Professional Documents
Culture Documents
1.uprawnienia Systemu Plikow NTFS
1.uprawnienia Systemu Plikow NTFS
System plików NTFS umożliwia bardzo szczegółową kontrolę dostępu do danych i nadawania, bądź
odmawiania, użytkownikom i grupom użytkowników praw do odczytu, wykonywania, modyfikacji folderów
i plików.
Z założenia uprawnienia NTFS służą do zarządzania dostępem do folderów i plików lokalnych. Uprawnienia
do zasobów sieciowych (udostępnianie) są wypadkową uprawnień NTFS i zasad sieciowych
Uprawnienia mogą być nadawane konkretnym użytkownikom jak i ich grupom. Wypadkowe uprawnienia
są sumą uprawnień użytkownika i grupy/grup, do jakich przynależy.
Uprawnienia mogą być nadawane "Zezwól" bądź odbierane "Odmów". Odmawianie uprawnień służy
odbieraniu praw użytkownikowi/grupie w sytuacji, gdy z dziedziczenia lub przynależności do innych grup
posiada/posiadają oni dostęp do danych zasobów. Odmawianie uprawnień ma wyższy priorytet (jest
ważniejsze) niż zezwalanie.
Uprawnienia NTFS realizowane są za pomocą tzw.ACL – Access Control List, list kontroli dostępu.
Prześledźmy nadawanie i odbieranie uprawnień do folderów dla użytkowników.
Sytuacją wyjściową jest system Windows 10 z utworzonymi dwoma kontami użytkowników: konto z
uprawnieniami administracyjnymi Admin i konto użytkownika (własne imię)
Użytkownik Admin stworzył na dysku D: folder o nazwie [własne nazwisko] (przykład adminfolder)
Aby zobaczyć ACL folderu, należy kliknąć prawym klawiszem myszy na folder, wybrać Właściwości a
następnie kartę Zabezpieczenia. Wyświetli się domyślna lista ACL. Są tam wyszczególnione grupy
użytkowników i ich uprawnienia (w okienku poniżej.) Wpis na liście ACL nazywa się ACE – Access Control
Entry.
Co oznaczają poszczególne uprawnienia:
Ponieważ jest to drugi dysk widoczny w systemie, nie ma żadnych specjalnych ograniczeń odczytu/zapisu
dla użytkoników. Wszystkie wyszczególnione grupy mają uprawnienie co najmniej Modyfikacja. Prawa do
zapisu/odczytu nie miałby tylko użytkownik z grupy Goście.
Uprawnienia systemu plików NTFS cz. 2
Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu operacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.
Sytuacją wyjściową jest system Windows 10 z utworzonymi kontami użytkowników: konto z uprawnieniami
administracyjnymi Admin i konto użytkowników
1. userek1,
2. userek2,
3. userek3,
4. [własne imię]:
Utwórzmy katalog [własne nazwisko] (tutaj adminfolder na dysku D:) i wyświetlmy jego ACL.
Na liście znajdują się cztery wpisy. Są to grupy wbudowane, czyli niezbędne do prawidłowego działania
systemu operacyjnego grupy kont użytkowników tworzone przy instalacji systemu. Grupa Administratorzy
to grupa zawierająca domyślnie nieaktywne konto Administrator (czyli konto uzytkownika o uprawnieniach
administratora, które nazywa się Administrator), a także wszystkie stworzone później konta użytkowników
o uprawnieniach administracyjnych (czyli w prezentowaym przypadku Admin). Grupa Użytkownicy i jej
podgrupa Użytkownicy uwierzytelnieni to grupa, która zawiera wszystkich użytkowników, których
tożsamości zostały uwierzytelnione po zalogowaniu, także tych "jeszcze nieistniejących". Grupa SYSTEM to
grupa usług i funkcji systemu operacyjnego (wyszukiwanie, antywirus, kopie zapasowe itp.).
