Статья о разграничении прав доступа в операционных системах Windows: дискретном и мандатном. В статье рассматриваются разграничения прав доступа к папкам и файлам на уровне операционной системы Windows и с помощью Secret Net.
Содержание:
- Разграничение прав доступа на уровне операционной системы (дискретное разграничение в Windows)
- Разграничение прав доступа с помощью Secret Net
Дискретное разграничение прав доступа
Для того, что бы настроить правила безопасности для папок нужно воспользоваться вкладкой «Безопасность». В Windows XP эта вкладка отключена по умолчанию. Для ее активации нужно зайти в свойства папки (Меню «Сервис» -> «Свойства папки» -> «Вид») и снять флажок «Использовать простой общий доступ к файлам».
Основные права доступа к папкам
В файловой системе NTFS в Windows XP существует шесть стандартных разрешений:
- Полный доступ;
- Изменить;
- Чтение и выполнение;
- Список содержимого папки;
- Чтение;
- Запись.
В Windows 10 нет стандартного разрешения «Список содержимого папки».
Эти разрешения могут предоставляться пользователю (или группе пользователей) для доступа к папкам и файлам. При этом право «Полный доступ» включат в себя все перечисленные права, и позволяет ими управлять.
Права доступа назначаются пользователю для каждого объекта (папки и файла). Для назначения прав нужно открыть меню «Свойства» и выбрать вкладку «Безопасность». После этого выбрать необходимо пользователя, которому будут назначаться разрешения.
Создайте папки по названиям разрешений, всего у вас будет 6 папок для Windows XP и для Windows 10. Я рассмотрю на примере Windows XP, на «десятке» вам будет проще. Скачайте папки по ссылке и скопируйте в них содержимое (не сами папки, а то, что в них находится).
Отройте вкладку «Безопасность» в свойствах папки «Список содержимого папки». У меня есть пользователь user, вы можете добавить своего. Для того, что бы изменить право на объект нужно выбрать пользователя и указать ему разрешение, в данном случае «Список содержимого папки». Затем нажмите «Применить» и «ОК».
По аналогии установите права для соответствующих папок.
После установки прав доступа проверьте их. Для этого войдите в операционную систему под пользователем, для которого устанавливали права, в моем случае это user.
«Список содержимого папки» — предоставляет возможность просмотра файлов и папок в текущем каталоге. То есть вы можете посмотреть, что есть в папке, но запустить и открыть ничего не получиться.
«Чтение» — предоставляет возможность открывать в папке все файлы, кроме исполняемых файлов (например, с расширением .exe).
«Чтение и выполнение» — предоставляет возможность открывать в данном каталоге все файлы.
«Запись» — предоставляет возможность добавления файлов в папку без права на доступ к вложенным в него объектам, в том числе на просмотр содержимого каталога.
«Изменить» — предоставляет возможность открывать и создавать (изменять) файлы в папке.
«Полный доступ» — предоставляет все возможности для работы с папкой и вложенными файлами, включая изменение разрешений.
Откройте каждую папку и проверьте, что разрешения выполняются.
Элементы разрешений на доступ
Каждое разрешение состоит из нескольких элементов, которые позволяют более гибко настраивать систему безопасности. Войдите в операционную систему под учетной записью администратора.
Просмотреть элементы разрешений на доступ можно, нажав на кнопку «Дополнительно» во вкладке «Безопасность» и выбрав любой элемент разрешений.
Поэкспериментируйте с элементами и проверьте, как они работаю.
Владелец файла
В файловой системе NTFS у каждого файла есть свой владелец. Владельцем файла является пользователь операционной системы. Он может управлять разрешениями на доступ к объекту независимо от установленных разрешений.
Узнать, какой пользователь является владельцем файла или папки можно на закладке «Владелец» в дополнительных параметрах безопасности.
Наследование прав доступа
В файловой системе NTFS поддерживается наследование разрешений. Если вы устанавливаете разрешение на папку, то оно наследуется для всех вложенных файлов и папок.
При любых изменениях разрешений на родительскую папку они меняются в дочерних (вложенных) файлах и каталогах.
Для изменения унаследованных разрешений нужно открыть вкладку «Разрешения» в дополнительных параметрах безопасности. Там же можно отключить наследование разрешений.
Запреты
Кроме установки разрешений в файловых системах можно устанавливать запреты. Например, вы можете разрешить чтение и выполнение, но запретить запись. Таким образом, пользователь для которого установлен запрет и разрешения сможет запустить исполняемый файл или прочитать текстовый, но не сможет отредактировать и сохранить текстовый файл.
В дополнительных параметрах безопасности можно посмотреть действующие разрешения и для конкретного пользователя.
Разграничение прав доступа с помощью Secret Net (на примере версии 5.1)
При использовании Secret Net доступ к файлам осуществляется, в случае если пользователю присваивается соответствующий уровень допуска. В примере я использую Windows XP с установленным программным продуктом Secret Net 5.1.
Первым делом нужно запустить локальные параметры безопасности от имени Администратора: «Пуск –> Программы –> Secret Net 5 –> Локальная политика безопасности».
Далее необходимо перейти в «Параметры Secret Net» –> «Настройка подсистем» –> «Полномочное управление доступом: название уровней конфиденциальности».
Введите названия уровней. У меня это:
- Низший – Общедоступно.
- Средний – Конфиденциально.
- Высший – Секретно.
Настройка субъектов
Настройка субъектов в Secret Net производится в группе «Локальные пользователи и группы». Зайдите в меню «Пуск» –> «Программы» –> «Secret Net 5» –> «Управление компьютером» –> «Локальные пользователи и группы» –> «Пользователи».
