Разрешения NTFS

Развитая система безопасности - это одна из особенностей операционной системы Windows 8.1, Windows 10. И основой этой безопасности служит файловая система NTFS, которая предполагает исполь­зование так называемых разрешений.

Под разрешением NTFS понимается правило, связанное с объектом (файлом, папкой) и используемое для управления доступом пользовате­лей к этому объекту. При этом под пользователем понимается не только пользователь-человек как таковой, но и программы, запущенные от его имени (под его учетной записью).

В NTFS, разрешения назначаемые папкам, отличаются от разрешений, назначаемых файлам. Далее будут по отдельности рассмотрены и те и дру­гие. Причем в NTFS предусмотрен как стандартный набор разрешений (для общих случаев), так и специализированный набор - для «тонкой» настройки.

Стандартные разрешения

Разрешения для папок имеют ту особенность, что они определяют воз­можные действия как для самих папок, так и для содержащихся внутри них файлов и подпапок. Ниже в таблице показано, что это могут быть за разрешения.

Стандартные разрешения NTFS для папок:

Разрешение Допускаемые действия
Чтение (Read) Разрешается просматривать вложенные папки и файлы, а

также их свойства: имя владельца, разрешения и атрибуты

(такие как «только чтение», «скрытый», «архивный» и

«системный»)

Запись (Write) Разрешается создавать и размещать внутри папки новые файлы

и подпапки, а также изменять атрибуты папки и просматривать

ее свойства: владельца и разрешения

Список
содержимого
папки (List folder
contents)
Дает право просматривать имена содержащихся в папке
файлов и вложенных подпапок
Чтение и
выполнение
(Read&Execute)
Позволяет получить доступ к файлам в подпапках, даже если

нет доступа к самой папке. Кроме того разрешает те же

действия, что предусмотрены для разрешений «Чтение»

и «Список содержимого папки»

Изменение (Modify) Разрешает все действия, предусмотренные для разрешений

«Чтение» и «Чтение и выполнение» + разрешает удаление папки

Полный доступ

(Full control)

Предоставляет полный доступ к папке. Это значит, что

допускаются все действия, предусмотренные всеми

перечисленными выше разрешениями. Дополнительно позволя-­

ется становиться владельцем папки и изменять ее разрешения

Особые

разрешения(Special

Permission)

Задает набор специальных разрешений, отличающийся от

стандартных и перечисленных ниже

Разрешения для файлов имеют те же названия, но смысл их несколько отличается.

Стандартные разрешения NTFS для файлов:

Разрешение Допускаемые действия
Чтение (Read) Разрешается чтение файла, а также просмотр его свойств:

имя владельца, разрешений и атрибутов

Запись (Write) Разрешается перезапись файла, изменение его атрибутов,

а также просмотр его владельца и разрешений

Чтение и
выполнение
(Read&Execute)
То же что и «Чтение» + возможность запуска приложения

(если файл исполняемый)

Изменение (Modify) Допускает изменение и удаление файла + то, что

предусмотрено разрешениями «Запись» и «Чтение и выполнение»

Полный доступ

(Full control)

Предоставляет полный доступ к файлу. Это значит, что

допускаются все действия, предусмотренные всеми перечис­-

ленными выше разрешениями. Дополнительно позволяется

становиться владельцем файла и изменять его разрешения

Особые

разрешения(Special

Permission)

Задает набор специальных разрешений, отличающийся от

стандартных и перечисленных ниже

Специальные разрешения

Если стандартные разрешения предназначены для общих случаев, для быстрого и удобного назначения прав доступа, то специализированные права доступа позволяют подойти к этому делу более ответственно.

При этом можно изменить стандартный набор разре­шений так, как будет необходимо. Описание специализированных раз­решений как для папок, так и для файлов показано в таблице ниже.

Специальные разрешения NTFS для файлов и папок:

Разрешение Описание
Обзор папок /

Выполнение файлов

Для папок. Разрешение «Обзор папок» позволяет или
запрещает перемещение по структуре папок в поисках других
файлов или папок. Причем это допускается даже в тех случаях,
когда пользователь не обладает разрешением на доступ к
просматриваемым папкам. Для разрешения «Обзор папок»
имеется одно ограничение: оно действительно только в том
случае, если группа или пользователь не обладает правом
«Обход перекрестной проверки», устанавливаемым в оснастке
«Групповая политика». (По умолчанию правом «Обход
перекрестной проверки» наделена группа «Все»).

.

Для файлов. Разрешение «Выполнение файлов» позволяет или
запрещает запуск программ. Обратите внимание, что
разрешение «Обзор папок» для папки не означает
автоматическую установку разрешения «Выполнение файлов»
для всех файлов, размещенных в этой папке

Содержание папки /

Чтение данных

Для папок. Разрешение «Содержание папки» позволяет или
запрещает просмотр имен файлов и подпапок, содержащихся
в папке. Это разрешение относится только к содержимому
данной папки и не означает, что имя самой этой папки также
должно включаться в список.

.

