Как отключить параметр наследования разрешений?

Задайте вопрос Быстрый доступ

Archived Forums > Администрирование Windows Vista
  • Вопрос

  • Появилась неизвестная неучетная запись. При удалении просит отключить параметр наследования разрешений и повторить попытку… Где это находиться. OC Windows Vista Home Premium 32-bit SP2. Что подскажете?9 октября 2011 г. 19:39 Ответить | Цитировать

Все ответы

  • Появилась неизвестная неучетная запись. При удалении просит отключить параметр наследования разрешений и повторить попытку… Где это находиться. OC Windows Vista Home Premium 32-bit SP2. Что подскажете?

    Что за учетная запись? Приведите ее наименование.Microsoft Certified Desktop Support Technician10 октября 2011 г. 5:13 Ответить | Цитировать

  • Появилась неизвестная неучетная запись. При удалении просит отключить параметр наследования разрешений и повторить попытку… Где это находиться. OC Windows Vista Home Premium 32-bit SP2. Что подскажете?

    Что за учетная запись? Приведите ее наименование. Microsoft Certified Desktop Support Technician

    В кладке безопасность в свойствах ярлыков рабочего стола.

    11 октября 2011 г. 15:29 Ответить | Цитировать

  • Это – идентификатор пользователя, ныне в системе не существующего. Захватите для своей учетной записи права владельца на папку “Рабочий стол”, в свойствах безопасности поставьте “Заменить владельца подконтейнеров и объектов” ,после чего удалите данного пользователя из списков безопасности. Владельца “Рабочего стола” потом вернете обратноМнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется “как есть” без каких-либо гарантийt_small-c.png Посетите Блог Инженеров Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html12 октября 2011 г. 15:58 Ответить | Цитировать

Как и в реальном мире, в мире компьютеров и интернета есть вещи, которыми мы можем обладать и есть вещи, которыми мы обладать не можем. А не можем потому, что не имеем на них прав. Объяснять, для чего собственно были придуманы все эти разрешения и права доступа, полагаем, не нужно. Если бы их не было, любой пользователь мог бы просматривать, изменять и удалять любые не принадлежащие ему файлы не только на локальных машинах, но и на серверах.

С понятиями прав и разрешений на файлы более или менее знакомы все пользователи. Но что в действительности они собой представляют и как система определяет, какой файл можно просматривать или изменять, а какой нет? Давайте попробуем разобраться.

4219301_1.png

Начнем с того, что большая часть всех данных хранится на дисках в виде файлов, к которыми пользователи тем или иным образом получают доступ. Пример, когда пользователь получает доступ к файлам не напрямую, а через веб-сервер, мы рассматривать не будем. Скажем лишь, что такие данные, помимо прочих разрешений, также имеют особое разрешение share, наличие которого проверяется при обращении к удалённому серверу.

Атрибуты и ACL

При работе через сервер права доступа выдаются сервером, при непосредственной же работе с дисками через интерфейс локальной машины права доступа выдаются на уровне файловой системы NTFS. Как это работает? А вот как. Каждый записанный в NTFS файл представляет собой не только данные, помимо них он также хранит служебную информацию — атрибуты и ACL (Access Control List). Кстати, атрибуты и ACL имеют не только файлы, но и папки.

Что такое атрибуты файла, вы, в принципе, должны знать сами. Скрытый, системный, индексируемый или неиндексируемый, доступный только для чтения, готовый к архивированию — всё это называется атрибутами и просматривается в свойствах файла или папки. За права же доступа отвечают метаданные ACL. И если атрибуты описывают свойства объекта, то ACL указывает, кто именно и какие действия с этим объектом может производить. ACL также именуют разрешениями.

Структуру ACL можно представить в виде таблицы с тремя колонками.

Первая колонка содержит уникальный идентификатор пользователя (SID), вторая — описание прав (read, write и т.д.), третья — флаг, указывающий разрешено ли конкретному SID пользоваться этими правами или нет. Он может принимать два значения: true (да) и false (нет).

Основных прав доступа в NTFS четыре:

Read разрешает только чтение файла. • Write разрешает чтение и запись. • Modify разрешает чтение, запись, переименование, удаление и редактирование атрибутов. • Full Control даёт пользователю неограниченную власть над файлом. Помимо всего перечисленного, имеющий права Full Control пользователь может редактировать метаданные ACL. Все прочие права доступа возможность изменения ACL не предоставляют.

Владелец объекта

Кроме атрибутов и разрешений, каждый объект в файловой системе NTFS имеет своего владельца. Таковым может выступать локальный администратор, пользователь, TrustedInstaller, система и т.д. Владелец может изменять права доступа к своему файлу, однако локальный администратор имеет право назначить владельцем такого файла самого себя, следовательно, получить на него полные права, то есть Full Control.

