Как получить особые разрешения в windows 10

Разрешения для приложений

Некоторые приложения и игры в Microsoft Store созданы с расчетом на то, чтобы использовать аппаратные и программные возможности вашего устройства с Windows. Приложению для работы с фотографиями может понадобиться доступ к камере телефона, а гиду по ресторанам (для рекомендации мест поблизости) — сведения о вашем местоположении.

В Windows 10 используйте страницу «Конфиденциальность», чтобы выбрать, каким приложениям разрешено использовать определенный компонент. Выберите Пуск > Параметры > Конфиденциальность. Выберите приложение (например, «Календарь») и укажите, какие разрешения для приложения включить или отключить.

На странице «Конфиденциальность» не будут указаны приложения с разрешением «Использовать все системные ресурсы». Параметры конфиденциальности нельзя применять для управления отдельными функциями, которые могут использовать эти приложения. Классические приложения для Windows попадают в эту категорию.

Разрешения для приложения можно посмотреть на странице продукта в Microsoft Store или в Интернете. Если вы не хотите, чтобы приложение использовало какие-либо перечисленные компоненты, вы можете не устанавливать его.

Вот дополнительные сведения о том, что те или иные разрешения позволяют приложению делать.

Доступ ко всем файлам, периферийным устройствам, приложениям, программам и реестру: приложение может читать и выполнять запись во все ваши файлы (включая документы, изображения и музыку), а также в параметры реестра, что позволяет приложению вносить изменения в компьютер и параметры. Приложение может без уведомления использовать все периферийные устройства, подключенные к устройству или являющиеся его частью (например, камеры, микрофоны или принтеры). Оно также может осуществлять доступ к вашему местоположению, а также использовать функции платформы, такие как журнал сведений о местоположении, диагностика приложений и другие, применение которых отклоняется большинством приложений из Store. Вы не можете управлять большинством разрешений для этого приложения в разделе «Параметры» > «Конфиденциальность». Обратите внимание, что несмотря на то что у приложения есть возможность получать доступ к этим ресурсам, фактически оно может этого не делать. Для получения дополнительных сведений о том, какие данные приложение собирает и какие функции оно использует, ознакомьтесь с политикой конфиденциальности разработчика.

Данные учетной записи: доступ к любым сведениям вашей учетной записи.

Разрешить повышение прав: позволяет приложению работать с правами администратора без предварительного запроса разрешения у пользователя.

Диагностика приложений: получение диагностических сведений о других запущенных приложениях.

Bluetooth: активация и использование любых подключений Bluetooth между вашим устройством и другими устройствами.

Календарь: доступ к вашим календарям.

Журнал вызовов: доступ к журналу телефонных вызовов на устройстве, в Skype и других приложениях для телефонии.

Контакты: доступ к вашим приложениям «Контакты», «Люди» и «Адресная книга».

Действия выборочной установки: установка дополнительного программного обеспечения.

Электронная почта: доступ к вашим письмам и сведениями об учетной записи электронной почты.

Распознавание лиц: активация и использование любого оборудования для распознавания лиц.

Файловая система: доступ к файлам и папкам, к которым у вас есть доступ, а также чтение и запись во все ваши файлы (включая документы, изображения и музыку).

Сканер отпечатков пальцев: активация и использование любого оборудования для сканирования отпечатков пальцев.

Локальные системные службы: установка службы на компьютере, работающей с максимальными привилегиями.

Местоположение: активация и использование GPS или других функций определения местоположения на устройстве. Доступ к данным о расположении в приложении «Карты» и других приложениях, использующих данные о местоположении.

Сообщения: доступ к мгновенным сообщениям и сведениям об учетной записи.

Микрофон: активация и использование микрофона на вашем устройстве.

Изменяемое приложение: позволяет пользователю изменять приложение.

Движение: активация и использование акселерометра или других датчиков движения на вашем устройстве.

Библиотека музыки: доступ к любым музыкальным файлам, расположенным в библиотеке музыки на вашем устройстве.

NFC: активация и использование любых подключений NFC между вашим устройством и другими устройствами.

Уведомления: доступ к вашим уведомлениям в центре уведомлений.

Упакованные службы: установка службы на компьютере.

Оболочка совместимости для перенаправления записи пакетов: позволяет приложению создавать, изменять или удалять файлы в папке установки приложения.

Библиотека изображений: доступ к любым изображениям, находящимся в библиотеке изображений на вашем устройстве.

Задачи: доступ к вашему списку задач в Outlook и других приложениях для отслеживания задач.

Невиртуализированные ресурсы: запись в записи реестра и файлы, которые не очищаются при удалении.

Библиотека видео: доступ к любым видеофайлам, находящимся в библиотеке видео на вашем устройстве.

Распознавание голоса: активация и использование оборудования для распознавания голоса.

Веб-камера: активация и использование камеры на вашем устройстве.

Wi-Fi: активация и использование подключений Wi-Fi между вашим устройством, Интернетом и другими устройствами.

