korisnika da otvori ili kopira snimljenu datoteku, morate učiniti sljedeće. Opet otvaramo dozvoljavajući posebne dozvole za "Korisnik1" i na terenu "Primijeniti:" promijenite vrijednost u "Samo za ovaj folder"

U tom slučaju korisnik nema pravo čitanja ili kopiranja datoteke.

Sve. Sada je analogija s fizičkim poštanskim sandučićem skoro potpuna. On će moći vidjeti samo nazive datoteka, njihovu veličinu, atribute, ali neće moći vidjeti sam fajl.

Pogledajte trenutna prava.

Odmah želim reći da je mogućnost pregleda trenutnih prava za mapu ili datoteku potpuna fikcija. Po mom mišljenju, takvi alati bi trebali pružiti zagarantovane informacije. Ovdje to nije slučaj. I sam Microsoft to priznaje ovaj alat ne uzima u obzir mnoge faktore koji utiču na rezultirajuća prava, kao što su uslovi ulaska. Stoga korištenje takvog alata samo sebe obmanjuje u pogledu stvarnih prava.

Slučaj opisan na samom početku članka, sa zabranom brisanja fajla iz fascikle, u ovom slučaju je vrlo elokventan. Ako simulirate sličnu situaciju i pogledate prava datoteke zaštićene od brisanja, vidjet ćete da su dozvole za brisanje datoteke zabranjene. Međutim, brisanje ove datoteke nije teško. Zašto je Microsoft to uradio, ne znam.

Ako ipak odlučite da pogledate trenutna prava, onda da biste to učinili morate kliknuti na dugme u prozoru osnovnih prava "dodatno", a u prozoru sa posebnim pravima idite na karticu "Važeće dozvole".

Zatim morate pritisnuti dugme "odaberi" i u standardnom prozoru za odabir odaberite željenog korisnika ili grupu.

Kada odaberete, možete vidjeti "približne" važeće dozvole.

U zaključku, želim da kažem da je tema prava na NTFS sistem datoteka veoma opsežna; Stoga, ako imate pitanja, postavite ih u komentarima na ovaj članak. Pokušaću da im odgovorim.

Zašto u većini slučajeva organizaciji treba server? Active Directory, RDS, print server i gomila drugih malih i velikih servisa. Najvidljivija uloga svima je možda server datoteka. Ljudi s njim rade, za razliku od drugih uloga, najsvjesnije. Pamte u kojoj fascikli se šta nalazi, gde su skenirani dokumenti, gde su njihovi izveštaji, gde su faksovi, gde je opšti folder u kome je sve moguće, gde je pristup samo jednom od odeljenja, gde drugom, a o nekima nemaju pojma

Želim da pričam o pristupu mrežnim i lokalnim fasciklama na serveru.

Pristup zajedničkim resursima na serveru se, kao što je svima dobro poznato, vrši pomoću SMB 3.0 protokola. Mrežni pristup fasciklama može biti ograničen SMB i NTFS dozvolama. SMB dozvole funkcioniraju samo kada pristupate dijeljenoj mapi preko mreže i nemaju nikakav utjecaj na dostupnost određene mape lokalno. NTFS dozvole rade i preko mreže i lokalno, pružajući mnogo više fleksibilnosti u kreiranju prava pristupa. SMB i NTFS dozvole ne rade odvojeno, već se dopunjuju, po principu najvećeg ograničenja prava.

Da biste podijelili fasciklu u Server 2012 u grupi SMB Share Cmdlets, pojavila se cmdlet New-SMBShare. Koristeći ovaj cmdlet kao primjer, vidjet ćemo sve opcije dostupne prilikom kreiranja dijeljene mape, osim konfiguracija klastera (ovo je posebna velika tema).

Kreiranje novog dijeljenog foldera izgleda vrlo jednostavno:
net share homefolder=s:\ivanivanov /grant:"admin",full /grant:"folderowner",change /grant:"manager",čitaj /cache:programs /remark:"Ivanov" ili
new-smbshare homefolder s:\ivanivanov –programi u načinu keširanja –admin pun pristup –promjena vlasnika foldera za pristup –menadžer pristupa čitanju –nema pristup svim –fasciklanumeracijanačin pristupa baziran na -opis "Ivanov"

Hajde da shvatimo:

-ime je naziv dijeljenog foldera na mreži, koji se može razlikovati od naziva foldera na lokalnom računaru. Ima ograničenje od 80 znakova i ne može koristiti nazive pipe i mailslot.

Putanja je put do lokalne mape koju treba dijeliti. Putanja mora biti potpuna, od korijena diska.

Cachingmode postavljanje autonomije datoteka u zajedničkom folderu.

Šta je vanmrežni fajl?

Vanmrežna datoteka je kopija datoteke koja se nalazi na serveru. Ova kopija se nalazi na vašem lokalnom računaru i omogućava vam da radite sa datotekom bez povezivanja na server. Kada je povezan, promjene se sinhroniziraju. Sinhronizirano u oba smjera: ako ste izvršili promjene u vašoj vanmrežnoj datoteci, sljedeći put kada se povežete, datoteka na serveru će biti promijenjena; ako je neko napravio promjene na serveru, tada će se promijeniti vaša lokalna kopija. Ako se promjene dogode u obje datoteke odjednom, dobićemo grešku pri sinhronizaciji i morat ćemo odabrati koju verziju da sačuvamo. Ovu funkciju ne bih koristio za saradnju, ali ako kreiramo loptu za svakog korisnika i ograničimo pristup drugima na čitanje, bez mogućnosti pisanja, dobijamo sljedeće prednosti:

• Rad ne zavisi od mreže - prekidač može da pregori, server se može ponovo pokrenuti, žica se može pokvariti ili pristupna tačka može da se isključi - korisnik radi sa svojom kopijom ne primetivši da ste tamo imali neku nesreću, kada restauriranje mrežna veza njegov rad ide na server.
• Korisnik može raditi bilo gdje: na selu, u autobusu, u avionu - na onim mjestima gdje je VPN veza iz nekog razloga nedostupna.
• Čak i ako korisnik radi preko VPN-a, ali je veza ili vrlo spora ili stalno ispada, lakše je raditi s offline kopijom i sinkronizirati promjene nego pokušati nešto učiniti na serveru.
• Korisnik može izabrati šta i kada će sinhronizovati, ako mu se pruži prilika.

Uzima sljedeće vrijednosti:

• nema – fajlovi nisu dostupni van mreže, za pristup fajlovima je potreban pristup serveru
• priručnik – korisnici sami biraju fajlove koji će biti dostupni van mreže
• programi – sve u folderu je dostupno van mreže (dokumenti i programi (datoteke sa ekstenzijom *.exe, *.dll))
• dokumenti – dokumenti su dostupni, program nije dostupan
• branchcache – keširanje se događa na BranchCache serverima umjesto na korisnikovom lokalnom računaru, korisnici sami biraju vanmrežne datoteke

-noaccess, -readaccess, -changeaccess, -fullaccess dozvole javni pristup(dozvole za dijeljenje).

Ove dozvole imaju jednu veliku prednost - vrlo su jednostavne.

Sekretar bez pristupa, stjuard – sekretar i domar nemaju šta raditi u zajedničkim fasciklama računovodstva
-readaccess auditor – revizor koji provjerava rad računovodstvene službe može vidjeti nazive datoteka i poddirektorija u zajedničkom folderu, otvoriti fajlove za čitanje i pokrenuti programe.
-changeaccess accountant – računovođe u svom zajedničkom folderu mogu kreirati datoteke i podfoldere, mijenjati postojeće datoteke, brisanje datoteka i podfoldera
-fullaccess admin – puni pristup je readaccess+changeaccess plus mogućnost promjene dozvola.

Kada kreirate dijeljeni folder, automatski se primjenjuje najrestriktivnije pravilo - grupi Svi dobivaju dozvolu za čitanje.

Ove dozvole se primjenjuju samo na korisnike koji imaju pristup dijeljenoj mapi preko mreže. Prilikom lokalnog prijavljivanja, na primjer u slučaju terminalskog servera, i sekretar i menadžer nabavke će vidjeti sve što žele u računovodstvu. Ovo je popravljeno NTFS dozvolama. SMB dozvole se primjenjuju na sve datoteke i mape na dijeljenju. Više fino podešavanje Prava pristupa su takođe obezbeđena NTFS dozvolama.