Наследование

Так как файлов на диске может быть очень много и большая их часть располагается во вложенных каталогах, для удобного и быстрого изменения их прав доступа необходим какой-то механизм. Для этого в NTFS есть такая вещь как наследование.

Правило наследования простое и укладывается оно в одну формулировку: при своём создании каждый дочерний объект автоматически наследует разрешения ближайшего родительского объекта. Приведём пример. Если вы создали папку «А», а в ней папку «Б», то папка «Б» будет иметь те же разрешения, что и папка «А». Следовательно, все файлы в папке «Б» получат разрешения папки «А».

Явные и неявные разрешения

Все разрешения, которые наследуются автоматически, именуются неявными (implicit). И напротив, разрешения, которые устанавливаются вручную путём изменения ACL, называются явными (explicit). Отсюда вытекают два правила:

На одном уровне вложенности запрещающее разрешение имеет более высокий приоритет. Если для одного SID было задано и разрешающее, и запрещающее разрешение, то действовать будет запрет.Явное разрешение имеет более высокий приоритет, чем неявное. Если запрет на какой-то объект был унаследован от родителя, а затем на него было установлено явное разрешение, то оно получит приоритет.

Таким образом в NTFS формируются комбинации разрешений и запретов. И если расположить приоритеты разрешений в порядке убывания, то получим примерно такую картину:

1. Явный запрет2. Явное разрешение3. Неявный запрет4. Неявное разрешение

Особенности наследования при копировании и перемещении файлов

До этого момента мы говорили о наследовании при создании файлов в родительских или дочерних каталогах. В случаях копирования или перемещения объекта правила наследования меняются.

• При копировании объекта с одного тома на другой, например, с диска «С» на диск «D» копируемый объект всегда получает права или разрешения того раздела или расположенного в нём каталога, в который он копируется. Те же правила действуют при перемещении файлов между разными томами.

• При перемещении в пределах одного тома, перемещаемый объект сохраняет свою ACL, изменяется только ссылка на него в таблице MFT.

• При копировании в пределах одного тома копируемый объект получает ACL от ближайшего вышестоящего родительского каталога.

Для начала этого вполне достаточно, чтобы иметь более-менее чёткое представление о том, как работают законы разрешений в NTFS. На самом деле разрешений в файловой системе существует гораздо больше разрешений. Большинству простых пользователей их знать необязательно, а вот будущим системным администраторам такие знания могут очень даже пригодится.

Содержание

Просмотр разрешений

Назначение, просмотр и изменение разрешений производится на вкладке Безопасность диалогового окна Свойства. Чтобы его вызвать, необходимо нажать на файле или папке правой кнопкой мыши и в контекстном меню выбрать Свой­ства.

Также диалоговое окно Свойства можно вызвать нажав клавишу Alt на клавиатуре и сделать двойной щелчок левой кнопкой мыши по нужному файлу или папке.

В открывшемся диалоговом окне Свойства выбираем вкладку Безопасность.

На вкладке Безопасность можно увидеть, каким пользовате­лям и группам доступ определен и какие им предоставлены разрешения. Информацию о дополнительных параметрах доступа (в том числе и о специальных разрешениях) можно получить, нажав кнопку Дополнительно.

Может так случиться, что вкладка Безопасность в окне Свойства у вас не отображается. Убедитесь, что файл или папка располагается на NTFS-разделе.

Назначение разрешений для файлов

Задание разрешений для какого-либо файла производится следующим образом:

1. Нажимаем пра­вой кнопкой мыши по нужному файлу и в контекстном меню выбираем Свой­ства, а в появившемся диалоговом окне переходим на вкладку Безопасность.

2. Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данного файла. Вы можете либо выбрать пользо­вателя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). В любом случае необходимо нажать кнопку Изменить.., а потом выбрать нужное действие: кнопки Добавить.. и Удалить.

3. При добавлении пользователя после нажатия на кнопку Добавить появится диалоговое окно Выбор: “Пользователи” или “Группы”. В нем можно либо сразу ввести имя пользователя (или группы) в поле Введите имена выбираемых объектов – но ввести его нужно правильно, либо воспользоваться инструментом поиска, нажав на кнопку Дополнительно.

В первом случае (при ручном вводе имени) нужно будет нажать на кнопку Проверить имена, чтобы проверить пра­вильность введенных имен. Кстати говоря, тип вводимых объек­тов (Пользователь, Группа пользователей, Встроенные участники безопасности) выбирается нажатием кнопки Типы объектов.

Во втором случае при проведении поиска, перед нами появится еще одно диалоговое окно, в котором нужно сразу нажать на кнопку Поиск. После этого внизу окна появится список всех групп и пользователей, имеющихся на компьютере. Остается лишь выбрать необходимые.