Проводные подключения: активация и использование любых проводных подключений, в том числе Ethernet, USB и последовательных соединений, между вашим устройством, Интернетом и другими устройствами.

Источник

Как включить особые разрешения?

Как получить особые разрешения в Windows 10?

Вот как стать владельцем и получить полный доступ к файлам и папкам в Windows 10.

Как установить особые разрешения для файлов и папок?

Чтобы установить специальные разрешения NTFS для файлов и папок, выполните следующие действия:

Что такое особые разрешения в Windows 10?

Установка «Особых разрешений» для папки «Данные приложения». Параметр безопасности «Особые разрешения» в операционных системах Windows позволяет определить, какие пользователи будут иметь доступ к определенным файлам или папкам и какие действия им разрешено выполнять с выбранным файлом или папкой.

Как мне предоставить разрешения на моем компьютере?

Сетевое администрирование: предоставление разрешений на общий ресурс

Как мне дать себе права администратора Windows 10?

Вот шаги, которые необходимо выполнить:

Что такое разрешения Windows?

При установке разрешений вы указываете, что пользователи могут делать в этой папке, например сохранять и удалять файлы или создавать новую папку. Вы не ограничены выбором одной из стандартных настроек разрешений (Полный доступ, Изменение, Чтение и выполнение, Список содержимого папки, Чтение или Запись).

Что такое особые разрешения для папки?

Специальные разрешения NTFS подробно описаны ниже. Traverse Folder позволяет получить доступ к папке, вложенной в дерево, даже если родительские папки в этом дереве запрещают пользователю доступ к содержимому этих папок. Execute File позволяет запускать программу. Позволяет просматривать расширенные атрибуты объекта.

Как удалить специальные разрешения из папки?

Щелкните имя группы или пользователя, а затем щелкните Изменить. Удалите существующую группу или пользователя и их особые разрешения. Щелкните имя группы или пользователя, а затем щелкните Удалить.

Как изменить разрешения для общей папки в Windows 10?

Чтобы установить права доступа к папке, выполните следующие действия:

Что такое специальные разрешения NTFS?

Специальные разрешения NTFS — это индивидуальные разрешения, которые предоставляются или отклоняются, когда стандартные разрешения файловой системы NTFS недостаточно детализированы для конкретных целей безопасности.

Что папки позволяют пользователю делать?

Ответ: Папка позволяет пользователю хранить в ней еще один файл. Это помогает пользователю систематизировать файлы.

Как мне дать разрешение на файл?

Изменить права доступа к файлам

Чтобы изменить права доступа к файлам и каталогам, используйте команду chmod (режим изменения). Владелец файла может изменить разрешения для пользователя (u), группы (g) или других (o) путем добавления (+) или вычитания (-) разрешений на чтение, запись и выполнение.

Как мне изменить разрешения?

Изменить разрешения приложения

Как изменить разрешения учетной записи Microsoft?

Выберите Пуск> Параметры> Конфиденциальность. Выберите приложение (например, Календарь) и выберите, какие разрешения для приложения включены или отключены. На странице конфиденциальности не будут перечислены приложения, которым разрешено использовать все системные ресурсы. Вы не можете использовать настройки конфиденциальности, чтобы контролировать, какие возможности могут использовать эти приложения.

Источник

Идентификатор безопасности в Windows – как определять права пользователей

Windows предлагает несколько уровней защиты для файлов и папок. В статье Разрешения общих папок в Windows: как управлять ими, мы увидели, как можно обмениваться содержимым файлов и папок в локальной сети, создавая учетные записи, которые имеют право на доступ к ресурсу, и какие разрешения они могут использовать (например, доступ только для чтения или возможность редактировать контент).

На уровне файловой системы каждая учетная запись в системе может иметь или не иметь доступ к определенным ресурсам. Не только к файлам и папкам, а также к ключам реестра, принтерам, системным объектам, таким как процессы, службы, области общей памяти и так далее.

Как вы знаете, даже используя учетную запись администратора, если вы попытаетесь получить доступ к ресурсам, к которым у вас нет соответствующих привилегий, вы получите сообщение: У вас нет необходимых разрешений для доступа к папке. Это связано с тем, что Windows Explorer (explorer.exe) всегда работает с обычными правами, а не с правами администратора.

Если дважды щелкнуть по учетной записи, которая принадлежит не вам, вы увидите сообщение об отсутствии прав на доступ.

В целом, все процессы пользуются правами пользователя с ограниченными правами, даже если они запускаются с учетной записью, которая входит в группу «Администраторы». Когда программе требуются более широкие права, Windows отобразит – в конфигурации по умолчанию – запрос безопасности UAC.

Единственным исключением являются некоторые инструменты Windows для изменения настроек системы (окно «Параметры Windows» и панель управления). В этих случаях вы получите полные права без дальнейших проверок, если только вы не будете вмешиваться в особенно глубокие аспекты конфигурации системы.

Это также можно проверить с помощью утилиты Process Explorer, о которой мы часто говорим.

