Разрешение NTFS с каталогом с файлом

Чтение (R — Read) Просмотр имен каталога, Просмотр содержимого файла,

файлов в нем, разрешений разрешений на доступ к нему, его

на доступ к нему, атрибутов атрибутов и сведений о его

каталога и сведений владельце
о его владельце

Запись (W — Write) Добавление в каталог файлов Просмотр разрешений на доступ

и папок; изменение атрибутов к файлу и сведений о владельце;

каталога; просмотр атрибутов изменение атрибутов файла;

каталога, сведений о владельце изменение и добавление данных

и разрешений на доступ к нему файла

Выполнение Просмотр атрибутов каталога; Просмотр разрешений на доступ

(X — eXecute) изменения во вложенных папках; к файлу, его атрибутов и сведений

просмотр разрешений на доступ о его владельце; запуск файла

к каталогу и сведений (если он является исполняемым)
о его владельце

Удаление (D — Delete) Удаление каталога Удаление файла

Смена разрешений Изменение разрешений Изменение разрешений

(Р — change на доступ к каталогу на доступ к файлу

Permissions)

Смена владельца Назначение себя владельцем Назначение себя владельцем

(О — take Ownership) каталога файла

Индивидуальные разрешения по отдельности дают весьма ограниченные возмож­ности на доступ к файлам и каталогам и управление ими в разделах NTFS. Обыч­но же для выполнения над файлами или папками действий определенного уровня требуются наборы индивидуальных разрешений. Такие наборы в файловой систе­ме NTFS называются стандартными разрешениями. Именно они доступны в списке Type of Access (Тип доступа) диалоговых окон File Permissions и Directory Permissions программы Explorer (Проводник) в Windows NT.

Стандартные разрешения. Для того чтобы не использовать каждый раз сочетания индивидуальных разрешений, введены так называемые стандартные разрешения NTFS, которыми все и пользуются в большинстве случаев. Они представляют со­бой наиболее применяемые (с точки зрения разработчиков Microsoft) комбинации индивидуальных разрешений. Одновременное назначение нескольких индиви­дуальных разрешений для файла или каталога значительно упрощает админи­стрирование.

Приведем таблицу стандартных разрешений на файлы и каталоги системе NTFS 4 (табл. 6.9). В таблице перечислены стандартные разрешения для папок и указаны соответствующие им индивидуальные разрешения NTFS.

Теперь поясним эти разрешения. Далее первыми в скобках записаны разрешения на каталог, вторыми — разрешения на файлы в этом каталоге.

- List (RX, разрешения не указаны) — просмотр. Пользователь может только про­смотреть содержимое папки (список файлов и вложенных папок) и перей-

Файловая система NTFS_______________________________________________ 199

ти во вложенную папку, но не может получить доступ к новым файлам, со­зданным в этой папке.

- Add (WX, разрешения не указаны) — добавление. Пользователь может создать
в папке новые файлы и вложенные папки, но не может просмотреть ее теку­
щее содержимое.

- Add & Read (RWX, RX) — чтение и запись. Пользователь может создавать в папке
новые файлы или вложенные папки, читать содержимое самой папки и со­
держащихся в ней файлов и вложенных папок, а также запускать прило­
жения, которые находятся в этой папке, но не может изменить содержимое
файлов в этой папке.

- Change (RWXD, RWXD) — изменение. Пользователь может прочитать, создавать и удалять файлы и вложенные папки, а также запускать находящиеся в этой папке приложения.

- Full Control (все разрешения, все разрешения) — полный доступ. Пользователь мо­
жет читать, создавать и изменять файлы и вложенные папки, изменять раз­
решения на папку и файлы внутри нее, а также стать владельцем папки и
содержащихся в ней файлов.

Таблица 6.9.Стандартные разрешения на файлы и каталоги

Стандартные разрешения Комбинации индивидуальных разрешений

Каталоги Файлы

No Access Нет доступа Нет разрешений Нет разрешений

List Просмотр (RX) Не указано

Read Чтение (RX) (RX)

Add Добавление (WX) Не указано

Add & Read Чтение и запись (RWX) (RX)

Change Изменение (RWXD) (RWXD)

Full Control Полный доступ Все разрешения Все разрешения

Разрешение No Access (нет доступа) является самым сильным в том плане, что оно запрещает любой доступ к файлу или папке, даже если пользователь является чле­ном группы, которой дано разрешение на доступ. Стандартное разрешение No Access устанавливается, когда снимают все индивидуальные разрешения NTFS. Имейте в виду: оно обозначает не отсутствие разрешений, а явный запрет на доступ и от­меняет для пользователя все разрешения, установленные в остальных строках спис­ка управления доступом.

