6. Назначение разрешений для файлов

 

Назначение разрешений для файлов

Для назначения пользователю или группе разрешения на доступ к определенному файлу:

1. Укажите файл мышью и нажмите правую кнопку. Выберите команду Свойства (Properties) контекстного меню. В появившемся окне свойств файла перейдите на вкладку Безопасность (Security) (рис. 7.1).
Рис. 7.1. Вкладка Безопасность (Security) окна свойств файла
2. В группе Имя (Name) показан список пользователей и групп, которым уже предоставлены разрешения Для данного файла. Для того чтобы добавить или удалить пользователей или группы, нажмите кнопку Добавить (Add) или Удалить (Remove). При добавлении пользователей появится окно диалога Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups) (рис. 7.2).
3. Выделите нужный объект в группе Имя и нажмите кнопки Добавить (Add) и ОК, чтобы вернуться на вкладку Безопасность.
4. В группе Разрешения (Permissions) можно назначить или запретить стандартные разрешения для файлов — Полный доступ (Full Control), Изменить (Modify), Чтение и выполнение (Read&Execute), Чтение (Read) и Запись (Write). Для получения разрешения или отказа в разрешении служат флажки Разрешить (Allow) и Запретить (Deny). На вкладке также присутствуют кнопка Дополнительно (Advanced) и флажок Переносить наследуемые от родительского объекта разрешения на этот объект (Allow inheritable permissions from parent to propagate to this object).
Рис. 7.2. Окно диалога Выбор: Пользователи, Компьютеры, или Группы (Select Users, Computers, or Groups)

Примечание

Отказ в одном из разрешений в группе Разрешения может вызвать отказ во множестве разрешений. Например, если отказать в разрешении Полный доступ, это приведет к отказу во всех остальных разрешениях. Отказ в определенном разрешении (флажок Запретить установлен) не дублирует отсутствие этого разрешения (флажок Разрешить снят). Если, например, пользователю предоставлен доступ к дереву каталогов, где есть файл, для которого данный пользователь не должен иметь унаследованного разрешения (т. е. установлен запрет), применяется функция запрещения доступа. По умолчанию разрешение пользователя для папки, в которой находится данный файл, наследуется самим файлом. Чтобы запретить наследование разрешений, следует снять флажок Переносить наследуемые от родительского объекта разрешения на этот объект.

Каждое из перечисленных выше стандартных разрешений состоит из набора более специальных (особых) разрешений, задающих возможность выполнения того или иного конкретного действия с файлами или каталогами. В табл. 7.7 показано соответствие стандартных и специальных разрешений. Более детально специальные разрешения рассмотрены ниже.

Таблица 7.7. Соответствие стандартных и специальных разрешений для файлов

Специальные разрешения
Стандартные разрешения
Полный доступ Изменить Чтение и выполнение Чтение Запись
Обзор папок/ Выполнение файлов
X
X
X
 

 

 

 

Содержание папок/ Чтение данных
X
X
X
X
 

 

Чтение атрибутов
X
X
X
X
 

 

Чтение дополнительных атрибутов
X
X
X
X
 

 

Создание файлов/ Запись данных
X
X
 

 

 

 

X
Создание папок/ Дозапись данных
X
X
 

 

 

 

X
Запись атрибутов
X
X
 

 

 

 

х
Запись дополнительных атрибутов
X
X
 

 

 

 

X
Удаление подпапок и файлов
X
 

 

 

 

 

 

 

 

Удаление
X
X
 

 

 

 

 

 

Чтение разрешений
X
X
X
 

 

X
Смена разрешений
X
 

 

 

 

 

 

 

 

Смена владельца
X
 

 

 

 

 

 

 

 

Синхронизация
X
X
X
 

 

X
Рис. 7.3. Окно Параметры локальной политики безопасности

Для более тонкой настройки доступа к файлу:

1. Нажмите кнопку Дополнительно. Появится окно диалога Параметры управления доступом (Access Control Settings), на вкладке Разрешения которого будет отображен список управления доступом для данного файла (рис. 7.3) с именами пользователей или групп, которым предоставлены разрешения для данного объекта и сами эти разрешения.
2. Чтобы отредактировать строку в окне Параметры управления доступом, сделайте на ней двойной щелчок, либо нажмите кнопку Показать/Изменить (View/Edit). Появится окно Элемент разрешения (Permissions Entry), где можно предоставить одно или несколько специальных разрешений для файла (или отказать в разрешении), не объединенных в стандартное разрешение (табл. 7.8).