Concurrentuserlimit Koristeći ovaj parametar, možete ograničiti maksimalan broj veza na zajednički folder. U principu, može se koristiti i za ograničavanje pristupa fascikli, dopunjujući NTFS dozvole, ali samo trebate biti sigurni u potreban broj veza.

Opis Opis dijeljenog resursa koji je vidljiv u mrežnom okruženju. Opis je jako dobra stvar koju mnogi ljudi zanemaruju.

Šifriranje podataka

U SMB-u prije verzije 3.0, jedini način zaštite prometa od servera datoteka do klijenta bio je VPN. Kako ga implementirati zavisi u potpunosti od preferencija sistem administrator: SSL, PPTP, IPSEC tuneli ili nešto drugo. U Serveru 2012, enkripcija radi iz kutije, kao i obično lokalna mreža ili kroz nepouzdane mreže, bez potrebe za posebnim infrastrukturnim rješenjima. Može se omogućiti za cijeli server ili za pojedinačne dijeljene foldere. Algoritam šifriranja u SMB 3.0 je AES-CCM, algoritam heširanja zamijenjen je HMAC-SHA256 sa AES-CMAC. Dobra vijest je da SMB 3.0 podržava hardverski AES (AES-NI), a loša vijest je da Rusija ne podržava AES-NI.

Koji su rizici omogućavanja enkripcije? Zato što će samo klijenti koji podržavaju SMB 3.0, odnosno Windows 8, moći da rade sa šifrovanim deljenim fasciklama. Razlog je, opet, maksimalno dozvoljeno ograničenje korisničkih prava. Pretpostavlja se da administrator zna šta radi i da će po potrebi dati pristup klijentima sa drugom verzijom SMB. Ali budući da SMB 3.0 koristi nove algoritme za šifriranje i heširanje, promet od klijenata s drugom verzijom SMB neće biti šifriran, potreban je VPN. Naredba set-smbserverconfiguration –rejectunencryptedaccess $false će vam pomoći da omogućite svim klijentima da se povežu na server datoteka s omogućenom šifriranjem.
U zadanoj konfiguraciji (nešifrirani promet prema šifriranom dijeljeni folderi), kada pokušamo da pristupimo direktorijumu klijenta sa SMB verzijom nižom od 3.0 na klijentu, dobićemo „Grešku u pristupu“. Na serveru, događaj 1003 će biti dodat u Microsoft-Windows-SmbServer/Operational log, gde možete pronaći IP adresu klijenta koji je pokušao da dobije pristup.

SMB i EFS enkripcija su različite stvari koje nisu ni na koji način povezane jedna s drugom, odnosno može se koristiti na FAT i ReFS volumenima.

Foldernumerationmode Ovo je nabrajanje zasnovano na pristupu. Kada je omogućeno nabrajanje zasnovano na pristupu, korisnici koji nemaju pristup zajedničkoj fascikli jednostavno je neće videti na serveru datoteka i biće manje pitanja o tome zašto ja nemam pristup ovoj ili onoj fascikli. Korisnik vidi svoje dostupne fascikle i ne pokušava se miješati u tuđe poslove. Zadana postavka je onemogućena.

• na osnovu pristupa – omogućiti
• neograničeno - isključiti

-temporary Ovaj prekidač kreira privremeni zajednički folder, pristup kojem će biti prekinut nakon ponovnog pokretanja servera. Podrazumevano se kreiraju trajni dijeljeni folderi.

NTFS dozvole

Koristeći NTFS dozvole, možemo detaljnije razlikovati prava u folderu. Možemo zabraniti određenoj grupi da mijenja određenu datoteku, ostavljajući mogućnost uređivanja cijele glavne datoteke; u istom folderu, jedna korisnička grupa može imati prava na uređivanje jedne datoteke i neće moći vidjeti druge datoteke koje je uređivala druga korisnička grupa i obrnuto. Ukratko, NTFS dozvole nam omogućavaju da kreiramo vrlo fleksibilan pristupni sistem, glavna stvar je da se kasnije ne zbunimo u njemu. Pored toga, NTFS dozvole funkcionišu i kada pristupate fascikli preko mreže, dopunjujući dozvole javnog pristupa, i kada pristupate datotekama i fasciklama lokalno.

Postoji šest osnovnih dozvola, koje su kombinacija 14 naprednih dozvola.

Osnovne dozvole

Potpuna kontrola– potpuni pristup fascikli ili fajlu, sa mogućnošću promene prava pristupa i pravila revizije za fascikle i fajlove

Modify– pravo čitanja, mijenjanja, pregledavanja sadržaja foldera, brisanja foldera/fajlova i pokretanja izvršnih datoteka. Uključuje čitanje i izvršavanje, pisanje i brisanje.

Čitanje i izvršavanje (čitanje i izvršavanje)– pravo otvaranja fascikli i fajlova za čitanje, bez mogućnosti pisanja. Također je moguće pokrenuti izvršne datoteke.

Lista sadržaja foldera (direktorij liste)– pravo na pregled sadržaja foldera

Čitaj– pravo otvaranja fascikli i fajlova za čitanje, bez mogućnosti pisanja. Uključuje sadržaj fascikle / čitanje podataka, čitanje atributa, čitanje proširenih atributa i dozvole za čitanje

Pišite– pravo na kreiranje foldera i fajlova, modifikovanje fajlova. Uključuje kreiranje datoteka / pisanje podataka (writedata), kreiranje mapa / dodavanje podataka (appenddata), atribute pisanja (writeattribute) i pisanje proširenih atributa

Dodatne dozvole

Postavio sam samo 1 od 14 dozvola za folder i vidio šta se dogodilo. U stvarnom svijetu, u većini slučajeva, dovoljne su osnovne dozvole, ali me je zanimalo ponašanje foldera i datoteka sa najsmanjenijim pravima.

Kretanje mape/izvršavanje datoteke (prelazak)– pravo pokretanja i čitanja datoteka, bez obzira na prava pristupa fascikli. Korisnik neće imati pristup fascikli (šta se nalazi u fascikli ostaće misterija), ali će datoteke u fascikli biti dostupne preko direktne veze (puna, relativna ili UNC putanja). Možete staviti na folder Traverse folders, a na fajl sve druge dozvole koje su korisniku potrebne za rad. Korisnik neće moći kreirati i brisati datoteke u folderu.

Atributi čitanja– pravo na pregled atributa datoteke fascikle ili datoteke.
Ne možete vidjeti sadržaj foldera ili datoteka niti promijeniti bilo koje atribute.

Čitanje dodatnih atributa (readextendedattributes)– pravo na pregled dodatnih atributa foldera ili fajla.

Jedina stvar koju sam mogao pronaći o dodatnim atributima je da se koriste za obezbjeđivanje kompatibilnosti unatrag sa OS/2 aplikacijama. (Interna oprema Windowsa, 2. dio: Pokrivanje Windows Server 2008 R2 i Windows 7). Ne znam ništa drugo o njima.

Kreiranje fajlova / pisanje podataka (writedata)– daje korisniku mogućnost kreiranja datoteka u folderu kojem nema pristup. Možete kopirati datoteke u folder i kreirati nove datoteke u folderu. Ne možete vidjeti sadržaj foldera, kreirati nove foldere ili mijenjati postojeće datoteke. Korisnik neće moći promijeniti nijednu datoteku, čak i ako je vlasnik ove datoteke - samo je kreirajte.

Kreiranje foldera/dodavanje podataka (appenddata)– daje korisniku mogućnost da kreira podfoldere unutar foldera i doda podatke na kraj datoteke bez promjene postojećeg sadržaja.

Ispitivanje

Sve je jasno u vezi sa kreiranjem podfoldera: ni direktorijum c:\testperms\testappend –itemtype će raditi kako se očekuje - kreiraće testappend podfolder u folderu testperms, koji je nedostupan korisniku. Pokušajmo dodati red na kraj datoteke - simulirajmo neku vrstu evidentiranja. novi događaj >> c:\testperms\user.log Pristup odbijen.
Hmm... Ne radi u CMD-u. I ako je tako. ac c:\testperms\user.log novi događaj ac: Pristup putanji "C:\testperms\user.log" odbijen.
Šta je sa pokretnom trakom? "newevent" | out-file c:\testperms\user.log -append out-file: Pristup putanji "C:\testperms\user.log" odbijen.
I to ne funkcioniše tako.

Započnimo sesiju crne magije: koristite klasu File, metodu AppendText. Dobijamo log objekat.
$log = ::appendtext("c:\testperms\user.log") Izuzetak prilikom pozivanja "AppendText" sa "1" argumentima: "Dozvola odbijena na putu 'c:\testperms\user.log'."
Mislim da AppendAllText više nije vrijedan pokušaja
$log = ::appendalltext("c:\testperms\user.log","newevent") Izuzetak prilikom pozivanja "AppendAllText" sa "2" argumenta: "Dozvola odbijena na putu 'c:\testperms\user.log'"
Poenta je, u principu, jasna. Samo gore navedene metode nemaju pravo da dodaju podatke u datoteku; Ali u isto vrijeme dat ćemo mogućnost promjene datoteke, a ne samo dodavanja unosa, odnosno otvaramo potencijalnu priliku da uništimo cijeli sadržaj datoteke.

Moramo preispitati koncept: nemojmo primiti log objekat, već kreiramo novi u koji ćemo postaviti sve parametre koji nas zanimaju. Treba nam nešto gdje možemo eksplicitno specificirati prava pristupa. Potreban nam je FileStream, a preciznije, FileStream Constructor (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions) će nam pomoći. Potrebni su sljedeći parametri:

• Put do datoteke je jasan
• Kako otvoriti datoteku - otvorite datoteku i pronađite kraj datoteke
• Prava pristupa fajlu - dodavanje podataka
• Pristup za druge FileStream objekte - nije potreban
• Veličina bafera – podrazumevano 8 bajtova
• Dodatne opcije - ne

Ispada nešto ovako:
$log = new-object io.filestream("c:\testperms\user.log",::append,::appenddata,::none,8,::none)
Works! Napravili smo log objekat, hajde da pokušamo da upišemo nešto tamo. Metoda FileStream.Write prihvata dolazne vrijednosti u bajtovima. Događaj koji želimo snimiti pretvaramo u bajtove - klasu Encoding, metodu GetEncoding (ne treba nam brbljanje na izlazu) i GetBytes (zapravo, konverzija)
$event = "Dogodio se novi događaj." $eventbytes = ::getencoding("windows-1251").getbytes($event)
FileStream.Write parametri:
Šta napisati; odakle početi pisati; broj bajtova za pisanje
Zapisujemo:
$log.write($eventbytes,0,$eventbytes.count)
Hajde da proverimo.
gc c:\testperms\user.log gc: Pristup putanji "C:\testperms\user.log" odbijen.
Sve je u redu, korisnik nema prava da vidi šta je napisano. Prijavite se kao administrator.
gc c:\testperms\user.log Dogodio se novi događaj.
Sve radi.

Fascikla u kojoj se nalazi datoteka, osim dozvole Kreiraj mape / dodaj podatke, mora imati i dozvolu Sadržaj mape / Čitanje podataka. Datoteka je dovoljna samo za kreiranje foldera/dodavanje podataka sa onemogućenim nasleđivanjem. Neće biti moguće u potpunosti zaštititi korisnika (a korisnik može biti i napadač) od fajlova u koje treba nešto da upiše, ali s druge strane, osim liste fajlova u folderu, korisnik neće vidjeti bilo šta i neće moći ništa učiniti.

Zaključak iz ovoga je jednostavan: nećete moći implementirati bezbedno evidentiranje bilo čega u batch fajlovima; PowerShell vam štedi mogućnost rada sa .NET objektima.

Write attributes– dozvoli korisniku da promijeni atribute datoteke ili mape. Sve izgleda jednostavno. Ali samo da odgovorim na pitanje: „Fotografije mojih mačaka zauzimaju skoro sav prostor na mom profilu i ne ostaje mi mesta za poslovnu korespondenciju. Htio bih komprimirati folder sa mačkama, ali traže od mene administratorska prava. Rekli ste da imam pravo da mijenjam atribute foldera. Je li ovo atribut? Zašto ga ne mogu promijeniti?

Da, korisnik s dozvolom atributa pisanja može promijeniti gotovo sve vidljive atribute datoteka i mapa, osim atributa kompresije i šifriranja. Tehnički, korisnik ima pravo da izvrši funkciju SetFileAttributes. A kompresiju datoteke vrši funkcija DeviceIOControl, kojoj trebate proslijediti parametar FSCTL_SET_COMPRESSION, a kompresija datoteke je daleko od svog jedinog posla. Sa ovom funkcijom možemo upravljati svim uređajima i njihovim resursima u sistemu i vjerovatno davanje prava korisniku da obavlja ovu funkciju znači da ga postane administrator.

Kod enkripcije je slična priča: funkcija EncryptFile, koja je odgovorna za enkripciju, zahtijeva da korisnik ima prava Contents of Folder / Read Data, Create Files / Write Data, Read Attributes, Write Attributes i Synchronize on an Object. Ništa neće raditi bez njih.

Napišite proširene atribute. Pa, ovo su oni koji se koriste za kompatibilnost unatrag sa OS/2 aplikacijama, da. Pa, trojanci (ZeroAccess.C) su nedavno počeli da se dodaju u proširene atribute datoteke C:\Windows\system32\services.exe. Možda ih vrijedi isključiti na najvišem nivou? Ne mogu da odgovorim na ovo pitanje, možda se isplati praktično u proizvodnji, nisam probao.

Brisanje podfoldera i fajlova. (izbriši poddirektorije i datoteke) Zanimljiva dozvola koja se odnosi samo na fascikle. Ideja je omogućiti korisniku da izbriše podfoldere i datoteke u nadređenom folderu bez davanja dozvole za brisanje.

Recimo da postoji katalog proizvoda u koji korisnici unose podatke. Postoji roditeljski folder Katalog, unutar njega se nalaze podfolderi po abecednom redu, od A do Z, sa nekim imenima unutar njih. Imena se mijenjaju svaki dan, nešto se dodaje, nešto mijenja, nešto zastari i zastarjele informacije treba brisati. Ali neće biti dobro ako neko iz neznanja ili zle namjere uništi cijeli K direktorij, što je vrlo moguće ako korisnici imaju pravo Delete. Ako korisnicima oduzmete pravo na brisanje, onda administrator može bezbedno da promeni posao, jer će po ceo dan ispunjavati zahteve za brisanjem ovog ili onog imena.

Ovo je mjesto gdje brisanje podfoldera i datoteka dolazi u igru. Nasljeđivanje je onemogućeno za sva slova abecede, a korisnicima je dodano pravo Delete podfoldere i datoteke. Kao rezultat toga, korisnici neće moći izbrisati nijedno slovo u folderu kataloga, ali mogu izbrisati bilo šta unutar slova.

Izbriši. Ovdje je sve jednostavno. Uklanjanje je uklanjanje. Ne radi bez dozvole za čitanje.

Dozvole za čitanje Daje korisniku pravo da pregleda dozvole za folder ili fajl. Bez dozvole - korisnik ne vidi dozvole na kartici Sigurnost

Promijenite dozvole– omogućava korisniku da promijeni dozvole, u suštini čineći korisnika administratorom foldera. Može se koristiti, na primjer, za delegiranje ovlaštenja tehničkoj podršci. Bez prava čitanja dozvola nema smisla. Promjena dozvola ne podrazumijeva promjenu vlasnika foldera.

Promjena vlasnika (preuzimanje vlasništva)– za početak, ko je vlasnik. Vlasnik je korisnik koji je kreirao datoteku ili mapu.

Posebnost vlasnika je u tome što ima potpuni pristup kreiranoj mapi, može dati dozvole za svoju kreiranu mapu, ali što je još važnije, niko ne može lišiti vlasnika prava da mijenja dozvole za svoju mapu ili datoteku. Ako je Vasya kreirao mapu, dao Petyi potpuni pristup, a Petya je ušao i uskratio korisniku pristup mapi općenito i Vasji posebno, tada Vasya može lako vratiti status quo, budući da je on vlasnik mape. Petya neće moći promijeniti vlasnika foldera, čak i ako ima dozvolu Promjena vlasnika. Štoviše, čak ni Vasya ne može promijeniti vlasnika, unatoč činjenici da je kreirao mapu. Pravo promjene vlasnika primjenjuje se samo na administratore ili grupu administratora domene.

