Розроблений ще у 70-ті роки минулого століття механізм розподілу прав у операційних системах виявився настільки успішним, що використовується в UNIX-системах досі, тобто вже понад сорок років.

Права доступу 777 – що це?

Базовий принцип способу розподілу доступу включає існування обов'язкових атрибутів, таких як імена користувачів системи, а також їх груп. Майже очевидним є той факт, що в Linux у кожного користувача може бути тільки одне ім'я, яке має бути унікальним у рамках цієї системи. За допомогою нікнейму користувач входить до системи, тобто проходить авторизацію. Крім цього, операційна система містить кінцеву кількість груп користувачів. Кожен може входити до складу однієї чи кількох груп. Редагувати властивості, створювати та видаляти групи може суперкористувати - root. Учасники різних груп мають різні права для дій у системі. Так, наприклад, адміністратор має більші права, ніж гість.

Індексний дескриптор (який має кожен файл) містить логін власника та назву групи користувачів, що має права до даному файлу.

При створенні файлу його власником стає користувач, від імені якого цей процес запущено. Група новоствореного файлу визначається за допомогою ідентифікатора групи діючого процесу. При подальшій роботі всі ці значення можна змінити за допомогою команд консолі, про які йтиметься далі.

Як змінити права доступу

Команда chmod може змінити режим доступу користувача до файлу. Будь-яка зміна цих прав дозволяється виключно його власнику або суперкористувачу. У Unix-системах код прийнято задавати у вигляді числа у вісімковій формі, або за допомогою спеціальних мнемонічних знаків (літер). Використання кожного способу має свої переваги та недоліки. Так, за допомогою цифрової вказівки прав доступу системний адміністратор зможе швидше налаштувати потрібний типдоступу, а за допомогою мнемонічних кодів він зможе зробити це точніше - наприклад, додати або видалити право на запис або заборонити право на читання.

Як перший аргумент консольної команди chmod виступає специфікація прав доступу користувача, а це є мнемонічне позначення, або вісімкове число. Другий і наступний аргументи - це назви файлів, до яких ми намагаємося змінити права доступу. При встановленні прав як трьох чисел, перша цифра визначає права для власника, друга для групи, і третя всім інших користувачів.

Мнемонічні позначення прав доступу

Доступ до файлів у системі прав має такі варіації:

• r – доступ до читання файлу;
• w - право редагування даних (але не видалення);
• x - можливість запускати файл до виконання.

По відношенню до каталогів діє така система прав:

• r - користувач може читати будь-які файли директорії;
• w — із цими правами можна створювати та видаляти файли в папці, навіть якщо деякі з них у каталозі належать іншому користувачеві;
• x - означає право входу в директорію. Якщо ви маєте права w до вкладеної папки, але не маєте прав на папку рівнем вище, то і до своєї папки ніяк не проб'єтеся.

Усього можливе 8 різних комбінацій, які наведені на малюнку нижче.

Нижче ви зможете зрозуміти, як реалізувати складні варіанти призначення прав, а також як встановити права доступу 777, використовуючи мнемонічні специфікації chmod.

Як встановити права доступу 777 через SSH

Наведемо деякі приклади використання команди chmod:

• chmod 711 file_name.txt.

Використання такого сценарію розподілу файлів призведе до того, що у власника будуть усі права на файл, а всі інші групи користувачів зможуть лише виконувати його.

За використання коду 775 ми надамо власнику та всій його групі повний перелік прав. Інші користувачі не зможуть виконувати зміни у файлі. Потрібно сказати, що для вказівки файлу тільки за власним ім'ям, необхідно перебувати в директорії, де розташований цей файл. В іншому випадку ви можете переміститися в цю директорію командою cd ім'я_директорії/ім'я_вкладеної_директорії або використовувати таку структуру:

• chmod 775 /var/bin/file_name.txt.

Щоб рекурсивно змінити права до всіх файлів у каталозі та всіх вкладених папок, потрібно додати ключ -R до команди chmod. Отримана команда виглядатиме так:

• chmod -R 711 file_name.

У результаті, як виставити права доступу 777 для файлу або каталогу, не буде проблемою - просто необхідно залогінитися на вашому веб-сервері через SSH і виконати команду:

• chmod 777 ім'я_файлу.

Як встановити права доступу 777 у контрольній панелі сервера

Ви також можете реалізувати аналогічну процедуру через візуальний інтерфейс клієнта FTP FileZilla або SFTP клієнта WinSCP. Для цього необхідно буде виконати авторизацію на вашому сервері в одній з цих програм, візуальному інтерфейсі вибрати ваш файл або папку, потім натиснути праву клавішу миші і встановити галочки поруч із потрібними правами.