Разрешения Full Control (полный доступ) и Change (изменение) отличаются тем, что второе не позволяет менять разрешения и владельца объекта, то есть среди состав­ляющих его индивидуальных разрешений отсутствуют разрешения на смену раз­решений (Р) и смену владельца (0).

Специальные разрешения. И наконец, специальные разрешения. Это комбинации индивидуальных разрешений R, W, X, D, Р и 0, не совпадающие ни с одним из разреше-

200___________________________________________ Глава 6. Файловые системы

ний стандартного набора. Установить специальные разрешения NTSF в диалоговом окне разрешений (File Permissions или Directory Permissions) можно только правкой существующих разрешений для пользователя или группы. Иными словами, чтобы установить для кого-нибудь специальное разрешение NTFS, вам придется устано­вить сначала какое-либо из стандартных разрешений и лишь затем преобразовать его в специальное. При этом для папок можно отдельно регулировать доступ как к самой папке (Special Directory Access), так и к находящимся в ней файлам (Special File Access). Таким образом, удается весьма дифференцированно управлять доступом пользователей к файлам и папкам на томах с файловой системой NTFS.

Применение разрешений NTFS

Разрешения NTFS присваиваются учетным записям пользователей и групп так же, как и разрешения доступа к общим сетевым ресурсам. Пользователь может получить разрешение либо непосредственно, либо являясь членом одной или не­скольких групп, имеющих разрешение.

Применение разрешений NTFS для каталогов сходно с применением разрешений доступа к общим ресурсам. Управление разрешениями на каталог или файл осу­ществляется, как правило, через Проводник. Для этого необходимо щелкнуть на объекте правой кнопкой мыши, выбрать в контекстном меню команду Properties (Свойства) и в открывшемся окне перейти на вкладку Security (Безопасность). На этой вкладке имеется три раздела. Первый (верхний) с кнопкой Permissions (Разреше­ния) как раз и позволяет просмотреть и/или изменить разрешения, то есть управ­лять списком DACL. Второй (средний) с кнопкой Audit (Аудит) предназначен для управления списком SACL. Наконец, последний (нижний) раздел с кнопкой Owner (Владелец) предназначен для просмотра и/или смены владельца файлового объекта.

Кроме того, имеется возможность устанавливать и/или изменять списки разреше­ний NTFS через интерфейс командной строки. Для этого используется следую­щая команда:

CACLS ИмяФайла [/Т] [/Е] [/С] [/G ИмяПользователя:доступ] [/R ИмяПользователя [...]] [/Р ИмяПользователя:доступ [...]] [/D ИмяПользователя [...]]

Здесь:

- ИмяФайла — имя файла со списком управления доступом; - /Т — замена списка управления доступом для указанных файлов в текущем ка­талоге и всех подкаталогах;

- /Е — изменение списка управления доступом вместо его замены; - /С — продолжение выполнения при ошибках отказа в доступе;

- /G ИмяПользователя:доступ — определение разрешений для указанных пользо­вателей, где параметр доступ равен:

■ R — чтение,

■ С — изменение (запись),

■ F — полный доступ;

- /R ИмяПользователя — отзыв разрешений для пользователя (только вместе с клю­чом /Е);

Файловая система NTFS______________________________________________ 201

- /Р ИмяПользователя:доступ — замена разрешений для указанного пользователя,
где параметр доступ равен:

■ N — отсутствует,

■ R — чтение,

■ С — изменение (запись),

■ F — полный доступ;

- /D ИмяПользователя — запрет на доступ для указанного пользователя.

Для выбора нескольких файлов используются подстановочные знаки. В команде можно указать несколько пользователей.

У каждого файлового объекта имеется его владелец и создатель. Пользователь, создавший файл или папку на томе NTFS, становится владельцем этого файла или папки. Владелец всегда имеет право назначать и изменять разрешения на доступ к своему файлу или папке, даже если у него нет соответсвующего разрешения. Если этот пользователь является членом группы Administrators (Администраторы), фак­тическим владельцем становится вся группа Administrators.

Изначально все пользователи имеют все разрешения на файлы и каталоги. Оче­видно, что при этом они могут изменять эти разрешения, которые оформляются в виде списка. Напомним, что такой список называют списком ACL, хотя на самом деле, как уже упоминалось, речь идет о списке DACL. Список DACL состоит из записей АСЕ (Access Control Entry — запись списка управления доступом); в каж­дой из них указывается идентификатор безопасности (SID)¹ и соответствующая ему маска доступа, которая строится на основе заданных пользователем разреше­ний. Другими словами, каждому идентификатору безопасности ставится в соот­ветствие перечень индивидуальных разрешений. Например, список на некий ка­талог может выглядеть следующим образом:

- Everyone — List;

- Engineers — Add & Read;

- Managers — Change;

- Administrators — Full Control.