Как определить группу учетной записи

В командной строке (cmd или PowerShell) вы можете набрать whoami, чтобы мгновенно вернуться к имени вашей учетной записи пользователя, даже если – в Windows 10 – вы используете учетную запись Microsoft.

На этом этапе, набрав net user, а затем имя учетной записи, вы можете проверить, к какой группе она принадлежит (проверить, что отображается рядом с элементами Членства в группах).

Вы также можете использовать команду net localgroup Administrators, чтобы в результате получить список учетных записей, принадлежащих группе администраторов.

Обычно вы также заметите наличие административной учетной записи с именем «Администратор»: её нельзя выбрать на экране входа в Windows, поскольку она обычно отключена. Эту учетную запись можно включить и использовать при необходимости.

Аналогично, с помощью команды net localgroup Users можно получить список учетных записей, принадлежащих группе Users, с более ограниченными правами.

Дважды щелкнув имя пользователя и выбрав вкладку Членство в группах, вы найдете информацию о группе или группах, к которым он принадлежит.

Что такое SID в Windows

Аббревиатура для идентификатора безопасности, SID – это буквенно-цифровой идентификатор, более или менее длинный, который используется Windows для уникальной ссылки на учетные записи и группы пользователей. Короче говоря, операционная система использует не имена отдельных учетных записей, а их идентификацию (SID).

Существуют общий SID для учетных записей или других системных компонентов, общих для всех установок Windows, в то время как идентификаторы, созданные для отдельных учетных записей пользователей, являются абсолютно уникальными. Настолько, что учетная запись food, созданная при установке Windows, не будет иметь тот же SID, что и учетная запись food, созданная как часть другой установки, даже на той же машине.

Следующая команда PowerShell позволяет получить список всех идентификаторов безопасности, настроенных в системе, а также соответствие с различными учетными записями:

Если вас интересуют только учетные записи пользователей, просто используйте команду gcim Win32_UserAccount | ft Name, SID. Чтобы получить идентификаторы безопасности групп: gcim Win32_Group | ft Name, SID.

Встреча с SID случается редко: это может произойти, например, при попытке восстановить файлы из незавершенной установки Windows или из другой установки Windows на том же компьютере. Получив доступ к свойствам папки, затем перейдите на вкладку Безопасность и найдете имена SID вместо имен учетных записей пользователей.

Если у вас возникают проблемы с доступом к ресурсу с использованием учетной записи администратора, вы можете использовать команду takeown, чтобы получить полный контроль над содержимым папки.

Источник

Как изменить унаследованные разрешения в Windows 10?

Где есть возможность наследования разрешений?

Включение унаследованных разрешений для файла или папки в дополнительных параметрах безопасности. 1 В проводнике (Win + E) щелкните правой кнопкой мыши или нажмите и удерживайте файл или папку, для которых вы хотите включить унаследованные разрешения, и щелкните / коснитесь «Свойства».

Что такое отключить наследование в Windows 10?

Отключение наследования часто является более безопасным и простым способом ограничить доступ к определенной подпапке внутри папки проекта (родительская папка), сохраняя при этом доступ к остальным подпапкам в папке проекта. Удаление разрешений полезно, когда вам нужно полностью отозвать доступ пользователя или групп.

Как изменить особые разрешения в Windows 10?

БОЛЬШЕ: Как использовать Windows 10

Что наследует разрешения от своего родителя?

Унаследованные разрешения — это разрешения, которые даются объекту, потому что он является дочерним по отношению к родительскому объекту.

Как мне перестать наследовать разрешения от родительской папки?

Отключить унаследованные разрешения для файла или папки в Windows 10

Что такое действующие разрешения?

Действующие разрешения — это совокупные разрешения, которые пользователь имеет для доступа к ресурсу на основе его или ее индивидуальных разрешений, разрешений группы и членства в группе.

Что делает включение наследования?

2) Настройка наследования означает, что эта папка наследует разрешения сверху — или нет. «Сверху» означает любую из родительских папок или букву диска в корне всех папок. … Когда вы видите кнопку «Разрешить наследование», это означает, что наследование сверху в данный момент отключено для этой папки.

Что такое наследование разрешений?

Наследование разрешений означает, что настройки разрешений для сайта, списка, папки или элемента списка в семействе сайтов наследуются его нижним уровнем, например: См. Изображение 1 ниже. Сайт верхнего уровня — это «родительский» сайт, а сайты ниже известны как «дочерние» сайты.

При отключении унаследованных разрешений для объекта Что произойдет, если вы выберете Удалить все унаследованные разрешения для этого объекта?

Что произойдет при отключении унаследованных разрешений для объекта, если вы выберете Удалить все унаследованные разрешения для этого объекта? Он удалит все существующие разрешения, включая учетные записи администратора.

Как разрешить особые разрешения?

Эти разрешения можно установить, чтобы разрешить доступ определенным пользователям вместе с типами пользователей и группами.

Как отключить специальные разрешения в Windows 10?

Как определить, унаследовано ли разрешение?