Ponieważ jest to drugi dysk (D:) w systemie, wypadkowa powyższych wpisów sprawia, że dostęp do niego
nie jest ograniczony, a konta użytkowników mają pełen dostęp do danych. Nie powinno się tu wprowadzać
żadnych zmian poza przemyślanymi działaniami administracyjnymi
Aby wyłączyć dziedziczenie, klikamy przycisk Wyłącz dziedziczenie i w kolejnym oknie decydujemy, aby
zastosować zmany dla folderu bieżącego i wszystkich jego podfolderów i plików (Usuń wszystkie
uprawnienia...):
Mamy teraz wyszyszczoną ACL. Jest tam zawarta jedynie informacja, że żadna grupa ani żaden użytkownik
nie ma dostępu do folderu (nawet administrator). Ale Właściciel może dodać uprawnienia. Właścicielem
jest oczywiście użytkownik Admin.
Dodanie uprawnień. Klikamy przycisk Dodaj:
W następnym oknie klikamy napis Wybierz podmiot zabezpieczeń, czyli kogo ma dtyczić nowy ACE
(użtkownika lokalnego/sieciowego/domenowego, grupy lokalnej/domenowej):
W następnym oknie podpowiedziała nam się lokalizacja (nazwa komputera, innych nie ma). Rozwijamy
Zaawansowane:
Według zdefiniwanych użytkowników, użytkownik userek3 nie ma dostępu do folderu. Nie trzeba mu
dodawać uprawnieć z opcją Odmów, wystarczy że nie ma dla niego wpisanych żadnych uprawnień.
Uprawnienia systemu plików NTFS cz. 2
Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu operacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.
Sytuacją wyjściową jest system Windows 10 z utworzonymi kontami użytkowników: konto z uprawnieniami
administracyjnymi Admin i konto użytkowników userek1, userek2, i userek3:
Utwórzmy katalog [własne nazwisko] (tutaj adminfolder na dysku D:)i wyświetlmy jego ACL.
Na liście znajdują się cztery wpisy. Są to grupy wbudowane, czyli niezbędne do prawidłowego działania
systemu operacyjnego grupy kont użytkowników tworzone przy instalacji systemu. Grupa Administratorzy
to grupa zawierająca domyślnie nieaktywne konto Administrator (czyli konto uzytkownika o uprawnieniach
administratora, które nazywa się Administrator), a także wszystkie stworzone później konta użytkowników
o uprawnieniach administracyjnych (czyli w prezentowaym przypadku Admin). Grupa Użytkownicy i jej
podgrupa Użytkownicy uwierzytelnieni to grupa, która zawiera wszystkich użytkowników, których
tożsamości zostały uwierzytelnione po zalogowaniu, także tych "jeszcze nieistniejących". Grupa SYSTEM to
grupa usług i funkcji systemu operacyjnego (wyszukiwanie, antywirus, kopie zapasowe itp.).
Ponieważ jest to drugi dysk (D:) w systemie, wypadkowa powyższych wpisów sprawia, że dostęp do niego
nie jest ograniczony, a konta użytkowników mają pełen dostęp do danych. Nie powinno się tu wprowadzać
żadnych zmian poza przemyślanymi działaniami administracyjnymi
W nowo otwartym okienku w górnej części te same dane wpisów ACE co w poprzednim oknie, ale
rozszerzone o dodatkowe informacje.
Nie możemy usunąć żadnych wpisów. Pojawia się komunikat, że katalog dziedziczy te uprawnienia z
uprawnień elementu nadrzędnego — dysku D: (katalogu głównego tego dysku):
Aby wyłączyć dziedziczenie, klikamy przycisk Wyłącz dziedziczenie i w kolejnym oknie decydujemy, aby
zastosować zmany dla folderu bieżącego i wszystkich jego podfolderów i plików (Usuń wszystkie
uprawnienia...):
Mamy teraz wyszyszczoną ACL. Jest tam zawarta jedynie informacja, że żadna grupa ani żaden użytkownik
nie ma dostępu do folderu (nawet administrator). Ale Właściciel może dodać uprawnienia. Właścicielem
jest oczywiście użytkownik Admin.
