Развитая система безопасности - это одна из особенностей операционной системы Windows 8.1, Windows 10. И основой этой безопасности служит файловая система NTFS, которая предполагает использование так называемых разрешений.
Под разрешением NTFS понимается правило, связанное с объектом (файлом, папкой) и используемое для управления доступом пользователей к этому объекту. При этом под пользователем понимается не только пользователь-человек как таковой, но и программы, запущенные от его имени (под его учетной записью).
В NTFS, разрешения назначаемые папкам, отличаются от разрешений, назначаемых файлам. Далее будут по отдельности рассмотрены и те и другие. Причем в NTFS предусмотрен как стандартный набор разрешений (для общих случаев), так и специализированный набор - для «тонкой» настройки.
Стандартные разрешения
Разрешения для папок имеют ту особенность, что они определяют возможные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.
Стандартные разрешения NTFS для папок:
Разрешение | Допускаемые действия |
---|---|
Чтение (Read) | Разрешается просматривать вложенные папки и файлы, а
также их свойства: имя владельца, разрешения и атрибуты (такие как «только чтение», «скрытый», «архивный» и «системный») |
Запись (Write) | Разрешается создавать и размещать внутри папки новые файлы
и подпапки, а также изменять атрибуты папки и просматривать ее свойства: владельца и разрешения |
Список содержимого папки (List folder contents) |
Дает право просматривать имена содержащихся в папке файлов и вложенных подпапок |
Чтение и выполнение (Read&Execute) |
Позволяет получить доступ к файлам в подпапках, даже если
нет доступа к самой папке. Кроме того разрешает те же действия, что предусмотрены для разрешений «Чтение» и «Список содержимого папки» |
Изменение (Modify) | Разрешает все действия, предусмотренные для разрешений
«Чтение» и «Чтение и выполнение» + разрешает удаление папки |
Полный доступ
(Full control) |
Предоставляет полный доступ к папке. Это значит, что
допускаются все действия, предусмотренные всеми перечисленными выше разрешениями. Дополнительно позволя- ется становиться владельцем папки и изменять ее разрешения |
Особые
разрешения(Special Permission) |
Задает набор специальных разрешений, отличающийся от
стандартных и перечисленных ниже |
Разрешения для файлов имеют те же названия, но смысл их несколько отличается.
Стандартные разрешения NTFS для файлов:
Разрешение | Допускаемые действия |
---|---|
Чтение (Read) | Разрешается чтение файла, а также просмотр его свойств:
имя владельца, разрешений и атрибутов |
Запись (Write) | Разрешается перезапись файла, изменение его атрибутов,
а также просмотр его владельца и разрешений |
Чтение и выполнение (Read&Execute) |
То же что и «Чтение» + возможность запуска приложения
(если файл исполняемый) |
Изменение (Modify) | Допускает изменение и удаление файла + то, что
предусмотрено разрешениями «Запись» и «Чтение и выполнение» |
Полный доступ
(Full control) |
Предоставляет полный доступ к файлу. Это значит, что
допускаются все действия, предусмотренные всеми перечис- ленными выше разрешениями. Дополнительно позволяется становиться владельцем файла и изменять его разрешения |
Особые
разрешения(Special Permission) |
Задает набор специальных разрешений, отличающийся от
стандартных и перечисленных ниже |
Специальные разрешения
Если стандартные разрешения предназначены для общих случаев, для быстрого и удобного назначения прав доступа, то специализированные права доступа позволяют подойти к этому делу более ответственно.
При этом можно изменить стандартный набор разрешений так, как будет необходимо. Описание специализированных разрешений как для папок, так и для файлов показано в таблице ниже.