Что бы настроить права администратора нужно выбрать учетную запись «Администратор» и перейти на вкладку Secret Net 5. Установим уровень доступа «секретно».
Далее установите все флажки.
- Управление категориями конфиденциальности означает, что пользователь имеет право изменять категории конфиденциальности папок и файлов, а так же может управлять режимом наследования категорий конфиденциальности папок.
- Печать конфиденциальных документов означает, что пользователь может распечатывать конфиденциальные документы. Данная возможность появляется, если включен контроль печати конфиденциальных документов.
- Вывод конфиденциальной информации означает, что пользователь может копировать конфиденциальную информацию на внешние носители.
После установки всех флажков нажмите «Применить» и «ОК».
Создадим нового пользователя. Для этого нужно перейти «Локальные пользователи и Группы» –> «Пользователи». Создайте новых пользователей, я назову их «Конфиденциальный» и «Секретный». По аналогии с пользователем Администратор установите для новых пользователей аналогичные уровни доступа и настройки как на рисунках ниже.
Настройка объектов
Та или иная категория конфиденциальности является атрибутом папки или файла. Изменения этих атрибутов производятся уполномоченными пользователями (в данном случае Администратором). Категория конфиденциальности может присваиваться новым файлам или папкам автоматически или по запросу.
Автоматическое присваивание категории конфиденциальности можно включить или отключить в окне настройки свойств папки. Этот параметр может редактировать только пользователь, у которого есть права на «Редактирование категорий конфиденциальности».
При этом стоит учесть, что категории конфиденциальности могут назначаться только папка и файлам в файловой системе NTFS. В случае если у пользователя нет такой привилегии, он может только повысить категорию конфиденциальности и только не выше своего уровня.
Попробуйте создать в паке новый файл или каталог, а после чего изменить ее уровень (повысить) и установить флажок «Автоматически присваивать новым файлам». У вас появиться окно «Изменение категорий конфиденциальности».
Выберите пункт «Присвоение категорий конфиденциальности всем файлам в каталоге» и нажмите «ОК» для присвоения категории конфиденциальности всем файлам кроме скрытых и системных файлов.
В случае если категория допуска пользователя выше чем категория конфиденциальности объект, то пользователь имеет право на чтение документа, но не имеет права изменять и сохранять документ.
Если пользователь с категорией «Общедоступно» попробует прочитать или удалить документ, то он получит соответствующие ошибки.
То есть пользователь не может работать с документами, у которых уровень конфиденциальности выше, чем у него.
Если вы зайдете под пользователем «Секретный» то вы сможете повысить уровень конфиденциальности файлов и работать с ними.
Не стоит забывать, что конфиденциальные файлы нельзя копировать в общедоступные папки, чтобы не допустить их утечки.
Контроль потоков данных
Контроль потоков данных используется для того, что бы запретить пользователям возможность понижения уровня конфиденциальности файлов.
Для этого нужно запустить «Локальные параметры безопасности»: «Пуск» – «Программы» –> «Secret Net 5» –> «Локальная политика безопасности», затем перейти в группу «Параметры Secret Net» –> «Настройки подсистем» и выбрать параметр «Полномочное управление доступом: Режим работы» и включить контроль потоков. Изменения вступят в силу после перезагрузки компьютера.
Если зайти (после перезагрузки) под пользователем «Секретный» появиться выбор уровня конфиденциальности для текущего сеанса. Выберите секретный уровень.
Если вы откроете файл с уровнем «Конфиденциально», отредактируете его и попробуете сохранить под другим именем и в другую папку, то вы получите ошибку, так как уровень сеанса (секретный) выше, чем уровень файла (конфиденциальный) и включен контроль потоков данных.
На этом все, если у вас остались вопросы задавайте их в комментариях.
[конспект админа] Меньше администраторов всем
Время на прочтение7 мин
Количество просмотров79K
Продолжим про безопасность операционных систем – на этот раз «жертвой» станет MS Windows и принцип предоставления минимальных прав для задач системного администрирования.
Сотрудникам, ответственным за определенные серверы и рабочие станции совсем не обязательно выдавать права «администратор домена». Хоть не по злому умыслу, по ошибке, но это может подпортить всем жизнь, а то и стоить чьих-то выходных. Под катом детально разберем принцип предоставления минимальных прав как одну из технологий предоставления минимальных прав.
Ограниченные группы
В качестве примера из практики могу привести грустную историю со счастливым концом. В организации исторически сложилось, что сервер печати находился на контроллере домена. В один прекрасный момент сотруднику отдела IT понадобилось перепрошить принтер, что он и проделал, запустив китайскую утилиту на сервере. Принтер заработал, но вот утилита в процессе перепрошивки перевела время на несколько лет назад. Active directory не очень любит путешественников во времени, и контроллер домена благополучно отправился в «захоронение» (tombstone).
Инцидент добавил седых волос, но второй контроллер домена спас ситуацию: роли FSMO перевели на него, а путешественника во времени повторно сделали контроллером домена. С тех пор в компании права «администратора домена» нужно заслужить.
Для профилактики подобных ситуаций неплохо будет выдавать желающим ровно столько прав, сколько нужно: если нужно администрировать только рабочие станции, достаточно выдать права только на компьютеры пользователей.
Когда компьютеров немного, включить доменную группу безопасности «helpdesk» в локальную группу «администраторы» можно и руками. А вот на большом объеме приходят на помощь групповые политики. Удобных способов два.