Ali ako je Petya stvorila datoteku u Vasjinoj fascikli i nije dala Vasji pristup njoj, tada Vasya može samo razmišljati i pitati se što je to tako tajno unutar ove datoteke. Vasya neće moći promijeniti prava pristupa datoteci, jer je vlasnik datoteke Petya. Također, Vasya neće moći promijeniti vlasnika datoteke - promjena vlasnika podkontejnera i objekata je također privilegija grupe Administratori, kojoj Vasya ne pripada. Jedina opcija koja ostaje za Vasju je da pogleda Petyin fajl u njegovom folderu.

Snalazimo se

CMD koristi dobro poznate icacls za upravljanje dozvolama. U PowerShell-u upravljanje NTFS dozvolama izgleda otprilike ovako:

Nabavite objekat na koji ćemo postaviti dozvole
$acl = get-acl c:\testperms
Konstruirajte string s pravima koristeći klasu System.Security.AccessControl.FileSystemAccessRule. Možemo podesiti sljedeće parametre:

• grupa/korisničko ime – za koga pravimo ACL
• rezolucija – ACE (prihvata vrijednosti navedene u postu)
• odnosi se na – u GUI, ovo je padajuća lista u naprednim sigurnosnim opcijama. U stvari, uzima samo 3 vrijednosti: none (samo na ovaj folder), containerinherit (primjenjuje se na sve podfoldere), objectinherit (primjenjuje se na sve datoteke). Vrijednosti se mogu kombinovati.
• primijeniti ove dozvole na objekte i kontejnere samo unutar ovog kontejnera (kvačicu za potvrdu u GUI) - također 3 vrijednosti: none (kvačicu je obrisan), inheritonly (ACE se primjenjuje samo na odabrani tip objekta), nopropagateinherit (primijeni dozvole samo unutar ovog kontejnera ).
• pravilo - dozvoli (dozvoli) ili odbij (odbije)

Zadana linija dozvola će izgledati ovako:
$permission = “contoso.com\admin”,”fullcontrol”,”containerinherit,objectinherit”,”none”,”allow”
Napravite novi ACE s gore definiranim dozvolama
$ace = new-object security.accesscontrol.filesystemaccessrule $permission
I primijenite novokreirani ACE na objekt
$acl.setaccessrule($ace) $acl | set-acl c:\testperms

Hajde da to primenimo u praksi

Naoružani poznavanjem SMB i NTFS dozvola, kombinujući ih, možete kreirati pravila pristupa apsolutno bilo koje složenosti. nekoliko primjera:

Tip	SMB dozvole	NTFS dozvole
Folder za sve (javno)	Korisnici - Čitanje/pisanje	Korisnici - Promjena
Crna kutija. Korisnici šalju povjerljive izvještaje, sugestije, klevete - čita uprava.	Korisnici - Čitanje/pisanje Manual - Read/Write	Korisnici - Unos, odnosi se samo na ovaj folder. Pretpostavlja se da je upisivanje datoteke u ovaj folder jednosmjerna karta, jer zgodan način uređivanje bez prava na pregled sadržaja fascikle, u ovoj fascikli nema sačuvane datoteke (usput, ne postoji pogodan način da korisnici pišu u takvu fasciklu). A gledanje krši privatnost. Liderstvo - Promjena.
Prijave	Korisnici - Čitanje	Korisnici – čitanje, čitanje i izvršavanje, pregled sadržaja fascikle. Naravno, neke aplikacije mogu zahtijevati dodatna prava za rad. Ali u opštem slučaju, na primjer, pohranjivanje uslužnih programa za dijagnostiku sistema (isti SysInternals Suite) je sasvim dovoljno.
Korisnički profili	Svaki korisnik – čitanje/pisanje u svoju mapu	Svaki korisnik – Promijeni u svoju mapu.

Dozvole u Windows-u su kontroverzna stvar. S jedne strane, osnovna rješenja su prilično jednostavna i pokrivaju 90% slučajeva. Ali kada se počne zahtijevati više finog podešavanja: različite korisničke grupe, jedna mapa, sigurnosni zahtjevi za dijeljene mape, onda može biti prilično teško nositi se s dodatnim dozvolama, nasljeđivanjem i vlasnicima.

Nadam se da nisam više nikoga zbunio.

Laboratorijski rad br. 2

Tema: Korištenje tehnika za rad sa NTFS sistemom datoteka. Dodjeljivanje dozvola pristupa datotekama i folderima.

Vrijeme isporuke:2 sata

Target : Naučite da postavite NTFS dozvole za datoteke i fascikle za pojedinačne korisnike i grupe u operacijskoj sali Windows sistemi 7, kao i rješavanje problema sa pristupom resursima.

Teorijske informacije

Opće informacije o korištenju NTFS dozvola

NTFS dozvole vam omogućavaju da eksplicitno odredite koji korisnici i grupe imaju pristup datotekama i fasciklama i koje operacije im je dozvoljeno da izvode nad sadržajem tih datoteka ili fascikli. NTFS dozvole se primjenjuju samo na volumene formatirane pomoću NTFS sistema datoteka. Nisu dostupni za volumene koji koriste FAT ili FAT32 sistem datoteka. NTFS bezbednost je efikasna bez obzira da li korisnik pristupa datoteci ili fascikli koja se nalazi na lokalnom računaru ili na mreži.

Dozvole koje postavljate za fascikle razlikuju se od dozvola koje postavljate za datoteke. Administratori, vlasnici datoteka ili fascikli i korisnici sa dozvolom za punu kontrolu imaju pravo da dodeljuju NTFS dozvole korisnicima i grupama da kontrolišu pristup tim datotekama i fasciklama. Lista kontrole pristupa

Pohranjen u NTFS lista kontrole pristupa (lista kontrole pristupa - ACL) za svaki fajl i folder na NTFS volumenu. Ova lista prikazuje korisnike i grupe koji imaju postavljene dozvole za datoteku ili mapu, kao i dozvole koje su im dodijeljene. Da bi korisnik mogao pristupiti resursu, mora postojati unos u ACL-u koji se zove element liste kontrole pristupa (unos kontrole pristupa - ACE) za ovog korisnika ili grupu kojoj pripada. Ovaj unos će dodijeliti traženi tip pristupa (na primjer, čitanje) korisniku. Ako ne postoji odgovarajući ACE u ACL-u, korisnik neće moći pristupiti resursu.

Višestruke NTFS dozvole

Možete postaviti više dozvola za korisnika i sve grupe čiji je član. Da biste to učinili, morate razumjeti pravila i prioritete po kojima se višestruke dozvole dodjeljuju i kombiniraju u NTFS-u i nasljeđivanje NTFS dozvola.

Efektivne dozvole. Efektivne korisničke dozvole za resurs su zbirka NTFS dozvola koje dodjeljujete pojedinačnom korisniku i svim grupama kojima taj korisnik pripada. Ako korisnik ima dozvolu za čitanje fascikle i deo je grupe koja ima dozvolu za pisanje u istoj fascikli, tada taj korisnik ima obe dozvole.

Postavljanje NTFS dozvola i posebnih dozvola

Trebali biste slijediti određene smjernice kada postavljate NTFS dozvole. Podesite dozvole na osnovu potreba grupa i korisnika, što uključuje dopuštanje ili sprečavanje podmapa i datoteka sadržanih u nadređenom folderu da naslijede dozvole iz nadređenog foldera.

Ako odvojite malo vremena da planirate svoje NTFS dozvole i slijedite nekoliko principa planiranja, otkrit ćete da je dozvolama lako upravljati.

Da biste pojednostavili proces administracije, grupišite datoteke u sljedeće tipove foldera: folderi aplikacija, folderi sa podacima, lični folderi. Centralizirajte javne i privatne mape na zasebnom volumenu bez datoteka operativni sistem i druge aplikacije. Radeći ovo, ostvarit ćete sljedeće pogodnosti:

Možete postaviti dozvole samo za foldere, ne i pojedinačne datoteke;

Pojednostavite proces backup pošto ne morate da radite rezervne kopije datoteke aplikacija, a svi javni i privatni folderi su na jednom mjestu.

