NTFS failiõiguste seadistamine Windows 7 operatsioonisüsteemis: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Krvask (talk | contribs)
No edit summary
Krvask (talk | contribs)
No edit summary
 
(64 intermediate revisions by the same user not shown)
Line 1: Line 1:
Sel teemal kirjutab Kristjan Vask
Sel teemal kirjutas Kristjan Vask


pooleli
==Põhitõed==
NTFS failisüsteemis on kasutajatele ning gruppidele võimalik määrata erineva tasemega failiõigusi.


NTFS failisüsteemis on kasutajatele võimalik määrata erineva tasemega failiõigusi.
Iga kord kui failiõigustega tegeletakse tasub alati meeles pidada järgnevaid põhipunkte:


-Lugemisõigus on ainukene õigus mis on tarvis skriptide jooksutamiseks. Jooksutamisõigust pole tarvis eraldi sätestada.


-Lugemisõigus on tarvilik otseteede kasutamiseks.
-Kasutajale faili kirjutamisõiguste andmine aga kustutamisõiguste keelamine ei takista teda faili sisu tühjaks kustutamast.
-Kui kasutajal on "täielik kontroll (full control)" kausta üle, siis kasutaja saab kustutada seal olevaid faile olenemata keelamisõigustest seal sees olevate  failide suhtes.
-Keelamisõigused on alati eespool lubamisõigustest.
Näiteks Kui kasutaja on kahes grupis korraga milles 1. ta tohib faili avada ja 2. ei tohi, siis tegelikkuses ta faili avada ei saa.
-Õiguste muutmisele pääseb ligi kui paremklikkida vastava faili properties-security tab-nupp edit
==Õiguste komplektid==
Olemas on nii standardõigused ning spetsiaalõigused.
Erinevad kombinatsioonid spetsiaalõigusi moodustavad standardõiguste komplekte.
Spetsiaalõiguste abil saab kõige täpsemini õigusi määratleda kuid reeglina pole see tarvilik.
Spetsiaalõigusi selgitab allpool olev tabel mis näitab ära millest mingi standardõiguste komplekt koosneb.
<table border="1" cellspacing="0" width="100%"> <caption> <h5 class="docTableTitle">Spetsiaalõiguste tabel</h5></caption>  <tr> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">Nimi standardõiguste komplektina -></th> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">Read</th> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">Kirjutamine</th> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">Read and Execute</th> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">List folder contents</th> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">Modify</th> <th class="docTableCell thead" style="text-align: left;" scope="col" align="left" valign="bottom">Full Control</th></tr> <tr> <td class="docTableCell" align="left" valign="top">Traverse Folder/Execute File</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">List Folder/Read Data</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Read Attributes</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Read Extended Attributes</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Create Files/Write Data</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Create Folders/Append Data</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Write Attributes</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Write Extended Attributes</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Delete Subfolders and Files</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Delete</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Read Permissions</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Change Permissions</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Take Ownership</td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td style="" class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell"><br></td> <td class="docTableCell" align="left" valign="top">X</td></tr> <tr> <td class="docTableCell" align="left" valign="top">Full Control</td> <td class="docTableCell" align="left" valign="top"></td> <td class="docTableCell" align="left" valign="top"></td> <td class="docTableCell" align="left" valign="top"></td> <td class="docTableCell" align="left" valign="top"></td> <td class="docTableCell" align="left" valign="top"></td> <td class="docTableCell" align="left" valign="top">X</td></tr></table>
==Näide==
Vaatleme näitena kahte faili millest üks on salajane fail bosside kaustas ning üks avalik, üldises kaustas.
Vaatleme näitena kahte faili millest üks on salajane fail bosside kaustas ning üks avalik, üldises kaustas.
Meil on 2 kasutajategruppi: töötajad ning bossid.
Meil on 2 kasutajategruppi: töötajad ning bossid.
Töötajatel on õigused ainult kausta sisu nägemiseks ning sealt failide lugemiseks. Muutmisõigust neil pole.
Töötajatel on õigused ainult kausta sisu nägemiseks ning sealt failide lugemiseks. Muutmisõigust neil pole.
Igaks juhuks on kasutajatel õigused antud salajasse folderisse minemiseks kui neile on antud otselink, siis nad saavad lingitud faili avada ja lugeda.
Igaks juhuks on kasutajatel õigused antud salajasse folderisse minemiseks kui neile on antud otselink, siis nad saavad lingitud faili avada ja lugeda.
Ise nad folderisse ringi vaatama ega kausta sisu uudistama ei pääse.
Ise nad folderisse ringi vaatama ehl kausta sisu uudistama ei pääse.
Bossid saavad teha kõike.
Bossid saavad teha kõike.




