Uprawnienia systemu plików NTFS cz.

System plików NTFS umożliwia bardzo szczegółową kontrolę dostępu do danych i nadawania, bądź
odmawiania, użytkownikom i grupom użytkowników praw do odczytu, wykonywania, modyfikacji folderów
i plików.

Z założenia uprawnienia NTFS służą do zarządzania dostępem do folderów i plików lokalnych. Uprawnienia
do zasobów sieciowych (udostępnianie) są wypadkową uprawnień NTFS i zasad sieciowych

Uprawnienia NTFS zorganizowane są w strukturę hierarchiczną (drzewo). Obiekty potomne (np.

podfoldery) dziedziczą uprawnienia z obiektów nadrzędnych (w których się znajdują). Umożliwia to płynne i
bezkonfliktowe przejście przez całą struktorę katalogów i plików

Uprawnienia mogą być nadawane konkretnym użytkownikom jak i ich grupom. Wypadkowe uprawnienia
są sumą uprawnień użytkownika i grupy/grup, do jakich przynależy.

Uprawnienia mogą być nadawane "Zezwól" bądź odbierane "Odmów". Odmawianie uprawnień służy
odbieraniu praw użytkownikowi/grupie w sytuacji, gdy z dziedziczenia lub przynależności do innych grup
posiada/posiadają oni dostęp do danych zasobów. Odmawianie uprawnień ma wyższy priorytet (jest
ważniejsze) niż zezwalanie.

Uprawnienia NTFS realizowane są za pomocą tzw.ACL – Access Control List, list kontroli dostępu.
Prześledźmy nadawanie i odbieranie uprawnień do folderów dla użytkowników.

Sytuacją wyjściową jest system Windows 10 z utworzonymi dwoma kontami użytkowników: konto z
uprawnieniami administracyjnymi Admin i konto użytkownika (własne imię)

Np dla user wygląda następująco:

Użytkownik Admin stworzył na dysku D: folder o nazwie [własne nazwisko] (przykład adminfolder)
Aby zobaczyć ACL folderu, należy kliknąć prawym klawiszem myszy na folder, wybrać Właściwości a
następnie kartę Zabezpieczenia. Wyświetli się domyślna lista ACL. Są tam wyszczególnione grupy
użytkowników i ich uprawnienia (w okienku poniżej.) Wpis na liście ACL nazywa się ACE – Access Control
Entry.
Co oznaczają poszczególne uprawnienia:

Pełna kontrola nad elementem. Uprawnienie twórcy –

 Pełna kontrola
właściciela folderu/pliku.
Modyfikacja i usuwanie katalogu/pliku oraz wszystkie
 Modyfikacja
uprawnienia z "Odczyt i Wykonanie".
Przemieszczanie się w podfolderach, odczyt plików i
uruchomienie programmów oraz wszystkie oraz wszystkie
 Odczyt i wykonanie
uprawnienia z "Wyświetlanie zawartości folderu" i
"Odczyt".
Tylko dla folderów: przeglądanie nazw plików i
 Wyświetlanie
przenoszenie ich do podfolderów znajdujących się w
zawartości folderu
danym folderze. Dziedziczone tylko przez foldery.
 Odczyt Podgląd plików, folderów, ich atrybutów i właściwości.
Tworzenie nowych plików i nadpisywanie istniejących.
 Zapis Tworzenie podfolderów. Zmiana atrybutów folderów i
plików.

Ponieważ jest to drugi dysk widoczny w systemie, nie ma żadnych specjalnych ograniczeń odczytu/zapisu
dla użytkoników. Wszystkie wyszczególnione grupy mają uprawnienie co najmniej Modyfikacja. Prawa do
zapisu/odczytu nie miałby tylko użytkownik z grupy Goście.
Uprawnienia systemu plików NTFS cz. 2

Dodawanie uprawnień użytkownikom folderu/pliku. Opis ćwiczenia.

Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu operacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.