Первый способ: через Группы с ограниченным доступом (Restricted groups), расположенные в групповых политиках по адресу Конфигурация компьютера – Политики – Параметры безопасности.
Расположение политик Restricted groups.
Далее нужно создать группу «Администраторы» и добавить в нее нужную группу. Есть только один нюанс – если сделать именно так, то из локальной группы «Администраторы» исчезнут все, кроме встроенного администратора и самой группы. Даже Domain Admins:
Добавляем группу «Администраторы», в которую добавляем группу helpdesk.
И получаем локальную группу «Администраторы» без Domain admins.
Конечно, эту возможность можно использовать и во благо – зачистить локальные группы от лишних участников. Если же хочется избежать такой зачистки, то можно создать в «Группах ограниченного доступа» доменную группу и ее же назначить входящей в группу «Администраторы»:
При такой настройке локальная группа «Администраторы» не будет зачищена.
Вторым способом является настройка Предпочтения Групповых Политик (Group Policy Preference, далее – GPP). Искать следует в Конфигурации компьютера – Настройка – Локальные пользователи и группы.
Настройка группы безопасности через GPP.
Как и все настройки в GPP, эта проще в понимании и с более дружелюбным интерфейсом. Но если у вас в инфраструктуре присутствуют не обновленные Windows XP или даже Windows 2000, то остается только первый вариант.
Таким же способом можно дать права и на определенные серверы нужным сотрудникам. Например, дать права группе разработчиков на тестовый стенд.
Использование встроенных групп безопасности
Конечно, сотрудников отдела IT и системные учетные записи (например, под которыми выполняются задачи резервного копирования) проще сразу включить в группу «Enterprise Admins» и не знать горя.
Но из соображений безопасности лучше так не делать. В Windows существует набор встроенных учетных записей с набором типовых прав. Группы немного различаются для компьютера и для домена, а также ряд сервисов привносит свои группы.
Под спойлером предлагаю ознакомится с набором основных групп безопасности.
| Группа | Описание |
| Администраторы | Полные права на систему. |
| Пользователи | Возможность пользоваться без изменения системных параметров и без записи в системные разделы. Фактически пользователь – полноценный хозяин только в папке своего профиля. |
| Операторы архива | Группа, предназначенная для выполнения резервного копирования и восстановления. Участники группы могут завершать работу системы на серверах и переопределять права доступа в целях резервного копирования. |
| Опытные пользователи | Участники этой группы могут администрировать локальные учетные записи и группы (кроме администраторов), создавать сетевые ресурсы и управлять доступом на них, менять NTFS ACL (кроме смены владельца папки). |
| Пользователи удаленного рабочего стола | Членство дает возможность подключаться к компьютеру по RDP |
| Операторы печати | Операторы могут устанавливать и удалять принтеры, изменять их драйвера и настройки, останавливать и чистить очередь печати. |
| Операторы настройки сети | Могут менять настройки сетевых интерфейсов. Это полезная группа на случай если нужно переназначать получение адреса сетевой картой с автоматического на статическое. Мобильные пользователи скажут спасибо, если добавить их в эту группу. |
| Операторы учета | Пользователи в этой группе могут создавать/удалять/редактировать/перемещать учетные записи в Active Directory. Удобно дать эти права для сервиса, автоматически заводящего учетки сотрудников после приема на работу. |
Познакомиться со всеми группами и более полным описанием можно в официальной документации.
Если стандартных групп не хватает, то Windows позволяет настроить права доступа более тонко. Например, выдать отдельной группе пользователей право менять время или возможность принудительно завершать работу сервера по сети. Для этого существует механизм «назначение прав пользователей». Искать можно в локальной политике безопасности – secpol.msc или в групповой политике по адресу Конфигурация компьютера – Конфигурация Windows – Параметры безопасности – Локальные политики – Назначение прав пользователя.
Настройка прав доступа через групповые политики.
Использовать эту настройку я рекомендую в крайних случаях, и ее обязательно надо документировать. Помните о том, что когда-нибудь вас кто-то сменит и будет разбираться, почему работает так, а не иначе.
Вообще лучше всегда все документировать. Представьте ситуацию, что вы уволились из организации и вместо вас пришел человек с улицы. Поставьте себя на место этого человека. Если начал дергаться глаз или зашевелились волосы – посвятите время написанию документации. Пожалуйста!
Существует еще один хороший метод ограничения доступа к объектам – делегирование. Про эту технологию на Хабре уже писали, поэтому я лишь добавлю, что с помощью делегирования удобно выдаются права для ввода нового компьютера в домен.
Все эти технологии довольно давно существуют в системах Windows. С появлением Windows 10\2016 появилась еще одна интересная возможность ограничить учетные записи – речь о ней пойдет далее.
Достаточно администрирования
Just Enough Administration (JEA) – технология предоставления доступа к командлетам PowerShell. Работает на операционных системах вплоть до Windows 7 при установке Windows Management Framework 5.1 (правда, в самых старых операционных системах поддержка ограничена). Работа производится через так называемые «виртуальные аккаунты» и специально подготовленные файлы конфигурации. Примером использования JEA является выдача ограниченных прав на управление определенными виртуальными машинами – например, для ваших разработчиков.
Подробнее про JEA можно почитать в официальной документации, поэтому разберем конкретный пример предоставления возможности перезапуска виртуальной машины.
Сначала нам нужно разрешить удаленное подключение к серверу с помощью командлета Enable-PSRemoting, а заодно убедимся, что у нас Windows Management Framework нужной версии при помощи командлета $PSVersionTable.PSVersion.