Іноді, у разі термінової потреби, у вас може бути доступу до Windows-клієнту, тому можна здійснити зміну прав доступу через контрольну панель веб-сервера. Для цього, використовуючи файловий менеджер вашої контрольної панелі, виберіть необхідні файли і натисніть кнопку Change Permissions ("Зміна прав"). Далі необхідно буде також відзначити все галочками, і тепер питання, як встановити права доступу 777 на папку більше не буде для вас складним.

У цій статті ми докладно розповімо про те, як можна змінити права доступу до файлів і папок у Windows 7, так само як про зміну власника файлу або папки. Ці знання стануть у пригоді, наприклад, для організації домашньої мережі, до якої підключено декілька користувачів.

Найпростіший спосіб змінити власника файлу чи папки – це використовувати Провідник Windows. Подивимося, як це можна зробити.

Як змінити власника файлу чи папки

Клацніть правою кнопкою миші на файлі або папці та виберіть команду Властивості, після чого відкрийте вкладку Безпека. Клацніть на кнопці Додатково.

Відкриється вкладка Власник.

Клацніть на кнопці Змінитиі відкриється вікно . Тепер виберіть потрібного користувача чи групу у списку Змінити власника ната клацніть на кнопці ОК.

Припустимо, що потрібного користувача чи групи у списку не було. Клацніть на кнопці Інші користувачі та групи. Тепер у полі введіть ім'я користувача чи групи.

Однак, вводити ім'я слід за спеціальними правилами, дізнатися які можна, натиснувши на посилання приклади.

Є варіант і простіше – клацніть на кнопці Додатковоа потім на кнопці Пошук. У вікні будуть знайдені всі користувачі та групи на вашому комп'ютері.

Залишилося вибрати користувача чи групу та клацнути на кнопці ОК. Ми повернемось до попереднього вікна, де буде вказано обраний нами користувач.

Клацніть на кнопці ОК. Тепер головне– встановіть прапорець , після чого клацніть на кнопці ОК. У результаті папка або файл отримають нового власника.

Як змінити дозволи доступу до файлів або папок

Гаразд, із власниками розібралися. Як щодо дозволів доступу? Ось додали ми нового власника, проте, якщо необхідно вказати, що саме дозволено йому робити, а для чого нехай губу не розкочує? Зробити це можна також за допомогою вкладки Безпека.

Клацніть правою кнопкою на файлі або папці та виберіть команду Властивості, потім перейдіть на вкладку Безпека. Виберіть поле Групи чи користувачіпотрібного користувача/групу та клацніть на кнопці Змінити.

Тепер у стовпці Дозволити та Заборонитивстановіть потрібні прапорці навпроти тих дозволів, які вам потрібні. Скажімо, якщо потрібно заборонити користувачеві зміну файлів або папок, поставте прапорець у стовпці Заборонитинавпроти дозволу Зміна. Потім клацніть на кнопці Застосуватиі заборона набуде чинності.

Всім привіт! Сьогодні ми проговоримо про права доступу до файлів та папок, дізнаємось як змінити атрибути папок та файлів та як це правильно зробити у WordPress. Дуже важливо правильно встановити права доступу WordPress, щоб захистити свій блог від злому та при цьому не порушити його працездатність.

Якщо встановити недостатньо прав, система не зможе виконати якийсь скрипт або завантажити потрібні файли, що може призвести до збоїв у роботі сайту. Якщо ж навпаки, дано занадто багато прав на сторонніх користувачів, то зловмисник може скористатися цим, наприклад, дописавши шкідливий код в системні файлиблогу.

Що таке права доступу до файлів та папок

Як правило, ми розміщуємо свої сайти на хостингах, що працюють під Unix-подібних операційних системах (Linux, наприклад). Ці операційні системи відрізняються від звичної рядової користувачеві Windowsзокрема тим, що дозволяють гнучко задавати різні права доступу для різних груп осіб.

CHMOD(англ. change file mode) - Зміна прав доступу до файлів в ОС типу Unix.

Якщо говорити простою мовою, кожному файлу задаються атрибути, що показують що кому дозволено робити з цим файлом (наприклад, власнику читати та редагувати, а стороннім особам лише читати).

Зазвичай права доступу записуються у вигляді трьох цифр, кожна з яких належить до певного виду користувачів:

• Власник файлу
• Члени групи, до якої належить власник
• Інші користувачі

Для кожного з цих видів користувачів є три права: читання (4), редагування (2), виконання (1). Якщо користувачеві потрібно задати кілька прав, то цифри у дужках складаються:

Читання + редагування = 4 + 2 = 6

Читання + редагування + виконання = 4 + 2 +1 = 7

Якщо встановити права доступу 777- повний доступ, це означатиме, що абсолютно будь-який користувач зможе зробити з вашим файлом абсолютно все. Уявіть, що може призвести до встановлення такого атрибута для важливих системних файлів.