4. Закончив задание имен пользователей и групп, закройте окно Выбор: “Пользователи” или “Группы” нажатием на кнопку ОК.

5. Сам процесс задания разрешений производится следующим образом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения, путем проставления флажков назначаете или запрещаете то или иное стандартное разрешение. Чтобы установить разрешение, нужно напротив него установить флажок в столбце Разрешить, а чтобы отказать в данном разрешении – установить флажок в столбце Запретить. Всего доступно 5 стандартных разрешений – Полный доступ, Изменение, Чтение и выполнение, Чтение, Запись.

6. Если вы хотите более детально назначить разрешения, в том числе и специальные разрешения, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность.

При задании разрешений обратите внимание на две существенные осо­бенности. Во-первых, установка или запрет какого-либо разрешения может автоматически влиять на другие разрешения. Например, уста­новив разрешение «Полный доступ», вы автоматически установите все остальные возможные разрешения.

Второе, на что необходимо обращать внимание – это то, что отсутствие какого-либо разрешения (флажок не стоит ни в столбце Разрешить ни в столбце Запретить) не эквивалентно запрету этого разрешения (флажок стоит в столбце Запретить).

Если разрешение не определено, то оно, как правило, наследуется от родительской папки, в которой содержится файл. А в этом случае могут возникать неприятные ситуации. Например, доступ к папке предостав­лен, а к файлу он должен быть запрещен. Так вот, если явно этого зап­рета не задать, то разрешение будет унаследовано от папки – то есть доступ будет разрешен.

Если вы захотите более «тонкой» настройки разрешений и на вкладке Безопасность нажмите на кнопку Дополнительно, перед вами откроется диалоговое окно Дополнительные параметры безопасности. В этом диалоговом окне имеется несколько вкладок.

На вкладке Разрешения отображается перечень элементов управления доступом для данного файла. При этом указыва­ются имена пользователей и групп, которым установлены разрешения для данного файла, а также сами эти разрешения. Стоит обратить внимание на столбец Унаследовано от. В нем можно увидеть, от ка­кого объекта данный файл унаследовал разрешение для данного конк­ретного пользователя или группы. Как правило, файлы наследуют раз­решения от родительской папки, в которой они расположены.

Доступ к настройке специальных разрешений можно получить, нажав на кнопку Изменить на вкладке Разрешения.

После этого появится окно Элемент разрешения для” “, в котором нужно нажать на Отображение дополнительных разрешений.

В следующем диалоговом окне Элемент разрешения для” “, путем проставления/снятия флажков как раз и можно установить или отменить какие-либо специальные разрешения для файла.

Назначение разрешений для папок

Последовательность действий по назначению и изменению разрешений для папки повторяет вышеописанную последовательность для файлов. Однако есть небольшие дополнительные настройки, присущие только папкам, как контейнерам, вмещающим другие объекты. Для большей ясности приведено полное описание процедуры назначения разреше­ний для папки:

1. Выбираем нужную папку и щелкаем по ней правой кнопкой мыши. Затем в контекстном меню выбираем Свойства, а в появившемся диалоговом окне переходим на вкладку Безопасность.

Далее смотрим на приведенный в верхней части вкладки список пользователей и групп пользователей, которым уже определены разрешения для данной папки. Вы можете либо выбрать пользователя и изменить установленные для него разрешения, либо добавить или полностью удалить пользователя (или группу пользователей). Для этого, соответственно, предназначены кнопки Добавить и Удалить. Эти действия аналогичны действиям при настройке разрешений для файлов. Единственное, что нужно отметить – список стандартных разрешений для папок несколько отличает­ся от списка стандартных разрешений для файлов.

2. Сам процесс задания разрешений производится следующим обра­зом:

На вкладке Безопасность в области Группы или Пользователи выбираете имя пользователя или группы, а внизу, в области Разрешения, путем проставления флажков назначаете или запрещаете то или иное стандартное раз­решение. Если вы хотите более детально назначить разрешения, в том числе и специальные, то необходимо нажать на кнопку Дополнительно на вкладке Безопасность.

Стоит только помнить, что разрешения папок передаются вложенным в них объектам – файлам и папкам. Как запретить наследование разре­шений, сказано чуть ниже в этой статье.

Чтобы перейти к настройке специальных разрешений, так же, как и в случае с файлами, необходимо нажать на кнопку Дополнительно. Далее в появившемся диалоговом окне Дополнительные параметры безопасности вы увидите перечень элементов управления доступом к папке.

Чтобы изменить разрешения для какого-либо пользо­вателя или группы, нажмите на кнопку Изменить разрешения.