Sytuacją wyjściową jest system Windows 10 z utworzonymi kontami użytkowników: konto z uprawnieniami
administracyjnymi Admin i konto użytkowników

1. userek1,
2. userek2,
3. userek3,
4. [własne imię]:

Utwórzmy katalog [własne nazwisko] (tutaj adminfolder na dysku D:) i wyświetlmy jego ACL.
Na liście znajdują się cztery wpisy. Są to grupy wbudowane, czyli niezbędne do prawidłowego działania
systemu operacyjnego grupy kont użytkowników tworzone przy instalacji systemu. Grupa Administratorzy
to grupa zawierająca domyślnie nieaktywne konto Administrator (czyli konto uzytkownika o uprawnieniach
administratora, które nazywa się Administrator), a także wszystkie stworzone później konta użytkowników
o uprawnieniach administracyjnych (czyli w prezentowaym przypadku Admin). Grupa Użytkownicy i jej
podgrupa Użytkownicy uwierzytelnieni to grupa, która zawiera wszystkich użytkowników, których
tożsamości zostały uwierzytelnione po zalogowaniu, także tych "jeszcze nieistniejących". Grupa SYSTEM to
grupa usług i funkcji systemu operacyjnego (wyszukiwanie, antywirus, kopie zapasowe itp.).

Ponieważ jest to drugi dysk (D:) w systemie, wypadkowa powyższych wpisów sprawia, że dostęp do niego
nie jest ograniczony, a konta użytkowników mają pełen dostęp do danych. Nie powinno się tu wprowadzać
żadnych zmian poza przemyślanymi działaniami administracyjnymi

Spróbujmy zmienić jakieś uprawnienia. W tym celu klikamy przycisk Zaawansowane:

W nowo otwartym okienku w górnej części te same dane wpisów ACE co w poprzednim oknie, ale
rozszerzone o dodatkowe informacje.
Nie możemy usunąć żadnych wpisów. Pojawia się komunikat, że katalog dziedziczy te uprawnienia z
uprawnień elementu nadrzędnego — dysku D: (katalogu głównego tego dysku):

Aby wyłączyć dziedziczenie, klikamy przycisk Wyłącz dziedziczenie i w kolejnym oknie decydujemy, aby
zastosować zmany dla folderu bieżącego i wszystkich jego podfolderów i plików (Usuń wszystkie
uprawnienia...):
Mamy teraz wyszyszczoną ACL. Jest tam zawarta jedynie informacja, że żadna grupa ani żaden użytkownik
nie ma dostępu do folderu (nawet administrator). Ale Właściciel może dodać uprawnienia. Właścicielem
jest oczywiście użytkownik Admin.
Dodanie uprawnień. Klikamy przycisk Dodaj:

W następnym oknie klikamy napis Wybierz podmiot zabezpieczeń, czyli kogo ma dtyczić nowy ACE
(użtkownika lokalnego/sieciowego/domenowego, grupy lokalnej/domenowej):
W następnym oknie podpowiedziała nam się lokalizacja (nazwa komputera, innych nie ma). Rozwijamy
Zaawansowane:

Po rozwinięciu wyszukamy wszystkich dostępnych użytkowników i grupy w bieżącej lokalizacji

(komputerze). Klikamy Znajdź teraz:
Pierwszym wpisem na liście jest nasz użytkownik Admin. Wybieramy go i klikamy OK.
W oknie poniżej dodał się nasz podmiot zabezpieczeń. Wybieramy dla niego uprawnienie Pełna kontrola.
Potwierdzamy klikając OK:
Na ACL pojawił się nowy ACE. Użytkownik Admin jest teraz jedynym użytkownikiem w systemie z dostępem
do katalogu.
Postępując w analogiczny sposób możemy dodać wpisy dla innych użytkowników (lub grup użytkowników)
ze zróznicowanym poziomem uprawnień. Potwierdzamy przyciskiem Zatwierdź:

Według zdefiniwanych użytkowników, użytkownik userek3 nie ma dostępu do folderu. Nie trzeba mu
dodawać uprawnieć z opcją Odmów, wystarczy że nie ma dla niego wpisanych żadnych uprawnień.
Uprawnienia systemu plików NTFS cz. 2

Dodawanie uprawnień użytkownikom folderu/pliku. Opis ćwiczenia.

Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu operacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.

Sytuacją wyjściową jest system Windows 10 z utworzonymi kontami użytkowników: konto z uprawnieniami
administracyjnymi Admin i konto użytkowników userek1, userek2, i userek3:
Utwórzmy katalog [własne nazwisko] (tutaj adminfolder na dysku D:)i wyświetlmy jego ACL.

Na liście znajdują się cztery wpisy. Są to grupy wbudowane, czyli niezbędne do prawidłowego działania
systemu operacyjnego grupy kont użytkowników tworzone przy instalacji systemu. Grupa Administratorzy
to grupa zawierająca domyślnie nieaktywne konto Administrator (czyli konto uzytkownika o uprawnieniach
administratora, które nazywa się Administrator), a także wszystkie stworzone później konta użytkowników
o uprawnieniach administracyjnych (czyli w prezentowaym przypadku Admin). Grupa Użytkownicy i jej
podgrupa Użytkownicy uwierzytelnieni to grupa, która zawiera wszystkich użytkowników, których
tożsamości zostały uwierzytelnione po zalogowaniu, także tych "jeszcze nieistniejących". Grupa SYSTEM to
grupa usług i funkcji systemu operacyjnego (wyszukiwanie, antywirus, kopie zapasowe itp.).

Ponieważ jest to drugi dysk (D:) w systemie, wypadkowa powyższych wpisów sprawia, że dostęp do niego
nie jest ograniczony, a konta użytkowników mają pełen dostęp do danych. Nie powinno się tu wprowadzać
żadnych zmian poza przemyślanymi działaniami administracyjnymi

Spróbujmy zmienić jakieś uprawnienia. W tym celu klikamy przycisk Zaawansowane:

W nowo otwartym okienku w górnej części te same dane wpisów ACE co w poprzednim oknie, ale
rozszerzone o dodatkowe informacje.
Nie możemy usunąć żadnych wpisów. Pojawia się komunikat, że katalog dziedziczy te uprawnienia z
uprawnień elementu nadrzędnego — dysku D: (katalogu głównego tego dysku):

Aby wyłączyć dziedziczenie, klikamy przycisk Wyłącz dziedziczenie i w kolejnym oknie decydujemy, aby
zastosować zmany dla folderu bieżącego i wszystkich jego podfolderów i plików (Usuń wszystkie
uprawnienia...):
Mamy teraz wyszyszczoną ACL. Jest tam zawarta jedynie informacja, że żadna grupa ani żaden użytkownik
nie ma dostępu do folderu (nawet administrator). Ale Właściciel może dodać uprawnienia. Właścicielem
jest oczywiście użytkownik Admin.

Dodanie uprawnień. Klikamy przycisk Dodaj:

W następnym oknie klikamy napis Wybierz podmiot zabezpieczeń, czyli kogo ma dtyczić nowy ACE
(użtkownika lokalnego/sieciowego/domenowego, grupy lokalnej/domenowej):

W następnym oknie podpowiedziała nam się lokalizacja (nazwa komputera, innych nie ma). Rozwijamy
Zaawansowane:

Po rozwinięciu wyszukamy wszystkich dostępnych użytkowników i grupy w bieżącej lokalizacji

(komputerze). Klikamy Znajdź teraz:
Pierwszym wpisem na liście jest nasz użytkownik Admin. Wybieramy go i klikamy OK.
W oknie poniżej dodał się nasz podmiot zabezpieczeń. Wybieramy dla niego uprawnienie Pełna kontrola.
Potwierdzamy klikając OK:
Na ACL pojawił się nowy ACE. Użytkownik Admin jest teraz jedynym użytkownikiem w systemie z dostępem
do katalogu.
Postępując w analogiczny sposób możemy dodać wpisy dla innych użytkowników (lub grup użytkowników)
ze zróznicowanym poziomem uprawnień. Potwierdzamy przyciskiem Zatwierdź:

Według zdefiniwanych użytkowników, użytkownik userek3 nie ma dostępu do folderu. Nie trzeba mu
dodawać uprawnieć z opcją Odmów, wystarczy że nie ma dla niego wpisanych żadnych uprawnień.
Uprawnienia systemu plików NTFS cz. 2

Dodawanie uprawnień użytkownikom folderu/pliku. Opis ćwiczenia.

Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu opreacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.

Sytuacją wyjściową jest system Windows 10 z utworzonymi kontami użytkowników: konto z uprawnieniami
administracyjnymi Admin i konto użytkowników userek1, userek2, i userek3:
Utwórzmy katalog adminfolder na dysku D: i wyświetlmy jego ACL.

Na liście znajdują się cztery wpisy. Są to grupy wbudowane, czyli niezbędne do prawidłowego działania
systemu operacyjnego grupy kont użytkowników tworzone przy instalacji systemu. Grupa Administratorzy
to grupa zawierająca domyślnie nieaktywne konto Administrator (czyli konto uzytkownika o uprawnieniach
administratora, które nazywa się Administrator), a także wszystkie stworzone później konta użytkowników
o uprawnieniach administracyjnych (czyli w prezentowaym przypadku Admin). Grupa Użytkownicy i jej
podgrupa Użytkownicy uwierzytelnieni to grupa, która zawiera wszystkich użytkowników, których
tożsamości zostały uwierzytelnione po zalogowaniu, także tych "jeszcze nieistniejących". Grupa SYSTEM to
grupa usług i funkcji systemu operacyjnego (wyszukiwanie, antywirus, kopie zapasowe itp.).

Ponieważ jest to drugi dysk (D:) w systemie, wypadkowa powyższych wpisów sprawia, że dostęp do niego
nie jest ograniczony, a konta użytkowników mają pełen dostęp do danych. Nie powinno się tu wprowadzać
żadnych zmian poza przemyślanymi działaniami administracyjnymi

Spróbujmy zmienić jakieś uprawnienia. W tym celu klikamy przycisk Zaawansowane:

W nowo otwartym okienku w górnej części te same dane wpisów ACE co w poprzednim oknie, ale
rozszerzone o dodatkowe informacje.
Nie możemy usunąć żadnych wpisów. Pojawia się komunikat, że katalog dziedziczy te uprawnienia z
uprawnień elementu nadrzędnego — dysku D: (katalogu głównego tego dysku):

Aby wyłączyć dziedziczenie, klikamy przycisk Wyłącz dziedziczenie i w kolejnym oknie decydujemy, aby
zastosować zmany dla folderu bieżącego i wszystkich jego podfolderów i plików (Usuń wszystkie
uprawnienia...):
Mamy teraz wyszyszczoną ACL. Jest tam zawarta jedynie informacja, że żadna grupa ani żaden użytkownik
nie ma dostępu do folderu (nawet administrator). Ale Właściciel może dodać uprawnienia. Właścicielem
jest oczywiście użytkownik Admin.
Dodanie uprawnień. Klikamy przycisk Dodaj:

W następnym oknie klikamy napis Wybierz podmiot zabezpieczeń, czyli kogo ma dtyczić nowy ACE
(użtkownika lokalnego/sieciowego/domenowego, grupy lokalnej/domenowej):
W następnym oknie podpowiedziała nam się lokalizacja (nazwa komputera, innych nie ma). Rozwijamy
Zaawansowane:

Po rozwinięciu wyszukamy wszystkich dostępnych użytkowników i grupy w bieżącej lokalizacji

(komputerze). Klikamy Znajdź teraz:
Pierwszym wpisem na liście jest nasz użytkownik Admin. Wybieramy go i klikamy OK.
W oknie poniżej dodał się nasz podmiot zabezpieczeń. Wybieramy dla niego uprawnienie Pełna kontrola.
Potwierdzamy klikając OK:
Na ACL pojawił się nowy ACE. Użytkownik Admin jest teraz jedynym użytkownikiem w systemie z dostępem
do katalogu.