Тому, якщо при роботі з блогом у вас виникли проблеми з редагуванням якогось файлу, поміняйте атрибут тільки для свого користувача (першу цифру замініть на 7), не потрібно задавати файлу повні права 777.

Права можна записати іншим способом – латинськими літерами

• Читання (Read) - r
• Редагування (Write) - w
• Запуск виконання (Execute) - x
• Відсутність прав - (0)

Приклади прав доступу:

За промовчанням для папок виставляються права - 755, а файлів - 644.

Як встановити в WordPress права на папки та файли

У попередніх статтях ми обговорювали способи редагування файлів. Зазвичай я використовую для цього файловий менеджерсвого хостингу. У нього приємний і зручний інтерфейсі не потрібно запускати окремих програмі створювати з'єднання все робиться через вікно браузера.

Щоб встановити атрибути файлу, виділіть його, клацніть правою кнопкою миші - "Змінити атрибути". У вікні позначте потрібні галочками або впишіть цифрами. Які саме права яким файлам призначати ми розглянемо трохи згодом.

«Застосувати рекурсивно»— дуже потрібний параметр, що дозволяє в один клік встановити потрібні атрибути не тільки папці, а й усім її підпапкам та файлам.

Як змінити атрибути файлу в Total Commander

Про це теж вже розповідалося у статті, присвяченій . Зайдіть на сайт по FTP, виділіть потрібний файлабо папку. Вкладка Файл -> Змінити атрибути (Files -> Change Attributes) - виставте потрібне.

У FileZilla все аналогічно. Клацніть правою кнопкою миші по файлу або папці -> "File permissions…".

Правильні права на файли та папки WordPress

Перейдемо до найцікавішого. Які ж права буде правильним встановити для тієї чи іншої папки чи файлу у вордпрес.

Якщо з моменту установки WordPressабо перенесення блогу на хостинг ви не встановлювали для WordPress права на папки та файли, обов'язково зробіть це! Якщо ви це колись робили, рекомендую перевірити, чи правильно у вас задані атрибути.

1. Як було зазначено вище, права 755 на папки і 644 на файли.
2. Задайте наступні права файлу wp-config.php, що знаходиться в корені: 600 -rw---

WordPress права доступу з використанням плагінів

Я волію перевірити все вручну, але комусь зручніше використовувати плагіни. У будь-якому випадку, не варто вірити плагінам на сто відсотків.

Для того, щоб перевірити правильність встановлення атрибутів для файлів та папок блогу використовується плагін для WordPress.

Після зайдіть у «Параметри» -> "File Checker"та натисніть кнопку "Run File Check". Плагін просканує всі файли блогу і можна буде переглянути, де які встановлені права - все видно. Файли, у яких права 777 будуть відзначені червоним хрестиком, — що закликає звернути особливу увагу та виправити ситуацію.

Крім наочності, я не бачу інших переваг цього плагіна. Давайте розглянемо ще один -

Цей плагін набагато корисніший. Після встановлення в меню з'явиться окремий розділ "WP Security". У ньому виберіть "WP Info"і прокрутіть до "File Scan Report".

У цьому звіті знаком окликупозначені файли та папки для яких встановлені небезпечні права. У третьому стовпчику перераховані рекомендовані для даних файлів права (Suggested permissions). При натисканні на кнопку "Apply suggested permissions", правильні атрибути виставляються автоматично.

Що ми дізналися про права доступу WordPress

• Потрібно встановлювати мінімальні права доступу для кожної папки, але так, щоб це не порушувало працездатність блогу
• Якщо ви даєте повні права на системні файли та папки вашого сайту, зловмисники не проґавлять можливості його зламати
• Весь матеріал цієї статті поширюється лише на Unix-сервері. Якщо ваш хостинг працює під Windows, ця інформація не стосується вас.

Бережіть себе та свій блог! І щоб не пропустити нових уроків щодо безпеки блогу, на оновлення.

Робота з файловою системою в сімействі Unix часто вимагає зміни та встановлення прав доступу до певних видів даних. Ці заходи дозволяють знизити ризик несанкціонованого перегляду та використання системної чи іншої інформації, важливої ​​для коректної роботи сервера.

Однак подібна захисна функція (наприклад, права доступу 777) має сенс тільки для розрахованих на багато користувачів ОС, оскільки в іншому випадку її установка буде швидше марною витратою тимчасових ресурсів.

Що означає цей термін?

У будь-якій операційній системі, яка передбачає експлуатацію різними групами користувачів, існує обмежувальний елемент. Він призначається системним адміністраторомі регулює порядок та можливості роботи з підвладною йому директорією для трьох типів користувачів:

• Власник файлу.
• Користувачів, які перебувають у групі власника.
• Всі інші особи, які мають доступ до сервера через веб-браузер.

