Как сделать доступ к подпапке

Настройка доступа к папкам для разных пользователей ПК

Дата публикации: 2010-02-21

В результате такой настройки разграничение доступа получилось на папках профилей пользователей.

В этой статье я опишу, как можно настроить доступ к произвольным папкам и файлам для разных пользователей в ОС Windows XP Pro.

В примерах я буду использовать настройки пользователей ОС из предыдущей статьи.

Также для простоты изложения я буду считать группу пользователей «Все» одной учетной записью.

Сначала надо загрузить ОС под учетной записью администратора ПК. Затем надо проверить, что в ОС настроена возможность изменения прав на папки и файлы.

Должно появиться окно «Свойства папки», в нем надо переключиться на закладку «Вид», в списке «Дополнительные параметры» проверить галочку на пункте «Использовать простой общий доступ к файлам (рекомендуется)», как показано на картинке ниже.

Для дальнейшей настройки необходимо, чтобы эта галочка была снята.

Если на Вашем ПК она установлена, тогда снимайте ее, потом жмите кнопку «Применить», потом «Ок».

Теперь настройки безопасности должны быть доступны.

Для примера я создам папку «Test» на диске «D».

В окне «Свойства: test» должна быть закладка «Безопасность», как показано на картинке ниже.

Как видно, сейчас все пользователи ОС имеют полный доступ к этой папке.

Теперь для примера запретим пользователю «Дети» доступ в эту папку.

Для этого добавляем пользователя в группу: жмем кнопку «Добавить», в появившемся окне «Выбор: Пользователи или Группы» жмем кнопку «Дополнительно», затем кнопку «Поиск».

Выбираем в списке учетную запись «Дети», жмем «ОК».

Аналогичные действия описаны в предыдущей статье при добавлении пользователя в группу.

В окне «Выбор: Пользователи или Группы» в поле «Введите имена …» должна появиться запись такого вида «MICROSOF-9960C1\Дети», как показано на картинке ниже.

Теперь на закладке «Безопасность» в поле «Группы или пользователи» должна добавиться запись «Дети».

В результате должно получиться так, как показано на картинке ниже.

Жмем «Применить», затем «ОК», здесь ОС выдаст предупреждение о том, что запрещение прав имеет более высокий приоритет, чем разрешение, и предложит продолжить выполнение или отказаться.

Для применения настроек надо выбрать продолжение настроек.

В результате должна получиться такая логика доступа к этой папке: все пользователи ОС имеют полный доступ, а Дети не имею никакого доступа.

Это как раз и достигается тем, что запрет прав имеет более высокий приоритет, чем разрешение.

Теперь проверяем – заходим в ОС под учетной записью «Дети».

Пробуем открыть эту папку, и получаем ответ ОС – «недостаточно прав».

Таким образом можно закрывать доступ и к уже существующим папкам и файлам. При этом те пользователи, которым закрываем доступ, не должны иметь прав администратора на ПК, чтобы они сами не убрали этот запрет.

Без прав администратора недоступна закладка «Безопасность» в свойствах папок и файлов.

Если на ПК установлена одна ОС, то такой способ подойдет для большинства семей.

Небольшое дополнение для продвинутых пользователей.

Если на ПК установлено две и более ОС, то, при такой настройке доступа, как описано выше, из других ОС доступ к указанной папке «Test» на диске «D» будет неограниченный.

Для того, чтобы закрыть доступ из других ОС, надо на закладке безопасность удалить учетную запись «Все», и добавить записи «Admin» и «Родители», и дать им полный доступ на эту папку.

В ОС Windows XP Pro используется принцип наследования прав.

Он заключается в следующем: обычно (без дополнительных настроек) при получении прав на папку пользователь получает те же права на все подпапки и файлы в этой папке. В большинстве случаев это полезно, т.к. пользователь сразу получает одинаковые права на все объекты в папке, администратору ОС не надо дополнительно настраивать доступ на каждый объект в этой папке.

При создании папки в настройках безопасности сразу появляется учетная запись «Все», которая наследуется от целого диска.

В моем примере папка «Test» унаследовала эту запись от диска «D».

Пока наследование включено, удалить или изменить наследуемые права или учетную запись нельзя, поэтому на странице безопасности изменение этих галочек недоступно.

Для изменения правил наследования надо нажать кнопку «Дополнительно», как показано на картинке ниже.

Должно появиться окно настройки дополнительных параметров безопасности для папки «Test».

На рисунке ниже я показал, какая галочка отвечает за наследование прав, и где видно, откуда наследуются права.

Вот эту галочку надо снять, после этого ОС предложит права скопировать, права удалить или отменить действие.

Надо выбрать «Копировать», потом в окне дополнительных параметров нажать кнопки «Применить» и «ОК».