Далее выделяем нужную нам запись, если кнопка Изменить не доступна, то вы не сможете изменить дополнительные разрешения, потому что в окне Элемент разрешения, элементы управления будут не активны, для того чтобы они стали активными нажимаем кнопку Отключение наследования.

В появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта.

После этого кнопка Изменить стала доступной.

Далее выделяем нужную нам запись и нажимаем кнопку Изменить, или делаем двойной щелчок левой кнопкой мыши по нужной нам записи, откроется окно Элемент разрешения, где элементы управления будут активны и в нем нажимаем Отображение дополнительных разрешений.

Теперь можно установить специальные разрешения для папки, а также указать область их действия.

Область действия специальных разрешений папки задается в раскрыва­ющемся списке Применяется к. При этом возможны следующие варианты:

  1. Только для этой папки.
  2. Для этой папки, ее подпапок и файлов.
  3. Для этой папки и ее подпапок.
  4. Для этой папки и ее файлов.
  5. Только для подпапок и файлов.
  6. Только для подпапок.
  7. Только для файлов.

Если НЕ установить флажок Применять эти разрешения к объектам и контейнерам только внутри этого контейнера, то заданные вами разре­шения будут распространяться не только на вложенные папки, но и на вложенные в них папки и так далее на все объекты, находящиеся ниже по дереву.

Примечание. Дерево папок (или дерево каталогов) – это образ, который обычно используют для визуального представления структуры папок. Именно в виде древовидной структуры отображаются папки в левой секции Проводника.

Если кнопки Изменить разрешения и Изменить не доступны, и элементы управления в окне Элемент разрешения не активны то также как в примере выше нажимаем кнопку Отключение наследования, в появившемся диалоговом окне Блокировать наследование нажимаем Преобразовать унаследованные разрешения в явные разрешения этого объекта. После этого кнопка Изменить будет доступна и элементы управления в окне Элемент разрешения станут активны, где вы и сможете установить дополнительные разрешения.

Если вы хотите добавить пользователя или группу пользователей и назначить им разрешения, нажмите кнопку Добавить.

Далее откроется окно Элемент разрешения, нажимаем Выберите субъект.

Далее в окне Выбор: “Пользователи” или “Группы” чтобы не вводить имена объектов вручную, воспользуемся поиском, для этого нажимаем кнопку Дополнительно.

В следующем окне нажимаем кнопку Поиск и внизу окна в результатах поиска выбираем пользо­вателя или группу для которого нужно задать или изменить разрешения, нажимаем кнопку OK.

Еще раз нажимаем кнопку OK.

Далее в окне Элемент разрешения нажимаем Отображение дополнительных разрешений.

Теперь можно установить дополнительные разрешения для добавленного пользователя или группы.

Наследование разрешений

В Windows 8, Windows 8.1 вложенные папки и файлы могут наследовать разрешения от родительской папки. По умолчанию так и происходит. При этом изменение разрешений родительской папки мгновенно передается на вложенные папки и файлы.

Однако если вы хотите установить для вложенных файлов и папок раз­решения, отличающиеся от разрешений родительской папки, то вы мо­жете отключить наследование разрешений. При этом возможны два варианта:

  1. Вы хотите отменить наследование разрешений родительской папки для всех вложенных файлов и папок.
  2. Вы хотите отменить наследование разрешений родительской папки лишь для некоторых вложенных файлов и/или папок.

В первом случае вы должны перейти на вкладку Безопасность для дан­ной папки, а затем нажать на кнопку Дополнительно. Далее переходите в режим редактирования разрешений для какого-либо пользователя или группы и в списке Применяется к указываете Только для этой папки.

Во втором случае необходимо перейти на вкладку Безопасность для дан­ного конкретного файла или папки, щелкнуть по кнопке Дополнительно и в появившемся окне Дополнительные параметры безопасности нажать кнопку Изменить разрешения.

Далее нажимаем кнопку Отключение наследования.

Затем в появившемся окне Блокировать наследование нажимаем Удалить все унаследованные разрешения из этого объекта.

Нажимаем кнопку ОК.

Кстати говоря, ниже предусмотрен флажок Заменить все записи разрешений дочернего объекта наследуемыми от этого объекта, название которого говорит само за себя.

Используемые источники:

  • https://social.technet.microsoft.com/forums/ru-ru/d3adc889-9871-4512-8f21-3a031ee65c83/105010721082-108610901082108311021095108010901100
  • https://www.white-windows.ru/sekrety-ntfs-prava-razresheniya-i-ih-nasledovanie/
  • https://winnote.ru/security/94-naznachenie-i-izmenenie-razresheniy-dlya-faylov-i-papok-v-windows-81.html

Оцените статью
Рейтинг автора
5
Материал подготовил
Илья Коршунов
Наш эксперт
Написано статей
134
Добавить комментарий