· Postavite samo potreban nivo pristupa za korisnike. Ako trebate pročitati datoteku, postavite korisnikovu dozvolu za čitanje za tu datoteku. Ovo će smanjiti mogućnost da korisnik slučajno promijeni datoteku ili izbriše važne dokumente i datoteke aplikacija.

· Kreirajte grupe prema tipu pristupa koji je članovima grupe potreban, a zatim postavite odgovarajuće dozvole za grupu. Dodijelite dozvole pojedinačnim korisnicima samo kada je to potrebno.

· Kada postavljate dozvole za rad sa podacima ili datotekama aplikacija, postavite dozvolu za čitanje i izvršavanje za korisničke grupe ateljea i administratori. Ovo će spriječiti da virusi ili korisnici slučajno izbrišu ili oštete datoteke aplikacija.

· Kada postavljate dozvole za deljene fascikle sa podacima, dodelite dozvole za čitanje/izvršenje i pisanje grupi korisnika i dozvolu pune kontrole grupi kreator-vlasnik. Podrazumevano, korisnik koji je kreirao dokument je ujedno i njegov vlasnik. Vlasnik datoteke može drugom korisniku dati dozvolu da posjeduje datoteku. Korisnik koji prihvati takva prava u ovom slučaju postaje vlasnik datoteke. Ako postavite dozvolu za čitanje/izvršenje i pisanje na grupu Korisnici i dozvolu punu kontrolu na grupu Kreator-vlasnik, tada će korisnici moći čitati i uređivati ​​dokumente koje su kreirali drugi korisnici, kao i čitati, uređivati ​​i brisati datoteke i fascikle koje kreiraju.

Koristeći NTFS dozvole, možemo detaljnije razlikovati prava u folderu. Možemo zabraniti određenoj grupi da mijenja određenu datoteku, ostavljajući mogućnost uređivanja cijele glavne datoteke; u istom folderu, jedna korisnička grupa može imati prava na uređivanje jedne datoteke i neće moći vidjeti druge datoteke koje je uređivala druga korisnička grupa i obrnuto. Ukratko, NTFS dozvole nam omogućavaju da kreiramo vrlo fleksibilan pristupni sistem, glavna stvar je da se kasnije ne zbunimo u njemu. Pored toga, NTFS dozvole funkcionišu i kada pristupate fascikli preko mreže, dopunjujući dozvole javnog pristupa, i kada pristupate datotekama i fasciklama lokalno.

Postoji šest osnovnih dozvola, koje su kombinacija 14 naprednih dozvola.

OSNOVNE DOZVOLE:

• Potpuna kontrola– potpuni pristup fascikli ili fajlu, sa mogućnošću promene prava pristupa i pravila revizije za fascikle i fajlove
• Modify– pravo čitanja, mijenjanja, pregledavanja sadržaja foldera, brisanja foldera/fajlova i pokretanja izvršnih datoteka. Uključuje čitanje i izvršavanje, pisanje i brisanje.
• Čitanje i izvršavanje (čitanje i izvršavanje)– pravo otvaranja fascikli i fajlova za čitanje, bez mogućnosti pisanja. Također je moguće pokrenuti izvršne datoteke.
• Lista sadržaja foldera (direktorij liste)– pravo na pregled sadržaja foldera
• Čitaj– pravo otvaranja fascikli i fajlova za čitanje, bez mogućnosti pisanja. Uključuje sadržaj fascikle / čitanje podataka, čitanje atributa, čitanje proširenih atributa i dozvole za čitanje
• Pišite– pravo na kreiranje foldera i fajlova, modifikovanje fajlova. Uključuje kreiranje datoteka / pisanje podataka (writedata), kreiranje mapa / dodavanje podataka (appenddata), atribute pisanja (writeattribute) i pisanje proširenih atributa

DODATNE DOZVOLE

• Kretanje mape/izvršavanje datoteke (prelazak)– pravo pokretanja i čitanja datoteka, bez obzira na prava pristupa fascikli. Korisnik neće imati pristup fascikli (šta se nalazi u fascikli ostaće misterija), ali će datoteke u fascikli biti dostupne preko direktne veze (puna, relativna ili UNC putanja). Možete staviti na folder Traverse folders, a na fajl sve druge dozvole koje su korisniku potrebne za rad. Korisnik neće moći kreirati i brisati datoteke u folderu.
• Sadržaj fascikle / Čitanje podataka (readdata)– pravo na pregled sadržaja foldera bez mogućnosti promjene. Ne možete pokretati ili otvarati datoteke u folderu koji gledate
• Atributi čitanja– pravo na pregled atributa datoteke fascikle ili datoteke. Ne možete vidjeti sadržaj foldera ili datoteka niti promijeniti bilo koje atribute.
• Čitanje dodatnih atributa (readextendedattributes)– pravo na pregled dodatnih atributa foldera ili fajla.
• Kreiranje fajlova / pisanje podataka (writedata)– daje korisniku mogućnost kreiranja datoteka u folderu kojem nema pristup. Možete kopirati datoteke u folder i kreirati nove datoteke u folderu. Ne možete vidjeti sadržaj foldera, kreirati nove foldere ili mijenjati postojeće datoteke. Korisnik neće moći promijeniti nijednu datoteku, čak i ako je vlasnik ove datoteke - samo je kreirajte.
• Kreiranje foldera/dodavanje podataka (appenddata)– daje korisniku mogućnost da kreira podfoldere unutar foldera i doda podatke na kraj datoteke bez promjene postojećeg sadržaja.

Zašto u većini slučajeva organizaciji treba server? Active Directory, RDS, print server i gomila drugih malih i velikih servisa. Najvidljivija uloga svima je možda server datoteka. Ljudi s njim rade, za razliku od drugih uloga, najsvjesnije. Pamte u kojoj fascikli se šta nalazi, gde su skenirani dokumenti, gde su njihovi izveštaji, gde su faksovi, gde je opšti folder u kome je sve moguće, gde je pristup samo jednom od odeljenja, gde drugom, a o nekima nemaju pojma

Želim da pričam o pristupu mrežnim i lokalnim fasciklama na serveru.

Pristup zajedničkim resursima na serveru se, kao što je svima dobro poznato, vrši pomoću SMB 3.0 protokola. Mrežni pristup fasciklama može biti ograničen SMB i NTFS dozvolama. SMB dozvole funkcioniraju samo kada pristupate dijeljenoj mapi preko mreže i nemaju nikakav utjecaj na dostupnost određene mape lokalno. NTFS dozvole rade i preko mreže i lokalno, pružajući mnogo više fleksibilnosti u kreiranju prava pristupa. SMB i NTFS dozvole ne rade odvojeno, već se dopunjuju, po principu najvećeg ograničenja prava.

Da biste podijelili fasciklu u Server 2012 u grupi SMB Share Cmdlets, pojavila se cmdlet New-SMBShare. Koristeći ovaj cmdlet kao primjer, vidjet ćemo sve opcije dostupne prilikom kreiranja dijeljene mape, osim konfiguracija klastera (ovo je posebna velika tema).

Kreiranje novog dijeljenog foldera izgleda vrlo jednostavno:
net share homefolder=s:\ivanivanov /grant:"admin",full /grant:"folderowner",change /grant:"manager",čitaj /cache:programs /remark:"Ivanov" ili
new-smbshare homefolder s:\ivanivanov –programi u načinu keširanja –admin pun pristup –promjena vlasnika foldera za pristup –menadžer pristupa čitanju –nema pristup svim –fasciklanumeracijanačin pristupa baziran na -opis "Ivanov"

Hajde da shvatimo:

-ime je naziv dijeljenog foldera na mreži, koji se može razlikovati od naziva foldera na lokalnom računaru. Ima ograničenje od 80 znakova i ne može koristiti nazive pipe i mailslot.

Putanja je put do lokalne mape koju treba dijeliti. Putanja mora biti potpuna, od korijena diska.

Cachingmode postavljanje autonomije datoteka u zajedničkom folderu.

Šta je vanmrežni fajl?