W następnym oknie podpowiedziała nam się lokalizacja (nazwa komputera, innych nie ma). Rozwijamy
Zaawansowane:
Według zdefiniwanych użytkowników, użytkownik userek3 nie ma dostępu do folderu. Nie trzeba mu
dodawać uprawnieć z opcją Odmów, wystarczy że nie ma dla niego wpisanych żadnych uprawnień.
Uprawnienia systemu plików NTFS cz. 2
Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu opreacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.
Sytuacją wyjściową jest system Windows 10 z utworzonymi kontami użytkowników: konto z uprawnieniami
administracyjnymi Admin i konto użytkowników userek1, userek2, i userek3:
Utwórzmy katalog adminfolder na dysku D: i wyświetlmy jego ACL.
Na liście znajdują się cztery wpisy. Są to grupy wbudowane, czyli niezbędne do prawidłowego działania
systemu operacyjnego grupy kont użytkowników tworzone przy instalacji systemu. Grupa Administratorzy
to grupa zawierająca domyślnie nieaktywne konto Administrator (czyli konto uzytkownika o uprawnieniach
administratora, które nazywa się Administrator), a także wszystkie stworzone później konta użytkowników
o uprawnieniach administracyjnych (czyli w prezentowaym przypadku Admin). Grupa Użytkownicy i jej
podgrupa Użytkownicy uwierzytelnieni to grupa, która zawiera wszystkich użytkowników, których
tożsamości zostały uwierzytelnione po zalogowaniu, także tych "jeszcze nieistniejących". Grupa SYSTEM to
grupa usług i funkcji systemu operacyjnego (wyszukiwanie, antywirus, kopie zapasowe itp.).
Ponieważ jest to drugi dysk (D:) w systemie, wypadkowa powyższych wpisów sprawia, że dostęp do niego
nie jest ograniczony, a konta użytkowników mają pełen dostęp do danych. Nie powinno się tu wprowadzać
żadnych zmian poza przemyślanymi działaniami administracyjnymi
W nowo otwartym okienku w górnej części te same dane wpisów ACE co w poprzednim oknie, ale
rozszerzone o dodatkowe informacje.
Nie możemy usunąć żadnych wpisów. Pojawia się komunikat, że katalog dziedziczy te uprawnienia z
uprawnień elementu nadrzędnego — dysku D: (katalogu głównego tego dysku):
Aby wyłączyć dziedziczenie, klikamy przycisk Wyłącz dziedziczenie i w kolejnym oknie decydujemy, aby
zastosować zmany dla folderu bieżącego i wszystkich jego podfolderów i plików (Usuń wszystkie
uprawnienia...):
Mamy teraz wyszyszczoną ACL. Jest tam zawarta jedynie informacja, że żadna grupa ani żaden użytkownik
nie ma dostępu do folderu (nawet administrator). Ale Właściciel może dodać uprawnienia. Właścicielem
jest oczywiście użytkownik Admin.
Dodanie uprawnień. Klikamy przycisk Dodaj:
W następnym oknie klikamy napis Wybierz podmiot zabezpieczeń, czyli kogo ma dtyczić nowy ACE
(użtkownika lokalnego/sieciowego/domenowego, grupy lokalnej/domenowej):
W następnym oknie podpowiedziała nam się lokalizacja (nazwa komputera, innych nie ma). Rozwijamy
Zaawansowane:
Postępując w analogiczny sposób możemy dodać wpisy dla innych użytkowników (lub grup użytkowników)
ze zróznicowanym poziomem uprawnień. Potwierdzamy przyciskiem Zatwierdź:
Według zdefiniwanych użytkowników, użytkownik userek3 nie ma dostępu do folderu. Nie trzeba mu
dodawać uprawnieć z opcją Odmów, wystarczy że nie ma dla niego wpisanych żadnych uprawnień.
Uprawnienia systemu plików NTFS cz. 4. Wersje systemu Win10 – powtózenie. Zarządzanie
użytkownikami w różnych wersjach systemu Windows 10.
Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu opreacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.
Podczas instalacji systemu Windows 10 z nośnika/obrazu pobranego ze strony Microsoft można wybrać
jedną spośród trzech wersji systemu: Home, Education oraz Pro.