Права доступу 777 - атрибут, що дозволяє читати, запускати та переписувати/створювати файли в директорії всім перерахованим вище видам користувачів, що існує тільки для платформи Linux. Ця функціянадає повні можливості для взаємодії з інформацією, але, на жаль, далека від уявлень про безпеку. Ця дія аналогічна розміщенню файлу в розділі загальних документів у Windows.

Права доступу 777: значення числа

У ОС Unix можливості доступу груп записуються в один рядок, що складається з трьох цифр. Кожна вказує на права одного з типів користувачів.

Таким чином, це чисельне поєднання є арифметичною сумою: 2 (запис), 4 (читання) та 1 (виконання) та описує можливості, які надає дана функція.

Як встановити права 777?

Знаючи, що вищеописаний атрибут дозволяє користувачеві розшифровування числового позначення, виставити його не складе великої праці. Щоб зробити це, буде потрібно будь-який файловий менеджер, який підтримує FTP-з'єднання з сервером, зайти на який можливо від імені адміністратора.

Відповідь на питання про те, на папку, нічим не відрізняється від інструкції для файлу: на сервері слід виділити бажаний об'єкт і викликати контекстне меню кліком правою клавішею миші. Далі – вибрати «файл» та «змінити атрибути».

У вікні менеджера потрібно вбити комбінацію цифр або поставити галочки навпроти пунктів для кожної з груп користувачів. Для серверної системи Unix також передбачений більш простий спосіб, що вимагає лише введення команди у форматі: chmod 777 %filename% (ім'я файлу чи папки) на панелі керування хостера.

Тільки для розрахованих на багато користувачів серверів

Головне - пам'ятати, що права 777 існують лише для файлів, що розташовуються безпосередньо на сервері багато користувачів, і не встановлюються на окремому комп'ютері.

Крім того, передбачена можливість виставлення даних прав і на каталоги, де «поведінка» позначених параметрів буде такою ж, як для папки, з тією різницею, що замість читання об'єктів, що знаходяться всередині, користувач отримає можливість переглядати тільки список всього вмісту. Встановлення прав на каталоги здійснюється описаними вище способами.

І, звичайно ж, слід пам'ятати про те, що виставити цей вид доступу для пакета «Денвер» не вийде, оскільки він імітує роботу мережевого веб-сервісу, однак таким насправді не є, здійснюючи діяльність на платформі Windows. Ця ОС не відноситься до розряду серверних, тому при встановленні скриптів на "Денвер" вимоги про зміну прав доступу слід просто проігнорувати.

Недоліки прав повного доступу

Серверна система права 777 використовує досить рідко, як правило, більшість хостерів дотримуються виду 755. Вони відрізняються дещо урізаними функціями для всіх користувачів, крім власника, позбавляючи їх можливості запису та створення файлів.

Виправлення прав, що надають повний доступ до вмісту, що знаходиться на сервері, часто призводить до порушення безпеки ресурсу. Зловмисники не втрачають шансу скористатися відчутним брехнею у захисті інформації, оскільки неправильно виставлені налаштування доступу дають свободу дії будь-якому користувачеві. Таким чином, нашкодити роботі сервера можуть не лише зацікавлені в цьому особи, а й необдумані дії недосвідчених користувачів.

Перед тим, як встановити права доступу 777, варто добре подумати, чи не приведе подібна недбалість до злому ресурсу.

Комп'ютери, що працюють під управлінням операційних систем Windows, можуть працювати з різними файловими системами, такими як FAT32 та NTFS. Не вдаючись у подібності можна сказати одне, що вони відрізняються головним – файлова система NTFS дозволяє налаштовувати параметри безпеки для кожного файлу або папки (каталогу). Тобто. Для кожного файлу або папки файлова система NTFS зберігає так звані списки ACL (Access Control List), в яких перераховані всі користувачі та групи, які мають певні права доступу до файлу або папки. Файлова система FAT32 такої можливості не має.

У файловій системі NTFS кожен файл або папка може мати такі права безпеки:

• Читання— Дозволяє перегляд папок та перегляд списку файлів та папок, перегляд та доступ до вмісту файлу;
• Запис- Дозволяє додавання файлів та підпапок, запис даних у файл;
• Читання та виконання— Дозволяє перегляд папок та перегляд списку файлів та підпапок, дозволяє перегляд та доступ до вмісту файлу, а також запуск виконуваного файлу;
• Список вмісту папки— Дозволяє перегляд папок та перегляд лише списку файлів та папок. Доступ до вмісту файлу ця роздільна здатність не дає!;
• Змінити— Дозволяє перегляд вмісту та створення файлів та підпапок, видалення папки, читання та запис даних у файл, видалення файлу;
• Повний доступ— Дозволяє перегляд вмісту, створення, зміна та видалення файлів та папок, читання та запис даних, а також зміна та видалення файлу

Перелічені вище права є базовими. Базові права складаються з особливих прав. Особливі права — це докладніші права, у тому числі формуються базові права. Використання спеціальних прав дає дуже велику гнучкість при налаштуванні прав доступу.