После этого на закладке «Безопасность» можно удалить учетную запись «Все» или изменить ее настройки.

В примере я разрешил доступ к папке пользователям «Admin» и «Родители», запретил доступ пользователю «Дети».

В настройках безопасности группу учетных записей от отдельной учетной записи можно отличить по значку: значок группы содержит две головы, значок учетной записи – одну голову.

Выше по тексту я для упрощения изложения писал «учетная запись Все», но на самом деле это встроенная группа, которая включает все учетные записи.

Исключить учетную запись из этой группы нельзя. Поэтому, если группу «Все» вместо удаления оставить в настройках безопасности и запретить ей доступ к папке, то в результате получится, что ни один пользователь не будет иметь доступ к папке.

Такой итог получается в силу большего приоритета запрета прав над разрешением прав.

В результате такой настройки безопасности папки пользователь из другой ОС без прав администратора не получит доступ в папку «Test».

Пользователь с правами администратора может получить права на доступ к этой папке после выполнения некоторых действий.

Это позволяет получить данные в случае сбоя исходной ОС при загрузке другой ОС с жесткого диска или сд/двд.

Автор статьи: Максим Тельпари
Пользователь ПК с 15-ти летним стажем. Специалист службы поддержки видеокурса «Уверенный пользователь ПК», изучив который Вы научитесь собирать компьютер, устанавливать Windows XP и драйверы, восстанавливать систему, работать в программах и многое другое. Узнать подробности.

Заработайте на этой статье!
Зарегистрируйтесь в партнерской программе. Замените в статье ссылку на курс на свою партнерскую ссылку. Добавьте статью на свой сайт. Получить версию для перепечатки можно здесь.

Источник

Как сделать доступ к подпапке

Вопрос

Есть w2k3 c ролью файлового сервера, есть общая папка и есть пользователь test которому можно читать содержимое этой папки, но писать он может только в одну папку с глубиной вложения 4 к примеру.

Ответы

Поставил на шару доступ на запись пользователю, запретил запись для шары этому пользователю на уровне NTFS, для результирующей папки удалил наследование и явно указал нужные разрешения.

Что скажете? Так оно и должно выглядеть?

Нет.
Правильнее будет обойтись без явных запретов
1. Права на шару change для этого пользователя
2. Права ntfs на чтение для этого пользователя на расшаренную папку
3. Отменить наследование для нужной папки и дать пользователю право на запись
4. Вместо пользователя следует использовать группу AD для назначения разрешений, а пользователя затем в группу добавить.

Абсолютно отрицаю «да». НЕТ.

Запреты следует использовать исключительно в ситуациях, когда это действительно необходимо. И это ещё нужно уметь делать корректно. В данной ситуации, такой необходимости нет. И пункт третий тоже лишний, отменять наследование ни к чему, достаточно просто расширить имеющиеся права до Modify. Наследование отменяйте там, где следует отменить и Чтение тоже.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA

Все ответы

Вообщем, сделал так:

Поставил на шару доступ на запись пользователю, запретил запись для шары этому пользователю на уровне NTFS, для результирующей папки удалил наследование и явно указал нужные разрешения.

Что скажете? Так оно и должно выглядеть?

Поставил на шару доступ на запись пользователю, запретил запись для шары этому пользователю на уровне NTFS, для результирующей папки удалил наследование и явно указал нужные разрешения.

Что скажете? Так оно и должно выглядеть?

Нет.
Правильнее будет обойтись без явных запретов
1. Права на шару change для этого пользователя
2. Права ntfs на чтение для этого пользователя на расшаренную папку
3. Отменить наследование для нужной папки и дать пользователю право на запись
4. Вместо пользователя следует использовать группу AD для назначения разрешений, а пользователя затем в группу добавить.

и вот не лень было это писать? каюсь, мне проще сказать «да», чем в сотый раз цитировать бест практисес

и вот не лень было это писать? каюсь, мне проще сказать «да», чем в сотый раз цитировать бест практисес

Абсолютно отрицаю «да». НЕТ.

Запреты следует использовать исключительно в ситуациях, когда это действительно необходимо. И это ещё нужно уметь делать корректно. В данной ситуации, такой необходимости нет. И пункт третий тоже лишний, отменять наследование ни к чему, достаточно просто расширить имеющиеся права до Modify. Наследование отменяйте там, где следует отменить и Чтение тоже.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA

И пункт третий тоже лишний, отменять наследование ни к чему, достаточно просто расширить имеющиеся права до Modify. Наследование отменяйте там, где следует отменить и Чтение тоже.

MCITP: Enterprise Administrator; MCT; Microsoft Security Trusted Advisor; CCNA

Есть домен 2003 R2, файловый сервер 2008 R2.

Источник