На вкладке «Разрешения» страницы «Дополнительные параметры безопасности» в разделе «Записи разрешений» в столбце «Применить к» указано, к каким папкам или подпапкам применяется разрешение. В столбце «Унаследовано от» указано, откуда унаследованы разрешения.

Что значит наследование?

Наследование — это финансовый термин, описывающий активы, переданные физическим лицам после чьей-либо смерти. Большая часть наследства состоит из наличных денег, которые хранятся на банковском счете, но могут содержать акции, облигации, автомобили, драгоценности, автомобили, предметы искусства, антиквариат, недвижимость и другие материальные активы.

Как предотвратить наследование разрешений объектом?

Источник

Как настроить разрешения пользователя для файлов и папок в Windows 10.

в Windows 7/8/10 11.06.2018 0 3,124 Просмотров

Если говорить о лучших характеристиках Windows 10, то она является мульти-пользовательским объектом. Пользователи могут создавать различные учётные записи в одной операционной системе Windows 10. Эти аккаунты могут быть с учётной записью администратора, учетной записью гостя, детской учетной записью и многое подобное другое. Независимо от того, в какой учётной записи вы можете находиться, каждая учётная запись имеет свои индивидуальные настройки. Таким образом, каждая учётная запись имеет свой личный доступ авторизации. Вот почему мы действительно обсуждаем, как настроить разрешения пользователя для файлов и папок в Windows 10.
Каждая ОС Windows 10 может иметь различные учётные записи, чтобы работать в них и для бесперебойного обслуживания, поэтому все пользователи будут делать разделение учётных записей пользователей на различные виды и категории. И, делая это, вы убедитесь, что файлы и папки в безопасности от любопытных людей. Что-нибудь понятно? Чтобы сделать этот вопрос проще, Windows 10 имеет функцию Пользовательские разрешения, которая запрещает несанкционированный доступ к вашим значимым данным.

Если вы довольно дружелюбны с терминами технологии, то вы поняли бы почему пользовательские разрешения значимы для того чтобы они были в ОС. Ну а для других не так уж и сложно понять их смысл. Различные учётные записи пользователей имеют свои индивидуальные настройки, с помощью которых они могут получить доступ к файлам и папкам из других учётных записей пользователей. И это обеспечивает несанкционированный доступ к вашим важным файлам данных. Что бы правильно понять, что делают разрешения пользователей, мы перейдем к настройке разрешений пользователей для файлов и папок в Windows 10.

Перед выполнением этих действий убедитесь, что вы вошли в систему с административными правами, так как только администраторы могут изменять пользовательские разрешения для файлов и папок. У вас будут определённые системные папки; не изменяйте их разрешения по умолчанию, так как это может привести к некоторым трудностям.

Как настроить разрешения пользователя для файлов и папок в Windows 10

Найдите файл или папку, права пользователя на которые вы хотите изменить. Сделайте правой кнопкой мыши щелчок на ней, когда вы нашли и выбрали, чтобы открыть окно Свойства.

В окне «Свойства» войдите на вкладку «Безопасность». Там вы увидите все имена пользователей или групп вместе со списком разрешений. Нажмите кнопку «Изменить», чтобы изменить разрешения пользователя.

На экране появится другое окно разрешений для выбранной папки. Здесь, в сегменте групп или имён пользователей, выберите учетную запись, для которой вы хотите выполнить изменения. Затем найдите сегмент разрешений, в котором вы найдёте список разрешений вместе с двумя полями, разрешить и запретить. Предоставляйте или отказывайте разрешения для каждой операции, выбирая флажки доступа или запретить. После завершения нажмите «Применить» и «ОК».

Полный контроль: предоставление зеленого сигнала этому разрешению означает, что пользователи имеют полный доступ к файлам и папкам. Они могут видеть, и читать их.

Модификация: возможны модификации существующих файлов и папок. Создание новых будет запрещено.

Чтение и выполнение: здесь пользователи могут видеть тему и запускать программы доступных файлов и папок.

Читать: пользователям разрешено только просматривать файлы, а также папки, но исполнение не возможно с таким разрешением.

Записать: если у вас есть запись, вы можете создать новую, а также изменять имеющиеся файлы и папки.

Изменения сразу же вступят в силу. И если конкретный файл или папка находит какой-либо несанкционированный доступ к ней, она будет запрашивать учетные данные администратора.

Несколько шагов обеспечивает хорошую безопасность для ваших специальных и важных файлов и папок от несанкционированного доступа. Функция разрешения пользователям в Windows 10 действительно ставит всех в изумление, когда файлы и папки сделаны так безопасно. О чём ты всё ещё думаешь? Дайте этой функции попробовать и посмотрите, как замечательно эта функция работает и насколько безопасны ваши существенные данные. И расскажите нам, как это было у вас с помощью функции разрешения доступа пользователям в Windows 10.