Bossidele kõikide õiguste andmiseks ning asja lihtsustamiseks oleme eemaldanud esialgu kõikide teiste kasutajate õigused 1. taseme kaustast "paberid" ning jätnud vaid bossid.
Bossidele kõikide õiguste andmiseks ning asja lihtsustamiseks oleme eemaldanud esialgu kõikide teiste kasutajate õigused 1. taseme kaustast "paberid" ning jätnud vaid bossid.
Selle jaoks oleme tühistanud õiguste pärimise siin ning jätnud vaid bossid:
Selle jaoks oleme tühistanud õiguste pärimise siin ning jätnud vaid bossid. Õiguste pärimise eemaldamist tasub rakendada alati kohe alguses igal pool kui on soov et 1 kasutajagrupp oleks täpselt piiritletud kasutajaõigustega, et vältida hilisemaid segadusi :


[[File:capture1.jpg]] [[File:capture2.png]]
[[File:capture1.jpg]] [[File:capture2.png]]
Line 25: Line 47:


Salajaste paberite kohta
Salajaste paberite kohta
kausta tasandil ei anna me töötajatele ühetgi õigust sinna sisse uurima minna. Õigusi saab mugavalt kontrollida ka tabi Effective permissions alt.
kausta tasandil ei anna me töötajatele ühetgi õigust sinna sisse uurima minna. Õigusi saab mugavalt kontrollida ka tabi Effective permissions alt, mis näitab hetkel aktiivseid õiguste seadeid.
 
[[File:capture5x.png]]
[[File:capture5x.png]]
Kuna salajaste paberite kaustas on 1 fail mida me aegajalt tahame töötajatega jagada siis tuleb see fail seadistada eraldi ka töötajatele kättesaadavaks.
Samas peame silmas, et sinna faili juurde pääsevad nad ainult otselingiga või siis kui nad teavad selle faili nime. Loomulikult on reaalses elus võimalik ka vastav fail salasõnaga kaitsta et vältida proovimismeetodil ligipääsemist suvaliste kasutajate poolt kes juhtuvad failinime ära arvama.
[[File:capture 6x.png]]
Kui kasutaja üritab niisama salajasse folderisse luurama minna siis saab ta sellise teate:
[[File:capture8x.png]]
Samas on kasutajal võimalik lugeda faili kui ta teab et see seal on, trükkides sisse failiaadressi:
[[File:capture9x.png]]
[[File:capture13x.png]]
==Kokkuvõte==
Kokkuvõtteks tasub ka meeles pidada, et ei pea logima erinevate kasutajate vahel asja töötamiseks ringi. Kõike saab kontrollida "effective permissions" tabi alt kus näidatakse faili või kausta kohta kenasti ära mis õigused parasjagu aktiivsed on.
Samuti võiks ära mainida et on võimalik määrata õigusi läbi mitme tasandi:
[[File:capture 14x.png]]
==Allikad==
http://technet.microsoft.com/en-us/library/bb727008.aspx
http://support.microsoft.com/kb/308419
http://computingtech.blogspot.com/2008/05/windows-server-2008-ntfs-file-and.html

Latest revision as of 16:46, 17 October 2010

Sel teemal kirjutas Kristjan Vask

Põhitõed

NTFS failisüsteemis on kasutajatele ning gruppidele võimalik määrata erineva tasemega failiõigusi.

Iga kord kui failiõigustega tegeletakse tasub alati meeles pidada järgnevaid põhipunkte:

-Lugemisõigus on ainukene õigus mis on tarvis skriptide jooksutamiseks. Jooksutamisõigust pole tarvis eraldi sätestada.

-Lugemisõigus on tarvilik otseteede kasutamiseks.

-Kasutajale faili kirjutamisõiguste andmine aga kustutamisõiguste keelamine ei takista teda faili sisu tühjaks kustutamast.

-Kui kasutajal on "täielik kontroll (full control)" kausta üle, siis kasutaja saab kustutada seal olevaid faile olenemata keelamisõigustest seal sees olevate failide suhtes.

-Keelamisõigused on alati eespool lubamisõigustest. Näiteks Kui kasutaja on kahes grupis korraga milles 1. ta tohib faili avada ja 2. ei tohi, siis tegelikkuses ta faili avada ei saa.