Проверка версии и разрешение удаленных подключений при помощи PS.
Создадим группу безопасности и специального пользователя:
$VMOperatorGroup = New-ADGroup -Name "VM-operators" -GroupScope DomainLocal -PassThru
$OperatorUser = New-ADUser -Name "VMOperator" -AccountPassword (ConvertTo-SecureString 'P@ssword1' -AsPlainText -Force) -PassThru
Enable-ADAccount -Identity $OperatorUser
Add-ADGroupMember -Identity $VMOperatorGroup -Members $OperatorUserТеперь создадим нужные для работы конфигурационные файлы и папки. Сначала общие:
New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module" -ItemType Directory
New-ModuleManifest -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\Demo_Module.psd1"
New-Item -Path "C:\Program Files\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities" -ItemType DirectoryА затем создадим конкретный файл конфигурации для нашего оператора виртуальной машины с именем win. Для примера разрешим запуск и остановку виртуальной машины:
$VMRoleCapabilityParams = @{
Author = 'Сервер Молл'
Description = 'VM Role Capability File'
CompanyName = 'ServerMall'
VisibleCmdlets= 'Get-VM',
@{ Name='Start-VM'; Parameters=@{ Name='Name'; ValidateSet='win' } },
@{ Name = 'Stop-VM'; Parameters = @{ Name = 'Name'; ValidateSet = 'win'}}
New-PSRoleCapabilityFile -Path "$ENV:ProgramFiles\WindowsPowerShell\Modules\Demo_Module\RoleCapabilities\VMRoleCapability.psrc" @VMRoleCapabilityParamsТеперь необходимо подготовить файл сессии PowerShell:
$NonAdministrator = "DOMAIN\VM-win-Operators"
$ConfParams = @{
SessionType = 'RestrictedRemoteServer'
RunAsVirtualAccount = $true
RoleDefinitions = @{
$NonAdministrator = @{ RoleCapabilities = 'VMRoleCapability'}
}
TranscriptDirectory = "$env:ProgramData\JEAConfiguration\Transcripts"
}
New-Item -Path "$env:ProgramData\JEAConfiguration" -ItemType Directory
$SessionName = 'VM_OperatorSession'
New-PSSessionConfigurationFile -Path "$env:ProgramData\JEAConfiguration\VM.pssc" @ConfParamsЗарегистрируем файл сессии:
Register-PSSessionConfiguration -Name 'VM_OperatorSession' -Path "$env:ProgramData\JEAConfiguration\VM.pssc"Теперь все готово для проверки. Попробуем подключиться к серверу с учетными данными созданного пользователя командлетом:
Enter-PSSession -ComputerName SERVERNAME -ConfigurationName VM_OperatorSession -Credential (Get-Credential)Проверим список доступных команд командой get-command и попробуем остановить нашу виртуальную машину win, а затем другую машину win2.
Доступ к серверу ограничен управлением одной виртуальной машиной.
Для облегчения создания файлов конфигурации сообществом была создана утилита под названием JEA Toolkit Helper, где графический интерфейс поможет создать файлы с необходимыми параметрами.
Интерфейс JEA Toolkit Helper.
При необходимости есть возможность через групповые политики включить аудит выполнения модулей по адресу Конфигурация компьютера – Административные шаблоны – Windows Powershell – Включить ведение журнала модулей. Тогда в журнале Windows будут отображаться записи о том что, где и когда.
Журнал выполнения PowerShell.
Альтернативой будет включение записи в файл. Также через групповые политики настраивается параметр «Включить транскрипции PowerShell». Путь можно задать как в самой политике (и тогда запись туда будет вестись для всех модулей), так и в файле конфигурации сессии JEA в параметре TranscriptDirectory.
Файловый журнал JEA.
С помощью делегирования, назначения прав и JEA можно добиться отказа от использования учетных записей с администраторскими правами в повседневной работе. В конце-концов, к UAC в Windows ведь тоже привыкли и не отключаем просто потому, что «заткнись, я и так знаю что мне делать со своими файлами!».
Управление доступом
Олег Терещенко, o.tereshenko@ascod.ru
Установление прав доступа пользователей к определенным ресурсам играет важную роль в формировании системы безопасности предприятия.
В этой статье мы рассмотрим возможности назначения прав доступа в операционной системе Windows, которыми редко кто пользуется. Мы покажем, как это делается, и вы поймете, насколько это просто.
Рекомендуется экспериментировать на «лабораторном стенде», который при желании можно собрать из «подручных» материалов или в виртуальной среде.
Создадим тестовый ресурс
Свойства созданного ресурса
Вкладки:
Общие, Доступ, Безопасность, Настройка.
Перейдём в «Расширенную настройку».
Расширенная настройка общего доступа
В этой вкладке выбор небогат, есть кнопки:
- «Добавить», которая предложит добавить ещё один общий ресурс;
- «Разрешения», которая задаёт разрешения доступа к ресурсу;
- «Кэширование» — предполагает, разрешаем ли мы кэшировать находящиеся в общем доступе файлы на компьютере, который будет подключаться к этому ресурсу.
Кэширование
Кнопка «Кэширование открывает настройки автономного режима.
То есть, что делать если данный сетевой ресурс будет недоступен по каким-либо причинам для пользователя.
Сверху вниз:
- Пользователь сам может выбрать, что ему «Кэшировать»;
- Запрет «Кэширования»;
- «Кэшировать» всё, что находится на ресурсе.