Источник

Случается так, что Windows 10 отказывает пользователям в предоставлении доступа к файлам и папкам, хранящимся на компьютере. В основном, данная проблема связана с тем, что юзеры не обладают соответствующими правами, даже несмотря на наличие учетной записи с правами администратора. Обычно такое происходит в случае с системными файлами / папками, либо с теми, что ранее принадлежали пользователю, чья учетная запись более не существует. Что делать, если отказано в доступе к файлу или папке в Windows 10? Если данная проблема мучает и вас, вам должна помочь эта инструкция, в которой описано, как получить полный доступ к файлам или папкам в Windows 10.

Получить полный доступ к файлу или папке в Windows 10 через Проводник

1. Откройте Проводник и отыщите нужный файл или папку. Если файл или папку в проводнике не видно, не забудьте включить отображение скрытых файлов и папок.
   
2. Правой кнопкой мышки щелкните по файлу или папке и нажмите на пункт Свойства.
   
3. Перейдите в Безопасность и нажмите на кнопку Дополнительно.
   
4. В окне Дополнительные параметры безопасности нажмите на ссылку Изменить.
   
5. Нажмите на Дополнительно — Поиск.
   
6. Из перечня пользователей и групп выберите предпочитаемого владельца и нажмите ОК.
   
7. Установите галочку напротив Заменить владельца подконтейнеров и объектов, и нажмите на ОК.
   
8. Вновь щелкните правой кнопкой мышки по файлу или папке и откройте Свойства – Безопасность.
   
9. Нажмите на Дополнительно – Добавить.
   
10. Щелкните по ссылке Выберите субъект.
    
11. Нажмите на Дополнительно – Поиск, выберите субъект из списка и нажмите ОК.
    
12. Под надписью Общие разрешения поставьте галочку напротив пункта Полный доступ и нажмите на ОК.
    
13. Поставьте галочку напротив пункта Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта.
    
14. Нажмите на ОК для применения всех изменений.
    

Стать владельцем файла или папки в Windows 10 с помощью утилиты TakeOwnershipEx

В качестве альтернативного варианта вы можете использовать утилиту TakeOwnershipEx. Она позволяет заменить владельца файла или папки и получить полный доступ к ним в несколько простых нажатий. Пользователям достаточно сделать следующее:

1. Скачать архив с установщиками и распаковать их в удобную вам директорию.
   
2. Открыть файл TakeOwnershipEx-1.2.0.1-Win8 и следовать подсказкам мастера установки.
   
3. Запустить установленную утилиту TakeOwnershipEx. В окне Компоненты Windows нажать на Скачать и установить этот компонент.
   
4. Повторно запустить утилиту. Нажать на кнопку TakeOwnership или Получить права доступа, если вы выбрали русский язык в окне программы.
   
5. Выбрать нужный файл или папку и нажать ОК.
   
6. В случае успешного выполнения команды должно появиться окно с сообщением: You get full access to target или Получен полный доступ к файлу/папке.
   

Оказалась ли полезной данная инструкция? Помогла ли она вам в решении проблемы с получением доступа к файлам и папкам в Windows 10? Напишите свой ответ в комментариях.

Разрешения для файлов и папок

Посетителей: 64176 | Просмотров: 80281 (сегодня 5) Шрифт:

Информация взята из тринадцатой главы книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek).

На томах с файловой системой NTFS Вы можете установить разрешения безопасности для файлов и папок. Эти разрешения предоставляют или запрещают доступ к файлам и папкам. Для просмотра текущих разрешений безопасности выполните следующее:

1.	В Проводнике (Windows Explorer) выберите файл или папку для просмотра параметров безопасности и щелкните правой кнопкой мыши.
2.	В контекстном меню выберите команду Свойства (Properties) и перейдите на вкладку Безопасность (Security) диалогового окна.
3.	В списке Имя (Name) выберите пользователя, контакт, компьютер или группу разрешения которых Вы хотите просмотреть. Если флажки в области Разрешения: (Permissions) затенены, значит, разрешения унаследованы от родител ьского объекта.

Общее представление о разрешениях для файлов и папок

В Таблице 13-3 отражены базовые разрешения, применимые к файлам и папкам.
Существуют следующие базовые разрешения на доступ к файлам: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Чтение (Read) и Запись (Write).
Для папок применимы такие базовые разрешения: Полный доступ (Full Control), Изменить (Modify), Чтение и Выполнение (Read & Execute), Список содержимого папки (List Folder Contents), Чтение (Read) и Запись (Write).