Список особливих прав доступу до файлів та папок:

• Огляд папок/Виконання файлів— Дозволяє переміщення структурою папок у пошуках інших файлів або папок, виконання файлів;
• Зміст папки/Читання даних- Дозволяє перегляд імен файлів або підпапок, що містяться в папці, читання даних із файлу;
• Читання атрибутів— Дозволяє перегляд таких атрибутів файлу або папки як «Тільки читання» та «Прихований»;
• Читання додаткових атрибутів— Дозволяє перегляд додаткових атрибутів файлу чи папки;
• Створення файлів / Запис даних— Дозволяє створення файлів у папці (застосовується лише до папок), внесення змін до файлу та запис поверх наявного вмісту (застосовується лише до файлів);
• Створення папок / Дозапис даних— Дозволяє створення папок у папці (застосовується лише до папок), внесення даних у кінець файлу, але не зміна, видалення чи заміну наявних даних (застосовується лише до файлів);
• Запис атрибутів- Дозволяє або забороняє зміну таких атрибутів файлу або папки, як "Тільки читання" та "Прихований";
• Запис додаткових атрибутів- Дозволяє або забороняє зміну додаткових атрибутів файлу чи папки;
• Видалення підпапок та файлів— Дозволяє видалити підпапки та файли навіть за відсутності дозволу «Видалення» (застосовується тільки до папок);
• Вилучення— Дозволяє видалити файл або папку. Якщо для файлу або папки немає роздільної здатності «Видалення», об'єкт можна видалити за наявності дозволу «Видалення підпапок та файлів» для батьківської папки;
• Читання дозволів— Дозволяє читати такі дозволи на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна дозволів— Дозволяє зміну таких дозволів на доступ до файлу або папки, як «Повний доступ», «Читання» та «Запис»;
• Зміна власника- Дозволяє вступати у володіння файлом або папкою;
• Синхронізація— Дозволяє очікувати різними потоками файлів або папок та синхронізувати їх з іншими потоками, які можуть займати їх. Ця роздільна здатність застосовується лише до програм, що виконуються в багатопотоковому режимі з кількома процесами;

!!!Всі базові та особливі права є як вирішальними, так і забороняючими.

Усі дозволи файлів і папок поділяються на два види: явні та успадковані. Механізм успадкування має на увазі автоматичну передачу чогось від батьківського об'єкта дочірньому. У файловій системі це означає, що будь-який файл або папка можуть успадковувати свої права батьківської папки. Це дуже зручний механізм, що позбавляє необхідності призначати явні права для всіх знову створюваних файлівта папок. Уявіть, що у вас на якомусь диску кілька тисяч файлів та папок, як їм усім роздати права доступу, сидіти та призначати кожному? Ні. Тут працює механізм успадкування. Створили папку в корені диска, папка автоматично отримала такі самі права, як і корінь диска. Змінили права для новоствореної папки. Потім усередині створеної папки створили ще вкладену папку. У цій новоствореній вкладеній папці права успадковуються від батьківської папки і т.д. і т.п.

Результатом застосування явних та успадкованих прав будуть фактичні права на конкретну папку або файл. Підводного каміння при цьому дуже багато. Наприклад, у вас є папка, в якій ви дозволяєте користувачеві "Вася" видаляти файли. Потім ви згадуєте, що в цій папці є один дуже важливий файл, який Вася в жодному разі не повинен видалити. Ви встановлюєте на важливий файл явну заборону (особливе право заборони «Видалення»). Здавалося б, справа зроблена, файл явно захищений від видалення. А Вася спокійно заходить до папки та видаляє цей суперзахищений файл. Чому? Тому, що Вася має права віддалення від батьківської папки, які в даному випадку є пріоритетними.

Намагайтеся не користуватися призначенням прав безпосередньо на файли, призначайте права на папки.

!!! Намагайтеся призначати права лише для груп, що значно спрощує адміністрування. Призначення прав для конкретних користувачів не рекомендується Microsoft. Не забувайте, що до групи можуть входити не лише користувачі, а й інші групи.

Наприклад. Якщо комп'ютер включено в домен, то до його локальної групи «Користувачі» автоматично додається група «Domain Users» (користувачі домену), а до локальної групи «Адміністратори» автоматично додається група «Domain Admins» (адміністратори домену), і відповідно, призначаючи на будь-яку папку права групі локальних користувачів, ви автоматично призначаєте права всіх користувачів домену.

Не турбуйтеся якщо все описане вище відразу не дуже зрозуміло. Приклади та самостійна робота швидко виправлять становище!

Переходимо до конкретики.

Всі приклади я показуватиму на прикладі вікон Windows XP. У Windows 7 і вище суть залишилася ідентичною, тільки вікон стало трохи більше.