Специальные разрешения NTFS для файлов и папок:
Разрешение | Описание |
---|---|
Обзор папок /
Выполнение файлов |
Для папок. Разрешение «Обзор папок» позволяет или запрещает перемещение по структуре папок в поисках других файлов или папок. Причем это допускается даже в тех случаях, когда пользователь не обладает разрешением на доступ к просматриваемым папкам. Для разрешения «Обзор папок» имеется одно ограничение: оно действительно только в том случае, если группа или пользователь не обладает правом «Обход перекрестной проверки», устанавливаемым в оснастке «Групповая политика». (По умолчанию правом «Обход перекрестной проверки» наделена группа «Все»). . Для файлов. Разрешение «Выполнение файлов» позволяет или |
Содержание папки /
Чтение данных |
Для папок. Разрешение «Содержание папки» позволяет или запрещает просмотр имен файлов и подпапок, содержащихся в папке. Это разрешение относится только к содержимому данной папки и не означает, что имя самой этой папки также должно включаться в список. . Для файлов. Разрешение «Чтение данных» позволяет или |
Чтение атрибутов | Разрешает или запрещает просмотр таких атрибутов файла
или папки, как «Только чтение» и «Скрытый» |
Чтение
дополнительных атрибутов |
Разрешает или запрещает просмотр дополнительных атрибутов
файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ |
Создание файлов /
Запись данных |
Для папок. Разрешение «Создание файлов» позволяет или
запрещает создание файлов в папке (применимо только к папкам). . Для файлов. Разрешение «Запись данных» позволяет или. запрещает внесение изменений в файл и запись поверх имеющегося содержимого |
Создание папок /
Дозапись данных |
Для папок. Разрешение «Создание папок» позволяет или
запрещает создание папок внутри папки (применимо только к папкам). . Для файлов. Разрешение «Дозапись данных» позволяет или запрещает внесение данных в конец файла, но не изменение, удаление или замену имеющихся данных (применимо только к файлам) |
Запись атрибутов | Разрешает или запрещает смену таких атрибутов файла или
папки, как «Только чтение» и «Скрытый». При этом разрешение «Запись атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты |
Запись дополнительных атрибутов |
Разрешает или запрещает смену дополнительных атрибутов
файла или папки. Дополнительные атрибуты определяются программами и могут различаться для разных программ. Разрешение «Запись дополнительных атрибутов» не подразумевает права на создание или удаление файлов или папок: разрешается только вносить изменения в их атрибуты |
Удаление | Разрешает или запрещает удаление файла или папки. Если для
файла или папки отсутствует разрешение «Удаление», то объект все же можно удалить при наличии разрешения «Удаление подпапок и файлов» для родительской папки |
Удаление подпапок и файлов |
Это разрешение применяется только к папкам. Оно позволяет
или запрещает удаление подпапок и файлов внутри папки даже в тех случаях, когда отсутствует разрешение «Удаление» |
Чтение разрешений | Разрешает или запрещает чтение разрешений на доступ к
файлу или папке (т.е. разрешений «Полный доступ», «Чтение» и «Запись») |
Смена разрешений | Разрешает или запрещает смену разрешений на доступ к файлу
или папке (таких как «Полный доступ», «Чтение» и «Запись») |
Смена владельца | Разрешает или запрещает вступать во владение файлом или
папкой. Привилегия владельца состоит в том, что он всегда может изменять разрешения на доступ к файлу или папке, независимо от любых разрешений, защищающих этот файл или папку |
Синхронизация | При одновременном доступе к одним и тем же папкам (файлам)
данное разрешение позволяет или запрещает ожидание различными потоками файлов или папок и синхронизацию их с другими потоками. Это разрешение применимо только к программам, выполняемым в многопоточном режиме с несколькими процессами |
Разрешения для файлов и папок
Ниже, в таблице показано, какие особые разрешения входят в какие стандартные разрешения. Например, можно увидеть, что в стандартное разрешение «Полный доступ» входят все специальные разрешения, а в стандартное разрешение «Изменение» - все, кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца».
В таблице также можно увидеть, что стандартные разрешения «Список содержимого папки» и «Чтение и выполнение» включают в себя одинаковый перечень особых разрешений. Тем не менее разница все-таки есть, а заключается она в том, что наследуются эти разрешения по разному. Так, разрешение «Список содержимого папки» наследуется только папками и отображается только при просмотре разрешений на доступ к папкам. Файлами это разрешение не наследуется.
Что касается разрешения «Чтение и выполнение», то оно наследуется как папками, так и файлами. Отображается оно также при просмотре разрешений на доступ как к папкам, так и к файлам.
В этой связи следует отметить, что пользователи, которым разрешен полный доступ к папке, могут удалять любые файлы в этой папке, независимо от установленных для них разрешений.
Вхождение специальных разрешений в стандартные разрешения.
Особыеразрешения | Стандартные разрешения | |||||
---|---|---|---|---|---|---|
Полный доступ | Изменение | Чтение и выполнение | Список содержимого папки (только для папок) |
Чтение | Запись | |
Обзор папок/
Выполнение файлов |
X | X | X | X | ||
Содержание папки/
Чтение данных |
X | X | X | X | X | |
Чтение атрибутов | X | X | X | X | X | |
Чтение дополнительных атрибутов |
X | X | X | X | X | |
Создание файлов/
Запись данных |
X | X | X | |||
Создание папок/ Дозапись данных |
X | X | X | |||
Запись атрибутов | X | X | X | |||
Запись дополнительных атрибутов |
X | X | X | |||
Удаление подпапок и файлов |
X | |||||
Удаление | X | X | ||||
Чтение разрешений | X | X | X | X | X | X |
Смена разрешений | X | |||||
Смена владельца | X | |||||
Синхронизация | X | X | X | X | X | X |
Ошибка. У явных разрешений выше приоритет, чем у отнаследованных.
Насчёт явных и унаследованных разрешений — это бесспорно, но здесь речь идёт именно о файлах которые находятся в папке, и если у пользователя полный доступ к папке, то он может удалять любые файлы в этой папке, независимо от установленных разрешений для файлов, то есть если явно установить разрешение только на чтение файла или явно запретить всё, то всё равно пользователь может удалить этот файл.