Права доступа к общим каталогам

Создание общего ресурса для каталога позволяет подключаться к нему по сети. Ниже перечислены различные уровни прав доступа к общим каталогам, назначаемые в среде Windows NT:

• Отсутствие доступа (No Access). Пользователь видит имя каталога, но не может обратиться к его содержимому.

• Право чтения (Read). Пользователь может видеть имя каталога, может читать и выполнять находящиеся в нем файлы, но не может изменять их.

• Право изменения (Change). Пользователь может читать, записывать и удалять содержимое каталога, но не может изменить права доступа к каталогу или находящимся в нем файлам.

• Полный доступ (Full Control). Пользователь может читать, записывать и удалять содержимое каталога, удалить сам каталог, изменить права доступа к каталогу и находящимся в нем файлам, если только право доступа к содержимому не было ограничено ранее.

Для пользователей, принадлежащих нескольким группам, действует принцип поглощения. Исключение составляет отсутствие доступа, отменяющее все остальные права. Иначе говоря, если среди этих прав нет отсутствия доступа, то во всех ситуациях применяется право с наименее жесткими ограничениями; если отсутствие доступа есть, оно всегда «побеждает».

Предположим, пользователь А принадлежит группам 1 и 2. Существующий каталог ForEveryone используется под тем же общим именем. Наконец, предположим, что члены группы 1 обладают правом чтения, а члены группы 2 — правом изменения для общего каталога ForEveryone.

В этой ситуации пользователь А обладает правом чтения (как член группы 1) и правом изменения (как член группы 2) к общему каталогу ForEveryone. Поскольку право изменения обладает более широкими возможностями по сравнению с правом чтения, пользователю А для общего каталога ForEveryone предоставляется право изменения.

Предположим, группе 1 будет запрещен доступ к ForEveryone. Даже несмотря на то, что группа 2 наделяет пользователя правом изменения, из-за существующего запрета ему не будет разрешен доступ к содержимому общего каталога ForEveryone.

Права доступа в NTFS

NTFS рассматривает каталоги (папки) и файлы как разнотипные объекты и ведет отдельные (хотя и перекрывающиеся) списки прав доступа для каждого типа. Ниже перечислены права NTFS, назначаемые папкам (соответствующие права для файлов приведены ниже:

• Нет доступа (No Access) (None)(HeT).

• Полный доступ (Full Control) (A11)(A11) (Bce)(Bce).

• Право чтения (Read) (RX)(RX) (чтение)(чтение).

• Право добавления (Add) (WX)(Not Specified) (запись/выполнение/не указано).

• Право добавления и чтения (Add & Read) (RWX)(RX) (чтение/запись/выполнение), (чтение/выполнение).

• Право просмотра (List) (RX)(Not Specified) (чтение/вьшолне- ние)(Не указано).

• Право изменения (Change) (RWXD)(RWXD) (чтение/запись/ выполнение/удаление) (чтение/запись/выполнение/удаление).

Внимание

Обратите внимание на два выражения в скобках, указанные после имени права доступа. Первое выражение относится к самой папке, а второе — ко всем файлам, которые могут быть созданы внутри нее. Например, при полном доступе для папки разрешаются любые действия, однако пользователь с полным доступом к папке также будет обладать полным правом доступа ко всем созданным в ней файлам (если только права доступа к файлу не были изменены его владельцем или администратором). Другими словами, в NTFS файлы и папки по умолчанию наследуют права доступа, установленные для их родительской папки, однако эти права могут быть изменены любым пользователем, которому разрешено изменять права доступа для соответствующих объектов NTFS.

Файлы в NTFS могут обладать следующими правами:

• Полный доступ (Full Control) (All) (Все).

• Нет доступа (No Access) (None) (Нет).

• Право изменения (Change) (RWXD) (чтение/запись/выполнение/ удаление).

• Право чтения (Read) (RX) (чтение/выполнение).

Для прав доступа NTFS, как и для прав общих каталогов, действует принцип поглощения. Исключение составляет отсутствие доступа, отменяющее действие всех остальных прав. При сетевом подключении пользователей права NTFS могут вступить в конфликт с правами общих каталогов. В такой ситуации применяется право доступа с наиболее жесткими ограничениями.

Например, в NTFS на вкладке Security пользователю А был предоставлен полный доступ к папке ForEveryone. Однако на вкладке Sharing пользователю А для той же папки было предоставлено право чтения.

Следовательно, если пользователь А попытается подключиться к папке ForEveryone по сети, он будет обладать лишь правом чтения, потому что из двух прав (NTFS и общего каталога) именно право чтения обладает наиболее жесткими ограничениями. Однако, если пользователь А обратится к папке с того компьютера, на котором находятся файлы, ему будет предоставлено право полного доступа. Это объясняется тем, что права доступа общих каталогов действуют лишь для сетевого доступа.

Совет

Для удаленных пользователей применяются как права NTFS, так и права общих каталогов (из которых выбирается право с наиболее жесткими ограничениями). Для локальных пользователей применяются только права NTFS (выбирается право с наименее жесткими ограничениями). Но помните о том, что отсутствие доступа всегда обладает наивысшим приоритетом. Поскольку в Windows NT для NTFS по умолчанию действует право полного доступа, локальный доступ к компьютеру с Windows NT Server обычно разрешается только администраторам и операторам сервера.

Наши рекомендации