Postępując w analogiczny sposób możemy dodać wpisy dla innych użytkowników (lub grup użytkowników)
ze zróznicowanym poziomem uprawnień. Potwierdzamy przyciskiem Zatwierdź:
Według zdefiniwanych użytkowników, użytkownik userek3 nie ma dostępu do folderu. Nie trzeba mu
dodawać uprawnieć z opcją Odmów, wystarczy że nie ma dla niego wpisanych żadnych uprawnień.
Uprawnienia systemu plików NTFS cz. 4. Wersje systemu Win10 – powtózenie. Zarządzanie
użytkownikami w różnych wersjach systemu Windows 10.

Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu opreacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.

Wersje systemu Win10.

Podczas instalacji systemu Windows 10 z nośnika/obrazu pobranego ze strony Microsoft można wybrać
jedną spośród trzech wersji systemu: Home, Education oraz Pro.

Z założenia różne wersje mają służyć różnym grupom użytkowników. Klucze aktywacyjne od
poszczególnych wersji nie pozwalają aktywować innych wersji. W skrócie można je zcharakteryzować
następująco:

Wersja Home to wersja dla "przeciętnego użytkownika komputera" głównie do zastosowań

indywidualnych, rozrywki i prostej pracy biurowej. Posiada wszystkie udogodnienia i funkcjonalności do
obsługi multimediów (np. zaawansowane opcje dostępu, asystent głosowy Cortana). Nie zawiera
zaawansowanych narzędzi biznesowych (np. funkcji szyfrowania danych BitLocker), niektórych narzędzi
zaawansowanej konfiguracji (przystawki msc, edytor polityk grup). Komputera pracującego pod kontrolą
tej wersji systemu nie można przyłączyć do Active Directory, czyli zaawansowanej usługi katalogowej do
centralnego zarządzania komputerami wykorzystywanymi w pracy dużej firmy.

Wersja Pro (od Professional) jak nazwa wzkazuje, zawiera składniki i możliwości pracy profesjonalnej.
Wymienić można np. możliwość przyłączenia do Active Directory, obecność bardziej zaawansowanych
funkcji biznesowych (szyfrowanie danych, możliwość pracy zdalnej), uruchamianie maszyn wirtualnych w
dedykowanym środowisku dostarczanym przez Microsoft (Hyper-V), zaawansowane zarządzanie
użytkownikami poprzez tzw. polityki grup.

Z krótkim porównaniem funkcjonalności tych wersji można zapoznać się np. na stronie Microsoftu.

Wersja edukacyjna Education (właściwie Win10 Pro Education) bazuje na wersji Pro. Zawiera większość
funkcjonalności wersji Pro, pozbawiona jest pewnych funkcji multimedialnych (np. asystenta głosowego
COrtany). Zakupić (klucz) tą wersję można tylko poprzez specjalne kanały dystrybucji (partnerów OEM, firm
wspierających pracę szkół itp.).

Wszystkie powyższe wersje przygotowane na rynek Unii Europejskiej posiadają oddzielne wydanie
oznaczonę literą N. Są to wydania domyślnie nie zawierające niektórych funkcji i programów
multimedialnych (np. odtwarzacza WIndows Media Player). Obecność takich wydań podyktowana jest
prrepisami prawnymi przeciwdziałającymi praktykom monopolistycznym.