При кэшировании копия ресурса сохраняется на локальном компьютере пользователя и будет доступна ему при отсутствии сетевого подключения. (Важно понимать: объём данных, «ширина» канала, на каждом компьютере будет отдельная копия, причём не обязательно идентичная другим).
Разрешения
На этой вкладке выбор тоже беден. Нам предлагается выбрать, кому будет предоставлен доступ.
По кнопке «Добавить» добавляем пользователей или группы пользователей.
Вкладка Безопасность
На мой взгляд, самая интересная вкладка.
Именно тут предлагается богатое поле деятельности и выбора.
По умолчанию предоставляется доступ локальным пользователям компьютера и разрешения родительской папки.
Нажмём кнопку «Изменить» и добавим необходимых пользователей или групп пользователей (Разницы нет. За исключением того, что, предоставляя доступ группе, доступ предоставляется всем пользователям, состоящим в указанной группе).
Добавление пользователей
В «Active Directory» уже созданы тестовые пользователи:
-
Ottest — участник групп:
пользователи домена, All/all_msk и Remote Users. -
Ottest1 — участник групп:
пользователи домена, All/all_SPb и Remote Users.
Разница между пользователями, одна группа «all_SPb» и «all_msk», этого достаточно для наших дальнейших изысканий.
Итак, у нас есть два тестовых пользователя, есть тестовый общий ресурс. Предоставим тестовым пользователям доступ к тестовому ресурсу.
Поскольку оба тестовых пользователя являются членами группы «Пользователи домена», нет необходимости предоставления доступа каждому пользователю отдельно, предоставим доступ группе «Пользователи домена».
Предоставим права на ресурс: изменение, чтение и выполнение, список содержимого папки, чтение и запись.
Если есть необходимость предоставления полного доступа, то ставим «галочку» полный доступ. Обратите внимание, что «полный доступ» разрешает всё, в том числе удаление корневой папки и редактирование разрешений папки и подпапок внутри неё. Таким образом будьте готовы к тому, что однажды, один из пользователей случайно или «НЕЧАЯННО» может удалить ресурс со всем его содержимым.
На данный момент оба тестовых пользователя имеют одинаковые права (создание, удаление и переименование файлов и папок), исключая переименование корневой папки или её удаление и изменение разрешений.
Создадим подпапки «SPB» и «MSK» и предоставим доступ группам: «all_SPb» и «all_msk». Соответственно оба тестовых пользователя получат одинаковые права доступа к созданным подпапкам, несмотря на то, что мы предоставили доступ «all_SPb» и «all_msk» соответственно, потому как оба пользователя состоят в группе «Пользователи домена».
Для того, чтобы пользователи могли заходить только в свои папки, находящиеся на общем ресурсе, нам необходимо:
- 1 вариант: отключить наследование, указав разрешения явно.
- 2 вариант: ограничить группе «Пользователи домена» права на доступ к «родительской» папке.
Второй вариант, на самом деле, предпочтительнее, поскольку использует наследование и не перечитывает полный список разрешений для дочерних папок, чем здорово облегчает жизнь нашей файловой системе.
Ограничим доступ к родительской папке и разрешим получить список содержимого и чтение файлов и папок.
После чего пользователи будут видеть содержимое родительской папки, просматривать (открывать) документы, изменение которых будет не доступно, равно как и запись в эту папку.
Аналогично пользователь, состоящий в группе «ALL_msk» сможет создавать, открывать и редактировать файлы и папки в дочерней папке «MSK», но на папку «SPB» будет иметь те же права, что и на корневой каталог, поскольку они унаследованы от родительской папки с разрешением группы «пользователи домена». Если нас это не устраивает, отключаем наследование и задаём разрешения явно.
Отключение наследования можно найти в свойствах дочерней папки.
При отключении наследования будет предложено скопировать наследуемые разрешения на дочернюю папку или удалить их.
Рекомендуется скопировать, после удалить лишнее.
Также мы можем настроить разрешения на родительскую папку таким образом, что пользователь не сможет зайти и посмотреть содержимое родительской папки, но будет иметь доступ к своей дочерней папке с необходимыми правами доступа.
«Сквозной проход» — для этого необходимо будет знать полный путь к нужной папке (ярлык на рабочем столе, к примеру). Групповыми политиками это легко делается.
Далее пробуем реализовать.
На червёртом шаге снимаем все разрешения и устанавливаем:
- траверс папок (эта опция как раз и разрешает «Сквозной проход»),
- чтение разрешений,
- чтение атрибутов,
- чтение дополнительных атрибутов.
Авторизуемся теперь пользователем «Ottest» и пройдем по нашим тестовым ресурсам
После этих нехитрых действий, у нас получилась корневая папка, в которой лежат папки с рабочими документами пользователей, в которую пользователи зайти не могут (чтобы не лазили и не подглядывали, что есть в чужих папках, и не читали чужих документов), с сохранением доступа к своей подпапке.
Как я раньше уже описывал, в групповых политиках переназначаем папку «мои документы» на такой ресурс (на вложенную папку с соответствующими правами), а сам ресурс размещаем на файловом сервере или СХД. Таким образом, при поломке клиентского компьютера, мы не теряем данные и получаем более простой и короткий вариант резервного копирования, поскольку СХД можно иметь и две, синхронизируя данные между ними.
Консультации и прием заказов:
тел. (812) 325-12-20, 8 800 700-31-24, e-mail: info@ascod.ru
Отправить запрос
Статья «Немного о лицензировании серверного ПО»
Статья «Как выбрать сервер для работы с 1С»
Статья «Выбор сервера сегодня – мировой брэнд или отечественная сборка?»