-Õiguste muutmisele pääseb ligi kui paremklikkida vastava faili properties-security tab-nupp edit

Õiguste komplektid

Olemas on nii standardõigused ning spetsiaalõigused. Erinevad kombinatsioonid spetsiaalõigusi moodustavad standardõiguste komplekte. Spetsiaalõiguste abil saab kõige täpsemini õigusi määratleda kuid reeglina pole see tarvilik. Spetsiaalõigusi selgitab allpool olev tabel mis näitab ära millest mingi standardõiguste komplekt koosneb.

Spetsiaalõiguste tabel
Nimi standardõiguste komplektina -> Read Kirjutamine Read and Execute List folder contents Modify Full Control
Traverse Folder/Execute File

X X X X
List Folder/Read Data X
X X X X
Read Attributes X
X X X X
Read Extended Attributes X
X X X X
Create Files/Write Data
X

X X
Create Folders/Append Data
X

X X
Write Attributes
X

X X
Write Extended Attributes
X

X X
Delete Subfolders and Files




X
Delete



X X
Read Permissions X
X X X X
Change Permissions




X
Take Ownership




X
Full Control X

Näide

Vaatleme näitena kahte faili millest üks on salajane fail bosside kaustas ning üks avalik, üldises kaustas. Meil on 2 kasutajategruppi: töötajad ning bossid. Töötajatel on õigused ainult kausta sisu nägemiseks ning sealt failide lugemiseks. Muutmisõigust neil pole. Igaks juhuks on kasutajatel õigused antud salajasse folderisse minemiseks kui neile on antud otselink, siis nad saavad lingitud faili avada ja lugeda. Ise nad folderisse ringi vaatama ehl kausta sisu uudistama ei pääse. Bossid saavad teha kõike.


Bossidele kõikide õiguste andmiseks ning asja lihtsustamiseks oleme eemaldanud esialgu kõikide teiste kasutajate õigused 1. taseme kaustast "paberid" ning jätnud vaid bossid. Selle jaoks oleme tühistanud õiguste pärimise siin ning jätnud vaid bossid. Õiguste pärimise eemaldamist tasub rakendada alati kohe alguses igal pool kui on soov et 1 kasutajagrupp oleks täpselt piiritletud kasutajaõigustega, et vältida hilisemaid segadusi :

Järgmiseks hakkame jagama õigusi töötajatele.Õigusi saab kõige paremini muuta: kausta properties->security tab->advanced->edit juurest. Antud juhul anname töötajatele õigused kausta sisu nägemiseks ning sealt failide lugemiseks, samuti igaks juhuks failiatribuutide lugemiseks kuna võib juhtuda et nad ei tea mis tüübi fail see on.

Salajaste paberite kohta kausta tasandil ei anna me töötajatele ühetgi õigust sinna sisse uurima minna. Õigusi saab mugavalt kontrollida ka tabi Effective permissions alt, mis näitab hetkel aktiivseid õiguste seadeid.

Kuna salajaste paberite kaustas on 1 fail mida me aegajalt tahame töötajatega jagada siis tuleb see fail seadistada eraldi ka töötajatele kättesaadavaks. Samas peame silmas, et sinna faili juurde pääsevad nad ainult otselingiga või siis kui nad teavad selle faili nime. Loomulikult on reaalses elus võimalik ka vastav fail salasõnaga kaitsta et vältida proovimismeetodil ligipääsemist suvaliste kasutajate poolt kes juhtuvad failinime ära arvama.

Kui kasutaja üritab niisama salajasse folderisse luurama minna siis saab ta sellise teate:

Samas on kasutajal võimalik lugeda faili kui ta teab et see seal on, trükkides sisse failiaadressi:

Kokkuvõte

Kokkuvõtteks tasub ka meeles pidada, et ei pea logima erinevate kasutajate vahel asja töötamiseks ringi. Kõike saab kontrollida "effective permissions" tabi alt kus näidatakse faili või kausta kohta kenasti ära mis õigused parasjagu aktiivsed on. Samuti võiks ära mainida et on võimalik määrata õigusi läbi mitme tasandi:


Allikad

http://technet.microsoft.com/en-us/library/bb727008.aspx

http://support.microsoft.com/kb/308419

http://computingtech.blogspot.com/2008/05/windows-server-2008-ntfs-file-and.html