Vanmrežna datoteka je kopija datoteke koja se nalazi na serveru. Ova kopija se nalazi na vašem lokalnom računaru i omogućava vam da radite sa datotekom bez povezivanja na server. Kada je povezan, promjene se sinhroniziraju. Sinhronizirano u oba smjera: ako ste izvršili promjene u vašoj vanmrežnoj datoteci, sljedeći put kada se povežete, datoteka na serveru će biti promijenjena; ako je neko napravio promjene na serveru, tada će se promijeniti vaša lokalna kopija. Ako se promjene dogode u obje datoteke odjednom, dobićemo grešku pri sinhronizaciji i morat ćemo odabrati koju verziju da sačuvamo. Ovu funkciju ne bih koristio za saradnju, ali ako kreiramo loptu za svakog korisnika i ograničimo pristup drugima na čitanje, bez mogućnosti pisanja, dobijamo sljedeće prednosti:

• Rad ne zavisi od mreže - prekidač može da pregori, server se može ponovo pokrenuti, žica se može pokvariti ili pristupna tačka može da se isključi - korisnik radi sa svojom kopijom ne primetivši da ste tamo imali neku nesreću, kada mrežna veza je obnovljena, njegov rad ide na server.
• Korisnik može raditi bilo gdje: na selu, u autobusu, u avionu - na onim mjestima gdje je VPN veza iz nekog razloga nedostupna.
• Čak i ako korisnik radi preko VPN-a, ali je veza ili vrlo spora ili stalno ispada, lakše je raditi s offline kopijom i sinkronizirati promjene nego pokušati nešto učiniti na serveru.
• Korisnik može izabrati šta i kada će sinhronizovati, ako mu se pruži prilika.

Uzima sljedeće vrijednosti:

• nema – fajlovi nisu dostupni van mreže, za pristup fajlovima je potreban pristup serveru
• priručnik – korisnici sami biraju fajlove koji će biti dostupni van mreže
• programi – sve u folderu je dostupno van mreže (dokumenti i programi (datoteke sa ekstenzijom *.exe, *.dll))
• dokumenti – dokumenti su dostupni, program nije dostupan
• branchcache – keširanje se događa na BranchCache serverima umjesto na korisnikovom lokalnom računaru, korisnici sami biraju vanmrežne datoteke

-noaccess, -readaccess, -changeaccess, -fullaccess dijeljene dozvole.

Ove dozvole imaju jednu veliku prednost - vrlo su jednostavne.

Sekretar bez pristupa, stjuard – sekretar i domar nemaju šta raditi u zajedničkim fasciklama računovodstva
-readaccess auditor – revizor koji provjerava rad računovodstvene službe može vidjeti nazive datoteka i poddirektorija u zajedničkom folderu, otvoriti fajlove za čitanje i pokrenuti programe.
-changeaccess accountant – računovođe u svom zajedničkom folderu mogu kreirati datoteke i podfoldere, mijenjati postojeće datoteke, brisati datoteke i podfoldere
-fullaccess admin – puni pristup je readaccess+changeaccess plus mogućnost promjene dozvola.

Kada kreirate dijeljeni folder, automatski se primjenjuje najrestriktivnije pravilo - grupi Svi dobivaju dozvolu za čitanje.

Ove dozvole se primjenjuju samo na korisnike koji imaju pristup dijeljenoj mapi preko mreže. Prilikom lokalnog prijavljivanja, na primjer u slučaju terminalskog servera, i sekretar i menadžer nabavke će vidjeti sve što žele u računovodstvu. Ovo je popravljeno NTFS dozvolama. SMB dozvole se primjenjuju na sve datoteke i mape na dijeljenju. Više finog podešavanja prava pristupa se takođe vrši korišćenjem NTFS dozvola.

Concurrentuserlimit Koristeći ovaj parametar, možete ograničiti maksimalan broj veza na zajednički folder. U principu, može se koristiti i za ograničavanje pristupa fascikli, dopunjujući NTFS dozvole, ali samo trebate biti sigurni u potreban broj veza.

Opis Opis dijeljenog resursa koji je vidljiv u mrežnom okruženju. Opis je jako dobra stvar koju mnogi ljudi zanemaruju.

Šifriranje podataka

U SMB-u prije verzije 3.0, jedini način zaštite prometa od servera datoteka do klijenta bio je VPN. Kako ga implementirati zavisilo je u potpunosti od preferencija administratora sistema: SSL, PPTP, IPSEC tuneli ili nešto treće. U Serveru 2012, enkripcija radi iz kutije, na redovnoj lokalnoj mreži ili preko nepouzdanih mreža, bez potrebe za posebnim infrastrukturnim rješenjima. Može se omogućiti za cijeli server ili za pojedinačne dijeljene foldere. Algoritam šifriranja u SMB 3.0 je AES-CCM, algoritam heširanja zamijenjen je HMAC-SHA256 sa AES-CMAC. Dobra vijest je da SMB 3.0 podržava hardverski AES (AES-NI), a loša vijest je da Rusija ne podržava AES-NI.

Koji su rizici omogućavanja enkripcije? Zato što će samo klijenti koji podržavaju SMB 3.0, odnosno Windows 8, moći da rade sa šifrovanim deljenim fasciklama. Razlog je, opet, maksimalno dozvoljeno ograničenje korisničkih prava. Pretpostavlja se da administrator zna šta radi i da će po potrebi dati pristup klijentima sa drugom verzijom SMB. Ali budući da SMB 3.0 koristi nove algoritme za šifriranje i heširanje, promet od klijenata s drugom verzijom SMB neće biti šifriran, potreban je VPN. Naredba set-smbserverconfiguration –rejectunencryptedaccess $false će vam pomoći da omogućite svim klijentima da se povežu na server datoteka s omogućenom šifriranjem.
U podrazumevanoj konfiguraciji (nešifrovani saobraćaj ka šifrovanim deljenim fasciklama je zabranjen), ako pokušamo da pristupimo klijentskoj fascikli sa SMB verzijom nižom od 3.0 na klijentu, dobićemo „Grešku u pristupu“. Na serveru, događaj 1003 će biti dodat u Microsoft-Windows-SmbServer/Operational log, gde možete pronaći IP adresu klijenta koji je pokušao da dobije pristup.

SMB i EFS enkripcija su različite stvari koje nisu ni na koji način povezane jedna s drugom, odnosno može se koristiti na FAT i ReFS volumenima.

Foldernumerationmode Ovo je nabrajanje zasnovano na pristupu. Kada je omogućeno nabrajanje zasnovano na pristupu, korisnici koji nemaju pristup zajedničkoj fascikli jednostavno je neće videti na serveru datoteka i biće manje pitanja o tome zašto ja nemam pristup ovoj ili onoj fascikli. Korisnik vidi svoje dostupne fascikle i ne pokušava se miješati u tuđe poslove. Zadana postavka je onemogućena.

• na osnovu pristupa – omogućiti
• neograničeno - isključiti

-temporary Ovaj prekidač kreira privremeni zajednički folder, pristup kojem će biti prekinut nakon ponovnog pokretanja servera. Podrazumevano se kreiraju trajni dijeljeni folderi.

NTFS dozvole

Koristeći NTFS dozvole, možemo detaljnije razlikovati prava u folderu. Možemo zabraniti određenoj grupi da mijenja određenu datoteku, ostavljajući mogućnost uređivanja cijele glavne datoteke; u istom folderu, jedna korisnička grupa može imati prava na uređivanje jedne datoteke i neće moći vidjeti druge datoteke koje je uređivala druga korisnička grupa i obrnuto. Ukratko, NTFS dozvole nam omogućavaju da kreiramo vrlo fleksibilan pristupni sistem, glavna stvar je da se kasnije ne zbunimo u njemu. Pored toga, NTFS dozvole funkcionišu i kada pristupate fascikli preko mreže, dopunjujući dozvole javnog pristupa, i kada pristupate datotekama i fasciklama lokalno.

Postoji šest osnovnih dozvola, koje su kombinacija 14 naprednih dozvola.