Каталог серверов Конфигуратор сервера Каталог компьютеров
Права доступа к файлам и папкам простым языком.
На просторах России много фирм и мелких предприятий не имеют в штате своего системного администратора на постоянной основе или приходящего время от времени. Фирма растёт и рано или поздно одной расшаренной папки в сети, где каждый может делать что захочет, становится мало. Требуется разграничение доступа для разных пользователей или групп пользователей на платформе MS Windows. Линуксоидов и опытных админов просьба не читать статью.
Самый лучший вариант — взять в штат опытного админа и задуматься о покупке сервера. Опытный админ на месте сам решит: поднимать ли MS Windows Server с Active Directory или использовать что-то из мира Linux.
Но данная статья написана для тех, кто решил пока мучаться самостоятельно, не применяя современные программные решения. Попытаюсь объяснить хотя бы как правильно реализовывать разграничение прав.
Прежде чем начать хотелось бы разжевать пару моментов:
- Любая операционная система «узнаёт» и «различает» реальных людей через их учётные записи. Должно быть так: один человек = одна учётная запись.
- В статье описывается ситуация, что в фирме нет своего админа и не куплен, к примеру, MS Windows Server. Любая обычная MS Windows одновременно обслуживает по сети не более 10 для WinXP и 20 человек для Win7. Это сделано фирмой Microsoft специально, чтобы клиентские Windows не перебегали дорогу серверам Windows и вы не портили бизнес Microsoft. Помните число 10-20 и когда в вашей фирме будет более 10-20 человек, вам придётся задуматься о покупке MS Windows Server или попросить кого-либо поднять вам бесплатный Linux Samba сервер, у которого нет таких ограничений.
- Раз у вас нет грамотного админа, то ваш обычный комп с клиентской MS Windows будет изображать из себя файловый сервер. Вы вынуждены будете продублировать на нём учётные записи пользователей с других компьютеров, чтобы получать доступ к расшаренным файлам. Другими словами, если есть в фирме ПК1 бухгалтера Оли с учётной записью olya, то и на этом «сервере» (именую его в дальнейшем как WinServer) нужно создать учётную запись olya с таким же паролем, как и на ПК1.
- Люди приходят и уходят. Текучесть кадров есть везде и если вы, тот бедный человек, который не админ и назначен (вынужден) поддерживать ИТ вопросы фирмы, то вот вам совет. Делайте учётные записи, не привязанные к личности. Создавайте для менеджеров — manager1, manager2. Для бухгалтеров — buh1, buh2. Или что-то подобное. Ушёл человек? Другой не обидится, если будет использовать manager1. Согласитесь это лучше, чем Семёну использовать учётную запись olya, так как влом или некому переделывать и уже всё работает 100 лет.
- Забудьте такие слова как: «сделать пароль на папку». Те времена, когда на ресурсы накладывался пароль давным давно прошли. Поменялась философия работы с различными ресурсами. Сейчас пользователь входит в свою систему с помощью учётной записи (идентификация), подтверждая себя своим паролем (аутентификация) и ему предоставляется доступ ко всем разрешённым ресурсам. Один раз вошёл в систему и получил доступ ко всему — вот что нужно помнить.
- Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.
Приготовление.
В Проводнике уберите упрощённый доступ к нужным нам вещам.
- MS Windows XP. Меню Сервис — Свойства папки — Вид. Снять галочку Использовать мастер общего доступа
- MS Windows 7. Нажмите Alt. Меню Сервис — Параметры папок — Вид. Снять галочку Использовать простой общий доступ к файлам.
Создайте на вашем компьютере WinServer папку, которая будет хранить ваше богатство в виде файлов приказов, договоров и так далее. У меня, как пример, это будет C:\dostup\. Папка обязательна должна быть создана на разделе с NTFS.
Доступ по сети.
На данном этапе нужно выдать в доступ по сети (расшарить — share) папку для работы с ней другими пользователями на своих компьютерах данной локальной сети.
И самое главное! Выдать папку в доступ с полным разрешением для всех! Да да! Вы не ослышались. А как же разграничение доступа?
Мы разрешаем по локальной сети всем подсоединяться к папке, НО разграничивать доступ будем средствами безопасности, сохраняемые в файловой системе NTFS, на которой расположена наш каталог.
- MS Windows XP. На нужной папке (C:\dostup\) правой клавишей мыши и там Свойства. Вкладка Доступ — Открыть общий доступ к этой папке. Заполняем Примечание. Жмём Разрешение. Группа Все должна иметь по сети право Полный доступ.
- MS Windows 7. На нужной папке (C:\dostup\) правой клавишей мыши и там Свойства. Вкладка Доступ — Расширенная настройка. Ставим галочку Открыть общий доступ к этой папке. Заполняем Примечание. Жмём Разрешение. Группа Все должна иметь по сети право Полный доступ.
Пользователи и группы безопасности.
Нужно создать необходимые учётные записи пользователей. Напоминаю, что если на многочисленных ваших персональных компьютерах используются различные учётные записи для пользователей, то все они должны быть созданы на вашем «сервере» и с теми же самыми паролями. Этого можно избежать, только если у вас грамотный админ и компьютеры в Active Directory. Нет? Тогда кропотливо создавайте учётные записи.
- MS Windows XP. Панель Управления — Администрирование — Управление компьютером.
Локальные пользователи и группы — Пользователи. Меню Действие — Новый пользователь. - MS Windows 7. Панель Управления — Администрирование — Управление компьютером.