Для файлов. Разрешение «Чтение данных» позволяет или
запрещает чтение данных из файла

Чтение атрибутов Разрешает или запрещает просмотр таких атрибутов файла

или папки, как «Только чтение» и «Скрытый»

Чтение

дополнительных

атрибутов

Разрешает или запрещает просмотр дополнительных атрибутов

файла или папки. Дополнительные атрибуты определяются

программами и могут различаться для разных программ

Создание файлов /

Запись данных

Для папок. Разрешение «Создание файлов» позволяет или

запрещает создание файлов в папке (применимо только к папкам).

.

Для файлов. Разрешение «Запись данных» позволяет или.

запрещает внесение изменений в файл и запись поверх

имеющегося содержимого

Создание папок /

Дозапись данных

Для папок. Разрешение «Создание папок» позволяет или

запрещает создание папок внутри папки (применимо только к папкам).

.

Для файлов. Разрешение «Дозапись данных» позволяет или

запрещает внесение данных в конец файла, но не изменение,

удаление или замену имеющихся данных (применимо только к файлам)

Запись атрибутов Разрешает или запрещает смену таких атрибутов файла или

папки, как «Только чтение» и «Скрытый». При этом разрешение

«Запись атрибутов» не подразумевает права на создание или

удаление файлов или папок: разрешается только вносить

изменения в их атрибуты

Запись
дополнительных
атрибутов
Разрешает или запрещает смену дополнительных атрибутов

файла или папки. Дополнительные атрибуты определяются

программами и могут различаться для разных программ.

Разрешение «Запись дополнительных атрибутов» не

подразумевает права на создание или удаление файлов или

папок: разрешается только вносить изменения в их атрибуты

Удаление Разрешает или запрещает удаление файла или папки. Если для

файла или папки отсутствует разрешение «Удаление», то объект

все же можно удалить при наличии разрешения «Удаление

подпапок и файлов» для родительской папки

Удаление подпапок и
файлов
Это разрешение применяется только к папкам. Оно позволяет

или запрещает удаление подпапок и файлов внутри папки даже

в тех случаях, когда отсутствует разрешение «Удаление»

Чтение разрешений Разрешает или запрещает чтение разрешений на доступ к

файлу или папке (т.е. разрешений «Полный доступ», «Чтение» и «Запись»)

Смена разрешений Разрешает или запрещает смену разрешений на доступ к файлу

или папке (таких как «Полный доступ», «Чтение» и «Запись»)

Смена владельца Разрешает или запрещает вступать во владение файлом или

папкой. Привилегия владельца состоит в том, что он всегда

может изменять разрешения на доступ к файлу или папке,

независимо от любых разрешений, защищающих этот файл

или папку

Синхронизация При одновременном доступе к одним и тем же папкам (файлам)

данное разрешение позволяет или запрещает ожидание

различными потоками файлов или папок и синхронизацию их

с другими потоками. Это разрешение применимо только к

программам, выполняемым в многопоточном режиме с

несколькими процессами

Разрешения для файлов и папок

Ниже, в таблице показано, какие особые разрешения входят в какие стандартные разрешения. Например, можно увидеть, что в стандартное разрешение «Полный доступ» входят все специальные разрешения, а в стандартное разрешение «Изменение» - все, кроме «Удаление подпапок и файлов», «Смена разрешений» и «Смена владельца».

В таблице также можно увидеть, что стандартные разрешения «Список содер­жимого папки» и «Чтение и выполнение» включают в себя одинаковый перечень особых разрешений. Тем не менее разница все-таки есть, а зак­лючается она в том, что наследуются эти разрешения по разному. Так, разрешение «Список содержимого папки» наследуется только папками и отображается только при просмотре разрешений на доступ к папкам. Файлами это разрешение не наследуется.

Что касается разрешения «Чтение и выполнение», то оно наследуется как папками, так и файлами. Отображается оно также при просмотре разрешений на доступ как к папкам, так и к файлам.

В этой связи следует отметить, что пользователи, которым разрешен полный доступ к папке, могут удалять любые файлы в этой папке, неза­висимо от установленных для них разрешений.

Вхождение специальных разрешений в стандартные разрешения.

Особыеразрешения Стандартные разрешения
Полный доступ Изменение Чтение и выполнение Список содержимого папки
(только для папок)
Чтение Запись
Обзор папок/

Выполнение файлов

X X X X
Содержание папки/

Чтение данных

X X X X X
Чтение атрибутов X X X X X
Чтение
дополнительных
атрибутов
X X X X X
Создание файлов/

Запись данных

X X X
Создание папок/
Дозапись данных
X X X
Запись атрибутов X X X
Запись
дополнительных
атрибутов
X X X
Удаление подпапок
и файлов
X
Удаление X X
Чтение разрешений X X X X X X
Смена разрешений X
Смена владельца X
Синхронизация X X X X X X

WinNOTE
Добавить комментарий

  1. anonchick

    Ошибка. У явных разрешений выше приоритет, чем у отнаследованных.

    Ответить
  2. explorer

    Насчёт явных и унаследованных разрешений — это бесспорно, но здесь речь идёт именно о файлах которые находятся в папке, и если у пользователя полный доступ к папке, то он может удалять любые файлы в этой папке, независимо от установленных разрешений для файлов, то есть если явно установить разрешение только на чтение файла или явно запретить всё, то всё равно пользователь может удалить этот файл.

    Ответить