Osnovne dozvole

Potpuna kontrola– potpuni pristup fascikli ili fajlu, sa mogućnošću promene prava pristupa i pravila revizije za fascikle i fajlove

Modify– pravo čitanja, mijenjanja, pregledavanja sadržaja foldera, brisanja foldera/fajlova i pokretanja izvršnih datoteka. Uključuje čitanje i izvršavanje, pisanje i brisanje.

Čitanje i izvršavanje (čitanje i izvršavanje)– pravo otvaranja fascikli i fajlova za čitanje, bez mogućnosti pisanja. Također je moguće pokrenuti izvršne datoteke.

Lista sadržaja foldera (direktorij liste)– pravo na pregled sadržaja foldera

Čitaj– pravo otvaranja fascikli i fajlova za čitanje, bez mogućnosti pisanja. Uključuje sadržaj fascikle / čitanje podataka, čitanje atributa, čitanje proširenih atributa i dozvole za čitanje

Pišite– pravo na kreiranje foldera i fajlova, modifikovanje fajlova. Uključuje kreiranje datoteka / pisanje podataka (writedata), kreiranje mapa / dodavanje podataka (appenddata), atribute pisanja (writeattribute) i pisanje proširenih atributa

Dodatne dozvole

Postavio sam samo 1 od 14 dozvola za folder i vidio šta se dogodilo. U stvarnom svijetu, u većini slučajeva, dovoljne su osnovne dozvole, ali me je zanimalo ponašanje foldera i datoteka sa najsmanjenijim pravima.

Kretanje mape/izvršavanje datoteke (prelazak)– pravo pokretanja i čitanja datoteka, bez obzira na prava pristupa fascikli. Korisnik neće imati pristup fascikli (šta se nalazi u fascikli ostaće misterija), ali će datoteke u fascikli biti dostupne preko direktne veze (puna, relativna ili UNC putanja). Možete staviti na folder Traverse folders, a na fajl sve druge dozvole koje su korisniku potrebne za rad. Korisnik neće moći kreirati i brisati datoteke u folderu.

Atributi čitanja– pravo na pregled atributa datoteke fascikle ili datoteke.
Ne možete vidjeti sadržaj foldera ili datoteka niti promijeniti bilo koje atribute.

Čitanje dodatnih atributa (readextendedattributes)– pravo na pregled dodatnih atributa foldera ili fajla.

Jedina stvar koju sam mogao pronaći o dodatnim atributima je da se koriste za obezbjeđivanje kompatibilnosti unatrag sa OS/2 aplikacijama. (Interna oprema Windowsa, 2. dio: Pokrivanje Windows Server 2008 R2 i Windows 7). Ne znam ništa drugo o njima.

Kreiranje fajlova / pisanje podataka (writedata)– daje korisniku mogućnost kreiranja datoteka u folderu kojem nema pristup. Možete kopirati datoteke u folder i kreirati nove datoteke u folderu. Ne možete vidjeti sadržaj foldera, kreirati nove foldere ili mijenjati postojeće datoteke. Korisnik neće moći promijeniti nijednu datoteku, čak i ako je vlasnik ove datoteke - samo je kreirajte.

Kreiranje foldera/dodavanje podataka (appenddata)– daje korisniku mogućnost da kreira podfoldere unutar foldera i doda podatke na kraj datoteke bez promjene postojećeg sadržaja.

Ispitivanje

Sve je jasno u vezi sa kreiranjem podfoldera: ni direktorijum c:\testperms\testappend –itemtype će raditi kako se očekuje - kreiraće testappend podfolder u folderu testperms, koji je nedostupan korisniku. Pokušajmo dodati red na kraj datoteke - simulirajmo neku vrstu evidentiranja. novi događaj >> c:\testperms\user.log Pristup odbijen.
Hmm... Ne radi u CMD-u. I ako je tako. ac c:\testperms\user.log novi događaj ac: Pristup putanji "C:\testperms\user.log" odbijen.
Šta je sa pokretnom trakom? "newevent" | out-file c:\testperms\user.log -append out-file: Pristup putanji "C:\testperms\user.log" odbijen.
I to ne funkcioniše tako.

Započnimo sesiju crne magije: koristite klasu File, metodu AppendText. Dobijamo log objekat.
$log = ::appendtext("c:\testperms\user.log") Izuzetak prilikom pozivanja "AppendText" sa "1" argumentima: "Dozvola odbijena na putu 'c:\testperms\user.log'."
Mislim da AppendAllText više nije vrijedan pokušaja
$log = ::appendalltext("c:\testperms\user.log","newevent") Izuzetak prilikom pozivanja "AppendAllText" sa "2" argumenta: "Dozvola odbijena na putu 'c:\testperms\user.log'"
Poenta je, u principu, jasna. Samo gore navedene metode nemaju pravo da dodaju podatke u datoteku; Ali u isto vrijeme dat ćemo mogućnost promjene datoteke, a ne samo dodavanja unosa, odnosno otvaramo potencijalnu priliku da uništimo cijeli sadržaj datoteke.

Moramo preispitati koncept: nemojmo primiti log objekat, već kreiramo novi u koji ćemo postaviti sve parametre koji nas zanimaju. Treba nam nešto gdje možemo eksplicitno specificirati prava pristupa. Potreban nam je FileStream, a preciznije, FileStream Constructor (String, FileMode, FileSystemRights, FileShare, Int32, FileOptions) će nam pomoći. Potrebni su sljedeći parametri:

• Put do datoteke je jasan
• Kako otvoriti datoteku - otvorite datoteku i pronađite kraj datoteke
• Prava pristupa fajlu - dodavanje podataka
• Pristup za druge FileStream objekte - nije potreban
• Veličina bafera – podrazumevano 8 bajtova
• Dodatne opcije - ne

Ispada nešto ovako:
$log = new-object io.filestream("c:\testperms\user.log",::append,::appenddata,::none,8,::none)
Works! Napravili smo log objekat, hajde da pokušamo da upišemo nešto tamo. Metoda FileStream.Write prihvata dolazne vrijednosti u bajtovima. Događaj koji želimo snimiti pretvaramo u bajtove - klasu Encoding, metodu GetEncoding (ne treba nam brbljanje na izlazu) i GetBytes (zapravo, konverzija)
$event = "Dogodio se novi događaj." $eventbytes = ::getencoding("windows-1251").getbytes($event)
FileStream.Write parametri:
Šta napisati; odakle početi pisati; broj bajtova za pisanje
Zapisujemo:
$log.write($eventbytes,0,$eventbytes.count)
Hajde da proverimo.
gc c:\testperms\user.log gc: Pristup putanji "C:\testperms\user.log" odbijen.
Sve je u redu, korisnik nema prava da vidi šta je napisano. Prijavite se kao administrator.
gc c:\testperms\user.log Dogodio se novi događaj.
Sve radi.

Fascikla u kojoj se nalazi datoteka, osim dozvole Kreiraj mape / dodaj podatke, mora imati i dozvolu Sadržaj mape / Čitanje podataka. Datoteka je dovoljna samo za kreiranje foldera/dodavanje podataka sa onemogućenim nasleđivanjem. Neće biti moguće u potpunosti zaštititi korisnika (a korisnik može biti i napadač) od fajlova u koje treba nešto da upiše, ali s druge strane, osim liste fajlova u folderu, korisnik neće vidjeti bilo šta i neće moći ništa učiniti.

Zaključak iz ovoga je jednostavan: nećete moći implementirati bezbedno evidentiranje bilo čega u batch fajlovima; PowerShell vam štedi mogućnost rada sa .NET objektima.

Write attributes– dozvoli korisniku da promijeni atribute datoteke ili mape. Sve izgleda jednostavno. Ali samo da odgovorim na pitanje: „Fotografije mojih mačaka zauzimaju skoro sav prostor na mom profilu i ne ostaje mi mesta za poslovnu korespondenciju. Htio bih komprimirati folder sa mačkama, ali traže od mene administratorska prava. Rekli ste da imam pravo da mijenjam atribute foldera. Je li ovo atribut? Zašto ga ne mogu promijeniti?

Da, korisnik s dozvolom atributa pisanja može promijeniti gotovo sve vidljive atribute datoteka i mapa, osim atributa kompresije i šifriranja. Tehnički, korisnik ima pravo da izvrši funkciju SetFileAttributes. A kompresiju datoteke vrši funkcija DeviceIOControl, kojoj trebate proslijediti parametar FSCTL_SET_COMPRESSION, a kompresija datoteke je daleko od svog jedinog posla. Sa ovom funkcijom možemo upravljati svim uređajima i njihovim resursima u sistemu i vjerovatno davanje prava korisniku da obavlja ovu funkciju znači da ga postane administrator.