Z założenia różne wersje mają służyć różnym grupom użytkowników. Klucze aktywacyjne od
poszczególnych wersji nie pozwalają aktywować innych wersji. W skrócie można je zcharakteryzować
następująco:
Wersja Pro (od Professional) jak nazwa wzkazuje, zawiera składniki i możliwości pracy profesjonalnej.
Wymienić można np. możliwość przyłączenia do Active Directory, obecność bardziej zaawansowanych
funkcji biznesowych (szyfrowanie danych, możliwość pracy zdalnej), uruchamianie maszyn wirtualnych w
dedykowanym środowisku dostarczanym przez Microsoft (Hyper-V), zaawansowane zarządzanie
użytkownikami poprzez tzw. polityki grup.
Z krótkim porównaniem funkcjonalności tych wersji można zapoznać się np. na stronie Microsoftu.
Wersja edukacyjna Education (właściwie Win10 Pro Education) bazuje na wersji Pro. Zawiera większość
funkcjonalności wersji Pro, pozbawiona jest pewnych funkcji multimedialnych (np. asystenta głosowego
COrtany). Zakupić (klucz) tą wersję można tylko poprzez specjalne kanały dystrybucji (partnerów OEM, firm
wspierających pracę szkół itp.).
Wszystkie powyższe wersje przygotowane na rynek Unii Europejskiej posiadają oddzielne wydanie
oznaczonę literą N. Są to wydania domyślnie nie zawierające niektórych funkcji i programów
multimedialnych (np. odtwarzacza WIndows Media Player). Obecność takich wydań podyktowana jest
prrepisami prawnymi przeciwdziałającymi praktykom monopolistycznym.
Oprócz wymienionych istnieją jeszcze wersje wyspecjalizowane dla biznesu, dużych firm. Win10 Pro
Workstation oraz Enterprise (enterprise – wieloznaczy termin oznaczający dosłownie skomplikowane
działanie; w biznesie i technologii IT w znaczeniu przedsiębiorstwo, duża firma). Są one wyposażone w
jeszcze bardziej złożone mechanizmy bezpieczeństwa dostarczane przez producenta. Nie są one
powszechnie dostępne, jedynie przez wybrane kanały dystrybucji, specjalizujące sie w obsłudze biznesu.
Krótkie porównanie na stronie Microsoftu.
Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu opreacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.
O ile kont użytkowników może być wiele, to przeważnie da się je pogrupować w jasno zdefiniowane grupy
użytkowników, które mogą mieć swoje odzwierciedlenie w postaci grup użytkowników systemu Windows
(nazwane tutaj Zarząd, Administracja (firmy) i Produkcja).
Użytkownicy powinni być przypisani do grup. Nie ma znaczenia, czy przypisuje się użytkownika do grupy:
Czy do grup dodaje się członków grupy:
Ponieważ struktura firmy z reguły nie podlega częstym zmianom, za to konta użytkowników mogą zmieniać
się częściej (dezaktualizują się konta odchodzących z pracy, tworzone są nowe dla zatrudnianych
pracowników), sensownym pomysłem jest udostępniać jakiś zasób (tutaj dla przykładu folder dyskowy) w
oparciu o grupy, a nie poszczególnych użytkowników.
W powyższym przykładzie grupa "Zarząd" ma wysokie uprawnienia do zasobu, grupa "Administracja
(firmy)" ma uprawnienia tylko do odczytu, natomiast grupa "Pracownicy" nie ma żadnych uprawnień (nie
ma dostępu do zasobu).
Powyższy hipotetyczny i mocno uproszczony przykład pokazuje ideę tworzenia struktury użytkowników,
możliwej do stworzenia lokalnie, jak i w sieci komputerów.
Jest to możliwe do zrealizowania zarówno w systemach klasy Home, gdzie użytkowników i grupy w takiej
konfiguracji będzie można stworzyć wyłącznie za pomocą wiersza poleceń (choć raczej nie będzie to często
spotykane), jak i w wersjach profesjonalnych, a także systemach centralnego zarządzania komputerami i
użytkowinikami sieciowymi (Active Directory).