Локальные пользователи и группы — Пользователи. Меню Действие — Создать пользователя.
Теперь очередь за самым главным — группы! Группы позволяют включать в себя учётные записи пользователей и упрощают манипуляции с выдачей прав и разграничением доступа.
Чуть ниже будет объяснено «наложение прав» на каталоги и файлы, но сейчас главное понять одну мысль. Права на папки или файлы будут предоставляться группам, которые образно можно сравнить с контейнерами. А группы уже «передадут» права включённым в них учётным записям. То есть нужно мыслить на уровне групп, а не на уровне отдельных учётных записей.
- MS Windows XP. Панель Управления — Администрирование — Управление компьютером.
Локальные пользователи и группы — Группы. Меню Действие — Создать группу. - MS Windows 7. Панель Управления — Администрирование — Управление компьютером.
Локальные пользователи и группы — Группы. Меню Действие — Создать группу.
Нужно включить в нужные группы нужные учётные записи. Для примера, на группе Бухгалтеры правой клавишей мыши и там Добавить в группу или Свойства и там кнопка Добавить. В поле Введите имена выбираемых объектов впишите имя необходимой учётной записи и нажмите Проверить имена. Если всё верно, то учётная запись изменится к виду ИМЯСЕРВЕРА\учётная_запись. На рисунке выше, учётная запись buh3 была приведена к WINSERVER\buh3.
Итак, нужные группы созданы и учётные записи пользователей включены в нужные группы. Но до этапа назначения прав на папках и файлах с помощью групп хотелось бы обсудить пару моментов.
Стоит ли заморачиваться с группой, если в ней будет одна учётная запись? Считаю, что стоит! Группа даёт гибкость и маневренность. Завтра вам понадобится ещё одному человеку Б дать те же права, что и определённому человеку с его учётной записью А. Вы просто добавите учётную запись Б в группу, где уже имеется А и всё!
Намного проще, когда права доступа выданы группам, а не отдельным персонам. Вам остаётся лишь манипулировать группами и включением в них нужных учётных записей.
Права доступа.
Желательно выполнять нижеперечисленные действия от встроенной учётной записи Администратор или от первой учётной записи в системе, которая по умолчанию входит в группу Администраторы.
Вот и добрались до этапа, где непосредственно и происходит магия разграничения прав доступа для различных групп, а через них и пользователям (точнее их учётным записям).
Итак, у нас есть директория по адресу C:\dostup\, которую мы уже выдали в доступ по сети всем сотрудникам. Внутри каталога C:\dostup\ ради примера создадим папки Договора, Приказы, Учёт МЦ. Предположим, что есть задача сделать:
- папка Договора должна быть доступна для Бухгалтеров только на чтение. Чтение и запись для группы Менеджеров.
- папка УчётМЦ должна быть доступна для Бухгалтеров на чтение и запись. Группа Менеджеров не имеет доступа.
- папка Приказы должна быть доступна для Бухгалтеров и Менеджеров только на чтение.
На папке Договора правой клавишей и там Свойства — вкладка Безопасность. Мы видим что какие-то группы и пользователи уже имеют к ней доступ. Эти права были унаследованы от родителя dostup\, а та в свою очередь от своего родителя С:
Мы прервём это наследование прав и назначим свои права-хотелки.
Жмём кнопку Дополнительно — вкладка Разрешения — кнопка Изменить разрешения.
Сначала прерываем наследование прав от родителя. Снимаем галочку Добавить разрешения, наследуемые от родительских объектов. Нас предупредят, что разрешения от родителя не будут применяться к данному объекту (в данном случае это папка Договора). Выбор: Отмена или Удалить или Добавить. Жмём Добавить и права от родителя останутся нам в наследство, но больше права родителя на нас не будут распространяться. Другими словами, если в будущем права доступа у родителя (папка dostup) изменить — это не скажется на дочерней папке Договора. Заметьте в поле Унаследовано от стоит не унаследовано. То есть связь родитель — ребёнок разорвана.
Теперь аккуратно удаляем лишние права, оставляя Полный доступ для Администраторов и Система. Выделяем по очереди всякие Прошедшие проверку и просто Пользователи и удаляем кнопкой Удалить.
Кнопка Добавить в данном окне Дополнительные параметры безопасности предназначена для опытных админов, которые смогут задать особые, специальные разрешения. Статья же нацелена на знания опытного пользователя.
Мы ставим галочку Заменить все разрешения дочернего объекта на разрешения, наследуемые от этого объекта и жмём Ок. Возвращаемся назад и снова Ок, чтобы вернуться к простому виду Свойства.
Данное окно позволит упрощённо достигнуть желаемого. Кнопка Изменить выведет окно «Разрешения для группы».
Жмём Добавить. В новом окне пишем Бухгалтеры и жмём «Проверить имена» — Ок. По умолчанию даётся в упрощённом виде доступ «на чтение». Галочки в колонке Разрешить автоматически выставляются «Чтение и выполнение», «Список содержимого папки», «Чтение». Нас это устраивает и жмём Ок.
Теперь по нашему техническому заданию нужно дать права на чтение и запись для группы Менеджеры. Если мы в окне Свойства, то снова Изменить — Добавить — вбиваем Менеджеры — Проверить имена. Добавляем в колонке Разрешить галочки Изменение и Запись.
Теперь нужно всё проверить!
Следите за мыслью. Мы приказали, чтобы папка Договора не наследовала права от свого родителя dostup. Приказали дочерним папкам и файлам внутри папки Договора наследовать права от неё.