При установке разрешений для файлов и папок всегда следует учитывать следующее:

•	Для запуска сценариев достаточно иметь разрешение на Чтение (Read). Разрешение на Выполнение файла (особое разрешение Execute File) не обязательно.
•	Для доступа к ярлыку и связанному объекту требуется разрешение на Чтение (Read).
•	Разрешение на Запись в файл (особое разрешение Write Data) при отсутствии разрешения на Удаление файла (особое разрешение Delete) все еще позволяет пользователю удалять содержимое файла.
•	Если пользователь имеет базовое разрешение Полный доступ (Full Control) к папке, он может удалять любые файлы в такой папке, независимо от разрешений на доступ к этим файлам. Таблица 13-3 – Базовые разрешения для файлов и папок в Windows 2000 Базовое разрешение Значение для папок Значение для файлов Чтение (Read) Разрешает обзор папок и просмотр списка файлов и подпапок Разрешает просмотр и доступ к содержимому файла Запись (Write) Разрешает добавление файлов и подпапок Разрешает запись данных в файл Чтение и Выполнение (Read & Execute) Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется файлами и папками Разрешает просмотр и доступ к содержимому файла, а также запуск исполняемого файла Список содержимого папки (List Folder Contents) Разрешает обзор папок и просмотр списка файлов и подпапок; наследуется только папками Не применимо Изменить (Modify) Разрешает просмотр содержимого и создание файлов и подпапок; допускает удаление папки Разрешает чтение и запись данных в файл; допускает удаление файла Полный доступ (Full Control) Разрешает просмотр содержимого, а также создание, изменение и удаление файлов и подпапок Разрешает чтение и запись данных, а также изменение и удаление файла Базовые разрешения созданы при помощи объединения в логические группы особых разрешений, которые показаны в Таблице 13-4 (для файлов) и 13-5 (для папок). Особые разрешения можно назначить индивидуально, используя дополнительные параметры настройки. При изучении особых разрешений для файлов, необходимо учитывать следующее:
•	Если группе или пользователю явно не определены права доступа, то доступ к файлу для них закрыт.
•	При вычислении действующих разрешений пользователя принимаются во внимание все разрешения назначенные пользователю, а также группам, членом которых он является. Например, если пользователь GeorgeJ имеет доступ на Чтение (Read), и в то же время входит в группу Techies, у которой доступ на изменение (Modify), то в результате, у пользователя GeorgeJ появляется доступ на изменение (Modify). Если группу Techies включить в группу Администраторы (Administrators) с полным доступом (Full Control), то GeorgeJ будет полностью контролировать файл. Таблица 13-4 – Особые разрешения для файлов Особые разрешения Полный доступ (Full Control) Изменить (Modify) Чтение и выполнение (Read & Execute) Чтение (Read) Запись (Write) Выполнение файлов (Execute File) X X X Чтение данных (Read Data) X X X X Чтение атрибутов (Read Attributes) X X X X Чтение дополнительных атрибутов (Read Extended Attributes) X X X X Запись данных (Write Data) X X X Дозапись данных (Append Data) X X X Запись атрибутов (Write Attributes) X X X Запись дополнительных атрибутов (Write Extended Attributes) X X X Удаление (Delete) X X Чтение разрешений (Read Permissions) X X X X X Смена разрешений (Change Permissions) X Смена владельца (Take Ownership) X В Таблице 13-5 показаны особые разрешения, используемые для создания базовых разрешений для папок. При изучении особых разрешений для папок необходимо учитывать следующее:
•	При установке разрешений для родительской папки можно привести элементы разрешений файлов и подпапок в соответствие с разрешениями текущей родительской папки. Для этого нужно установить флажок Сбросить разрешения для всех дочерних объектов и включить перенос наследуемых разрешений (Reset Permissions On All Child Objects And Enable Propagation Of Inheritable Permissions).
•	Создаваемые файлы наследуют некоторые разрешения от родительского объекта. Эти разрешения показаны, как разрешения файла по умолчанию. Таблица 13-5 – Особые разрешения для папок Особые разрешения Полный доступ (Full Control) Изменить (Modify) Чтение и выполнение (Read & Execute) Список содержимого папки (List Folder Contents) Чтение (Read) Запись (Write) Обзор папок (Traverse Folder) X X X X Содержание папки (List Folder) X X X X X Чтение атрибутов (Read Attributes) X X X X X Чтение дополнительных атрибутов (Read Extended Attributes) X X X X X Создание файлов (Create Files) X X X Создание папок (Create Folders) X X X Запись атрибутов (Write Attributes) X X X Запись дополнительных атрибутов (Write Extended Attributes) X X X Удаление подпапок и файлов (Delete Subfolders and Files) X Удаление (Delete) X X Чтение разрешений (Read Permissions) X X X X X X Смена разрешений (Change Permissions) X Смена владельца (Take Ownership) X

Установка разрешений для файлов и папок

Для установки разрешений для файлов и папок выполните следующее:

1.	В Проводнике (Windows Explorer) выберите файл или папку и щелкните правой кнопкой мыши.
2.	В контекстном меню выберите команду Свойства (Properties) и в диалоговом окне перейдите на вкладку Безопасность (Security), показанную на Рисунке 13-12. Рисунок 13-12 – Настройка базовых разрешений для файлов или папок на вкладке Безопасность (Security)
3.	В списке Имя (Name) перечислены пользователи или группы, имеющие доступ к файлу или папке. Чтобы изменить разрешения для этих пользователей или групп, выполните следующее: • Выделите пользователя или группу, разрешения для которых Вы хотите изменить. • Используйте список Разрешения: (Permissions) для задания или отмены разрешений. Совет. Флажки унаследованных разрешений затенены. Для отмены унаследованного разрешения измените его на противоположное.
4.	Для установки разрешений пользователям, контактам, компьютерам или группам, которых нет в списке Имя (Name), нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups), показанное на Рисунке 13-13. Рисунок 13-13 – Выделите пользователей, компьютеры и группы, для которых необходимо разрешить или запретить доступ.
5.	Используйте диалоговое окно Выбор: Пользователь, Компьютер или Группа (Select Users, Computers, Or Groups) для выбора пользователей, компьютеров или групп, для которых Вы хотите установить разрешения доступа. Это окно содержит поля, описание которых приводится ниже: • Искать в (Look In) Этот раскрывающийся список позволяет просмотреть доступные учетные записи других доменов. В том числе, список текущего домена, доверенных доменов и других доступных ресурсов. Чтобы увидеть все учетные записи в папке, выберите Весь каталог (Entire Directory). • Имя (Name) Эта колонка показывает существующие учетные записи выбранного домена или ресурса. • Добавить (Add) Эта кнопка добавляет выделенные имена в список выбранных имен. • Проверить имена (Check Names) Эта кнопка позволяет проверить имена пользователей, компьютеров или групп в списке выбранных имен. Это может быть полезно, когда имена вводятся вручную и необходимо убедиться в их правильности.
6.	В списке Имя (Name) выделите пользователя, контакт, компьютер или группу для настройки, затем установите или снимите флажки в области Разрешения: (Permissions) для определения прав доступа. Повторите эти же действия и для других пользователей, компьютеров или групп.
7.	По завершении работы нажмите кнопку OK.

Аудит системных ресурсов

Применение аудита – это лучший способ для отслеживания событий в системах Windows 2000. Аудит можно использовать для сбора информации, связанной с использованием какого-либо ресурса. Примерами событий для аудита можно назвать доступ к файлу, вход в систему и изменения системной конфигурации. После включения аудита объекта, в журнал безопасности системы заносятся записи при любой попытке доступа к этому объекту. Журнал безопасности можно просмотреть из оснастки Просмотр событий (Event Viewer).

Примечание. Для изменения большинства настроек аудита необходимо войти в систему с учетной записью «Администратор» или члена группы «Администраторы», или иметь право Управление аудитом и журналом безопасности (Manage Auditing And Security Log) в групповой политике.

Установка политик аудита

Применение политик аудита существенно повышает безопасность и целостность систем. Практически каждая компьютерная система в сети должна быть настроена с ведением журналов безопасности. Настройка политик аудита доступна в оснастке Групповая политика (Group Policy). С помощью этого компонента можно установить политики аудита для целого сайта, домена, или подразделения. Политики также могут быть заданы для персональных рабочих станций или серверов.

После выбора необходимого контейнера групповой политики можно настроить политики аудита следующим образом:

1.	Как показано на Рисунке 13-14, найти узел Политика аудита (Audit Policy) можно продвигаясь вниз по дереву консоли: Конфигурация компьютера (Computer Configuration), Конфигурация Windows (Windows Settings), Параметры безопасности (Security Settings), Локальные политики (Local Policies), Политика аудита (Audit Policy). Рисунок 13-14 – Настройка политики аудита с использованием узла Политика аудита (Audit Policy) в Групповой политике (Group Policy).
2.	Существуют следующие категории аудита: • Аудит событий входа в систему (Audit Account Logon Events) отслеживает события, связанные с входом пользователя в систему и выходом из неё. • Аудит управления учетными записями (Audit Account Management) отслеживает все события, связанные с управлением учетными записями, средствами оснастки Active Directory — пользователи и компьютеры (Active Directory Users And Computers). Записи аудита появляются при создании, изменении или удалении учетных записей пользователя, компьютера или группы. • Аудит доступа к службе каталогов (Audit Directory Service Access) отслеживает события доступа к каталогу Active Directory. Записи аудита создаются каждый раз при доступе пользователей или компьютеров к каталогу. • Аудит входа в систему (Audit Logon Events) отслеживает события входа в систему или выхода из нее, а также удаленные сетевые подключения. • Аудит доступа к объектам (Audit Object Access) отслеживает использование системных ресурсов файлами, каталогами, общими ресурсами, и объектами Active Directory. • Аудит изменения политики (Audit Policy Change) отслеживает изменения политик назначения прав пользователей, политик аудита или политик доверительных отношений. • Аудит использования привилегий (Audit Privilege Use) отслеживает каждую попытку применения пользователем предоставленного ему права или привилегии. Например, права архивировать файлы и каталоги. Примечание. Политика Аудит использования привилегий (Audit Privilege Use) не отслеживает события, связанные с доступом к системе, такие, как использование права на интерактивный вход в систему или на доступ к компьютеру из сети. Эти события отслеживаются с помощью политики Аудит входа в систему (Audit Logon Events). • Аудит отслеживания процессов (Audit Process Tracking) отслеживает системные процессы и ресурсы, используемые ими. • Аудит системных событий (Audit System Events) отслеживает события включения, перезагрузки или выключения компьютера, а также события, влияющие на системную безопасность или отражаемые в журнале безопасности.
3.	Для настройки политики аудита дважды щелкните на нужной политике, или выберите в контекстном меню выбранной политики команду Свойства (Properties). После этого откроется диалоговое окно Параметр локальной политики безопасности (Properties).
4.	Установите флажок Определить следующий параметр политики (Define These Policy Settings). Затем установите или снимите флажки Успех (Success) и Отказ (Failure). Аудит успехов означает создание записи аудита для каждого успешного события (например, успешной попытки входа в систему). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки входа в систему).
5.	По завершении нажмите кнопку OK.