Oprócz wymienionych istnieją jeszcze wersje wyspecjalizowane dla biznesu, dużych firm. Win10 Pro
Workstation oraz Enterprise (enterprise – wieloznaczy termin oznaczający dosłownie skomplikowane
działanie; w biznesie i technologii IT w znaczeniu przedsiębiorstwo, duża firma). Są one wyposażone w
jeszcze bardziej złożone mechanizmy bezpieczeństwa dostarczane przez producenta. Nie są one
powszechnie dostępne, jedynie przez wybrane kanały dystrybucji, specjalizujące sie w obsłudze biznesu.
Krótkie porównanie na stronie Microsoftu.

Niektóre aspekty dotyczące użytkowników lokalnych w zależności od wersji systemu.

W wersji Home nie uruchomimy między innymi następujących narzędzi:

Przystawka mmc do zarządzania użytkownikami i grupami lusrmgr.msc (także nieobecna w

compmgmt.msc):
Przystawka mmc do zarządzania zasadami (politykami) grup gpedit.msc – używaliśmy jej do odblokowania
możliwości logowania na konto Gość:
Domyślne przeznaczenie wersji Home zakłada, że operacje na użytkownikach ograniczają wię w większości
przypadków do prostych operacji tworzenia kilku użytkowników, i zaawansowane (wydajne, łatwe w
obsłudze) narzędzia do zarządzania użytkownikami i grupami nie są potrzebne.

Uprawnienia systemu plików NTFS cz. 5. Praktyczny przykład.

Uwaga: poza sytuacją ćwiczeniową lub przemyślanymi i zasadnymi działaniami administracyjnymi nie
modyfikujemy uprawnień do plików i folderów. Można w ten sposób sparaliżować działanie funkcji
systemu opreacyjnego i utrudnić wykonywanie istotnych z punktu widzenia bezpieczeństwa działań.

Rozpatrzmy hipotetyczny przykład udostępnienia jakiegoś zasobu (katalog przechowywania danych,

drukarka...) należącego do firmy. Załóżmy, że tworzymy trzy konta użytkowników, odpowiadające hierarchi
stanowisk w pracy: konto Dyrektor, Księgowa i Pracownik produkcji. W praktyce takich kont może być dużo
więcej (np. dział księgowy jest bardziej rozbudowany, firma zarządzana jest przez kilka osób).

O ile kont użytkowników może być wiele, to przeważnie da się je pogrupować w jasno zdefiniowane grupy
użytkowników, które mogą mieć swoje odzwierciedlenie w postaci grup użytkowników systemu Windows
(nazwane tutaj Zarząd, Administracja (firmy) i Produkcja).
Użytkownicy powinni być przypisani do grup. Nie ma znaczenia, czy przypisuje się użytkownika do grupy:
Czy do grup dodaje się członków grupy:
Ponieważ struktura firmy z reguły nie podlega częstym zmianom, za to konta użytkowników mogą zmieniać
się częściej (dezaktualizują się konta odchodzących z pracy, tworzone są nowe dla zatrudnianych
pracowników), sensownym pomysłem jest udostępniać jakiś zasób (tutaj dla przykładu folder dyskowy) w
oparciu o grupy, a nie poszczególnych użytkowników.
W powyższym przykładzie grupa "Zarząd" ma wysokie uprawnienia do zasobu, grupa "Administracja
(firmy)" ma uprawnienia tylko do odczytu, natomiast grupa "Pracownicy" nie ma żadnych uprawnień (nie
ma dostępu do zasobu).

Powyższy hipotetyczny i mocno uproszczony przykład pokazuje ideę tworzenia struktury użytkowników,
możliwej do stworzenia lokalnie, jak i w sieci komputerów.

Jest to możliwe do zrealizowania zarówno w systemach klasy Home, gdzie użytkowników i grupy w takiej
konfiguracji będzie można stworzyć wyłącznie za pomocą wiersza poleceń (choć raczej nie będzie to często
spotykane), jak i w wersjach profesjonalnych, a także systemach centralnego zarządzania komputerami i
użytkowinikami sieciowymi (Active Directory).