Отже, щоб призначити або змінити права на файл або паку, необхідно в провіднику натиснути правою клавішею мишки на потрібний файл або папку вибрати пункт меню «Властивості»

У вас має відчинитися вікно із закладкою «Безпека»

Якщо такої закладки немає, тоді робимо таке. Запускаємо Провідник, потім відкриваємо меню «Сервіс»—"Властивості папки…"

У вікні переходимо на закладку «Вид» і знімаємо галочку з параметра «Використовувати простий доступ до файлів (рекомендується)»

Все, тепер вам доступні всі властивості файлової системи NTFS.

Повертаємось до закладки «Безпека».

У вікні нам доступно багато інформації. Зверху знаходиться список «Групи та користувачі:», в якому перераховані всі користувачі та групи, які мають права доступу до цієї папки (стрілка 1). У нижньому списку показано дозволи для виділеного користувача/групи (стрілка 2). У разі це користувач SYSTEM. У цьому списку дозволів є базові дозволи. Зверніть увагу, що у колонці «Дозволити»галочки мають бляклий колір та не доступні для редагування. Це говорить про те, що ці права успадковані від батьківської папки. Ще раз, у цьому випадку всі права користувача SYSTEM на папку «Робоча»повністю успадковані від батьківської папки, і користувач SYSTEM має всі права ( "Повний доступ")

Виділяючи у списку потрібну групу чи користувача, ми можемо переглянути базові права цієї групи чи користувача. Виділивши користувача «Гостьовий користувач ( [email protected])» можна побачити, що у нього всі права явні

А ось гурт «Користувачі (KAV-VM1\Користувачі»)має комбіновані права, частина з них успадкована від батьківської папки (сірі квадратики навпроти «Читання та виконання», "Список вмісту папки", «Читання»), а частина встановлено явно – це право «Змінити»і «Запис»

!!!Увага. Зверніть увагу на назви користувачів та груп. У дужках вказується приналежність групи чи користувача. Групи та користувачі можуть бути локальними, тобто. створеними безпосередньо на цьому комп'ютері, а можуть бути доменними. У цьому випадку група «Адміністратори»локальна, оскільки запис у дужках вказує ім'я комп'ютера KAV-VM1, а після слеша вже йде сама назва групи. Навпаки, користувач «Гостьовий користувач»є користувачем домену btw.by, на це вказує запис повного імені [email protected]

Найчастіше під час перегляду або зміни прав можна обмежитися вікном з базовими правами, але іноді цього недостатньо. Тоді можна відкрити вікно, в якому змінюються особливі дозволи, власник або переглядаються чинні дозволи. Як це зробити? Натискаємо на кнопку «Додатково». Відкривається таке вікно

У цьому вікні у таблиці «Елементи дозволів»перераховані всі користувачі, які мають права на цю папку. Так само, як і для базових дозволів, ми виділяємо потрібного користувача або групу та натискаємо кнопку «Змінити». Відкривається вікно, в якому показано всі особливі дозволи виділеного користувача або групи

Аналогічно базовим дозволам, спеціальні дозволи, успадковані від батьківської папки, будуть показані бляклим сірим кольором і не будуть доступні для редагування

Як ви вже могли помітити, у вікні спеціальних дозволів для деяких користувачів чи груп є кілька рядків.


Це відбувається тому, що для одного користувача або групи можуть бути різні види прав: явні та успадковані, які дозволяють або забороняють, що різняться за видом спадкування. У цьому випадку права на читання для групи "Користувачі" успадковуються від батьківської папки, а права на зміну додані явно.

Приклади призначення прав.

!!! Усі приклади йтимуть із наростанням складності. Читайте та розбирайтеся з ними в такій же послідовності, як вони йдуть у тексті. Однотипні дії в наступних прикладах опускатиму, щоб скоротити обсяг тексту. 🙂

Приклад 1. Надання права доступу до папки певній локальній групі безпеки лише читання.

Спочатку створимо локальну групу, до якої включимо весь список потрібних користувачів. Можна і без групи, але тоді для кожного користувача потрібно буде налаштовувати права окремо, і щоразу, коли знадобиться дати права новій людині, потрібно робити всі операції заново. А якщо права надати локальній групі, то для налаштування нової людини знадобиться лише одна дія – включення цієї людини до локальної групи. Як створити локальну групу безпеки читаємо у статті "Налаштування локальних груп безпеки".

Отже. Ми створили локальну групу безпеки з ім'ям «Колегам для читання»,


у яку додали всіх потрібних користувачів.

Тепер налаштовую права доступу до папки. У цьому прикладі я зроблю права доступу до створеної групи «Колегам для читання»на папку "Фото".

Натискаю правою кнопкою мишки на папку «ФОТО»та вибираю пункт меню «Властивості», переходжу на закладку «Безпека».