Таблица 7.8. Специальные разрешения

Специальное разрешение

Описание

Обзор папок/ Выполнение файлов (Traverse Folder/Execute File)

Разрешение Обзор папок определяет возможность перемещения по каталогам файловой системы вне зависимости от того, имеет или не имеет пользователь разрешения для пересекаемых в процессе перемещения каталогов. На работу этого разрешения влияет параметр групповых политик Обход перекрестной проверки (Bypass Traverse Checking). Разрешение Выполнение файлов определяет возможность исполнения программ

Содержание папки/ Чтение данных (List Folder/Read Data)

Разрешение Содержание папки определяет возможность просмотра имен файлов или подкаталогов данного каталога (относится только к каталогу). Разрешение Чтение данных определяет возможность просмотра данных файла

Чтение атрибутов (Read Attributes)

Определяет возможность просмотра атрибутов файла или каталога. Сами атрибуты определяются операционной системой Windows 2000

Чтение дополнительных атрибутов (Read Extended Attributes)

Определяет возможность просмотра дополнительных атрибутов файла или каталога. Сами дополнительные атрибуты определяются операционной системой

Создание файлов/Запись данных (Create Files/Write Data)

Разрешение Создание файлов определяет возможность создания файлов внутри каталога (относится только к каталогам). Разрешение Запись данных определяет возможность изменения содержимого файлов или перезаписи существующих данных файла новой информацией (относится только к файлам)

Создание папок/ Дозапись данных (Create Folders/Append Data)

Разрешение Создание папок определяет возможность создавать подкаталоги внутри данного каталога (относится только к каталогам). Разрешение Дозапись данных определяет возможность присоединения новых данных к существующему файлу без изменения, уничтожения или перезаписи существующей информации (относится только к файлам)

Запись атрибутов (Write Attributes)

Определяет возможность изменения атрибутов файла или каталога. Атрибуты определяются операционной системой Windows 2000

Запись дополнительных атрибутов (Write Extended Attributes)

Определяет возможность изменения дополнительных атрибутов файла или каталога. Дополнительные атрибуты определяются программой и могут быть ею

Удаление подпапок и файлов (Delete Subfolders and Files)

Определяет возможность удаления подкаталогов и файлов, находящихся в данном каталоге, даже в случае, если нет разрешения Удаление для подкаталогов и файлов

Удаление (Delete)

Определяет возможность удаления файла или каталога. Если вам отказано в разрешении Удаление для данного каталога или файла, вы все же можете удалить их, получив разрешение Удаление подпапок и файлов на родительский каталог

Чтение разрешений (Read Permissions)

Определяет возможность чтения таких разрешений для файлов и каталогов, как Полный доступ, Чтение и т. д.

Смена разрешений (Change Permissions)

Определяет возможность изменения таких разрешений для файлов и каталогов, как Полный доступ, Чтение и т. д.

Смена владельца (Take Ownership)

Определяет возможность вступления во владение данным файлом или каталогом. Владелец файла или каталога может всегда изменить разрешения к этому объекту, независимо от других разрешений

Синхронизация (Synchronize)

 

Определяет возможность потоков переходить в состояние ожидания на обработчике данного файла или каталога и синхронизироваться с другими потоками, запрашивающими синхронизацию. Данное разрешение относится только к многопотоковым и многопроцессовым приложениям

 

1.gif

Изображение: 

2.gif

Изображение: 

7.3.gif

Изображение: