Permisiunile sistemului de fisiere – NTFS

Configurare noua (How To)

Situatie

Permisiunile NTFS oferă control accesului pentru fișiere și foldere, containere și obiecte pe sisteme partajate, de obicei stocare atașată la rețea (NAS).

Atunci cand diferite resurse ale domeniului sunt folosite in comun de mai multi utilizatori, se pune foarte acut problema securitatii acestor resurse. Nu toti utilizatorii vor trebui sa poata face acelasi lucru cu o resursa comuna. Cu alte cuvinte, pentru fiecare resursa in parte, fiecarui cont utilizator va trebui sa i se stabileasca un set de permisiuni. Pentru ca un disc, director sau fisier sa poata fi utilizat in comun, deci utilizatorii din retea sa aiba acces la el, acesta trebuie sa fie partajat shared. Un disc, director sau fisier partajat va fi indicat in Explorer prin intermediul unei pictograme ce reprezinta o mana.

Pentru a putea partaja o resursa, un cont utilizator trebuie sa fie membru al unui grup care are dreptul (pentru calculatorul pe care este stocata resursa) de a partaja resursa respectiva. In momentul partajarii resursei, utrilizatorul respectiv poate stabili permisiunile de acces pentru alte conturi utilizator sau grupuri, precum si numarul maxim de utilizatori care pot accesa simultan din retea resursa respectiva.

Solutie

Pasi de urmat

Partajarea unui director se face in Windows Explorer. Va trebui sa urmati pasii:

  • click cu butonul drept al mouse-lui pe directorul respectiv (in cazul nostru, Director Lucru)
  • alegeti tab-ul Sharing. Implicit este selectata optiunea Do not share this folder, ceea ce inseamna ca directorul respectiv nu este partajat;

Figura 1. Partajarea unui director

  • Marcati optiunea Share this folder. In acest moment, casetele de editare Share name: Comment precum si grupul User limit: devin active.
  • In caseta Share name: puteti accepta numele implicit de punere in comun al directorului respectiv, adica numele sub care el va fi vazut in retea sau il puteti modifica. Optional, in caseta Comment: puteti introduce un mesaj ce va fi vizibil in Explorer la accesarea din retea.
  • Implicit numarul de utilizatori care au acces simultan la resursa comuna nu este limitat. Daca doriti totusi limitarea numarului acestora, deselectati optiunea Maximum allowed si selectati optiunea Allow. Introduceti in caseta de editare numarul utilizatori care vor avea acces simultan la resursa;
  • Apasati OK pentru ca optiunea de partajare sa devina activa;

In acest moment, in Explorer, folderul pe care tocmai l-ati partajat apare in subarborele discului pe care se afla cu o pictograma mana suprapusa peste pictograma de folder. In plus, il puteti vedea sub numele de punere in comun in subarborele calculatorului pe care este stocat din My Network Places. Este vorba de unul si acelasi director, dar primul este accesat local, iar al doilea prin intermediu serviciilor de retea.

Partajari administrative

Admin

C$

La instalarea sistemului de operare, se creaza in scop administrativ cateva partajari, pentru a asista administratrul daca are nevoie de acces prin intermediul retelei la anumite directoare de pe servere. Aceste partajari sunt:

ADMIN$ – aceasta resursa este asociata pe fiecare server directorului care stocheaza fisierele sistemului de operare. Daca va veti loga pe controler ca administrator si veti incerca sa puneti in comun directorul C:winnt, veti observa ca el este deja partajat sub acest nume. Puteti crea o noua partajare, pe care o puteti face accesibila oricarui cont utilizator sau grup, prin apasarea butonului New Share si alegerea unui alt nume de punere in comun;

drive$ – cate o astfel de resursa administrativa este asociata fiecarei unitati de disc a serverului. De exemplu, C$ este resursa comuna administrativa asociata discului C al serverului;

La aceste partajari administrative au acces doar administratorii, ceilalti utilizatori nu le vor putea utiliza.

Permisiuni asupra folderelor partajate

Utilizatorilor li se poate garanta sau interzice accesul la o resursa partajata, dar numai in cazul in care acceseaza aceasta resursa prin intermediul retelei, indiferent daca resursa este stocata pe un disc FAT sau NTFS. Aceste permisiuni nu se aplica acelor utilizatori care vor accesa resursa respectiva local, pe calculatorul pe care aceasta este stocata. Ca o consecinta, de exemplu, daca veti accesa directorul Director lucru in subarborele discului C, permisiunile de partajare nu vi se vor aplica, dar daca il veti accesa in subarborele My Network Places, aceste permisiuni vor deveni efective.

Figura 6 Adaugarea unui grup la lista de permisiuni.

Maparea unei resurse partajate

Alegerea unitatii

Alegerea resursei

Maparea efectiva

Pentru a utiliza mai usor un director partajat de pe server, utilizatorul poate sa-i asocieze o unitate logica. Acest proces se numeste maparea resursei comune. Uzual, literele utilizate pentru conectare sunt E Z. Dupa declararea unitatii logice, utilizatorul se va putea conecta la directorul de pe server ca si cum acesta ar fi un hard disc in calculatorul local. Metoda cea mai des utilizata pentru maparea unei resurse partajate este urmatoarea:

  • apasati click dreapta pe MyComputer si in meniul contextual algeti Map network drive
  • in caseta Drive: alegeti unitatea logica pe care doriti s-o mapati;
  • apasati butonul Browse sau scrieti in caseta Folder: numele resursei, sub forma nume_calculatornume_resursa
  • daca ati apasat Browse, selectati in subarborele MyNetworkPlaces resursa dorita si apasati OK. Numele complet al resursei va apare in caseta Folder:;
  • apasati Finish. In acest moment, in Explorer, resursa partajata va apare ca fiind unitatea logica aleasa.
Publicarea unui director partajat in Active Directory

Publicarea unui director partajat

Pentru a putea regasi usor un director partajat in retea, chiar daca localizarea fizica a acestuia se schimba, este bine sa publicati acest director in dosarul Active Directory. Va fi suficient sa actualizati referintele spre directorul partajat in Active Directory si toate aplicatiile sau scurtaturile spre directorul respectiv vor functiona corect. Pentru publicarea unui director partajat, va trebui sa executati urmatoarele:

  • deschideti aplicatia Active Directory Users and Computers din Administrative Tools si apasati click dreapta pe numele domeniului in care doriti sa publicati directorul partajat;
  • in meniurile contextuale alegeti New si Shared Folder
  • in caseta Name: tastati numele directorului asa cum doriti sa apara in Active Directory, iar in caseta Network path (servershare): tastati calea spre directorul partajat. Apasati OK si directorul este publicat;

Acum veti vedea acest director fie in Explorer la MyNetworkPlaces, fie in Active Directory Users and Computers.

Daca partitia pe care se lucrati este formatata NTFS, veti putea aplica asupra directoarelor si fisierelor permisiunile NTFS. Spre deosebire de permisiunile prin partajare descrise anterior, care se aplica doar de la nivel de director si doar acelor utilizatori care acceseaza din retea resursa partajata, permisiunile NTFS se aplica tuturor utilizatorilor, indiferent daca directorul sau fisierul este accesat local sau din retea. In plus, permisiunile NTFS pot fi aplicate pana la nivel de fisier.

Din acest motiv, un volum NTFS poate fi protejat mult mai bine decat un volum FAT, acesta din urma neoferind un mecanism de protejare a directoarelor si fisierelor impotriva utilizatorilor locali. Pentru fiecare partitie NTFS, sistemul de operare construieste o lista de control al accesului (Access Control List) in care sunt descrise fiecare director sau fisier.

Lista ACL contine o lista a conturilor utilizator, grupurilor si computerelor care au permisiuni de acces la fisierul sau directorul respectiv, precum si tipul accesului garantat pentru obiectele respective. Astfel, pentru ca un cont utilizator sa poata accesa un director sau un fisier, lista ACL va trebui sa contina o intrare pentru contul utilizator respectiv, grupul sau computerul din care acesta face parte, intrare in care este specificat tipul de permisiune de acces care este garantata contului utilizator respectiv. Daca o astfel de intrare lipseste, sistemul de operare interzice accesul la director sau fisier.

Permisiunile NTFS se pot aplica directoarelor sau fisierelor, permisiunile aplicate fisierelor fiind prioritare celor aplicate directoarelor. Aceste permisiuni sunt:

Tabelul 2 Permisiuni aplicate directoarelor

Permisiune Permite utilizatorilor:
Read
sa vizualizeze fisierele si subdirectoarele, atributele directorului, permisiunile asupra acestuia si proprietarul lui
Write sa creeze noi fisiere si subdirectoare, sa schimbe atributele directorului sa vizualizeze permisiunile si proprietarul
List Folder Contents sa vizualizeze numele fisierelor si subdirectoarelor
Read&Execute tot ce permit Read si List Folder Contents si in plus sa parcurga lantul de subdirectoare
Modify tot ce permit Write si Read&Execute si in plus sa stearga directorul
Full Control tot ce permit celelalte permisiuni NTFS si in plus sa schimbe permisiunile asupra directorului, sa stearga subdirectoarele si fisierele si sa schimbe proprietarul

Tabelul 3 Permisiuni aplicate fisierelor

Permisiune Permite utilizatorilor:
Read
sa vizualizeze continutul fisierului, atributele lui, permisiunile asupra acestuia si proprietarul lui
Write sa suprainscrie fisierul, sa schimbe atributele lui, sa vizualizeze permisiunile si proprietarul
Read&Execute tot ce permite Read si in plus sa execute aplicatia daca fisierul este executabil
Modify tot ce permit Write si Read&Execute si in plus sa modifice continutul sau sa stearga fisierul
Full Control tot ce permit celelalte permisiuni NTFS si in plus sa schimbe permisiunile asupra fisierului si sa schimbe proprietarul

Permisiunile NTFS pot fi aplicate conturilor utilizator, dar si grupurilor din care acestea fac parte. Astfel, grupul va putea avea un set de permisiuni NTFS asupra unui director sau fisier, iar un cont utilizator din grupul respectiv va putea avea un alt set de permisiuni. In acest caz, permisiunile pe care le va avea contul utilizator respectiv vor fi o combinatie a permisiunilor proprii si ale grupului (grupurilor) din care face parte. Daca de exemplu contul utilizator va avea permisiunea Read asupra unui director, iar grupul din care face parte va avea permisiune Write, contului utilizator i se vor aplica ambele permisiuni, deci el va avea automat Read si Write

Similar permisiunilor de partajare, si in cazul permisiunilor NTFS va exista posibilitatea interzicerii unui tip de acces la un director sau fisier, prin validarea corespunzatoare a optiunii Deny. Validarea optiunii Deny este prioritara validarii optiunii Allow. In general aceasta metoda de interzicere este evitata, fiind usor de modelat un sistem de securitate doar cu ajutorul optiunilor Allow. Ea apare doar ca o exceptie de la regula. Daca asupra unui director se aplica atat permisiuni de partajare cat si NTFS, permisiunea de partajare rezultata va fi cea mai restrictiva rezultata din combinatia lor.

permisiuni implicite

Adaugarea de grupuri

pentru director

Pentru a aplica permisiuni NTFS asupra unui director sau fisier, in Explorer apasati click dreapta asupra lui, alegeti in meniul contextual Properties si selectati tab-ul Security. Veti observa ca, implicit entitatea Everyone are permisiune Full Control asupra directorului sau fisierului. De asemenea, caseta Allow inheritable permision from parent to propagate to this object este validata. Asta inseamna ca implicit, permisiunea obiectului parinte este mostenita si de subdirectoare sau fisiere. Pentru a evita acest lucru, va trebui sa anulati selectia acestei optiuni, caz in care subdirectoarele sau fisierele vor putea avea permisiuni diferite de cele ale directorului parinte. Uzual, este de evitat permisiunea Full Control pentru entitatea Everyone. Pentru a garanta un alt tip de permisiuni, veti anula selectia casetei de mostenire a permisiunilor si veti anula de asemenea selectiile casetelor Allow pentru permisiunile pe care doriti sa nu le acordati. Va apare un mesaj de atentionare, la care veti raspunde cu Remove

Puteti acum adauga noi grupuri sau conturi utilizator la lista de permisiuni asociata directorului sau fisierului, apasand butonul Add Va apare o lista a grupurilor si conturilor utilizator din domeniu (domenii), din care veti alege succesiv grupurile sau conturile utilizator dorite, apasand Add. Dupa ce ati adaugat toate grupurile si conturile dorite, apasati OK. Noile grupuri si conturi au fost adaugate in lista Name a permisiunilor asociate directorului sau fisierului. Acum veti putea modela sistemul de securitate pentru fiecare cont sau grup, apasand click pe contul sau grupul respectiv si validand sau anuland validarile pentru casetele Allow corespunzatoare. Puteti anula permisiunile unui cont utilizator sau unui grup, selectandu-l si apasand butonul Remove. In exemplul nostru, am adaugat grupul profesori_iasp si am asigurat toate permisiunile, mai putin Full Control.

Tip solutie

Permanent

Voteaza

(4 din 11 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?