У закладці, що відкрилася «Безпека»відображаються поточні права папки «ФОТО». Виділивши групи та користувачів у списку, можна побачити, що права цієї папки успадковуються від батьківської папки (сірі галочки в стовпці «Дозволити»). У цій ситуації я не хочу, щоб хтось, окрім новоствореної групи, мав хоч якийсь доступ до папки. «ФОТО».

Тому я повинен прибрати спадкування прав і видалити непотрібних користувачів та групи зі списку. Натискаю кнопку «Додатково». У вікні,


прибираю галочку з пункту «Наслідувати від батьківського об'єкта застосовні до дочірніх об'єктів дозволи, додаючи їх до явно заданих у цьому вікні.» . При цьому відкриється вікно, в якому я зможу вибрати, що робити з успадкованими правами.

Найчастіше я раджу натискати тут кнопку «Копіювати», тому що якщо вибрати "Видалити", то список прав стає порожнім, і ви можете фактично забрати права у себе. Так, не дивуйтеся, що це дуже легко зробити. І якщо ви не адміністратор на своєму комп'ютері, чи не користувач групи «Оператори архіву», то відновити права вам буде неможливо. Ситуація нагадує двері з автоматичною клямкою, яку ви закриваєте, залишаючи ключі всередині. Тому краще завжди натискайте кнопку «Копіювати»а потім видаляйте непотрібне.

Після того, як я натиснув «Копіювати»,я знову повертаюся до попереднього вікна, тільки вже зі знятою галочкою.

Натискаю "ОК"та повертаюся у вікно базових прав. Усі права стали доступними для редагування. Мені потрібно залишити права для локальної групи «Адміністратори»та користувача SYSTEM, а решту видалити. Я по черзі виділяю непотрібних користувачів та групи та натискаю кнопку "Видалити".

В результаті у мене виходить така картина.

Тепер мені залишається додати лише групу «Колегам для читання»та призначити цій групі права на читання.

Я натискаю кнопку «Додати», і у стандартному вікні вибору вибираю локальну групу «Колегам для читання». Як працювати з вікном вибору докладно описано у статті.

В результаті всіх дій я додав групу «Колегам для читання» до списку базових прав, при цьому для цієї групи автоматично встановилися права «Читання та виконання», "Список вмісту папки", «Читання».

Все, залишається натиснути кнопку "ОК"та права призначені. Тепер будь-який користувач, який належить локальній групі безпеки «Колегам для читання»,отримає можливість читати весь вміст папки «ФОТО».

Приклад 2. Надання персонального доступу користувачам до своїх папок у папці.

Ця ситуація теж поширена практично. Наприклад, у вас є папка для нових сканованих документів. У цій папці для кожного користувача створено окрему підпапку. Після сканування документ забирається користувачем зі своєї підпапки. Завдання призначити права так, щоб кожен користувач бачив вміст лише своєї підпапки та не міг отримати доступ до підпапки колеги.

Для даного прикладуя трохи перефразую завдання. Припустимо, у нас є Загальна папка «ФОТО», в якій для кожного користувача є підпапка. Необхідно налаштувати права так, щоб користувач мав у своїй підпапці всі права, а підпапки інших користувачів були йому недоступні.

Для цього я повністю повторюю всі дії з першого прикладу. В результаті повторення у мене виходять права для всієї групи «Колегам для читання»на читання до всіх підпапок. Але моє завдання зробити видимої користувачевітільки "свою" підпапку. Тому у вікні базових прав я натискаю кнопку «Додатково»

і переходжу у вікно особливих прав, у якому виділяю групу «Колегам для читання»та натискаю кнопку «Змінити»

У вікні я змінюю правила успадкування, замість значення в полі "Застосовувати:"я вибираю значення «Тільки для цієї папки».

Це найголовніший момент цього прикладу. Значення «Тільки для цієї папки»призводить до того, що права читання для групи «Колегам для читання»поширюються лише на корінь папки «ФОТО»але не на підпапки. Таким чином, кожен користувач зможе дістатися своєї папки, але заглянути в сусідню не зможе, права на перегляд підпапок у нього немає. Якщо ж не дати таке право групі зовсім, то користувачі взагалі не зможуть потрапити до своїх підпапок. Файлова система не пропустить їх навіть у папку «ФОТО».

У результаті користувачі зможуть заходити в папку «ФОТО»але далі до підпапок зайти не зможуть!

У вікні особливих прав натискаємо "ОК"і виходимо у попереднє вікно, тепер у стовпці «Застосовувати до»навпроти групи «Колегам для читання»стоїть значення «Тільки для цієї папки».

Натискаємо у всіх вікнах "ОК"та виходимо.

Всі. Тепер залишається налаштувати персональні права на кожну підпапку. Зробити це доведеться для кожної підпапки, права персональні для кожного користувача.