Kod enkripcije je slična priča: funkcija EncryptFile, koja je odgovorna za enkripciju, zahtijeva da korisnik ima prava Contents of Folder / Read Data, Create Files / Write Data, Read Attributes, Write Attributes i Synchronize on an Object. Ništa neće raditi bez njih.

Napišite proširene atribute. Pa, ovo su oni koji se koriste za kompatibilnost unatrag sa OS/2 aplikacijama, da. Pa, trojanci (ZeroAccess.C) su nedavno počeli da se dodaju u proširene atribute datoteke C:\Windows\system32\services.exe. Možda ih vrijedi isključiti na najvišem nivou? Ne mogu da odgovorim na ovo pitanje, možda se isplati praktično u proizvodnji, nisam probao.

Brisanje podfoldera i fajlova. (izbriši poddirektorije i datoteke) Zanimljiva dozvola koja se odnosi samo na fascikle. Ideja je omogućiti korisniku da izbriše podfoldere i datoteke u nadređenom folderu bez davanja dozvole za brisanje.

Recimo da postoji katalog proizvoda u koji korisnici unose podatke. Postoji roditeljski folder Katalog, unutar njega se nalaze podfolderi po abecednom redu, od A do Z, sa nekim imenima unutar njih. Imena se mijenjaju svaki dan, nešto se dodaje, nešto mijenja, nešto zastari i zastarjele informacije treba brisati. Ali neće biti dobro ako neko iz neznanja ili zle namjere uništi cijeli K direktorij, što je vrlo moguće ako korisnici imaju pravo Delete. Ako korisnicima oduzmete pravo na brisanje, onda administrator može bezbedno da promeni posao, jer će po ceo dan ispunjavati zahteve za brisanjem ovog ili onog imena.

Ovo je mjesto gdje brisanje podfoldera i datoteka dolazi u igru. Nasljeđivanje je onemogućeno za sva slova abecede, a korisnicima je dodano pravo Delete podfoldere i datoteke. Kao rezultat toga, korisnici neće moći izbrisati nijedno slovo u folderu kataloga, ali mogu izbrisati bilo šta unutar slova.

Izbriši. Ovdje je sve jednostavno. Uklanjanje je uklanjanje. Ne radi bez dozvole za čitanje.

Dozvole za čitanje Daje korisniku pravo da pregleda dozvole za folder ili fajl. Bez dozvole - korisnik ne vidi dozvole na kartici Sigurnost

Promijenite dozvole– omogućava korisniku da promijeni dozvole, u suštini čineći korisnika administratorom foldera. Može se koristiti, na primjer, za delegiranje ovlaštenja tehničkoj podršci. Bez prava čitanja dozvola nema smisla. Promjena dozvola ne podrazumijeva promjenu vlasnika foldera.

Promjena vlasnika (preuzimanje vlasništva)– za početak, ko je vlasnik. Vlasnik je korisnik koji je kreirao datoteku ili mapu.

Posebnost vlasnika je u tome što ima potpuni pristup kreiranoj mapi, može dati dozvole za svoju kreiranu mapu, ali što je još važnije, niko ne može lišiti vlasnika prava da mijenja dozvole za svoju mapu ili datoteku. Ako je Vasya kreirao mapu, dao Petyi potpuni pristup, a Petya je ušao i uskratio korisniku pristup mapi općenito i Vasji posebno, tada Vasya može lako vratiti status quo, budući da je on vlasnik mape. Petya neće moći promijeniti vlasnika foldera, čak i ako ima dozvolu Promjena vlasnika. Štoviše, čak ni Vasya ne može promijeniti vlasnika, unatoč činjenici da je kreirao mapu. Pravo promjene vlasnika primjenjuje se samo na administratore ili grupu administratora domene.

Ali ako je Petya stvorila datoteku u Vasjinoj fascikli i nije dala Vasji pristup njoj, tada Vasya može samo razmišljati i pitati se što je to tako tajno unutar ove datoteke. Vasya neće moći promijeniti prava pristupa datoteci, jer je vlasnik datoteke Petya. Također, Vasya neće moći promijeniti vlasnika datoteke - promjena vlasnika podkontejnera i objekata je također privilegija grupe Administratori, kojoj Vasya ne pripada. Jedina opcija koja ostaje za Vasju je da pogleda Petyin fajl u njegovom folderu.

Snalazimo se

CMD koristi dobro poznate icacls za upravljanje dozvolama. U PowerShell-u upravljanje NTFS dozvolama izgleda otprilike ovako:

Nabavite objekat na koji ćemo postaviti dozvole
$acl = get-acl c:\testperms
Konstruirajte string s pravima koristeći klasu System.Security.AccessControl.FileSystemAccessRule. Možemo podesiti sljedeće parametre:

• grupa/korisničko ime – za koga pravimo ACL
• rezolucija – ACE (prihvata vrijednosti navedene u postu)
• odnosi se na – u GUI, ovo je padajuća lista u naprednim sigurnosnim opcijama. U stvari, uzima samo 3 vrijednosti: none (samo na ovaj folder), containerinherit (primjenjuje se na sve podfoldere), objectinherit (primjenjuje se na sve datoteke). Vrijednosti se mogu kombinovati.
• primijeniti ove dozvole na objekte i kontejnere samo unutar ovog kontejnera (kvačicu za potvrdu u GUI) - također 3 vrijednosti: none (kvačicu je obrisan), inheritonly (ACE se primjenjuje samo na odabrani tip objekta), nopropagateinherit (primijeni dozvole samo unutar ovog kontejnera ).
• pravilo - dozvoli (dozvoli) ili odbij (odbije)

Zadana linija dozvola će izgledati ovako:
$permission = “contoso.com\admin”,”fullcontrol”,”containerinherit,objectinherit”,”none”,”allow”
Napravite novi ACE s gore definiranim dozvolama
$ace = new-object security.accesscontrol.filesystemaccessrule $permission
I primijenite novokreirani ACE na objekt
$acl.setaccessrule($ace) $acl | set-acl c:\testperms

Hajde da to primenimo u praksi

Naoružani poznavanjem SMB i NTFS dozvola, kombinujući ih, možete kreirati pravila pristupa apsolutno bilo koje složenosti. nekoliko primjera:

Tip	SMB dozvole	NTFS dozvole
Folder za sve (javno)	Korisnici - Čitanje/pisanje	Korisnici - Promjena
Crna kutija. Korisnici šalju povjerljive izvještaje, sugestije, klevete - čita uprava.	Korisnici - Čitanje/pisanje Manual - Read/Write	Korisnici - Unos, odnosi se samo na ovaj folder. Pretpostavlja se da je pisanje datoteke u ovu fasciklu jednosmerna karta, jer ne postoji pogodan način za uređivanje datoteka sačuvanih u ovoj fascikli bez pregleda sadržaja fascikle (usput, ne postoji način prilagođen korisniku). za pisanje u takav folder). A gledanje krši privatnost. Liderstvo - Promjena.
Prijave	Korisnici - Čitanje	Korisnici – čitanje, čitanje i izvršavanje, pregled sadržaja fascikle. Naravno, neke aplikacije mogu zahtijevati dodatna prava za rad. Ali u opštem slučaju, na primjer, pohranjivanje uslužnih programa za dijagnostiku sistema (isti SysInternals Suite) je sasvim dovoljno.
Korisnički profili	Svaki korisnik – čitanje/pisanje u svoju mapu	Svaki korisnik – Promijeni u svoju mapu.

Dozvole u Windows-u su kontroverzna stvar. S jedne strane, osnovna rješenja su prilično jednostavna i pokrivaju 90% slučajeva. Ali kada se počne zahtijevati više finog podešavanja: različite korisničke grupe, jedna mapa, sigurnosni zahtjevi za dijeljene mape, onda može biti prilično teško nositi se s dodatnim dozvolama, nasljeđivanjem i vlasnicima.

Nadam se da nisam više nikoga zbunio.