Аудит операций с файлами и папками

Если задействована политика Аудит доступа к объектам (Audit Object Access), можно использовать аудит на уровне отдельных папок и файлов. Это позволит точно отслеживать их использование. Данная возможность доступна только на томах с файловой системой NTFS.

Для настройки аудита файла и папки проделайте следующее:

1.	В Проводнике (Windows Explorer) выберите файл или папку, для которой нужно настроить аудит. В контекстном меню выберите команду Свойства (Properties).
2.	Перейдите на вкладку Безопасность (Security), а затем нажмите кнопку Дополнительно (Advanced).
3.	В диалоговом окне Параметры управления доступом (Access Control Settings) перейдите на вкладку Аудит (Auditing), показанную на Рисунке 13-15. Рисунок 13-15 – Настройка политик аудита для отдельных файлов или папок на вкладке Аудит (Auditing).
4.	Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.	Чтобы дочерние объекты унаследовали параметры аудита текущего объекта, установите флажок Сбросить элементы аудита для всех дочерних объектов и включить перенос наследуемых элементов аудита (Reset Auditing Entries On All Child Objects And Enable Propagation Of Inheritable Auditing Entries).
6.	Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove).
7.	Чтобы добавить учетную запись, нажмите кнопку Добавить (Add) для появления диалогового окна Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете OK, появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), показанное на Рисунке 13-16. Примечание. Если Вы желаете отслеживать действия всех пользователей, используйте специальную группу Все (Everyone). В других случаях для аудита выбирайте отдельных пользователей или группы в любых комбинациях. Рисунок 13-16 – Диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder), используемое для установки элементов аудита пользователю, контакту, компьютеру или группе.
8.	Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto).
9.	Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для неудачного события (например, неудачной попытки удаления файла). События для аудита совпадают с особыми разрешениями (Таблицы 13-4 и 13-5) за исключением синхронизации автономных файлов и папок, аудит которой невозможен.
10.	По завершении нажмите кнопку OK. Повторите эти шаги для настройки аудита других пользователей, групп или компьютеров.

Аудит объектов каталога Active Directory

Если задействована политика Аудит доступа к службе каталогов (Audit Directory Service Access), можно использовать аудит на уровне объектов службы каталогов Active Directory. Это позволит точно отслеживать их использование.

Для настройки аудита объекта проделайте следующее:

1.	В оснастке Active Directory — пользователи и компьютеры (Active Directory Users And Computers) выберите контейнер объекта.
2.	Щелкните по объекту для аудита правой кнопкой мыши и в контекстном меню выберите команду Свойства (Properties).
3.	Перейдите на вкладку Безопасность (Security) и нажмите кнопку Дополнительно (Advanced).
4.	Перейдите на вкладку Аудит (Auditing) диалогового окна Параметры управления доступом (Access Control Settings). Чтобы параметры аудита наследовались от родительского объекта, должен стоять флажок Переносить наследуемый от родительского объекта аудит на этот объект (Allow Inheritable Auditing Entries From Parent To Propagate To This Object).
5.	Используйте список Элементы аудита (Auditing Entries) для выбора пользователей, компьютеров или групп, действия которых будут отслеживаться. Для удаления учетной записи из этого списка, выберите ее и нажмите кнопку Удалить (Remove).
6.	Чтобы добавить учетную запись, нажмите кнопку Добавить (Add). Появится диалоговое окно Выбор: Пользователи, Контакты, Компьютеры или Группы (Select Users, Contacts, Computers, Or Groups), в котором выберите учетную запись для добавления. Когда нажмете OK, появится диалоговое окно Элемент аудита для Имя папки или файла (Auditing Entry For New Folder).
7.	Если необходимо уточнить объекты для применения настроек аудита, воспользуйтесь раскрывающимся списком Применять (Apply Onto).
8.	Установите флажки Успех (Successful) и/или Отказ (Failed) для необходимых событий аудита. Аудит успехов означает создание записи аудита для каждого успешного события (например, успешного чтения файла). Аудит отказов означает создание записи аудита для каждого неудачного события (например, неудачной попытки удаления файла).
9.	По завершении нажмите кнопку OK. Повторите эти шаги для настройки аудита других пользователей, контактов, групп или компьютеров.

Материал взят из книги «Windows 2000. Руководство администратора». Автор Уильям Р. Станек (William R. Stanek). © Корпорация Microsoft, 1999. Все права защищены.