Этот список следует понимать так: все имеют разрешение на просмотр содержи­мого данного каталога, члены группы Engineers имеют разрешение на чтение со­держимого каталога и запись в него новых файлов, члены группы Managers могут изменять свободно каталог и его содержимое, а члены группы Administrators имеют все разрешения.

В отличие от разрешений доступа к общим (сетевым) ресурсам, разрешения NTFS защищают локальные ресурсы. В частности, файлы и папки, содержащиеся в дан­ном каталоге, могут иметь иные разрешения, нежели он сам. '

¹ Это уникальная 128-разрядная кодовая запись, на основании которой операционная система может идентифицировать пользователей. Именно SID сопровождает все запросы к операционной системе на получение того или иного ресурса, в результате чего она может вычислить и разрешения, и права пользователей на запрашиваемый ресурс.

202 Глава 6. Файловые системы

Напомним, что в системе Windows NT 4.0 разрешения NTFS для файла превали­руют над разрешениями для каталога, в котором он содержится. Например, если пользователь имеет разрешения Read (чтение) для каталога и Write (запись) для вло­женного в него файла, то он сможет записать данные в файл, но не сможет создать новый файл в этом каталоге.

Как и разрешения доступа к общим (сетевым) ресурсам, фактические разрешения NTFS для пользователя — это комбинация разрешений пользователя и групп, чле­ном которых он является. Единственное исключение — разрешение No Access (нет доступа): оно отменяет все остальные разрешения.

При указании разрешений в соответствующем окне, в которое мы попадаем после выбора в контекстном меню команды Properties (Свойства), перехода на вкладку Security (Безопасность) и щелчка на кнопке Permissions (Разрешения), следует обра­тить внимание на информацию, указанную в списке Type of Access (Тип доступа) в скобках рядом с типом разрешения. В первой паре скобок представлены индиви­дуальные разрешения на доступ к самой папке, во второй — на доступ к файлам, создаваемым в этой папке. Некоторые разрешения для папки не меняют разреше­ний для файлов (Not Specified). При этом пользователь не сможет обращаться к фай­лам в этой панке, если только разрешения на доступ для него не заданы как-ни­будь иначе (например, через разрешения, устанавливаемые на отдельные файлы). Если при форматировании тома на него устанавливается файловая система NTFS, группе Everyone (все) автоматически присваивается разрешение Full Control (пол­ный доступ) на этот том. Папки и файлы, создаваемые на этом томе, по умолчанию наследуют это разрешение.

Разрешения, установленные для пользователя, складываются (аккумулируются) с разрешениями, установленными для групп, к которым он принадлежит. Напри­мер, если на доступ к какому-либо файлу для пользователя установлено разреше­ние Read, а для группы Everyone — разрешение Change, пользователь сможет изме­нить содержимое файла или удалить его, поскольку любой пользователь всегда входит в эту группу. Из этого правила есть исключение, когда одним из установ­ленных разрешений доступа является разрешение No Access. При этом не важно, кому именно это разрешение предоставлено, пользователю или группе. Разреше­ние No Access всегда имеет приоритет, поэтому пользователь не сможет получить доступ к файлу или папке.

Пользователи, имеющие разрешение Full Control на папку, могут удалять файлы в этой папке независимо от разрешений, установленных на файл (даже если разре­шением на файл является разрешение No Access). Это следствие того, что система NTFS удовлетворяет стандарту POSIX.1. Чтобы решить проблему (если полный набор разрешений доступа к папке действительно необходим), надо установить для папки специальный тип доступа, включающий все индивидуальные разреше­ния R, W, X, D, Р и 0. При этом пользователи получают тот же набор разрешенных действий, что и при разрешении Full Control, но теряют возможность несанкциони­рованного удаления файлов в этой папке.

Также важно отметить, что, имея одно только разрешение Change Permission, позво­ляющее изменять разрешения, пользователь может установить любые разреше­ния на доступ к файлу или папке.

Файловая система NTFS_______________________________________________ 203

Пользователь, создающий папку или файл на разделах с файловой системой NTFS, становится владельцем созданного объекта. Кроме того, владельцем папки или файла может стать любой пользователь, обладающий стандартным разрешением Full Control или специальным разрешением Take Ownership. Владелец всегда имеет возможность прочитать информацию о разрешениях на доступ к папке или файлу и изменить их, даже если ему ничего не разрешено или ему предоставлено разре­шение No Access. Отсюда следует, что достаточно дать пользователю разрешение Take Ownership и он, в конечном счете, сможет получить доступ к файлу или папке на разделе NTFS.