Всі потрібні дії ви вже робили в першому прикладі, повторимо пройдене 🙂

На підпапці «Користувач1»натискаю правою кнопкою мишки, вибираю пункт меню «Властивості», переходжу на закладку «Безпека». Натискаю кнопку «Додати»

і у стандартному вікні вибору вибираю доменного користувачаз ім'ям «Користувач1».

Залишається встановити галочку для вирішального права «Змінити». При цьому галочка для вирішального права «Запис»встановиться автоматично.

Натискаємо "ОК". Виходимо. Залишається повторити аналогічні дії для всіх папок.

Приклад 3. Надання персонального доступу користувачеві до своєї підпапки на запис з одночасною забороною зміни або видалення.

Розумію, що важко звучить, але намагатимусь пояснити. Такий вид доступу я називаю клямкою. У побуті ми маємо аналогічну ситуацію зі звичайним поштовою скринькою, в який кидаємо паперові листи Тобто. кинути листа в ящик можна, але витягти його з ящика вже не можна. У комп'ютерному господарстві таке може стати в нагоді для ситуації, коли вам хтось записує в папку звіт. Тобто. файл записується користувачем, але потім цей користувач уже нічого не може зробити з цим файлом. Таким чином, можна бути впевненим, що творець вже не зможе змінити чи видалити переданий звіт.

Як і в попередньому прикладі, повторюємо всі дії, за винятком того, що користувачу не даємо відразу повні права на свою папку, спочатку в базових дозволах даємо лише доступ на читання, і натискаємо кнопку «Додатково»

У вікні виділяємо «Користувач1»та натискаємо кнопку «Змінити»

У вікні ми бачимо стандартні права на читання

Для того, щоб дати право користувачеві створювати файли, ставимо дозвіл на право. "Створення файлів/Запис даних", а на права «Видалення підпапок та файлів»і «Видалення»ставимо заборону. Спадкування залишаємо стандартне «Для цієї папки, її підпапок та файлів».

Після натискання кнопки "ОК"і повернення до попереднього вікна можна побачити суттєві зміни. Замість одного запису для «Користувач1»з'явилося дві.

Це тому, що встановлені два види прав, одні забороняють, вони йдуть у списку першими, другі – у списку другі. Оскільки особливі права є нестандартними, то в стовпці "Дозвіл"стоїть значення «Особливі». При натисканні кнопки "ОК"з'являється вікно, до якого windows попереджає, що є заборонні права і що вони мають більш високий пріоритет. У перекладі це означає тужнішу ситуацію з дверима, що самозакриваються, ключі від якої знаходяться всередині. Подібну ситуацію я описував у другому прикладі.

Всі. Права встановлено. Тепер «Користувач1»зможе записати у свою папку будь-який файл, відкрити його, але змінити чи видалити не зможе.

А як же повна аналогія із реальною поштовою скринькою?

Щоб користувач не зміг відкрити або скопіювати записаний файл, потрібно зробити таке. Знову відкриваємо дозволяючі особливі дозволи для «Користувач1», і в полі "Застосовувати:"змінюємо значення на «Тільки для цієї папки»

При цьому користувач не має права на читання або копіювання файлу.

Всі. Тепер аналогія із фізичною поштовою скринькою майже повна. Він зможе тільки бачити назви файлів, їх розмір, атрибути, але файл побачити не зможе.

Перегляд чинних прав.

Хочу сказати відразу, що наявна можливість переглянути чинні права для папки або файлу є повною фікцією. У моєму поданні такі інструменти мають надавати гарантовану інформацію. У разі це негаразд. Майкрософт сама визнається в тому, що цей інструмент не враховує багато факторів, що впливають на результуючі права, наприклад, умови входу. Тому користуватися подібним інструментом – лише вводити себе в оману щодо реальних прав.

Описаний на початку статті випадок, із забороною видалення файлу з папки у разі є дуже промовистим. Якщо ви змоделюєте подібну ситуацію і подивіться на права файлу, захищеного від видалення, ви побачите, що в правах файлу на видалення стоїть заборона. Однак, видалити цей файл не складе труднощів. Чому Майкрософт так зробила – я не знаю.

Якщо ж ви таки вирішите подивитися чинні права, то для цього необхідно у вікні базових прав натиснути кнопку «Додатково», і у вікні особливих прав перейти на закладку «Діючі дозволи».

Потім потрібно натиснути кнопку «Вибрати»та у стандартному вікні вибору вибрати потрібного користувача чи групу.

Після вибору можна побачити «приблизні» дозволи, що діють.

У висновку хочу сказати, що тема прав файлової системи NTFS дуже широка, наведені вище приклади лише дуже мала частина того, що можна зробити. Тому, якщо виникають питання, ставте їх у коментарях до цієї статті. Постараюсь на них відповісти.