На папку Договора мы наложили следующие права доступа: группа Бухгалтеры должна только читать файлы и открывать папки внутри, а группа Менеджеры создавать, изменять файлы и создавать папки.
Следовательно, если внутри директории Договора будет создаваться файл-документ, на нём будут разрешения от его родителя. Пользователи со своими учётными записями будут получать доступ к таким файлам и каталогам через свои группы.
Зайдите в папку Договора и создайте тестовый файл договор1.txt
На нём щелчок правой клавишей мыши и там Свойства — вкладка Безопасность — Дополнительно — вкладка Действующие разрешения.
Жмём Выбрать и пишем учётную запись любого бухгалтера, к примеру buh1. Мы видим наглядно, что buh1 получил права от своей группы Бухгалтеры, которые обладают правами на чтение к родительской папке Договора, которая «распространяет» свои разрешения на свои дочерние объекты.
Пробуем manager2 и видим наглядно, что менеджер получает доступ на чтение и запись, так как входит в группу Менеджеры, которая даёт такие права для данной папки.
Абсолютно так же, по аналогии с папкой Договора, накладываются права доступа и для других папок, следуя вашему техническому заданию.
Итог.
- Используйте разделы NTFS.
- Когда разграничиваете доступ на папки (и файлы), то манипулируйте группами.
- Создавайте учётные записи для каждого пользователя. 1 человек = 1 учётная запись.
- Учётные записи включайте в группы. Учётная запись может входить одновременно в разные группы. Если учётная запись находится в нескольких группах и какая-либо группа что-то разрешает, то это будет разрешено учётной записи.
- Колонка Запретить (запрещающие права) имеют приоритет перед Разрешением. Если учётная запись находится в нескольких группах и какая-либо группа что-то запрещает, а другая группа это разрешает, то это будет запрещено учётной записи.
- Удаляйте учётную запись из группы, если хотите лишить доступа, которого данная группа даёт.
- Задумайтесь о найме админа и не обижайте его деньгами.
Задавайте вопросы в комментариях и спрашивайте, поправляйте.
Видеоматериал показывает частный случай, когда нужно всего лишь запретить доступ к папке, пользуясь тем, что запрещающие правила имеют приоритет перед разрешающими правила.
Дополнительные материалы:
Как связать Microsoft Access с MySQL.
Дата последней правки: 2015-12-01 09:57:26
In Windows 11 or Windows 10, administrative permissions or rights are required to perform certain actions that make changes to the system or data, such as installing or uninstalling an app or program, renaming, moving, or deleting a file or folder.
A user account in Windows can be either an administrator, a guest, or a standard user account without admin rights. If you have access to an administrator account, you can grant admin rights to another user account. This short tutorial will show you 2 methods (via Settings and CMD) on how to give full administrator permission and rights to a user in Windows 10/11.
Also see: How to Change Administrator Email on Windows 11
How to give admin rights to user in Windows 11/10 via Settings
The bottom line is you need to have access to an administrator account on the Windows PC in order to give admin rights to another user account. Only the administrator account can grant admin rights and privileges to other users.
To give admin rights to a user in Windows 10/11, follow the steps below.
- In the Start menu, search for and open “Settings“.
- In Settings window, click on Accounts.
- On the left pane, click on Family & other users.
- Under “Other users“, select the account you want to give admin rights to.
- Then, click on Change account type.
- In the pop up window, click on the Account type down-down menu, then select Administrator.
- Click OK to confirm the changes.
After changing the account type to administrator, you should then be able to see an “Administrator – Local account” label under the selected user account.
In addition, a Windows 11/10 system can have multiple administrator accounts. Thus, you can give admin rights to as many other user accounts as you like.
If you have not created the user account yet, you can directly create a new local admin account instead. Read: How to Create Local Admin Account Without Password on Windows 11/10.
How to give administrator permission in Windows 10/11 via CMD
If you prefer to give admin rights to a user via the command prompt instead of the GUI, here’s how to do it.
Firstly, open an elevated command prompt: Search for “cmd” on the Windows 10/11 search bar. Right-click Command Prompt from the search result, and then select “Run as administrator“.
In the command prompt window, enter the following command to list all existing user accounts on your Windows 10/11 PC. This step is optional but useful if you do not know or are not sure about the exact name of the user account you want to give administrative rights to. You can copy the name of the user account to be used in the next step.
net user
To give admin rights to a user account, use the following command. Note: Replace “UserAccount” with the actual name of the user account that you want to give admin rights to.
The following command will add the specified user account to the administrator group, thus granting full administrator rights to the user account.
Net Localgroup Administrators UserAccount /add
For example:
Net Localgroup Administrators alvintest2 /add
To remove an existing administrator account from the administrator group, in other words, changing it back to a standard user account, use the following command. Replace “UserAccount” with the actual user account name that you want to delete from the admin group.
Net Localgroup Administrators UserAccount /Delete
For example:
Net Localgroup Administrators alvintest2 /Delete
How to check if you have admin rights
If you’re not sure whether you have admin rights on your Windows 11/10 PC, you can check your account type by following these steps:
- Click the Start button and select Settings.
- Click on Accounts.
- On the left pane, click on Your info.
- Under “Your account type”, you should see whether you have an Administrator or Standard account.
If you have an Administrator account, you have admin rights on your PC. If you have a Standard account, you do not have admin rights and will need to be granted them by an Administrator.
How to remove admin rights from a user
If you’ve granted admin rights to a user and want to revoke them, you can do so by following the same steps as above and changing the account type back to Standard. Alternatively, you can use the CMD method described earlier to remove the user from the Administrators group.